CN115622803A - 基于协议分析的权限控制系统及方法 - Google Patents
基于协议分析的权限控制系统及方法 Download PDFInfo
- Publication number
- CN115622803A CN115622803A CN202211536906.6A CN202211536906A CN115622803A CN 115622803 A CN115622803 A CN 115622803A CN 202211536906 A CN202211536906 A CN 202211536906A CN 115622803 A CN115622803 A CN 115622803A
- Authority
- CN
- China
- Prior art keywords
- request
- field information
- module
- client
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/146—Markers for unambiguous identification of a particular session, e.g. session cookie or URL-encoding
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及权限控制领域,尤其涉及一种基于协议分析的权限控制系统及方法,该系统包括:接收模块接收客户端的访问请求报文并将访问请求报文进行划分;分析模块根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据;确定模块将被标记的字段信息的数量与预设数量进行比较确定策略查询结果;执行模块根据策略查询结果进行策略执行;响应模块接收目标服务器构建的请求资源,将请求资源生成响应报文发送给客户端进行响应。通过对访问请求中请求行、请求头和请求正文进行全面分析且在访问请求到达目标服务器前进行接收和分析以确定对应的策略,使对客户端的权限控制更加准确。
Description
技术领域
本发明涉及权限控制领域,尤其涉及一种基于协议分析的权限控制系统及方法。
背景技术
随着互联网领域的迅猛发展,用户可以获取的数据量呈爆炸式增长,但导致了数据的不安全,因此为了保护数据的安全,通过权限管理设置安全规则或安全策略,使用户只能访问自己被授权的数据。
中国专利公开号:CN115037551A的专利公开了一种连接权限控制方法,该方法包括:响应于客户端发送的针对容器集群的访问请求,在建立与所述容器集群的后台系统的连接之前,获取所述客户端的互联网协议地址;调用预先加载的地址写入模块,将所述互联网协议地址写入目标协议层地址选项内;在所述目标协议层地址选项内添加所述互联网协议地址对应的地址访问策略;在所述地址访问策略为允许访问策略的情况下,调用预置跟踪插件对所述互联网协议地址进行跟踪,得到所述客户端访问的所述容器集群内的目标容器,及所述客户端与所述目标容器之间的交互数据信息;根据所述交互数据信息和预置流控规则,对所述客户端与所述容器集群之间的连接权限进行控制。
现有技术通过根据客户端发送访问请求时的互联网协议地址确认该互联网协议地址对应的地址访问策略,由于其权限控制主要在是否允许连接访问的层面,且仅限于对客户端的IP地址进行分析和跟踪以确定访问策略,因此对权限控制不准确。
发明内容
为此,本发明提供一种基于协议分析的权限控制系统及方法,可以解决权限控制不准确的问题。
为实现上述目的,本发明一方面提供一种基于协议分析的权限控制系统,该系统包括:
接收模块,用以接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
分析模块,其与所述接收模块相连,用以根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
确定模块,其与所述分析模块相连,用以将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
执行模块,其与所述确定模块相连,用以根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
响应模块,其与所述执行模块相连,用以接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
进一步地,所述分析模块在根据预设关键字库将所述请求行进行目标关键字匹配时,识别所述请求行中的方法字段信息、URL字段信息和HTTP协议版本字段信息,所述方法字段信息包括若干方法字段,每个方法字段对应一个预设请求行关键字库,根据所述方法字段获取对应的预设请求行关键字库,将所述URL字段信息和所述HTTP协议版本字段信息分别与预设请求行关键字库进行匹配,将匹配失败的URL字段信息或HTTP协议版本字段信息进行标记。
进一步地,所述分析模块在根据预设关键字库将所述请求头进行目标关键字匹配时,所述请求头包括若干请求头字段信息,将所述请求头中的请求头字段与预设请求头关键字库进行匹配,将匹配失败的请求头字段信息进行标记。
进一步地,所述分析模块在根据判断所述请求正文是否为空以生成目标请求数据时,判断所述请求正文是否为空,若所述请求正文为空,则获取URL字段信息对应的请求数据,对URL字段信息对应的请求数据生成目标请求数据,若所述请求正文不为空,则将请求正文中的请求数据生成目标请求数据。
进一步地,所述确定模块在根据匹配结果进行策略查询时,将被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头字段信息进行分析,根据被标记的请求头字段信息中的客户端类型字段信息进行初次策略查询,其初次策略查询对应的策略查询结果为暂定;
在初次策略查询为暂定时,统计被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头中剩余字段信息的数量W,将数量W与第一预设数量W1和第二预设数量W2进行比较,其中,W1<W2;
若W>W2,则所述确定模块确定最终策略查询结果为禁止;
若W1≤W≤W2,则所述确定模块确定最终策略查询结果为认证;
若W<W1,则所述确定模块确定最终策略查询结果为通过。
进一步地,所述执行模块在根据所述策略查询结果进行策略执行时,若最终策略查询结果为禁止,则执行模块生成400-499的错误状态码发送给所述客户端以禁止该客户端访问对应的目标服务器,若最终策略查询结果为通过,则执行模块将所述目标请求数据发送给对应的目标服务器,若最终策略查询结果为认证,则执行模块生成身份认证信息并将身份认证信息发送给对应的客户端以对该客户端进行身份认证,在身份认证结果成功时,所述分析模块将对应的访问请求报文进行分析生成目标请求数据以使执行模块将该目标请求数据发送给对应的目标服务器。
本发明提供的一种基于协议分析的权限控制系统还包括:处理模块,用以获取所述执行模块将所述目标请求数据发送给目标服务器到所述响应模块接收到目标服务器发送的请求资源之间的时间t1,所述处理模块获取响应模块接收到目标服务器发送的请求资源到响应模块将请求资源生成响应报文发送给所述客户端之间的时间t2,并计算实际响应时间T,T=t1+t2,处理模块将实际响应时间T和预设响应时间T0进行比较;
若T>T0,则所述处理模块判定实际响应时间不符合标准;
若T≤T0,则所述处理模块判定实际响应时间符合标准。
进一步地,所述处理模块在判定实际响应时间不符合标准时,处理模块将时间t1和时间t2分别与T0/2进行比较,并根据比较结果判定所述目标服务器和所述响应模块是否运行正常;
若t1≥T0/2且t2≤T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行正常;
若t1≤T0/2且t2≥T0/2,则所述处理模块判定所述目标服务器运行正常,所述响应模块运行异常;
若t1>T0/2且t2>T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行异常。
进一步地,所述处理模块在根据比较结果判定所述目标服务器和所述响应模块是否运行正常时,若判定所述目标服务器运行异常,所述响应模块运行正常,则处理模块将目标服务器进行标记;
若判定所述目标服务器运行正常,所述响应模块运行异常,则所述处理模块将响应模块进行标记;
若判定所述目标服务器运行异常,所述响应模块运行异常,则所述处理模块将目标服务器和响应模块进行标记;
若所述目标服务器被所述处理模块标记,所述客户端在下次向改被标记的目标服务器发送访问请求时,根据客户端在预设时间内对该被标记的目标服务器的历史访问次数和预设访问次数范围确认客户端的可信等级,在客户端的可信等级大于预设可信等级时,优先将该客户端的访问请求发送至该被标记的目标服务器;
若所述响应模块被所述处理模块标记,所述响应模块在下次将所述请求资源生成响应报文时,响应模块优先将响应报文对应的客户端的可信等级大于预设可信等级的请求资源生成响应报文并优先将该响应报文发送给对应的客户端。
本发明另一方面还提供一种基于协议分析的权限控制方法,该方法包括:
接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
与现有技术相比,本发明的有益效果在于,通过接收模块接收客户端的访问请求报文并将访问请求报文进行划分,接着分析模块根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据,进而确定模块将被标记的字段信息的数量与预设数量进行比较确定策略查询结果,分析出了客户端的访问策略即目标服务器对客户端的权限,执行模块根据所述策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,通过在访问请求到达目标服务器前进行接收和分析,需对客户端应用进行改动,只需将其访问请求内容进行调整,而且通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,使对客户端的权限控制更加准确。
尤其,通过分析模块根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据,进而可以使确定模块根据被标记的字段信息的数量与预设数量进行比较准确地确定最终策略查询结果,进而使执行模块根据所述最终策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,并通过两次确定使对客户端的权限控制更加准确。
尤其,通过在每次完成对访问请求报文的分析和响应后,所述处理模块获取执行模块将所述目标请求数据发送给目标服务器到所述响应模块接收到目标服务器发送的请求资源之间的时间和响应模块接收到目标服务器发送的请求资源到响应模块将请求资源生成响应报文发送给所述客户端之间的时间,将实际响应时间和预设响应时间进行比较,判定实际响应时间符合标准,是否在标准时间内对客户端的访问请求报文进行了响应,以保证可快速对客户端进行响应。
尤其,通过所述处理模块在判定实际响应时间不符合标准时,将响应时的两个阶段的时间具体进行分析,确定是哪个阶段出现了问题导致响应不及时,将两个阶段的时间分别与平均时间进行比较,判定两个阶段对应的目标服务器和响应模块是否运行正常,进而将异常的目标服务器或响应模块进行标记,在标记后的目标服务器和响应模块再次获取到访问请求报文和目标请求数据时根据客户端的优先级优先对其进行处理和响应,以避免访问请求报文和目标请求数据过多造成目标服务器和响应模块处理繁忙,处理速度降低而导致响应速度慢,通过采取措施以避免目标服务器和响应模块运行异常,进而保证可快速对客户端进行响应。
附图说明
图1为本发明一种实施例提供的基于协议分析的权限控制系统的结构示意图;
图2为本发明另一种实施例提供的基于协议分析的权限控制方法的流程示意图;
图3为本发明实施例提供的基于协议分析的权限控制方法的流程示意图。
具体实施方式
为了使本发明的目的和优点更加清楚明白,下面结合实施例对本发明作进一步描述;应当理解,此处所描述的具体实施例仅仅用于解释本发明,并不用于限定本发明。
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅仅用于解释本发明的技术原理,并非在限制本发明的保护范围。
需要说明的是,在本发明的描述中,术语“上”、“下”、“左”、“右”、“内”、“外”等指示的方向或位置关系的术语是基于附图所示的方向或位置关系,这仅仅是为了便于描述,而不是指示或暗示所述装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。
此外,还需要说明的是,在本发明的描述中,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域技术人员而言,可根据具体情况理解上述术语在本发明中的具体含义。
请参阅图1所示,本发明实施例提供的基于协议分析的权限控制系统包括:
接收模块110,用以接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
分析模块120,其与所述接收模块相连,用以根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
确定模块130,其与所述分析模块相连,用以将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
执行模块140,其与所述确定模块相连,用以根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
响应模块150,其与所述执行模块相连,用以接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
具体而言,本发明实施例提供的基于协议分析的权限控制系统设置在客户端和服务器之间,通过http网关接收客户端访问请求,所述接收模块和分析模块对访问请求进行划分和分析,所述确定模块根据分析结果确定客户端的权限即对客户端的策略,所述执行模块执行对应的策略查询结果,在策略查询结果为通过时向目标服务器建立连接并发送分析后的目标请求数据给目标服务器,目标服务器通过所述响应模块将构建的请求资源响应给客户端;所述响应报文包括响应状态行、响应头和响应正文。
具体而言,本发明实施例通过接收模块接收客户端的访问请求报文并将访问请求报文进行划分,接着分析模块根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据,进而确定模块将被标记的字段信息的数量与预设数量进行比较确定策略查询结果,分析出了客户端的访问策略即目标服务器对客户端的权限,执行模块根据所述策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,通过在访问请求到达目标服务器前进行接收和分析,需对客户端应用进行改动,只需将其访问请求内容进行调整,而且通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,使对客户端的权限控制更加准确。
具体而言,所述分析模块在根据预设关键字库将所述请求行进行目标关键字匹配时,识别所述请求行中的方法字段信息、URL字段信息和HTTP协议版本字段信息,所述方法字段信息包括若干方法字段,每个方法字段对应一个预设请求行关键字库,根据所述方法字段获取对应的预设请求行关键字库,将所述URL字段信息和所述HTTP协议版本字段信息分别与预设请求行关键字库进行匹配,将匹配失败的URL字段信息或HTTP协议版本字段信息进行标记。
具体而言,所述方法字段包括GET、POST、HAEAD、PUT、DELETE、OPTIONS、TRACE和CONNECT,HTTP协议版本字段包括HTTP1.0、HTTP1.1和HTTP2.0等,每个HTTP协议版本对应的不同的方法字段。
具体而言,所述分析模块在根据预设关键字库将所述请求头进行目标关键字匹配时,所述请求头包括若干请求头字段信息,将所述请求头中的请求头字段与预设请求头关键字库进行匹配,将匹配失败的请求头字段信息进行标记。
具体而言,所述预设请求头关键字库包括客户端类型user-agent、cookie、referer和host等。
具体而言,所述分析模块在根据判断所述请求正文是否为空以生成目标请求数据时,判断所述请求正文是否为空,若所述请求正文为空,则获取URL字段信息对应的请求数据,对URL字段信息对应的请求数据生成目标请求数据,若所述请求正文不为空,则将请求正文中的请求数据生成目标请求数据。
具体而言,本发明实施例通过分析模块根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据,进而可以使确定模块根据被标记的字段信息的数量与预设数量进行比较准确地确定策略查询结果,进而使执行模块根据所述策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,使对客户端的权限控制更加准确。
具体而言,所述确定模块在根据匹配结果进行策略查询时,将被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头字段信息进行分析,根据被标记的请求头字段信息中的客户端类型字段信息进行初次策略查询,其初次策略查询对应的策略查询结果为暂定;
在初次策略查询为暂定时,统计被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头中剩余字段信息的数量W,将数量W与第一预设数量W1和第二预设数量W2进行比较,其中,W1<W2;
若W>W2,则所述确定模块确定最终策略查询结果为禁止;
若W1≤W≤W2,则所述确定模块确定最终策略查询结果为认证;
若W<W1,则所述确定模块确定最终策略查询结果为通过。
具体而言,本发明实施例通过确定模块先根据被标记请求头中的客户端类型字段信息进行初次策略查询,再根据剩余被标记的字段信息的数量与预设数量进行比较确定策略查询结果,分析出了客户端的访问策略即目标服务器对客户端的权限,进而使执行模块根据所述最终策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,根据对客户端的权限控制进而保证了目标服务器的安全,而且通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,并通过两次确定使对客户端的权限控制更加准确。
具体而言,所述执行模块在根据所述策略查询结果进行策略执行时,若最终策略查询结果为禁止,则执行模块生成400-499的错误状态码发送给所述客户端以禁止该客户端访问对应的目标服务器,若最终策略查询结果为通过,则执行模块将所述目标请求数据发送给对应的目标服务器,若最终策略查询结果为认证,则执行模块生成身份认证信息并将身份认证信息发送给对应的客户端以对该客户端进行身份认证,在身份认证结果成功时,所述分析模块将对应的访问请求报文进行分析生成目标请求数据以使执行模块将该目标请求数据发送给对应的目标服务器。
具体而言,若最终策略查询结果为禁止,客户端可对访问请求报文内的具体内容进行更改以再次发送访问请求报文,执行模块生成身份认证信息并将身份认证信息发送给客户端后,客户端将根据身份认证信息进行身份认证,在身份认证通过后,则执行模块将其对应的目标请求数据发送至对应的目标服务器。
请参阅图2所示,本发明实施例提供的基于协议分析的权限控制系统还包括处理模块160,用以获取所述执行模块将所述目标请求数据发送给目标服务器到所述响应模块接收到目标服务器发送的请求资源之间的时间t1,所述处理模块获取响应模块接收到目标服务器发送的请求资源到响应模块将请求资源生成响应报文发送给所述客户端之间的时间t2,并计算实际响应时间T,T=t1+t2,处理模块将实际响应时间T和预设响应时间T0进行比较;
若T>T0,则所述处理模块判定实际响应时间不符合标准;
若T≤T0,则所述处理模块判定实际响应时间符合标准。
具体而言,本发明实施例通过在每次完成对访问请求报文的分析和响应后,所述处理模块获取执行模块将所述目标请求数据发送给目标服务器到所述响应模块接收到目标服务器发送的请求资源之间的时间和响应模块接收到目标服务器发送的请求资源到响应模块将请求资源生成响应报文发送给所述客户端之间的时间,将实际响应时间和预设响应时间进行比较,判定实际响应时间符合标准,是否在标准时间内对客户端的访问请求报文进行了响应,以保证可快速对客户端进行响应。
具体而言,所述处理模块在判定实际响应时间不符合标准时,处理模块将时间t1和时间t2分别与T0/2进行比较,并根据比较结果判定所述目标服务器和所述响应模块是否运行正常;
若t1≥T0/2且t2≤T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行正常;
若t1≤T0/2且t2≥T0/2,则所述处理模块判定所述目标服务器运行正常,所述响应模块运行异常;
若t1>T0/2且t2>T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行异常。
具体而言,本发明实施例通过所述处理模块在判定实际响应时间不符合标准时,将响应时的两个阶段的时间具体进行分析,确定是哪个阶段出现了问题导致响应不及时,将两个阶段的时间分别与平均时间进行比较,判定两个阶段对应的目标服务器和响应模块是否运行正常,进而采取措施以避免目标服务器和响应模块运行异常,进而保证可快速对客户端进行响应。
具体而言,所述处理模块在根据比较结果判定所述目标服务器和所述响应模块是否运行正常时,若判定所述目标服务器运行异常,所述响应模块运行正常,则处理模块将目标服务器进行标记;
若判定所述目标服务器运行正常,所述响应模块运行异常,则所述处理模块将响应模块进行标记;
若判定所述目标服务器运行异常,所述响应模块运行异常,则所述处理模块将目标服务器和响应模块进行标记;
若所述目标服务器被所述处理模块标记,所述客户端在下次向改被标记的目标服务器发送访问请求时,根据客户端在预设时间内对该被标记的目标服务器的历史访问次数和预设访问次数范围确认客户端的可信等级,在客户端的可信等级大于预设可信等级时,优先将该客户端的访问请求发送至该被标记的目标服务器;
若所述响应模块被所述处理模块标记,所述响应模块在下次将所述请求资源生成响应报文时,响应模块优先将响应报文对应的客户端的可信等级大于预设可信等级的请求资源生成响应报文并优先将该响应报文发送给对应的客户端。
具体而言,本发明实施例通过所述处理模块在判定实际响应时间不符合标准时,将响应时的两个阶段的时间具体进行分析,确定是哪个阶段出现了问题导致响应不及时,将两个阶段的时间分别与平均时间进行比较,判定两个阶段对应的目标服务器和响应模块是否运行正常,进而将异常的目标服务器或响应模块进行标记,在标记后的目标服务器和响应模块再次获取到访问请求报文和目标请求数据时根据客户端的优先级优先对其进行处理和响应,以避免访问请求报文和目标请求数据过多造成目标服务器和响应模块处理繁忙,处理速度降低而导致响应速度慢,通过采取措施以避免目标服务器和响应模块运行异常,进而保证可快速对客户端进行响应。
请参阅图3所示,本发明实施例提供的基于协议分析的权限控制方法包括:
步骤S210,接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
步骤S220,根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
步骤S230,将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
步骤S240,根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
步骤S250,接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
具体而言,本发明实施例通过接收客户端的访问请求报文并将访问请求报文进行划分,接着根据预设关键字库将请求行和请求头中的字段信息进行目标关键字匹配并标记匹配失败的字段信息,将请求正文生成目标请求数据,进而将被标记的字段信息的数量与预设数量进行比较确定策略查询结果,分析出了客户端的访问策略即目标服务器对客户端的权限,然后根据所述策略查询结果进行策略执行以决定是否放行客户端的访问请求报文,通过在访问请求到达目标服务器前进行接收和分析,需对客户端应用进行改动,只需将其访问请求内容进行调整,而且通过对访问请求中请求行、请求头和请求正文进行全面分析且以确定对应的策略,使对客户端的权限控制更加准确。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案,但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
以上所述仅为本发明的优选实施例,并不用于限制本发明;对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于协议分析的权限控制系统,其特征在于,包括:
接收模块,用以接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
分析模块,其与所述接收模块相连,用以根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
确定模块,其与所述分析模块相连,用以将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
执行模块,其与所述确定模块相连,用以根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
响应模块,其与所述执行模块相连,用以接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
2.根据权利要求1所述的基于协议分析的权限控制系统,其特征在于,所述分析模块在根据预设关键字库将所述请求行进行目标关键字匹配时,识别所述请求行中的方法字段信息、URL字段信息和HTTP协议版本字段信息,所述方法字段信息包括若干方法字段,每个方法字段对应一个预设请求行关键字库,根据所述方法字段获取对应的预设请求行关键字库,将所述URL字段信息和所述HTTP协议版本字段信息分别与预设请求行关键字库进行匹配,将匹配失败的URL字段信息或HTTP协议版本字段信息进行标记。
3.根据权利要求2所述的基于协议分析的权限控制系统,其特征在于,所述分析模块在根据预设关键字库将所述请求头进行目标关键字匹配时,所述请求头包括若干请求头字段信息,将所述请求头中的请求头字段与预设请求头关键字库进行匹配,将匹配失败的请求头字段信息进行标记。
4.根据权利要求3所述的基于协议分析的权限控制系统,其特征在于,所述分析模块在根据判断所述请求正文是否为空以生成目标请求数据时,判断所述请求正文是否为空,若所述请求正文为空,则获取URL字段信息对应的请求数据,对URL字段信息对应的请求数据生成目标请求数据,若所述请求正文不为空,则将请求正文中的请求数据生成目标请求数据。
5.根据权利要求4所述的基于协议分析的权限控制系统,其特征在于,所述确定模块在根据匹配结果进行策略查询时,将被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头字段信息进行分析,根据被标记的请求头字段信息中的客户端类型字段信息进行初次策略查询,其初次策略查询对应的策略查询结果为暂定;
在初次策略查询为暂定时,统计被标记的URL字段信息、被标记的HTTP协议版本字段信息和被标记的请求头中剩余字段信息的数量W,将数量W与第一预设数量W1和第二预设数量W2进行比较,其中,W1<W2;
若W>W2,则所述确定模块确定最终策略查询结果为禁止;
若W1≤W≤W2,则所述确定模块确定最终策略查询结果为认证;
若W<W1,则所述确定模块确定最终策略查询结果为通过。
6.根据权利要求5所述的基于协议分析的权限控制系统,其特征在于,所述执行模块在根据所述策略查询结果进行策略执行时,若最终策略查询结果为禁止,则执行模块生成400-499的错误状态码发送给所述客户端以禁止该客户端访问对应的目标服务器,若最终策略查询结果为通过,则执行模块将所述目标请求数据发送给对应的目标服务器,若最终策略查询结果为认证,则执行模块生成身份认证信息并将身份认证信息发送给对应的客户端以对该客户端进行身份认证,在身份认证结果成功时,所述分析模块将对应的访问请求报文进行分析生成目标请求数据以使执行模块将该目标请求数据发送给对应的目标服务器。
7.根据权利要求6所述的基于协议分析的权限控制系统,其特征在于,还包括处理模块,用以获取所述执行模块将所述目标请求数据发送给目标服务器到所述响应模块接收到目标服务器发送的请求资源之间的时间t1,所述处理模块获取响应模块接收到目标服务器发送的请求资源到响应模块将请求资源生成响应报文发送给所述客户端之间的时间t2,并计算实际响应时间T,T=t1+t2,处理模块将实际响应时间T和预设响应时间T0进行比较;
若T>T0,则所述处理模块判定实际响应时间不符合标准;
若T≤T0,则所述处理模块判定实际响应时间符合标准。
8.根据权利要求7所述的基于协议分析的权限控制系统,其特征在于,所述处理模块在判定实际响应时间不符合标准时,处理模块将时间t1和时间t2分别与T0/2进行比较,并根据比较结果判定所述目标服务器和所述响应模块是否运行正常;
若t1≥T0/2且t2≤T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行正常;
若t1≤T0/2且t2≥T0/2,则所述处理模块判定所述目标服务器运行正常,所述响应模块运行异常;
若t1>T0/2且t2>T0/2,则所述处理模块判定所述目标服务器运行异常,所述响应模块运行异常。
9.根据权利要求8所述的基于协议分析的权限控制系统,其特征在于,所述处理模块在根据比较结果判定所述目标服务器和所述响应模块是否运行正常时,若判定所述目标服务器运行异常,所述响应模块运行正常,则处理模块将目标服务器进行标记;
若判定所述目标服务器运行正常,所述响应模块运行异常,则所述处理模块将响应模块进行标记;
若判定所述目标服务器运行异常,所述响应模块运行异常,则所述处理模块将目标服务器和响应模块进行标记;
若所述目标服务器被所述处理模块标记,所述客户端在下次向改被标记的目标服务器发送访问请求时,根据客户端在预设时间内对该被标记的目标服务器的历史访问次数和预设访问次数范围确认客户端的可信等级,在客户端的可信等级大于预设可信等级时,优先将该客户端的访问请求发送至该被标记的目标服务器;
若所述响应模块被所述处理模块标记,所述响应模块在下次将所述请求资源生成响应报文时,响应模块优先将响应报文对应的客户端的可信等级大于预设可信等级的请求资源生成响应报文并优先将该响应报文发送给对应的客户端。
10.一种应用如权利要求1-9任一所述的基于协议分析的权限控制系统的基于协议分析的权限控制方法,其特征在于,包括:
接收客户端的访问请求报文并将访问请求报文划分为请求行、请求头和请求正文;
根据预设关键字库分别对所述请求行中的方法字段信息、URL字段信息、HTTP协议版本字段信息和请求头中的若干请求头字段信息进行目标关键字匹配,并将匹配失败的方法字段信息、URL字段信息、HTTP协议版本字段信息或若干请求头字段信息进行标记,判断所述请求正文是否为空以获取请求正文中的请求数据生成目标请求数据,在请求正文为空时根据请求行中的URL字段信息或请求头中的请求数据生成目标请求数据;
将被标记的字段信息的数量与预设数量进行比较以确定策略查询结果,所述策略查询结果包括禁止、通过或认证;
根据所述策略查询结果进行策略执行,将所述禁止或认证的策略查询结果发送给对应的所述客户端以禁止该客户端访问对应的目标服务器或对该客户端进行认证,将所述通过的策略查询结果发送给对应的所述目标服务器;
接收所述目标服务器根据所述目标请求数据进行目标请求数据查找而构建的请求资源,将所述请求资源生成响应报文发送给对应的所述客户端进行响应。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211536906.6A CN115622803B (zh) | 2022-12-02 | 2022-12-02 | 基于协议分析的权限控制系统及方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211536906.6A CN115622803B (zh) | 2022-12-02 | 2022-12-02 | 基于协议分析的权限控制系统及方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115622803A true CN115622803A (zh) | 2023-01-17 |
CN115622803B CN115622803B (zh) | 2023-04-14 |
Family
ID=84879591
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211536906.6A Active CN115622803B (zh) | 2022-12-02 | 2022-12-02 | 基于协议分析的权限控制系统及方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115622803B (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116150194A (zh) * | 2023-04-21 | 2023-05-23 | 北京飞轮数据科技有限公司 | 数据获取方法、装置、电子设备和计算机可读介质 |
CN117436053A (zh) * | 2023-12-20 | 2024-01-23 | 永鼎行远(南京)信息科技有限公司 | 一种数据服务总线系统及数据认证传输方法 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111177672A (zh) * | 2019-12-20 | 2020-05-19 | 北京淇瑀信息科技有限公司 | 一种页面访问控制方法、装置和电子设备 |
CN112165445A (zh) * | 2020-08-13 | 2021-01-01 | 杭州数梦工场科技有限公司 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114157504A (zh) * | 2021-12-08 | 2022-03-08 | 焦点科技股份有限公司 | 一种基于Servlet拦截器的安全防护方法 |
WO2022226202A1 (en) * | 2021-04-23 | 2022-10-27 | Netskope, Inc. | Synthetic request injection to retrieve object metadata for cloud policy enforcement |
-
2022
- 2022-12-02 CN CN202211536906.6A patent/CN115622803B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111177672A (zh) * | 2019-12-20 | 2020-05-19 | 北京淇瑀信息科技有限公司 | 一种页面访问控制方法、装置和电子设备 |
CN112165445A (zh) * | 2020-08-13 | 2021-01-01 | 杭州数梦工场科技有限公司 | 用于检测网络攻击的方法、装置、存储介质及计算机设备 |
WO2022226202A1 (en) * | 2021-04-23 | 2022-10-27 | Netskope, Inc. | Synthetic request injection to retrieve object metadata for cloud policy enforcement |
CN114124476A (zh) * | 2021-11-05 | 2022-03-01 | 苏州浪潮智能科技有限公司 | 一种Web应用的敏感信息泄露漏洞检测方法、系统及装置 |
CN114157504A (zh) * | 2021-12-08 | 2022-03-08 | 焦点科技股份有限公司 | 一种基于Servlet拦截器的安全防护方法 |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116150194A (zh) * | 2023-04-21 | 2023-05-23 | 北京飞轮数据科技有限公司 | 数据获取方法、装置、电子设备和计算机可读介质 |
CN117436053A (zh) * | 2023-12-20 | 2024-01-23 | 永鼎行远(南京)信息科技有限公司 | 一种数据服务总线系统及数据认证传输方法 |
CN117436053B (zh) * | 2023-12-20 | 2024-02-23 | 永鼎行远(南京)信息科技有限公司 | 一种数据服务总线系统及数据认证传输方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115622803B (zh) | 2023-04-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN115622803B (zh) | 基于协议分析的权限控制系统及方法 | |
US11658992B2 (en) | Lateral movement candidate detection in a computer network | |
CN111478910B (zh) | 用户身份验证方法和装置、电子设备以及存储介质 | |
US10965680B2 (en) | Authority management method and device in distributed environment, and server | |
CN114154995B (zh) | 一种应用于大数据风控的异常支付数据分析方法及系统 | |
CN111953665B (zh) | 服务器攻击访问识别方法及系统、计算机设备、存储介质 | |
CN115701019A (zh) | 零信任网络的访问请求处理方法、装置及电子设备 | |
US7523488B2 (en) | Method for performing data access transformation with request authorization processing | |
CN115913676B (zh) | 云原生应用的访问控制方法、装置、电子设备及存储介质 | |
CN114363373B (zh) | 应用通信管理系统、方法、装置、电子设备以及存储介质 | |
CN111949363A (zh) | 业务访问的管理方法、计算机设备、存储介质及系统 | |
CN113472831B (zh) | 一种服务访问方法、装置、网关设备及存储介质 | |
CN108768987B (zh) | 数据交互方法、装置及系统 | |
KR101809671B1 (ko) | 이상 인증 탐지 장치 및 방법 | |
CN114338060A (zh) | 一种权限校验方法、装置、系统、设备及存储介质 | |
CN117353989B (zh) | 基于安全信任评估的访问准入身份认证系统 | |
CN111275348A (zh) | 电子订单信息处理方法、服务器及电子订单信息处理系统 | |
CN117768150B (zh) | 基于身份认证的业务系统接入方法及业务系统接入平台 | |
CN117938962B (zh) | 用于cdn的网络请求调度方法、装置、设备及介质 | |
EP4301009A1 (en) | Improved communications within an intelligent transport system to detect misbehaving its stations | |
CN112929321B (zh) | 一种鉴权方法、装置及终端设备 | |
CN117040935B (zh) | 一种基于云计算的节点数据安全传输方法及系统 | |
CN114338107B (zh) | 一种安全控制方法及装置 | |
CN113297629B (zh) | 一种鉴权方法、装置、系统、电子设备和存储介质 | |
KR20170041574A (ko) | 악성사이트 차단을 위한 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |