CN114172698A - 一种业务请求处理方法、Web服务器、设备及介质 - Google Patents
一种业务请求处理方法、Web服务器、设备及介质 Download PDFInfo
- Publication number
- CN114172698A CN114172698A CN202111401210.8A CN202111401210A CN114172698A CN 114172698 A CN114172698 A CN 114172698A CN 202111401210 A CN202111401210 A CN 202111401210A CN 114172698 A CN114172698 A CN 114172698A
- Authority
- CN
- China
- Prior art keywords
- service request
- request
- service
- server
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000003672 processing method Methods 0.000 title claims abstract description 10
- 238000012795 verification Methods 0.000 claims abstract description 26
- 238000004891 communication Methods 0.000 claims abstract description 11
- 238000000034 method Methods 0.000 claims description 22
- 238000004590 computer program Methods 0.000 claims description 11
- 230000003993 interaction Effects 0.000 abstract description 2
- 238000010586 diagram Methods 0.000 description 11
- 230000006870 function Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 235000014510 cooky Nutrition 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000001172 regenerating effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出的一种业务请求处理方法、Web服务器、设备及介质,该服务器包括安全软件防火墙和网络应用服务器,安全软件防火墙包括反向代理模块,用于将反向代理模块的代理地址和代理端口暴露于互联网,获取业务请求并根据预设路由信息表将业务请求发送至网络应用服务器,安全软件防火墙还包括动态身份识别模块,其在首次身份验证时生成消息密钥,并在后续与业务需求方的消息交互中利用密钥进行需求方的身份鉴别,没有新增实体服务器,将安全软件防火墙植入现有服务器,构成应用服务器、防火墙、业务需求方的三级网络系统架构,进一步保护网站服务器安全运行,减少其受到攻击风险,提升通讯对象身份鉴别能力,共同保障应用服务器的安全可靠性能。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种业务请求处理方法、Web服务器、设备及介质。
背景技术
Web应用服务器的安全防护是一个重要的安全课题,相关技术中,往往是将Web应用服务器置于硬件防火墙之后,用户通过因特网经由硬件防火墙对Web应用服务器进行访问。Web应用服务器(网站)本身可以通过内置网页防篡改、防病毒攻击和DDoS攻击、防SQL注入和Cookie修改等保护措施以进一步提升对其自身的安全防护能力。
但由于Web应用服务器的IP地址和Port端口直接暴露在互联网,易受攻击,故亟需一种对Web应用服务器更加安全可靠的防护措施。
发明内容
鉴于以上所述现有技术的缺点,本发明提供一种业务请求处理方法、Web服务器、设备及介质,以解决上述技术问题。
本发明提供的一种服务器,该服务器包括安全软件防火墙和网络应用服务器,所述安全软件防火墙包括反向代理模块,所述反向代理模块用于:
将所述反向代理模块的代理地址和代理端口暴露于互联网;
获取业务请求,并根据预设路由信息表将所述业务请求发送至所述网络应用服务器。
可选的,所述业务请求包括请求业务信息,所述网络应用服务器包括多个子应用服务器,获取业务请求之后,所述反向代理模块还用于:
根据所述请求业务信息和预设路由信息表从各所述子应用服务器中确定目标服务器;
获取所述目标服务器的待处理任务队列;
若所述待处理任务队列的任务缓存已满,则将所述业务请求丢弃;
若所述待处理任务队列包括空闲任务缓存,则将所述业务请求转发至所述待处理任务队列。
可选的,所述业务请求包括业务请求发送方的请求身份信息,获取业务请求之后,根据预设路由信息表将所述业务请求发送至所述网络应用服务器之前,所述反向代理模块还用于:
根据所述请求身份信息和预设名单数据库确定所述业务请求的合法性;
若所述合法性包括合法,则根据预设路由信息表将所述业务请求发送至所述网络应用服务器。
可选的,所述安全软件防火墙还包括动态身份令牌模块,所述动态身份令牌模块用于在所述反向代理模块获取所述业务请求之前,获取业务请求发送方的登录验证请求,生成所述业务请求发送方的公钥、私钥和随机数,并根据所述私钥对上述随机数加密,将所述公钥和加密后的随机数发送给所述业务请求发送方。
可选的,所述动态身份令牌模块还用于:
获取所述业务请求,所述业务请求包括所述随机数;
根据所述随机数对所述业务请求进行验证,若验证通过,则将所述业务请求发送至所述反向代理模块。
可选的,所述动态身份令牌模块还用于:
获取所述业务请求发送方的请求时长,所述请求时长根据当前时间和所述登录验证请求的请求时间确定;
若所述请求时长超过预设时长阈值,拦截所述业务请求,并通知所述业务请求方重新发送登录验证请求。
本申请还提供了一种业务请求处理方法,该方法包括:
在服务器中设置安全软件防火墙,所述安全软件防火墙将代理地址和代理端口暴露于互联网;
所述安全软件防火墙获取业务请求,根据所述业务请求的请求业务信息和预设路由信息表从各子应用服务器中确定目标服务器;
获取所述目标服务器的待处理任务队列;
若所述待处理任务队列的任务缓存已满,则将所述业务请求丢弃;
若所述待处理任务队列包括空闲任务缓存,则将所述业务请求转发至所述待处理任务队列。
可选的,获取所述业务请求之前,所述方法还包括:
获取业务请求发送方的登录验证请求;
生成所述业务请求发送方的公钥、私钥和随机数,并根据所述私钥对上述随机数加密;
将所述公钥和加密后的随机数发送给所述业务请求发送方;
获取所述业务请求,所述业务请求包括随机数;
根据所述随机数对所述业务请求进行验证,若验证通过,根据所述请求业务信息和预设路由信息表从各所述子应用服务器中确定目标服务器。
本发明还提供了一种电子设备,包括处理器、存储器和通信总线;
所述通信总线用于将所述处理器和存储器连接;
所述处理器用于执行所述存储器中存储的计算机程序,以实现如上述中任一项实施例所述的方法。
本发明还提供了一种计算机可读存储介质,其上存储有计算机程序,
所述计算机程序用于使所述计算机执行如上述任一项实施例所述的方法。
本发明的有益效果:本发明提出的一种业务请求处理方法、Web服务器、设备及介质,该Web服务器包括安全软件防火墙和网络应用服务器,安全软件防火墙包括反向代理模块,该反向代理模块用于将反向代理模块的代理地址和代理端口暴露于互联网,获取业务请求,并根据预设路由信息表将业务请求发送至网络应用服务器,在不新增服务器的前提下,将安全软件防火墙植入现有的服务器中,构成网络应用服务器、防火墙,以及业务请求发送方(业务需求方)的三级网络系统架构,进一步保护网络应用服务器的安全运行,减少了其受到攻击的风险,提升通讯对象身份鉴别能力,共同保障应用服务器的安全可靠性能。
附图说明
图1是本发明实施例一中提供的相关技术中的Web服务器的一种结构示意图;
图2是本发明实施例一中提供的Web服务器的一种设备框图;
图3是本发明实施例一中提供的Web服务器的另一种设备框图;
图4是本发明实施例一中提供的Web服务器的另一种设备框图;
图5是本发明实施例一中提供的Web服务器的另一种设备框图;
图6是本发明实施例二中提供的业务请求处理方法的一种流程示意图;
图7是本发明一实施例提供的一种电子设备的结构示意图。
具体实施方式
以下通过特定的具体实例说明本发明的实施方式,本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用,本说明书中的各项细节也可以基于不同观点与应用,在没有背离本发明的精神下进行各种修饰或改变。需说明的是,在不冲突的情况下,以下实施例及实施例中的特征可以相互组合。
需要说明的是,以下实施例中所提供的图示仅以示意方式说明本发明的基本构想,遂图式中仅显示与本发明中有关的组件而非按照实际实施时的组件数目、形状及尺寸绘制,其实际实施时各组件的型态、数量及比例可为一种随意的改变,且其组件布局型态也可能更为复杂。
在下文描述中,探讨了大量细节,以提供对本发明实施例的更透彻的解释,然而,对本领域技术人员来说,可以在没有这些具体细节的情况下实施本发明的实施例是显而易见的,在其他实施例中,以方框图的形式而不是以细节的形式来示出公知的结构和设备,以避免使本发明的实施例难以理解。
实施例一
参见图1,相关技术中,用户通过因特网经由防火墙再访问Web服务器,对于服务器的防护往往是通过硬件防火墙(图1中的防火墙)以及Web应用服务器(图1中的Web服务器)内置的如网页防篡改、木马检测等功能实现的。该由于Web应用服务器的IP地址和Port端口直接暴露在互联网,易受攻击;验证用户身份使用常规的ID+Password方法,容易伪造。故上述方式仍存在一定风险。
为解决上述问题,如图2所示,本实施例提供了一种Web服务器200,该Web服务器200包括安全软件防火墙201和网络应用服务器202,安全软件防火墙201包括反向代理模块2011,反向代理模块2011用于:
将反向代理模块的代理地址和代理端口暴露于互联网;
获取业务请求,并根据预设路由信息表将业务请求发送至网络应用服务器。
可选的,该服务器为Web子应用服务器(网站)。
其中,业务请求可以是用户端所发送的,经由硬件防火墙验证后的请求。
参见图3和图4,如图3所示,本实施例提供的Web服务器可以通过利用虚拟化软件将相关技术中的Web应用服务器划分为两个逻辑独立的虚拟机,一个虚拟机(Web安全软件防火墙)内置反向代理模块和动态身份令牌模块,用于提供软件级的安全防护,并与硬件防火墙相连;另一个虚拟机(Web服务器,网络应用服务器)提供Web应用服务,并与前一个虚拟机相连。如图4所示,从防火墙角度,将现有的硬件防火墙与Web安全软件防火墙共同构成Web防火墙,保护后端Web服务器(网络应用服务器)的安全。
通过将反向代理模块的代理地址和代理端口暴露于互联网,用户(业务请求发送方)若想要访问网络应用服务器,则可以通过访问反向代理模块实现,这样可以有效的屏蔽反向代理模块后端的网络应用服务器地址,保护网络应用服务器免遭网络攻击。
在一个实施例中,业务请求包括请求业务信息,网络应用服务器包括多个子应用服务器,获取业务请求之后,反向代理模块还用于:
根据请求业务信息和预设路由信息表从各子应用服务器中确定目标服务器;
获取目标服务器的待处理任务队列;
若待处理任务队列的任务缓存已满,则将业务请求丢弃;
若待处理任务队列包括空闲任务缓存,则将业务请求转发至待处理任务队列。
其中,预设路由信息表可以是静态路由信息表也可以是动态路由信息表,本领域技术人员可以根据需要进行选择。
业务请求包括请求地址和请求端口,若该请求地址和请求端口为反向代理模块所对应的代理地址和代理端口。业务请求还包括业务地址(请求业务信息),反向代理模块通过解析该业务地址,并与自身的预设路由信息表进行匹配,可以跳转到对应的子应用服务器。
由于每一个子应用服务器均配置有预设大小的任务缓存,该任务缓存用于存储尚未处理的任务,该任务缓存中的业务请求以待处理任务队列的形式记录。按照“先进先出”的队列顺序暂存和处理由反向代理模块所转来的业务请求。
待处理任务队列的任务数量达到一定数量阈值,则可以认为任务缓存已满,反向代理模块将该业务请求丢弃。否则,若当前待处理任务队列中的任务数量小于数量阈值,则认为待处理任务队列包括空闲任务缓存,则接收反向代理模块所转发的业务请求,增加到待处理任务队列中。
在一个实施例中,若业务请求被丢弃,该方法还包括:
通知业务请求发送方(也即业务需求方)该业务请求被丢弃,或通知业务请求发送方当前子应用服务器繁忙,需业务请求发送方稍后重新发送业务请求。
在一个实施例中,业务请求包括业务请求发送方的请求身份信息,获取业务请求之后,根据预设路由信息表将业务请求发送至网络应用服务器之前,反向代理模块还用于:
根据请求身份信息和预设名单数据库确定业务请求的合法性;
若合法性包括合法,则根据预设路由信息表将业务请求发送至网络应用服务器。
其中,合法性包括合法和非法。若预设名单数据库中存储的样本身份信息为白名单,则请求身份信息与预设名单数据库中的样本身份信息相同时,合法性为合法,否则,合法性为非法。若预设名单数据库存储的样本身份信息为黑名单,则请求身份信息与预设名单数据库中的样本身份信息相同时,合法性为非法,否则,合法性为合法。当合法性为非法时,则将该业务请求丢弃。
在一个实施例中,安全软件防火墙还包括动态身份令牌模块,动态身份令牌模块用于在反向代理模块获取业务请求之前,获取业务请求发送方的登录验证请求,生成业务请求发送方的公钥、私钥和随机数,并根据私钥对上述随机数加密,将公钥和加密后的随机数发送给业务请求发送方。
可选的,在生成业务请求发送方的公钥、私钥和随机数之前,动态身份令牌模块还用于对业务请求发送方进行身份验证。该身份验证方式可以通过业务请求发送方的请求身份信息与预设黑名单或预设白名单进行比对,进而确定身份验证结果。请求身份信息可以是该业务请求发送方的地址、名称等。
可选的,子应用服务器也可以设置为接受任何潜在对象的登录验证链接,只要某一业务请求发送方由业务请求,动态身份令牌就会生成该业务请求发送方对应的公钥、私钥和随机数,每一个业务请求发送方均有唯一的公钥、私钥和随机数。
可选的,随机数可以是标识业务请求发送方的身份的索引,随机数可以是业务请求发送方的ID。
相关技术中,对于用户身份的验证,往往采用的是常规的ID+Password的方式,容易伪造,而本实施例中提供了随机数和公钥、私钥的方式,更加安全,不易伪造。提升了网站的安全性。
可选的,随机数还可以根据业务请求发送方的身份权限确定。可以预先设定不同的业务请求发送方所对应的能够访问的子应用服务器的身份权限。每一类身份权限均对应一定数量的随机数,通过获取与业务请求的随机数,就可以预计得到该业务请求所可能针对的子应用服务器有哪些,进行初步筛选,在由预设路由信息表确定目标服务器。这样可以进一步减少目标服务器确定过程中的资源占用,提升处理效率。
业务请求发送方(用户)在需要访问子应用服务器之前,先发送登录验证请求,该登录验证请求由动态身份令牌模块所获取,并由动态身份令牌对该业务请求发送方进行验证,若该业务请求发送方的身份合法,则为该业务请求发送方配置唯一的公钥、私钥以及随机数,并发送给业务请求发送方。这样,该业务请求发送方在后续进行业务请求时,均携带有该随机数,以便于后续对该业务请求是否为合法请求的判定。
可选的,业务请求发送方根据接收到的公钥对加密后的随机数进行解密,以得到随机数,在后续发送业务请求的过程中,也一并将该随机数进行发送。
在一个实施例中,动态身份令牌模块还用于:
获取业务请求,业务请求包括随机数;
根据随机数对业务请求进行验证,若验证通过,则将业务请求发送至反向代理模块。
动态身份令牌模块可以将获取到的随机数和之前发送给该业务请求发送方的随机数进行比对,以实现对于该业务请求进行验证。若业务请求中的随机数与之前发送给该业务请求发送方的随机数相同,则验证通过,将该业务请求发送至反向代理模块,对该业务请求进行分配。否则,验证不通过,将该业务请求进行拦截并丢弃。
在一个实施例中,动态身份令牌模块还用于:
获取业务请求发送方的请求时长,请求时长根据当前时间和登录验证请求的请求时间确定;
若请求时长超过预设时长阈值,拦截业务请求,并通知业务请求方重新发送登录验证请求。
如果某个合法客户端(业务请求发送方)长期使用一固定公钥和随机数,其就存在被非法终端破解的可能。因此,当合法客户端在访问服务器之后的某个时间T之后,服务器则将原有的令牌信息置为无效,而这个T就是预设时长阈值。通过要求客户端重新登录验证获得新令牌的方式,来保证通讯更安全。
下面,通过一个具体的实施例,对于上述实施例所述的Web服务器进行进一步的示例性说明。
继续参见图3-图5,利用虚拟化软件将相关技术中的Web服务器划分为两个逻辑独立的虚拟服务器(虚拟机),一个虚拟机内置反向代理模块和动态身份令牌模块,用于提供软件级的安全防护,并与硬件防火墙相连;另一个虚拟机提供Web应用服务,并与前一个虚拟机相连。
其中,动态身份令牌模块是实现Web安全防护功能的第一个模块,其利用私钥将生成的随机数加密并发送到终端,终端再用登录验证时获得的公钥解密并回传该随机数。这样可以防止非法终端伪装成可信终端进行通信交互。
具体的,该动态身份令牌模块的一种工作流程如下:
当终端用户(业务请求发送方)发起登录验证时,动态身份令牌模块对合法用户生成一对密钥和随机数,利用私钥将随机数加密后,与公钥一起返回该合法终端;
后续终端用户发起访问时,应在接口函数中将用公钥解密的随机数原值,一并发送到服务器;
动态身份令牌模块对每一个业务请求,进行用户身份和随机数的比对验证,合法的放行(发送给后端的反向代理模块),非法的拦截并抛弃;
动态身份令牌模块判断Session超时周期,若登录超时,跳到步骤1(重新生成新的随机数,利用私钥加密后,在终端下次登录时发送过去)。
反向代理模块是实现Web安全防护功能的第二个模块,其将自身的IP地址和Port端口暴露在互联网上,可以有效屏蔽身后的子应用服务器地址,保护子应用服务器免遭网络攻击。通过路由信息表进行业务请求处理的业务分发,可以平衡调度多个子应用服务器的处理任务,实现负载均衡。
具体的,该反向代理模块的一种工作流程如下:
当终端用户发起访问请求时,反向代理模块会接收到该请求,然后与后台黑名单数据库比对,判断其是否为合法终端;
检索后台包含子应用服务器IP和Port的路由信息数据库,若匹配则选中相应服务器为目标地(目标服务器);
检索该目标服务器的待处理任务队列,若待处理任务队列未满,则将业务请求转发过去,若待处理任务队列已满,则丢弃该业务请求。
本实施例提供了一种Web服务器,该Web服务器包括安全软件防火墙和网络应用服务器,安全软件防火墙包括反向代理模块,该反向代理模块用于将反向代理模块的代理地址和代理端口暴露于互联网,获取业务请求,并根据预设路由信息表将业务请求发送至网络应用服务器,这样,利用安全软件防火墙可以在不新增服务器的前提下,将安全软件防火墙植入现有的服务器中,构成网站、软件防火墙+硬件防火墙,以及浏览器(业务请求发送方)的三级网络系统架构,进一步保护网站安全运行,可以实现Web子应用服务器的IP地址和Port端口不直接暴露于互联网,减少了其受到攻击的风险,对Web子应用服务器的防护措施更加安全可靠。
实施例二
参见图6,本实施例提供了一种业务请求处理方法,该方法包括:
步骤S101:在服务器中设置安全软件防火墙。
其中,可以通过将现有的Web服务器划分为两个逻辑独立的虚拟机实现,其中一个虚拟机作为安全软件防火墙,用于提供对后端网络应用服务器的软件级的安全防护,与硬件防火墙相连接;另一个虚拟机作为网络应用服务器,提供原有的Web应用服务,与前一个虚拟机连接。
其中,安全软件防火墙将代理地址和代理端口暴露于互联网,该代理地址和代理端口与后端的网络应用服务器的网络地址和网络端口不同,这样,用户(业务请求发送方)可以通过访问代理地址和代理端口来实现对网络应用服务器的访问,避免由于直接暴露网络应用服务器的地址和端口而使网络应用服务器遭受攻击的风险。
步骤S102:安全软件防火墙获取业务请求,根据业务请求的请求业务信息和预设路由信息表从各子应用服务器中确定目标服务器。
可选的,安全软件防火墙与网络应用服务器通信连接,网络应用服务器包括若干个子应用服务器。
业务请求中包括请求业务信息,通过该请求业务信息与预设路由信息表进行比对,以从多个子应用服务器中确定目标服务器。
可选的,业务请求是经由硬件防火墙进行检测后所获取的。
步骤S103:获取目标服务器的待处理任务队列。
步骤S104:若待处理任务队列的任务缓存已满,则将业务请求丢弃。
步骤S105:若待处理任务队列包括空闲任务缓存,则将业务请求转发至待处理任务队列。
在一个实施例中,获取所述业务请求之前,该方法还包括:
获取业务请求发送方的登录验证请求;
生成业务请求发送方的公钥、私钥和随机数,并根据私钥对上述随机数加密;
将公钥和加密后的随机数发送给业务请求发送方;
获取业务请求,业务请求包括随机数;
根据随机数对业务请求进行验证,若验证通过,根据请求业务信息和预设路由信息表从各子应用服务器中确定目标服务器。
可选的,业务请求发送方根据接收到的公钥对加密后的随机数进行解密,以得到随机数,在后续发送业务请求的过程中,也一并将该随机数进行发送。
在一个实施例中,业务请求发送方(用户终端)通过互联网经由硬件防火墙进行登录验证,动态身份令牌模块在验证用户身份合法后,生成私钥、公钥和随机数,并通过私钥对随机数进行加密,将公钥和加密后的私钥返回给业务请求发送方,业务请求发送方通过公钥对加密后的随机数进行解密,得到随机数。后续该业务请求发送方在发送业务请求时,在接口函数中将随机数一并发送到服务器。动态身份令牌模块对于所获取到的每一个业务请求均进行用户身份和随机数的比对验证,身份合法的放行,发送至反向代理模块,身份非法的则拦截并丢弃。此外,动态身份令牌模块判断Session超时周期,若登录超时,则重新登录,重新进行登录验证,重新生成新的随机数,利用私钥加密后,在业务请求发送方下次登录时发送给业务请求发送方。身份合法的业务请求被反向代理模块所获取,反向代理模块会根据该业务请求中的请求身份信息与后台黑名单数据库进行比对,以判断该业务请求发送方是否为合法终端,若合法,则检索包含与该反向代理模块连接的各子应用服务器IP和Port的路由信息数据库,若匹配则选中相应服务器为目标地(目标服务器),获取该目标服务器的待处理任务队列,若该待处理认为队列未满,存在空闲任务缓存,则将该业务请求转发给待处理任务队列。这样,实现了对于网络应用服务器(网站)的进一步的安全防护。
在本实施例中,该方法应用于上述实施例一提供的服务器,该方法的具体执行步骤技术效果参照上述实施例一即可,此处不再赘述。
参见图7,本发明实施例还提供了一种电子设备600,包括处理器601、存储器602和通信总线603;
通信总线603用于将处理器601和存储器连接602;
处理器601用于执行存储器602中存储的计算机程序,以实现如上述实施例一中的一个或多个所述的方法。
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,
计算机程序用于使计算机执行如上述实施例一中的任一项所述的方法。
本申请实施例还提供了一种非易失性可读存储介质,该存储介质中存储有一个或多个模块(programs),该一个或多个模块被应用在设备时,可以使得该设备执行本申请实施例的实施例一所包含步骤的指令(instructions)。
需要说明的是,本公开上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本公开中,计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:电线、光缆、RF(射频)等等,或者上述的任意合适的组合。
上述计算机可读介质可以是上述电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。
可以以一种或多种程序设计语言或其组合来编写用于执行本公开的操作的计算机程序代码,上述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
附图中的流程图和框图,图示了按照本公开各种实施例的方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
上述实施例仅例示性说明本发明的原理及其功效,而非用于限制本发明。任何熟悉此技术的人士皆可在不违背本发明的精神及范畴下,对上述实施例进行修饰或改变。因此,举凡所属技术领域中具有通常知识者在未脱离本发明所揭示的精神与技术思想下所完成的一切等效修饰或改变,仍应由本发明的权利要求所涵盖。
Claims (10)
1.一种Web服务器,其特征在于,所述服务器包括安全软件防火墙和网络应用服务器,所述安全软件防火墙包括反向代理模块,所述反向代理模块用于:
将所述反向代理模块的代理地址和代理端口暴露于互联网;
获取业务请求,并根据预设路由信息表将所述业务请求发送至所述网络应用服务器。
2.如权利要求1所述的Web服务器,其特征在于,所述业务请求包括请求业务信息,所述网络应用服务器包括多个子应用服务器,获取业务请求之后,所述反向代理模块还用于:
根据所述请求业务信息和预设路由信息表从各所述子应用服务器中确定目标服务器;
获取所述目标服务器的待处理任务队列;
若所述待处理任务队列的任务缓存已满,则将所述业务请求丢弃;
若所述待处理任务队列包括空闲任务缓存,则将所述业务请求转发至所述待处理任务队列。
3.如权利要求1所述的Web服务器,其特征在于,所述业务请求包括业务请求发送方的请求身份信息,获取业务请求之后,根据预设路由信息表将所述业务请求发送至所述网络应用服务器之前,所述反向代理模块还用于:
根据所述请求身份信息和预设名单数据库确定所述业务请求的合法性;
若所述合法性包括合法,则根据预设路由信息表将所述业务请求发送至所述网络应用服务器。
4.如权利要求1-3任一项所述的Web服务器,其特征在于,所述安全软件防火墙还包括动态身份令牌模块,所述动态身份令牌模块用于在所述反向代理模块获取所述业务请求之前,获取业务请求发送方的登录验证请求,生成所述业务请求发送方的公钥、私钥和随机数,并根据所述私钥对上述随机数加密,将所述公钥和加密后的随机数发送给所述业务请求发送方。
5.如权利要求4所述的Web服务器,其特征在于,所述动态身份令牌模块还用于:
获取所述业务请求,所述业务请求包括所述随机数;
根据所述随机数对所述业务请求进行验证,若验证通过,则将所述业务请求发送至所述反向代理模块。
6.如权利要求5所述的Web服务器,其特征在于,所述动态身份令牌模块还用于:
获取所述业务请求发送方的请求时长,所述请求时长根据当前时间和所述登录验证请求的请求时间确定;
若所述请求时长超过预设时长阈值,拦截所述业务请求,并通知所述业务请求方重新发送登录验证请求。
7.一种业务请求处理方法,其特征在于,所述方法包括:
在服务器中设置安全软件防火墙,所述安全软件防火墙将代理地址和代理端口暴露于互联网;
所述安全软件防火墙获取业务请求,根据所述业务请求的请求业务信息和预设路由信息表从各子应用服务器中确定目标服务器;
获取所述目标服务器的待处理任务队列;
若所述待处理任务队列的任务缓存已满,则将所述业务请求丢弃;
若所述待处理任务队列包括空闲任务缓存,则将所述业务请求转发至所述待处理任务队列。
8.如权利要求7所述的业务请求处理方法,其特征在于,获取所述业务请求之前,所述方法还包括:
获取业务请求发送方的登录验证请求;
生成所述业务请求发送方的公钥、私钥和随机数,并根据所述私钥对上述随机数加密;
将所述公钥和加密后的随机数发送给所述业务请求发送方;
获取所述业务请求,所述业务请求包括随机数;
根据所述随机数对所述业务请求进行验证,若验证通过,根据所述请求业务信息和预设路由信息表从各所述子应用服务器中确定目标服务器。
9.一种电子设备,其特征在于,包括处理器、存储器和通信总线;
所述通信总线用于将所述处理器和存储器连接;
所述处理器用于执行所述存储器中存储的计算机程序,以实现如权利要求7或8中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,
所述计算机程序用于使所述计算机执行如权利要求7或8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111401210.8A CN114172698A (zh) | 2021-11-19 | 2021-11-19 | 一种业务请求处理方法、Web服务器、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111401210.8A CN114172698A (zh) | 2021-11-19 | 2021-11-19 | 一种业务请求处理方法、Web服务器、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114172698A true CN114172698A (zh) | 2022-03-11 |
Family
ID=80480294
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111401210.8A Pending CN114172698A (zh) | 2021-11-19 | 2021-11-19 | 一种业务请求处理方法、Web服务器、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114172698A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12058055B2 (en) * | 2022-12-29 | 2024-08-06 | Stclab. Co., Ltd. | System and method for ensuring continuity of proxy-based service |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4802295B1 (ja) * | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
| CN105119986A (zh) * | 2015-08-12 | 2015-12-02 | 国家电网公司 | 一种基于预连接的Web反向代理方法 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| CN107864223A (zh) * | 2017-12-14 | 2018-03-30 | 科大智能电气技术有限公司 | 用于物联网设备终端与服务器之间的数据通信系统及方法 |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及系统 |
| CN111131188A (zh) * | 2019-12-09 | 2020-05-08 | 北京海益同展信息科技有限公司 | 通信连接方法及服务器、客户端、存储介质 |
| CN112235408A (zh) * | 2020-10-19 | 2021-01-15 | 新华三信息安全技术有限公司 | 网络系统、反向代理方法及反向代理服务器 |
-
2021
- 2021-11-19 CN CN202111401210.8A patent/CN114172698A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4802295B1 (ja) * | 2010-08-31 | 2011-10-26 | 株式会社スプリングソフト | ネットワークシステム及び仮想プライベート接続形成方法 |
| CN105119986A (zh) * | 2015-08-12 | 2015-12-02 | 国家电网公司 | 一种基于预连接的Web反向代理方法 |
| CN107835179A (zh) * | 2017-11-14 | 2018-03-23 | 山东超越数控电子股份有限公司 | 一种基于虚拟化容器的应用程序防护方法与装置 |
| CN107864223A (zh) * | 2017-12-14 | 2018-03-30 | 科大智能电气技术有限公司 | 用于物联网设备终端与服务器之间的数据通信系统及方法 |
| CN110287682A (zh) * | 2019-07-01 | 2019-09-27 | 北京芯盾时代科技有限公司 | 一种登录方法、装置及系统 |
| CN111131188A (zh) * | 2019-12-09 | 2020-05-08 | 北京海益同展信息科技有限公司 | 通信连接方法及服务器、客户端、存储介质 |
| CN112235408A (zh) * | 2020-10-19 | 2021-01-15 | 新华三信息安全技术有限公司 | 网络系统、反向代理方法及反向代理服务器 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12058055B2 (en) * | 2022-12-29 | 2024-08-06 | Stclab. Co., Ltd. | System and method for ensuring continuity of proxy-based service |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471432B (zh) | 防止网络应用程序接口被恶意攻击的方法 | |
| US8959650B1 (en) | Validating association of client devices with sessions | |
| CN102378170B (zh) | 一种鉴权及业务调用方法、装置和系统 | |
| US9769167B2 (en) | Authentication and authorization using device-based validation | |
| US9531749B2 (en) | Prevention of query overloading in a server application | |
| CN112671779B (zh) | 基于DoH服务器的域名查询方法、装置、设备及介质 | |
| CN107579991A (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| US10834131B2 (en) | Proactive transport layer security identity verification | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN104243419A (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
| CN112511565B (zh) | 请求响应方法、装置、计算机可读存储介质及电子设备 | |
| US11977620B2 (en) | Attestation of application identity for inter-app communications | |
| WO2023279782A1 (zh) | 一种访问控制方法、访问控制系统及相关设备 | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN118233187A (zh) | 访问控制方法、设备以及计算机可读介质 | |
| CN111147447A (zh) | 一种数据的保护方法及系统 | |
| CN114172698A (zh) | 一种业务请求处理方法、Web服务器、设备及介质 | |
| CN112328415A (zh) | 接口调用方法、装置、计算机设备和可读存储介质 | |
| CN116633562A (zh) | 一种基于WireGuard的网络零信任安全交互方法及系统 | |
| CN113225348B (zh) | 请求防重放校验方法和装置 | |
| CN111064731B (zh) | 一种浏览器请求的访问权限的识别方法、识别装置及终端 | |
| CN111163466B (zh) | 5g用户终端接入区块链的方法、用户终端设备及介质 | |
| CN114024682A (zh) | 跨域单点登录方法、服务设备及认证设备 | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| EP4322503A1 (en) | Identification of a computing device during authentication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |