CN111262813A - 应用服务的提供方法、装置、设备及介质 - Google Patents
应用服务的提供方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN111262813A CN111262813A CN201811454208.5A CN201811454208A CN111262813A CN 111262813 A CN111262813 A CN 111262813A CN 201811454208 A CN201811454208 A CN 201811454208A CN 111262813 A CN111262813 A CN 111262813A
- Authority
- CN
- China
- Prior art keywords
- access terminal
- terminal
- service
- application service
- data packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种应用服务的提供方法、装置、设备及介质,所述的方法包括:接收来自访问终端的应用服务数据包;根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。根据本发明实施例,能够识别访问终端的身份,以限制访问终端的访问权限,能够增大恶意访问终端攻击或是利用服务终端的难度,提升服务终端的安全性能。
Description
技术领域
本发明属于计算机领域,尤其涉及一种应用服务的提供方法、装置、设备及介质。
背景技术
在现有的因特网中,端口扮演着一个十分重要的角色,特别是一些为典型应用分配的知名端口,例如:超文本传输协议(Hyper Text Transfer Protocol,HTTP)使用的80端口。此外,当服务终端为特定应用提供服务时,服务终端将开放与该应用对应的端口,监听与该应用相关的请求,并提供相应的应用服务。例如:网页服务器将开放80端口,监听HTTP请求并提供HTTP服务。不仅如此,一旦某台服务终端开放某个特定端口,即是将该端口开放给整个因特网的所有访问终端。
因此,因特网中的任意访问终端都能将数据包发送至端口开放的服务终端。现有技术的服务访问方案主要存在以下两个方面的问题:
(1)恶意访问终端能够通过端口扫描技术确认被扫描端口的开放状态,并找到因特网中的脆弱服务终端,进而非法占用脆弱服务终端的资源,或是将脆弱服务终端作为工具以实施后续的网络攻击。
(2)若某个端口开放,所有发往该端口的数据包均将会从网络层转发至运输层乃至应用层,而不论该数据包的来源是否是被信任的访问终端,这使得恶意访问终端更加容易消耗其它服务终端的资源,实现对其它服务终端的攻击。
发明内容
本发明实施例提供一种应用服务的提供方法、装置、设备及介质,能够解决任意访问终端都能将数据包发送至端口开放的服务终端,导致服务终端受到网络攻击的技术问题。
一方面,本发明实施例提供一种应用服务的提供方法,包括:
接收来自访问终端的应用服务数据包;
根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;
若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;
若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
另一方面,本发明实施例提供了一种应用服务的提供装置,包括:
数据包接收模块,用于接收来自访问终端的应用服务数据包;
终端判断模块,用于根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;
第一服务提供模块,用于当所述访问终端是永久信任的终端时,根据所述应用服务数据包为所述访问终端提供对应的服务;
服务确定模块,用于当所述访问终端不是永久信任的终端时,根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
再一方面,本发明实施例提供了一种提供应用服务的设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如上所述的应用服务的提供方法。
再一方面,本发明实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上所述的应用服务的提供方法。
本发明实施例的应用服务的提供方法、装置、设备及介质,能够根据访问终端的身份以及自身的资源使用量,确定是否为访问终端提供所需的应用服务。与现有因特网中采用的不区分访问终端身份的端口开放方法相比,本发明实施例能够增大恶意访问终端攻击或是利用服务终端的难度,提升服务终端的安全性能。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对本发明实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了本发明一个实施例提供的应用服务的提供方法的流程示意图;
图2示出了本发明一个实施例提供的服务终端处理连接请求数据包的流程示意图;
图3示出了本发明一个实施例提供的服务终端处理应用服务数据包的流程示意图;
图4示出了本发明一个实施例提供的应用服务的提供装置的结构示意图;
