CN115622776A - 数据访问方法以及装置 - Google Patents
数据访问方法以及装置 Download PDFInfo
- Publication number
- CN115622776A CN115622776A CN202211238543.8A CN202211238543A CN115622776A CN 115622776 A CN115622776 A CN 115622776A CN 202211238543 A CN202211238543 A CN 202211238543A CN 115622776 A CN115622776 A CN 115622776A
- Authority
- CN
- China
- Prior art keywords
- data access
- interface
- access request
- target interface
- configuration information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 238000012795 verification Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 15
- 238000012360 testing method Methods 0.000 description 12
- 238000012545 processing Methods 0.000 description 11
- 238000004590 computer program Methods 0.000 description 10
- 238000007689 inspection Methods 0.000 description 6
- 230000003993 interaction Effects 0.000 description 6
- 238000011161 development Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 230000000977 initiatory effect Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000007796 conventional method Methods 0.000 description 2
- 238000011160 research Methods 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000009191 jumping Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例提供数据访问方法以及装置,其中所述数据访问方法包括:接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于目标接口标识和目标接口参数,与预设的配置信息进行匹配,若匹配失败,则将该数据访问请求进行拦截。也即与预设的匹配信息匹配不成功的目标接口标识与目标接口参数对应的数据访问请求都会被拦截,保障了数据的安全。
Description
技术领域
本说明书实施例涉及数据处理技术领域,特别涉及一种数据访问方法。
背景技术
随着网络技术的快速发展,网络在人们生活、工作中的应用越来越普及,网络安全已成为网络技术发展的重要研究方向,网络安全主要包括网络硬件和软件的正常运行、以及数据信息交换的安全。在实际应用中,由于网络攻击行为的频发常常会对系统的网络安全造成隐患。为了保障系统安全,对网络攻击进行识别,并对网络攻击及时拦截变得尤为重要。
传统的防网络攻击的方法中,一般是在网关上设置黑名单,如果发起访问请求的请求方是黑名单中的攻击者,则拦截该攻击者的访问请求。但由于黑名单是人为设置的,很难保证可以完全覆盖所有的攻击者,容易被攻击者绕过,对于除黑名单以外的攻击无法进行有效拦截。
发明内容
有鉴于此,本说明书实施例提供了一种数据访问方法。本说明书一个或者多个实施例同时涉及一种数据访问装置,一种计算设备,一种计算机可读存储介质以及一种计算机程序,以解决现有技术中存在的技术缺陷。
根据本说明书实施例的第一方面,提供了一种数据访问方法,应用于网关,包括:
接收数据访问请求;
解析数据访问请求,获得目标接口标识和目标接口属性参数;
基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;
若匹配失败,则拦截数据访问请求。
根据本说明书实施例的第二方面,提供了一种数据访问方法,应用于服务端,包括:
获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;
基于多个访问接口的接口标识和接口属性参数,设置配置信息;
将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。
根据本说明书实施例的第三方面,提供了一种数据访问装置,应用于网关,包括:
接收模块,被配置为接收数据访问请求;
解析模块,被配置为解析数据访问请求,获得目标接口标识和目标接口属性参数;
匹配模块,被配置为基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;
拦截模块,被配置为若匹配失败,则拦截数据访问请求。
根据本说明书实施例的第四方面,提供了一种数据访问装置,应用于服务端,包括:
获取模块,被配置为获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;
设置模块,被配置为基于多个访问接口的接口标识和接口属性参数,设置配置信息;
下发模块,被配置为将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。
根据本说明书实施例的第五方面,提供了一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据访问方法的步骤。
根据本说明书实施例的第六方面,提供了一种计算机可读存储介质,其存储有计算机可执行指令,该指令被处理器执行时实现上述数据访问方法的步骤。
根据本说明书实施例的第七方面,提供了一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述数据访问方法的步骤。
本说明书一个实施例,接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,而配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数,也即是通过目标接口标识与目标接口属性参数,与预设的配置信息的匹配的方式,判断该数据访问请求是否安全,在匹配不成功时,将该数据访问请求进行拦截,使得不被拦截的数据访问请求是与配置信息匹配成功的,匹配不成功的均会被拦截,更有效的提高了对数据的防护,进一步保障数据的安全。
附图说明
图1是本说明书一个实施例提供的一种数据访问系统架构下的交互流程示意图;
图2是本说明书一个实施例提供的一种数据访问方法的流程图;
图3是本说明书一个实施例提供的另一种数据访问系统架构下的交互流程示意图;
图4是本说明书一个实施例提供的另一种数据访问方法的流程图;
图5是本说明书一个实施例提供的又一种数据访问系统架构下的交互流程示意图;
图6是本说明书一个实施例提供的一种数据访问方法的处理过程流程图;
图7是本说明书一个实施例提供的一种数据访问装置的结构示意图;
图8是本说明书一个实施例提供的另一种数据访问装置的结构示意图;
图9是本说明书一个实施例提供的一种计算设备的结构框图。
具体实施方式
在下面的描述中阐述了很多具体细节以便于充分理解本说明书。但是本说明书能够以很多不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本说明书内涵的情况下做类似推广,因此本说明书不受下面公开的具体实施的限制。
在本说明书一个或多个实施例中使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本说明书一个或多个实施例中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书一个或多个实施例中可能采用术语第一、第二等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书一个或多个实施例范围的情况下,第一也可以被称为第二,类似地,第二也可以被称为第一。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
首先,对本说明书一个或多个实施例涉及的名词术语进行解释。
网关:又称网间连接器、协议转换器。网关在传输层上以实现网络互连,是复杂的网络互连设备,仅用于两个高层协议不同的网络互连。
零日漏洞或零时差漏洞(0day,zero-day)通常是指还没有补丁的安全漏洞,零日漏洞得名于开发人员发现漏洞时补丁存在的天数:零天。
零日攻击或零时差攻击(zero-day attack)则是指利用这种零日漏洞进行的攻击。
随着网络技术的快速发展,网络在人们生活、工作中的应用越来越普及,为了维护网络的安全,主要包括网络硬件和软件的正常运行、以及数据信息交换的安全,网络安全已成为网络技术发展的重要研究方向。在实际应用中,由于网络攻击行为的频发常常会对系统的网络安全造成隐患。为了保障系统安全,对网络攻击进行识别,并对网络攻击及时拦截变得尤为重要。
传统的防网络攻击的方法中,一般是在网关上设置黑名单,如果发起访问请求的请求方是黑名单中的攻击者,则拦截该攻击者的访问请求。但由于黑名单是人为设置的,很难保证可以完全覆盖所有的攻击者,容易被攻击者绕过,对于除黑名单以外的攻击无法进行有效拦截。
为了解决上述问题,本说明书实施例通过接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,而配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数,也即是通过目标接口标识与目标接口属性参数,与预设的配置信息的匹配的方式,判断该数据访问请求是否安全,在匹配不成功时,将该数据访问请求进行拦截,使得不被拦截的数据访问请求是与配置信息匹配成功的,匹配不成功的均会被拦截,使得更有效的提高了对数据的防护,进一步保障数据的安全。
在本说明书中,提供了一种数据访问方法,本说明书同时涉及一种数据访问装置,一种计算设备,以及一种计算机可读存储介质,在下面的实施例中逐一进行详细说明。
参见图1,图1示出了根据本说明书一个实施例提供的一种数据访问系统架构下的交互流程示意图,如图1所示,该系统包括客户端0101和网关0102。
客户端0101:用于向网关0102发送数据访问请求;
网关0102:用于接收客户端0101发送的数据访问请求,并解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。
基于客户端0101发起的数据访问请求进行匹配,确定是否进行拦截:针对实际的数据访问场景,用户在有数据访问需求时,会通过客户端0101向网关0102发起数据访问请求,网关0102接收数据访问请求,并通过解析数据访问请求,获得目标接口标识和目标接口属性参数,即对该数据访问请求进行判断的两个核心指标,因此,基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,若匹配不成功,则将该访问请求进行拦截。
一种可能的实现方式中,可以是将拦截或放行的结果返回至客户端0101,若匹配失败,则告知客户本次数据访问被拦截,若匹配成功,则显示本次数据访问健康,可继续访问;另一种可能的实现方式中,可以是网关0102根据匹配的结果对客户端0101发起的数据访问请求进行处理,若匹配成功,则网关0102对该数据访问请求放行,使得该数据访问请求正常访问,若匹配失败,则网关0102直接将该数据访问请求拦截,拒绝访问即可。
具体地,通过接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,而配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数,也即是通过目标接口标识与目标接口属性参数,与预设的配置信息的匹配的方式,判断该数据访问请求是否安全,在匹配不成功时,将该数据访问请求进行拦截,使得不被拦截的数据访问请求是与配置信息匹配成功的,匹配不成功的均会被拦截,使得更有效的提高了对数据的防护,进一步保障数据的安全。
参见图2,图2示出了根据本说明书一个实施例提供的一种数据访问方法的流程图,应用于网关,具体包括以下步骤。
步骤202:接收数据访问请求。
具体地,数据访问请求是用户有数据访问的需求,通过客户端发起的访问请求,类型可以是网址的类型,格式可以是“域名/接口标识?参数名=参数值”,包含有域名、接口标识、参数名、参数值等,比如,数据访问请求可以是“aaaaaa.com/test?name=123”。
可选地,数据访问请求一种可能的实现方式中可以是用户有数据访问的需求,通过客户端自主发起的数据访问请求,比如,用户想要搜索关于“说明书”的内容,即可通过客户端的搜索栏发起关于“说明书”内容的数据访问请求;另一种可能的实现方式中,可以是用户在线浏览信息时,基于客户端自主显示未向用户展示的部分的内容时,客户端发起的数据访问请求,比如,用户在通过发起数据访问请求,获取到数据后,客户端展示该些数据时,同时还需要展示一些广告的内容,则客户端发起展示该些广告的内容的请求也可作为数据访问请求。
应用本说明书实施例的方案,通过接收数据访问请求,以便于后续基于数据访问请求进行解析,获得目标接口标识和目标接口属性参数,并进行匹配,得到匹配结果,也即本说明书始于数据访问请求,终于对数据访问请求的处理方式,故接收数据访问请求是实现本说明书实施例必不可少的步骤,为后续对该数据访问请求的处理方式的确定奠定了基础。
步骤204:解析所述数据访问请求,获得目标接口标识和目标接口属性参数。
具体地,目标接口标识是指特定的接口对应的标识,比如,数据访问请求对应的接口的标识。目标接口属性参数是指特定的接口对应的属性的参数,表征该目标接口的属性信息的参数,比如,目标属性参数可以包括目标接口参数名和目标接口参数值。
示例性地,接收到的数据访问请求为“aaaaaa.com/test?name=123”,则对该数据访问请求进行解析,获得目标接口标识为“test”和目标接口属性参数为“name=123”。
解析数据访问请求,获得目标接口标识和目标接口属性参数,通过将数据访问请求进行解析,得到目标接口标识和目标接口属性参数,可以利用解析得到的参数进行匹配,加快匹配、判断的速度。
可选地,解析数据访问请求的方式有很多种,一种可能的实现方式中,可以是按照字符的长度对数据访问请求进行拆分,将数据访问请求拆分成多个部分,即目标接口标识部分、目标接口属性参数部分和其余部分。
另一种可能的实现方式中,可以是按照数据访问请求中数据的类型进行提取,获得目标接口标识和目标接口属性参数。
还有一种可能的实现方式中,可以是识别数据访问请求中的特殊字符,确定目标接口标识和目标接口属性参数,即上述解析所述数据访问请求,获得目标接口标识和目标接口属性参数的步骤,还包括如下具体步骤:
对所述数据访问请求中的特殊字符进行识别;
根据特殊字符识别结果,确定目标接口标识和目标接口属性参数。
具体地,特殊字符是指设置存在于数据访问请求中的特殊含义、特殊类型、特殊形式等对应的字符,比如,“?”、“/”、“=”等等。
示例性地,数据访问请求为“aaaaaa.com/test?name=123”,识别到的特殊字符为“/和?”,则将“/”后面、“?”前面的字符确定为目标接口标识,将“?”后面的字符确定为目标接口属性参数。
可选地,可以是预先设置特殊字符库,特殊字符库中存储有各个参数对应的特殊字符,及参数与特殊字符之间的关系,比如,“/”后面,其他特殊符号之前为接口标识;“?”后面为接口属性参数。
示例性地,数据访问请求为“aaaaaa.com/test?name=123”,对该数据访问请求进行识别,识别到“/…?”,则确定中间的字符为接口标识,识别到“?…”,则确定后面的字符为接口属性参数。
应用本说明书实施例的方案,通过对数据访问请求中的特殊字符进行识别,根据对特殊字符的识别结果,确定出目标接口标识和目标接口属性参数,也即利用数据访问请求的共性,将特殊字符作为获得接口标识和接口属性参数的依据,增加了对数据访问请求进行识别的稳定性,提高了对数据进行保护的安全性。
步骤206:基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配,其中,所述配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数。
具体地,预设的配置信息是指预先设置的包含有多个访问接口的接口标识和接口属性参数,用于与接收到的数据访问请求的信息进行匹配,比如,配置信息中存有:访问接口标识为‘test’、接口属性参数为‘name=123’。指定网络是指指定的域名对应的网络。访问接口是指用于访问指定网络的接口。
可选地,基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,一种可能的实现方式中,可以是先从配置信息中查找与目标接口标识匹配度超过预设接口标识匹配阈值80%的访问接口标识,之后将目标接口属性参数与访问接口对应的接口属性参数进行匹配,当匹配度大于预设接口属性参数匹配阈值80%,则确定匹配成功。
另一种可能的实现方式中,可以是直接将数据访问请求“aaaaaa.com/test?name=123”中除目标接口标识和目标接口属性参数以外的其余部分“aaaaaa.com/”进行剔除,保留目标接口标识和目标接口属性参数的部分“test?name=123”,然后利用保留的部分“test?name=123”与预设的配置信息中包含的多个访问接口的接口标识和接口属性参数进行匹配,确定匹配度大于预设接口匹配阈值60%,即为匹配成功。
可选地,基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配其实际是基于多个可信的策略进行匹配的,包括有url(uniform resource locator,统一资源定位器)可信策略:指定网络中包含的url;参数可信策略:各url接口对应的参数名和参数值是预先设置的;headers(请求头)可信策略:根据发起访问请求时当前的正常开放的接口对应的headers;body(个体)可信策略是:须是针对该指定网络的访问请求。通过多个可信策略进行匹配,使得确定出来的结果更加的准确,更有效的起到对数据的防护,保护数据的安全。
可选地,上述多个可信策略可以是单独一个使用,也可以是多个组合进行使用,用以匹配数据访问请求是否需要进行拦截。
本说明书另一种可能的实施方式中,在目标接口属性参数包括目标接口参数名和目标接口参数值的情况下,基于目标接口标识,从预设的配置信息中查找与该目标接口标识对应的指定接口参数名和参数值,并基于目标接口参数名、目标接口参数值和指定接口参数名、指定接口参数值进行匹配,即在目标接口属性参数包括目标接口参数名和目标接口参数值时,上述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配的步骤,包括如下具体步骤:
基于所述目标接口标识,从预设的配置信息中查找所述目标接口标识对应的指定接口参数名和指定接口参数值;
对所述目标接口参数名、目标接口参数值和所述指定接口参数名、指定接口参数值进行匹配。
具体地,指定接口参数名是指与指定接口相对应的参数名,指定接口存储于预先设置的配置信息中的,是与目标接口标识匹配度较高或相同的接口标识。指定接口参数值是指与指定接口相对应的参数值。
可选地,基于目标接口标识,从预设的配置信息中查找目标接口标识对应的指定接口参数名和指令接口参数名,可以是基于目标接口标识从配置信息中查找与该目标接口标识匹配度大于接口匹配度阈值的访问接口作为指定接口,并将该指定接口标识对应的指定接口参数名和指定接口参数值提取出来,对目标接口参数名、目标接口参数值和所述指定接口参数名、指定接口参数值进行匹配。
示例性地,预设的配置信息中存储有:指定接口标识“test”、指定接口参数名“name”、指定接口参数值“123”,若解析数据访问请求得到:目标接口标识“test”、目标接口参数名“name”、目标接口参数值“123”,则从预设的配置信息中查找到与目标接口标识“test”对应的指定接口标识“test”的指定接口参数名“name”、指定接口参数值“123”,并将指定接口参数名“name”与目标接口参数名“name”进行匹配、将目标接口参数值“123”与指定接口参数值“123”进行匹配,需要两者匹配成功,则确定匹配成功。
应用本说明书实施例的方案,在目标接口属性参数包括目标接口参数名和目标接口参数值的情况下,基于目标接口标识从预设的配置信息中查找与目标接口标识相对应的指定接口标识,并将与目标接口标识对应的目标接口参数名、目标接口参数值和指定接口标识对应的指定接口参数名、指定接口参数名进行匹配,可根据匹配结果确定出对该数据访问请求的处理方式,使得数据访问请求对应的目标接口标识、目标接口参数名和目标接口参数值均对应在预设的配置信息中,增加了匹配的难度,进而提高了对数据的保护。
本说明书另一种可能的实施方式中,可以是目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,若匹配成功,则放行该数据访问请求,即在上述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配之后的步骤,还包括如下具体步骤:
若匹配成功,则放行所述数据访问请求。
具体地,放行是指将数据访问请求放出,使该数据访问请求可以正常发起请求,用于获取数据。
可选地,若匹配成功则是需要目标接口参数名与指定接口参数名、目标接口参数值和指定接口参数值均匹配成功,则将放行该数据访问请求,以使该数据访问请求正常运行。
应用本说明书实施例的方案,在目标接口标识对应的目标接口参数名、目标接口参数值与指定接口标识对应的指令接口参数名、指定接口参数值匹配成功,则将该数据访问请求进行放行,以使该数据访问请求正常运行,也即匹配是需要标识、参数名与参数值三者均匹配成功,才算是匹配成功,使得匹配的结果更加的准确,进而提高了对数据的保护。
步骤208:若匹配失败,则拦截所述数据访问请求。
具体地,拦截是指将数据访问请求进行阻截,禁止该数据访问请求正常运行,不想客户端返回数据访问请求所需要的数据。
可选地,若匹配失败则是需要目标接口参数名与指定接口参数名、目标接口参数值和指定接口参数值中一者没有匹配成功或二者均未匹配成功,则将拦截该数据访问请求,以使该数据访问请求不能正常运行。
在目标接口标识对应的目标接口参数名、目标接口参数值与指定接口标识对应的指令接口参数名、指定接口参数值匹配成功,则将该数据访问请求进行放行,以使该数据访问请求正常运行,也即匹配是需要标识、参数名与参数值三者均匹配成功,才算是匹配成功,任一者未匹配成功,则都会将该数据访问请求进行拦截,使得匹配的结果更加的准确,进而提高了对数据的保护。
本说明书另一种可选的实施方式中,可以是将数据访问请求发送至服务端,服务端确定该数据访问请求是否为正常的数据访问请求,并接收服务端反馈的在数据访问请求为正常时的更新的配置信息,即在上述拦截所述数据访问请求之后的步骤,还包括如下具体步骤:
将所述数据访问请求发送至服务端,以使所述服务端确定所述数据访问请求是否为正常的数据访问请求;
接收所述服务端反馈的更新的配置信息,其中,所述更新的配置信息为所述服务端在确定所述数据访问请求是正常的数据访问请求的情况下,基于所述目标接口标识和目标接口属性参数更新得到。
具体地,服务端是指用于对接收到的数据访问请求进行判断的,判断该数据访问请求是否为正常的数据访问请求。
可选地,在确定解析该数据访问请求获得的目标接口标识和目标接口属性参数与预设的配置信息中不匹配的情况下,网关将该数据访问请求发送至服务端,以使服务端确定该数据访问请求是否为正常的数据访问请求,在接收到服务端反馈的配置信息时,则确定该数据访问请求为正常的数据访问请求,且反馈的配置信息是基于解析该数据访问请求得到的目标接口标识和目标接口属性参数更新得到。
应用本说明书实施例的方案,通过将与预设的配置信息匹配不成功的数据访问请求发送至服务端进行是否正常的判断,并在服务端判断为正常的情况下,网关接收服务端反馈的更新的配置信息,而更新的配置信息又是服务端基于网关发送的数据访问请求解析得到的目标接口标识和目标接口属性参数更新得到,使得在网关已经判断的情况下,由服务端进行二次判断,若判断结果为正确,则返回来更新网关中预设的配置信息,以防止再次接收到该数据访问请求时,出现判断错误的情况,避免拦截错误的频繁发生,既提高了对数据的保护,又能最大限度的响应数据访问请求。
本说明书另一种可选的实现方式中,可以是在基于目标接口标识和目标接口属性参数,与预设的配置信息匹配之前,先接收服务端发送的配置信息,且该配置信息是服务端基于指定域名下的各数据访问接口和接口属性标识参数配置得到的,即在上述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配之前的步骤,还包括如下具体步骤:
接收服务端发送的配置信息,其中,所述配置信息为所述服务端基于指定域名下各数据访问接口的接口标识和接口属性参数配置得到。
具体地,配置信息是指包含多个指定域名下各数据访问接口的接口标识和接口属性参数,其中该些数据访问接口和接口属性参数是对应的,用于在接收到数据访问请求时,利用配置信息与接收到的数据访问请求中的参数进行匹配,确定对该数据访问请求的处理方式。指定域名是指特定的指定网域,是指某一台计算机组的名称,用于在数据传输时对计算机的定位的标识,在本说明书实施例中用于将指定域名下的各数据访问接口的接口标识和接口属性参数列举出来,并进行对应,组成配置信息。
配置信息由服务端利用指定域名下的各数据访问接口的接口标识和接口属性参数配置得到,配置完成后,将配置信息发送至网关,以便于网关基于配置信息与接收到的数据访问请求进行匹配,确定对数据访问请求的处理方式。
应用本说明书实施例的方案,在基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配之前,预先接收服务端发送的配置信息,且该配置信息是基于指定域名下各数据访问接口的接口标识和接口属性参数配置得到,在后续网关将数据访问请求进行拦截后,由服务端进行二次判断,确定是否更新配置信息,提高对数据访问请求进行拦截的准确性。
另外,在网关层级配置当前域名下的接口参数可信策略时,只允许当前域名、当前接口、当前接口对应的参数进行访问,其他参数对应的数据访问请求均进行拦截,从而达到对零日攻击防御的目的,也即只允许预先设置的配置信息中的参数对应的数据访问接口进行访问,其他数据访问请求均进行拦截,其中,接口参数可信策略是指按照接口维度,对每个接口的参数名和参数值配置指定的值和范围。此外,在当前域名下除按照接口维度设定配置信息对未知的访问请求进行拦截,在其他维度也可以通过预先设置配置信息,对配置信息以外的参数对应的访问请求进行拦截,只允许配置信息中的参数对应的访问请求正常访问。
参见图3,图3示出了根据本说明书一个实施例提供的另一种数据访问系统架构下的交互流程示意图,如图3所示,该系统包括服务端0301和网关0302。
服务端0301:用于获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;基于多个访问接口的接口标识和接口属性参数,设置配置信息;将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。
网关0302:用于接收服务端0301下发的配置信息,利用配置信息,基于目标接口标识和目标接口属性参数与所述配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,所述目标接口标识和目标接口属性参数通过解析所述数据访问请求获得。
基于对数据进行保护,防止非正常的数据访问请求访问到数据,通常服务端0301会预先获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;基于多个访问接口的接口标识和接口属性参数,设置配置信息,将配置信息下发至网关0302,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配。
具体地,通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;基于多个访问接口的接口标识和接口属性参数,设置配置信息;将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数,并基于该多个访问接口的接口标识和接口属性参数设置配置信息,使得配置信息是基于多个正确数据访问请求对应的接口标识和接口属性参数配置得到,保证了配置信息中包含的多个访问接口的接口标识和接口属性参数都是正常且安全的,将该配置信息发送至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,使得网关在对数据访问请求进行检验时是基于服务端配置的配置信息进行检验的,提高了对数据的保护,且也为后续服务端对该配置信息进行更新奠定了基础。
参见图4,图4示出了根据本说明书一个实施例提供的另一种数据访问方法的流程图,应用于服务端,具体包括以下步骤。
步骤402:获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数。
具体地,指定网络是指指定的某一网络,获取该指定网络中的多个访问接口的接口标识和各访问接口的接口属性参数,其中接口标识和接口属性对应,比如,获取指定域名下的数据访问接口的接口标识和接口属性参数,其中接口标识和接口属性参数对应。
可选地,获取指定网络中预先设置的多个访问接口有多种实现方式,一种可能的实现方式中,可以是程序员在编写该指定网络的网络信息时,就预先设置各访问接口对应的接口标识和接口属性参数的具体数值,在获取时,从预先设置的信息中获取即可;另一种可能的实现方式中,可以是基于该指定网络发起的多个正常的数据访问请求解析得到的,将解析得到的多个数据访问请求对应的访问接口标识和访问接口属性参数进行获取。
本说明书另一种可选的实施方式中,可以是获取指定域名下的各数据访问接口的接口标识和接口属性参数,即上述获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数的步骤,包括如下具体步骤:
获取指定域名下各数据访问接口的接口标识和接口属性参数。
具体地,获取指定域名下各数据访问接口的接口标识和接口属性参数,用于后续基于获取的信息进行对配置信息的配置。
可选地,服务端获取指定域名下各数据访问接口的接口标识和接口属性参数的方式有很多种,一种可能的实现方式中,可以是程序员在编写该指定域名的数据信息时,就预先设置各数据访问接口对应的接口标识和接口属性参数的具体数值,在获取时,从预先设置的数据信息中获取即可;另一种可能的实现方式中,可以是基于该指定域名发起的多个正常的数据访问请求解析得到的,将解析得到的多个数据访问请求对应的访问接口标识和访问接口属性参数进行获取。
应用本说明书实施例的方案,通过获取指定域名下个数据访问接口的接口标识和接口属性参数,后续可基于获取的信息进行配置信息的配置,使得配置信息是基于指定域名下确定正常的,可以正常运行的多个接口标识和对应的接口属性参数得到,为后续设置配置信息提供了数据基础,进一步,提高了对数据的保护,且在保护的前提下,还能保证正常的数据访问请求可以正常访问数据。
步骤404:基于所述多个访问接口的接口标识和接口属性参数,设置配置信息。
具体地,基于多个访问接口的接口标识和接口属性信息,设置配置信息,使得配置信息是由多个确定正常的、不具攻击性的接口标识与对应的接口属性信息配置得到。
可选地,基于多个访问接口的接口标识和接口属性参数,设置配置信息的方式有很多种,一种可能的实现方式中,可以是将多个访问接口的接口标识和接口属性参数按照对应关系进行列举,比如,该访问接口对应的接口标识是:test、接口属性参数是:name=123;另一种可能的实现方式中,可以是将多个访问接口的接口标识和接口属性参数按照对应关系的方式进行组合,组成数据访问请求中组合的方式,以便于与数据访问请求进行匹配,比如,该访问接口对应的接口标识和接口属性参数是:test?name=123。
步骤406:将所述配置信息下发至网关,以使所述网关基于目标接口标识和目标接口属性参数与所述配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,所述目标接口标识和目标接口属性参数通过解析所述数据访问请求获得。
具体地,基于网关是接收数据访问请求的,用于对数据进行直观的保护,保护方式是将接收到的数据访问请求进行解析,得到目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数与服务端下发至网关的配置信息进行匹配,在匹配不成功时,则拦截该数据访问请求。
本说明书另一种可选的实施方式中,可以是在接收到网关发送的数据访问请求时,将数据访问请求发送至检验方进行检验,若检验结果正常,则更新配置信息,并将更新的配置信息发送至网关,即数据访问方法,应用于服务端,还可以包括:
接收所述网关发送的所述数据访问请求;
向检验方反馈所述数据访问请求,接收所述检验方对所述数据访问请求是否为正常的数据访问请求的检验结果;
在所述检验结果为所述数据访问请求是正常的数据访问请求的情况下,根据所述目标接口标识和目标接口属性参数更新所述配置信息;
将更新的所述配置信息发送至所述网关。
具体地,检验方是指对某数据进行检验的一方,比如,对数据访问请求的正常或不正常进行检验。
可选地,在服务端接收到检验方对数据访问请求是否为正常的数据访问请求的检验结果有两种可能的方式,一种可能的实现方式中,在检验结果为数据访问请求是非正常时,服务端接收到该检验结果后,并不需要做什么处理或者可以是存储起来;另一种可能的实现方式中,在检验结果为数据访问请求是正常时,服务端基于该数据访问请求中解析得到的目标接口标识和目标接口属性参数更新配置信息,即可以是直接将该目标接口标识和目标接口属性参数加入配置信息中,得到更新的配置信息。
应用本说明书实施例的方案,通过将从网关接收的数据访问请求,发送至检验方,并接收检验方返回的该数据访问请求是否为正常的数据访问请求,若结果为正常,则向网关发送更新得到的配置信息,其中,配置信息是基于该数据访问请求解析得到的目标接口标识和目标接口属性参数更新得到,使得在接收到数据请求时,在网关将该数据访问请求拦截后,由服务端作为中介,将数据访问请求发送至检验方进行检验,而服务端又可以基于检验结果进行对应的处理,经过三方的共同配合,对该数据访问请求进行精准的判断,以及对配置信息的更新,使得在精准检验的同时,有可以极大化的避免网关对正常的数据访问请求的频繁匹配失败。
参见图5,图5示出了根据本说明书一个实施例提供的又一种数据访问系统架构下的交互流程示意图,如图1所示,该系统包括网关0501、服务端0502和检验方0503。
网关0501:用于向服务端0502发送数据访问请求;在服务端0502确定该数据访问请求正常时,接收服务端0502发送的更新的配置信息;
服务端0502:用于接收网关0501发送的数据访问请求;向检验方0503反馈数据访问请求,接收检验方0503对数据访问请求是否为正常的数据访问请求的检验结果;在检验结果为数据访问请求是正常的数据访问请求的情况下,根据目标接口标识和目标接口属性参数更新配置信息;将更新的配置信息发送至网关0501;
检验方0503:用于接收服务端0502发送的数据访问请求,对该数据访问请求进行检验,并将检验结果返回至服务端0502;
数据访问请求在网关0501匹配失败被拦截后,被发送到服务端0502,服务端0502将数据访问请求发送至检验方0503,由检验方0503对该数据访问请求进行检验,确定该数据访问请求是否为正常的数据访问请求,检验方0503将检验结果发送至服务端0502,由服务端0502基于检验结果进行对应的处理,若检验结果为该数据访问请求为正常的数据访问请求,则将基于该数据访问请求解析得到的目标接口标识和目标接口属性参数对配置信息进行更新,并将更新得到的配置信息发送至网关0501。
应用本说明书实施例的方案,通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;基于多个访问接口的接口标识和接口属性参数,设置配置信息;将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数,并基于该多个访问接口的接口标识和接口属性参数设置配置信息,使得配置信息是基于多个正确数据访问请求对应的接口标识和接口属性参数配置得到,保证了配置信息中包含的多个访问接口的接口标识和接口属性参数都是正常且安全的,将该配置信息发送至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,使得网关在对数据访问请求进行检验时是基于服务端配置的配置信息进行检验的,提高了对数据的保护,且也为后续服务端对该配置信息进行更新奠定了基础。
下述结合附图6,以本说明书提供的数据访问方法在指定域名中的应用为例,对所述数据访问方法进行进一步说明。其中,图6示出了根据本说明书一个实施例提供的一种数据访问方法的处理过程流程图,具体包括以下步骤。
步骤602:接收数据访问请求:aaaaaa.com/test?name=123。
步骤604:解析“aaaaaa.com/test?name=456”,获得目标接口标识(test)、目标接口参数名(name)、目标接口参数值(123)。
步骤606:接收服务端发送的配置信息,指定接口标识(test)、指定接口参数名(name)、指定接口参数值(456)。
步骤608:基于目标接口标识(test),在配置信息中查找得到指定接口标识(test),及对应的指定接口参数名(name)和指定接口参数值(456)。
步骤610:将目标接口参数名(name)和指定接口参数名(name)进行匹配,将目标接口参数值(123)和指定接口参数值(456)进行匹配。
若匹配成功,则跳转至步骤612;若匹配不成功,则跳转至步骤614。
步骤612:放行该数据访问请求。
步骤614:拦截该数据访问请求。
在步骤614之后,将该数据访问请求发送至服务端,服务端将数据访问请求发送至检验方,由检验方对该数据访问请求的正常与否进行判断,并将检验结果返回至服务端,服务端根据检验结果进行对应处理,若检验结果为该数据访问请求为正常数据访问请求,则服务端根据解析该数据访问请求得到的目标接口标识和目标接口属性参数更新配置信息;将更新的配置信息发送至所述网关,使得后续网关再接收到数据访问请求时基于更新的配置信息作为预设的配置信息进行匹配。
应用本说明书实施例的方案,通过接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,而配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数,也即是通过目标接口标识与目标接口属性参数,与预设的配置信息的匹配的方式,判断该数据访问请求是否安全,在匹配不成功时,将该数据访问请求进行拦截,使得不被拦截的数据访问请求是与配置信息匹配成功的,匹配不成功的均会被拦截,使得更有效的提高了对数据的防护,进一步保障数据的安全。
与上述方法实施例相对应,本说明书还提供了数据访问装置实施例,应用于网关,图7示出了根据本说明书一个实施例提供的一种数据访问装置的结构示意图。如图7所示,该装置包括:
接收模块702,被配置为接收数据访问请求;
解析模块704,被配置为解析数据访问请求,获得目标接口标识和目标接口属性参数;
匹配模块706,被配置为基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;
拦截模块708,被配置为若匹配失败,则拦截数据访问请求。
可选地,解析模块704,进一步被配置为对数据访问请求中的特殊字符进行识别;根据特殊字符识别结果,确定目标接口标识和目标接口属性参数。
可选地,目标接口属性参数包括目标接口参数名和目标接口参数值;匹配模块706,进一步被配置为基于目标接口标识,从预设的配置信息中查找目标接口标识对应的指定接口参数名和指定接口参数值;对目标接口参数名、目标接口参数值和指定接口参数名、指定接口参数值进行匹配。
可选地,在拦截模块708之后,数据访问装置还包括发送模块,被配置为将数据访问请求发送至服务端,以使服务端确定数据访问请求是否为正常的数据访问请求;更新的配置信息接收模块,被配置为接收服务端反馈的更新的配置信息,其中,更新的配置信息为服务端在确定数据访问请求是正常的数据访问请求的情况下,基于目标接口标识和目标接口属性参数更新得到。
可选地,在匹配模块706之后,数据访问装置还包括放行模块,被配置为若匹配成功,则放行数据访问请求。
可选地,在匹配模块706之前,数据访问装置还包括配置信息接收模块,被配置为接收服务端发送的配置信息,其中,配置信息为服务端基于指定域名下各数据访问接口的接口标识和接口属性参数配置得到。
应用本说明书实施例的方案,通过接收数据访问请求;解析数据访问请求,获得目标接口标识和目标接口属性参数;基于目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,其中,配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;若匹配失败,则拦截数据访问请求。在接收到数据访问请求时,通过解析该数据访问请求,获得目标接口标识和目标接口属性参数,并基于该目标接口标识和目标接口属性参数,与预设的配置信息进行匹配,而配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数,也即是通过目标接口标识与目标接口属性参数,与预设的配置信息的匹配的方式,判断该数据访问请求是否安全,在匹配不成功时,将该数据访问请求进行拦截,使得不被拦截的数据访问请求是与配置信息匹配成功的,匹配不成功的均会被拦截,使得更有效的提高了对数据的防护,进一步保障数据的安全。
上述为本实施例的一种数据访问装置的示意性方案。需要说明的是,该数据访问装置的技术方案与上述的数据访问方法的技术方案属于同一构思,数据访问装置的技术方案未详细描述的细节内容,均可以参见上述数据访问方法的技术方案的描述。
与上述方法实施例相对应,本说明书还提供了数据访问装置实施例,应用于服务端,图8示出了根据本说明书一个实施例提供的另一种数据访问装置的结构示意图。如图8所示,该装置包括:
获取模块802,被配置为获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;
设置模块804,被配置为基于多个访问接口的接口标识和接口属性参数,设置配置信息;
下发模块806,被配置为将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。
可选地,获取模块802,进一步被配置为获取指定域名下各数据访问接口的接口标识和接口属性参数。
可选地,数据访问装置还包括检验模块,被配置为接收网关发送的数据访问请求;向检验方反馈数据访问请求,接收检验方对数据访问请求是否为正常的数据访问请求的检验结果;在检验结果为数据访问请求是正常的数据访问请求的情况下,根据目标接口标识和目标接口属性参数更新配置信息;将更新的配置信息发送至网关。
应用本说明书实施例的方案,通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;基于多个访问接口的接口标识和接口属性参数,设置配置信息;将配置信息下发至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,目标接口标识和目标接口属性参数通过解析数据访问请求获得。通过获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数,并基于该多个访问接口的接口标识和接口属性参数设置配置信息,使得配置信息是基于多个正确数据访问请求对应的接口标识和接口属性参数配置得到,保证了配置信息中包含的多个访问接口的接口标识和接口属性参数都是正常且安全的,将该配置信息发送至网关,以使网关基于目标接口标识和目标接口属性参数与配置信息进行匹配,使得网关在对数据访问请求进行检验时是基于服务端配置的配置信息进行检验的,提高了对数据的保护,且也为后续服务端对该配置信息进行更新奠定了基础。
上述为本实施例的一种数据访问装置的示意性方案,应用于服务端。需要说明的是,该数据访问装置的技术方案与上述的数据访问方法的技术方案属于同一构思,数据访问装置的技术方案未详细描述的细节内容,均可以参见上述数据访问方法的技术方案的描述。
图9示出了根据本说明书一个实施例提供的一种计算设备的结构框图。该计算设备900的部件包括但不限于存储器910和处理器920。处理器920与存储器910通过总线930相连接,数据库950用于保存数据。
计算设备900还包括接入设备940,接入设备940使得计算设备900能够经由一个或多个网络960通信。这些网络的示例包括公用交换电话网(PSTN,Public SwitchedTelephone Network)、局域网(LAN,Local Area Network)、广域网(WAN,Wide AreaNetwork)、个域网(PAN,Personal Area Network)或诸如因特网的通信网络的组合。接入设备940可以包括有线或无线的任何类型的网络接口(例如,网络接口卡(NIC,NetworkInterface Card))中的一个或多个,诸如IEEE802.11无线局域网(WLAN,Wireless LocalArea Networks)无线接口、全球微波互联接入(Wi-MAX,World Interoperability forMicrowave Access)接口、以太网接口、通用串行总线(USB,Universal Serial Bus)接口、蜂窝网络接口、蓝牙接口、近场通信(NFC,Near Field Communication)接口,等等。
在本说明书的一个实施例中,计算设备900的上述部件以及图9中未示出的其他部件也可以彼此相连接,例如通过总线。应当理解,图9所示的计算设备结构框图仅仅是出于示例的目的,而不是对本说明书范围的限制。本领域技术人员可以根据需要,增添或替换其他部件。
计算设备900可以是任何类型的静止或移动计算设备,包括移动计算机或移动计算设备(例如,平板计算机、个人数字助理、膝上型计算机、笔记本计算机、上网本等)、移动电话(例如,智能手机)、可佩戴的计算设备(例如,智能手表、智能眼镜等)或其他类型的移动设备,或者诸如台式计算机或PC的静止计算设备。计算设备900还可以是移动式或静止式的服务器。
其中,处理器920用于执行如下计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据访问方法的步骤。
上述为本实施例的一种计算设备的示意性方案。需要说明的是,该计算设备的技术方案与上述的数据访问方法的技术方案属于同一构思,计算设备的技术方案未详细描述的细节内容,均可以参见上述数据访问方法的技术方案的描述。
本说明书一实施例还提供一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现上述数据访问方法的步骤。
上述为本实施例的一种计算机可读存储介质的示意性方案。需要说明的是,该存储介质的技术方案与上述的数据访问方法的技术方案属于同一构思,存储介质的技术方案未详细描述的细节内容,均可以参见上述数据访问方法的技术方案的描述。
本说明书一实施例还提供一种计算机程序,其中,当所述计算机程序在计算机中执行时,令计算机执行上述数据访问方法的步骤。
上述为本实施例的一种计算机程序的示意性方案。需要说明的是,该计算机程序的技术方案与上述的数据访问方法的技术方案属于同一构思,计算机程序的技术方案未详细描述的细节内容,均可以参见上述数据访问方法的技术方案的描述。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
所述计算机指令包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、电载波信号、电信信号以及软件分发介质等。
需要说明的是,对于前述的各方法实施例,为了简便描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本说明书实施例并不受所描述的动作顺序的限制,因为依据本说明书实施例,某些步骤可以采用其它顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作和模块并不一定都是本说明书实施例所必须的。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其它实施例的相关描述。
以上公开的本说明书优选实施例只是用于帮助阐述本说明书。可选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书实施例的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本说明书实施例的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本说明书。本说明书仅受权利要求书及其全部范围和等效物的限制。
Claims (13)
1.一种数据访问方法,应用于网关,包括:
接收数据访问请求;
解析所述数据访问请求,获得目标接口标识和目标接口属性参数;
基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配,其中,所述配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;
若匹配失败,则拦截所述数据访问请求。
2.根据权利要求1所述的方法,所述解析所述数据访问请求,获得目标接口标识和目标接口属性参数,包括:
对所述数据访问请求中的特殊字符进行识别;
根据特殊字符识别结果,确定目标接口标识和目标接口属性参数。
3.根据权利要求1所述的方法,所述目标接口属性参数包括目标接口参数名和目标接口参数值;
所述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配,包括:
基于所述目标接口标识,从预设的配置信息中查找所述目标接口标识对应的指定接口参数名和指定接口参数值;
对所述目标接口参数名、目标接口参数值和所述指定接口参数名、指定接口参数值进行匹配。
4.根据权利要求1所述的方法,在所述拦截所述数据访问请求之后,还包括:
将所述数据访问请求发送至服务端,以使所述服务端确定所述数据访问请求是否为正常的数据访问请求;
接收所述服务端反馈的更新的配置信息,其中,所述更新的配置信息为所述服务端在确定所述数据访问请求是正常的数据访问请求的情况下,基于所述目标接口标识和目标接口属性参数更新得到。
5.根据权利要求1所述的方法,在所述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配之后,还包括:
若匹配成功,则放行所述数据访问请求。
6.根据权利要求1-5中任一项所述的方法,在所述基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配之前,还包括:
接收服务端发送的配置信息,其中,所述配置信息为所述服务端基于指定域名下各数据访问接口的接口标识和接口属性参数配置得到。
7.一种数据访问方法,应用于服务端,包括:
获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;
基于所述多个访问接口的接口标识和接口属性参数,设置配置信息;
将所述配置信息下发至网关,以使所述网关基于目标接口标识和目标接口属性参数与所述配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,所述目标接口标识和目标接口属性参数通过解析所述数据访问请求获得。
8.根据权利要求7所述的方法,所述获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数,包括:
获取指定域名下各数据访问接口的接口标识和接口属性参数。
9.根据权利要求7所述的方法,还包括:
接收所述网关发送的所述数据访问请求;
向检验方反馈所述数据访问请求,接收所述检验方对所述数据访问请求是否为正常的数据访问请求的检验结果;
在所述检验结果为所述数据访问请求是正常的数据访问请求的情况下,根据所述目标接口标识和目标接口属性参数更新所述配置信息;
将更新的所述配置信息发送至所述网关。
10.一种数据访问装置,应用于网关,包括:
接收模块,被配置为接收数据访问请求;
解析模块,被配置为解析所述数据访问请求,获得目标接口标识和目标接口属性参数;
匹配模块,被配置为基于所述目标接口标识和所述目标接口属性参数,与预设的配置信息进行匹配,其中,所述配置信息包括指定网络中预先设置的多个访问接口的接口标识和接口属性参数;
拦截模块,被配置为若匹配失败,则拦截所述数据访问请求。
11.一种数据访问装置,应用于服务端,包括:
获取模块,被配置为获取指定网络中预先设置的多个访问接口的接口标识,以及各访问接口的接口属性参数;
设置模块,被配置为基于所述多个访问接口的接口标识和接口属性参数,设置配置信息;
下发模块,被配置为将所述配置信息下发至网关,以使所述网关基于目标接口标识和目标接口属性参数与所述配置信息进行匹配,若匹配失败则拦截数据访问请求,其中,所述目标接口标识和目标接口属性参数通过解析所述数据访问请求获得。
12.一种计算设备,包括:
存储器和处理器;
所述存储器用于存储计算机可执行指令,所述处理器用于执行所述计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至6任意一项所述数据访问方法或权利要求7至9任意一项所述数据访问方法的步骤。
13.一种计算机可读存储介质,其存储有计算机可执行指令,该计算机可执行指令被处理器执行时实现权利要求1至6任意一项所述数据访问方法或权利要求7至9任意一项所述数据访问方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211238543.8A CN115622776A (zh) | 2022-10-08 | 2022-10-08 | 数据访问方法以及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211238543.8A CN115622776A (zh) | 2022-10-08 | 2022-10-08 | 数据访问方法以及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115622776A true CN115622776A (zh) | 2023-01-17 |
Family
ID=84862211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211238543.8A Pending CN115622776A (zh) | 2022-10-08 | 2022-10-08 | 数据访问方法以及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115622776A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116881173A (zh) * | 2023-09-06 | 2023-10-13 | 国网思极网安科技(北京)有限公司 | 接口参数的检测方法、装置、电子设备和计算机可读介质 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
| CN103428196A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种基于url白名单的web应用入侵检测方法和装置 |
| CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
| CN107908545A (zh) * | 2017-09-26 | 2018-04-13 | 深圳市牛鼎丰科技有限公司 | 接口测试方法、装置、计算机设备及存储介质 |
| US20180300475A1 (en) * | 2017-04-14 | 2018-10-18 | Alibaba Group Holding Limited | Method, means, system, processor, and memory for intercepting malicious websites |
| CN109802919A (zh) * | 2017-11-16 | 2019-05-24 | 中移(杭州)信息技术有限公司 | 一种web网页访问拦截方法及装置 |
| CN110138669A (zh) * | 2019-04-15 | 2019-08-16 | 中国平安人寿保险股份有限公司 | 接口访问处理方法、装置、计算机设备及存储介质 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及系统 |
| CN114172821A (zh) * | 2022-02-08 | 2022-03-11 | 树根互联股份有限公司 | 服务状态的同步方法、装置及服务器 |
-
2022
- 2022-10-08 CN CN202211238543.8A patent/CN115622776A/zh active Pending
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428196A (zh) * | 2012-12-27 | 2013-12-04 | 北京安天电子设备有限公司 | 一种基于url白名单的web应用入侵检测方法和装置 |
| CN103166966A (zh) * | 2013-03-07 | 2013-06-19 | 星云融创(北京)信息技术有限公司 | 识别对网站的非法访问请求的方法及装置 |
| CN104394122A (zh) * | 2014-10-31 | 2015-03-04 | 杭州安恒信息技术有限公司 | 一种基于自适应代理机制的http业务防火墙 |
| US20180300475A1 (en) * | 2017-04-14 | 2018-10-18 | Alibaba Group Holding Limited | Method, means, system, processor, and memory for intercepting malicious websites |
| CN107908545A (zh) * | 2017-09-26 | 2018-04-13 | 深圳市牛鼎丰科技有限公司 | 接口测试方法、装置、计算机设备及存储介质 |
| CN109802919A (zh) * | 2017-11-16 | 2019-05-24 | 中移(杭州)信息技术有限公司 | 一种web网页访问拦截方法及装置 |
| CN110138669A (zh) * | 2019-04-15 | 2019-08-16 | 中国平安人寿保险股份有限公司 | 接口访问处理方法、装置、计算机设备及存储介质 |
| CN110213375A (zh) * | 2019-06-04 | 2019-09-06 | 杭州安恒信息技术股份有限公司 | 一种基于云waf的ip访问控制的方法、装置及电子设备 |
| CN110661680A (zh) * | 2019-09-11 | 2020-01-07 | 深圳市永达电子信息股份有限公司 | 一种基于正则表达式进行数据流白名单检测的方法及系统 |
| CN114172821A (zh) * | 2022-02-08 | 2022-03-11 | 树根互联股份有限公司 | 服务状态的同步方法、装置及服务器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116881173A (zh) * | 2023-09-06 | 2023-10-13 | 国网思极网安科技(北京)有限公司 | 接口参数的检测方法、装置、电子设备和计算机可读介质 |
| CN116881173B (zh) * | 2023-09-06 | 2023-11-28 | 国网思极网安科技(北京)有限公司 | 接口参数的检测方法、装置、电子设备和计算机可读介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111079104B (zh) | 一种权限控制方法、装置、设备及存储介质 | |
| CN103607385B (zh) | 基于浏览器进行安全检测的方法和装置 | |
| US10404723B1 (en) | Method and system for detecting credential stealing attacks | |
| CN106529952B (zh) | 数据转移中的验证实现方法及系统 | |
| CN107046544B (zh) | 一种识别对网站的非法访问请求的方法和装置 | |
| CN108718341B (zh) | 数据的共享和搜索的方法 | |
| US10885162B2 (en) | Automated determination of device identifiers for risk-based access control in a computer network | |
| JP2018517982A (ja) | 自動再チャージシステム、方法、およびサーバ | |
| CN113536250B (zh) | 令牌生成方法、登录验证方法及相关设备 | |
| CN115622776A (zh) | 数据访问方法以及装置 | |
| CN113992414B (zh) | 数据的访问方法、装置及设备 | |
| CN113098852B (zh) | 一种日志处理方法及装置 | |
| CN108549810A (zh) | 一种基于操作系统类型的程序白名单服务方法及系统 | |
| CN114239072A (zh) | 区块链节点管理方法及区块链网络 | |
| US11973762B2 (en) | System for prevention of unauthorized access using authorized environment hash outputs | |
| CN109214189B (zh) | 识别程序漏洞的方法、装置、存储介质和电子设备 | |
| CN115001776B (zh) | 数据处理系统及方法 | |
| CN113364766B (zh) | 一种apt攻击的检测方法及装置 | |
| CN111639033B (zh) | 软件安全威胁分析方法与系统 | |
| CN112214769B (zh) | 基于SGX架构的Windows系统的主动度量系统 | |
| CN115114622A (zh) | 病毒扫描与展示方法和系统 | |
| CN112748960A (zh) | 一种进程控制方法、装置、电子设备及存储介质 | |
| KR102184855B1 (ko) | 부정 로그인 감지 시스템 및 그 방법 | |
| CN112035713B (zh) | 数据处理方法以及装置 | |
| RU2736166C1 (ru) | Способ идентификации онлайн-пользователя и его устройства в приложении |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |