CN116527338A - 一种开源组件供应链的安全审查方法及设备 - Google Patents
一种开源组件供应链的安全审查方法及设备 Download PDFInfo
- Publication number
- CN116527338A CN116527338A CN202310409623.3A CN202310409623A CN116527338A CN 116527338 A CN116527338 A CN 116527338A CN 202310409623 A CN202310409623 A CN 202310409623A CN 116527338 A CN116527338 A CN 116527338A
- Authority
- CN
- China
- Prior art keywords
- value
- file resource
- access
- static file
- current
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 238000007689 inspection Methods 0.000 title abstract description 9
- 230000003068 static effect Effects 0.000 claims abstract description 59
- 230000009471 action Effects 0.000 claims abstract description 29
- 238000013507 mapping Methods 0.000 claims abstract description 18
- 238000012795 verification Methods 0.000 claims description 14
- 238000012216 screening Methods 0.000 claims description 8
- 230000007246 mechanism Effects 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 6
- 238000012550 audit Methods 0.000 claims description 5
- 230000000903 blocking effect Effects 0.000 claims description 5
- 238000004891 communication Methods 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 2
- 230000004048 modification Effects 0.000 claims description 2
- 230000005856 abnormality Effects 0.000 abstract description 5
- 230000002708 enhancing effect Effects 0.000 abstract description 2
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000002159 abnormal effect Effects 0.000 description 3
- 238000003491 array Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013515 script Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/30—Computing systems specially adapted for manufacturing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及网络安全防护技术领域,尤其涉及一种开源组件供应链的安全审查方法及设备,方法包括:接收访问请求,判断访问请求对应的访问动作的类别;在访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值;在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;将当前md5值和历史md5值进行匹配,根据匹配结果确定对访问请求的执行动作。本申请中的技术方案主要针对网关设备对自身系统静态文件资源的防护功能,可防止在网关设备系统静态文件资源攻击时,无法感知到异常,从而增强网关设备的安全性。
Description
技术领域
本申请涉及网络安全防护技术领域,尤其涉及一种开源组件供应链的安全审查方法及设备。
背景技术
因网络环境中存在攻击的可能性,网关设备需要对外部网络进行检验,以此来对内部网络进行保护。在此基础上,网关设备也需要对设备本身进行防护,防止系统文件被删除或者篡改。
为保证网关设备文件的安全性,防止文件被攻击删除篡改操作,在用户或管理员访问页面时,会进行文件安全性检查,如果设备文件出现异常,则会阻断当前操作,并提示管理员。
但是现有的这种文件安全性检查机制安全性较低,对网关设备本身静态文件资源的相关防护相对薄弱,在网关设备系统静态文件资源被攻击时,难以感知到异常。
发明内容
为至少在一定程度上克服相关技术中网关设备的文件安全性检查机制安全性较低,对网关设备本身静态文件资源的相关防护相对薄弱,在网关设备系统静态资源被攻击时,难以感知到异常的问题,本申请提供一种开源组件供应链的安全审查方法及设备。
本申请的方案如下:
根据本申请实施例的第一方面,提供一种开源组件供应链的安全审查方法,包括:
接收访问请求,判断所述访问请求对应的访问动作的类别;
在所述访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5(Message-Digest Algorithm-5,第5代信息摘要算法)值;
