一种web端访问的处理方法及装置与流程
本申请涉及网络信息技术领域,特别是涉及一种web端访问的处理方法,以及一种web端访问的处理装置。
背景技术:
基于web环境的互联网应用越来越广泛,接踵而至的就是web安全威胁的凸显。攻击者利用跨站脚本攻击xss、web服务程序的sql注入漏洞、水平权限漏洞等获取web服务器的控制权限,篡改网页内容,窃取重要内部数据,甚至会在网页中植入恶意代码,使得网站访问者受到侵害。
目前常见的解决方案是,针对每一个安全问题,定制性的提供一种对应开发语言的安全代码编写方式,在业务系统研发过程中,采用该安全代码编写方式编写代码。这种方案存在的缺点是:
一方面,在web产品研发过程中,仍然需要开发人员有良好的安全意识来使用这些安全的方法进行编写,对开发人员的安全意识要求很高。
另一方面,由于采用了定制的多种代码编写方式,无法以标准化的形式自动完成全部验证,仍然需要安全工程师进行人工核查,特别是针对水平权限漏洞,只能采用逐个核查的方式,人力投入成本高。
最后,这种过于依赖人力投入和人工水平的方案,实质并无法很好地控制web风险。
技术实现要素:
鉴于上述问题,提出了本申请实施例以便提供一种克服上述问题或者至少部分地解决上述问题的web端访问的处理方法和web端访问的处理装置。
为了解决上述问题,本申请公开了一种web端访问的处理方法,包括:
针对web端的访问请求生成反馈数据;
采用预设加密密钥对所述反馈数据进行加密;
将加密后的反馈数据发送至所述web端,以供所述web端根据加密后的反馈数据访问服务器。
优选地,所述加密密钥为针对所述web端的本次登录生成的加密密钥。
优选地,所述加密密钥存储在对应本此登录的会话信息中;
在所述采用预设加密密钥对所述反馈数据进行加密之前,所述方法还包括:
根据对应本次登录的会话标识查找对应的会话信息,并从所述会话信息中提取加密密钥。
优选地,所述访问请求为登录请求,在所述采用预设加密密钥对所述反馈数据进行加密之前,所述方法还包括:
针对所述web端的本次登录生成加密密钥。
优选地,所述针对所述web端的本次登录生成加密密钥包括:
获取所述web端的唯一标识信息、对应本次登录的随机数以及本次登录的服务器时间;
根据所述唯一标识信息、随机数和服务器时间生成所述加密密钥。
优选地,所述唯一标识信息包括所述登录用户的用户id、登录地址以及所述web端所处用户设备的设备标识中至少一种,所述随机信息包括与本次登录对应的服务器时间和随机数中至少一种。
优选地,在所述针对所述web端本次登录生成加密密钥之前,所述方法还包括:
在本次登录成功后,创建对应本次登录的会话信息以及会话标识;
在所述针对所述web端本次登录生成加密密钥之后,所述方法还包括:
将所述加密密钥存储至所述会话信息中。
优选地,所述采用预设加密密钥对所述反馈数据进行加密包括:
采用预设加密密钥对所述反馈数据中的变量数据进行加密;
所述将加密后的反馈数据发送至所述web端包括:
拼装加密的变量数据至所述反馈数据中;
将所述反馈数据反馈至所述web端。
优选地,所述变量数据包括网页地址和/或访问参数,所述加密采用rsa公钥加密算法。
本申请还提供了一种web端访问的处理方法,包括:
接收web端的访问请求,所述访问请求携带触发本次访问的加密数据,所述加密数据采用预设加密密钥进行加密;
解密所述加密数据,并基于解密结果响应所述web端。
优选地,所述加密数据为加密后的变量数据,所述加密密钥为针对所述web端的本次登录生成的加密密钥。
优选地,所述访问请求携带对应所述本次登录的会话标识;
在所述解密所述加密数据之前,所述方法还包括:
从根据所述会话标识查找对应会话信息,并从所述会话信息中提取预先存储的加密密钥;
所述解密所述加密数据包括:
根据提取的加密密钥对所述加密数据进行解密。
优选地,所述方法还包括:
对响应所述web端本次访问的反馈数据进行加密。
本申请还提供了一种web端访问的处理装置,包括:
反馈数据生成模块,用于针对web端的访问请求生成反馈数据;
加密模块,用于采用预设加密密钥对所述反馈数据进行加密;
反馈模块,用于将加密后的反馈数据发送至所述web端,以供所述web端根据加密后的反馈数据访问服务器。
优选地,所述加密密钥为针对所述web端的本次登录生成的加密密钥。
优选地,所述加密密钥存储在对应本此登录的会话信息中;
所述装置还包括:
密钥获取模块,用于在所述采用预设加密密钥对所述反馈数据进行加密之前,根据对应本次登录的会话标识查找对应的会话信息,并从所述会话信息中提取加密密钥。
优选地,所述访问请求为登录请求,所述装置还包括:
密钥生成模块,用于在所述采用预设加密密钥对所述反馈数据进行加密之前,针对所述web端的本次登录生成加密密钥。
优选地,所述密钥生成模块包括:
信息获取子模块,用于获取所述web端的唯一标识信息、对应本次登录的随机数以及本次登录的服务器时间;
密钥生成子模块,用于根据所述唯一标识信息、随机数和服务器时间生成所述加密密钥。
优选地,所述唯一标识信息包括所述登录用户的用户id、登录地址以及所述web端所处用户设备的设备标识中至少一种,所述随机信息包括与本次登录对应的服务器时间和随机数中至少一种。
本申请还提供了一种web端访问的处理装置,包括:
请求接收模块,用于接收web端的访问请求,所述访问请求携带触发本次访问的加密数据,所述加密数据采用预设加密密钥进行加密;
解密模块,用于解密所述加密数据;
响应模块,用于基于解密结果响应所述web端。
本申请实施例包括以下优点:
本申请实施例基于服务器的框架调整便捷的解决业务系统研发可能带来的web安全问题,具体的,针对web端的访问请求生成反馈数据,并采用加密密钥对反馈数据进行加密,当对反馈数据中的变量数据进行加密,可以使得web端后续根据加密后的变量数据访问服务器,攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
并且,本申请实施例采用的加密密钥仅用于web端的本次登录,也即是说,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
附图说明
图1是背景技术的业务系统研发流程示意图;
图2是本申请的一种web端访问的处理方法实施例1的步骤流程图;
图3是本申请的一种web端访问的处理方法实施例2的步骤流程图;
图4是本申请的一种web端访问的处理方法实施例3的步骤流程图;
图5是本申请的一个示例中web端访问的处理流程图;
图6是实施本申请实施例的一个系统架构图;
图7是本申请的一个示例中web端与服务器的交互过程示意图;
图8是本申请的一种web端访问的处理装置实施例1的结构框图;
图9是本申请的一种web端访问的处理装置实施例2的结构框图。
具体实施方式
为使本申请的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本申请作进一步详细的说明。
web攻击者通常利用跨站脚本攻击xss、web服务程序的sql注入漏洞、水平权限漏洞等获取web服务器的控制权限。
以水平权限漏洞为例,开发人员容易习惯性的在生成数据库操作表单时,根据登录成功的用户身份来找出其有权限的被操作对象id,提供入口供用户提交请求,此时无需验证用户权限即可操作其他相关对象。由于大多数被操作对象的id都被设置为自增整型,攻击者只要对相关id加1、减1、直至遍历,就可以在无需验证权限的情况下,获取对其他关联的对象的操作权限。
如图1为背景技术的业务系统研发流程示意图,首先根据公司的开发语言定制安全的代码开发规范,并研发判断适用的规范写法。编写阶段由研发工程师进行编写,由安全工程师对编写结果进行安全审核。为防御xss漏洞,研发工程师需要进行超文本标记语言html转义;相应的,安全工程师需要人工审核对应的输出点,或确认框架默认配置。为防御sql注入,根据开发语言做对应的aql变量绑定;相应的,安全工程师需要检查绑定的可扩展标记语言xml,或者人工通读所有涉及sql的代码进行审核。针对水平权 限漏洞,需要研发人员具有安全意识,在对应的代码处编码控制;安全工程师在审核时并无通用方案,大多情况下都是逐个审核。
由此可见,背景技术的方案对开发人员的安全意识、核查阶段的人力投入均提出了较高的要求,并无法确保web安全。有鉴于此,本申请提出了一种部分或是全部解决上述问题的web端访问机制,下面进行详细说明。
方法实施例1
参照图2,示出了本申请的一种web端访问的处理方法实施例1的步骤流程图,具体可以包括如下步骤:
步骤101,针对web端的访问请求生成反馈数据。
其中,web端可以是浏览器端或是其他提供网页访问的客户端,具体可以应用于移动终端(例如手机)或是其他固定终端。
本申请实施例可以在web端对应的服务器实施,web端向服务器发送访问请求,该访问请求可以是登录请求,也可以是通过点击web页或访问入口(例如按钮)触发的访问请求。
针对web端的访问请求可以对应提供反馈数据,例如,针对登录请求反馈数据为登录成功后跳转的登录页面,针对web页的网页链接或访问入口的访问请求的反馈数据为该网页链接或访问入口对应的页面。反馈数据可以由业务系统根据访问请求生成。
步骤102,采用预设加密密钥对所述反馈数据进行加密。
此处所述加密可以是对完整的反馈数据进行加密,也可以是对反馈数据中的部分数据进行加密,例如可以对反馈数据中的变量数据进行加密。
例如,原访问地址为<ahref=“http://suddy.org/abc/dkkr?id=49586&name=suddy”>,对其中“/abc/dkkr?id=49586&name=suddy”进行加密,得到/uyykk8&hrkjy&*5374324523e”,加密后的访问地址为<ahref=“http://suddy.org/uyykk8&hrkjy&*5374324523e”>;有如,针对<inputname=“email”type=“text”value=“suddy@suddy.org”>中包括的访问参数“email”以及“suddy@suddy.org”进行加密,分别得到“x12d3de4”和“7!hhk3kdxyorf”。
本申请实施例可以采用任意适用加密算法进行加密,例如,rsa公钥加 密算法,或是dsa非对称加密算法,优选较为复杂的算法。
步骤103,将加密后的反馈数据发送至所述web端,以供所述web端根据加密后的反馈数据访问服务器。
服务器针对web端访问请求的反馈数据中存在一些变量数据,例如网页地址、访问参数等,攻击者通过根据已有的网页地址或访问参数可以重新构造新的网页地址或访问参数,从而可以获取到对服务器资源的访问权限。
而本申请实施例采用加密密钥对反馈数据中的变量数据进行加密,具体可以是对反馈数据整体进行加密或是仅对变量数据进行加密,并采用加密后的密文替换原反馈数据中的明文,以使web端接根据收到的加密后的变量数据访问服务器,攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,并且杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
优选地,所述加密密钥可以是针对web端本次登录生成的加密密钥。
其中,登录可以在不同的场景下触发,例如,直接登录、通过注册实现的登录、超时身份切换实现登录等身份切换场景。
加密密钥可以在登录后生成,具体可以根据任意适用一种或多种信息生成,只需保证其唯一性即可。由于本申请实施例采用的加密密钥仅用于web端的本次登录,也即是说,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
本申请实施例中,优选地,所述加密密钥存储在对应本此登录的会话信息中,相应的,在采用预设加密密钥进行加密之前,还可以根据对应本次登录的会话标识查找对应的会话信息,并从所述会话信息中提取加密密钥。将加密密钥存储在对应web端本次登录的会话信息中,无需重新分配新的存储位置,方便后续提取。
本申请实施例中,优选地,上述采用预设加密密钥对反馈数据进行加密 可以是,采用预设加密密钥对反馈数据中的变量数据进行加密,相应的,所述反馈至所述web端可以包括:拼装加密的变量数据至所述反馈数据中;将所述反馈数据反馈至所述web端。在进行加密之前,先从反馈数据中提取变量数据,加密后,将加密的变量数据重新拼接至反馈数据中,再将反馈数据发送至web端。
方法实施例2
参照图3,示出了本申请的一种web端访问的处理方法实施例2的步骤流程图,本实施例可以具体在web端登录过程中执行,具体可以包括如下步骤:
步骤201,在接收到登录请求以及本次登录成功后,创建对应本次登录的会话信息以及会话标识。
本实施例中,web端向服务器发起登录请求,并在服务器对web端进行身份验证通过后成功登录,进一步服务器可以针对本次登录相应创建对应的会话信息session,会话信息对应唯一的会话标识sessionid。
步骤202,针对web端的本次登录生成加密密钥。
web端登录成功后,可以进一步创建仅用于本次登录的加密密钥。
本申请针对web端保存有唯一用于的本次登录加密密钥,加密密钥可以保存在预设的位置。
加密密钥可以在登录后生成,例如根据对应本次登录的随机数(随机盐salt),或采用本次登录的服务器时间生成加密密钥;或是结合至少一种web端信息与随机数和/或服务器时间生成加密密钥;还可以加入其它任意适用信息,本申请对此并不做限制。其中,随机数可以采用random随机数发生器获得,通过对种子值采用复杂算法运算得到;服务器时间可以精准到毫秒级,以在应用到海量访问的场景时,可以准确的对每次访问进行区分;web端信息可以是web端的唯一标识信息或是web端的其他相关信息。
当结合多种信息生成加密密钥时,可以采用预设的算法或规则对多种信息进行组合或运算,本申请对此并不做限制。
本申请实施例中,优选地,所述针对所述web端的本次登录生成加密密钥可以包括:
子步骤s11,获取所述web端的唯一标识信息、对应本次登录的随机数以及本次登录的服务器时间;
子步骤s13,根据所述唯一标识信息、随机数和服务器时间生成所述加密密钥。
其中,唯一标识信息可以是登录用户的用户名、用户id(例如uid,用户身份证明),或是登录用户目前的登录地址(例如ip地址、mac地址等),或是web端所处用户设备的设备标识,例如唯一标识用户设备的设备编码,或是对应本次登录的服务器生成的sessionid或是客户端生成的sessionid上述多种信息的组合。
进一步,根据唯一标识信息、随机数和服务器时间生成对应本次登录的加密密钥,具体可以按照预设的算法对上述信息进行运算得到加密密钥。例如,对唯一标识信息、随机数和服务器时间组合后取md5(第五版信息摘要算法)值,还可以对获得的md5值进一步再取md5值,在减小数据量的同时也使得破解该加密密钥更为困难。
或是将唯一标识信息和随机信息按照预设的规则组合成加密密钥。具体的组合规则可以根据实际需求设定,例如,直接前后连接组合,或是根据各自截取一部分数据进行组合,或是按照各种适用的预设算法对两种信息进行运算生成的一组新数据,或是结合多种组合方式得到组合结果。例如,对唯一标识信息、随机数和服务器时间进行异或运算,再取该异或运算的结果的后8位作为加密密钥。
步骤203,将所述加密密钥存储至所述会话信息中。
加密密钥存储至会话信息中,以在本次登录过程需要加密时,或是后续对服务器的其他访问过程中,直接从会话信息中提取加密密钥。加密密钥可以以任意适用的方式存储在会话信息中,本申请对此并不做限制。
步骤204,针对web端的登录请求生成反馈数据。
web端在登录成功后即跳转到登录页面,因此,服务器在登录成功后针 对登录请求反馈的数据为登录页面的详细内容。
步骤205,根据对应本次登录的会话标识查找对应的会话信息,并从所述会话信息中提取加密密钥。
服务器保存有多个web端的会话信息,部分web端甚至会对应多个发生在不同时段的会话信息,会话标识唯一标记某个web端在某个会话时段的会话信息,根据会话标识可以从大量的会话信息中查找出该web端的某个会话信息。本申请实施例根据会话标识查找对应当前web端本次登录的会话信息,进一步可以从会话信息中提取出加密密钥。
步骤206,采用所述加密密钥对所述反馈数据中的变量数据进行加密。
步骤207,将加密后的反馈数据发送至所述web端,以供所述web端根据加密后的变量数据访问服务器。
本申请实施例基于服务器的框架调整便捷的解决业务系统研发可能带来的web安全问题,具体的,针对web端的访问请求生成反馈数据,并采用加密密钥对反馈数据中的变量数据进行加密,从而使得web端后续根据加密后的变量数据访问服务器,攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
并且,本申请实施例采用的加密密钥仅用于web端的本次登录,也即是说,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
方法实施例3
参照图4,示出了本申请的一种web端访问的处理方法实施例3的步骤流程图,本实施例可以具体在web端登录后执行,具体可以包括如下步骤:
步骤301,接收web端的访问请求,所述访问请求携带触发本次访问的加密数据,所述加密数据采用预设加密密钥进行加密。
其中加密数据可以是加密后的变量数据,web端通过服务器提供的页面访问服务器,由于其中的变量数据已采用加密密钥进行加密,那么web端基于该变量数据进行访问时,访问请求所携带的也是加密后的数据,从而使得攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
步骤302,解密所述加密数据,并基于解密结果响应所述web端。
服务器从访问请求中提取加密数据,并进行解密,进一步基于该加密数据生成反馈数据,并据此反馈数据响应web端。需要说明的是,若解密不成功,则视该访问请求的来源并非安全,可以直接丢弃不做处理。
本申请实施例中,优选地,加密密钥可以为针对web端的本次登录生成的加密密钥,由于本申请实施例采用的加密密钥仅用于web端的本次登录,也即是说,当加密数据为加密后的变量数据时,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
具体解密时,可以从预设的位置提取解密密钥。本申请实施例中,优选地,解密密钥与加密密钥相同,也即是采用了对称加密的方式。可以在加密后将加密密钥保存至对应本次登录的会话信息中,进一步从会话信息中提取加密密钥用于解密。
具体而言,所述访问请求可以携带有对应所述本次登录的会话标识,用于根据会话标识提取对应的会话信息。
相应的,在解密加密数据之前,需要从根据会话标识查找对应会话信息,并从会话信息中提取预先存储的加密密钥。
相应的,解密所述加密数据时,可以根据提取的加密密钥对加密数据进行解密。
本申请实施例中,优选地,所述方法还可以包括:对响应所述web端本次访问的反馈数据进行加密,进一步将封装有加密后的变量数据的反馈数据 发送给web端,从而使得web端后续根据加密后的变量数据访问服务器,避免攻击者利用变量数据威胁web安全。具体可以是对反馈数据中的变量数据进行加密,以使web端根据加密后的变量数据访问服务器,提升web安全性。
为使本领域技术人员更好地理解本申请,以下通过一个具体的示例对本申请实施例的一种web端访问的处理方法进行说明,参考图5,示出了本申请的一个示例中web端访问的处理流程图,包括从web登录开始的web访问过程,具体包括如下步骤:
登录系统根据随机因素生成该用户此次会话的密钥(key1),该密钥随机生成,例如,用户名+服务器毫秒级时间。
业务系统生成下发给用户的response;进一步根据上述生成的key1,将此response中的所有参数和url加密后,response给用户浏览器。在用户点击页面的链接或按钮对服务器发起请求,该请求携带的参数以及url均为加密后的密文。服务器根据该会话的密钥key1解密提交上来的request,若成功解密,则可以移交后端业务系统处理,若解密失败,则直接视为异常丢弃。
对应上述处理流程,参考图6示出了实施本申请实施例的一个系统架构图。以web端为用户浏览器为例,相比于现有技术的方案,在用户浏览器与服务器原有的业务系统之间增加生成密钥的功能模块,在用户浏览器发送request后,针对本次登录生成key并写入会话消息,将会话标识和访问请求一并发送至原有业务系统,以获取反馈数据。同时增加针对整体框架的统一加解密层,一方面,采用key对request中的变量数据进行解密后发送至原有业务系统,另一方面,采用key对原有业务系统的response中的变量数据加密后再反馈至用户浏览器。
参考图7示出了本申请的一个示例中web端与服务器的交互过程示意图,增加web安全防御模块,其中,账号身份验证模块、web安全防御模块和后端业务服务模块可以均部署在同一服务器或是同一服务器集群,账号身份验证模块和web安全防御模块可以部署在前端服务器上,后端业务服务模 块可以部署在后端服务器上。
具体交互过程分为登录过程和正常的访问过程。
其中,登录过程具体包括如下步骤:
1.1、用户浏览器通过发送账户名和密码请求登录。
1.2、账号身份验证模块验证账户名和密码是否正确,若正确,则确定登录成功并创建登录会话的session以及对应的sessionid,反之,则反馈账户名和密码错误,提示用户重新输入。
1.3、账号身份验证模块将sessionid、该登录用户的用户数字id(uid)以及登录的服务器时间time发送至web安全防御模块。
1.4、web安全防御模块根据uid、time和随机盐salt生成加密密钥key=md5(md5(uid+time+salt)),并将key存储到该会话对应的session中。
1.5、web安全防御模块通知加密密钥key生成完成,并将本次会话的sessionid以及登录后的跳转url发送至后端业务服务模块。
1.6、后端业务服务模块针对登录后跳转的url生成需要渲染的response中用到的变量,进一步获取session中的key,采用rsa加密算法将需要输出到response中的变量加密,即url/param=rsa(“url/param”,key)。
1.7、后端业务服务模块使用加密后的url和param渲染拼装response,并反馈至web端。
正常的访问过程具体包括如下步骤:
2.1、web端向服务端发送request,其中url和param为密文。
2.2、web安全防御模块根据访问请求携带的sessionid提取对应session中存储的加密key,并对request中的url和param强制解密,解密失败则丢弃,解密成功则向后端业务服务模块传输解密成功的request明文。
2.3、后端业务服务模块进行业务逻辑处理,根据request生成需要渲染的response中用到的变量。
2.4、后端业务服务模块进一步提取session中的key,将需要输出的response中的变量加密,即url/param=rsa(“url/param”,key)。
2.5、后端业务服务模块使用加密后的url和param渲染拼装response, 并反馈至web端。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本申请实施例并不受所描述的动作顺序的限制,因为依据本申请实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本申请实施例所必须的。
装置实施例1
参照图8,示出了本申请的一种web端访问的处理装置实施例1的结构框图,具体可以包括如下模块:
反馈数据生成模块401,用于针对web端的访问请求生成反馈数据;
加密模块402,用于采用预设加密密钥对所述反馈数据进行加密;
反馈模块403,用于将加密后的反馈数据发送至所述web端,以供所述web端根据加密后的反馈数据访问服务器。
本申请实施例中,优选地,所述加密密钥为针对所述web端的本次登录生成的加密密钥。
本申请实施例中,优选地,所述加密密钥存储在对应本此登录的会话信息中;所述装置还可以包括密钥获取模块,用于在所述采用预设加密密钥对所述反馈数据进行加密之前,根据对应本次登录的会话标识查找对应的会话信息,并从所述会话信息中提取加密密钥。
本申请实施例中,优选地,所述访问请求为登录请求,所述装置还包括:
密钥生成模块,用于在所述采用预设加密密钥对所述反馈数据进行加密之前,针对所述web端的本次登录生成加密密钥。
本申请实施例中,优选地,所述密钥生成模块包括:
信息获取子模块,用于获取所述web端的唯一标识信息、对应本次登录的随机数以及本次登录的服务器时间;
密钥生成子模块,用于根据所述唯一标识信息、随机数和服务器时间生 成所述加密密钥。
本申请实施例中,优选地,所述唯一标识信息包括所述登录用户的用户id、登录地址以及所述web端所处用户设备的设备标识中至少一种,所述随机信息包括与本次登录对应的服务器时间和随机数中至少一种。
本申请实施例中,优选地,所述装置还包括:
创建模块,用于在所述针对所述web端本次登录生成加密密钥之前,在本次登录成功后,创建对应本次登录的会话信息以及会话标识;
所述装置还包括:
存储模块,用于在所述针对所述web端本次登录生成加密密钥之后,将所述加密密钥存储至所述会话信息中。
本申请实施例中,优选地,所述加密模块,具体用于采用预设加密密钥对所述反馈数据中的变量数据进行加密;所述反馈模块包括:
拼装子模块,用于拼装加密的变量数据至所述反馈数据中;
数据反馈子模块,用于将所述反馈数据反馈至所述web端。
本申请实施例中,优选地,所述变量数据包括网页地址和/或访问参数,所述加密采用rsa公钥加密算法。
本申请实施例基于服务器的框架调整便捷的解决业务系统研发可能带来的web安全问题,具体的,针对web端的访问请求生成反馈数据,并采用加密密钥对反馈数据中的变量数据进行加密,当对反馈数据中的变量数据进行加密,可以使得web端后续根据加密后的变量数据访问服务器,攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
并且,本申请实施例采用的加密密钥仅用于web端的本次登录,也即是说,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
装置实施例2
参照图9,示出了本申请的一种web端访问的处理装置实施例2的结构框图,具体可以包括如下模块:
请求接收模块501,用于接收web端的访问请求,所述访问请求携带触发本次访问的加密数据,所述加密数据采用预设加密密钥进行加密;
解密模块502,用于解密所述加密数据;
响应模块503,用于基于解密结果响应所述web端。
本申请实施例中,优选地,所述加密数据为加密后的变量数据。
本申请实施例中,优选地,所述加密密钥为针对所述web端的本次登录生成的加密密钥。
本申请实施例中,优选地,所述访问请求携带对应所述本次登录的会话标识;
所述装置还包括:
会话信息查找模块,用于在所述解密所述加密数据之前,从根据所述会话标识查找对应会话信息;
密钥提取模块,用于从所述会话信息中提取预先存储的加密密钥;
所述解密模块,具体用于根据提取的加密密钥对所述加密数据进行解密。
本申请实施例中,优选地,所述装置还包括:
加密模块,用于对响应所述web端本次访问的反馈数据进行加密。
本申请实施例基于服务器的框架调整便捷的解决业务系统研发可能带来的web安全问题,具体的,针对web端的访问请求生成反馈数据,并采用加密密钥对反馈数据中的变量数据进行加密,当对反馈数据中的变量数据进行加密,可以使得web端后续根据加密后的变量数据访问服务器,攻击者无法通过修改系统的变量数据构造新的访问参数,提高了web安全性,杜绝了水平权限漏洞在内的各类安全攻击行为;同时,降低了对业务系统研发阶段对开发人员的安全意识的要求,减少了人力投入成本。
并且,本申请实施例采用的加密密钥仅用于web端的本次登录,也即是 说,经该加密密钥加密的变量数据仅在当次用户登录中有效,第二次登录后失效,使得复制他人的链接从原理上直接无效,从而最大程度防止攻击者篡改请求尝试攻击,提供了一种严密完整的安全防御机制。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本申请实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本申请实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
在一个典型的配置中,所述计算机设备包括一个或多个处理器(cpu)、输入/输出接口、网络接口和内存。内存可能包括计算机可读介质中的非永久性存储器,随机存取存储器(ram)和/或非易失性内存等形式,如只读存储器(rom)或闪存(flashram)。内存是计算机可读介质的示例。计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(pram)、静态随机存取存储器(sram)、动态随机存取存储器(dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(cd-rom)、数字多功能光盘(dvd)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算 机可读介质不包括非持续性的电脑可读媒体(transitorymedia),如调制的数据信号和载波。
本申请实施例是参照根据本申请实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括 那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本申请所提供的一种web端访问的处理方法及装置,进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
- 还没有人留言评论。精彩留言会获得点赞!