图5示出了本发明实施例提供的提供应用服务的设备的硬件结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例,为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本发明进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本发明,并不被配置为限定本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
为了解决现有技术问题,本发明实施例提供了一种应用服务的提供方法、装置、设备及介质。下面首先对本发明实施例所提供的应用服务的提供方法进行介绍。
图1示出了本发明一个实施例提供的应用服务的提供方法的流程示意图。如图1所示,该方法包括:
S101,接收来自访问终端的应用服务数据包。
S102,根据访问终端的标识,判断访问终端是否为永久信任的终端。
作为一个实施例,访问终端的标识包括:访问终端的互联网协议(InternetProtocol,IP)地址;根据访问终端的IP地址是否在预设的IP地址列表中,判断访问终端是否为永久信任的终端。
需要说明的是,预先创建一个IP地址列表中,在该IP地址列表中存储永久信任的终端的IP地址。
S103,若访问终端是永久信任的终端,则根据应用服务数据包为访问终端提供对应的服务。
S104,若访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为访问终端分配用于访问应用服务的端口,确定是否根据应用服务数据包为访问终端提供服务。
作为一个实施例,当前的服务资源使用量包括以下之一或多种的组合:带宽使用量、内存使用量、中央处理器(Central Processing Unit,CPU)使用量。
需要说明的是,上述应用服务的提供方法的执行主体可以是服务终端。
根据本发明实施例的应用服务的提供方法,能够根据访问终端的身份以及自身的资源使用量,确定是否为访问终端提供所需的应用服务。与现有因特网中采用的不区分访问终端身份的端口开放方法相比,本发明实施例对其永久信任的访问终端无条件地开放端口。如此,非永久信任的访问终端无法通过常规的端口扫描技术确认被扫描端口的真实开放状态,能够增大恶意访问终端攻击或是利用服务终端的难度,提升服务终端的安全性能。
在IP地址列表中记录有永久信任的全部访问终端的IP地址。当访问终端的IP地址是互联网协议的第四版(Internet Protocol Version 4,IPv4)地址时,单个访问终端的IP地址占用32比特的存储空间;当访问终端的IP地址是互联网协议的第六版(InternetProtocol Version 6,IPv6)地址时,单个访问终端的IP地址占用64比特的存储空间。因此,若是为永久信任的每个访问终端均分配32比特或是128比特的存储空间,当永久信任的访问终端数目过多时,需要耗费大量的存储空间记录IP地址列表,且服务终端需要耗费大量的计算资源与时间判断访问终端的IP地址是否存在于上述的IP地址列表中。
基于以上问题,在本发明的一个实施例中,应用服务的提供方法还包括:
采用布隆过滤器Bloom Filter存储预设的IP地址列表。
布隆过滤器的优点是空间效率和查询时间都比一般的算法要好的多,因此,采用布隆过滤器Bloom Filter存储预设的IP地址列表,可以节省存储空间和快速地查询出访问终端的IP地址是否在预设的IP地址列表中。
在本发明的一个实施例中,当服务资源使用量小于对应的预定阈值,且已为访问终端分配用于访问应用服务的端口时,根据应用服务数据包为访问终端提供对应的服务;当服务资源使用量大于对应的预定阈值,或者,没有为访问终端分配用于访问应用服务的端口时,丢弃应用服务数据包。
根据本发明实施例,当服务资源使用量小于对应的预定阈值,说明有充足的资源供访问终端访问。当已为访问终端分配用于访问应用服务的端口,说明该访问终端是暂时信任的访问终端,可以为该访问终端提供对应的服务。若服务资源使用量大于或等于对应的预定阈值,说明访问服务的终端比较多,为了优先保证永久信任的终端的正常访问,丢弃来自非永久信任终端的应用服务数据包,避免过多地占用服务资源。
在本发明的一个实施例中,应用服务的提供方法还包括:
接收来自访问终端的连接请求数据包;若访问终端是永久信任的终端,则根据连接请求数据包,向访问终端返回允许连接的数据包;若访问终端不是永久信任的终端,则在当前的服务资源使用量小于对应的预定阈值时,向访问终端返回允许连接的数据包,并为访问终端分配用于访问应用服务的端口。
根据本发明实施例,在自身的资源使用量值未达到预定阈值时,为其非永久信任的访问终端动态地分配用于访问服务终端的应用服务的模拟端口号。分配了模拟端口号的访问终端可以看作是暂时信任的访问终端,为暂时信任的访问终端提供所需的应用服务。如此,不信任的访问终端无法将数据包传递至服务终端的应用层,进而无法获取服务终端提供的应用服务,无法过多地占用该服务终端的资源,难以实现对该服务终端的攻击。
在本发明的一个实施例中,应用服务的提供方法还包括:
根据访问终端所要访问的服务终端的IP地址、访问终端的IP地址、服务终端自身的密钥和服务终端对应的应用服务对外的端口,确定为访问终端分配的用于访问应用服务的端口。
其中,使用公式1计算分配的用于访问应用服务的端口:
P=hash(SIP,CIP,K,PT)mod65535 公式1
