本发明专利技术公开了一种应用服务的提供方法、装置、设备及介质,所述的方法包括:接收来自访问终端的应用服务数据包;根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。根据本发明专利技术实施例,能够识别访问终端的身份,以限制访问终端的访问权限,能够增大恶意访问终端攻击或是利用服务终端的难度,提升服务终端的安全性能。
Methods, devices, equipment and media for providing application services
【技术实现步骤摘要】
应用服务的提供方法、装置、设备及介质
本专利技术属于计算机领域,尤其涉及一种应用服务的提供方法、装置、设备及介质。
技术介绍
在现有的因特网中,端口扮演着一个十分重要的角色,特别是一些为典型应用分配的知名端口,例如:超文本传输协议(HyperTextTransferProtocol,HTTP)使用的80端口。此外,当服务终端为特定应用提供服务时,服务终端将开放与该应用对应的端口,监听与该应用相关的请求,并提供相应的应用服务。例如:网页服务器将开放80端口,监听HTTP请求并提供HTTP服务。不仅如此,一旦某台服务终端开放某个特定端口,即是将该端口开放给整个因特网的所有访问终端。因此,因特网中的任意访问终端都能将数据包发送至端口开放的服务终端。现有技术的服务访问方案主要存在以下两个方面的问题:(1)恶意访问终端能够通过端口扫描技术确认被扫描端口的开放状态,并找到因特网中的脆弱服务终端,进而非法占用脆弱服务终端的资源,或是将脆弱服务终端作为工具以实施后续的网络攻击。(2)若某个端口开放,所有发往该端口的数据包均将会从网络层转发至运输层乃至应用层,而不论该数据包的来源是否是被信任的访问终端,这使得恶意访问终端更加容易消耗其它服务终端的资源,实现对其它服务终端的攻击。
技术实现思路
本专利技术实施例提供一种应用服务的提供方法、装置、设备及介质,能够解决任意访问终端都能将数据包发送至端口开放的服务终端,导致服务终端受到网络攻击的技术问题。一方面,本专利技术实施例提供一种应用服务的提供方法,包括:接收来自访问终端的应用服务数据包;根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。另一方面,本专利技术实施例提供了一种应用服务的提供装置,包括:数据包接收模块,用于接收来自访问终端的应用服务数据包;终端判断模块,用于根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;第一服务提供模块,用于当所述访问终端是永久信任的终端时,根据所述应用服务数据包为所述访问终端提供对应的服务;服务确定模块,用于当所述访问终端不是永久信任的终端时,根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。再一方面,本专利技术实施例提供了一种提供应用服务的设备,所述设备包括:处理器以及存储有计算机程序指令的存储器;所述处理器执行所述计算机程序指令时实现如上所述的应用服务的提供方法。再一方面,本专利技术实施例提供了一种计算机存储介质,所述计算机存储介质上存储有计算机程序指令,所述计算机程序指令被处理器执行时实现如上所述的应用服务的提供方法。本专利技术实施例的应用服务的提供方法、装置、设备及介质,能够根据访问终端的身份以及自身的资源使用量,确定是否为访问终端提供所需的应用服务。与现有因特网中采用的不区分访问终端身份的端口开放方法相比,本专利技术实施例能够增大恶意访问终端攻击或是利用服务终端的难度,提升服务终端的安全性能。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对本专利技术实施例中所需要使用的附图作简单的介绍,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1示出了本专利技术一个实施例提供的应用服务的提供方法的流程示意图;图2示出了本专利技术一个实施例提供的服务终端处理连接请求数据包的流程示意图;图3示出了本专利技术一个实施例提供的服务终端处理应用服务数据包的流程示意图;图4示出了本专利技术一个实施例提供的应用服务的提供装置的结构示意图;图5示出了本专利技术实施例提供的提供应用服务的设备的硬件结构示意图。具体实施方式下面将详细描述本专利技术的各个方面的特征和示例性实施例,为了使本专利技术的目的、技术方案及优点更加清楚明白,以下结合附图及具体实施例,对本专利技术进行进一步详细描述。应理解,此处所描述的具体实施例仅被配置为解释本专利技术,并不被配置为限定本专利技术。对于本领域技术人员来说,本专利技术可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本专利技术的示例来提供对本专利技术更好的理解。需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。为了解决现有技术问题,本专利技术实施例提供了一种应用服务的提供方法、装置、设备及介质。下面首先对本专利技术实施例所提供的应用服务的提供方法进行介绍。图1示出了本专利技术一个实施例提供的应用服务的提供方法的流程示意图。如图1所示,该方法包括:S101,接收来自访问终端的应用服务数据包。S102,根据访问终端的标识,判断访问终端是否为永久信任的终端。作为一个实施例,访问终端的标识包括:访问终端的互联网协议(InternetProtocol,IP)地址;根据访问终端的IP地址是否在预设的IP地址列表中,判断访问终端是否为永久信任的终端。需要说明的是,预先创建一个IP地址列表中,在该IP地址列表中存储永久信任的终端的IP地址。S103,若访问终端是永久信任的终端,则根据应用服务数据包为访问终端提供对应的服务。S104,若访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为访问终端分配用于访问应用服务的端口,确定是否根据应用服务数据包为访问终端提供服务。作为一个实施例,当前的服务资源使用量包括以下之一或多种的组合:带宽使用量、内存使用量、中央处理器(CentralProcessingUnit,CPU)使用量。需要说明的是,上述应用服务的提供方法的执行主体可以是服务终端。根据本专利技术实施例的应用服务的提供方法,能够根据访问终端的身份以及自身的资源使用量,确定是否为访问终端提供所需的应用服务。与现有因特网中采用的不区分访问终端身份的端口开放方法相比,本专利技术实施例对其永久信任的访问终端无条件地开放端口。如此,非永久信任的访问终端无法通过常规的端口扫描技术确认被扫描端口的真实开放状态,能够增大恶意访问终端攻击或是利用服务终端的难度本文档来自技高网...
【技术保护点】
1.一种应用服务的提供方法,其特征在于,包括:/n接收来自访问终端的应用服务数据包;/n根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;/n若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;/n若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。/n
【技术特征摘要】
1.一种应用服务的提供方法,其特征在于,包括:
接收来自访问终端的应用服务数据包;
根据所述访问终端的标识,判断所述访问终端是否为永久信任的终端;
若所述访问终端是永久信任的终端,则根据所述应用服务数据包为所述访问终端提供对应的服务;
若所述访问终端不是永久信任的终端,则根据当前的服务资源使用量以及是否已为所述访问终端分配用于访问应用服务的端口,确定是否根据所述应用服务数据包为所述访问终端提供服务。
2.根据权利要求1所述的方法,其特征在于,所述访问终端的标识包括:所述访问终端的IP地址;
根据所述访问终端的IP地址是否在预设的IP地址列表中,判断所述访问终端是否为永久信任的终端。
3.根据权利要求2所述的方法,其特征在于,还包括:
采用布隆过滤器BloomFilter存储所述预设的IP地址列表。
4.根据权利要求1所述的方法,其特征在于,
当所述服务资源使用量小于对应的预定阈值,且已为所述访问终端分配用于访问应用服务的端口时,根据所述应用服务数据包为所述访问终端提供对应的服务;
当所述服务资源使用量大于对应的预定阈值,或者,没有为所述访问终端分配用于访问应用服务的端口时,丢弃所述应用服务数据包。
5.根据权利要求1所述的方法,其特征在于,还包括:
接收来自所述访问终端的连接请求数据包;
若所述访问终端是永久信任的终端,则根据所述连接请求数据包,向所述访问终端返回允许连接的数据包;
若所述访问终端不是永久信任的终端,则在当前的服务资源使用量小于对应的预定阈值...
【专利技术属性】
技术研发人员:程应强,
申请(专利权)人:中国移动通信集团安徽有限公司,中国移动通信集团有限公司,
类型:发明
国别省市:安徽;34
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。