可实现应用服务器防护的插件流量代理方法、装置及系统
技术领域
本发明实施例涉及通信技术领域,具体涉及一种可实现应用服务器防护的插件流量代理方法、装置及系统。
背景技术
插件是一种遵循一定规范的应用程序接口编写出来的程序,插件有很多种,通过插件可以实现原纯净系统平台、应用软件平台不具备的功能。在使用浏览器访问比如OA办公自动化软件、ERP企业资源计划系统、人力资源管理软件等等企业应用软件的时候,有一些功能需要启用特定的插件才能实现,在该过程中会产生插件流量数据,这些流量数据会发送至企业应用服务器。随着互联网技术的发展,企业信息安全越来越重要,现有技术中由于缺乏对插件流量数据的代理和安全检测,无法对不合法的插件流量数据进行有效拦截,导致存在安全漏洞,应用服务器的安全性没有保障,有一定安全隐患。
发明内容
为此,本发明实施例提供一种可实现应用服务器防护的插件流量代理方法,以解决现有技术中由于缺乏对浏览器插件流量数据的代理和安全检测,导致存在安全漏洞,应用服务器存在安全隐患的问题。
为了实现上述目的,本发明实施例提供如下技术方案:
根据本发明实施例的第一方面,提出了一种可实现应用服务器防护的插件流量代理方法,所述方法包括:
根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;
对获取的所述插件流量数据包添加数字签名;
将添加有数字签名的插件流量数据包发送至网关验证所述数字签名,若验证通过,则所述网关对所述插件流量数据包放行并发送至目标应用服务器,若验证未通过,则所述网关对所述插件流量数据包进行拦截。
进一步地,在根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包之前,所述方法还包括:
启动所述浏览器时,同时自动启动代理服务器;
且在启动所述浏览器时,所述浏览器自动配置代理信息,并将代理配置数据包发送至所述代理服务器。
进一步地,所述代理配置包括代理服务器地址、端口以及相关规则配置。
进一步地,对获取的所述插件流量数据包添加数字签名,具体包括:
根据所述插件流量数据包中的用户相关信息,采用预设加密算法生成数字签名;
将所述数字签名添加至所述插件流量数据包头部的UserAgent字段中。
进一步地,将添加有数字签名的插件流量数据包发送至网关验证所述数字签名,包括:
网关根据预设解密算法解密所述数字签名获得所述用户相关信息并进行验证。
进一步地,所述用户相关信息包括用户信息、设备信息以及授权信息。
根据本发明实施例的第二方面,提出了一种可实现应用服务器防护的插件流量代理装置,所述装置包括:
流量获取单元,用于根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;
添加签名单元,用于对获取的所述插件流量数据包添加数字签名;
流量发送单元,用于将添加有数字签名的插件流量数据包发送至网关验证所述数字签名,若验证通过,则所述网关对所述插件流量数据包放行并发送至目标应用服务器,若验证未通过,则所述网关对所述插件流量数据包进行拦截。
根据本发明实施例的第三方面,提出了一种可实现应用服务器防护的插件流量代理系统,所述系统包括:处理器和存储器;
所述存储器用于存储一个或多个程序指令;
所述处理器,用于运行一个或多个程序指令,用以执行如上一种可实现应用服务器防护的插件流量代理方法中的任一方法步骤。
根据本发明实施例的第四方面,提出了一种计算机存储介质,所述计算机存储介质中包含一个或多个程序指令,所述一个或多个程序指令用于被一种可实现应用服务器防护的插件流量代理系统执行如上一种可实现应用服务器防护的插件流量代理方法中的任一方法步骤。
本发明实施例具有如下优点:
本发明实施例提出的一种可实现应用服务器防护的插件流量代理方法、装置及系统,根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;对获取的所述插件流量数据包添加数字签名;将添加有数字签名的插件流量数据包发送至网关验证所述数字签名,若验证通过,则所述网关对所述插件流量数据包放行并发送至目标应用服务器,若验证未通过,则所述网关对所述插件流量数据包进行拦截。对浏览器运行插件过程中产生的所有插件流量数据包进行代理和网关检测,可以对不合法插件流量数据进行有效拦截,提高了应用访问安全性。
附图说明
为了更清楚地说明本发明的实施方式或现有技术中的技术方案,下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地,下面描述中的附图仅仅是示例性的,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图引伸获得其它的实施附图。
图1为本发明实施例1提供的一种可实现应用服务器防护的插件流量代理方法的流程示意图;
图2为本发明实施例2提供的一种可实现应用服务器防护的插件流量代理装置的结构示意图;
图3为本发明实施例3提供的一种可实现应用服务器防护的插件流量代理系统的结构示意图。
具体实施方式
以下由特定的具体实施例说明本发明的实施方式,熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例1提出了一种可实现应用服务器防护的插件流量代理方法,该方法由代理服务器执行,具体如图1所示,该方法包括以下步骤:
步骤110、根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包。
具体的,代理配置包括代理服务器地址、端口以及相关规则配置。代理配置可以在浏览器端执行,代理服务器(应用软件)可以设置在本地或远端,为特定进程设置指定代理,通过代理配置,插件运行过程中产生的所有http流量数据包会先走代理服务器,而不是直接发送至网关。
进一步地,在步骤110之前,该方法还包括:启动浏览器时,同时自动启动代理服务器;且在启动浏览器时,浏览器自动配置代理信息,并将代理配置数据包发送至代理服务器。代理服务器启动后,根据获取的代理配置信息进行代理服务。
步骤120、对获取的插件流量数据包添加数字签名。
经过步骤110的插件流量数据捕获之后,代理服务器会在获取的插件流量数据包中添加数字签名,具体实现过程如下:
根据插件流量数据包中的用户相关信息,采用预设加密算法生成数字签名用,用户相关信息包括用户信息、设备信息以及授权信息;
将数字签名添加至插件流量数据包头部的UserAgent字段中。
具体的,访问应用的http请求中一般包含用户信息、设备信息以及授权信息等用户相关信息,通过加密算法对这些用户相关系信息进行加密计算生成一串可用于标识用户身份的哈希字符串,插件流量数据包头部Header中包括UserAgent字段,将生成的哈希字符串添加至该字段中,完成数字签名的添加。
步骤130、将添加有数字签名的插件流量数据包发送至网关验证数字签名,若验证通过,则网关对插件流量数据包放行并发送至目标应用服务器,若验证未通过,则网关对插件流量数据包进行拦截。
经过上述步骤120的数字签名添加之后,代理服务器将添加有数字签名的插件流量数据包发送至网关验证,具体还包括:
网关根据预设解密算法解密数字签名获得用户相关信息并进行验证。
具体的,网关接收到添加有数字签名的插件流量数据包之后,先采用解密算法对数字签名进行解密,获得用户信息、设备信息以及授权信息等用户相关信息,验证用户是否为合法用户、是否得到授权等等完成验证,若验证通过,则对合法流量数据放行,http请求发送至目标应用服务器,服务器根据数据请求向浏览器返回反馈,实现目标应用的访问,若未验证通过,则对不合法流量进行拦截,实现对应用服务器的保护。
本发明实施例提出的一种可实现应用服务器防护的插件流量代理方法,根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;对获取的插件流量数据包添加数字签名;将添加有数字签名的插件流量数据包发送至网关验证数字签名,若验证通过,则网关对插件流量数据包放行并发送至目标应用服务器,若验证未通过,则网关对插件流量数据包进行拦截。对浏览器运行插件过程中产生的所有插件流量数据包进行代理和网关检测,可以对不合法插件流量数据进行有效拦截,提高了应用访问安全性。
与上述实施例1相对应的,本发明实施例2提出了一种可实现应用服务器防护的插件流量代理装置,具体如图2所示,该装置包括流量获取单元210、添加签名单元220和流量发送单元230。
流量获取单元210,用于根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包。
添加签名单元220,用于对获取的插件流量数据包添加数字签名。
流量发送单元230,用于将添加有数字签名的插件流量数据包发送至网关验证数字签名,若验证通过,则网关对插件流量数据包放行并发送至目标应用服务器,若验证未通过,则网关对插件流量数据包进行拦截。
本发明实施例提供的一种可实现应用服务器防护的插件流量代理装置中各部件所执行的功能均已在上述实施例1中做了详细介绍,因此这里不做过多赘述。
本发明实施例提出的一种可实现应用服务器防护的插件流量代理装置,根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;对获取的插件流量数据包添加数字签名;将添加有数字签名的插件流量数据包发送至网关验证数字签名,若验证通过,则网关对插件流量数据包放行并发送至目标应用服务器,若验证未通过,则网关对插件流量数据包进行拦截。对浏览器运行插件过程中产生的所有插件流量数据包进行代理和网关检测,可以对不合法插件流量数据进行有效拦截,提高了应用访问安全性。
与上述实施例相对应的,本发明实施例3还提出了一种可实现应用服务器防护的插件流量代理系统,具体如图3所示,该系统包括:处理器310和存储器320;
存储器320用于存储一个或多个程序指令;
处理器310,用于运行一个或多个程序指令,用以执行如上实施例所介绍的一种可实现应用服务器防护的插件流量代理方法中的任一方法步骤。
本发明实施例提出的一种可实现应用服务器防护的插件流量代理系统,根据预设代理配置获取浏览器运行插件过程中产生的插件流量数据包;对获取的插件流量数据包添加数字签名;将添加有数字签名的插件流量数据包发送至网关验证数字签名,若验证通过,则网关对插件流量数据包放行并发送至目标应用服务器,若验证未通过,则网关对插件流量数据包进行拦截。对浏览器运行插件过程中产生的所有插件流量数据包进行代理和网关检测,可以对不合法插件流量数据进行有效拦截,提高了应用访问安全性。
根据本发明实施例的第四方面,提出了一种计算机存储介质,计算机存储介质中包含一个或多个程序指令,一个或多个程序指令用于被一种可实现应用服务器防护的插件流量代理系统执行如上实施例所介绍的一种可实现应用服务器防护的插件流量代理方法中的任一方法步骤。
在本发明实施例中,处理器可以是一种集成电路芯片,具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor,简称DSP)、专用集成电路(Application Specificntegrated Circuit,简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array,简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。
可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息,结合其硬件完成上述方法的步骤。
存储介质可以是存储器,例如可以是易失性存储器或非易失性存储器,或可包括易失性和非易失性存储器两者。
其中,非易失性存储器可以是只读存储器(Read-Only Memory,简称ROM)、可编程只读存储器(Programmable ROM,简称PROM)、可擦除可编程只读存储器(Erasable PROM,简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM,简称EEPROM)或闪存。
易失性存储器可以是随机存取存储器(Random Access Memory,简称RAM),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(Static RAM,简称SRAM)、动态随机存取存储器(Dynamic RAM,简称DRAM)、同步动态随机存取存储器(Synchronous DRAM,简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM,简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM,简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM,简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM,简称DRRAM)。
本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时,可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质,其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。