SIP为服务终端的IP地址、CIP为访问终端的IP地址,K为服务终端自身的密钥,PT为所要访问的应用服务的真实端口号。
hash()表示哈希函数,hash(SIP,CIP,K,PT)mod65535表示:当哈希函数输出的数值大于65535时,对哈希函数输出的数值除以65535的结果取模。比如,若哈希函数输出1000,由于1000小于65535,因此hash(SIP,CIP,K,PT)mod65535=1000。若哈希函数输出90000,由于90000大于65535,因此hash(SIP,CIP,K,PT)mod65535的结果为:90000除以65535得到的余数。
图2示出了本发明一个实施例提供的服务终端处理连接请求数据包的流程示意图。如图2所示,服务终端处理连接请求数据包的过程包括:
S201,服务终端的网络层接收来自访问终端的连接请求数据包。
S202,判断访问终端的身份类别。若访问终端的身份类别是永久信任的访问终端,执行步骤S202-S205;若访问终端的身份类别是非永久信任的访问终端,执行步骤S206。
S203,服务终端的网络层将接收到的连接请求数据包转发至该服务终端的运输层。
S204,服务终端的运输层接受访问终端的连接请求。
S205,服务终端返回一个连接允许数据包至访问终端。此时,服务终端将端口无条件地开放给了它永久信任的访问终端。
S206,服务终端判断当前自身的资源使用量是否达到预设的最大阈值,比如判断服务终端的宽带使用量值、CPU使用量值和内存使用量值是否均达到对应的最大阈值,若是,执行步骤S207;否则,执行步骤S208-S210。
S207,服务终端丢弃访问终端发送的连接请求数据包。即服务终端的资源使用量值达到预设的最大阈值,不向非永久信任的访问终端开放任何端口。
S208,服务终端的网络层将接收到的连接请求数据包转发至服务终端的运输层。
S209,服务终端的运输层接受访问终端的连接请求。
S210,服务终端为访问终端动态地分配一个用于获取后续应用服务的模拟端口号,并返回一个携带该模拟端口号的连接允许数据包至访问终端。此时,服务终端的资源使用量值未达到预设的最大阈值,有条件地向其非永久信任的访问终端开放特定的端口。
图3示出了本发明一个实施例提供的服务终端处理应用服务数据包的流程示意图。如图3所示,服务终端处理应用服务数据包的过程包括:
S301,服务终端的网络层接收来自访问终端的应用服务数据包。
S302,判断访问终端的身份类别,若访问终端的身份类别是永久信任的访问终端,执行步骤S303和S304;若访问终端的身份类别是非永久信任的访问终端,执行步骤S305。
S303,服务终端的网络层将接收到的应用服务数据包转发至该服务终端的运输层,由该服务终端的运输层将应用服务数据包转发至该服务终端的应用层。
S304,服务终端的应用层将为访问终端提供其所需的应用服务。此时,服务终端将端口无条件的开放给了其永久信任的访问终端,并为该访问终端提供所需的应用服务。
S305,服务终端判断当前自身的资源使用量值是否达到预设的最大阈值。若是,执行步骤S306;否则,执行步骤S307。
S306,服务终端丢弃访问终端发送的应用服务数据包。此时,服务终端的资源使用量值达到预设的最大阈值,不向非永久信任的访问终端开放任何端口,也不为其提供应用服务。
S307,服务终端判断访问终端的身份子类别,若访问终端的身份子类别是暂时信任的访问终端,执行步骤S308和S309;若访问终端的身份子类别是不信任的访问终端,执行步骤S310。
S308,服务终端的网络层将接收到的应用服务数据包转发至该服务终端的运输层,由该服务终端的运输层将应用服务数据包转发至该服务终端的应用层。
S309,服务终端的应用层将为访问终端提供其所需的应用服务。此时,服务终端的资源使用量值未达到预设的最大阈值,有条件地为其暂时信任的访问终端提供所需的应用服务
S310,服务终端丢弃访问终端发送的应用服务数据包。此时,服务终端的资源使用量值虽未达到预设的最大阈值,但仍拒绝为其不信任的访问终端提供所需的应用服务。
从图2和图3可以看出,将访问终端的身份分为两大类别:永久信任的访问终端与非永久信任的访问终端。判断访问终端的身份类别的依据,是该访问终端的IP地址是否存在于预定的IP地址列表中。若是,访问终端的身份类别为永久信任的访问终端;否则,访问终端的身份类别为非永久信任的访问终端。此外,非永久信任的访问终端还将细分为两个子类别:暂时信任的访问终端与不信任的访问终端。判断访问终端的身份子类别的依据,是该访问终端所发送应用服务数据包中携带的访问端口号,是否为接收该应用服务数据包的服务终端为其分配的模拟端口号。若是,访问终端的身份子类别为暂时信任的访问终端;否则,访问终端的身份子类别是不信任的访问终端。
(一)本发明实施例采用了与现有因特网不区分访问终端身份的不同方案,服务终端仅对其永久信任的访问终端无条件地开放端口。如此,非永久信任的访问终端无法通过常规的端口扫描技术确认被扫描端口的真实开放状态,被扫描服务终端的安全性将得到一定的保障。
(二)本发明实施例提及的服务终端仅在自身的资源使用量值未达到预设的最大阈值时,为其非永久信任的访问终端动态地分配用于获取该服务终端的应用服务的模拟端口号,且仅为其暂时信任的访问终端提供所需的应用服务。如此,不信任的访问终端无法将数据包传递至该服务终端的应用层,进而无法获取该服务终端提供的应用服务,无法过多地占用该服务终端的资源,难以实现对该服务终端的攻击。
图4示出了本发明一个实施例提供的应用服务的提供装置的结构示意图。如图4所示,应用服务的提供装置400包括:
服务数据包接收模块401,用于接收来自访问终端的应用服务数据包。
终端判断模块402,用于根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端。
第一服务提供模块403,用于当所述访问终端是永久信任的终端时,根据所述应用服务数据包为所述访问终端提供对应的服务。
服务确定模块404,用于当所述访问终端不是永久信任的终端时,根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
在本发明的一个实施例中,所述访问终端的标识包括:所述访问终端的IP地址。
终端判断模块402用于,根据所述访问终端的IP地址是否在预设的IP地址列表中,判断所述访问终端是否为永久信任的终端。
在本发明的一个实施例中,应用服务的提供装置400还包括:
列表存储模块,用于采用布隆过滤器Bloom Filter存储所述预设的IP地址列表。
在本发明的一个实施例中,当所述服务资源使用量小于对应的预定阈值,且已为所述访问终端分配用于访问应用服务的端口时,根据所述应用服务数据包为所述访问终端提供对应的服务;当所述服务资源使用量大于对应的预定阈值,或者,没有为所述访问终端分配用于访问应用服务的端口时,丢弃所述应用服务数据包。
在本发明的一个实施例中,应用服务的提供装置400还包括:
请求数据包接收模块,用于接收来自所述访问终端的连接请求数据包。
第一响应模块,用于当所述访问终端是永久信任的终端时,根据所述连接请求数据包,向所述访问终端返回允许连接的数据包。
第二响应模块,用于当所述访问终端不是永久信任的终端,当前的服务资源使用量小于对应的预定阈值时,向所述访问终端返回允许连接的数据包,并为所述访问终端分配用于访问应用服务的端口。
在本发明的一个实施例中,应用服务的提供装置400还包括:
端口确定模块,用于根据所述访问终端所要访问的服务终端的IP地址、所述访问终端的IP地址、所述服务终端自身的密钥和所述服务终端对应的应用服务对外的端口,确定为所述访问终端分配的用于访问应用服务的端口。
在本发明的一个实施例中,所述当前的服务资源使用量包括以下之一或多种的组合:带宽使用量、内存使用量、CPU使用量。
图5示出了本发明实施例提供的提供应用服务的设备的硬件结构示意图。
比如,提供应用服务的设备是上述中的服务终端。提供应用服务的设备可以包括处理器501以及存储有计算机程序指令的存储器502。
具体地,上述处理器501可以包括中央处理器(CPU),或者特定集成电路(Application Specific Integrated Circuit,ASIC),或者可以被配置成实施本发明实施例的一个或多个集成电路。
存储器502可以包括用于数据或指令的大容量存储器。举例来说而非限制,存储器502可包括硬盘驱动器(Hard Disk Drive,HDD)、软盘驱动器、闪存、光盘、磁光盘、磁带或通用串行总线(Universal Serial Bus,USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下,存储器502可包括可移除或不可移除(或固定)的介质。在合适的情况下,存储器502可在综合网关容灾设备的内部或外部。在特定实施例中,存储器502是非易失性固态存储器。在特定实施例中,存储器502包括只读存储器(ROM)。在合适的情况下,该ROM可以是掩模编程的ROM、可编程ROM(PROM)、可擦除PROM(EPROM)、电可擦除PROM(EEPROM)、电可改写ROM(EAROM)或闪存或者两个或更多个以上这些的组合。
处理器501通过读取并执行存储器502中存储的计算机程序指令,以实现上述实施例中的任意一种应用服务的提供方法。
在一个示例中,提供应用服务的设备还可包括通信接口503和总线510。其中,如图5所示,处理器501、存储器502、通信接口503通过总线510连接并完成相互间的通信。
通信接口503,主要用于实现本发明实施例中各模块、装置、单元和/或设备之间的通信。
总线510包括硬件、软件或两者,将提供应用服务的设备的部件彼此耦接在一起。举例来说而非限制,总线可包括加速图形端口(AGP)或其他图形总线、增强工业标准架构(EISA)总线、前端总线(FSB)、超传输(HT)互连、工业标准架构(ISA)总线、无限带宽互连、低引脚数(LPC)总线、存储器总线、微信道架构(MCA)总线、外围组件互连(PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(SATA)总线、视频电子标准协会局部(VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下,总线510可包括一个或多个总线。尽管本发明实施例描述和示出了特定的总线,但本发明考虑任何合适的总线或互连。
该提供应用服务的设备可以执行本发明实施例中的应用服务的提供方法,从而实现结合图1和图4描述的应用服务的提供方法和装置。
另外,结合上述实施例中的应用服务的提供方法,本发明实施例可提供一种计算机存储介质来实现。该计算机存储介质上存储有计算机程序指令;该计算机程序指令被处理器执行时实现上述实施例中的任意一种应用服务的提供方法。
需要明确的是,本发明并不局限于上文所描述并在图中示出的特定配置和处理。为了简明起见,这里省略了对已知方法的详细描述。在上述实施例中,描述和示出了若干具体的步骤作为示例。但是,本发明的方法过程并不限于所描述和示出的具体步骤,本领域的技术人员可以在领会本发明的精神后,作出各种改变、修改和添加,或者改变步骤之间的顺序。
以上所述的结构框图中所示的功能块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。机器可读介质的例子包括电子电路、半导体存储器设备、ROM、闪存、可擦除ROM(EROM)、软盘、CD-ROM、光盘、硬盘、光纤介质、射频(RF)链路,等等。代码段可以经由诸如因特网、内联网等的计算机网络被下载。
还需要说明的是,本发明中提及的示例性实施例,基于一系列的步骤或者装置描述一些方法或系统。但是,本发明不局限于上述步骤的顺序,也就是说,可以按照实施例中提及的顺序执行步骤,也可以不同于实施例中的顺序,或者若干步骤同时执行。
以上所述,仅为本发明的具体实施方式,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。应理解,本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。
Claims (10)
1.一种应用服务的提供方法,其特征在于,包括:
接收来自访问终端的应用服务数据包;
根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;
若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;
若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
2.根据权利要求1所述的方法,其特征在于,所述访问终端的标识包括:所述访问终端的IP地址;
根据所述访问终端的IP地址是否在预设的IP地址列表中,判断所述访问终端是否为永久信任的终端。
3.根据权利要求2所述的方法,其特征在于,还包括:
采用布隆过滤器Bloom Filter存储所述预设的IP地址列表。
4.根据权利要求1所述的方法,其特征在于,
当所述服务资源使用量小于对应的预定阈值,且已为所述访问终端分配用于访问应用服务的端口时,根据所述应用服务数据包为所述访问终端提供对应的服务;
当所述服务资源使用量大于对应的预定阈值,或者,没有为所述访问终端分配用于访问应用服务的端口时,丢弃所述应用服务数据包。
5.根据权利要求1所述的方法,其特征在于,还包括:
接收来自所述访问终端的连接请求数据包;
若所述访问终端是永久信任的终端,则根据所述连接请求数据包,向所述访问终端返回允许连接的数据包;
若所述访问终端不是永久信任的终端,则在当前的服务资源使用量小于对应的预定阈值时,向所述访问终端返回允许连接的数据包,并为所述访问终端分配用于访问应用服务的端口。
6.根据权利要求5所述的方法,其特征在于,还包括:
根据所述访问终端所要访问的服务终端的IP地址、所述访问终端的IP地址、所述服务终端自身的密钥和所述服务终端对应的应用服务对外的端口,确定为所述访问终端分配的用于访问应用服务的端口。
7.根据权利要求1所述的方法,其特征在于,所述当前的服务资源使用量包括以下之一或多种的组合:带宽使用量、内存使用量、CPU使用量。
8.一种应用服务的提供装置,其特征在于,包括:
数据包接收模块,用于接收来自访问终端的应用服务数据包;
终端判断模块,用于根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;
第一服务提供模块,用于当所述访问终端是永久信任的终端时,根据所述应用服务数据包为所述访问终端提供对应的服务;
服务确定模块,用于当所述访问终端不是永久信任的终端时,根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
9.一种提供应用服务的设备,其特征在于,所述设备包括:处理器以及存储有计算机程序指令的存储器;
所述处理器执行所述计算机程序指令时实现如权利要求1-7任意一项所述的应用服务的提供方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如权利要求1-7任意一项所述的应用服务的提供方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811454208.5A CN111262813A (zh) | 2018-11-30 | 2018-11-30 | 应用服务的提供方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811454208.5A CN111262813A (zh) | 2018-11-30 | 2018-11-30 | 应用服务的提供方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111262813A true CN111262813A (zh) | 2020-06-09 |
Family
ID=70953623
