CN114157503A - 访问请求的认证方法及装置、api网关设备、存储介质 - Google Patents
访问请求的认证方法及装置、api网关设备、存储介质 Download PDFInfo
- Publication number
- CN114157503A CN114157503A CN202111492886.2A CN202111492886A CN114157503A CN 114157503 A CN114157503 A CN 114157503A CN 202111492886 A CN202111492886 A CN 202111492886A CN 114157503 A CN114157503 A CN 114157503A
- Authority
- CN
- China
- Prior art keywords
- information
- access request
- access
- determining whether
- legal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种访问请求的认证方法及装置、API网关设备、存储介质。访问请求的认证方法,包括:获取访问请求;确定所述访问请求中是否包括标签信息;所述标签信息用于对所述访问请求进行认证;若所述访问请求中包括标签信息,根据所述标签信息确定所述访问请求是否合法;若所述访问请求中不包括标签信息,确定所述访问请求不合法。该认证方法用以提高API网关的安全性。
Description
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种访问请求的认证方法及装置、API网关设备、存储介质。
背景技术
API网关(Application Programming Interface Gateway,应用程序编程接口网关)是一种企业统一对外提供服务入口的方式之一,主要负责均衡、缓存、路由、访问控制、服务代理、监控及日志等功能。
随着SaaS(software-as-a-service,软件即服务)的快速发展,API网关将企业内部服务统一管理、统一发布,将不同的服务整合到不同的应用中,衍生出新的服务,有效地提升技术创新能力,与此同时服务的安全防护也面临更大的挑战,如:内部数据泄露,攻击者通过内部网络进行攻击,病毒内网扩散等。
传统的API网关更多关注于代理能力,依赖于防火墙、IDS(Intrusion DetectionSystem,入侵检测系统)等被动防御机制,不会对访问者、终端、系统等进行全面的安全校验。因此,现有的API网关的安全性较低。
发明内容
本申请实施例的目的在于提供一种访问请求的认证方法及装置、API网关设备、存储介质,用以提高API网关的安全性。
第一方面,本申请实施例提供一种访问请求的认证方法,包括:获取访问请求;确定所述访问请求中是否包括标签信息;所述标签信息用于对所述访问请求进行认证;若所述访问请求中包括标签信息,根据所述标签信息确定所述访问请求是否合法;若所述访问请求中不包括标签信息,确定所述访问请求不合法。
在本申请实施例中,与现有技术相比,API网关不再依赖被动防御机制,主动地对访问请求进行安全认证;安全认证的基础为访问请求中包括的标签信息,该标签信息用于对访问请求进行认证,如果确定访问请求中包括标签信息,则进一步根据标签信息判定访问请求是否合法;如果确定访问请求中不包括标签信息,则直接判定访问请求不合法。一方面,对于访问对象来说,如果想要通过认证,则必须在访问请求中增加标签信息;另一方面,在有标签信息的前提下,利用标签信息对访问请求进行合法性验证。因此,该认证方法能够提高API网关的安全性。
作为一种可能的实现方式,所述标签信息为加密信息,所述根据所述标签信息确定所述访问请求是否合法,包括:对所述标签信息进行解析,获得解析后的信息;根据所述解析后的信息确定所述访问请求是否合法。
在本申请实施例中,标签信息为加密信息,相较于非加密信息来说,能够防止标签信息被非法篡改,进一步提高安全性,以及提高认证结果的准确性。
作为一种可能的实现方式,所述解析后的信息中包括:所述访问请求对应的访问对象的系统信息;所述访问请求中还包括:请求时间;所述根据所述解析后的信息确定所述访问请求是否合法,包括:根据所述请求时间和接收到所述访问请求的时间确定时间维度信息;确定所述标签信息的加密系数;根据所述系统信息、所述时间维度信息和所述加密系数确定所述标签信息是否合法;若所述标签信息不合法,则确定所述访问请求不合法。
在本申请实施例中,通过确定时间维度信息和加密系数,再结合访问对象的系统信息,对标签信息的合法性进行有效判定,提高API网关的安全性。
作为一种可能的实现方式,所述解析后的信息中还包括:所述访问对象的硬件信息和所述访问对象的环境感知信息,所述访问请求中还包括:所述访问对象的身份权限信息;所述认证方法还包括:若所述标签信息合法,根据所述硬件信息、所述环境感知信息和所述身份权限信息确定所述访问请求是否合法。
