CN110875903B - 一种安全防御方法及设备 - Google Patents
一种安全防御方法及设备 Download PDFInfo
- Publication number
- CN110875903B CN110875903B CN201811012453.0A CN201811012453A CN110875903B CN 110875903 B CN110875903 B CN 110875903B CN 201811012453 A CN201811012453 A CN 201811012453A CN 110875903 B CN110875903 B CN 110875903B
- Authority
- CN
- China
- Prior art keywords
- url
- encrypted
- request
- encrypted url
- secure cookie
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Abstract
本申请实施例提供了一种安全防御方案及设备,该方案中安全防御设备在获取到包括原始URL的可信请求之后,会生成安全Cookie以及关于原始URL的加密URL,然后向访问设备发送安全Cookie和加密URL,使得访问设备能够获取到加密URL,并且在访问加密URL时会携带安全Cookie。由于对后台设备的访问入口进行了加密,使得黑客通过目录猜测获取后台设备的访问入口的难度大大增加,并且加密URL需要通过访问请求中所携带的安全Cookie才可以解密出正确的原始URL,即使加密URL泄露,若无安全Cookie也无法访问原始URL,由此避免了各类攻击扫描,安全性较高。
Description
技术领域
本申请涉及信息技术领域,尤其涉及一种安全防御的方案。
背景技术
随着云计算的迅猛发展,越来越多的企业,将业务系统部署到公共云平台,对外提供各类服务。同时,内部人员也通过后台管理系统,进行各类管理操作。后台管理系统由于能够访问大量业务数据,因此是各类黑客攻击的热点对象,面临各类攻击扫描,例如弱密码扫描、社工库扫描等。
而进行攻击扫描的前提是黑客能够发现后台管理系统登陆入口的网络地址。黑客一般通过目录猜测,比如域名后加上/admin/、/system/等目录尝试,或通过搜索引擎,比如百度、谷歌搜索“后台”、“back”、“管理员”等,找到后台管理系统的网络地址,然后发起攻击扫描,获得登陆帐号,从而进入后台管理系统,执行各类恶意操作,如下载敏感数据、植入恶意WebShell等,给企业财产、声誉造成巨大损失。
对于后台管理系统入口的网络地址的保护,目前采取的方法主要有两种:
1、接入VPN(Virtual Private Network,虚拟专用网络),并且实行SSL(SecureSockets Layer,安全套接层)双向认证(单向SSL不能阻止黑客访问,同样面临被扫描风险),给每个管理人员发放数字证书,实行登陆认证,优点是安全性高,但实施方案复杂,需购买证书、配置VPN系统,以及给每个管理员发放USB Key,硬件USB Key购买成本较高,用户使用不方便。
2、配置针对弱密码扫描、社工库扫描等攻击扫描的识别防御策略,对于此类方式,若攻击者频繁更换IP地址、降低扫描频率,则可能无法正确识别出攻击扫描,存在漏拦截和被绕过风险,安全性低。
发明内容
本申请实施例提供了一种安全防御方法及设备,以至少解决现有技术中成本高、安全性低的问题。
本申请实施例提供了一种安全防御方法,包括:
获取来自访问设备的可信请求,其中,所述可信请求包括原始URL;
生成安全Cookie以及关于所述原始URL的加密URL,其中,所述安全Cookie用于从所述加密URL解密出原始URL;
向访问设备发送所述安全Cookie和加密URL,以使所述访问设备获取所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie。
基于本申请实施例的另一方面,还提供了一种安全防御设备,包括:
数据收发装置,用于获取来自访问设备的可信请求,其中,所述可信请求包括原始URL,以及向访问设备发送所述安全Cookie和加密URL,以使所述访问设备获取所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie;
数据处理装置,用于生成安全Cookie以及关于所述原始URL的加密URL,其中,所述安全Cookie用于从所述加密URL解密出原始URL。
此外,本申请实施例还提供了一种安全防御设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器实现前述的安全防御方法。
本申请实施例提供的方案中,安全防御设备能够获取来自访问设备的、包含原始URL的可信请求,进而生成安全Cookie以及关于所述原始URL的加密URL,然后向访问设备发送所述安全Cookie和加密URL,使得访问设备能够获取到所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie,由此访问设备在访问加密URL时会携带安全Cookie。安全防御设备在收到访问设备发送的访问加密URL的请求时,若请求中携带有安全Cookie则可以解析出原始的URL地址,从而向后台设备请求相应的网络页面,并向访问设备返回网络页面,实现相关网络地址的访问。
由于对后台设备的访问入口(即原始URL)进行了加密(通过加密URL才能访问),使得黑客通过目录猜测获取后台设备的访问入口的难度大大增加,并且加密URL需要通过访问请求中所携带的安全Cookie才可以解密出正确的原始URL,即使加密URL泄露,若无安全Cookie也无法访问原始URL,由此避免了各类攻击扫描,安全性较高。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例中访问设备、安全防御设备和后台设备之间的拓扑结构;
图2为本申请实施例提供的一种安全防御方法处理流程图;
图3为基于本申请实施例中的安全防御方案实现网络地址访问时安全防御设备的处理流程图;
图4为使用本申请实施例提供方案中安全防御设备、访问设备、后台设备之间的交互示意图;
图5为使用本申请实施例提供方案后实现的技术效果示意图;
图6为本申请实施例提供的一种安全防御设备的结构示意图;
图7为本申请实施例提供的另一种安全防御设备的结构示意图;
附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
下面结合附图对本申请作进一步详细描述。
在本申请一个典型的配置中,终端、服务网络的设备均包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。内存是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体,可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
图1示出了本申请一种实施例中访问设备、安全防御设备和后台设备之间的拓扑结构。其中,后台设备100可以是部署有后台管理系统或者其它应用的后台系统的设备,能够向用户提供相关网络页面,例如向用户提供后台管理系统或者应用程序的人机交互界面;安全防御设备200可以是对后台设备进行安全防护的设备,例如WAF(Web ApplicationFirewall,网页应用防火墙),能够拦截并处理出入后台设备的数据;访问设备300可以是用户用来对后台设备中的内容进行访问的设备,可以向后台设备发送相关网络页面的访问请求,获取由此返回的网络页面。
例如,管理人员通过访问设备的浏览器登录运行于后台设备的后台管理系统时,会通过访问设备经由安全防御设备向后台设备发送登录请求,该登录请求包含了访问的网络地址(例如URL为www.a.com/xxxxx/yyyyy)以及用户身份信息(例如用户的帐号和密码),若后台设备的后台管理系统在验证用户身份后,会经由安全防御设备向访问设备的浏览器返回登录成功的网络页面。
在实际场景中,访问设备、安全防御设备和后台设备的实现方式可以包括但不限于:用户设备、网络设备或用户设备与网络设备通过网络相集成所构成的设备。用户设备包括但不限于个人计算机、触控终端、移动终端等设备;网络设备可以是单个网络服务器、多个网络服务器组成的集群或基于云计算的计算机集合等。在此,云由基于云计算(CloudComputing)的大量主机或网络服务器构成,其中,云计算是分布式计算的一种,由一群松散耦合的计算机集组成的一个虚拟计算机。例如,在本申请的一个实施例中,访问设备300为个人计算机,安全防御设备200为部署有WAF的服务器,后台设备100为用于实现后台应用的业务逻辑的服务器。
图2示出了安全防御设备在实现安全防御方法时的处理流程,至少包括如下处理步骤:
步骤S201,安全防御设备获取来自访问设备的可信请求,其中,所述可信请求包括原始URL。
步骤S202,安全防御设备生成安全Cookie以及关于原始URL的加密URL。其中,安全Cookie用于从加密URL解密出原始URL,例如安全Cookie中包含密钥的部分或者全部信息,使得安全防御设备能够根据安全Cookie中包含的信息从加密URL中解密出原始URL。原始URL即为需要保护的网络地址,可以由后台设备提供该原始URL的具体内容(即网络页面),例如应用的帐号登录页面等。
步骤S202,安全防御设备向访问设备发送安全Cookie和加密URL,以使访问设备获取加密URL,并植入用于在访问加密URL时携带的安全Cookie。通过上述方式,可以在访问设备中设置好用来实现正常访问的安全Cookie,并使访问设备得到加密URL。当访问设备下次需要访问原始URL时,可以发送访问加密URL的请求,并且携带安全Cookie,安全防御设备收到访问设备发送的访问加密URL的请求时,若请求中携带有安全Cookie则可以解析出原始的URL地址,从而向后台设备请求相应的网络页面,并向访问设备返回网络页面,实现相关网络地址的访问。
在本申请的一种实施例中,上述安全防御设备对特定的网络地址进行保护的处理,可以由特定的触发条件触发。实际场景中,触发条件可以是用户主动在安全防御设备上进行设置,例如用户在安全防御设备提供的交互界面中对特定的原始URL设置加密URL和安全Cookie。此外,触发条件也可以是用户通过访问设备从可信网络首次访问原始URL。其中,可信网络是指安全的网络环境,可以根据实际的业务需求来设定,例如若后台设备中部署的是公司内部的软件系统,仅向公司内部员工开放,可以认为公司内网为可信网络。在此种情况下,访问设备通过公司内网访问原始URL的请求,可以认为是可信请求。
在本申请的一种实施例中,安全防御设备在从访问设备获取可信请求之后,可以向后台设备转发可信请求,并获取从后台设备获取原始URL对应的网络页面。当安全防御设备从后台设备获取到原始URL对应的网络页面之后,再执行步骤S202和S203。
由于可信请求是指来自于可信网络的访问请求,在实际场景中访问设备可以根据请求的来源IP地址来实现判断,首先根据实际的业务场景将一部分网段配置为可信网段,例如公司内网所属的网段等,若请求的来源IP地址属于可信网段,则将该请求确定为可行请求。由此,在上述处理过程中,安全防御设备从访问设备获取可信请求,可以包括:从访问设备获取请求,然后判断请求的来源IP地址,若来源IP地址属于可信网段,则确定请求为可信请求。反之,若来源IP地址部署于可信网段,则认为该请求不是可信请求,从而不会将其直接转发至后台设备获取相应的网络页面,并触发后续配置安全Cookie和加密URL的步骤。
在本申请的一种实施例中,安全防御设备向访问设备发送安全Cookie和加密URL的实现方式可以采用发送重定向页面的方式,即安全防御设备在实现步骤S203的处理时,可以先生成包含安全Cookie和加密URL的重定向页面,然后向访问设备发送重定向页面,以使访问设备在接收到重定向页面时,获取并访问加密URL,以及植入用于在访问加密URL时携带的安全Cookie。
