一种保障互联网应用安全的方法及装置制造方法及图纸

本发明专利技术实施例提供一种保障互联网应用安全的方法及装置，装置即逻辑防火墙架设于服务端的应用服务器之前，针对每个应用，获取当前实际操作步骤对应的上行数据；识别用户在应用所请求的业务；获取业务流程的按预设顺序组成的各预设操作步骤，根据请求路径、上行参数识别上行数据在业务的流程中对应的预设操作步骤；若在当前实际操作步骤对应的预设操作步骤之前，缺少与预设操作步骤对应的实际操作步骤，和/或，有效实际操作步骤的顺序与业务预设操作步骤的顺序不一致，则停止将当前实际操作步骤对应的上行数据转发给应用服务器；否则将当前实际操作步骤对应的上行数据转发给应用服务器。有效的解决了利用业务流程上的漏洞的攻击行为。攻击行为。攻击行为。

【技术实现步骤摘要】
一种保障互联网应用安全的方法及装置


[0001]本专利技术涉及互联网安全领域，具体涉及一种保障互联网应用安全的方法及装置，这种对互联网应用安全进行保护的装置即逻辑防火墙。

技术介绍

[0002]随着互联网应用的飞速的发展，互联网应用：移动APP，桌面应用，微信小程序，WEB应用等也快速发展；特别是互联网金融交易的应用，涉及到资金融通、支付、投资等各种模式，互联网金融交易有成本低、效率高、覆盖广、发展快等优点,主要由互联网支付、众筹融资、互联网基金销售、互联网保险、互联网信托和互联网消费金融等业务组成,对促进小微企业发展和扩大就业发挥了现有金融机构难以替代的积极作用。
[0003]金融交易的飞快发展也带来了很多金融交易的互联网应用安全的诸多方便的问题，互联网业务，通常由后台服务器端特定的微服务，通过特定业务预设的特定流程，通过流程步骤节点的微服务调用以及前端客户交互操作，来完成特定的业务逻辑。
[0004]攻击者可通过修改前端提交的URI和/或、提交数据绕过访问控制检查；或目录(路径)遍历，目录爬升和回溯进行未授权访问；越权访问(垂直越权、平行越权)敏感资源，冒充用户、管理员或拥有特权的用户，或者创建、访问、更新或删除任何记录。造成应用流程中特定的安全检查步骤被越过，打破预设的业务流程，绕过安全检查点造成预设的逻辑检查失效，从而导致了安全问题。

技术实现思路

[0005]本专利技术实施例提供一种保障互联网应用安全的方法及装置，这种对互联网应用安全进行保护的装置即逻辑防火墙，来解决互联网应用安全问题。
[0006]为达上述目的，一方面，本专利技术实施例提供一种保障互联网应用安全的方法，将逻辑防火墙架设于服务端的应用服务器之前，所述保障互联网应用安全的方法包括：
[0007]针对每个应用，通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的上行数据；
[0008]根据请求应用的上行数据解析出请求路径、上行参数并保存，根据请求路径、上行参数识别用户在应用所请求的业务；
[0009]获取所述业务的流程中按预设顺序组成的各预设操作步骤，根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤；其中，所述业务是由各操作步骤相应的微服务组成；
[0010]获取用户发送的关于所述业务的有效实际操作步骤，获取所述业务按预设顺序组成的预设操作步骤，将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对，验证在当前实际操作步骤对应的预设操作步骤之前，是否缺少与预设操作步骤对应的实际操作步骤，以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致；其中，每个所述实际操作步骤包括用户发送的上
行数据；
[0011]若在当前实际操作步骤对应的预设操作步骤之前，缺少与预设操作步骤对应的实际操作步骤，和/或，该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致，则停止将当前实际操作步骤对应的上行数据转发给应用服务器，并返回错误提示；
[0012]若在当前实际操作步骤对应的预设操作步骤之前，不缺少与预设操作步骤对应的实际操作步骤，且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致，将当前实际操作步骤对应的上行数据转发给应用服务器。
[0013]另一方面，本专利技术实施例提供一种保障互联网应用安全的装置，所述保障互联网应用安全的装置即逻辑防火墙，将所述逻辑防火墙架设于服务端的应用服务器之前，所述逻辑防火墙包括：
[0014]数据获取单元，用于针对每个应用，获取用户请求应用时发送的当前实际操作步骤对应的上行数据；
[0015]数据解析单元，用于根据请求应用的上行数据解析出请求路径、上行参数并保存；
[0016]流程识别单元，用于根据请求路径、上行参数识别用户在应用所请求的业务；获取所述业务流程的按预设顺序组成的各预设操作步骤，根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤；其中，所述业务是由各操作步骤相应的微服务组成；
[0017]流程检查单元，用于获取用户发送的关于所述业务的有效实际操作步骤，获取所述业务按预设顺序组成的预设操作步骤，将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对，验证在当前实际操作步骤对应的预设操作步骤之前，是否缺少与预设操作步骤对应的实际操作步骤，以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致；其中，每个所述实际操作步骤包括用户发送的上行数据；
[0018]若在当前实际操作步骤对应的预设操作步骤之前，缺少与预设操作步骤对应的实际操作步骤，和/或，该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致，则停止将当前实际操作步骤对应的上行数据转发给应用服务器，并返回错误提示；
[0019]若在当前实际操作步骤对应的预设操作步骤之前，不缺少与预设操作步骤对应的实际操作步骤，且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致，将当前实际操作步骤对应的上行数据转发给应用服务器。
[0020]上述技术方案具有如下有益效果：通过对用户发送的实际操作步骤对应的上行数据进行解析，得到求应用的上行数据解析出请求路径、上行参数；根据请求路径、上行参数识别用户在应用所请求的业务、以及所述上行数据在所述业务的流程中对应的预设操作步骤；逻辑防火墙通过对业务流程的操作步骤进行检查验证，有效的解决了利用业务流程上的漏洞的攻击行为。
附图说明
[0021]为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0022]图1是本专利技术实施例的保障互联网应用安全的方法的流程示意图；
[0023]图2是本专利技术实施例的逻辑防火墙的结构示意图；
[0024]图3是传统防火墙的网络结构示意图；
[0025]图4是本专利技术实施例的逻辑防火墙的网络结构示意图；
[0026]图5是本专利技术实施例的逻辑防火墙的另一结构示意图；
[0027]图6是本专利技术实施例的逻辑防火墙的防护流程。
具体实施方式
[0028]下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。
[0029]如图1所示，结合本专利技术的实施例，提供一种保障互联网应用安全的方法，将逻辑防火墙架设于服务端的应用服务器之前，逻辑防火墙实施使用和传统防火墙类似，对原有应本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种保障互联网应用安全的方法，其特征在于，将逻辑防火墙架设于服务端的应用服务器之前，所述保障互联网应用安全的方法包括：针对每个应用，通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的上行数据；根据请求应用的上行数据解析出请求路径、上行参数并保存，根据请求路径、上行参数识别用户在应用所请求的业务；获取所述业务的流程中按预设顺序组成的各预设操作步骤，根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤；其中，所述业务是由各操作步骤相应的微服务组成；获取用户发送的关于所述业务的有效实际操作步骤，获取所述业务按预设顺序组成的预设操作步骤，将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行数据进行比对，验证在当前实际操作步骤对应的预设操作步骤之前，是否缺少与预设操作步骤对应的实际操作步骤，以及验证该用户请求所述业务的有效的实际操作步骤的顺序是否与所述预设操作步骤的顺序一致；其中，每个所述实际操作步骤包括用户发送的上行数据；若在当前实际操作步骤对应的预设操作步骤之前，缺少与预设操作步骤对应的实际操作步骤，和/或，该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序不一致，则停止将当前实际操作步骤对应的上行数据转发给应用服务器，并返回错误提示；若在当前实际操作步骤对应的预设操作步骤之前，不缺少与预设操作步骤对应的实际操作步骤，且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致，将当前实际操作步骤对应的上行数据转发给应用服务器。2.根据权利要求1所述的保障互联网应用安全的方法，其特征在于，在所述若在当前实际操作步骤对应的预设操作步骤之前，不缺少与预设操作步骤对应的实际操作步骤，且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后，还包括：针对用户发送的关于所述业务的当前实际操作步骤的上行数据，确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证，当确定设置对当前实际操作步骤的上行数据的特定字段进行验证时，则根据预设的验证方式对当前实际操作步骤的上行数据进行验证；所述对特定字段的验证包括验证字段类型、字段范围、字段的数据格式、字段是否缺失，且字段类型包括脱敏字段；其中，所述针对用户发送的关于所述业务的当前实际操作步骤的上行数据，确定在验证属性内是否设置对当前实际操作步骤的上行数据的特定字段进行验证，具体包括：采用当前实际操作步骤之前实际操作步骤的上行数据和/或、下行数据，与当前实际操作步骤的上行数据和/或、下行数据之间的所定义的逻辑来验证当前实际操作步骤的上行数据；在当前实际操作步骤对应的上行数据通过验证后，将当前实际操作步骤对应的上行数据转发给应用服务器；否则，停止将当前实际操作步骤对应的上行数据转发给应用服务器。3.根据权利要求1所述的保障互联网应用安全的方法，其特征在于，根据用户请求应用发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识，以及获取应用服务器根
据所述上行数据返回的下行数据，对所述下行数据进行解析确定用户唯一标识；将包含所述用户唯一标识相同的上行数据、下行数据认定为同一用户的上行数据、下行数据；其中，每个所述实际操作步骤还包括根据所述上行数据返回给用户的下行数据；将用户所述业务的上行数据、下行数据解析后按照各自生成时间的顺序保存，设置该用户关于该请求所述业务的上行数据、下行数据的生命周期；所述保障互联网应用安全的方法，还包括：在当前实际操作步骤对应的上行数据通过验证后，将应用服务器根据所述上行数据返回的下行数据进行返回。4.根据权利要求3所述的保障互联网应用安全的方法，其特征在于，在所述根据请求路径、上行参数识别所述上行数据在所述业务的流程中对应的预设操作步骤之后，还包括：若所述上行数据在所述业务的流程中对应的预设操作步骤为非防护流程中的步骤，则将当前实际操作步骤对应的上行数据转发给应用服务器；若所述上行数据在所述业务的流程中对应的预设操作步骤为是所述业务的开始步骤，则清理所述用户关于所述业务在最近第一预设时间内保存的上行数据、下行数据，并自所述开始步骤重新开始保存实际操作步骤对应的上行数据、下行数据；判断当前实际操作步骤是否在流程过期时间内是否完成，若当前实际操作步骤在流程过期时间内未完成，则清除所述用户关于所述业务的所有上行数据、下行数据，重新开始保存所述业务的上行数据、下行数据。5.根据权利要求1所述的保障互联网应用安全的方法，其特征在于，在所述将逻辑防火墙架设于服务端的应用服务器之前的同时，还包括：通过所述应用具有的程序接口API说明书和/或、应用操作手册，确定所述业务的流程的按预设顺序组成的各预设操作步骤；或通过查看所述业务的操作日志，根据所述业务的操作日志中的业务的流程中的步骤顺序及步骤请求的上行数据、下行数据、上行数据内的上行参数以及请求的逻辑顺序，确定所述业务的流程中的按预设顺序组成的各预设操作步骤。6.一种保障互联网应用安全的装置，其特征在于，所述保障互联网应用安全的装置包括逻辑防火墙，将所述逻辑防火墙架设于服务端的应用服务器之前，所述逻辑防火墙包括：数据获取单元，用于针对每个应用，获取用户请求应用时发送的当前实际操作步骤对应的上行数据；数据解析单元，用于根据请...

【专利技术属性】
技术研发人员：申志强，田玉兵，
申请(专利权)人：北京易诚互动网络技术股份有限公司，
类型：发明
国别省市：