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811454208.5A Pending CN111262813A (zh) | 2018-11-30 | 2018-11-30 | 应用服务的提供方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111262813A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637244A (zh) * | 2021-01-08 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种针对常见与工控协议及端口的威胁检测方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
-
2018
- 2018-11-30 CN CN201811454208.5A patent/CN111262813A/zh active Pending
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108337222A (zh) * | 2017-11-28 | 2018-07-27 | 中国电子科技集团公司电子科学研究院 | 区分访问终端身份的端口开放方法、设备及可读存储介质 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112637244A (zh) * | 2021-01-08 | 2021-04-09 | 江苏天翼安全技术有限公司 | 一种针对常见与工控协议及端口的威胁检测方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| US11671402B2 (en) | Service resource scheduling method and apparatus | |
| US20080196085A1 (en) | Communication Control Apparatus | |
| JP2009534001A (ja) | 悪質な攻撃の検出システム及びそれに関連する使用方法 | |
| CN109167780B (zh) | 一种控制资源访问的方法、设备、系统和介质 | |
| CN111314328A (zh) | 网络攻击防护方法、装置、存储介质及电子设备 | |
| US10834131B2 (en) | Proactive transport layer security identity verification | |
| US7346057B2 (en) | Method and apparatus for inter-layer binding inspection to prevent spoofing | |
| CN113765846A (zh) | 一种网络异常行为智能检测与响应方法、装置及电子设备 | |
| JP2023508302A (ja) | ネットワークセキュリティ保護方法及び保護デバイス | |
| CN110022319B (zh) | 攻击数据的安全隔离方法、装置、计算机设备及存储设备 | |
| US10936674B2 (en) | Policy-based trusted peer-to-peer connections | |
| CN112383559B (zh) | 地址解析协议攻击的防护方法及装置 | |
| CN111262813A (zh) | 应用服务的提供方法、装置、设备及介质 | |
| CN108337222B (zh) | 区分访问终端身份的端口开放方法、设备及可读存储介质 | |
| US20110216770A1 (en) | Method and apparatus for routing network packets and related packet processing circuit | |
| JP2004260295A (ja) | 通信制御装置、通信制御方法、通信制御付サーバ装置、通信制御付サーバ装置による通信制御方法及び通信制御プログラム | |
| US10623421B2 (en) | Detecting IP address theft in data center networks | |
| CN113329035B (zh) | 一种攻击域名的检测方法、装置、电子设备及存储介质 | |
| CN114499969B (zh) | 一种通信报文的处理方法、装置、电子设备及存储介质 | |
| US11659394B1 (en) | Agile node isolation using packet level non-repudiation for mobile networks | |
| CN110035041B (zh) | 一种识别应用攻击源的方法和设备 | |
| US20110154468A1 (en) | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server | |
| CN110768983B (zh) | 一种报文处理方法和装置 | |
| US10182071B2 (en) | Probabilistic tracking of host characteristics |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200609 |