其中,重定向页面可以是302重定向(302redirect)页面,即http状态码为302的跳转页面,重定向页面中关于安全Cookie的内容可以采用setcookie()函数,通过该函数可以在访问设备中设置需要的安全Cookie。在实际场景中,可以是将安全Cookie设置为HttpOnly,且永不过期。HttpOnly表示此cookie必须用于http或https协议传输,可以提高安全性。
在实际场景中,例如访问设备通过浏览器登录后台设备中运行的后台应用系统时,需要输入登录的用户名和密码,该用户名和密码即是用于识别用户身份的用户信息,因此在访问原始URL的可信请求中也会携带这些用户信息。由此,安全防御设备在生成安全Cookie和加密URL时,可以基于此类与用户身份相关的用户信息,使得最终生成的安全Cookie和加密URL与用户信息相关,使得其它用户无法使用安全Cookie和加密URL,从而进一步提高安全性。
例如,在生成SecCookie(安全Cookie)时,可以基于User(用户名)、R1(随机数1)、Time(安全防御设备的系统时间戳)以及SIG(安全Cookie签名生成,可以表示为SecCookie=USER‖R1‖Time‖SIG。其中,SIG可以基于前述的User、R1和Time通过预先分配给安全防御设备的系统密钥SysKey进行加密生成,即SIG=HMac(USER||R1||TIME,SysKey)。HMac()是指加密算法,可以根据实际的业务需求选择任意可用的加密算法,例如HMacSHA1、HMacSHA256等。同理,在生成加密URL时,也可以包含用户信息(例如用户名User),使其与用户相关。
当访问设备在本地创建了安全Cookie之后,可以发送访问加密URL的请求,来访问原始URL对应的网络页面。例如,当安全Cookie和加密URL是通过重定向页面的方式被访问设备所获取,访问设备的浏览器在打开该重定向页面时将会创建安全Cookie,并自动发送访问加密URL的请求,同时在访问的请求中携带安全Cookie。或者,访问设备在获取到加密URL后,可以将该加密URL保存在本地,作为访问原始URL的入口,并在本地创建相应的安全Cookie。在需要访问原始URL时,通过浏览器打开加密URL即可发送访问加密URL的请求,同时携带安全Cookie。
无论何种情况,访问加密URL的请求会被安全防御设备获取,并基于该请求携带的安全Cookie进行相应的处理,使得访问设备最终能够获取原始URL对应的网络页面。在本申请的一种实施例中,实现上述处理过程时,安全防御设备的处理步骤如图3所示,包括:
步骤S203,安全防御设备从访问设备获取访问加密URL的请求,其中,请求中携带有安全Cookie。
步骤S204,安全防御设备根据安全Cookie,从加密URL解密出网络页面的原始URL。
在本申请的一种实施例中,加密URL可以由两部分组成,包括密钥密文和加密URL内容。其中,密钥密文用于解密出加密密钥,来对加密URL内容进行进一步解密,加密URL内容即为加密后的原始URL,通过加密密钥进行解密,可以获取到使用实际需要访问的原始URL。而安全Cookie中的部分或者全部的内容,可以用来从加密URL的密钥密文中解密出加密密钥,例如根据安全Cookie中的签名(SIG),结合预先分配给安全防御设备的系统密钥(SysKey)作为解密的密钥,从加密URL的密钥密文中解密出加密密钥。由此,本步骤在执行时,安全防御设备先根据安全Cookie,从加密URL的密钥密文中解密出加密密钥;然后根据加密密钥,从加密URL的加密URL内容中解密出网络页面的原始URL。
步骤S205,安全防御设备向后台设备发送访问原始URL的请求,并从后台设备获取原始URL对应的网络页面。对于后台设备,访问原始URL的请求未正常的访问请求,因此后台设备能够据此进行响应处理,返回处理结果,即向安全防御设备返回原始URL对应的网络页面。
步骤S206,安全防御设备将网络页面中包含的原始URL替换为加密URL,并向访问设备返回替换后的网络页面。对于访问设备,实际是通过访问加密URL来替代原始URL,因此安全防御设备向访问设备所返回的处理结果中,需要将将网络页面中包含的原始URL替换为加密URL。
整个访问过程对于用户是透明的,访问设备仅需要保存用户独有的加密URL(即网络地址的新入口),并创建相应的安全Cookie即可,不需要其它改变;而对于后台设备,其接收到的访问请求是经过安全防御设备处理后的正常请求(访问原始URL的请求),不需要进行任何改变,因此本申请提供的安全防御方案尤其适用于缺少后续维护的遗留系统。
此外,访问设备在根据安全Cookie,由加密URL获取网络页面的原始URL之前,还可以验证安全Cookie和加密URL的有效性,确认安全Cookie和加密URL有效。有效性的验证可以包括对安全Cookie、加密URL的格式、内容等方面进行验证,例如格式是否符合预设要求,内容是否与本次请求中的其它信息(如用户信息等)匹配。若有效性验证未通过,则无法进行执行后续的处理步骤,使得访问设备获取不到正确的网络页面,由此进一步提高了安全性。
图4示出了使用本申请实施例的方案中访问设备、安全防御设备、后台设备之间的交互示意图。在本实施例中,后台设备可以是后台应用服务器,部署有后台应用系统,能够对外提供相关业务的服务,访问设备可以是用户所使用的客户端设备,例如个人计算机、手机、平板电脑等,安全防御设备可以是部署有WAF的服务器。
WAF处于交互的中间位置,实现后台应用服务器的网络地址的入口保护,防止各类攻击扫描,其主要功能包括:1、加密URL和安全Cookie的产生;2、解密请求中加密URL,得到明文的原始URL,转发请求到后台应用系统;对后台应用系统返回给用户的网络页面中,对原始URL进行加密,替换成加密URL;3、加密URL和安全Cookie有效性判断,允许正常用户访问,阻断黑客扫描。交互流程如下:
