logo好方法网

不同级别安全网络的Restful信息交换系统及方法

发布时间:2020-09-25 发布人:admin 分类:专利技术 资料大小:1.04M 资料格式:pdf 举报 版权申诉

技术摘要:
本发明公开了一种不同级别安全网络的Restful信息交换系统及方法,能够实现不同级别安全网络的数据交换,且能够对高级别安全网络进行保护。本发明提出安全的数据交换方法,实现了不同安全需求的安全域之间进行数据交换,有广阔的应用前景。本发明的组合安全检测方法可以  全部
背景技术:
Restful架构是一种网络应用程序的设计风格和开发方式,基于HTTP,可以使用 XML格式定义或JSON格式定义,Restful信息满足Restful架构约束。对于不同安全域,一般 低级别安全域(比如互联网区域)需要访问高安全域(比如生产系统),借助于网闸可以实现 这个问题,但是存在极大的安全问题,高安全域网络很容易受到攻击,我们需要一个安全的 通信方法来保证高级安全域的安全。不同安全级别网络之间的信息交换广泛存在,比如电 力的信息网和生产网、银行办公系统和业务系统、公安内部网络和万维网,这些网络之间经 常需要进行信息交换,但是因为有各种网络病毒和黑客的存在,这些网络之间经常是物理 隔离的,这给信息交换造成了很大麻烦。网闸从一定程度上解决了通信问题,但是却没有解 决安全问题。
技术实现要素:
针对现有技术中的上述不足,本发明提供的不同级别安全网络的Restful信息交 换系统及方法解决了不同安全级别的网络系统信息交换存在不安全的问题。 为了达到上述发明目的,本发明采用的技术方案为:一种不同级别安全网络的 Restful信息交换系统,包括网闸,所述网闸的前端连接至Web安全过滤模块,所述Web安全 过滤模块分别与应用模块和第一数据库连接,所述第一数据库与管理中心连接,所述网闸 的后端通过网闸后端模块与第二数据库连接; 所述网闸用于将内网和外网进行逻辑隔绝,并对Restful架构的URL进行转发;所 述应用模块用于向内网发出URL请求;所述Web安全过滤模块用于对URL请求进行Restful参 数检查、Token检查、资源白名单检查、Web攻击检查和响应转发;所述管理中心分别用于资 源白名单、规则表、审计表的输入、输出和展示;所述第一数据库用于对Web安全过滤模块提 供数据支持和存储管理中心输入的数据;所述网闸后端模块用于URL请求身份验证和对第 二数据库进行数据交换,所述第二数据库用于存储内网数据。 进一步地,所述网闸后端模块包括身份认证单元和数据CRUD单元,所述网闸的后 端分别与身份认证单元和数据CRUD单元连接,所述数据CRUD单元与第二数据库连接; 所述身份认证单元用于对URL请求的身份认证,并生成Token供Web安全过滤模块 进行Token检查;所述数据CRUD单元用于执行URL请求,以及对第二数据库进行增加、读取、 修改和删除操作。 本发明的有益效果为:能够实现不同级别安全网络的数据交换,且能够对高级别 安全网络进行保护。 一种基于不同级别安全网络的Restful信息交换系统的Restful信息交换方法,包 4 CN 111585982 A 说 明 书 2/5 页 括以下步骤: S1、通过应用模块发出URL请求,并通过Web安全过滤模块对URL请求包进行安全过 滤,得到安全的URL请求者; S2、通过网闸将URL请求摆渡至内网,通过内网的身份认证单元对安全的URL请求 者进行设备身份验证,并判断被验证设备是否为授权的URL请求者,若是,则进入步骤S3,否 则终止URL请求,并结束; S3、通过身份认证单元为URL请求者生成Token,并通过网闸传输至Web安全过滤模 块; S4、通过Web安全过滤模块将Token加入Token列表,生成响应,并通过数据CRUD单 元对第二数据库进行数据操作,开始URL业务。 进一步地,所述步骤S1中通过Web安全过滤模块对URL请求包进行安全过滤的方法 具体为:对URL请求包分别进行Restful参数检查、资源白名单检查和Web攻击检查。 进一步地,所述Restful参数检查的具体方法为: A1、检测URL请求包是否满足Restful规范,若是,则进入步骤A2,否则Restful参数 检查不通过,拒绝URL请求; A2、检测URL请求包的Restful参数是否满足安全要求,若是,则Restful参数检查 通过,否则Restful参数检查不通过,拒绝URL请求。 进一步地,所述步骤A2中检测URL请求包的Restful参数是否满足安全要求的具体 方法为: A2.1、检测URL请求包的请求资源ID是否含有空格,若是,则判定为SQL注入攻击, 不满足安全要求,否则进入步骤A2.2; A2.2、通过Web安全过滤模块检测URL请求包是否包含SQL注入攻击,若是,则不满 足安全要求,否则满足安全要求。 进一步地,所述步骤A2.2中检测SQL注入攻击的具体方法为:通过管理中心构建正 则表达式,将正则表达式存储于第一数据库,通过Web安全过滤模块读取第一数据库中的正 则表达式,并根据正则表达式判断URL请求包中是否SQL注入攻击,若是,则存在SQL注入攻 击,否则不存在SQL注入攻击。 进一步地,所述资源白名单检查的具体方法为: B1、通过内网管理人员获取资源白名单,并将资源白名单通过管理中心加入第一 数据库; B2、通过Web安全过滤模块读取第一数据库中的资源白名单,并判断URL请求的资 源是否在资源白名单中,若是,则资源白名单检查通过,否则资源白名单检查不通过,拒绝 URL请求。 进一步地,所述Web攻击检查的具体方法为:对URL的GET和POST参数进行检测,判 断是否存在SSRF、远程代码执行和文件上传攻击行为,若是,则拒绝URL请求,并报审,否则 Web攻击检查通过。 本发明的有益效果为: (1)本发明提出安全的数据交换方法,实现了不同安全需求的安全域之间进行数 据交换,有广阔的应用前景。 5 CN 111585982 A 说 明 书 3/5 页 (2)本发明的组合安全检测方法可以最大化的保护高级安全域,使企业实体在进 行必要的信息交换同时保证网络安全。 (3)本发明的基于Restful架构的资源白名单和Token检查不仅减少了网络攻击, 还可以最大限度的减轻高级安全域服务器的压力。 (4)本发明提出的web攻击检测放到前端最大限度的减轻了高级安全域服务器安 全压力。 附图说明 图1为本发明提出的一种不同级别安全网络的Restful信息交换系统示意图; 图2为本发明提出的不同级别安全网络的Restful信息交换方法流程图。
    分享到:
    收藏

    相关推荐