專利名稱:安全驗證的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)安全的解決方案����,特別地,本發(fā)明涉及在網(wǎng)絡(luò)應(yīng)用中對用戶的輸 入進行安全驗證的方法和裝置�。
背景技術(shù):
現(xiàn)今,網(wǎng)絡(luò)應(yīng)用(Web application)中存在的安全漏洞的數(shù)目正在快速增加�。網(wǎng) 絡(luò)應(yīng)用可能遭受的攻擊類型包括跨站腳本(XSQ攻擊、SQL注入式攻擊���、LDAP注入式攻擊����、 命令接入式攻擊�����、PHP注入式攻擊等等�。統(tǒng)計數(shù)據(jù)表明,有75 %的攻擊是針對應(yīng)用層的�����,而 90 %的站點對于網(wǎng)絡(luò)應(yīng)用攻擊是脆弱的�����。在Web應(yīng)用安全的常規(guī)解決方案中,一方面����,在客戶端側(cè)使用Web應(yīng)用查看工具檢 查代碼;另一方面���,在Web應(yīng)用服務(wù)器側(cè)使用Web應(yīng)用防火墻來過濾并且阻止惡意輸入�。由 于惡意用戶有可能繞過客戶端側(cè)的Web應(yīng)用查看工具直接向Web應(yīng)用服務(wù)器注入惡意代碼 或者腳本����,因此在Web應(yīng)用服務(wù)器側(cè)進一步對用戶的輸入進行驗證是非常必要的。Web應(yīng)用防火墻是一種Web應(yīng)用服務(wù)器側(cè)的透明的保護裝置��,其被配置為至少具 有以下功能性用于基于預先定義的安全規(guī)則驗證用戶的輸入�;對于違反安全規(guī)則的用戶 輸入采取適當安全保護動作�����。當檢測到違反預定義的安全規(guī)則的用戶輸入時����,諸如Web應(yīng) 用防火墻的保護裝置會根據(jù)預先設(shè)定的規(guī)則采取對應(yīng)的行動�,例如�����,阻止IP�、拒絕請求、生 成日志��,或者重新寫入有效負載等�。通過對在線Web應(yīng)用的觀察,可以發(fā)現(xiàn)在服務(wù)器側(cè)由保護裝置檢測到的違反安全 規(guī)則的情況可以歸因為以下兩種情況1.無辜用戶誤輸入某些違反安全規(guī)則的值��;2.惡意用戶通過使用某些工具繞過客戶端側(cè)的用戶輸入驗證機制向Web應(yīng)用服 務(wù)器注入惡意輸入值以進行攻擊���。然而現(xiàn)有的對用戶輸入的驗證方案并不能有效的識別無辜用戶和惡意用戶����。保護 裝置難以有針對性的采取適當?shù)陌踩Wo動作�����。例如�,如果對輸入錯誤的無辜用戶執(zhí)行阻 止其IP或者拒絕請求等動作,則會嚴重影響用戶對于該Web應(yīng)用的使用體驗�����;如果無論惡 意用戶還是無辜用戶造成違規(guī)時都拒絕請求并以用戶友好的方式提供安全提示,或者重寫 用戶的請求(Rewrite Request)進而提交給服務(wù)器端應(yīng)用���,則會增大安全驗證系統(tǒng)的性能 的消耗���。因此,需要提供一種網(wǎng)絡(luò)應(yīng)用的安全驗證方案能夠有效識別無辜用戶和惡意用 戶��。
發(fā)明內(nèi)容
為了克服現(xiàn)有技術(shù)中的缺陷��,本發(fā)明提出一種用于在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進 行安全驗證的方法���。該方法包括向部署在客戶端的預驗證組件提供服務(wù)器側(cè)保護裝置的 安全規(guī)則的安全規(guī)則子集�����,以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗證���;基于該保護裝置的安全規(guī)則�����,對用戶的輸入進行驗證;響應(yīng) 于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件�,將該用戶確 定為第一類用戶;以及響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到 該預驗證組件���,將該用戶確定為第二類用戶���。本發(fā)明還提出一種用于在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進行安全驗證的裝置。該裝置 包括用于向部署在客戶端的預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子 集��、以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全 驗證的裝置�;用于基于該保護裝置的安全規(guī)則、對用戶的輸入進行驗證的裝置���;用于響應(yīng) 于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件����、將該用戶確 定為第一類用戶的裝置��;以及用于響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則 已被提供到該預驗證組件��、將該用戶確定為第二類用戶的裝置����。本發(fā)明還涉及包括該在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進行安全驗證的裝置的安全驗 證系統(tǒng)�。根據(jù)本發(fā)明的技術(shù)方案�,能夠有效地區(qū)分“第二類用戶”和“第一類用戶”?�?梢葬?對第二類用戶和第一類用戶配置不同的應(yīng)對方案�,由此提高驗證過程的針對性。根據(jù)本發(fā) 明的一個實施例���,既能夠盡量保證“第一類用戶����,�����,對Web應(yīng)用的使用體驗�����,又可以最大限度 地避免無謂的系統(tǒng)性能消耗�。此外,根據(jù)本發(fā)明的技術(shù)方案還有利于減輕服務(wù)器側(cè)保護裝 置的工作負荷��,從而提高整個安全驗證系統(tǒng)的性能���。
通過以下結(jié)合附圖的說明�����,并且隨著對本發(fā)明的更全面了解���,本發(fā)明的其他目的 和效果將變得更加清楚和易于理解,其中圖1示意性示出根據(jù)本發(fā)明一個實施方式能夠?qū)崿F(xiàn)其中的系統(tǒng)結(jié)構(gòu)��;圖2示出了根據(jù)本發(fā)明一個實施方式的對用戶的輸入進行安全驗證的方法流程 圖�����;圖3示出了根據(jù)本發(fā)明一個實施方式的服務(wù)器側(cè)保護裝置和客戶端側(cè)預驗證組 件的工作流程圖���;圖4示意性示出根據(jù)本發(fā)明一個實施方式的安全驗證系統(tǒng)的模塊間交互圖�����。在所有的上述附圖中�,相同的標號表示具有相同��、相似或相應(yīng)的特征或功能。
具體實施例方式圖1示意性示出根據(jù)本發(fā)明一個實施方式能夠?qū)崿F(xiàn)其中的系統(tǒng)結(jié)構(gòu)����。其中標號11 表示客戶端側(cè)的客戶端瀏覽器,用于向Web應(yīng)用服務(wù)器發(fā)送用戶的HTTP請求并且接收相應(yīng) 的響應(yīng)�;標號12表示網(wǎng)絡(luò),經(jīng)由該網(wǎng)絡(luò)Web應(yīng)用服務(wù)器能夠響應(yīng)用戶通過客戶端瀏覽器經(jīng) 由該網(wǎng)絡(luò)發(fā)送的請求�����;標號10表示W(wǎng)eb應(yīng)用服務(wù)器側(cè)的保護裝置�,用于在服務(wù)器側(cè)驗證用 戶請求中的輸入值,為Web應(yīng)用服務(wù)器提供安全保護�����;標號13表示W(wǎng)eb應(yīng)用服務(wù)器��。如圖1所示�����,用戶通過位于客戶端側(cè)的客戶端瀏覽器11經(jīng)由網(wǎng)絡(luò)12向Web應(yīng)用服 務(wù)器13發(fā)送帶有輸入值的請求�。需要對用戶輸入值進行驗證,以便確保Web應(yīng)用的安全���。 通常的用戶在使用Web應(yīng)用時不會在客戶端側(cè)鍵入邏輯代碼(例如�����,JavaScript邏輯)等惡意值�,然而潛在的惡意用戶為了實現(xiàn)其攻擊服務(wù)器或者竊取其它用戶私人信息等的目的 會向Web應(yīng)用服務(wù)器13注入惡意邏輯代碼�����,該惡意代碼如JavMcript被服務(wù)器發(fā)送到其 他客戶端瀏覽器時���,會竊取客戶端的敏感信息�����。雖然客戶端側(cè)可以配置有Web應(yīng)用查看工 具(未示出)來對用戶輸入值進行檢測�,但是惡意用戶可以使用某些工具繞過Web應(yīng)用查 看工具���,例如以攻擊腳本�����,注入工具如WebScrab的方式直接向Web應(yīng)用服務(wù)器13注入惡意 值�����。因此��,服務(wù)器側(cè)的諸如應(yīng)用防火墻的保護裝置10需要配置有預先定義的安全規(guī)則�����,并 基于該預先定義的安全規(guī)則驗證用戶的輸入值���。當保護裝置10檢測到違反安全規(guī)則的用 戶輸入值時����,則需要對該用戶采取適當安全保護措施�����,以消除潛在的安全隱患���。表1示出了 保護裝置10可能采用的示例性的安全規(guī)則�����。表 權(quán)利要求
1. 一種用于在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進行安全驗證的方法�����,包括向部署在客戶端的預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集�����, 以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗 證��;基于該保護裝置的安全規(guī)則����,對用戶的輸入進行驗證�;響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件,將 該用戶確定為第一類用戶�����;以及響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到該預驗證組件����,將 該用戶確定為第二類用戶。
2.根據(jù)權(quán)利要求1所述的方法�,還包括異步地對提供給該預驗證組件的安全規(guī)則子集進行動態(tài)更新, 其中在向該預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集的步驟中 和異步地對提供給該預驗證組件的安全規(guī)則子集進行動態(tài)更新的步驟中以一定策略從該 保護裝置的安全規(guī)則集合中篩選出所述安全規(guī)則子集����。
3.根據(jù)權(quán)利要求1所述的方法��,其中該預驗證組件是能夠在客戶端瀏覽器中運行的獨 AL Javascript ^ 牛���。
4.根據(jù)權(quán)利要求1所述的方法,還包括針對確定的第一類用戶和第二類用戶執(zhí)行不同的安全保護動作�。
5.根據(jù)權(quán)利要求4所述的方法,其中針對確定的第一類用戶和第二類用戶執(zhí)行不同的 安全保護動作的步驟包括針對第二類用戶執(zhí)行強制阻止其一切后續(xù)請求的安全保護動作�����;以及 針對第一類用戶執(zhí)行有利于保持其良好體驗的安全保護動作����。
6.根據(jù)權(quán)利要求2所述的方法,其中所述策略包括從以下組中選擇的一項或多項 選擇違規(guī)率高的安全規(guī)則���;未包括該安全規(guī)則集合中所有否定規(guī)則�����; 不包括該安全規(guī)則集合中高風險的安全規(guī)則�����。
7.根據(jù)權(quán)利要求3所述的方法����,其中該預驗證組件響應(yīng)于輸入域?qū)傩愿淖兪录谒峁┑脑摪踩?guī)則子集在客戶端側(cè) 執(zhí)行對用戶輸入的安全驗證�。
8.一種用于在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進行安全驗證的裝置,包括用于向部署在客戶端的預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子 集��、以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全 驗證的裝置����;用于基于該保護裝置的安全規(guī)則、對用戶的輸入進行驗證的裝置����; 用于響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組 件�、將該用戶確定為第一類用戶的裝置;以及用于響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到該預驗證組 件�����、將該用戶確定為第二類用戶的裝置�。
9.根據(jù)權(quán)利要求8所述的裝置,還包括用于異步地對提供給該預驗證組件的安全規(guī)則子集進行動態(tài)更新的裝置�����,其中用于向該預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集、以便由 該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗證的裝 置和用于異步地對提供給該預驗證組件的安全規(guī)則子集進行動態(tài)更新的裝置以一定策略 從該保護裝置的安全規(guī)則集合中篩選出所述安全規(guī)則子集����。
10.根據(jù)權(quán)利要求8所述的裝置,其中該預驗證組件是能夠在客戶端瀏覽器中運行的 Ι Javascript Μ ψο
11.根據(jù)權(quán)利要求8所述的裝置��,還包括用于針對確定的第一類用戶和第二類用戶執(zhí)行不同的安全保護動作的裝置����。
12.根據(jù)權(quán)利要求11所述的裝置,其中用于針對確定的第一類用戶和第二類用戶執(zhí)行 不同的安全保護動作的裝置包括用于針對第二類用戶執(zhí)行強制阻止其一切后續(xù)請求的安全保護動作的裝置���;以及用于針對第一類用戶執(zhí)行有利于保持其良好體驗的安全保護動作的裝置���。
13.根據(jù)權(quán)利要求9所述的裝置,其中所述策略包括從以下組中選擇的一項或多項選擇違規(guī)率高的安全規(guī)則�����;未包括該安全規(guī)則集合中所有否定規(guī)則����;不包括該安全規(guī)則集合中高風險的安全規(guī)則���。
14.根據(jù)權(quán)利要求10所述的裝置,其中該預驗證組件響應(yīng)于輸入域?qū)傩愿淖兪录?���,基于所提供的該安全?guī)則子集在客戶端側(cè) 執(zhí)行對用戶輸入的安全驗證。
全文摘要
本發(fā)明提供一種用于在網(wǎng)絡(luò)應(yīng)用中對用戶的輸入進行安全驗證的方法�����,包括向部署在客戶端的預驗證組件提供服務(wù)器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集��,以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗證���;基于該保護裝置的安全規(guī)則����,對用戶的輸入進行驗證�����;響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件��,將該用戶確定為第一類用戶�����;以及響應(yīng)于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到該預驗證組件��,將該用戶確定為第二類用戶��。
文檔編號H04L29/06GK102082780SQ20091024713
公開日2011年6月1日 申請日期2009年11月30日 優(yōu)先權(quán)日2009年11月30日
發(fā)明者孟繁晶, 張煜, 楊順祥, 羅琳 申請人:國際商業(yè)機器公司