步骤S401,用户在可信环境中通过客户端设备访问后台应用系统的入口(即原始URL),实现安全Cookie和加密URL的配置。例如,后台应用系统的登陆入口为www.a.com/admin/,用户在输入用户名、密码并执行登录操作,使得访问设备发送登录请求。可信环境可以预先在WAF中进行配置,例如通过请求的来源IP地址识别请求来自公司内部,还是公共互联网,属于公司内部的来源IP地址认为是可信环境。
步骤S402,WAF根据请求的来源IP地址,识别为可信请求,不做任何处理,转发给后台应用系统处理。
步骤S403,后台应用系统验证用户名、密码等用户信息,成功后向WAF返回登陆成功后的网络页面。
步骤S404,WAF缓存登录成功的网络页面,执行生成安全Cookie、加密URL的操作,同时生成302重定向页面。
步骤S405,WAF向客户端设备的浏览器返回302重定向页面,其中,包含设置安全Cookie的代码。
步骤S406,客户端设备的浏览器收到302重定向页面后,在本地创建安全Cookie,其安全设置为HttpOnly,永不过期。
步骤S407,客户端设备的浏览器自动处理302响应,自动访问加密URL,并携带安全Cookie。
步骤S408,WAF验证加密URL、安全Cookie的有效性,WAF将缓存的登录成功的网络页面中包含的原始URL,改写为加密URL。
步骤S409,WAF向客户端设备返回改写后的登录成功的网络页面。至此,用户的首次登陆后台应用系统成功,加密URL与安全Cookie生成及配置过程结束。后续用户可以在该客户端设备上通过加密URL和安全Cookie访问后台应用系统的入口。
步骤S410,当客户端设备的浏览器显示登录成功的网络页面之后,用户可以保存当前浏览器地址栏上的URL(即加密URL),作为在公司外部(外网,非可信环境)访问后台应用系统的入口。
步骤S411,用户在公司外部,通过浏览器使用加密URL访问后台应用系统,访问的请求中携带安全Cookie。
步骤S412,WAF验证安全Cookie和加密URL的有效性,对加密URL进行解密,得到原始URL。
步骤S413,WAF使用原始URL,访问后台应用系统;
步骤S414,后台应用系统对访问URL的请求进行处理,并返回对应的网络页面。
步骤S415,WAF检测返回的网络页面,将包含原始URL的内容,改写为加密URL,然后返回给客户端设备;
步骤S416,客户端设备的浏览器显示返回的网络页面,使得用户可以执行各种后台操作。
其中,对于安全Cookie以及加密URL的内容,可参见如下表格。
其中,HMac()是指生成签名的加密算法,可以根据实际的业务需求选择任意可用的加密算法,例如HMacSHA1、HMacSHA256等。Encript()是对称加密算法,同样可以根据业务需求选择任意可用的算法,例如AES、TripleDES等算法。
上述安全防御方案可以实现如图5所示的保护效果,用户要在非可信环境中访问后台设备需要满足两项条件,1、通过加密URL(www.a.com/xxxxxxx/yyyyyy)访问,2、访问设备中已经创建了安全Cookie。在非可信环境中的攻击者无法直接通过原始URL(www.a.com/admin)访问后台设备,即使攻击者得到了加密URL,若没有安全Cookie,WAF即使收到了访问加密URL的请求,也不会正常完成解密,从而无法正常访问后台设备,由此大大降低了后台设备的入口地址暴露给黑客的可能性,安全性较高。
基于同一发明构思,本申请实施例中还提供了安全防御设备,该设备对应的方法是前述实施例中的安全防御方法,并且其解决问题的原理与该方法相似。
图6示出了本申请实施例提供的一种安全防御设备的结构,该安全防御设备包括数据处理装置610和数据收发装置620。数据处理装置610用于安全防御设备生成安全Cookie以及关于原始URL的加密URL。其中,安全Cookie用于从加密URL解密出原始URL,例如安全Cookie中包含密钥的部分或者全部信息,使得安全防御设备能够根据安全Cookie中包含的信息从加密URL中解密出原始URL。原始URL即为需要保护的网络地址,可以由后台设备提供该原始URL的具体内容(即网络页面),例如应用的帐号登录页面等。
数据收发装置620用于获取来自访问设备的可信请求,其中,所述可信请求包括原始URL,以及向访问设备发送安全Cookie和加密URL,以使访问设备获取加密URL,并植入用于在访问加密URL时携带的安全Cookie。通过上述方式,可以在访问设备中设置好用来实现正常访问的安全Cookie,并使访问设备得到加密URL。当访问设备下次需要访问原始URL时,可以发送访问加密URL的请求,并且携带安全Cookie,安全防御设备收到访问设备发送的访问加密URL的请求时,若请求中携带有安全Cookie则可以解析出原始的URL地址,从而向后台设备请求相应的网络页面,并向访问设备返回网络页面,实现相关网络地址的访问。
在本申请的一种实施例中,上述安全防御设备对特定的网络地址进行保护的处理,可以由特定的触发条件触发。实际场景中,触发条件可以是用户主动在安全防御设备上进行设置,例如用户在安全防御设备提供的交互界面中对特定的原始URL设置加密URL和安全Cookie。此外,触发条件也可以是用户通过访问设备从可信网络首次访问原始URL。其中,可信网络是指安全的网络环境,可以根据实际的业务需求来设定,例如若后台设备中部署的是公司内部的软件系统,仅向公司内部员工开放,可以认为公司内网为可信网络。在此种情况下,访问设备通过公司内网访问原始URL的请求,可以认为是可信请求。
由此,在本申请的一种实施例中,安全防御设备的数据收发装置620可以在从访问设备获取可信请求之后,向后台设备转发可信请求,并获取从后台设备获取原始URL对应的网络页面。当安全防御设备从后台设备获取到原始URL对应的网络页面之后,再进行配置安全Cookie和加密URL处理(即生成安全Cookie和加密URL并向访问设备发送)。
由于可信请求是指来自于可信网络的访问请求,在实际场景中访问设备可以根据请求的来源IP地址来实现判断,首先根据实际的业务场景将一部分网段配置为可信网段,例如公司内网所属的网段等,若请求的来源IP地址属于可信网段,则将该请求确定为可行请求。由此,在上述处理过程中,安全防御设备从访问设备获取可信请求,可以包括:数据收发装置从访问设备获取请求,然后判断请求的来源IP地址,若来源IP地址属于可信网段,则确定请求为可信请求。反之,若来源IP地址部署于可信网段,则认为该请求不是可信请求,从而不会将其直接转发至后台设备获取相应的网络页面,并触发后续配置安全Cookie和加密URL的处理过程。
在本申请的一种实施例中,安全防御设备向访问设备发送安全Cookie和加密URL的实现方式可以采用发送重定向页面的方式,即安全防御设备的数据处理装置610可以先生成包含安全Cookie和加密URL的重定向页面,然后由数据收发装置620向访问设备发送重定向页面,以使访问设备在接收到重定向页面时,获取并访问加密URL,以及植入用于在访问加密URL时携带的安全Cookie。
其中,重定向页面可以是302重定向(302redirect)页面,即http状态码为302的跳转页面,重定向页面中关于安全Cookie的内容可以采用setcookie()函数,通过该函数可以在访问设备中设置需要的安全Cookie。在实际场景中,可以是将安全Cookie设置为HttpOnly,且永不过期。HttpOnly表示此cookie必须用于http或https协议传输,可以提高安全性。
在实际场景中,例如访问设备通过浏览器登录后台设备中运行的后台应用系统时,需要输入登录的用户名和密码,该用户名和密码即是用于识别用户身份的用户信息,因此在访问原始URL的可信请求中也会携带这些用户信息。由此,数据处理装置在生成安全Cookie和加密URL时,可以基于此类与用户身份相关的用户信息,使得最终生成的安全Cookie和加密URL与用户信息相关,使得其它用户无法使用安全Cookie和加密URL,从而进一步提高安全性。
例如,在生成SecCookie(安全Cookie)时,可以基于User(用户名)、R1(随机数1)、Time(安全防御设备的系统时间戳)以及SIG(安全Cookie签名生成,可以表示为SecCookie=USER‖R1‖Time‖SIG。其中,SIG可以基于前述的User、R1和Time通过预先分配给安全防御设备的系统密钥SysKey进行加密生成,即SIG=HMac(USER||R1||TIME,SysKey)。HMac()是指加密算法,可以根据实际的业务需求选择任意可用的加密算法,例如HMacSHA1、HMacSHA256等。同理,在生成加密URL时,也可以包含用户信息(例如用户名User),使其与用户相关。
当访问设备在本地创建了安全Cookie之后,可以发送访问加密URL的请求,来访问原始URL对应的网络页面。例如,当安全Cookie和加密URL是通过重定向页面的方式被访问设备所获取,访问设备的浏览器在打开该重定向页面时将会创建安全Cookie,并自动发送访问加密URL的请求,同时在访问的请求中携带安全Cookie。或者,访问设备在获取到加密URL后,可以将该加密URL保存在本地,作为访问原始URL的入口,并在本地创建相应的安全Cookie。在需要访问原始URL时,通过浏览器打开加密URL即可发送访问加密URL的请求,同时携带安全Cookie。
无论何种情况,访问加密URL的请求会被安全防御设备获取,并基于该请求携带的安全Cookie进行相应的处理,使得访问设备最终能够获取原始URL对应的网络页面。在本申请的一种实施例中,实现上述处理过程时,安全防御设备还可实现如图3所示的处理:
步骤S203,安全防御设备的数据收发装置620从访问设备获取访问加密URL的请求,其中,请求中携带有安全Cookie。
步骤S204,安全防御设备的数据处理装置610根据安全Cookie,从加密URL解密出网络页面的原始URL。
在本申请的一种实施例中,加密URL可以由两部分组成,包括密钥密文和加密URL内容。其中,密钥密文用于解密出加密密钥,来对加密URL内容进行进一步解密,加密URL内容即为加密后的原始URL,通过加密密钥进行解密,可以获取到使用实际需要访问的原始URL。而安全Cookie中的部分或者全部的内容,可以用来从加密URL的密钥密文中解密出加密密钥,例如根据安全Cookie中的签名(SIG),结合预先分配给安全防御设备的系统密钥(SysKey)作为解密的密钥,从加密URL的密钥密文中解密出加密密钥。由此,本步骤在执行时,安全防御设备的数据处理装置610先根据安全Cookie,从加密URL的密钥密文中解密出加密密钥;然后根据加密密钥,从加密URL的加密URL内容中解密出网络页面的原始URL。
步骤S205,安全防御设备的数据收发装置620向后台设备发送访问原始URL的请求,并从后台设备获取原始URL对应的网络页面。对于后台设备,访问原始URL的请求未正常的访问请求,因此后台设备能够据此进行响应处理,返回处理结果,即向安全防御设备返回原始URL对应的网络页面。
步骤S206,安全防御设备的数据处理装置610将网络页面中包含的原始URL替换为加密URL,并由数据收发装置620向访问设备返回替换后的网络页面。对于访问设备,实际是通过访问加密URL来替代原始URL,因此安全防御设备向访问设备所返回的处理结果中,需要将将网络页面中包含的原始URL替换为加密URL。
整个访问过程对于用户是透明的,访问设备仅需要保存用户独有的加密URL(即网络地址的新入口),并创建相应的安全Cookie即可,不需要其它改变;而对于后台设备,其接收到的访问请求是经过安全防御设备处理后的正常请求(访问原始URL的请求),不需要进行任何改变,因此本申请提供的方案尤其适用于缺少后续维护的遗留系统。
此外,访问设备的数据处理装置610在根据安全Cookie,由加密URL获取网络页面的原始URL之前,还可以验证安全Cookie和加密URL的有效性,确认安全Cookie和加密URL有效。有效性的验证可以包括对安全Cookie、加密URL的格式、内容等方面进行验证,例如格式是否符合预设要求,内容是否与本次请求中的其它信息(如用户信息等)匹配。若有效性验证未通过,则无法进行执行后续的处理步骤,使得访问设备获取不到正确的网络页面,由此进一步提高了安全性。