在本申请实施例中,若标签信息合法,则进一步根据硬件信息、环境感知信息和身份权限信息对访问请求的合法性进行综合判定,提高API网关的安全性。
作为一种可能的实现方式,所述根据所述硬件信息、所述环境感知信息和所述身份权限信息确定所述访问请求是否合法,包括:确定所述硬件信息是否符合预设的可信硬件信息条件,确定所述系统信息是否符合预设的可信系统信息条件,确定所述环境感知信息是否符合预设的环境感知条件,以及确定所述访问请求中的访问需求是否符合所述身份权限信息;若所述硬件信息符合预设的可信硬件条件,所述系统信息符合预设的可信系统信息条件,所述环境感知信息符合预设的环境感知条件,且所述访问请求中的访问需求符合所述身份权限信息,则确定所述访问请求合法。
在本申请实施例中,分别确定硬件信息、系统信息和环境感知信息是否符合预设的对应的判定条件,再结合各个判断结果确定访问请求是否合法,提高API网关的安全性。
作为一种可能的实现方式,所述认证方法还包括:若所述硬件信息不符合预设的可信硬件条件,或者所述系统信息不符合预设的可信系统信息条件,或者所述环境感知信息不符合预设的环境感知条件,或者所述访问请求中的访问需求不符合所述身份权限信息,则确定所述访问请求不合法。
在本申请实施例中,当各个信息的判断结果中,存在任意一个判定不符合,则确定访问请求不合法,提高API网关的安全性。
作为一种可能的实现方式,所述环境感知信息包括:病毒安全等级和漏洞等级;所述确定所述环境感知信息是否符合预设的环境感知条件,包括:根据所述病毒安全等级确定所述访问对象是否存在病毒威胁,以及根据所述漏洞等级确定所述访问对象是否存在漏洞威胁;若所述访问对象存在病毒威胁,和/或所述访问对象存在漏洞威胁,则确定所述环境感知信息不符合预设的环境感知条件。
在本申请实施例中,通过病毒安全等级确定是否存在病毒威胁,以及通过漏洞等级确定是否存在漏洞威胁,再结合两个威胁的判断结果实现环境感知信息是否符合预设的环境感知条件的有效确定。
第二方面,本申请实施例提供一种访问请求的认证装置,包括:用于实现第一方面以及第一方面的任意一种可能的实现方式中所述的访问请求的认证方法的各个功能模块。
第三方面,本申请实施例提供一种API网关设备,包括:处理器;以及与所述处理器通信连接的存储器;所述存储器存储有可被所述处理器执行的指令,所述指令被所述处理器执行,以使所述处理器能够执行如第一方面以及第一方面的任意一种可能的实现方式中所述的访问请求的认证方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如第一方面以及第一方面的任意一种可能的实现方式中所述的访问请求的认证方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的硬件环境的应用场景的示意图;
图2为本申请实施例提供的访问请求的认证方法的流程图;
图3为本申请实施例提供的访问请求的认证装置的结构示意图;
图4为本申请实施例提供的API网关设备的结构示意图。
图标:300-访问请求的认证装置;310-获取模块;320-处理模块;400-API网关设备;410-处理器;420-存储器;430-通信模块。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
请参照图1,为本申请实施例提供的技术方案所应用的应用场景的示意图,在该应用场景中,API网关设备用于实现API服务的管理,其具有不同的API服务。对于外部设备来说,如果要使用这些服务,需要先通过API网关设备的认证,在认证通过之后,API网关设备才会为访问者提供相应的服务。
终端设备,可以理解为访问对象,或者访问者所在的终端。终端设备通过网卡向API网关设备发起访问请求。即,网卡用于将终端设备的访问请求传输给API网关设备。
在本申请实施例中,终端设备的形式可以是应用程序、浏览器、客户端等,在此不作限定。
此外,终端设备侧,还设置有标签服务,该标签服务可以实现标签信息的生成,具体的生成方式在后续的实施例中进行介绍。
以及,终端设备、网卡以及API网关设备之间传输的数据均以流量的形式体现,举例来说,终端设备的访问请求以流量的形式传输给网卡,网卡再将流量转发给API网关设备,API网关设备对流量进行认证,在认证通过之后,再分发相应的API服务。
基于图1所示的应用场景,本申请实施例提供的技术方案的硬件运行环境为API网关设备。
基于上述介绍,接下来请参照图2,为本申请实施例提供的访问请求的认证方法的流程图,该认证方法包括:
步骤210:获取访问请求。
步骤220:确定访问请求中是否包括标签信息。标签信息用于对访问请求进行认证。
步骤230:若访问请求中包括标签信息,根据标签信息确定访问请求是否合法。
步骤240:若访问请求中不包括标签信息,确定访问请求不合法。
在本申请实施例中,与现有技术相比,API网关不再依赖被动防御机制,主动的对访问请求进行安全认证;安全认证的基础为访问请求中包括的标签信息,该标签信息用于对访问请求进行认证,如果确定访问请求中包括标签信息,则进一步根据标签信息判定访问请求是否合法;如果确定访问请求中不包括标签信息,则直接判定访问请求不合法。一方面,对于访问对象来说,如果想要通过认证,则必须在访问请求中增加标签信息;另一方面,在有标签信息的前提下,利用标签信息对访问请求进行合法性验证。因此,该认证方法能够提高API网关的安全性。
接下来对该认证方法的详细实施方式进行介绍。
在步骤210中,获取访问请求,结合前述实施例的介绍,API网关所获取的访问请求可以是网卡所转发的访问请求,该访问请求为访问对象发起的访问请求,其形式为流量,此处的访问对象可以理解为前述的终端设备。
在实际应用中,访问者(用户)在不同的访问对象上访问资源时,标签服务可以检索流量中的五元组信息,过滤出发往API网关的流量数据。其中,五元组信息包括:源IP地址,源端口,目的IP地址,目的端口和传输层协议。
在过滤出发往API网关的流量数据之后,终端设备将相关信息生成标签信息,加入到发往API网关的流量数据中,即加入到访问请求中。
作为一种可选的实施方式,用于生成标签信息的信息包括:硬件信息(可理解为终端设备的硬件信息)、系统信息(可理解为终端设备的系统信息)、终端环境感知信息等。
其中,硬件信息可以包括:Mac地址,硬盘序列号,以及主板号等。系统信息可以包括:系统版本、系统类型、系统名称、系统用户信息、客户端信息等。终端环境感知信息可以包括:病毒安全等级、漏洞等级等。
在一些实施例中,也可以包括更多的信息,在本申请实施例中不作限定。
作为一种可选的实施方式,在终端设备生成标签信息时,可以理解加密算法将这些信息加密成密文,以实现标签信息的生成。
其中,加密算法可以是双向加密算法,或者其他加密算法,在此不作限定。
在生成标签信息之后,将标签信息通过请求头,cookie等不同的方式写入到流量数据中,实现访问请求的生成,然后通过网卡发送到API网关设备。
进而,对于API网关设备来说,在获取到访问请求之后,在步骤220中,先确定访问请求中是否包括标签信息,该标签信息可用于确定访问请求是否合法。
作为一种可选的实施方式,步骤220包括:检测访问请求对应的流量数据中是否包括流量标签,例如前述的请求头、cookie等,若检测相应的数据,则确定访问请求中包括标签信息;若没有检测到相应的数据,则确定访问请求中不包括标签信息。
在步骤230中,若访问请求中包括标签信息,则根据标签信息确定访问请求是否合法。
在步骤240中,若访问请求中不包括标签信息,则直接确定访问请求不合法。
结合前述实施例的介绍,标签信息可以通过加密算法所获得的加密信息,因此,作为一种可选的实施方式,步骤230包括:对标签信息进行解析,获得解析后的信息;根据解析后的信息确定访问请求是否合法。
在这种实施方式中,由于标签信息是加密信息,因此,需要先对其进行解析(可理解为标签信息对应的原始数据的还原),获得解析后的信息,才能进一步根据解析后的信息确定访问请求是否合法。
可以理解,解析后的信息包括前述实施例中介绍的:硬件信息(可理解为终端设备的硬件信息)、系统信息(可理解为终端设备的系统信息)、终端环境感知信息等。
在本申请实施例中,标签信息为加密信息,相较于非加密信息来说,能够防止标签信息被非法篡改,进一步提高安全性,以及提高认证结果的准确性。
在基于解析后的信息确定访问请求是否合法的过程中,可以先确定标签信息是否合法,如果标签信息合法,再进一步结合标签信息所解析得到的信息判定访问请求是否合法;如果标签信息不合法,可直接确定访问请求不合法。
在本申请实施例中,标签信息是否合法可以结合系统信息、时间维度信息和加密系数这三项信息进行判断。
其中,时间维度信息可以用于表征访问请求的请求时间与接收访问时间是否匹配,访问请求中,可以包括请求时间。
因此,作为一种可选的实施方式,根据所述解析后的信息确定访问请求是否合法,包括:根据请求时间和接收到访问请求的时间确定时间维度信息;确定标签信息的加密系数;根据系统信息、时间维度信息和加密系数确定标签信息是否合法;若标签信息不合法,则确定访问请求不合法。
在这种实施方式中,若请求时间和接收到访问请求的时间匹配,则时间维度信息为时间匹配;若请求时间和接收到访问请求的时间不匹配,则时间维度信息为时间不匹配。
标签信息的加密系数,可以用于表征标签信息的加密等级,可以通过判断标签信息是否容易被破解确定。具体的,可以根据标签信息对应的加密算法的破解难度确定加密系数,加密算法越复杂,破解难度越大,加密系数越高;加密算法越简单,破解难度越低,加密系数越低。
在分别确定时间维度信息和加密系数之后,结合系统信息确定标签信息是否合法。
作为一种可选的实施方式,根据系统信息、时间维度信息和加密系数确定标签信息是否合法,包括:确定系统信息是否为合法系统信息,以及确定时间维度信息是否为合法时间维度信息,以及确定加密系数是否为合法加密系数。
如果系统信息、时间维度信息以及加密系数中的一项或者多项信息不是合法的信息,则确定标签信息不合法;如果系统信息、时间维度信息以及加密系数中的每一项均是合法的信息,则确定标签信息合法。
在API网关设备上,可以预设合法系统信息库、合法时间维度信息库、以及合法加密系数库,然后分别判断系统信息、时间维度信息以及加密系数是否属于对应的库中的信息,若属于,则可确定相应的信息为合法信息;若不属于,则可确定相应的信息不是合法信息。
