云安全业务系统接入方法及装置与流程

本发明涉及网络安全技术领域，具体涉及一种云安全业务系统接入方法和一种云安全业务系统接入装置。

背景技术：

目前大部分中小型网站通过租用IDC(Internet Data Center，互联网数据中心)服务商提供的资源搭建自己的网站，以及通过购买云计算平台提供的资源获取相应的服务，而针对网站的网络攻击行为如DDoS(Distributed Denial of Service，分布式拒绝服务)攻击等实质上是对网站服务器的攻击，因此，IDC服务商和云计算平台往往要承受更多的网络攻击。

而如果IDC服务商和云计算平台为了抵御上述网络攻击而构建本地安全防御系统，则需要大量设备投入、机房建设、专业技术支持及后续的繁杂的运维人员支持，并且建设周期漫长，没有多年的网络安全防御经验的积累是无法设计、开发出适应当前复杂多变的网络安全防护系统的。

相较于本地安全防御系统，基于云计算的云安全系统如青松云安全系统等因不占用本地资源、完全将服务器与攻击者进行隔离、专业化程度高、防御体系全面、防御性能更强等特点获得了越来越多的青睐。但如何在已有的IDC服务商和云计算平台上在不破坏原有网站布局的情况下为平台用户部署云安全业务系统，成为目前亟待解决的问题。

技术实现要素：

针对现有技术中的缺陷，本发明提供一种云安全业务系统接入方法和装置，以在不破坏原有网站布局的情况下为IDC服务商和云计算平台的用户部署云安全业务系统，帮助平台用户的网站抵御网络攻击。

第一方面，本发明提供的一种云安全业务系统接入方法，包括：

预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面；其中，所述网络服务平台包括互联网数据中心或云计算平台；

在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统；

接收所述平台用户在所述云安全业务系统中输入的待接入网站的域名；

将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。

可选的，所述在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统，包括：

接收客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求；其中，所述访问请求中携带有该平台用户的用户信息；

将所述用户信息加密后上传到云安全服务中心进行认证；

在所述云安全服务中心对所述用户信息认证通过后，接收所述云安全服务中心下发的令牌；

在接收到所述令牌后，触发客户端在所述业务页面中显示所述云安全业务系统。

可选的，所述将所述用户信息加密后上传到云安全服务中心进行认证，包括：

采用预先从云安全服务中心获取的私钥对所述用户信息进行AES加密后上传到云安全服务中心进行认证。

可选的，在将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中前，还包括：

接收所述客户端发送的所述平台用户在所述云安全业务系统中输入的对所述待接入网站设置的防御参数；

将所述待接入网站的域名和防御参数上传到云安全服务中心，以由所述云安全服务中心判断所述待接入网站是否需要付费后再接入云安全业务系统；

在接收到所述云安全服务中心返回的需要付费后再接入云安全业务系统的信息时，向所述客户端发送支付链接；

在接收到支付完成的信息后，执行将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中的步骤。

可选的，所述将云安全业务系统以iframe框架嵌入网络服务平台的业务页面，包括：

在网络服务平台的业务页面中添加iframe框架，所述iframe框架中含有指向云安全业务系统的链接；

在所述业务页面的网站根目录建立代理文件，所述代理文件中含有指向所述云安全业务系统的链接。

第二方面，本发明提供的一种云安全业务系统接入装置，包括：

框架嵌入模块，用于预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面；其中，所述网络服务平台包括互联网数据中心或云计算平台；

安全系统显示模块，用于在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统；

域名接收模块，用于接收所述平台用户在所述云安全业务系统中输入的待接入网站的域名；

网站接入模块，用于将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。

可选的，所述安全系统显示模块，包括：

访问请求接收单元，用于接收客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求；其中，所述访问请求中携带有该平台用户的用户信息；

加密认证单元，用于将所述用户信息加密后上传到云安全服务中心进行认证；

令牌接收单元，用于在所述云安全服务中心对所述用户信息认证通过后，接收所述云安全服务中心下发的令牌；

安全系统显示单元，用于在接收到所述令牌后，触发客户端在所述业务页面中显示所述云安全业务系统。

可选的，所述加密认证单元，包括：

私钥加密子单元，用于采用预先从云安全服务中心获取的私钥对所述用户信息进行AES加密后上传到云安全服务中心进行认证。

可选的，所述云安全业务系统接入装置，还包括：

防御参数接收模块，用于接收所述客户端发送的所述平台用户在所述云安全业务系统中输入的对所述待接入网站设置的防御参数；

防御参数上传模块，用于将所述待接入网站的域名和防御参数上传到云安全服务中心，以由所述云安全服务中心判断所述待接入网站是否需要付费后再接入云安全业务系统；

支付模块，用于在接收到所述云安全服务中心返回的需要付费后再接入云安全业务系统的信息时，向所述客户端发送支付链接；

支付完成模块，用于在接收到支付完成的信息后，触发所述网站接入模块执行将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中的步骤。

可选的，所述框架嵌入模块，包括：

页面添加单元，用于在网络服务平台的业务页面中添加iframe框架，所述iframe框架中含有指向云安全业务系统的链接；

代理文件添加单元，用于在所述业务页面的网站根目录建立代理文件，所述代理文件中含有指向所述云安全业务系统的链接。

由上述技术方案可知，本发明提供的一种云安全业务系统接入方法，预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面；其中，所述网络服务平台包括互联网数据中心或云计算平台；在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统；接收所述平台用户在所述云安全业务系统中输入的待接入网站的域名；将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。本发明通过将云安全业务系统以iframe框架嵌入网络服务平台的业务页面，从而使平台用户可以直接在所述业务界面访问云安全业务系统，并通过将待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。可以在不破坏原有网站布局的情况下为IDC服务商和云计算平台的用户部署云安全业务系统，帮助IDC服务商和云计算平台等抵御网络攻击。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分并不一定按照实际的比例绘制。

图1示出了本发明第一实施例所提供的一种云安全业务系统接入方法的流程图；

图2示出了本发明第二实施例所提供的一种云安全业务系统接入装置的示意图。

具体实施方式

下面将结合附图对本发明技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本发明的技术方案，因此只是作为示例，而不能以此来限制本发明的保护范围。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本发明所属领域技术人员所理解的通常意义。

本发明提供一种云安全业务系统接入方法、一种云安全业务系统接入装置和一种云安全业务系统接入系统。下面结合附图对本发明的实施例进行说明。

图1示出了本发明第一实施例所提供的一种云安全业务系统接入方法的流程图。如图1所示，本发明第一实施例提供的一种云安全业务系统接入方法包括以下步骤：

步骤S101：预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面；其中，所述网络服务平台包括互联网数据中心或云计算平台。

本发明实施例中，云安全系统由云安全服务中心和云安全业务系统组成，其中，云安全服务中心负责整个云安全系统的中央控制、管理，所述云安全业务系统作为业务端设于网络服务平台的业务页面中，以供平台用户进行业务管理。

本步骤中，需要预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面，在本发明提供的一个实施例中，包括：

在网络服务平台的业务页面中添加iframe框架，所述iframe框架中含有指向云安全业务系统的链接；

在所述业务页面的网站根目录建立代理文件，所述代理文件中含有指向所述云安全业务系统的链接。

例如：

首先，将下述代码加入到网络服务平台原业务页面的页面代码中：

<scripttype＝"text/javascript"id＝"qsCloudJs"

src＝“http://xxx.com/media/user/js/modules/cloud/cloud.js"></script>

并增加以下HTML元素：

<iframe id＝"qsCloud"style＝"width:730px；border:0px；"frameborder＝"0"

scrolling＝"no"

cloudval＝"username:qsproxy；style:#4B79CE,#8FAFE7,#ABC4F1,#00467C,#39BA00,#50CE18,#FF5A00,#DDE7F7,#CDECD1,#FFE9B8”></iframe>

通过上述步骤，实现在网络服务平台的业务页面中添加iframe框架，其中，所述iframe框架中含有指向云安全业务系统的链接"http://xxx.com/media/user/js/modules/cloud/cloud.js">

然后，在所述业务页面的网站根目录建立代理文件qsProxy.html，其代码内容为：

<！DOCTYPE html>

<html lang＝“en">

<head>

<title>qsCloud proxy</title>

<meta charset＝“utf-8">

<scripttype＝"text/javascript"

src＝"http://xxx.com/media/user/js/modules/cloud/proxy.js"></script>

</head>

<body>

</body>

</html>

其中，所述代理文件中含有指向所述云安全业务系统的链接"http://xxx.com/media/user/js/modules/cloud/proxy.js"。

其中，xxx.com为网络服务平台选择的一个域名(或站点，通常为一个站)，用来作为iframe嵌入的域名，云安全服务中心为网络服务平台提供一个该站点应解析到的cname值：iframe.aopsec.com，网络服务平台需要在域名的服务提供商处增加这个记录的解析，解析目标为云安全服务中心提供的cname值(iframe.aopsec.com)。例如选择的iframe站点名为defense.test.com，域名解析使用dnspod，则需要在test.com中增加一个cname记录，记录值为iframe.aopsec.com。

步骤S102：在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统。

在通过步骤S101将云安全业务系统以iframe框架嵌入网络服务平台的业务页面后，在平台用户通过客户端访问所述业务页面中的云安全业务系统时，会通过客户端发出一个访问所述业务页面中的云安全业务系统的访问请求，所述网络服务平台在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，可以触发客户端在所述业务页面中显示所述云安全业务系统，以使平台用户实现对云安全业务系统的访问。

为了避免非法用户进行非法访问，在本发明提供的一个实施例中，需要对平台用户进行认证后才显示所述云安全业务系统，所述在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统，包括：

接收客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求；其中，所述访问请求中携带有该平台用户的用户信息；

将所述用户信息加密后上传到云安全服务中心进行认证；

在所述云安全服务中心对所述用户信息认证通过后，接收所述云安全服务中心下发的令牌；

在接收到所述令牌后，触发客户端在所述业务页面中显示所述云安全业务系统。

其中，考虑到iframe本身安全性不足的问题，本实施例中将所述用户信息加密后再上传到云安全服务中心，以保证数据传输的安全性、可靠性，避免用户信息泄露。

为了避免重复注册造成数据冗余和查询不便，在本发明提供的一个实施例中，所述用户信息可以是所述平台用户在所述网络服务平台上注册的用户信息，所述云安全服务中心可以调用所述网络服务平台的用户信息数据库对所述平台用户的用户信息进行认证。接入完成后，原平台用户无需重新注册账号，使用原账号登录即可在业务页面中查看到云安全业务系统，接入的云安全业务系统与原业务融为一体。

在本发明提供的一个实施例中，所述将所述用户信息加密后上传到云安全服务中心进行认证，包括：

采用预先从云安全服务中心获取的私钥对所述用户信息进行AES加密后上传到云安全服务中心进行认证。

本实施例中，网络服务平台预先从云安全服务中心获取一个私钥，然后利用所述私钥对用户信息进行加密，所述云安全服务中心在接收到加密的用户信息后，采用与所述私钥配合的公钥进行解密，即可获得所述用户信息。

其中，AES(Advanced Encryption Standard，高级加密标准)，是美国联邦政府采用的一种区块加密标准。

例如，用户参数包括email(邮箱),phone(电话),uid(用户识别码),uname(用户名)四个参数；预先从云安全服务中心获取的私钥为privatekey123；本步骤具体实施步骤为:

步骤S1021：将email,phone,uid,uname四个参数以A-Za-z顺序排列并在参数之间以&进行连接，得到第一参数串,如email＝your-email&phone＝your-phonenumber&uid＝your-user-id&uname＝your-user-name。

步骤S1022：采用私钥privatekey123对第一参数出进行AES对称加密，加密模式为MCRYPT_MODE_ECB，得到第一加密串，如encryptedkey456。

步骤S1023：将第一参数串与私钥连接成待签名串,如email＝your-email&phone＝your-phonenumber&uid＝your-user-id&uname＝your-user-nameprivatekey123。

步骤S1024：将所述待签名串进行MD5(Message-Digest Algorithm 5：信息-摘要算法5，是一种现有的签名算法)签名，获得签名串，如signed-md5。

步骤S1025：将所述签名串与所述加密串以“.”拼接，得到加密后的用户信息，如signed-md5.encryptedkey456。

步骤S1026：以signed_request作为参数名，通过POST的方式将加密后的用户信息(signedmd5.encryptedkey456)发送到云安全服务中心进行认证。

步骤S103：接收所述平台用户在所述云安全业务系统中输入的待接入网站的域名。

通过步骤S102，平台用户即可访问所述云安全业务系统，并在所述云安全业务系统中输入待接入网站的域名，所述网络服务平台即可获得待接入网站的域名。

步骤S104：将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。

由于所述云安全业务系统是通过反向代理实现网络攻击者与服务器(本实施例中国的网络服务平台)之间的隔离，避免服务器遭受网络攻击的，因此，所述网络服务平台在获得待接入网站的域名后，将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，即可实现对所述待接入网站的防御，将所述待接入网站接入云安全业务系统。

至此，通过步骤S101至步骤S104，完成了本发明第一实施例所提供的一种云安全业务系统接入方法的流程。相较于现有技术，本发明通过将云安全业务系统以iframe框架嵌入网络服务平台的业务页面，从而使平台用户可以直接在所述业务界面访问云安全业务系统，并通过将待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。可以在不破坏原有网站布局的情况下为IDC服务商和云计算平台的用户部署云安全业务系统，帮助平台用户的网站抵御网络攻击。

此外，本发明可以以极低的成本将云安全业务系统嵌入到网络服务平台的业务页面中，从而为网络服务平台的平台用户提供安全服务项目，可以增加用户黏度，提高网络服务平台自身安全性和可靠性，同时，本发明对网络服务平台没有任何影响，不需要网络服务平台投入设备或人力支持，实施简单、成本低，另外，iframe框架的嵌入方式不受限任何网站架构，嵌入灵活，配置简单。

在上述的第一实施例中，提供了一种云安全业务系统接入方法，与之相对应的，本申请还提供一种云安全业务系统接入装置。请参考图2，其为本发明第二实施例提供的一种云安全业务系统接入装置的示意图。由于装置实施例基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。下述描述的装置实施例仅仅是示意性的。

本发明第二实施例提供的一种云安全业务系统接入装置，包括：

框架嵌入模块101，用于预先将云安全业务系统以iframe框架嵌入网络服务平台的业务页面；其中，所述网络服务平台包括互联网数据中心或云计算平台；

安全系统显示模块102，用于在接收到客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求后，触发客户端在所述业务页面中显示所述云安全业务系统；

域名接收模块103，用于接收所述平台用户在所述云安全业务系统中输入的待接入网站的域名；

网站接入模块104，用于将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中，实现将所述待接入网站接入云安全业务系统。

在本发明提供的一个实施例中，所述安全系统显示模块102，包括：

访问请求接收单元，用于接收客户端发送的平台用户访问所述业务页面中的云安全业务系统的访问请求；其中，所述访问请求中携带有该平台用户的用户信息；

加密认证单元，用于将所述用户信息加密后上传到云安全服务中心进行认证；

令牌接收单元，用于在所述云安全服务中心对所述用户信息认证通过后，接收所述云安全服务中心下发的令牌；

安全系统显示单元，用于在接收到所述令牌后，触发客户端在所述业务页面中显示所述云安全业务系统。

在本发明提供的一个实施例中，所述加密认证单元，包括：

私钥加密子单元，用于采用预先从云安全服务中心获取的私钥对所述用户信息进行AES加密后上传到云安全服务中心进行认证。

在本发明提供的一个实施例中，所述云安全业务系统接入装置，还包括：

防御参数接收模块，用于接收所述客户端发送的所述平台用户在所述云安全业务系统中输入的对所述待接入网站设置的防御参数；

防御参数上传模块，用于将所述待接入网站的域名和防御参数上传到云安全服务中心，以由所述云安全服务中心判断所述待接入网站是否需要付费后再接入云安全业务系统；

支付模块，用于在接收到所述云安全服务中心返回的需要付费后再接入云安全业务系统的信息时，向所述客户端发送支付链接；

支付完成模块，用于在接收到支付完成的信息后，触发所述网站接入模块104执行将所述待接入网站的域名添加到所述云安全业务系统的反向代理列表中的步骤。

在本发明提供的一个实施例中，所述框架嵌入模块101，包括：

页面添加单元，用于在网络服务平台的业务页面中添加iframe框架，所述iframe框架中含有指向云安全业务系统的链接；

代理文件添加单元，用于在所述业务页面的网站根目录建立代理文件，所述代理文件中含有指向所述云安全业务系统的链接。

以上，为本发明第二实施例提供的一种云安全业务系统接入装置的实施例说明。

本发明提供的一种云安全业务系统接入装置与上述云安全业务系统接入方法出于相同的发明构思，具有相同的有益效果，此处不再赘述。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

需要说明的是，附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本发明实施例所提供的云安全业务系统接入装置可以是计算机程序产品，包括存储了程序代码的计算机可读存储介质，所述程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统、装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明的权利要求和说明书的范围当中。