应用程序编程接口的安全管理方法和系统技术方案

技术编号:20014074 阅读:48 留言:0更新日期:2019-01-05 22:23
本申请提供了一种应用程序编程接口的安全管理方法和系统,在网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。本申请通过上述手段,可有效解决现有技术无法阻挡通过API非法访问业务数据的问题。

Security Management Method and System of Application Programming Interface

This application provides a security management method and system of application programming interface. On the gateway server side, the method includes: receiving business logic interface information submitted by the publisher; generating external access address of the external interface according to the IP address of the gateway server and the port number assigned to the publisher according to the preset format, and establishing external access of the interface. The relationship between address and business logic interface information; receiving interface call requests from subscribers; requesting token center authenticates the identity of subscribers who make interface call requests. If authenticated, the interface call requests are forwarded to the corresponding business logic interface according to the relationship between the external access address of the interface and business logic interface information. And return the execution result of the business logic interface to the subscriber. This application can effectively solve the problem that the existing technology can not prevent illegal access to business data through API through the above means.

【技术实现步骤摘要】
应用程序编程接口的安全管理方法和系统
本申请涉及信息安全
,特别地,涉及一种应用程序编程接口的安全管理方法和系统。
技术介绍
随着计算机和网络技术的迅速发展和广泛普及,为了方便各个程序之间的相互访问,应用程序编程接口(API,ApplicationProgrammingInterface)技术应运而生,API的专利技术和发展大大促进了计算机产业的进步;随着APP应用以及智能设备爆发增长,越来越多的零售商、媒体、政府和金融服务公司开始公开WebAPI,如何能够安全有效将这些API管理起来对于企业而言并不容易。API是未来新经济当中的一个基石,未来一个成功的企业或者一项业务和其他企业或者业务最大的区别点在于,是否能够应用第三平台,是否有一个成功的应用,这个应用同样需要在不同设备上都能够使用。随着移动应用的深入发展,现在很多企业都已经变成了开放型的企业,在这样的场景中,企业需要管理好流入和流出的信息。同时,现在针对API的攻击也越来越多,已经出现很多API安全漏洞,在每种情况下可能都会使用不同的安全规则,API要支持这些安全标准对于公司而言挑战巨大。近年来,各大型企业逐步加强信息系统安全建设工作,部署实施了入侵检测、防火墙等安全产品和措施。但从信息安全角度看,仍存在以下问题:API接口和业务逻辑没有分离,企业内部的应用及其数据无法阻挡通过API的非法访问。
技术实现思路
本申请提供一种应用程序编程接口的安全管理方法和系统,用于解决现有技术无法阻挡通过API非法访问业务数据的问题。本申请公开的一种应用程序编程接口的安全管理方法,执行所述方法的系统设置有网关服务器,在所述网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。优选的,还包括:若令牌中心没有通过对请求接口调用的订阅者的身份认证,则向订阅者反馈身份认证结果。优选的,订阅者订阅待调用接口的方法具体包括:将订阅者订阅待调用接口的请求转发至令牌中心;接收令牌中心为该订阅者生成的令牌,并反馈至订阅者;令牌中心在为订阅者生成令牌时,将生成的令牌与订阅者账号绑定。优选的,令牌中心为订阅者颁发令牌的方法具体包括:接收订阅者发出的令牌生成请求;为所述订阅者生成令牌,并将生成的令牌与订阅者账号绑定;将生成的令牌返回至订阅者;在令牌中心通过订阅者的身份认证步骤之后,所述方法还包括:记录所述订阅者及其请求调用的接口信息和请求调用时间;相应的,在接收订阅者发出的接口调用请求步骤之后还包括:判断所述订阅者单位时间内调用接口的次数是否达到预设阈值,若是,向订阅者反馈接口调用限制提示。优选的,在收到业务逻辑接口返回的执行结果后,记录所述接口调用请求的响应时间;以及,接收发布者提交的接口使用情况查询请求,查询所述发布者已发布接口的使用频率以及响应时间,以图表形式展现已发布接口的使用情况。优选的,所述业务逻辑接口信息还包括参数名称和参数类型;接收订阅者发出的接口调用请求步骤之后还包括:对参数值进行防SQL注入识别;其中,参数值中禁用的字符串包含exec、insert、select、delete和update。优选的,所述网关服务器还设置有字符串白名单,所述网关服务器在收到发布者提交的业务逻辑接口信息以及订阅者发出的接口调用请求时,根据所述白名单对所述业务逻辑接口信息和接口调用请求是否存在可疑字符串进行检查。优选的,所述网关服务器还设置有地址黑名单,所述网关服务器在收到发布者提交的业务逻辑接口信息以及订阅者发出的接口调用请求时,根据http头部信息对所述发布者和订阅者的地址进行检查。优选的,所述网关服务器还设置有文件类型黑名单和文件类型白名单;对于收到的单个文件,采用文件类型黑名单进行过滤;对于批量上传的文件,采用文件类型白名单进行过滤;其中,文件类型黑名单包括sh、bat、sql、zip、tar、rar、tar.gz和7z;文件类型白名单包括xls和xlsx。优选的,所述网关服务器还在用户访问的系统页面中设置有令牌,并对所述页面中的令牌进行权限验证。优选的,所述建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系,具体为:在配置文件或数据库表中记录所述接口外部访问地址与业务逻辑接口信息。本申请公开的一种应用程序编程接口的安全管理系统,包括通过网络连接的网关服务器、接口发布终端和用户终端,所述网关服务器包括:接口发布服务模块,用于接收发布者通过接口发布终端提交的业务逻辑接口信息;以及,根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;其中,所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;接口调用服务模块,用于接收订阅者通过用户终端发出的接口调用请求;以及,请求令牌中心对发出接口调用请求的订阅者的身份进行认证;当通过身份认证时,根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至用户终端;当没有通过身份认证时,将身份认证结果返回至用户终端;其中,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌。优选的,所述网关服务器还包括:接口订阅服务模块,用于将订阅者通过用户终端发出的订阅所述接口发布服务模块发布的待调用接口的请求转发至令牌中心;以及接收令牌中心为该订阅者生成的令牌,并反馈至用户终端;其中,令牌中心在为订阅者生成令牌时,将生成的令牌与订阅者账号绑定。优选的,所述网关服务器还包括:安全监测模块,用于记录所述订阅者及其请求调用的接口信息和请求调用时间;以及判断所述订阅者单位时间内调用接口的次数是否达到预设阈值,当订阅者在单位时间内调用接口的次数达到预设阈值时,向用户终端反馈接口调用限制提示。本申请还公开了一种在其上记录有用于执行上述方法的程序的存储介质。与现有技术相比,本申请优选实施例通过将业务逻辑接口与API调用人员隔离开、并通过令牌中心对订阅者身份进行认证的手段,创新性的解决了企业对公开的WebAPI如何进行安全有效管理的问题,实现保护API安全的目的。本专利技术通过对发布者的业务逻辑接口进行统一管理,使得订阅者通过API网关、对需要的API接口进行调用,保证了对API接口调用的可控性,调用者不直接调用业务逻辑接口,对业务接口起到了保护的作用;通过令牌中心对订阅者颁发令牌,并根据令牌进行认证,可控制非授权的访问,防止威胁和开放应用安全项本文档来自技高网...

【技术保护点】
1.一种应用程序编程接口的安全管理方法,其特征在于,执行所述方法的系统设置有网关服务器,在所述网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。

【技术特征摘要】
1.一种应用程序编程接口的安全管理方法,其特征在于,执行所述方法的系统设置有网关服务器,在所述网关服务器侧,所述方法包括:接收发布者提交的业务逻辑接口信息;所述业务逻辑接口信息包括业务逻辑接口名称、业务逻辑接口地址和业务逻辑接口端口号;根据网关服务器的IP地址和为所述发布者分配的端口号,按预设格式生成对外发布的接口外部访问地址,并建立所述接口外部访问地址与业务逻辑接口信息之间的关联关系;接收订阅者发出的接口调用请求,所述接口调用请求包括订阅者账号、请求调用的接口外部访问地址和订阅上述接口时令牌中心为该订阅者颁发的令牌;请求令牌中心对发出接口调用请求的订阅者的身份进行认证,若通过认证,则根据所述接口外部访问地址与业务逻辑接口信息之间的关联关系,将接口调用请求转发至对应的业务逻辑接口,并将该业务逻辑接口的执行结果返回至订阅者。2.根据权利要求1所述的方法,其特征在于,还包括:若令牌中心没有通过对请求接口调用的订阅者的身份认证,则向订阅者反馈身份认证结果。3.根据权利要求1所述的方法,其特征在于,在所述接收订阅者发出的接口调用请求之前,包括:将订阅者发出的订阅待调用接口的请求转发至令牌中心;接收令牌中心为该订阅者生成的令牌,并反馈至订阅者;令牌中心在为订阅者生成令牌时,将生成的令牌与订阅者账号绑定。4.根据权利要求1所述的方法,其特征在于,令牌中心为订阅者颁发令牌的方法具体包括:接收订阅者发出的令牌生成请求;为所述订阅者生成令牌,并将生成的令牌与订阅者账号绑定;将生成的令牌返回至订阅者;在令牌中心通过订阅者的身份认证步骤之后,所述方法还包括:记录所述订阅者及其请求调用的接口信息和请求调用时间;相应的,在接收订阅者发出的接口调用请求步骤之后还包括:判断所述订阅者单位时间内调用接口的次数是否达到预设阈值,若是,向订阅者反馈接口调用限制提示。5.根据权利要求4所述的方法,其特征在于,在收到业务逻辑接口返回的执行结果后,记录所述接口调用请求的响应时间;以及,接收发布者提交的接口使用情况查询请求,查询所述发布者已发布接口的使用频率以及响应时间,以图表形式展现已发布接口的使用情况。6.根据权利要求1所述的方法,其特征在于,所述业务逻辑接口信息还包括参数名称和参数类型;接收订阅者发出的接口调用请求步骤之后还包括:对参数值进行防SQL注入识别;其中,参数值中禁用的字符串包含exec、insert、select、delete和update。7.根据权利要求1所述的方法,其特征在于,所述网关服务器还设置有字符串白名单,所述网关服务器在收到发布者提交的业务逻辑接口信息以及订阅者发出的接口调用请求时,根据所述白名单对所述业务逻辑接口信息和接口调用请求是否存在可疑字符串进行检查。8.根据权...

【专利技术属性】
技术研发人员:杜鹏赵贵阳周春楠
申请(专利权)人:亿阳安全技术有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1