CN114938288B - 一种数据访问方法、装置、设备以及存储介质 - Google Patents
一种数据访问方法、装置、设备以及存储介质 Download PDFInfo
- Publication number
- CN114938288B CN114938288B CN202210367819.6A CN202210367819A CN114938288B CN 114938288 B CN114938288 B CN 114938288B CN 202210367819 A CN202210367819 A CN 202210367819A CN 114938288 B CN114938288 B CN 114938288B
- Authority
- CN
- China
- Prior art keywords
- access
- firewall policy
- access request
- source
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000012795 verification Methods 0.000 claims abstract description 93
- 238000013475 authorization Methods 0.000 claims abstract description 55
- 230000004044 response Effects 0.000 claims abstract description 19
- 238000004590 computer program Methods 0.000 claims description 4
- 230000009977 dual effect Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 abstract description 11
- 238000010586 diagram Methods 0.000 description 7
- 230000003287 optical effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种数据访问方法、装置、设备以及存储介质。该方法包括:根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略;根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;若验证通过,则响应所述访问请求。本发明提供的方案,通过基于访问请求的接收时间来确定对应的有效防火墙策略,进而对访问请求进行响应,能够实现访问方在不同时间发出访问请求时,被访问方采用对应的防火墙策略进行授权验证并响应,保证了数据访问过程的安全性。
Description
技术领域
本发明实施例涉及计算机技术,尤其涉及一种数据访问方法、装置、设备以及存储介质。
背景技术
随着互联网技术的发展,不同终端之间的数据访问越来越普及。目前,通常在受访端引入防火墙策略,来保证数据访问的安全性。因此,如何更精准的基于防火墙策略来保证数据访问过程的安全性是当前亟需解决的问题。
发明内容
本发明提供一种数据访问方法、装置、设备以及存储介质,能够实现访问方在不同时间发出访问请求时,被访问方采用对应的防火墙策略进行授权验证并响应,保证了数据访问过程的安全性。
第一方面,本发明实施例提供了一种数据访问方法,包括:
根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略;
根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;
若验证通过,则响应所述访问请求。
第二方面,本发明实施例还提供了一种数据访问装置,包括:
确定模块,用于根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略;
验证模块,用于根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;
响应模块,用于若验证通过,则响应所述访问请求。
第三方面,本发明实施例还提供了一种电子设备,该电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所提供的数据访问方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序。其中,该程序被处理器执行时实现如本发明任意实施例所提供的数据访问方法。
本发明实施例中,Web服务器根据访问请求的接收时间,确定访问请求对应的有效防火墙策略,根据有效防火墙策略对访问请求的访问方进行授权验证,若验证通过,则响应访问请求。通过基于访问请求的接收时间来确定对应的有效防火墙策略,进而对访问请求进行响应,能够实现不同访问方或访问方在不同时间发出访问请求时,Web服务器针对性的采用防火墙策略进行授权验证并响应,从而保证了数据访问过程的安全性。
附图说明
图1为本发明实施例一提供的一种数据访问方法的流程图;
图2为本发明实施例二提供的一种数据访问方法的流程图;
图3为本发明实施例三提供的一种数据访问方法的示意图;
图4为本发明实施例四提供的一种数据访问装置的结构框图;
图5为本发明实施例五提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
在介绍本发明实施例之前,需要说明的是,Web(World Wide Web,互联网)应用,是指通过浏览器网页启动的应用程序。同一局域网下的不同访问方设备,虽然其访问Web应用的源端口不同,但是同一访问方设备在不同时刻访问同一Web应用的源端口也不一定相同,所以基于该Web特性,现有技术往往以源IP(Internet Protocol,网际互连协议)作为防火墙策略限制条件,来对访问方进行校验。但是,因此,仅以源IP作为策略会放大IP隐藏的窗口,无法细化地针对同一局域网下的每个用户访问端,来进行验证并响应。
基于上述问题,本发明实施例可以用来解决局域网(即内网)环境下,由于访问方设备的源端口不断变化而导致的无法针对性地确定防火墙策略并响应的问题。
实施例一
图1为本发明实施例一提供的一种数据访问方法的流程图,本实施例适用于Web服务器响应数据访问方发起的访问请求的情况,尤其适用于Web服务器响应同一局域网下的不同访问方设备或同一访问方设备在不同时刻发起的访问请求的情况。该方法可以由数据访问装置来执行,该装置可以采用软件和/或硬件的方式实现,并可集成于具有数据访问功能的电子设备中,例如,web应用对应的web服务器,如图1所示,本实施例提供的数据访问方法具体包括:
S101、根据访问请求的接收时间,确定访问请求对应的有效防火墙策略。
其中,访问请求是指访问方向web服务器发出的对服务器进行访问的请求。访问请求至少包括访问方应用的相关信息,如访问方源IP地址;或者访问方源IP地址和源端口。访问方可以是访问端用户所属的设备,具体的,访问方可以通过设备上的浏览器发出访问请求。接收时间是指web服务器接收到访问请求的时间。有效防火墙策略是指对预设的对访问请求所包含的信息进行验证的策略,例如,有效防火墙策略可以预先存储有web服务器允许访问的访问方的相关信息。需要说明的是,本实施的方案中有多种防火墙策略,不同的防火墙策略具有对应的有效周期。
可选的,web服务器可以接收用户通过web浏览器访问web应用时发出的访问请求,根据访问请求的接收时间,确定出该接收时间所处的有效周期,进一步根据该有效周期,从多个预存的防火墙策略中确定出有效防火墙策略作为访问请求对应的有效防火墙策略,即根据访问请求的接收时间,确定访问请求对应的有效防火墙策略。
优选的,若预先设置两个有效防火墙策略,则相应的,根据访问请求的接收时间,确定访问请求对应的有效防火墙策略,包括:若访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将第一防火墙策略作为访问请求对应的有效防火墙策略;若访问请求的接收时间在第二防火墙策略对应的第二有效周期内,则将第二防火墙策略作为访问请求对应的有效防火墙策略。
其中,第一防火墙策略基于IP(源网际互连协议)地址的单一匹配策略设置;第二防火墙策略基于源IP地址和源端口的双重匹配策略设置。源IP地址是指发出访问请求的访问方的IP地址。需要说明的是,本实施例中提到的访问方处于局域网环境,因此不同用户在不同设备端访问web服务器时,其源IP地址是相同的。源端口是发出访问请求的访问方的端口号,对于不同的用户设备,或同一用户设备在不同时间访问web服务器时,其源端口是不同的。第一有效周期是指第一防火墙策略有效的时间周期。第二有效周期是指第二防火墙策略有效的时间周期。且第一有效周期时长较短,如仅几秒钟;第二有效周期的时长相对较长,如可以是一天。
示例性的,web服务器确定访问请求的接收时间之后,可以根据访问请求的接收时间,确定接收时间所处的有效周期,若访问请求的接收时间在第一有效周期内,则将第一防火墙策略作为有效防火墙策略,若接收时间超出了第一有效周期,则第一防火墙策略是失效的,此时接收时间落在了第二有效周期内,因此将第二防火墙策略作为有效防火墙策略。
S102、根据有效防火墙策略对访问请求的访问方进行授权验证。
可选的,web服务器接收到访问请求之后,可以获取访问请求中的访问方相关信息,进一步根据有效防火墙策略,从访问方相关信息中确定需要进行验证的信息,即待验证信息,根据防火墙策略中对应的规则,确定待验证信息是否是有效的,即根据有效防火墙策略对访问请求的访问方进行授权验证。
需要说明的是,不同的防火墙策略可能需要对不同的访问方信息进行验证,如,第一防火墙策略可以是对访问请求中访问方的源IP地址进行验证,第二防火墙策略可以是对访问请求中访问方的源IP地址和源端口进行验证,具体的,根据有效防火墙策略对访问请求的访问方进行授权验证,包括:若有效访问策略为第一防火墙策略,则从访问请求中获取访问源IP地址,并根据访问源IP地址和第一防火墙策略,对访问请求的访问方进行授权验证;若有效访问策略为第二防火墙策略,则从访问请求中获取访问源IP地址和访问源端口,并根据访问源IP地址、访问源端口和第二防火墙策略,对访问请求的访问方进行授权验证。
可选的,若web服务器根据访问请求的接收时间,确定有效防火墙策略为第一防火墙策略,则可以从访问请求中提取出访问方的源IP地址信息,进一步将源IP地址与预存的第一防火墙策略允许访问的IP地址进行匹配,判断是否匹配。即根据访问源IP地址,对访问请求的访问方进行授权验证。
可选的,若web服务器根据访问请求的接收时间,确定有效防火墙策略为第二防火墙策略,则可以从访问请求中提取出访问方的源IP地址和访问源端口信息,分别将源IP地址和访问源端口与预存的第一防火墙策略允许访问的IP地址和源端口进行匹配,判断是否匹配,即根据访问源IP地址和第一防火墙策略,对访问请求的访问方进行授权验证。
S103、若验证通过,则响应访问请求。
可选的,web服务器可以确定访问请求中的待验证信息是否是有效的,若是,则认为对访问方的授权验证通过,若否,则认为对访问方的授权验证不通过。具体的,若web服务器确定有效防火墙策略为第一防火墙策略,则可以将访问请求中的源IP地址与预存的第一防火墙策略允许访问的IP地址进行匹配,若匹配成功,则认为对访问方的授权验证通过,若否,则不通过;若web服务器确定有效防火墙策略为第二防火墙策略,则分别将访问请求中的源IP地址和访问源端口与预存的第一防火墙策略允许访问的IP地址和源端口进行匹配,若匹配成功,则认为对访问方的授权验证通过,若否,则不通过。
可选的,验证通过之后,web服务器可以根据访问请求的内容,对浏览器做出响应,即响应访问请求。
可选的,根据有效防火墙策略对访问请求的访问方进行授权验证之后,若验证不通过,则web服务器可以直接拒绝,不对该访问请求进行响应。
本发明实施例中,web服务器根据访问请求的接收时间,确定访问请求对应的有效防火墙策略,根据有效防火墙策略对访问请求的访问方进行授权验证,若验证通过,则响应访问请求。通过基于访问请求的接收时间来确定对应的有效防火墙策略,进而对访问请求进行响应,给出了不同访问方或访问方在不同时间发出访问请求时,web服务器采用针对性的防火墙策略进行授权验证并响应的方案,可以保证数据访问过程的安全性。
可选的,若有效访问策略为第一防火墙策略,则对访问请求的访问方进行授权验证之后,还包括:若对访问请求的访问方授权验证通过,且访问请求为第一有效周期内接收的首个访问请求,则根据访问请求中携带的访问源IP地址和访问源端口,设置第二防火墙策略以及第二防火墙策略关联的第二有效周期。
具体的,若针对本次访问请求,确定的有效访问策略为第一防火墙策略,且基于第一防火墙策略,对本次访问请求的访问方授权验证通过,则认为访问方完成了与Web应用的首次访问,此时以为这Web服务器端已经获取到了访问方的源端口(即访问源端口),所以下次访问时,需要基于更严格的第二防火墙策略,对访问方进行授权验证,因此进一步根据访问请求中携带的访问源IP地址和访问源端口,将该访问源IP和访问源端口设置为第二防火墙策略允许访问授权的IP和端口并存储,即设置第二防火墙策略,第二有效周期可以设置大于第一有效周期的时长,例如,可以设置第二有效周期为一天,即设置第二防火墙策略关联的第二有效周期。
通过设置第二防火墙策略和第二有效周期,在访问方下次访问时,若web服务器判断接收时间位于第二有效周期时,则可以基于第二防火墙策略对访问方进行授权验证。
可选的,可以预先设置在第一有效周期内,web服务器只能为一个授权验证通过的访问方进行响应,从而保证访问方获得一次响应后,访问方下次访问时,需要基于更严格的第二防火墙策略进行验证,才能被响应。
需要说明的是,通过设置比第一防火墙策略更严格的第二防火墙策略,可以更好的解决同一局域网下访问方的源IP相同且源端口不断变化的问题,保证了端口号不同的访问端在都经过了针对性的授权验证后,才能成功访问web服务器,实现了数据的安全传输。
实施例二
图2为本发明实施例二提供的一种数据访问方法的流程图,本实施例在上述实施例的基础上,进一步对如何设置第一防火墙策略以及关联的第一有效周期的过程进行详细的解释说明,如图2所示,本实施例提供的数据访问方法具体包括:
S201、获取控制服务器端传输的初始源IP地址。
其中,控制服务器是用于对访问方发送的报文数据进行验证的服务器,即初步判断访问方是否能够访问Web应用的服务器。初始源IP地址是控制服务器端对访问方发送的报文数据验证通过后传输的,初始源IP地址包含于报文数据中;报文数据根据访问方的登录信息生成。
可选的,本实施例web服务器获取控制服务器端传输的初始源IP地址的过程可以是:用户通过浏览器登录控制服务器,浏览器会对用户的登录信息(如用户账号、密码)和初始源IP地址(即浏览器对应的源IP地址)进行单包授权认证(SPA)报文组包处理,得到报文数据,并调用浏览器API(Application Programming Interface,应用程序编程接口),基于用户数据报协议(User Datagram Protocol,UDP)的网络实时通信协议(Web RTC),将报文数据传输至控制服务器,控制服务器在接收到报文数据之后,对访问方发送的报文数据进行验证,判断访问方是否被允许访问web服务器,若验证通过,则控制服务器会将验证通过的初始源IP地址传输至web服务器,由此,web服务器可以获取到控制服务器端传输的初始源IP地址。
可选的,报文数据是在访问方在监听到访问响应超时事件或登录成功事件后,生成并发送至控制服务器的。其中,访问响应超时事件是指访问方发出访问请求后预设时间段内未收到响应信息的事件。登录成功事件是指访问方监听到用户通过浏览器成功登录控制服务器的事件。
需要说明的是,通过利用控制服务器,可以在浏览器发出访问请求时,根据访问请求中的源IP地址信息,对报文数据进行验证,在验证通过的情况下再转向web服务器,从而可以保证访问方身份的准确性,提高数据传输的效率和安全性,另外,还可以使得浏览器和web服务器之间的端口实现隐藏。
S202、根据初始源IP地址,设置第一防火墙策略,以及第一防火墙策略关联的第一有效周期。
可选的,web服务器可以根据访问请求中携带的访问源IP地址,将该访问源IP设置为第一防火墙策略允许访问授权的IP地址并存储,即设置第一防火墙策略。
可选的,第一防火墙策略关联的第一有效周期可以设置为:小于第二有效周期的一个固定的,较小的时间值,示例性的,第一有效周期可以设置为浏览器访问一次web服务器所需的平均时间,如2秒。第一有效周期也可以设置为:从设置第一防火墙策略到web服务器第一次接收到访问请求之间的时间段,也就是说,在web服务器接收到访问方的第一次访问请求之后,第一有效周期结束。第一有效周期还可以设置为:从设置第一防火墙策略到web服务器检测到第二有效周期设置成功之间的时间段,也就是说,在web服务器检测到第二有效周期设置成功之后,第一有效周期结束。
需要说明的是,S201-S202对应的是浏览器访问Web之前的一次敲门过程。
S203、若访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将第一防火墙策略作为访问请求对应的有效防火墙策略。
可选的,若访问请求的接收时间在第二防火墙策略对应的第二有效周期内,则将第二防火墙策略作为访问请求对应的有效防火墙策略。
S204、若有效访问策略为第一防火墙策略,则从访问请求中获取访问源IP地址,并根据访问源IP地址和第一防火墙策略,对访问请求的访问方进行授权验证。
可选的,若有效访问策略为第二防火墙策略,则从访问请求中获取访问源IP地址和访问源端口,并根据访问源IP地址、访问源端口和第二防火墙策略,对访问请求的访问方进行授权验证。
可选的,若有效访问策略为第一防火墙策略,则对访问请求的访问方进行授权验证之后,还包括:若对访问请求的访问方授权验证通过,且访问请求为第一有效周期内接收的首个访问请求,则根据访问请求中携带的访问源IP地址和访问源端口,设置第二防火墙策略,以及第二防火墙策略关联的第二有效周期。
S205、若验证通过,则响应访问请求。
本发明实施例中,web服务器先获取控制服务器端传输的初始源IP地址,然后根据初始源IP地址,设置第一防火墙策略,以及第一防火墙策略关联的第一有效周期,若访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将第一防火墙策略作为有效防火墙策略,从访问请求中获取访问源IP地址,并根据访问源IP地址和第一防火墙策略,对访问请求的访问方进行授权验证,若验证通过,则响应访问请求。通过这样的方式,给出了设置第一防火墙策略,以及第一防火墙策略关联的第一有效周期的一种可实施方式,便于进一步基于访问请求的接收时间来确定对应的有效防火墙策略,进而对访问请求进行响应,实现了不同访问方或访问方在不同时间发出访问请求时,web服务器采用针对性的防火墙策略进行授权验证并响应的方案,可以保证数据访问过程的安全性。
实施例三
图3为本发明实施例三提供的一种数据访问方法的示意图,本实施在上述实施例的基础上,给出了浏览器、控制服务器以及Web服务器三方交互,实现对浏览器的数据访问请求进行响应的优选实例。
如图3所示,本实施例提供的数据访问方法具体包括:
示例性的,如图3所示,步骤①-⑤展示的是一次敲门过程:
浏览器检测到用户通过浏览器在控制服务器登录成功(如,用户通过浏览器点击百度,进入登录控制服务器界面,然后输入账号密码后,即成功登录控制服务器),将用户的认证信息(如账号密码源IP等信息),基于UDP协议,按照一定的格式,生成用于单包授权认证(SPA)的报文组包,即得到报文数据,浏览器调用浏览器API,基于UDP(一种无连接的传输协议)的网页即时通信协议(WebRTC)发送SPA报文到控制服务器,示例性的,组包可以通过对用户-密码-IP进行加密的方式获得。进一步的,控制器服务器校验SPA包内容(即对报文数据进行验证)。校验方式可以为:控制服务器中预先存储一些用户名密码,根据获取的报文数据,进行匹配,若可以匹配,且信息和组包格式是正确的,则认为校验通过。需要说明的是,不论校验是否通过,控制服务器都不对浏览器进行反馈,即不对报文进行响应。控制服务器校验通过之后,确定从UDP报文中获取浏览器初始源IP地址,并通过web服务器的授权准入接口传递给web服务器。具体的,控制服务器可以调用web服务器的授权准入接口,将浏览器源IP传递给web服务器。web服务器可以基于源IP来设置第一防火墙策略(策略为:若是源IP,则通过,开放访问,否则,进行拦截),并设置一个周期(第一有效周期)。具体的,在第一有效周期内,只要访问方的源IP没有变化,则web服务器均允许访问方访问。第一有效周期一般设置为几秒,如2秒,优选的,可设置为允许浏览器访问一次web服务器的时间。
示例性的,如图3所示,步骤⑥-⑧展示的是一次成功访问过程:
web服务器第一次接收到浏览器的访问请求(携带浏览器的源IP和源端口的访问请求),此时接收时间位于第一有效周期内,因此基于第一防火墙策略,进行授权验证,具体的,如图3所示,第⑥步还处于第一有效周期内,因此,web服务器基于第一防火墙策略,进行IP匹配并验证通过之后,可以基于IP地址响应浏览器的访问请求,此时浏览器成功访问。进一步根据源IP和源端口,确定第二防火墙策略,并设置第二有效周期,第二有效周期可设置为1天。web服务器可以基于第二防火墙策略,获取访问请求中的源IP和源端口,具体的,对源IP和源端口进行匹配,验证通过时,正常响应。
浏览器可以监听页面访问请求状态是否成功响应,当访问请求在超过预设时间内未响应,则认为需要持续敲门,即重复①-⑤步骤(未监听到访问请求的应答结果,则返回重新执行第一步),由于TCP具有自动重试能力,可以确保⑥-⑧步骤可以持续。
示例性的,如图3所示,步骤展示的是一次未响应的访问过程:
新的源IP地址或新的源端口访问方发出访问请求,进行访问时,web服务器基于有效的防火墙策略,若验证不通过,则直接拒绝响应。
需要说明的是,浏览器可以利用TCP的自动重试能力,当页面请求的端口变化导致web服务器不对浏览器发送的访问请求进行响应时,浏览器可以在web页面通过JavaScript的Hook方式,监听页面的网络请求状态,当一段时间无响应,则认为需要重新敲门,即重复①-⑤的步骤重新放开源IP准入规则(基于源IP生成第一防火墙策略),同时,若浏览器检测到web服务器超时未响应,可以基于TCP协议,进行重试,但⑥-⑧步骤可能会短暂的由于未基于新的源端口信息设置对应的第二防火墙策略,web服务器拒绝浏览器的访问,但是随着①-⑤的步骤的进行,初始源IP地址重新被放开(对浏览器的授权验证通过),则浏览器可以成功访问,成功执行⑥-⑧的步骤。其中,步骤⑨为web页面的网络请求状态检测,其预先设置的超时时间也应该很短,一般略短于访问请求的平均访问时间。
本发明实施,通过浏览器、控制服务器以及Web服务器三方交互,给出了不同访问方或访问方在不同时间向web服务器发出访问请求时,web服务器采用针对性的防火墙策略进行授权验证并响应的方案,可以保证数据访问过程的安全性。
实施例四
图4为本发明实施例四提供的一种数据访问装置的结构框图,本发明实施例所提供的一种数据访问装置可执行本发明任一实施例所提供的数据访问方法,具备执行方法相应的功能模块和有益效果。
该数据访问装置可以包括:确定模块401、验证模块402和响应模块403。
其中,确定模块401,用于根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略;
验证模块402,用于根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;
响应模块403,用于若验证通过,则响应所述访问请求。
本发明实施例中,web服务器根据访问请求的接收时间,确定访问请求对应的有效防火墙策略,根据有效防火墙策略对访问请求的访问方进行授权验证,若验证通过,则响应访问请求。通过基于访问请求的接收时间来确定对应的有效防火墙策略,进而对访问请求进行响应,能够实现不同访问方或访问方在不同时间发出访问请求时,web服务器采用针对性的防火墙策略进行授权验证并响应,从而保证了数据访问过程的安全性。
进一步的,确定模块401可以包括:
第一确定单元,用于若所述访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将所述第一防火墙策略作为所述访问请求对应的有效防火墙策略;
第二确定单元,用于若所述访问请求的接收时间在第二防火墙策略对应的第二有效周期内,则将所述第二防火墙策略作为所述访问请求对应的有效防火墙策略;
其中,所述第一防火墙策略基于源网际互连协议IP地址的单一匹配策略设置;所述第二防火墙策略基于源IP地址和源端口的双重匹配策略设置。
进一步的,验证模块402可以包括:
第一验证单元,用于若所述有效访问策略为第一防火墙策略,则从所述访问请求中获取访问源IP地址,并根据所述访问源IP地址和所述第一防火墙策略,对所述访问请求的访问方进行授权验证;
第二验证单元,用于若所述有效访问策略为第二防火墙策略,则从所述访问请求中获取访问源IP地址和访问源端口,并根据所述访问源IP地址、访问源端口和所述第二防火墙策略,对所述访问请求的访问方进行授权验证。
进一步的,验证模块402还用于:
若所述有效访问策略为第一防火墙策略,则对所述访问请求的访问方进行授权验证之后,还包括:若对所述访问请求的访问方授权验证通过,且所述访问请求为所述第一有效周期内接收的首个访问请求,则根据所述访问请求中携带的访问源IP地址和所述访问源端口,设置第二防火墙策略,以及所述第二防火墙策略关联的第二有效周期。
进一步的,确定模块401还包括:
获取单元,用于获取控制服务器端传输的初始源IP地址;其中,所述初始源IP地址是所述控制服务器端对访问方发送的报文数据验证通过后传输的;所述初始源IP地址包含于所述报文数据中;所述报文数据根据所述访问方的登录信息生成;
设置单元,用于根据所述初始源IP地址,设置第一防火墙策略,以及所述第一防火墙策略关联的第一有效周期。
进一步的,所述报文数据是在访问方在监听到访问响应超时事件或登录成功事件后,生成并发送至所述控制服务器的。
进一步的,所述访问方处于局域网环境。
实施例五
图5为本发明实施例五提供的一种电子设备的结构示意图。图5示出了适于用来实现本发明实施例实施方式的示例性设备的框图。图5显示的设备仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图5所示,电子设备12以通用计算设备的形式表现。电子设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,系统存储器28,连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,外围总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及外围组件互连(PCI)总线。
电子设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被电子设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
系统存储器28可以包括易失性存储器形式的计算机系统可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器(高速缓存32)。电子设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例,存储系统34可以用于读写不可移动的、非易失性磁介质(图5未显示,通常称为“硬盘驱动器”)。尽管图5中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明实施例各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如系统存储器28中,这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明实施例所描述的实施例中的功能和/或方法。
电子设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该电子设备12交互的设备通信,和/或与使得该电子设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,电子设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与电子设备12的其它模块通信。应当明白,尽管图5中未示出,可以结合电子设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
处理单元16通过运行存储在系统存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的数据访问方法。
实施例六
本发明实施例六还提供一种计算机可读存储介质,其上存储有计算机程序(或称为计算机可执行指令),该程序被处理器执行时用于执行本发明实施例所提供的数据访问方法。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明实施例操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络包括局域网(LAN)或广域网(WAN)连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明实施例进行了较为详细的说明,但是本发明实施例不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (7)
1.一种数据访问方法,其特征在于,包括:
根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略,包括:若所述访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将所述第一防火墙策略作为所述访问请求对应的有效防火墙策略;若所述访问请求的接收时间在第二防火墙策略对应的第二有效周期内,则将所述第二防火墙策略作为所述访问请求对应的有效防火墙策略;其中,所述第一防火墙策略基于源网际互连协议IP地址的单一匹配策略设置;所述第二防火墙策略基于源IP地址和源端口的双重匹配策略设置;
根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;
若验证通过,则响应所述访问请求;
其中,所述根据所述有效防火墙策略对所述访问请求的访问方进行授权验证,包括:
若所述有效防火墙策略为第一防火墙策略,则从所述访问请求中获取访问源IP地址,并根据所述访问源IP地址和所述第一防火墙策略,对所述访问请求的访问方进行授权验证;若对所述访问请求的访问方授权验证通过,且所述访问请求为所述第一有效周期内接收的首个访问请求,则根据所述访问请求中携带的访问源IP地址和访问源端口,设置第二防火墙策略,以及所述第二防火墙策略关联的第二有效周期;
若所述有效防火墙策略为第二防火墙策略,则从所述访问请求中获取访问源IP地址和访问源端口,并根据所述访问源IP地址、访问源端口和所述第二防火墙策略,对所述访问请求的访问方进行授权验证。
2.根据权利要求1所述的方法,其特征在于,还包括:
获取控制服务器端传输的初始源IP地址;其中,所述初始源IP地址是所述控制服务器端对访问方发送的报文数据验证通过后传输的;所述初始源IP地址包含于所述报文数据中;所述报文数据根据所述访问方的登录信息生成;
根据所述初始源IP地址,设置第一防火墙策略,以及所述第一防火墙策略关联的第一有效周期。
3.根据权利要求2所述的方法,其特征在于,其中,所述报文数据是在访问方在监听到访问响应超时事件或登录成功事件后,生成并发送至所述控制服务器的。
4.根据权利要求1-3中任一项所述方法,其特征在于,其中,所述访问方处于局域网环境。
5.一种数据访问装置,其特征在于,包括:
确定模块,用于根据访问请求的接收时间,确定所述访问请求对应的有效防火墙策略;
验证模块,用于根据所述有效防火墙策略对所述访问请求的访问方进行授权验证;
响应模块,用于若验证通过,则响应所述访问请求;
其中,确定模块包括:第一确定单元,用于若所述访问请求的接收时间在第一防火墙策略对应的第一有效周期内,则将所述第一防火墙策略作为所述访问请求对应的有效防火墙策略;第二确定单元,用于若所述访问请求的接收时间在第二防火墙策略对应的第二有效周期内,则将所述第二防火墙策略作为所述访问请求对应的有效防火墙策略;其中,所述第一防火墙策略基于源网际互连协议IP地址的单一匹配策略设置;所述第二防火墙策略基于源IP地址和源端口的双重匹配策略设置;
其中,验证模块包括:第一验证单元,用于若所述有效防火墙策略为第一防火墙策略,则从所述访问请求中获取访问源IP地址,并根据所述访问源IP地址和所述第一防火墙策略,对所述访问请求的访问方进行授权验证;第二验证单元,用于若所述有效防火墙策略为第二防火墙策略,则从所述访问请求中获取访问源IP地址和访问源端口,并根据所述访问源IP地址、访问源端口和所述第二防火墙策略,对所述访问请求的访问方进行授权验证;
其中,验证模块还用于:若所述有效防火墙策略为第一防火墙策略,则对所述访问请求的访问方进行授权验证之后,还包括:若对所述访问请求的访问方授权验证通过,且所述访问请求为所述第一有效周期内接收的首个访问请求,则根据所述访问请求中携带的访问源IP地址和所述访问源端口,设置第二防火墙策略,以及所述第二防火墙策略关联的第二有效周期。
6.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储器,用于存储一个或多个程序;
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-4中任一项所述的数据访问方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-4中任一项所述的数据访问方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210367819.6A CN114938288B (zh) | 2022-04-08 | 2022-04-08 | 一种数据访问方法、装置、设备以及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210367819.6A CN114938288B (zh) | 2022-04-08 | 2022-04-08 | 一种数据访问方法、装置、设备以及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114938288A CN114938288A (zh) | 2022-08-23 |
| CN114938288B true CN114938288B (zh) | 2024-04-26 |
Family
ID=82862303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210367819.6A Active CN114938288B (zh) | 2022-04-08 | 2022-04-08 | 一种数据访问方法、装置、设备以及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114938288B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114615085A (zh) * | 2022-04-12 | 2022-06-10 | 北京指掌易科技有限公司 | 一种通信方法、装置、设备和存储介质 |
| CN116582362B (zh) * | 2023-07-11 | 2023-09-26 | 建信金融科技有限责任公司 | 网络访问的控制方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| KR102020178B1 (ko) * | 2019-03-21 | 2019-09-09 | 김상환 | 동적 정책 제어를 수행하는 방화벽 시스템 |
| CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN113596040A (zh) * | 2021-08-02 | 2021-11-02 | 中国建设银行股份有限公司 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10462104B2 (en) * | 2016-02-29 | 2019-10-29 | Level 3 Communications, Llc | Systems and methods for dynamic firewall policy configuration |
| US10951582B2 (en) * | 2018-02-09 | 2021-03-16 | Comcast Cable Communications, Llc | Dynamic firewall configuration |
-
2022
- 2022-04-08 CN CN202210367819.6A patent/CN114938288B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103561002A (zh) * | 2013-10-22 | 2014-02-05 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| CN108429743A (zh) * | 2018-02-28 | 2018-08-21 | 新华三信息安全技术有限公司 | 一种安全策略配置方法、系统、域控服务器及防火墙设备 |
| KR102020178B1 (ko) * | 2019-03-21 | 2019-09-09 | 김상환 | 동적 정책 제어를 수행하는 방화벽 시스템 |
| CN110941853A (zh) * | 2019-11-22 | 2020-03-31 | 星环信息科技(上海)有限公司 | 一种数据库的权限控制方法、计算机设备及存储介质 |
| CN111277586A (zh) * | 2020-01-17 | 2020-06-12 | 武汉思普崚技术有限公司 | 一种防火墙安全策略的调整方法及装置 |
| CN111711635A (zh) * | 2020-06-23 | 2020-09-25 | 平安银行股份有限公司 | 防火墙开墙方法、装置、计算机设备及存储介质 |
| CN113596040A (zh) * | 2021-08-02 | 2021-11-02 | 中国建设银行股份有限公司 | 安全策略部署方法、访问控制方法及装置、访问控制系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114938288A (zh) | 2022-08-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109150907B (zh) | 车载工控机登录方法、装置、系统、计算机设备及介质 | |
| US7886339B2 (en) | Radius security origin check | |
| KR101076911B1 (ko) | 애플리케이션에 보안을 제공하기 위한 시스템 및 방법 | |
| CN114938288B (zh) | 一种数据访问方法、装置、设备以及存储介质 | |
| US8510817B1 (en) | Two-factor anti-phishing authentication systems and methods | |
| CN109587162B (zh) | 登录验证方法、装置、终端、密码服务器及存储介质 | |
| US20050188210A1 (en) | System and method facilitating secure credential management | |
| US20100175113A1 (en) | Secure System Access Without Password Sharing | |
| US11770385B2 (en) | Systems and methods for malicious client detection through property analysis | |
| CN112600908A (zh) | 一种通信链路的获取方法、装置、设备及存储介质 | |
| CN111327615A (zh) | 一种cc攻击防护方法及其系统 | |
| CN113225351B (zh) | 一种请求处理方法、装置、存储介质及电子设备 | |
| CN114598489B (zh) | 一种确定信任终端的方法及相关装置 | |
| US11777942B2 (en) | Transfer of trust between authentication devices | |
| CN115022047B (zh) | 基于多云网关的账户登录方法、装置、计算机设备及介质 | |
| CN114124556B (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
| CN114448734A (zh) | 一种网络访问方法、装置、设备以及存储介质 | |
| CN111901289B (zh) | 一种身份认证的方法、装置、设备及存储介质 | |
| CN112202813B (zh) | 网络访问方法及装置 | |
| CN114125027A (zh) | 一种通信建立方法、装置、电子设备及存储介质 | |
| US8904487B2 (en) | Preventing information theft | |
| CN114866247B (zh) | 一种通信方法、装置、系统、终端及服务器 | |
| CN111901290B (zh) | 一种身份认证的方法和装置 | |
| CN107045603A (zh) | 一种应用的调用控制方法和装置 | |
| CN111193708A (zh) | 一种基于企业浏览器实现的扫码登录方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |