Web服务安全访问方法、系统及相应的服务器的制造方法
【技术领域】
[0001]本发明涉及Web服务技术,具体涉及Web服务安全访问方法、系统及相应的服务器。
【背景技术】
[0002]随着计算机和通信技术的发展,Internet应用不再仅局限于PC,嵌入式设备网络化也成为信息技术发展的产物。嵌入式设备接入Internet以后,可方便地将信息共享到网络中,还可实现设备的远程控制、升级和维护。用户只需要有一个网页浏览器即可形象的了解到设备信息和运行状态,并可以通过改变页面上的元素来简单方便的配置设备,而不需要对设备内部有太多了解。
[0003]设备接入Internet,就将信息共享到了网络中,也可接受远程配置。这既为设备的使用提供了方便,同时却也为设备的安全带来了隐患。网络中的其它用户可通过抓取已与服务器之间建立合法连接的客户端与服务器之间通信的请求报文,进而获取到设备的运行状态和配置信息,以及配置方法。当非法用户用获取到的配置方法,通过某些软件构造报文发送到服务器上,若服务器不能正确识别报文的合法性就执行配置,则会被非法用户更改设备的配置。
[0004]虽然采用加密算法对报文中用户名和密码进行加密给非法用户通过报文获取设备配置所需要的用户名和密码带来了一定的困难,但并不能保证百分之百的安全。网络中的非法用户只需要构造一个新的请求报文,源IP、用户名和密码等信息同抓取到报文中的内容一致,服务器就无法识别出哪个请求是有效的,哪个请求是无效的,因为对服务器而言,请求报文要验证的信息是一样的,处理过程自然也是一样的,所以会作出相同的响应。
[0005]现有支持web服务的嵌入式设备,对不同客户端发送过来的验证信息相同的请求报文并不能作出有效的区分,都会做出同样的处理,这就为设备的安全性带来了隐患。对网络设备而言,当非法用户接入网络中时,就有可能获取到整个网络的配置信息,进而更改整个网络的配置。在一些对网络安全性要求比较高的环境中,这将会带来严重的后果。
[0006]现在客户端有些网页浏览器可在关闭前,通知服务器断开连接并删除连接标识。服务器在收到该客户端登录请求并让请求获得通过前,就不会有对应该源IP地址、用户名和密码的连接标识。这样一来,即使其它非法用户抓取并构造与该客户端一模一样的请求报文也不能获得任何响应。但这要求浏览器可以在关闭前可通知服务器,而某些浏览器是不支持的,尤其是浏览器遇到意外非正常关闭,更不可能通知到服务器。显然,此方法受浏览器限制并不能保证完全安全。
【发明内容】
[0007]本发明的目的在于提供一种Web服务安全访问方法、系统及相应的服务器,可有效提高设备Web安全性,防止设备信息泄露,避免设备受恶意攻击更改配置。
[0008]为了达到上述目的,本发明通过以下技术方案实现:一种Web服务安全访问方法,其特点是,所述方法应用于Web服务安全访问系统,所述Web服务安全访问系统包含客户端及服务器包含以下步骤:
51、服务器记录接收到客户端访问请求的时间节点;
52、服务器判断相邻两次访问请求时间间隔是否大于预设时间间隔;
S2.1、若是,则服务器不对客户端的请求作出响应;
S2.2、若否,则服务器响应客户端的请求,并保存接收到客户端访问请求的时间节点。
[0009]所述Web服务安全访问方法还包含客户端首次连接服务器的认证步骤;
该认证步骤具体包含:
Al、服务器接收到客户端发送的访问请求时,认证所述客户端的身份;
A2、当客户端认证通过时,服务器保存客户端的连接标识及收到该请求的时间。
[0010]所述的步骤SI之前还包含步骤S0,所述步骤SO包含:
501、客户端向服务器发送连接请求;
502、服务器验证客户端发送的客户端连接标识;
若通过验证则执行步骤SI ;
若未通过则客户端与服务器连接不成功。
[0011]所述的步骤S2.2之后还包含步骤S2.2.1 ;
所述步骤S2.2.1为客户端每一预设时间间隔内向服务器发送一次连接请求,并更新服务器中保存的收到客户端访问请求的时间节点。
[0012]所述的客户端连接标识包含用户名、密码及源IP地址。
[0013]所述的客户端为嵌入式设备。
[0014]一种用于客户端所访问的基于Web的服务器,其特点是,服务器包含:
请求接收单元,用于接收客户端发送的连接标识,并记录收到客户端访问请求的时间节点;
存储单元,与所述请求接收单元连接,用于保存已认证客户端的连接标识、收到客户端访问请求的时间节点及预设时间间隔;
验证单元,分别与所述请求接收单元及存储单元连接,用于匹配请求接收单元收到的客户端连接标识与存储单元已存储的客户端的连接标识;
判断模块,分别与所述请求接收单元及存储单元连接,用于计算请求接收单元收到的客户端访问请求的时间节点与存储单元已存储的客户端访问请求的时间节点之间的时间间隔,并将该时间间隔与预设时间间隔作对比。
[0015]服务器进一步包含执行单元,所述执行单元分别连接验证单元与判断模块,用于根据验证单元的匹配结果发送连接成功或连接失败至客户端,还根据判断模块的对比结果发送请求响应或不响应至客户端。
[0016]一种Web服务安全访问系统,其特点是,包含客户端及服务器;
所述的服务器包含:请求接收单元,用于接收客户端发送的连接标识,并记录收到客户端访问请求的时间节点;
存储单元,与所述请求接收单元连接,用于保存已认证客户端的连接标识、收到客户端访问请求的时间节点及预设时间间隔;
验证单元,分别与所述请求接收单元及存储单元连接,用于匹配请求接收单元收到的客户端连接标识与存储单元已存储的客户端的连接标识;
判断模块,分别与所述请求接收单元及存储单元连接,用于计算请求接收单元收到的客户端访问请求的时间节点与存储单元已存储的客户端访问请求的时间节点之间的时间间隔,并将该时间间隔与预设时间间隔作对比;
执行单元,分别连接验证单元与判断模块,用于根据验证单元的匹配结果发送连接成功或连接失败至客户端,还根据判断模块的对比结果发送请求响应或不响应至客户端。
[0017]所述的客户端包含:
请求发送单元,用于向服务器的请求接收单元发送客户端连接标识;
接收结果单元,用于接收服务器的执行单元发送的连接成功或连接失败结果,还用于接收请求响应或不响应结果。
[0018]本发明一种Web服务安全访问方法、系统及相应的服务器与现有技术相比具有以下优点:服务器对客户端的请求除了检验用户名、密码和源IP地址外,还检验了服务器最近两次收到请求报文的时间间隔,对未通过检验的请求不作响应,有效提高了嵌入式设备的安全性,既防止了设备信息的外泄,又阻止了非法配置的执行;客户端在通过验证登录成功后,每隔一定时间向服务器发送请求报文,以保持其与服务器的连接一直有效,服务器为每个连接保存了最近收到请求报文的时间,只要超过一定时间没收到来自该连接客户端的请求,就认为该连接已失效,在该连接客户端重新登录并验证通过前,将不再响应该客户端的请求。
【附图说明】
[0019]图1为一种Web服务安全访问系统的整体结构示意图;
图2为一种Web服务安全访问方法的流程图;
图3为本发明的实施例图。
【具体实施方式】
[0020]以下结合附图,通过详细说明一个较佳的具体实施例,对本发明做进一步阐述。[0021 ] 如图1所示,一种Web服务安全访问系统,包含客户端I及服务器2,其中所述服务器2为支持web服务的嵌入式设备,所述的服务器2包含:请求接收单元21,用于接收客户端I发送的连接标识,并记录收到客户端访问请求的时间节点;存储单元22,与所述请求接收单元21连接,用于保存已认证客户端I的连接标识、收到客户端I访问请求的时间节点及预设时间间隔;验证单元23,分别与所述请求接收单元21及存储单元22连接,用于匹配请求接收单元21收到的客户端I连接标识与存储单元22已存储的客户端I的连接标识;判断模块24,分别与所述请求接收单元21及存储单元22连接,用于计算请求接收单元21收到的客户端I访问请求的时间节点与存储单元22已存储的客户端I访问请求的时间节点之间的时间间隔,并将该时间间隔与预设时间间隔作对比;执行单元25,分别连接验证单元23与判断模块24,用于根据验证单元23的匹配结果发送连接成功或连接失败至客户端1,还根据判断模块24的对比结果发送请求响应或不响应至客户端I ;请求发送单元11,用于向服务器2的请求接收单元21发送客户端I连接标识;接收结果单元12,用于接收服务器2的执行单元25发送的连接成功或连接失败结果,还用于接收请求响应或不响应结果。
[0022]如图2所示,为了更好的描述系统的应用,本发明公开了一种Web服务安全访问方法,方法包含以下步骤:
501、客户端I向服务器2发送连接请求;
502、服务器2验证客户端I发送的客户端连接标识;
若通过验证,则执行步骤SI ;
若未通过验证,则客户端I与服务器2连接不成功;
51、服务器2记录接收到客户端I访问请求的时间节点;
52、服务器2判断相邻两次访问请求时间间隔是否大于预设时间间隔;
S2.1、若是,则服务器2不对客户端I的请求作出响应;
S2.2、若否,则服务器2响应客户端I的请求,并保存接收到客户端I访问请求的时间节点;
S2.2.1、客户端I每一预设时间间隔内向服务器2发送一次连接请求,并更新服务器2中保存的收到客户端I访问请求的时间节点。
[0023]客户端首次登陆服务器时没有时间做对比,因此客户端I首次连接服务