综上,本申请实施例提供的方案中,安全防御设备能够获取来自访问设备的、包含原始URL的可信请求,进而生成安全Cookie以及关于原始URL的加密URL,然后向访问设备发送安全Cookie和加密URL,使得访问设备能够获取到加密URL,并植入用于在访问加密URL时携带的所述安全Cookie,由此访问设备在访问加密URL时会携带安全Cookie。安全防御设备收到访问设备发送的访问加密URL的请求时,若请求中携带有安全Cookie则可以解析出原始的URL地址,从而向后台设备请求相应的网络页面,并向访问设备返回网络页面,实现相关网络地址的访问。
由于对后台设备的访问入口(即原始URL)进行了加密(通过加密URL才能访问),使得黑客通过目录猜测获取后台设备的访问入口的难度大大增加,并且加密URL需要通过访问请求中所携带的安全Cookie才可以解密出正确的原始URL,即使加密URL泄露,若无安全Cookie也无法访问原始URL,由此避免了各类攻击扫描,安全性较高。
另外,本申请的一部分可被应用为计算机程序产品,例如计算机程序指令,当其被计算机执行时,通过该计算机的操作,可以调用或提供根据本申请的方法和/或技术方案。而调用本申请的方法的程序指令,可能被存储在固定的或可移动的记录介质中,和/或通过广播或其他信号承载媒体中的数据流而被传输,和/或被存储在根据程序指令运行的计算机设备的工作存储器中。在此,根据本申请的一个实施例包括一个如图7所示安全防御设备,该设备包括用于存储计算机程序指令的存储器710和用于执行程序指令的处理器720,其中,当该计算机程序指令被该处理器执行时,触发该设备执行基于前述多个实施例中的方法和/或技术方案。
需要注意的是,本申请可在软件和/或软件与硬件的组合体中被实施,例如,可采用专用集成电路(ASIC)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中,本申请的软件程序可以通过处理器执行以实现上文步骤或功能。同样地,本申请的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中,例如,RAM存储器,磁或光驱动器或软磁盘及类似设备。另外,本申请的一些步骤或功能可采用硬件来实现,例如,作为与处理器配合从而执行各个步骤或功能的电路。
对于本领域技术人员而言,显然本申请不限于上述示范性实施例的细节,而且在不背离本申请的精神或基本特征的情况下,能够以其他的具体形式实现本申请。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本申请的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本申请内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一,第二等词语用来表示名称,而并不表示任何特定的顺序。
Claims (17)
1.一种在安全防御方法,包括:
获取来自访问设备的可信请求,其中,所述可信请求包括原始URL;
生成安全Cookie以及关于所述原始URL的加密URL,其中,所述加密URL包括密钥密文和加密URL内容,所述安全Cookie用于从所述密钥密文中解密出加密密钥,所述加密密钥用于对加密URL内容进行进一步解密,获取到原始URL;
向访问设备发送所述安全Cookie和加密URL,以使所述访问设备获取所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie。
2.根据权利要求1所述的方法,其中,向访问设备发送所述安全Cookie和加密URL,以使所述访问设备获取所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie,包括:
生成包含安全Cookie和加密URL的重定向页面;
向访问设备发送所述重定向页面,以使所述访问设备在接收到所述重定向页面时,获取并访问加密URL,以及植入用于在访问加密URL时携带的所述安全Cookie。
3.根据权利要求1所述的方法,其中,获取来自访问设备的可信请求之后,还包括:
向后台设备转发所述可信请求,并获取从所述后台设备获取原始URL对应的网络页面。
4.根据权利要求1所述的方法,其中,从访问设备获取可信请求,包括:
从访问设备获取请求;
判断所述请求的来源IP地址,若所述来源IP地址属于可信网段,则确定所述请求为可信请求。
5.根据权利要求1所述的方法,其中,生成安全Cookie以及关于所述原始URL的加密URL,包括:
根据所述可信请求中的用户信息,生成与所述用户信息相关的安全Cookie和加密URL。
6.根据权利要求1至5中任一项所述的方法,其中,该方法还包括:
从访问设备获取访问加密URL的请求,其中,所述请求中携带有安全Cookie;
根据所述安全Cookie,从所述加密URL解密出网络页面的原始URL;
向后台设备发送访问原始URL的请求,并从所述后台设备获取所述原始URL对应的网络页面;
将所述网络页面中包含的原始URL替换为加密URL,并向所述访问设备返回替换后的网络页面。
7.根据权利要求6所述的方法,其中,在根据所述安全Cookie,由所述加密URL获取网络页面的原始URL之前,还包括:
验证所述安全Cookie和加密URL的有效性,确认所述安全Cookie和加密URL有效。
8.根据权利要求6所述的方法,其中,所述加密URL包括密钥密文和加密URL内容;
根据所述安全Cookie,从所述加密URL中解密出网络页面的原始URL,包括:
根据所述安全Cookie,从所述加密URL的密钥密文中解密出加密密钥;
根据所述加密密钥,从所述加密URL的加密URL内容中解密出网络页面的原始URL。
9.一种安全防御设备,包括:
数据收发装置,用于获取来自访问设备的可信请求,其中,所述可信请求包括原始URL,以及向访问设备发送安全Cookie和加密URL,以使所述访问设备获取所述加密URL,并植入用于在访问加密URL时携带的所述安全Cookie;
数据处理装置,用于生成安全Cookie以及关于所述原始URL的加密URL,其中,所述加密URL包括密钥密文和加密URL内容,所述安全Cookie用于从所述密钥密文中解密出加密密钥,所述加密密钥用于对加密URL内容进行进一步解密,获取到原始URL。
10.根据权利要求9所述的设备,其中,所述数据处理装置,还用于生成包含安全Cookie和加密URL的重定向页面;
所述数据收发装置,用于向访问设备发送所述重定向页面,以使所述访问设备在接收到所述重定向页面时,获取并访问加密URL,以及植入用于在访问加密URL时携带的所述安全Cookie。
11.根据权利要求9所述的设备,其中,所述数据收发装置,还用于获取来自访问设备的可信请求之后,向后台设备转发所述可信请求,并获取从所述后台设备获取原始URL对应的网络页面。
12.根据权利要求9所述的设备,其中,所述数据收发装置,用于从访问设备获取请求,判断所述请求的来源IP地址,若所述来源IP地址属于可信网段,则确定所述请求为可信请求。
13.根据权利要求9所述的设备,其中,所述数据处理装置,用于根据所述可信请求中的用户信息,生成与所述用户信息相关的安全Cookie和加密URL。
14.根据权利要求9至13中任一项所述的设备,其中,所述数据收发装置,还用于从访问设备获取访问加密URL的请求,其中,所述请求中携带有安全Cookie,向后台设备发送访问原始URL的请求,从所述后台设备获取所述原始URL对应的网络页面,以及向所述访问设备返回替换后的网络页面;
所述数据处理装置,还用于根据所述安全Cookie,从所述加密URL解密出网络页面的原始URL,将所述网络页面中包含的原始URL替换为加密URL。
15.根据权利要求14所述的设备,其中,所述数据处理装置,还用于在根据所述安全Cookie,由所述加密URL获取网络页面的原始URL之前,验证所述安全Cookie和加密URL的有效性,确认所述安全Cookie和加密URL有效。
16.根据权利要求15所述的设备,其中,所述加密URL包括密钥密文和加密URL内容;
所述数据处理装置,用于根据所述安全Cookie,从所述加密URL的密钥密文中解密出加密密钥,以及根据所述加密密钥,从所述加密URL的加密URL内容中解密出网络页面的原始URL。
17.一种安全防御设备,包括:
处理器;以及
被安排成存储计算机可执行指令的存储器,所述可执行指令在被执行时使所述处理器实现如权利要求1至8中任一项所述的安全防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811012453.0A CN110875903B (zh) | 2018-08-31 | 2018-08-31 | 一种安全防御方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811012453.0A CN110875903B (zh) | 2018-08-31 | 2018-08-31 | 一种安全防御方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110875903A CN110875903A (zh) | 2020-03-10 |
| CN110875903B true CN110875903B (zh) | 2022-10-14 |
Family
ID=69715458
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811012453.0A Active CN110875903B (zh) | 2018-08-31 | 2018-08-31 | 一种安全防御方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110875903B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111815723B (zh) * | 2020-07-08 | 2024-04-12 | 北京华云安信息技术有限公司 | 数据加密方法和装置 |
| CN114546316A (zh) * | 2022-02-18 | 2022-05-27 | 阿里巴巴(中国)有限公司 | 基于互动白板的信息处理方法、装置、设备和存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005122764A (ja) * | 2004-12-06 | 2005-05-12 | Dream Arts:Kk | クライアントアクセス管理方法および装置 |
| WO2012051452A2 (en) * | 2010-10-13 | 2012-04-19 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7562222B2 (en) * | 2002-05-10 | 2009-07-14 | Rsa Security Inc. | System and method for authenticating entities to users |
| CN103414562B (zh) * | 2013-08-02 | 2017-07-11 | 广州市动景计算机科技有限公司 | 基于url指纹技术的用户权限控制方法及装置 |
| CN103944900B (zh) * | 2014-04-18 | 2017-11-24 | 中国科学院计算技术研究所 | 一种基于加密的跨站请求攻击防范方法及其装置 |
| CN104009989B (zh) * | 2014-05-22 | 2018-02-16 | Tcl集团股份有限公司 | 一种媒体文件的防盗链方法、系统及服务器 |
| CN104378363B (zh) * | 2014-10-30 | 2017-09-15 | 中国科学院信息工程研究所 | 一种动态应用地址转换方法及其网关系统 |
| CN104735066B (zh) * | 2015-03-18 | 2018-10-16 | 百度在线网络技术(北京)有限公司 | 一种面向网页应用的单点登录方法、装置和系统 |
| CN106657044B (zh) * | 2016-12-12 | 2019-09-06 | 杭州电子科技大学 | 一种用于提高网站系统安全防御的网页地址跳变方法 |
| CN108259456B (zh) * | 2017-09-13 | 2020-11-17 | 平安科技(深圳)有限公司 | 实现用户免登录的方法、装置、设备、计算机存储介质 |
-
2018
- 2018-08-31 CN CN201811012453.0A patent/CN110875903B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005122764A (ja) * | 2004-12-06 | 2005-05-12 | Dream Arts:Kk | クライアントアクセス管理方法および装置 |
| WO2012051452A2 (en) * | 2010-10-13 | 2012-04-19 | Akamai Technologies, Inc. | Protecting websites and website users by obscuring urls |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110875903A (zh) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11531732B2 (en) | Systems and methods for providing identity assurance for decentralized applications | |
| JP7426475B2 (ja) | 分散化されたデータ認証 | |
| US10574698B1 (en) | Configuration and deployment of decoy content over a network | |
| US20230224167A1 (en) | Access control method based on zero-trust security, device, and storage medium | |
| US9807077B2 (en) | Systems and methods for containerized data security | |
| Fett et al. | Spresso: A secure, privacy-respecting single sign-on system for the web | |
| KR102219277B1 (ko) | 인증된 컨텐츠 전달 제어를 위한 시스템 및 방법 | |
| US20110283110A1 (en) | Secure Communications | |
| US11184312B1 (en) | Email alias generation | |
| Paladi et al. | Domain based storage protection with secure access control for the cloud | |
| EP2572489B1 (en) | System and method for protecting access to authentication systems | |
| JP7309880B2 (ja) | リダイレクションを含むタイムスタンプベースの認証 | |
| Kim et al. | A security analysis of blockchain-based did services | |
| JP2022534677A (ja) | ブロックチェーンを使用するオンラインアプリケーションおよびウェブページの保護 | |
| CN110875903B (zh) | 一种安全防御方法及设备 | |
| Knockel et al. | Baidu’s and don’ts: privacy and security issues in Baidu browser | |
| Kuzminykh et al. | Mechanisms of ensuring security in Keystone service | |
| Sree et al. | Secure logging scheme for forensic analysis in cloud | |
| Uddholm | Anonymous Javascript Cryptography and CoverTraffic in Whistleblowing Applications | |
| Choo et al. | Cloud authentication and forensics | |
| Dixit | Security Issues in Web Services | |
| Baker | Secure Web Application Development | |
| AU2015258292A1 (en) | System and method for protecting access to authentication systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40025334 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |