本发明涉及计算机网络技术领域,尤其涉及一种统一安全保障方法、防火墙系统、设备及存储介质。
背景技术:
随着互联网的快速发展,网络安全越来越被各个企业和系统开发者所重视。一个好的系统或者软件除了良好的设计、稳定的硬件设备、优秀的用户体验之外,是否能在互联网复杂的环境中安全的运行已成为重中之重。当下,经常会有某某网站被拖库、暴露用户隐私、某政府网站被黑客攻击导致瘫痪被曝光的事件,这些安全事件逐渐成为一个企业和系统能否成功的最关键因素,并且也让所有的人对于网络安全有一个更加深刻的认识。尤其是在移动互联网时代,如何开发出更加安全稳定的软件系统和产品,成为所有参与者需要思考的一个问题。面对这些严峻的安全考验,很多公司和系统开发者,由于技术上或者成本上的限制,其系统都没有一套严格完整的技术方面的安全保障措施。
现有的应用系统安全保障措施有初级的用户登录校验,系统内的加密算法保证用户信息的安全,以及系统内部的功能权限校验。其主要存在以下问题:对于用户登录校验、用户信息保存、加密算法等这些处理,每个应用系统都需要各自去实现;每个系统开发人员的技术能力和对于安全的认知有侥幸心理,并不会都去做一些安全校验,仍然会出现很多安全漏洞;不易通过外部平台进行实时的大数据分析和监控用户的访问行为;可移植性差,代码重复。
技术实现要素:
有鉴于此,本发明提供一种统一安全保障方法、防火墙系统、设备及存储介质,能够通过配置将应用系统与防火墙系统进行接入连接,进而防火墙系统能够统一对应用系统进行安全保障处理,解决了每个应用系统各自都需要进行安全保障导致存在安全漏洞的问题,以及可移植性差、代码重复的问题。
为实现上述目的,根据本发明的一个方面,提供了一种统一安全保障方法。
本发明的方法包括:接收应用系统的接入申请;
根据应用系统的接入申请,对接入信息的正确性进行校验;如果不正确,返回接入失败;否则,建立与所述应用系统的接入连接,并生成授权令牌;
根据建立的接入连接关系,对所述应用系统进行安全保障处理。
可选地,本发明的方法还包括:在接收应用系统的接入申请之前,接收所述应用系统获取接入信息的申请;为所述应用系统分配唯一标识符;并且为所述应用系统生成接口密钥;将所述唯一标识符和接口密钥发送至所述应用系统。
可选地,所述安全保障处理包括:根据用户登录操作以及用户信息,对登录进行校验。
可选地,所述安全保障处理还包括:对用户的权限进行判定,和/或,对用户的权限进行配置;获取用户的权限信息并进行保存。
可选地,所述安全保障处理还包括:将应用系统的访问日志进行存储和分析,并获取日志分析结果;根据所述日志分析结果,对所述应用系统的访问流量进行实时监控。
可选地,所述安全保障处理还包括:配置监控阈值,对应用系统进行异常访问监控。
可选地,所述安全保障处理还包括:根据所述接入信息和令牌,对应用系统发送的请求中的参数进行加密处理。
可选地,所述安全保障处理还包括:判定请求的统一资源定位符中是否存在参数加密密文,若存在,则调用解密接口,对所述参数加密密文进行解密处理,并且检验参数是否被篡改。
根据本发明的另一方面,提供了一种防火墙系统。
本发明的系统包括:接入模块,用于接收应用系统的接入申请;
接入信息校验模块,用于根据所述接入申请,对接入信息的正确性进行校验,如果不正确,返回接入失败;否则,建立与所述应用系统的接入连接,并生成授权令牌;
安全保障处理模块,用于根据建立的接入连接关系,对所述应用系统进行安全保障处理。
可选地,所述接入模块还包括接入信息生成单元,用于在接收应用系统的接入申请之前,接收所述应用系统获取接入信息的申请,为所述应用系统分配唯一标识符,以及为所述应用系统生成接口密钥,并且将所述唯一标识符和接口密钥发送至所述应用系统。
可选地,安全保障处理模块还包括登录校验单元,用于根据用户登录操作以及用户信息,对登录进行校验。
可选地,安全保障处理模块还包括用户权限管理单元,用于对用户的权限进行判定,和/或,对用户的权限进行配置;还用于获取用户的权限信息并进行保存。
可选地,安全保障处理模块还包括访问日志管理单元,用于将应用系统的访问日志进行存储和分析,并获取日志分析结果;还用于根据所述日志分析结果,对所述应用系统的访问流量进行实时监控。
可选地,安全保障处理模块还包括异常访问监控单元,用于配置监控阈值,对应用系统进行异常访问监控。
可选地,安全保障处理模块还包括加密单元,用于根据所述接入信息和令牌,对应用系统发送的请求中的参数进行加密处理。
可选地,安全保障处理模块还包括解密判定单元,用于判定请求的统一资源定位符中是否存在参数加密密文,若存在,则调用解密接口,对所述参数加密密文进行解密处理,并且检验参数是否被篡改。
根据本发明的另一方面,提供了一种防火墙设备。
本发明的设备包括:至少一个处理器;以及,
与所述至少一个处理器通讯连接的存储器;其中
所述存储器存储被所述一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述统一安全保障方法中任一项的方法。
根据本发明的另一方面,提供了一种非暂态计算机可读存储介质。
本发明的非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行上述统一安全保障方法中任一项的方法。
根据本发明的技术方案,通过根据接收到的应用系统的接入申请,对接入信息的正确性进行校验;如果不正确,返回接入失败;否则,建立与应用系统的接入连接,并生成授权令牌。进而根据建立的接入连接关系,对应用系统进行安全保障处理,故应用系统本身可不用再做安全保障处理。应用系统通过简单的配置就可以进行申请接入,当验证应用系统接入合法之后,为其生成唯一的授权令牌,并且可对应用系统进行统一的安全保障处理。从而通过授权生成唯一的标识,以插件配置的方式将应用系统进行接入,不仅简单快速、灵活高效,而且不需要对接入的应用系统进行任何代码逻辑的改造,耦合度低。从而有效解决了现有技术中每个应用系统各自都需要进行安全保障导致存在安全漏洞的问题,以及可移植性差、代码重复等问题。
上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。
附图说明
附图用于更好地理解本发明,不构成对本发明的不当限定。其中:
图1是根据本发明实施例的一种统一安全保障方法主要步骤的示意图;
图2是根据本发明实施例的一种防火墙系统主要模块的示意图;
图3是根据本发明实施例的一种防火墙系统与应用系统连接的示意图;
图4是根据本发明实施例的一种防火墙设备的示意图;
图5是根据本发明实施例的一种防火墙设备的硬件结构的示意图。
具体实施方式
以下结合附图对本发明的示范性实施例做出说明,其中包括本发明实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本发明的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
图1是根据本发明实施例的一种统一安全保障方法主要步骤的示意图。如图1所示,本发明实施例的一种统一安全保障方法包括:
s11:接收应用系统的接入申请。在接收应用系统的接入申请之前,先接收应用系统获取接入信息的申请,进而可为应用系统分配唯一标识符(id),并且为应用系统生成接口密钥(key)。然后,可将唯一标识符和接口密钥进行保存,并发送至应用系统。应用系统收到之后,即有了由唯一标识符和接口密钥组成的接入信息。
s12:根据应用系统的接入申请,对接入信息的正确性进行校验,进而验证应用系统的合法性。如果校验接入信息正确,执行s13;否则,执行s15。
s13:建立与应用系统的接入连接,并生成授权令牌(token),后续应用系统的所有请求访问都需要传入此token。授权应用系统接入后,将接入信息(id和key)、令牌(token)以及相关的配置参数保存起来,后续应用系统的访问请求会根据这些信息进行逻辑判断和校验。
s14:根据建立的接入连接关系,对应用系统进行安全保障处理。
s15:返回接入失败。当校验出应用系统接入不合法,即应用系统接入失败后,会返回接入失败的原因。其中,接入失败可能是id和key不正确导致。应用系统可进行配置是否进行强制接入的参数。当配置为强制接入时,校验失败后,应用系统的所有功能都不能被用户访问;如果是非强制接入,校验失败后,不能与应用系统建立接入连接关系,则应用系统内部功能仍可被访问,但是没有了任务安全保障。因此,一般设置为强制接入,以保证系统的安全健壮性。
对应用系统进行相应的配置,应用系统即可获取接入信息,并发送接入请求。例如,对应用系统引入以下配置信息,应用系统即可进行申请接入:
<filter>
<filter-name>casfilter</filter-name>
<filter-class>com.jd.security.uag.securityfilter</filter-class>
</filter>
<filter-mapping>
<filter-name>casfilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
接入申请通过验证的应用系统,即可与进行统一安全保障的系统(防火墙系统)创建接入连接关系,则之后应用系统的用户访问请求的数据加密、安全校验、权限控制、用户行为数据记录等的安全保障处理,都不用应用系统自身进行。并且,还可以通过在应用系统或进行统一安全保障的系统中配置更多的上下文参数的方式,自定义一些更全面的安全规则。
应用系统接入成功后,即可正常运行,当用户通过登录界面成功登录应用系统后,所有的请求访问都可通过防火墙系统的过滤和安全规则校验,即可对应用系统进行安全保障处理,保障后端应用系统高可用性和数据的安全性。
安全保障处理包括:根据用户登录操作以及用户信息,对登录进行校验。对于用户登录,可以采用单点登录系统实现登录。如果应用系统因为技术原因,没有实现统一单点登录系统。则可以通过配置,将用户数据同步给本安全系统,则可将登陆校验也统一由本发明系统来实现。在校验的过程中,可通过在应用系统中获取用户数据对登录进行校验,也可通过已创建的用户数据存储对登录进行校验。
安全保障处理还包括:对用户的权限进行判定,和/或,对用户的权限进行配置,然后获取用户的权限信息并进行保存。可根据用户信息查询统一管理和配置的基础用户权限信息。根据该权限信息,校验本次请求访问是否在可操作的权限范围内,进而防止恶意用户越权操作系统,造成信息的泄露。其中,用户权限信息保存了用户和可操作的功能url(统一资源定位符)对应关系。并且,将权限的管理交给防火墙系统的方式,相比较于原来代码层级通过编码的方式,可实现权限校验或者单独开发一套权限管理,使得统一管理权限更加有灵活性、实时性。
安全保障处理还包括:将应用系统的访问日志进行存储和分析,并获取日志分析结果;根据日志分析结果,对应用系统的访问流量进行实时监控。每次用户的请求信息,包含访问ip、访问时间、目标路径等信息都会进行异步保存。并且可基于用户访问日志,进行大数据分析,生成该应用系统的用户群体分类、用户详细的访问行为等,帮助系统管理者优化和完善本应用系统的功能。以及,基于用户访问日志,可实时监控应用系统的访问流量和流量峰值、流量分布等数据。
安全保障处理还包括:配置监控阈值,对应用系统进行异常访问监控。可通过配置监控阈值,及时主动地发现异常访问行为,防止对后端系统服务造成不可用的风险,实现恶意ddos(分布式拒绝服务ddos:distributeddenialofservice)攻击监控。
安全保障处理还包括:根据接入信息和令牌,对应用系统发送的请求中的参数进行加密处理。用户登录校验通过后,则可成功登录,进而用户可访问应用系统内部的每个功能,请求url链接都会防护墙系统的安全过滤。针对请求的一些参数信息,可根据用户接入时注册的id、key对参数进行加密后,生成一个唯一的密文。防止恶意用户通过修改请求的参数,获取用户的其他信息。
安全保障处理还包括:判定请求的统一资源定位符中是否存在参数加密密文,若存在,则调用解密接口,对参数加密密文进行解密处理,并且检验参数是否被篡改。针对请求的url中生成的参数加密密文,调用解密接口,校验参数是否被篡改。
图2是根据本发明实施例的一种防火墙系统主要模块的示意图。如图2所示,本发明实施例的一种防火墙系统2主要包括接入模块21、接入信息校验模块22和安全保障处理模块23。其中,接入模块用于接收应用系统的接入申请。接入信息校验模块用于根据接入申请,对接入信息的正确性进行校验,如果不正确,返回接入失败;否则,建立与应用系统的接入连接,并生成授权令牌。安全保障处理模块用于根据建立的接入连接关系,对应用系统进行安全保障处理。
接入模块21还包括接入信息生成单元,用于在接收应用系统的接入申请之前,接收应用系统获取接入信息的申请,为应用系统分配唯一标识符,以及为应用系统生成接口密钥,并且将唯一标识符和接口密钥发送至应用系统。
安全保障处理模块23还包括登录校验单元,用于根据用户登录操作以及用户信息,对登录进行校验。
安全保障处理模块23还包括用户权限管理单元,用于对用户的权限进行判定,和/或,对用户的权限进行配置;还用于获取用户的权限信息并进行保存。
安全保障处理模块23还包括访问日志管理单元,用于将应用系统的访问日志进行存储和分析,并获取日志分析结果;还用于根据日志分析结果,对应用系统的访问流量进行实时监控。
安全保障处理模块23还包括异常访问监控单元,用于配置监控阈值,对应用系统进行异常访问监控。
安全保障处理模块23还包括加密单元,用于根据接入信息和令牌,对应用系统发送的请求中的参数进行加密处理。
安全保障处理模块23还包括解密判定单元,用于判定请求的统一资源定位符中是否存在参数加密密文,若存在,则调用解密接口,对参数加密密文进行解密处理,并且检验参数是否被篡改。
将应用系统与本发明的防护墙系统接入成功后,应用系统即可正常运行,之后所有的用户访问请求的数据加密、安全校验、权限控制、用户行为数据记录等都会交给本发明防护墙系统来实现。同时还可以通过配置更多的上下文参数的方式,自定义一些更全面的安全规则。即当用户通过登录界面成功登陆系统后,应用系统的安全保障处理可由本发明的防护墙系统实现,所有的请求访问都可通过本发明的防护墙系统的过滤和安全规则校验,保障后端应用系统高可用性和数据的安全性。图3是根据本发明实施例的一种防火墙系统与应用系统连接的示意图。通过对应用系统进行简单的配置,与本法明实施例的防护墙系统进行连接。本法明实施例的防护墙系统就可对接入成功的应用系统统一进行安全管理,减少管理漏洞,例如统一对请求参数进行加密和解密,防止请求数据被篡改,同时也减少密钥信息的滥用。并且,还可以对于入的应用系统的运行,独立去监控、保存和分析访问者行为数据,及时发现恶意行为,将安全风险转换到本防护墙系统来拦截处理。本发明实施例的防护墙系统还可将每个应用系统都有的权限校验,统一去管理配置和校验。并且,不需要对接入系统进行任何代码逻辑的改造,耦合度低,使得应用系统不需要开发任何安全校验的代码,只需要简单配置,直接交给本发明的防护墙系统实现。进而,可减少应用系统开发的工作量和技术实现的难度,提高应用系统的安全性,使得应用系统只专注于业务层面的实现即可。另外,应用系统还可以通过配置不同的参数,授权防护墙系统不同的功能权限。例如,授权防火墙系统进行请求参数统一加密,即针对请求的一些参数信息,本发明系统会根据用户接入时注册的id、key对参数进行加密后,生成一个唯一的密文;或者使得防火墙系统不进行流量监控等,都是可以通过简单配置实现的。
图4是根据本发明实施例的一种防火墙设备的示意图。本发明的防火墙设备4包括存储器41和至少一个处理器42,其中,存储器41与至少一个处理器42通过总线连接,存储器41存储有可被一个处理器执行的指令,当本实施例的装置运行时,指令被至少一个处理器执行,以使至少一个处理器能够执行上述方法实施例中统一安全保障方法中的任一项方法。
图5是根据本发明实施例的一种防火墙设备的硬件结构的示意图。如图5(以一个处理器为例)所示,本实施例的装置还包括输入装置53和输出装置54。存储器51、处理器52和输入装置53、输出装置54可以通过总线或者其他方式连接,图5中以通过总线连接为例。存储器51作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序、非暂态计算机可执行程序以及模块,如本申请实施例中的统一安全保障方法对应的程序指令/模块(例如,附图2所示的接入模块21、接入信息分析校验模块22以及安全保障处理模块23)。处理器52通过运行存储在存储器51中的非暂态软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例统一安全保障方法的处理。
存储器51可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据进行统一安全保障的防护墙系统的使用所创建的数据等。此外,存储器51可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施例中,存储器51可选包括相对于处理器52远程设置的存储器,这些远程存储器可以通过网络连接至统一安全保障的防护墙设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置53可接收输入的数字或字符信息,以及产生与统一安全保障的防护墙设备的用户设置以及功能控制有关的键信号输入。输出装置54可包括显示屏等显示设备。
一个或者多个模块存储在存储器51中,当被一个或者多个处理器52执行时,执行上述任意方法实施例中的统一安全保障方法。
上述产品可执行本申请实施例所提供的方法,具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本申请实施例所提供的方法。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,取决于设计要求和其他因素,可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。