当然,也可以预设合法信息的判断规则,例如:当系统信息满足某个条件时,可确定为合法系统信息;当时间维度信息为匹配时,可确定为合法时间维度信息;当加密系数大于预设加密系数时,可确定为合法加密系数。
或者,采用其他的实施方式对合法性进行判断,在本申请实施例中不作限定。
在本申请实施例中,通过确定时间维度信息和加密系数,再结合访问对象的系统信息,对标签信息的合法性进行有效判定,提高API网关的安全性。
进而,若标签信息不合法,则直接确定访问请求不合法;若标签信息合法,则进一步结合标签信息对应的解析信息对合法性进行判定。在本申请实施例中,除了结合标签信息对应的解析信息对合法性进行判定,还可以结合访问者(访问对象)的身份权限信息进行判定,该身份权限信息可以包含在访问请求中。
作为一种可选的实施方式,该认证方法还包括:若标签信息合法,根据硬件信息、环境感知信息和身份权限信息确定访问请求是否合法。
在本申请实施例中,若标签信息合法,则进一步根据硬件信息、环境感知信息和身份权限信息对访问请求的合法性进行综合判定,提高API网关的安全性。
作为一种可选的实施方式,根据硬件信息、环境感知信息和身份权限信息确定访问请求是否合法,包括:确定硬件信息是否符合预设的可信硬件信息条件,确定系统信息是否符合预设的可信系统信息条件,确定环境感知信息是否符合预设的环境感知条件,以及确定访问请求中的访问需求是否符合身份权限信息;若硬件信息符合预设的可信硬件条件,系统信息符合预设的可信系统信息条件,环境感知信息符合预设的环境感知条件,且访问请求中的访问需求符合身份权限信息,则确定访问请求合法。
在这种实施方式中,预设的可信硬件信息条件可以是指定的硬件信息范围,如果硬件信息不在硬件信息范围内,则硬件信息不符合该预设的条件;如果硬件信息在硬件信息范围内,则硬件信息符合该预设的条件。
预设的可信系统信息条件可以是指定的可信系统信息范围,如果系统信息不在该范围内,则系统信息不符合预设的条件;如果系统信息在该范围内,则系统信息符合预设的条件。
在本申请实施例中,预设的可信系统信息条件和预设的可信硬件条件,可结合不同的API网关的实际情况进行合理设置,在此不作限定。
对于环境感知信息,可包括病毒安全等级和漏洞等级,确定环境感知信息是否符合预设的环境感知条件,包括:根据病毒安全等级确定访问对象是否存在病毒威胁,以及根据漏洞等级确定访问对象是否存在漏洞威胁;若访问对象存在病毒威胁,和/或访问对象存在漏洞威胁,则确定环境感知信息不符合预设的环境感知条件。
在这种实施方式中,预设的环境感知条件,可以理解为:访问对象既不存在病毒威胁,也不存在漏洞威胁。
作为一种可选的实施方式,若病毒安全等级小于预设的病毒安全等级,则确定访问对象存在病毒威胁。以及,若漏洞等级小于预设的漏洞威胁等级,则确定访问对象存在漏洞威胁。其中,预设的病毒安全等级和预设的漏洞威胁等级,可结合不同的访问对象进行合理的设置,在此不作限定。
在本申请实施例中,通过病毒安全等级确定是否存在病毒威胁,以及通过漏洞等级确定是否存在漏洞威胁,再结合两个威胁的判断结果实现环境感知信息是否符合预设的环境感知条件的有效确定。
对于身份权限信息,其中通常会限定访问对象的访问权限,例如:可访问的资源、可访问的资源数量等。因此,将访问请求中的访问需求与该访问权限进行对比,如果访问需求与访问权限匹配,则确定访问需求符合身份权限信息;如果访问需求与访问权限不匹配,则确定访问需求不符合身份权限信息。
进一步地,在对上述各个信息分别进行判定之后,若硬件信息符合预设的可信硬件条件,系统信息符合预设的可信系统信息条件,环境感知信息符合预设的环境感知条件,且访问请求中的访问需求符合身份权限信息,则确定访问请求合法。
即,当各个信息均判定成功,或者说均判断满足相应的条件之后,可确定访问请求合法。
在本申请实施例中,分别确定硬件信息、系统信息和环境感知信息是否符合预设的对应的判定条件,再结合各个判断结果确定访问请求是否合法,提高API网关的安全性。
对应的,若硬件信息不符合预设的可信硬件条件,或者系统信息不符合预设的可信系统信息条件,或者环境感知信息不符合预设的环境感知条件,或者访问请求中的访问需求不符合身份权限信息,则确定访问请求不合法。
在这种实施方式中,如果任意一项信息不满足相应的判定条件,则确定访问请求不合法。
在本申请实施例中,当各个信息的判断结果中,存在任意一个判定不符合,则确定访问请求不合法,提高API网关的安全性。
当然,如果各项信息中的任意两项以上的信息不满足相应的判定条件,也可确定访问请求不合法。
通过步骤230和步骤240,可实现访问请求是否合法的判断,在获得判断结果之后,如果访问请求合法,则API网关设备为访问对象分发对应的服务。如果访问请求不合法,则API网关设备直接拦截此次访问,并记录相关的信息。
其中,所记录的相关的信息包括但不限于:判定不合法的原因、接收到该不合法的访问请求的时间等,在此不作限定。
此外,除了拦截此次访问,还可以对相应的访问对象作出处置办法,例如:网络隔离等。