在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;
将当前md5值和历史md5值进行匹配,根据匹配结果确定对所述访问请求的执行动作。
优选地,所述方法还包括:
若当前md5值和历史md5值匹配一致,根据所述访问请求确定访问用户的用户权限;
对访问用户的用户权限进行效验,在效验通过时放行所述访问请求。
优选地,所述方法还包括:
在网关设备软件版本编译过程中,在最新的代码编译后,计算静态文件资源的md5值,并根据静态文件资源与md5值的对应关系生成md5值映射关系表。
优选地,所述方法还包括:
通过预设保护机制对所述md5值映射关系表进行保护。
优选地,计算访问的静态文件资源的当前md5值,包括:
获取访问的静态文件资源的页面信息;
将访问的静态文件资源的页面信息发送到后台,使后台根据访问的静态文件资源的页面信息,计算访问的静态文件资源的当前md5值。
优选地,若当前md5值和历史md5值匹配不一致,阻断当前页面操作并提示错误,向管理员发送异常信息。
优选地,在所述访问动作为动态文件资源上传/修改时,计算上传/修改的动态文件资源的md5值;
将上传/修改的动态文件资源和对应的md5值发送到后台。
优选地,所述方法还包括:
使后台对上传/修改的动态文件资源进行效验,且效验通过时,将上传/修改的动态文件资源和对应的md5值同步到所述md5值映射关系表。
优选地,在所述访问动作为资源下载时,根据所述访问请求确定访问用户的用户权限;
对访问用户的用户权限进行效验,在效验通过时放行所述访问请求;在效验未通过时阻断当前页面操作并提示错误。
根据本申请实施例的第二方面,提供一种开源组件供应链的安全审查设备,包括:
处理器和存储器;
所述处理器与存储器通过通信总线相连接:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储程序,所述程序至少用于执行如以上任一项所述的一种开源组件供应链的安全审查方法。
本申请提供的技术方案可以包括以下有益效果:本申请中的开源组件供应链的安全审查方法,包括:接收访问请求,判断访问请求对应的访问动作的类别;在访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值;在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;将当前md5值和历史md5值进行匹配,根据匹配结果确定对访问请求的执行动作。本申请中的技术方案主要针对网关设备对自身系统静态文件资源的防护功能,可防止在网关设备系统静态文件资源攻击时,无法感知到异常,从而增强网关设备的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1是本申请一个实施例提供的一种开源组件供应链的安全审查方法的流程示意图;
图2是本申请一个实施例提供的另一种开源组件供应链的安全审查方法的流程示意图;
图3是本申请一个实施例提供的又一种开源组件供应链的安全审查方法的流程示意图;
图4是本申请一个实施例提供的一种开源组件供应链的安全审查设备的结构示意图。
附图标记:处理器-31;存储器-32。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
图1是本申请一个实施例提供的一种开源组件供应链的安全审查方法的流程示意图,参照图1,一种开源组件供应链的安全审查方法,包括:
S11:接收访问请求,判断访问请求对应的访问动作的类别;
S12:在访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值;
S13:在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;
S14:将当前md5值和历史md5值进行匹配,根据匹配结果确定对访问请求的执行动作。
需要说明的是,本实施例中的开源组件供应链的安全审查方法涉及网络安全防护技术领域,具体为网关设备的安全防护场景。
本实施例中的技术方案的核心是网关设备为了防备黑客篡改删除系统静态文件,进行的一种动态校验本地资源的方法。本实施例中的技术方案基于编译过程中生成的文件md5值为依据,在管理员访问设备静态资源和进行一些关键操作时,例如:版本升级,特征库升级,配置文件倒入等操作时,将当前访问的静态文件资源传输到后端,由后端进行校验检查本地静态文件资源是否正常。
本实施例中的技术方案主要用于网关设备在有不稳定因素的前提下,防止静态文件资源被篡改从而导致系统失控,增加自我防护的一种机制。
需要说明的是,访问请求对应的访问动作的类别至少包括:访问静态文件资源、动态文件资源上传/修改、资源下载。
在在访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值,具体包括:
获取访问的静态文件资源的页面信息;
将访问的静态文件资源的页面信息发送到后台,使后台根据访问的静态文件资源的页面信息,计算访问的静态文件资源的当前md5值。
需要说明的是,参照图2,方法还包括:
S151:若当前md5值和历史md5值匹配一致,根据访问请求确定访问用户的用户权限;
S152:若对访问用户的用户权限进行效验,在效验通过时放行访问请求。
S16:若当前md5值和历史md5值匹配不一致,阻断当前页面操作并提示错误,向管理员发送异常信息。
在具体实践中,若对访问用户的用户权限进行效验,在效验不通过时,驳回访问请求,阻断当前页面操作并提示错误。
可以理解的是,本实施例中的技术方案,,包括:接收访问请求,判断访问请求对应的访问动作的类别;在访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值;在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;将当前md5值和历史md5值进行匹配,根据匹配结果确定对访问请求的执行动作。本申请中的技术方案主要针对网关设备对自身系统静态文件资源的防护功能,可防止在网关设备系统静态文件资源攻击时,无法感知到异常,防止非网关设备对静态文件资源注入脚本,进行目录遍历攻击、CSRF攻击等,增强网关设备的安全性。
需要说明的是,方法还包括:
在网关设备软件版本编译过程中,在最新的代码编译后,计算静态文件资源的md5值,并根据静态文件资源与md5值的对应关系生成md5值映射关系表。
需要说明的是,方法还包括:
通过预设保护机制对md5值映射关系表进行保护。
在具体实践中,网关设备软件版本编译过程中,编译服务器会将最新的代码编译后,静态文件资源的md5值,并根据静态文件资源与md5值的对应关系生成md5值映射关系表,为了防止关系表被篡改,可以通过RELRO(ReLocation Read-Only,堆栈地址随机化)保护机制对md5值映射关系表进行保护。
需要说明的是,参照图3,在访问动作为动态文件资源上传/修改时,计算上传/修改的动态文件资源的md5值;
将上传/修改的动态文件资源和对应的md5值发送到后台。
需要说明的是,方法还包括:
使后台对上传/修改的动态文件资源进行效验,且效验通过时,将上传/修改的动态文件资源和对应的md5值同步到md5值映射关系表。
需要说明的是,如果用户在上传/修改动态文件资源时,网关设备会计算上传/修改的动态文件资源的md5值,和该动态文件资源同步下发给后台。后台检验文件正常后,会进行后续操作,并将上传/修改的动态文件资源和对应的md5值同步到md5值映射关系表。
需要说明的是,在访问动作为资源下载时,根据访问请求确定访问用户的用户权限;
对访问用户的用户权限进行效验,在效验通过时放行访问请求;在效验未通过时阻断当前页面操作并提示错误。
需要说明的是,如果用户在下载系统配置文件或客户端资源时,系统会根据当前链接动作对访问用户的用户权限进行效验,有权限则可以继续进行下载动作,无权则会阻断当前页面动作,并进行提示错误。
图4是本申请一个实施例提供的一种开源组件供应链的安全审查设备的结构示意图,参照图4,一种开源组件供应链的安全审查设备,包括:
处理器31和存储器32;
处理器31与存储器32通过通信总线相连接:
其中,处理器31,用于调用并执行存储器32中存储的程序;
存储器32,用于存储程序,程序至少用于执行如以上实施例中的一种开源组件供应链的安全审查方法。
可以理解的是,上述各实施例中相同或相似部分可以相互参考,在一些实施例中未详细说明的内容可以参见其他实施例中相同或相似的内容。
需要说明的是,在本申请的描述中,术语“第一”、“第二”等仅用于描述目的,而不能理解为指示或暗示相对重要性。此外,在本申请的描述中,除非另有说明,“多个”的含义是指至少两个。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本申请的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本申请的实施例所属技术领域的技术人员所理解。
应当理解,本申请的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,该程序在执行时,包括方法实施例的步骤之一或其组合。
此外,在本申请各个实施例中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。
上述提到的存储介质可以是只读存储器,磁盘或光盘等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
尽管上面已经示出和描述了本申请的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本申请的限制,本领域的普通技术人员在本申请的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种开源组件供应链的安全审查方法,其特征在于,包括:
接收访问请求,判断所述访问请求对应的访问动作的类别;
在所述访问动作为访问静态文件资源时,计算访问的静态文件资源的当前md5值;
在预先配置的md5值映射关系表中,查询访问的静态文件资源对应的历史md5值;
将当前md5值和历史md5值进行匹配,根据匹配结果确定对所述访问请求的执行动作。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若当前md5值和历史md5值匹配一致,根据所述访问请求确定访问用户的用户权限;
对访问用户的用户权限进行效验,在效验通过时放行所述访问请求。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:
在网关设备软件版本编译过程中,在最新的代码编译后,计算静态文件资源的md5值,并根据静态文件资源与md5值的对应关系生成md5值映射关系表。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
通过预设保护机制对所述md5值映射关系表进行保护。
5.根据权利要求1所述的方法,其特征在于,计算访问的静态文件资源的当前md5值,包括:
获取访问的静态文件资源的页面信息;
将访问的静态文件资源的页面信息发送到后台,使后台根据访问的静态文件资源的页面信息,计算访问的静态文件资源的当前md5值。
6.根据权利要求1所述的方法,其特征在于,若当前md5值和历史md5值匹配不一致,阻断当前页面操作并提示错误,向管理员发送异常信息。
7.根据权利要求1所述的方法,其特征在于,在所述访问动作为动态文件资源上传/修改时,计算上传/修改的动态文件资源的md5值;
将上传/修改的动态文件资源和对应的md5值发送到后台。
8.根据权利要求7所述的方法,其特征在于,所述方法还包括:
使后台对上传/修改的动态文件资源进行效验,且效验通过时,将上传/修改的动态文件资源和对应的md5值同步到所述md5值映射关系表。
9.根据权利要求1所述的方法,其特征在于,在所述访问动作为资源下载时,根据所述访问请求确定访问用户的用户权限;
对访问用户的用户权限进行效验,在效验通过时放行所述访问请求;在效验未通过时阻断当前页面操作并提示错误。
10.一种开源组件供应链的安全审查设备,其特征在于,包括:
处理器和存储器;
所述处理器与存储器通过通信总线相连接:
其中,所述处理器,用于调用并执行所述存储器中存储的程序;
所述存储器,用于存储程序,所述程序至少用于执行权利要求1-9任一项所述的一种开源组件供应链的安全审查方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310409623.3A CN116527338A (zh) | 2023-04-17 | 2023-04-17 | 一种开源组件供应链的安全审查方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310409623.3A CN116527338A (zh) | 2023-04-17 | 2023-04-17 | 一种开源组件供应链的安全审查方法及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116527338A true CN116527338A (zh) | 2023-08-01 |
Family
ID=87391375
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310409623.3A Pending CN116527338A (zh) | 2023-04-17 | 2023-04-17 | 一种开源组件供应链的安全审查方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116527338A (zh) |
-
2023
- 2023-04-17 CN CN202310409623.3A patent/CN116527338A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101703925B1 (ko) | 장치 유효성 확인, 재난 표시, 및 복원 | |
| KR102419574B1 (ko) | 컴퓨터 애플리케이션에서 메모리 손상을 교정하기 위한 시스템 및 방법 | |
| EP3036623B1 (en) | Method and apparatus for modifying a computer program in a trusted manner | |
| KR100965644B1 (ko) | 서비스 프로세서 코드의 실행 시간 인메모리 패칭 방법 및시스템 | |
| US7890946B2 (en) | Efficient patching | |
| US8539469B2 (en) | Efficient patching | |
| CN111066016B (zh) | 应用证书 | |
| US11409862B2 (en) | Intrusion detection and prevention for unknown software vulnerabilities using live patching | |
| US10129284B2 (en) | System and method for automated configuration of application firewalls | |
| KR20100003234A (ko) | 신뢰 검증 방법 및 신뢰 검증 시스템 | |
| JP2018509692A (ja) | 選択的なブロックベースの完全性保護技法 | |
| WO2017163240A1 (en) | Rule enforcement in a network | |
| EP2693692B1 (en) | Verification of computer system prior to and subsequent to computer program installation | |
| CN116527338A (zh) | 一种开源组件供应链的安全审查方法及设备 | |
| CN109117625B (zh) | Ai软件系统安全状态的确定方法及装置 | |
| CN116208353A (zh) | 一种校验固件的方法、装置、网卡、芯片系统及服务器 | |
| Athalye et al. | Package manager security | |
| Harel et al. | Mitigating Unknown Cybersecurity Threats in Performance Constrained Electronic Control Units | |
| CN117494232B (zh) | 固件的执行方法和装置、系统、存储介质及电子设备 | |
| CN116257278B (zh) | 一种应用软件的补丁执行方法和存储介质 | |
| US20220382855A1 (en) | System and method for building a security monitor | |
| CN114138365A (zh) | 一种认证方法、装置、电子设备及存储介质 | |
| TW202319944A (zh) | 用於資通安全防護機制的驗證方法及驗證系統 | |
| CN114721693A (zh) | 一种微处理器、bios固件更新方法、计算机设备及存储介质 | |
| CN117040762A (zh) | 一种镜像全周期安全方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |