This application provides a security management method and system of application programming interface. On the gateway server side, the method includes: receiving business logic interface information submitted by the publisher; generating external access address of the external interface according to the IP address of the gateway server and the port number assigned to the publisher according to the preset format, and establishing external access of the interface. The relationship between address and business logic interface information; receiving interface call requests from subscribers; requesting token center authenticates the identity of subscribers who make interface call requests. If authenticated, the interface call requests are forwarded to the corresponding business logic interface according to the relationship between the external access address of the interface and business logic interface information. And return the execution result of the business logic interface to the subscriber. This application can effectively solve the problem that the existing technology can not prevent illegal access to business data through API through the above means.
【技术实现步骤摘要】
应用程序编程接口的安全管理方法和系统
本申请涉及信息安全
,特别地,涉及一种应用程序编程接口的安全管理方法和系统。
技术介绍
随着计算机和网络技术的迅速发展和广泛普及,为了方便各个程序之间的相互访问,应用程序编程接口(API,ApplicationProgrammingInterface)技术应运而生,API的专利技术和发展大大促进了计算机产业的进步;随着APP应用以及智能设备爆发增长,越来越多的零售商、媒体、政府和金融服务公司开始公开WebAPI,如何能够安全有效将这些API管理起来对于企业而言并不容易。API是未来新经济当中的一个基石,未来一个成功的企业或者一项业务和其他企业或者业务最大的区别点在于,是否能够应用第三平台,是否有一个成功的应用,这个应用同样需要在不同设备上都能够使用。随着移动应用的深入发展,现在很多企业都已经变成了开放型的企业,在这样的场景中,企业需要管理好流入和流出的信息。同时,现在针对API的攻击也越来越多,已经出现很多API安全漏洞,在每种情况下可能都会使用不同的安全规则,API要支持这些安全标准对于公司而言挑战巨大。近年来,各大型企业逐步加强信息系统安全建设工作,部署实施了入侵检测、防火墙等安全产品和措施。但从信息安全角度看,仍存在以下问题:API接口和业务逻辑没有分离,企业内部的应用及其数据无法阻挡通过API的非法访问。
技术实现思路
本申请提供一种应用程序编程接口的安全管理方法和系统,用于解决现有技术无法阻挡通过API非法访问业务数据的问题。本申请公开的一种应用程序编程接口的安全管理方法,执行所述方法的系统设置有网关服务器 ...
【技术保护点】
1.一种应用程序编程接口的安全管理方法,其特征在于,执行所述方法的系统设置有网关服务器,在所述网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。
【技术特征摘要】
1.一种应用程序编程接口的安全管理方法,其特征在于,执行所述方法的系统设置有网关服务器,在所述网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。2.根据权利要求1所述的方法,其特征在于,还包括:若令牌中心没有通过对请求接口调用的订阅者的身份认证,则向订阅者反馈身份认证结果。3.根据权利要求1所述的方法,其特征在于,在所述接收订阅者发出的接口调用请求之前,包括:将订阅者发出的订阅待调用接口的请求转发至令牌中心;接收令牌中心为该订阅者生成的令牌,并反馈至订阅者;令牌中心在为订阅者生成令牌时,将生成的令牌与订阅者账号绑定。4.根据权利要求1所述的方法,其特征在于,令牌中心为订阅者颁发令牌的方法具体包括:接收订阅者发出的令牌生成请求;为所述订阅者生成令牌,并将生成的令牌与订阅者账号绑定;将生成的令牌返回至订阅者;在令牌中心通过订阅者的身份认证步骤之后,所述方法还包括:记录所述订阅者及其请求调用的接口信息和请求调用时间;相应的,在接收订阅者发出的接口调用请求步骤之后还包括:判断所述订阅者单位时间内调用接口的次数是否达到预设阈值,若是,向订阅者反馈接口调用限制提示。5.根据权利要求4所述的方法,其特征在于,在收到业务逻辑接口返回的执行结果后,记录所述接口调用请求的响应时间;以及,接收发布者提交的接口使用情况查询请求,查询所述发布者已发布接口的使用频率以及响应时间,以图表形式展现已发布接口的使用情况。6.根据权利要求1所述的方法,其特征在于,所述业务逻辑接口信息还包括参数名称和参数类型;接收订阅者发出的接口调用请求步骤之后还包括:对参数值进行防SQL注入识别;其中,参数值中禁用的字符串包含exec、insert、select、delete和update。7.根据权利要求1所述的方法,其特征在于,所述网关服务器还设置有字符串白名单,所述网关服务器在收到发布者提交的业务逻辑接口信息以及订阅者发出的接口调用请求时,根据所述白名单对所述业务逻辑接口信息和接口调用请求是否存在可疑字符串进行检查。8.根据权...
【专利技术属性】
技术研发人员:杜鹏,赵贵阳,周春楠,
申请(专利权)人:亿阳安全技术有限公司,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。