通过采用本申请实施例所提供的技术方案,一方面,基于双向认证证书对标签数据进行加密,防止标签信息被非篡改。另一方面,通过标签信息实现对访问者使用的终端信息、系统信息、环境感知等因素进行识别、控制、跟踪,方便锁定不可信的终端,并做出针对性的处置办法,如网络隔离等。进而,通过对终端信息、系统信息、环境感知、访问者权限等进行综合评定,可以有效保障在高度安全等级下的访问安全、内部服务安全、内部数据安全。
基于同一发明构思,请参照图3,本申请实施例中还提供一种访问请求的认证装置300,包括:获取模块310和处理模块320。
获取模块310用于:获取访问请求。处理模块320用于:确定所述访问请求中是否包括标签信息;所述标签信息用于对所述访问请求进行认证;若所述访问请求中包括标签信息,根据所述标签信息确定所述访问请求是否合法;若所述访问请求中不包括标签信息,确定所述访问请求不合法。
在本申请实施例中,处理模块320具体用于:对所述标签信息进行解析,获得解析后的信息;根据所述解析后的信息确定所述访问请求是否合法。
在本申请实施例中,处理模块320具体还用于:根据所述请求时间和接收到所述访问请求的时间确定时间维度信息;确定所述标签信息的加密系数;根据所述系统信息、所述时间维度信息和所述加密系数确定所述标签信息是否合法;若所述标签信息不合法,则确定所述访问请求不合法。
在本申请实施例中,处理模块320还用于:若所述标签信息合法,根据所述硬件信息、所述环境感知信息和所述身份权限信息确定所述访问请求是否合法。
在本申请实施例中,处理模块320具体还用于:确定所述硬件信息是否符合预设的可信硬件信息条件,确定所述系统信息是否符合预设的可信系统信息条件,确定所述环境感知信息是否符合预设的环境感知条件,以及确定所述访问请求中的访问需求是否符合所述身份权限信息;若所述硬件信息符合预设的可信硬件条件,所述系统信息符合预设的可信系统信息条件,所述环境感知信息符合预设的环境感知条件,且所述访问请求中的访问需求符合所述身份权限信息,则确定所述访问请求合法。
在本申请实施例中,处理模块320还用于:若所述硬件信息不符合预设的可信硬件条件,或者所述系统信息不符合预设的可信系统信息条件,或者所述环境感知信息不符合预设的环境感知条件,或者所述访问请求中的访问需求不符合所述身份权限信息,则确定所述访问请求不合法。
在本申请实施例中,处理模块320具体用于:根据所述病毒安全等级确定所述访问对象是否存在病毒威胁,以及根据所述漏洞等级确定所述访问对象是否存在漏洞威胁;若所述访问对象存在病毒威胁,和/或所述访问对象存在漏洞威胁,则确定所述环境感知信息不符合预设的环境感知条件。
访问请求的认证装置300与前述的访问请求的认证方法对应,因此,各个功能模块与方法的各个步骤对应,各个功能模块的实施方式可以参照前述实施例中的方法的各个步骤的实施方式,在此不再重复介绍。
基于同一发明构思,请参照图4,本申请实施例提供一种API网关设备400,该API网关设备400可作为前述的访问请求的认证方法的硬件运行环境。
API网关设备400包括:处理器410、存储器420和通信模块430。
处理器410、存储器420和通信模块430可以设置在设备本体内,设备本体,在不同的应用场景中,可以对应有不同的实施方式,比如:不同的形状、不同的大小、不同的材质等,在本申请实施例中不作限定。
处理器410、存储器420和通信模块430之间直接或间接地电连接,以实现数据的传输或交互。例如,可以通过一条或多条通讯总线或信号总线实现电连接。前述的访问请求的认证方法分别包括至少一个可以以软件或固件(firmware)的形式存储于存储器420中的软件功能模块,例如访问请求的认证装置300包括的软件功能模块或计算机程序。
处理器410可以是一种集成电路芯片,具有信号处理能力。处理器410可以是通用处理器,包括CPU(Central Processing Unit,中央处理器)、NP(Network Processor,网络处理器)等;还可以是数字信号处理器、专用集成电路、现成可编程门阵列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。其可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
存储器420,可以存储各种软件程序以及模块,如本申请实施例提供的访问请求的认证方法及装置对应的程序指令/模块。处理器410通过运行存储在存储器420中的软件程序以及模块,从而执行各种功能应用以及数据处理,即实现本申请实施例中的方法。
存储器420,可以包括但不限于RAM(Random Access Memory,随机存取存储器),ROM(Read Only Memory,只读存储器),PROM(Programmable Read-Only Memory,可编程只读存储器),EPROM(Erasable Programmable Read-Only Memory,可擦除只读存储器),EEPROM(Electric Erasable Programmable Read-Only Memory,电可擦除只读存储器)等。
通信模块430,用于实现API网关设备400与网卡或者其他外部设备的通信,其可以是无线通信模块、4G、5G通信模块等,在此不作限定。
需要说明的是,图4中示出的API网关设备400的结构并不构成对该API网关设备400的限定,实际的API网关设备400可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
此外,API网关设备400的技术效果可以参考前述访问请求的认证方法的技术效果,此处不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行前述实施例中所述的访问请求的认证方法。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (10)
1.一种访问请求的认证方法,其特征在于,包括:
获取访问请求;
确定所述访问请求中是否包括标签信息;所述标签信息用于对所述访问请求进行认证;
若所述访问请求中包括标签信息,根据所述标签信息确定所述访问请求是否合法;
若所述访问请求中不包括标签信息,确定所述访问请求不合法。
2.根据权利要求1所述的认证方法,其特征在于,所述标签信息为加密信息,所述根据所述标签信息确定所述访问请求是否合法,包括:
对所述标签信息进行解析,获得解析后的信息;
根据所述解析后的信息确定所述访问请求是否合法。
3.根据权利要求2所述的认证方法,其特征在于,所述解析后的信息中包括:所述访问请求对应的访问对象的系统信息;所述访问请求中还包括:请求时间;所述根据所述解析后的信息确定所述访问请求是否合法,包括:
根据所述请求时间和接收到所述访问请求的时间确定时间维度信息;
确定所述标签信息的加密系数;
根据所述系统信息、所述时间维度信息和所述加密系数确定所述标签信息是否合法;
若所述标签信息不合法,则确定所述访问请求不合法。
4.根据权利要求3所述的认证方法,其特征在于,所述解析后的信息中还包括:所述访问对象的硬件信息和所述访问对象的环境感知信息,所述访问请求中还包括:所述访问对象的身份权限信息;所述认证方法还包括:
若所述标签信息合法,根据所述硬件信息、所述环境感知信息和所述身份权限信息确定所述访问请求是否合法。
5.根据权利要求4所述的认证方法,其特征在于,所述根据所述硬件信息、所述环境感知信息和所述身份权限信息确定所述访问请求是否合法,包括:
确定所述硬件信息是否符合预设的可信硬件信息条件,确定所述系统信息是否符合预设的可信系统信息条件,确定所述环境感知信息是否符合预设的环境感知条件,以及确定所述访问请求中的访问需求是否符合所述身份权限信息;
若所述硬件信息符合预设的可信硬件条件,所述系统信息符合预设的可信系统信息条件,所述环境感知信息符合预设的环境感知条件,且所述访问请求中的访问需求符合所述身份权限信息,则确定所述访问请求合法。
6.根据权利要求5所述的认证方法,其特征在于,所述认证方法还包括:
若所述硬件信息不符合预设的可信硬件条件,或者所述系统信息不符合预设的可信系统信息条件,或者所述环境感知信息不符合预设的环境感知条件,或者所述访问请求中的访问需求不符合所述身份权限信息,则确定所述访问请求不合法。
7.根据权利要求5所述的认证方法,其特征在于,所述环境感知信息包括:病毒安全等级和漏洞等级;所述确定所述环境感知信息是否符合预设的环境感知条件,包括:
根据所述病毒安全等级确定所述访问对象是否存在病毒威胁,以及根据所述漏洞等级确定所述访问对象是否存在漏洞威胁;
若所述访问对象存在病毒威胁,和/或所述访问对象存在漏洞威胁,则确定所述环境感知信息不符合预设的环境感知条件。
8.一种访问请求的认证装置,其特征在于,包括:
获取模块,用于获取访问请求;
处理模块,用于:
确定所述访问请求中是否包括标签信息;所述标签信息用于对所述访问请求进行认证;
若所述访问请求中包括标签信息,根据所述标签信息确定所述访问请求是否合法;
若所述访问请求中不包括标签信息,确定所述访问请求不合法。
9.一种API网关设备,其特征在于,包括:
处理器;以及与所述处理器通信连接的存储器;
所述存储器存储有可被所述处理器执行的指令,所述指令被所述处理器执行,以使所述处理器能够执行如权利要求1-7任一项所述的访问请求的认证方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,所述计算机程序被计算机运行时,执行如权利要求1-7任一项所述的访问请求的认证方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111492886.2A CN114157503A (zh) | 2021-12-08 | 2021-12-08 | 访问请求的认证方法及装置、api网关设备、存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111492886.2A CN114157503A (zh) | 2021-12-08 | 2021-12-08 | 访问请求的认证方法及装置、api网关设备、存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114157503A true CN114157503A (zh) | 2022-03-08 |
Family
ID=80453827
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111492886.2A Pending CN114157503A (zh) | 2021-12-08 | 2021-12-08 | 访问请求的认证方法及装置、api网关设备、存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114157503A (zh) |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330494A (zh) * | 2007-06-19 | 2008-12-24 | 瑞达信息安全产业股份有限公司 | 一种基于可信认证网关实现计算机终端安全准入的方法 |
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN102868533A (zh) * | 2012-09-13 | 2013-01-09 | 中科华核电技术研究院有限公司 | 资源访问授权验证方法及系统 |
| CN109787988A (zh) * | 2019-01-30 | 2019-05-21 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
| CN110347501A (zh) * | 2019-06-20 | 2019-10-18 | 北京大米科技有限公司 | 一种业务检测方法、装置、存储介质及电子设备 |
| CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、系统、电子设备及可读存储介质 |
| CN111083132A (zh) * | 2019-12-11 | 2020-04-28 | 北京明朝万达科技股份有限公司 | 一种具有敏感数据的web应用的安全访问方法及系统 |
| CN111431916A (zh) * | 2020-03-30 | 2020-07-17 | 朱丽珍 | 基于非对称加密的章印验证方法、印章和计算机存储介质 |
| CN111541656A (zh) * | 2020-04-09 | 2020-08-14 | 中央电视台 | 基于融合媒体云平台的身份认证方法及系统 |
| CN112580017A (zh) * | 2020-12-25 | 2021-03-30 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN113301028A (zh) * | 2021-05-13 | 2021-08-24 | 广东电网有限责任公司广州供电局 | 网关防护方法和数据打标签方法 |
| CN113612770A (zh) * | 2021-08-02 | 2021-11-05 | 中国科学院深圳先进技术研究院 | 一种跨域安全交互方法、系统、终端以及存储介质 |
-
2021
- 2021-12-08 CN CN202111492886.2A patent/CN114157503A/zh active Pending
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101330494A (zh) * | 2007-06-19 | 2008-12-24 | 瑞达信息安全产业股份有限公司 | 一种基于可信认证网关实现计算机终端安全准入的方法 |
| CN102195991A (zh) * | 2011-06-28 | 2011-09-21 | 辽宁国兴科技有限公司 | 一种终端安全管理、认证方法及系统 |
| CN102868533A (zh) * | 2012-09-13 | 2013-01-09 | 中科华核电技术研究院有限公司 | 资源访问授权验证方法及系统 |
| CN109787988A (zh) * | 2019-01-30 | 2019-05-21 | 杭州恩牛网络技术有限公司 | 一种身份加强认证和鉴权方法及装置 |
| CN110347501A (zh) * | 2019-06-20 | 2019-10-18 | 北京大米科技有限公司 | 一种业务检测方法、装置、存储介质及电子设备 |
| CN110941844A (zh) * | 2019-11-27 | 2020-03-31 | 网易(杭州)网络有限公司 | 一种认证鉴权方法、系统、电子设备及可读存储介质 |
| CN111083132A (zh) * | 2019-12-11 | 2020-04-28 | 北京明朝万达科技股份有限公司 | 一种具有敏感数据的web应用的安全访问方法及系统 |
| CN111431916A (zh) * | 2020-03-30 | 2020-07-17 | 朱丽珍 | 基于非对称加密的章印验证方法、印章和计算机存储介质 |
| CN111541656A (zh) * | 2020-04-09 | 2020-08-14 | 中央电视台 | 基于融合媒体云平台的身份认证方法及系统 |
| CN112580017A (zh) * | 2020-12-25 | 2021-03-30 | 深信服科技股份有限公司 | 认证方法及装置、电子设备、存储介质 |
| CN113301028A (zh) * | 2021-05-13 | 2021-08-24 | 广东电网有限责任公司广州供电局 | 网关防护方法和数据打标签方法 |
| CN113612770A (zh) * | 2021-08-02 | 2021-11-05 | 中国科学院深圳先进技术研究院 | 一种跨域安全交互方法、系统、终端以及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10298610B2 (en) | Efficient and secure user credential store for credentials enforcement using a firewall | |
| US11032294B2 (en) | Dynamic decryption of suspicious network traffic based on certificate validation | |
| US9866568B2 (en) | Systems and methods for detecting and reacting to malicious activity in computer networks | |
| US20240048560A1 (en) | Systems and methods for endpoint management | |
| US20170324758A1 (en) | Detecting and reacting to malicious activity in decrypted application data | |
| CN111510453B (zh) | 业务系统访问方法、装置、系统及介质 | |
| US8949995B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US10333930B2 (en) | System and method for transparent multi-factor authentication and security posture checking | |
| CN114598540A (zh) | 访问控制系统、方法、装置及存储介质 | |
| CN114629719A (zh) | 资源访问控制方法和资源访问控制系统 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| KR101881279B1 (ko) | 보안 소켓 계층 통신을 이용하는 패킷을 검사하는 방법 | |
| Phumkaew et al. | Android forensic and security assessment for hospital and stock-and-trade applications in thailand | |
| KR102042086B1 (ko) | 암호화 통신 프로토콜 제어 모듈 | |
| CN114157503A (zh) | 访问请求的认证方法及装置、api网关设备、存储介质 | |
| US11356415B2 (en) | Filter for suspicious network activity attempting to mimic a web browser | |
| Foltz et al. | Secure Endpoint Device Agent Architecture. | |
| US20230344866A1 (en) | Application identification for phishing detection | |
| US20230156016A1 (en) | Protecting against api attacks by continuous auditing of security compliance of api usage relationship | |
| Silver | Mitigating real-time relay phishing attacks against mobile push notification based two-factor authentication systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |