CN115549966A - 业务请求的安全审计方法和装置 - Google Patents
业务请求的安全审计方法和装置 Download PDFInfo
- Publication number
- CN115549966A CN115549966A CN202211025079.4A CN202211025079A CN115549966A CN 115549966 A CN115549966 A CN 115549966A CN 202211025079 A CN202211025079 A CN 202211025079A CN 115549966 A CN115549966 A CN 115549966A
- Authority
- CN
- China
- Prior art keywords
- service
- request
- service request
- application service
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 191
- 238000012550 audit Methods 0.000 title claims abstract description 37
- 230000008569 process Effects 0.000 claims abstract description 154
- 238000002347 injection Methods 0.000 claims abstract description 15
- 239000007924 injection Substances 0.000 claims abstract description 15
- 238000012360 testing method Methods 0.000 claims description 39
- 238000012545 processing Methods 0.000 claims description 9
- 238000012544 monitoring process Methods 0.000 claims description 7
- 238000004590 computer program Methods 0.000 claims description 3
- 230000006870 function Effects 0.000 description 8
- 238000004091 panning Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 239000000243 solution Substances 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例描述了业务请求的安全审计方法和装置。根据实施例的方法,在对业务请求的安全性进行审计时,首先确定第一应用服务的业务进程,并在该业务进程中注入第一应用服务的身份标识。然后获取该业务进程发起的携带有第一应用服务的身份标识的业务请求。如此通过切面代码注入的方式将表征第一应用服务的身份标识注入到业务进程中,当业务请求发送到出口网关时,出口网关能够根据身份标识来确定该第一应用服务是否能够请求第二应用服务,从而提高操作系统中业务请求的安全性。
Description
技术领域
本说明书一个或多个实施例涉及网络安全技术领域,尤其涉及业务请求的安全审计方法和装置。
背景技术
随着计算机技术的发展,各应用服务之间需要发起或接收其他应用服务的业务请求来调用其他应用服务,以使应用服务实现相应的业务功能。比如,支付宝向淘宝发送业务请求,以调用淘宝的业务功能。
然而,操作系统内部的业务进程发起的业务请求很可能是非法请求。比如,操作系统被黑客入侵发起的业务请求、以及非可信应用服务之间的业务请求等。目前,虽然有方案通过注入切面到业务应用程序的目标方法中,能够一定程度上实现对该业务应用程序的监控。但其实质还是用于增强业务应用程序的代码功能,即对该业务应用程序的业务功能进行扩展。因此,其很难对应用程序发起的业务请求的安全性进行判断,一旦业务请求为非法请求,依然非常容易造成隐私和机密数据泄露等安全隐患。
因此,需要提供一种对业务请求进行安全审计的方案。
发明内容
本说明书一个或多个实施例描述了业务请求的安全审计方法和装置,能够提高操作系统中业务请求的安全性。
根据第一方面,提供了业务请求的安全审计方法,包括:
确定用于调度第一应用服务的业务进程;
在所述业务进程中注入所述第一应用服务的身份标识;
获取所述业务进程发起的业务请求;其中,所述业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且所述业务请求中携带有所述身份标识;
将所述业务请求发送到出口网关,以由所述出口网关根据所述身份标识对所述业务请求的安全性进行审计。
在一种可能的实现方式中,该方法进一步包括:
从操作系统内部获取至少一个进程;
将所述至少一个进程中的每一个非业务进程所发起的请求确定为非法请求;其中,所述非业务进程满足:该非业务进程所执行的应用服务不能请求其他应用服务所提供的服务。
在一种可能的实现方式中,所述将所述业务请求发送到出口网关,包括:
利用所述第一应用服务向所述第二应用服务发送测试数据包;
对所述测试数据包所传输的链路进行监控;
判断所述测试数据包是否经过所述出口网关;
若所述测试数据包经过所述出口网关,则直接发送所述业务请求;
若所述测试数据包未经过所述出口网关,则对所述业务请求执行重新定向至出口网关的处理,然后发送所述业务请求。
在一种可能的实现方式中,在业务进程发起的业务请求中,目标地址为所述第二应用服务的地址;目标端口为所述第二应用服务的端口;
所述对所述业务请求执行重新定向至出口网关的处理,包括:
将所述业务请求的目标地址修改为所述出口网关的地址;
将所述业务请求的目标端口修改为所述出口网关的端口;以及,
将第二应用服务的地址、第二应用服务的端口携带在所述业务请求的请求头中。
在一种可能的实现方式中,该方法进一步包括:预先设置至少一个可信集;其中,每一个可信集中包括:一种身份标识和至少一种外部应用服务,且每一个可信集中的身份标识所对应的应用服务能够向该可信集中的每一个外部应用服务发起业务请求;
所述出口网关根据所述身份标识对所述业务请求的安全性进行审计,包括:
从所述至少一个可信集中确定与所述业务请求所携带的身份标识相对应的目标可信集;
判断所述目标可信集中是否包括所述第二应用服务;
若所述第二应用服务在所述目标可信集中,则确定所述业务请求为合法请求,并由所述出口网关将所述业务请求转发至所述第二应用服务;
若所述第二应用服务不在所述目标可信集中,则确定所述业务请求为非法请求。
根据第二方面,提供了一种业务请求的安全审计装置,包括:业务进程获取模块、身份标识注入模块、业务请求获取模块和业务请求发送模块;
所述业务进程获取模块,配置为确定用于调度第一应用服务的业务进程;
所述身份标识注入模块,配置为在所述业务进程获取模块获取到的所述业务进程中注入所述第一应用服务的身份标识;
所述业务请求获取模块,配置为获取所述业务进程发起的业务请求;其中,所述业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且所述业务请求中携带有所述身份标识注入模块注入的所述身份标识;
所述业务请求发送模块,配置为将所述业务请求获取模块获取到的所述业务请求发送到出口网关,以由所述出口网关根据所述身份标识对所述业务请求的安全性进行审计。
在一种可能的实现方式中,该装置进一步包括:非法请求确定模块;该非法请求确定模块配置为执行如下操作:
从操作系统内部获取至少一个进程;
将所述至少一个进程中的每一个非业务进程所发起的请求确定为非法请求;其中,所述非业务进程满足:该非业务进程所执行的应用服务不能请求其他应用服务所提供的服务。
在一种可能的实现方式中,所述业务请求发送模块在将所述业务请求发送到出口网关时,配置成执行如下操作:
利用所述第一应用服务向所述第二应用服务发送测试数据包;
对所述测试数据包所传输的链路进行监控;
判断所述测试数据包是否经过所述出口网关;
若所述测试数据包经过所述出口网关,则直接发送所述业务请求;
若所述测试数据包未经过所述出口网关,则对所述业务请求执行重新定向至出口网关的处理,然后发送所述业务请求。
根据第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行第一方面中任一所述的方法。
根据第四方面,提供了一种计算设备,包括:存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现上述第一方面中任一所述的方法。
根据本说明书实施例提供的方法和装置,在对业务请求的安全性进行审计时,首先确定用于调度第一应用服务的业务进程,然后在该业务进程中注入第一应用服务的身份标识。进一步获取该业务进程发起的携带有第一应用服务的身份标识的业务请求,并将该业务请求发送到出口网关,以由出口网关根据身份标识对业务请求进行安全审计。由此可见,业务进程在发起业务请求时携带有注入到业务进程中的身份标识,如此出口网关在进行安全审计时根据身份标识可以知晓该第一应用服务是否能够请求第二应用服务,从而提高操作系统中业务请求的安全性。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本说明书的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本说明书一个实施例提供的一种业务请求的安全审计方法的流程图;
图2是本说明书一个实施例提供的一种向出口网关发送业务请求的方法的流程图;
图3是本说明书一个实施例提供的一种对业务请求执行重新定向的方法的流程图;
图4是本说明书一个实施例提供的一种出口网关进行安全审计的方法的流程图;
图5是本说明书一个实施例提供的一种业务请求的安全审计的实现框图;
图6是本说明书一个实施例提供的一种业务请求的安全审计装置的示意图。
具体实施方式
如前所述,操作系统内部的业务进程发起的业务请求行为一方面来自应用服务进程内部正常的请求,另一方面还可能是非法请求。例如,该非法请求可能是黑客在取得操作系统的控制权后,在操作系统中的一个进程发起的外部请求行为。比如,黑客在取得操作系统的控制权后,通过应用服务A调用当前进程外的应用服务B,从而获取到应用服务B中的隐私数据。非法请求还可能是操作系统引入了其他组件的非法请求行为。比如,应用服务C对于应用服务D来说是非可信应用服务,即应用服务C是无法调用应用服务D的。但应用服务C向应用服务D发起了业务请求,那么,此时的业务请求也为非法请求。因此,有必要对业务请求的安全性进行审计,以保证操作系统中的业务进程发起的业务请求安全可信。
目前在进行安全审计时,通常采取的方式是利用iptables通过指定的匹配条件来尝试匹配每个流经此处的流量,一旦匹配成功,则由规则后面指定的处理动作进行处理。例如一旦匹配上指定规则的流量,后续可以进行转发到指定IP、端口。然而,该方式主要是对流量的发送规则进行匹配,无法准确地对流量是否合法进行审核,容易造成安全隐患。此外,该方式需要清楚业务合法的流量发送规则,即需要知晓各流量要具体发送到哪。而且流量规则的匹配还容易影响操作系统的性能。
基于此,本方案考虑在操作系统内部的各业务进程中注入表征对应应用服务身份的身份标识,并且在该业务进程发起业务请求时将该身份标识也携带在业务请求中。如此当业务请求发送到出口网关时,出口网关可以根据该身份标识确定该业务请求的安全性。
如图1所示,本说明书实施例提供了业务请求的安全审计方法,该方法可以包括如下步骤:
步骤101:确定用于调度第一应用服务的业务进程;
步骤103:在业务进程中注入第一应用服务的身份标识;
步骤105:获取业务进程发起的业务请求;其中,业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且业务请求中携带有身份标识;
步骤107:将业务请求发送到出口网关,以由出口网关根据身份标识对业务请求的安全性进行审计。
本说明书实施例中,在对业务请求的安全性进行审计时,首先确定用于调度第一应用服务的业务进程,然后在该业务进程中注入第一应用服务的身份标识。进一步获取该业务进程发起的携带有第一应用服务的身份标识的业务请求,并将该业务请求发送到出口网关,以由出口网关根据身份标识对业务请求进行安全审计。由此可见,业务进程在发起业务请求时携带有注入到业务进程中的身份标识,如此出口网关在进行安全审计时根据身份标识可以知晓该第一应用服务是否能够请求第二应用服务,从而提高操作系统中业务请求的安全性。
下面结合具体的实施例对附图1中的各个步骤进行详细地说明。
首先在步骤101中,确定用于调度第一应用服务的业务进程。
通常一个应用服务唯一对应有一个业务进程。比如,百度对应有百度的业务进程、支付宝对应有支付宝的业务进程、淘宝对应有淘宝的业务进程。因此,当一个应用服务A向另一个应用服务B请求其所提供的服务时,首先可以确定该应用服务A所对应的业务进程。比如,本申请中,当第一应用服务请求第二应用服务所提供的服务时,可以首先确定第一应用服务所对应的业务进程,即用于调度第一应用服务的业务进程。
需要指出的是,进程可以包括业务进程和非业务进程,也就是说有些应用服务所对应的进程是非业务进程。比如,钉钉应用服务所对应的进程可以为非业务进程,即钉钉应用服务所对应的进程只能执行钉钉应用服务自身所提供的服务。而业务进程则是可以向该业务进程对应的应用服务之外的应用服务发起请求的进程,比如支付宝应用服务可以调用淘宝的应用服务。当然,对于业务进程和非业务进程具体可由人工经验预先进行定义,即由人工预先设定哪些应用服务对应的进程为业务进程,哪些应用服务对应的进程为非业务进程。
然后在步骤103中,在业务进程中注入第一应用服务的身份标识。
在步骤101确定了执行第一应用服务的业务进程之后,考虑在该业务进程中注入第一应用服务的身份标识。该第一应用服务的身份标识可以是能够唯一表征该第一应用服务的标识。比如,可以是第一应用服务的名称、IP、域名等。例如,当第一应用服务为支付宝时,则该第一应用服务的身份标识为zhifubao。当然,还可以对每一种应用服务定义一种简易的唯一标识。如支付宝用0010表示,淘宝用0011表示,百度用0100表示等。如此,在业务进程中注入的第一应用服务的身份标识可以为应用服务对应的简易唯一标识,使身份标识更加简洁,占用的资源更少。
在一种可能的实现方式中,步骤103可以通过切面代码注入的方式将表征第一应用服务的身份标识注入到业务进程中。
进一步在步骤105中,获取业务进程发起的业务请求。
本步骤中,业务进程发起的业务请求可以为第一应用服务向第二应用服务请求该第二应用服务所提供的服务功能。比如,第一应用服务可以为支付宝,第二应用服务可以为淘宝,该业务请求可以为支付宝发起的请求淘宝购买淘宝商品的功能。再比如,第一应用服务可以为支付宝,第二应用服务为摄像应用服务,该业务请求可以为支付宝发起的请求使用摄像功能的请求。
当然,值得注意的是,该业务进程发起的业务请求中需携带有第一应用服务的身份标识。比如,支付宝服务发起请求淘宝服务的业务请求时,该业务请求中携带有支付宝服务的身份标识。再比如,滴滴服务发起请求地图服务的业务请求时,该业务请求中携带有滴滴服务的身份标识。
最后在步骤107中,将业务请求发送到出口网关,以由出口网关根据身份标识对业务请求的安全性进行审计。
本步骤中,当业务进程发起业务请求时,有的应用服务的业务进程所发起的业务请求可能会通过出口网关转发到所要请求的应用服务,而有的应用服务的业务进程所发起的业务请求可能会直接发送至所要请求的应用服务。为了保证所有的业务请求都能通过出口网关进行转发,以实现对业务请求的安全审计。因此,考虑通过发送测试数据包的形式确定该业务请求是否会经过出口网关,从而采取相应的措施。
比如,在一种可能的实现方式中,如图2所示,步骤107在将业务请求发送到出口网关时,可通过包括如下步骤:
步骤201:利用第一应用服务向第二应用服务发送测试数据包;
步骤203:对测试数据包所传输的链路进行监控;
步骤205:判断测试数据包是否经过出口网关;
步骤207:若测试数据包经过出口网关,则直接发送业务请求;
步骤209:若测试数据包未经过出口网关,则对业务请求执行重新定向至出口网关的处理,然后发送业务请求。
本实施例中,在将业务请求发送到出口网关时,首先可以利用第一应用服务向第二应用服务发送测试数据包,然后对该测试数据包所传输的链路进行监控,以判断该测试数据包是否会经过出口网关。如果该测试数据包经过了出口网关,则说明该该业务请求也会经过出口网关,因此可以直接发送该业务请求,而且此时该业务请求会被发送至出口网关。而如果该测试数据包没有经过出口网关,则说明该业务请求也不会经过出口网关,其会被直接发送至第二应用服务。因此考虑对该业务请求执行重新定向至出口网关的处理,以使该业务请求被发送后经过出口网关。由此可见,通过本实施例能够使业务进程发起的所有业务请求都能够经过出口网关,并由出口网关对业务请求进行安全审计,从而能够保证每一个业务请求的安全性。
当测试数据包不经过出口网关时,需要将业务请求通过重新定向发送至出口网关。比如,在一种可能的实现方式中,可以通过透明劫持的方式进行重新定向,即对业务请求的目标地址和目标端口进行修改。其中,该业务进程发起的业务请求中,目标地址为第二应用服务的地址,目标端口为第二应用服务的端口。如此,如图3所示,步骤209在对业务请求执行重新定向至出口网关的处理时,可以通过如下步骤实现:
步骤301:将业务请求的目标地址修改为出口网关的地址;
步骤303:将业务请求的目标端口修改为出口网关的端口;以及,
步骤305:将第二应用服务的地址、第二应用服务的端口携带在业务请求的请求头中。
本实施例中,在对业务请求进行重新定向时,首先考虑将业务请求的目标地址修改为出口网关的地址,并将业务请求的目标端口修改为出口网关的端口。然后将第二应用服务的地址、第二应用服务的端口携带在业务请求的请求头中。如此当业务请求被发送时,其不会被直接发送至出口网关,而是会发送至修改的出口网关的地址和端口,即实现了将业务请求透明劫持到出口网关,从而出口网关可以实现对该业务请求的安全审计。而且,其最终所要请求的第二应用服务的地址和端口被放置在的业务请求的请求头中,当出口网关对业务请求进行安全审计之后,可以根据业务请求的请求头中的地址和端口进行转发,以保证该业务请求发送的准确性。
比如支付宝服务的业务进程向淘宝服务发起的HTTP请求,同时通过测试数据包发现支付宝服务在请求淘宝服务时,请求不会经过出口网关。那么可以针对HTTP请求修改其原始请求的目标地址为出口网关的地址、修改原始请求的目标端口为网关所在的端口。即将业务请求所要请求的淘宝服务的地址修改为出口网关所在的地址,将业务请求所要请求的淘宝服务的端口修改为出口网关的端口。另外,将原始请求的目标地址和端口放入请求的头部一并携带,最终实现了将业务进程发起的HTTP请求透明劫持到网关地址,同时保证了网关根据请求头中的原始地址和端口信息,可以转发到淘宝服务的地址和端口。
容易理解的是,步骤301-步骤305的实现方式可以通过代码注入的方式实现。即通过代码注入的方式将目标地址修改为出口网关的地址、通过代码注入的方式将目标端口修改为出口网关的端口、以及通过代码注入的方式将第二应用服务的地址和端口放入到业务请求的请求头中。
当业务请求发送至出口网关时,出口网关会对该业务请求的安全性进行审计。而出口网关在对业务请求的安全性进行审计时,可以考虑判断第一应用服务是否具有请求第二应用服务的权限来确定该业务请求是否合法。比如,如图4所示,可以通过如下步骤实现:
步骤401:预先设置至少一个可信集;其中,每一个可信集中包括:一种身份标识和至少一种外部应用服务,且每一个可信集中的身份标识所对应的应用服务能够向该可信集中的每一个外部应用服务发起业务请求;
步骤403:从至少一个可信集中确定与业务请求所携带的身份标识相对应的目标可信集;
步骤405:判断目标可信集中是否包括第二应用服务;
步骤407:若第二应用服务在目标可信集中,则确定业务请求为合法请求,并由出口网关将业务请求转发至第二应用服务;
步骤409:若第二应用服务不在目标可信集中,则确定业务请求为非法请求。
本实施例中,可以考虑预先设置可信集,使每一个可信集中包括一种身份标识,以及该身份标识所对应的应用服务能够发起业务请求的外部应用服务。如此,出口网关在对业务请求进行安全审计时,可以从设置的可信集中确定出当前的业务请求所携带的身份标识相对应的目标可信集,然后判断该目标可信集中是否包括第二应用服务。如果目标可信集中包括第二应用服务,则确定业务请求为合法请求,从而出口网关可以将该业务请求转发至第二应用服务。而如果目标可信集中不包括第二应用服务,则说明业务请求为非法请求,那么出口网关可以进行拦截、上报等操作,以避免将非法的业务请求转发至相应的应用服务,进而造成隐私数据泄露等安全隐患。
步骤401中构建的可信集可以预先通过人工经验等方式来构建。例如其中一个可信集中可以包括:支付宝服务的身份标识,以及淘宝服务、天猫服务、滴滴服务、高德地图服务等外部应用服务。其中,该可信集中的淘宝服务、天猫服务、滴滴服务、高德地图服务等外部应用服务均为支付宝服务能够向其发起业务请求的应用服务。
当然,如对步骤101中的阐述,由于操作系统中的进程不仅会包括业务进程,还会包括非业务进程,而且非业务进程通常是不能向其他应用服务发起请求的。因此,在步骤101-107之外,还可以进一步对非业务进程进行安全管理。比如,在一种可能的实现方式中,可以首先从操作系统内部获取至少一个进程,然后将该至少一个进程中的每一个非业务进程所发起的请求确定为非法请求。其中该非业务进程满足:该非业务请求所执行的应用服务不能请求其他应用服务所提供的服务。如此,避免了非业务进程所造成的安全隐患。
如图5所示为一种业务请求的安全审计的实现框图。下面结合图5所示的实现框图对本说明书提供的业务请求的安全审计方法进行说明。
步骤S1:从操作系统中获取至少一个进程;
步骤S3:将至少一个进程划分为业务进程和非业务进程,针对非业务进程执行步骤S5,针对业务进程执行步骤S7-S21;
本步骤中,业务请求和非业务请求可以预先通过人工的方式进行定义。即预先定义出哪些应用服务对应的进程属于业务进程,哪些应用服务对应的进程属于非业务进程。
步骤S5:将每一个非业务进程所发起的请求确定为非法请求;
本步骤中,非业务进程为其所执行的应用服务不能请求其他应用服务所提供的的服务的进程。当非业务进程发起请求时,将该请求确定为非法请求,并执行相应的拦截、上报等处理。
针对每一个业务进程,均执行:
步骤S7:确定用于调度第一应用服务的业务进程;
步骤S9:在该第一应用服务的业务进程中注入该第一应用服务的身份标识;
步骤S11:获取业务进程发起的HTTP请求,同时将第一应用服务的身份标识携带在HTTP请求中;
本步骤中,该HTTP请求用于通过HTTP的方式请求第二应用服务所提供的服务和功能。
步骤S13:判断该业务进程发起的业务请求是否具有安全身份;
判断该业务进程发起的业务请求是否具有安全身份,即为判断该业务请求是否会经过出口网关。判断时可以通过由第一应用服务向第二应用服务发送测试数据包的方式,具体可参见对步骤107的说明。当然也可以预先定义哪些应用服务的进程具有安全身份,哪些应用服务的进程不具有安全身份。如果具有安全身份,则直接发送业务请求。否则,执行步骤S15。
步骤S15:若业务进程发起的业务请求不具有安全身份,则将业务请求透明劫持到出口网关。
本步骤中在进行透明劫持时,可以将业务请求的目标地址修改为出口网关的地址,将业务请求的目标端口修改为出口网关的端口;并将第二应用服务的地址和端口携带在业务请求的请求头中进行发送。
步骤S17:出口网关接收业务请求;
步骤S19:从预先设置的可信集中确定与业务请求所携带的身份标识相对应的目标可信集;
目标可信集通过人工预先设定,每一个可信集中包括有一种身份标识,以及至少一种外部应用服务,该外部应用服务为该可信集中的身份标识对应的应用服务能够请求的应用服务。
步骤S21:判断目标可信集中是否包括第二应用服务。
如果包括,则可以确定该业务请求合法,从而出口网关可以将该业务请求转发至第二应用服务。如果不包括,则说明该业务请求不合法,可以执行拦截、上报等操作。
如图6所示,本说明书实施例还提供了一种业务请求的安全审计装置,该装置可以包括:业务进程获取模块601、身份标识注入模块602、业务请求获取模块603和业务请求发送模块604;
业务进程获取模块601,配置为确定用于调度第一应用服务的业务进程;
身份标识注入模块602,配置为在业务进程获取模块601获取到的业务进程中注入第一应用服务的身份标识;
业务请求获取模块603,配置为获取业务进程发起的业务请求;其中,业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且业务请求中携带有身份标识注入模块602注入的身份标识;
业务请求发送模块604,配置为将业务请求获取模块603获取到的业务请求发送到出口网关,以由出口网关根据身份标识对业务请求的安全性进行审计。
在一种可能的实现方式中,该装置进一步包括:非法请求确定模块;该非法请求确定模块配置为执行如下操作:
从操作系统内部获取至少一个进程;
将至少一个进程中的每一个非业务进程所发起的请求确定为非法请求;其中,非业务进程满足:该非业务进程所执行的应用服务不能请求其他应用服务所提供的服务。
在一种可能的实现方式中,业务请求发送模块604在将业务请求发送到出口网关时,配置成执行如下操作:
利用第一应用服务向第二应用服务发送测试数据包;
对测试数据包所传输的链路进行监控;
判断测试数据包是否经过出口网关;
若测试数据包经过出口网关,则直接发送业务请求;
若测试数据包未经过出口网关,则对业务请求执行重新定向至出口网关的处理,然后发送业务请求。
在一种可能的实现方式中,在业务进程发起的业务请求中,目标地址为第二应用服务的地址;目标端口为第二应用服务的端口;
业务请求发送模块604在对业务请求执行重新定向至出口网关的处理时,配置成执行如下操作:
将业务请求的目标地址修改为出口网关的地址;
将业务请求的目标端口修改为出口网关的端口;以及,
将第二应用服务的地址、第二应用服务的端口携带在业务请求的请求头中。
在一种可能的实现方式中,进一步包括一个可信集设置模块,其被配置为执行预先设置至少一个可信集;其中,每一个可信集中包括:一种身份标识和至少一种外部应用服务,且每一个可信集中的身份标识所对应的应用服务能够向该可信集中的每一个外部应用服务发起业务请求;
还包括一个安全审计模块,其在出口网关根据身份标识对业务请求的安全性进行审计时,配置成执行如下操作:
从至少一个可信集中确定与业务请求所携带的身份标识相对应的目标可信集;
判断目标可信集中是否包括第二应用服务;
若第二应用服务在目标可信集中,则确定业务请求为合法请求,并由出口网关将业务请求转发至第二应用服务;
若第二应用服务不在目标可信集中,则确定业务请求为非法请求。
本说明书还提供了一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行说明书中任一个实施例中的方法。
本说明书还提供了一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现说明书中任一个实施例中的方法。
可以理解的是,本说明书实施例示意的结构并不构成对业务请求的安全审计装置的具体限定。在说明书的另一些实施例中,业务请求的安全审计装置可以包括比图示更多或者更少的部件,或者组合某些部件,或者拆分某些部件,或者不同的部件布置。图示的部件可以以硬件、软件或者软件和硬件的组合来实现。
上述装置内的各单元之间的信息交互、执行过程等内容,由于与本说明书方法实施例基于同一构思,具体内容可参见本说明书方法实施例中的叙述,此处不再赘述。
本领域技术人员应该可以意识到,在上述一个或多个示例中,本说明书所描述的功能可以用硬件、软件、挂件或它们的任意组合来实现。当使用软件实现时,可以将这些功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。
以上所述的具体实施方式,对本说明书描述的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的技术方案的基础之上,所做的任何修改、等同替换、改进等,均应包括在本发明的保护范围之内。
Claims (10)
1.业务请求的安全审计方法,包括:
确定用于调度第一应用服务的业务进程;
在所述业务进程中注入所述第一应用服务的身份标识;
获取所述业务进程发起的业务请求;其中,所述业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且所述业务请求中携带有所述身份标识;
将所述业务请求发送到出口网关,以由所述出口网关根据所述身份标识对所述业务请求的安全性进行审计。
2.根据权利要求1所述的方法,其中,该方法进一步包括:
从操作系统内部获取至少一个进程;
将所述至少一个进程中的每一个非业务进程所发起的请求确定为非法请求;其中,所述非业务进程满足:该非业务进程所执行的应用服务不能请求其他应用服务所提供的服务。
3.根据权利要求1所述的方法,其中,所述将所述业务请求发送到出口网关,包括:
利用所述第一应用服务向所述第二应用服务发送测试数据包;
对所述测试数据包所传输的链路进行监控;
判断所述测试数据包是否经过所述出口网关;
若所述测试数据包经过所述出口网关,则直接发送所述业务请求;
若所述测试数据包未经过所述出口网关,则对所述业务请求执行重新定向至出口网关的处理,然后发送所述业务请求。
4.根据权利要求3所述的方法,其中,在业务进程发起的业务请求中,目标地址为所述第二应用服务的地址;目标端口为所述第二应用服务的端口;
所述对所述业务请求执行重新定向至出口网关的处理,包括:
将所述业务请求的目标地址修改为所述出口网关的地址;
将所述业务请求的目标端口修改为所述出口网关的端口;以及,
将第二应用服务的地址、第二应用服务的端口携带在所述业务请求的请求头中。
5.根据权利要求1至4中任一所述的方法,其中,该方法进一步包括:预先设置至少一个可信集;其中,每一个可信集中包括:一种身份标识和至少一种外部应用服务,且每一个可信集中的身份标识所对应的应用服务能够向该可信集中的每一个外部应用服务发起业务请求;
所述出口网关根据所述身份标识对所述业务请求的安全性进行审计,包括:
从所述至少一个可信集中确定与所述业务请求所携带的身份标识相对应的目标可信集;
判断所述目标可信集中是否包括所述第二应用服务;
若所述第二应用服务在所述目标可信集中,则确定所述业务请求为合法请求,并由所述出口网关将所述业务请求转发至所述第二应用服务;
若所述第二应用服务不在所述目标可信集中,则确定所述业务请求为非法请求。
6.业务请求的安全审计装置,包括:业务进程获取模块、身份标识注入模块、业务请求获取模块和业务请求发送模块;
所述业务进程获取模块,配置为确定用于调度第一应用服务的业务进程;
所述身份标识注入模块,配置为在所述业务进程获取模块获取到的所述业务进程中注入所述第一应用服务的身份标识;
所述业务请求获取模块,配置为获取所述业务进程发起的业务请求;其中,所述业务请求用于:第一应用服务向第二应用服务请求该第二应用服务所提供的服务,且所述业务请求中携带有所述身份标识注入模块注入的所述身份标识;
所述业务请求发送模块,配置为将所述业务请求获取模块获取到的所述业务请求发送到出口网关,以由所述出口网关根据所述身份标识对所述业务请求的安全性进行审计。
7.根据权利要求6所述的装置,其中,该装置进一步包括:非法请求确定模块;该非法请求确定模块配置为执行如下操作:
从操作系统内部获取至少一个进程;
将所述至少一个进程中的每一个非业务进程所发起的请求确定为非法请求;其中,所述非业务进程满足:该非业务进程所执行的应用服务不能请求其他应用服务所提供的服务。
8.根据权利要求6所述的装置,其中,所述业务请求发送模块在将所述业务请求发送到出口网关时,配置成执行如下操作:
利用所述第一应用服务向所述第二应用服务发送测试数据包;
对所述测试数据包所传输的链路进行监控;
判断所述测试数据包是否经过所述出口网关;
若所述测试数据包经过所述出口网关,则直接发送所述业务请求;
若所述测试数据包未经过所述出口网关,则对所述业务请求执行重新定向至出口网关的处理,然后发送所述业务请求。
9.一种计算机可读存储介质,其上存储有计算机程序,当所述计算机程序在计算机中执行时,令计算机执行权利要求1-5中任一项所述的方法。
10.一种计算设备,包括存储器和处理器,所述存储器中存储有可执行代码,所述处理器执行所述可执行代码时,实现权利要求1-5中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211025079.4A CN115549966A (zh) | 2022-08-25 | 2022-08-25 | 业务请求的安全审计方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211025079.4A CN115549966A (zh) | 2022-08-25 | 2022-08-25 | 业务请求的安全审计方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115549966A true CN115549966A (zh) | 2022-12-30 |
Family
ID=84726197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211025079.4A Pending CN115549966A (zh) | 2022-08-25 | 2022-08-25 | 业务请求的安全审计方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115549966A (zh) |
Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
| CN102340504A (zh) * | 2011-09-27 | 2012-02-01 | 深圳市深信服电子科技有限公司 | 远程桌面用户身份识别的方法、装置和系统 |
| US20140282366A1 (en) * | 2013-03-15 | 2014-09-18 | Oracle International Corporation | Flexible microinstruction system for constructing microprograms which execute tasks, gateways, and events of bpmn models |
| CN106844061A (zh) * | 2015-12-03 | 2017-06-13 | 腾讯科技(深圳)有限公司 | 共享资源处理方法和装置 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN110674028A (zh) * | 2019-08-20 | 2020-01-10 | 华为技术有限公司 | 故障注入方法及其装置、业务服务系统 |
| CN111385274A (zh) * | 2018-12-29 | 2020-07-07 | 航天信息股份有限公司 | 跨网服务调用方法、装置、特征网关及身份验证系统 |
| CN112235400A (zh) * | 2020-10-14 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 通信方法、通信系统、装置、服务器及存储介质 |
| CN112351015A (zh) * | 2020-10-28 | 2021-02-09 | 广州助蜂网络科技有限公司 | 一种基于api的网关控制方法 |
| CN113472794A (zh) * | 2021-07-05 | 2021-10-01 | 福州数据技术研究院有限公司 | 基于微服务的多应用系统权限统一管理方法和计算机可读存储介质 |
| CN114048191A (zh) * | 2021-11-24 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 一种业务关联方法、装置、审计方法及数据库审计系统 |
| CN114338682A (zh) * | 2021-12-24 | 2022-04-12 | 北京字节跳动网络技术有限公司 | 流量身份标识传递方法、装置、电子设备及存储介质 |
| US20220174485A1 (en) * | 2020-11-30 | 2022-06-02 | At&T Intellectual Property I, L.P. | Network application programming interface service for application guidance and control |
-
2022
- 2022-08-25 CN CN202211025079.4A patent/CN115549966A/zh active Pending
Patent Citations (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090150981A1 (en) * | 2007-12-06 | 2009-06-11 | Alexander Phillip Amies | Managing user access entitlements to information technology resources |
| CN102340504A (zh) * | 2011-09-27 | 2012-02-01 | 深圳市深信服电子科技有限公司 | 远程桌面用户身份识别的方法、装置和系统 |
| US20140282366A1 (en) * | 2013-03-15 | 2014-09-18 | Oracle International Corporation | Flexible microinstruction system for constructing microprograms which execute tasks, gateways, and events of bpmn models |
| CN106844061A (zh) * | 2015-12-03 | 2017-06-13 | 腾讯科技(深圳)有限公司 | 共享资源处理方法和装置 |
| CN110213217A (zh) * | 2018-08-23 | 2019-09-06 | 腾讯科技(深圳)有限公司 | 数据访问方法、相关装置、网关和数据访问系统 |
| CN111385274A (zh) * | 2018-12-29 | 2020-07-07 | 航天信息股份有限公司 | 跨网服务调用方法、装置、特征网关及身份验证系统 |
| CN110532775A (zh) * | 2019-07-26 | 2019-12-03 | 苏州浪潮智能科技有限公司 | 一种计算机进程管制的方法和工具 |
| CN110674028A (zh) * | 2019-08-20 | 2020-01-10 | 华为技术有限公司 | 故障注入方法及其装置、业务服务系统 |
| CN112235400A (zh) * | 2020-10-14 | 2021-01-15 | 腾讯科技(深圳)有限公司 | 通信方法、通信系统、装置、服务器及存储介质 |
| CN112351015A (zh) * | 2020-10-28 | 2021-02-09 | 广州助蜂网络科技有限公司 | 一种基于api的网关控制方法 |
| US20220174485A1 (en) * | 2020-11-30 | 2022-06-02 | At&T Intellectual Property I, L.P. | Network application programming interface service for application guidance and control |
| CN113472794A (zh) * | 2021-07-05 | 2021-10-01 | 福州数据技术研究院有限公司 | 基于微服务的多应用系统权限统一管理方法和计算机可读存储介质 |
| CN114048191A (zh) * | 2021-11-24 | 2022-02-15 | 北京天融信网络安全技术有限公司 | 一种业务关联方法、装置、审计方法及数据库审计系统 |
| CN114338682A (zh) * | 2021-12-24 | 2022-04-12 | 北京字节跳动网络技术有限公司 | 流量身份标识传递方法、装置、电子设备及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| EDGAR BLOG: "API网关-流量网关和业务网关", pages 1 - 4, Retrieved from the Internet <URL:http://edgar615.github.io/api-gateway-flow.html> * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11134058B1 (en) | Network traffic inspection | |
| US10958662B1 (en) | Access proxy platform | |
| CN110213215B (zh) | 一种资源访问方法、装置、终端和存储介质 | |
| CN110266764B (zh) | 基于网关的内部服务调用方法、装置及终端设备 | |
| US8949995B2 (en) | Certifying server side web applications against security vulnerabilities | |
| US8356335B2 (en) | Techniques for authentication via network connections | |
| RU2755675C2 (ru) | Выявление факторов уязвимости безопасности в программных интерфейсах приложения | |
| CN113179271A (zh) | 一种内网安全策略检测方法及装置 | |
| CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
| CN116319024A (zh) | 零信任系统的访问控制方法、装置及零信任系统 | |
| US11812269B2 (en) | Asserting user, app, and device binding in an unmanaged mobile device | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN115549966A (zh) | 业务请求的安全审计方法和装置 | |
| CN115174262A (zh) | 安全访问内部网络的方法、装置及电子设备 | |
| CN112769731B (zh) | 一种进程控制方法、装置、服务器及存储介质 | |
| CN113407947A (zh) | 一种云环境下面向移动终端用户的可信连接验证方法 | |
| WO2010038726A1 (ja) | 情報通知システム、情報通知方法、通信端末およびプログラム | |
| US11770361B1 (en) | Cobalt strike beacon HTTP C2 heuristic detection | |
| US11832108B2 (en) | Lawful interception in mobile connect | |
| CN113179253B (zh) | 一种部署零信任网络的方法和代理服务器 | |
| US20240039952A1 (en) | Cobalt strike beacon https c2 heuristic detection | |
| US20240039951A1 (en) | Probing for cobalt strike teamserver detection | |
| KR20240041662A (ko) | 디지털 금융 보안 서비스 방법 및 그 장치 | |
| CN116961967A (zh) | 数据处理方法、装置、计算机可读介质及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |