Web服務(wù)安全訪問(wèn)方法���、系統(tǒng)及相應(yīng)的服務(wù)器的制造方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及Web服務(wù)技術(shù)�����,具體涉及Web服務(wù)安全訪問(wèn)方法�、系統(tǒng)及相應(yīng)的服務(wù)器���。
【背景技術(shù)】
[0002]隨著計(jì)算機(jī)和通信技術(shù)的發(fā)展�����,Internet應(yīng)用不再僅局限于PC�,嵌入式設(shè)備網(wǎng)絡(luò)化也成為信息技術(shù)發(fā)展的產(chǎn)物�����。嵌入式設(shè)備接入Internet以后�����,可方便地將信息共享到網(wǎng)絡(luò)中�����,還可實(shí)現(xiàn)設(shè)備的遠(yuǎn)程控制����、升級(jí)和維護(hù)����。用戶只需要有一個(gè)網(wǎng)頁(yè)瀏覽器即可形象的了解到設(shè)備信息和運(yùn)行狀態(tài)����,并可以通過(guò)改變頁(yè)面上的元素來(lái)簡(jiǎn)單方便的配置設(shè)備,而不需要對(duì)設(shè)備內(nèi)部有太多了解�。
[0003]設(shè)備接入Internet,就將信息共享到了網(wǎng)絡(luò)中�,也可接受遠(yuǎn)程配置。這既為設(shè)備的使用提供了方便����,同時(shí)卻也為設(shè)備的安全帶來(lái)了隱患。網(wǎng)絡(luò)中的其它用戶可通過(guò)抓取已與服務(wù)器之間建立合法連接的客戶端與服務(wù)器之間通信的請(qǐng)求報(bào)文��,進(jìn)而獲取到設(shè)備的運(yùn)行狀態(tài)和配置信息��,以及配置方法���。當(dāng)非法用戶用獲取到的配置方法��,通過(guò)某些軟件構(gòu)造報(bào)文發(fā)送到服務(wù)器上���,若服務(wù)器不能正確識(shí)別報(bào)文的合法性就執(zhí)行配置��,則會(huì)被非法用戶更改設(shè)備的配置���。
[0004]雖然采用加密算法對(duì)報(bào)文中用戶名和密碼進(jìn)行加密給非法用戶通過(guò)報(bào)文獲取設(shè)備配置所需要的用戶名和密碼帶來(lái)了一定的困難����,但并不能保證百分之百的安全。網(wǎng)絡(luò)中的非法用戶只需要構(gòu)造一個(gè)新的請(qǐng)求報(bào)文�,源IP、用戶名和密碼等信息同抓取到報(bào)文中的內(nèi)容一致�����,服務(wù)器就無(wú)法識(shí)別出哪個(gè)請(qǐng)求是有效的����,哪個(gè)請(qǐng)求是無(wú)效的,因?yàn)閷?duì)服務(wù)器而言���,請(qǐng)求報(bào)文要驗(yàn)證的信息是一樣的���,處理過(guò)程自然也是一樣的,所以會(huì)作出相同的響應(yīng)。
[0005]現(xiàn)有支持web服務(wù)的嵌入式設(shè)備��,對(duì)不同客戶端發(fā)送過(guò)來(lái)的驗(yàn)證信息相同的請(qǐng)求報(bào)文并不能作出有效的區(qū)分����,都會(huì)做出同樣的處理,這就為設(shè)備的安全性帶來(lái)了隱患���。對(duì)網(wǎng)絡(luò)設(shè)備而言���,當(dāng)非法用戶接入網(wǎng)絡(luò)中時(shí),就有可能獲取到整個(gè)網(wǎng)絡(luò)的配置信息��,進(jìn)而更改整個(gè)網(wǎng)絡(luò)的配置�。在一些對(duì)網(wǎng)絡(luò)安全性要求比較高的環(huán)境中,這將會(huì)帶來(lái)嚴(yán)重的后果��。
[0006]現(xiàn)在客戶端有些網(wǎng)頁(yè)瀏覽器可在關(guān)閉前����,通知服務(wù)器斷開(kāi)連接并刪除連接標(biāo)識(shí)。服務(wù)器在收到該客戶端登錄請(qǐng)求并讓請(qǐng)求獲得通過(guò)前��,就不會(huì)有對(duì)應(yīng)該源IP地址���、用戶名和密碼的連接標(biāo)識(shí)���。這樣一來(lái)�����,即使其它非法用戶抓取并構(gòu)造與該客戶端一模一樣的請(qǐng)求報(bào)文也不能獲得任何響應(yīng)����。但這要求瀏覽器可以在關(guān)閉前可通知服務(wù)器�����,而某些瀏覽器是不支持的����,尤其是瀏覽器遇到意外非正常關(guān)閉��,更不可能通知到服務(wù)器�����。顯然�����,此方法受瀏覽器限制并不能保證完全安全。
【發(fā)明內(nèi)容】
[0007]本發(fā)明的目的在于提供一種Web服務(wù)安全訪問(wèn)方法��、系統(tǒng)及相應(yīng)的服務(wù)器�,可有效提高設(shè)備Web安全性,防止設(shè)備信息泄露��,避免設(shè)備受惡意攻擊更改配置��。
[0008]為了達(dá)到上述目的��,本發(fā)明通過(guò)以下技術(shù)方案實(shí)現(xiàn):一種Web服務(wù)安全訪問(wèn)方法���,其特點(diǎn)是��,所述方法應(yīng)用于Web服務(wù)安全訪問(wèn)系統(tǒng)��,所述Web服務(wù)安全訪問(wèn)系統(tǒng)包含客戶端及服務(wù)器包含以下步驟:
51���、服務(wù)器記錄接收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn);
52���、服務(wù)器判斷相鄰兩次訪問(wèn)請(qǐng)求時(shí)間間隔是否大于預(yù)設(shè)時(shí)間間隔�����;
S2.1��、若是�,則服務(wù)器不對(duì)客戶端的請(qǐng)求作出響應(yīng);
S2.2����、若否,則服務(wù)器響應(yīng)客戶端的請(qǐng)求��,并保存接收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)�����。
[0009]所述Web服務(wù)安全訪問(wèn)方法還包含客戶端首次連接服務(wù)器的認(rèn)證步驟���;
該認(rèn)證步驟具體包含:
Al、服務(wù)器接收到客戶端發(fā)送的訪問(wèn)請(qǐng)求時(shí)�����,認(rèn)證所述客戶端的身份��;
A2、當(dāng)客戶端認(rèn)證通過(guò)時(shí)�����,服務(wù)器保存客戶端的連接標(biāo)識(shí)及收到該請(qǐng)求的時(shí)間����。
[0010]所述的步驟SI之前還包含步驟S0,所述步驟SO包含:
501�、客戶端向服務(wù)器發(fā)送連接請(qǐng)求;
502��、服務(wù)器驗(yàn)證客戶端發(fā)送的客戶端連接標(biāo)識(shí)����;
若通過(guò)驗(yàn)證則執(zhí)行步驟SI ;
若未通過(guò)則客戶端與服務(wù)器連接不成功。
[0011]所述的步驟S2.2之后還包含步驟S2.2.1 �;
所述步驟S2.2.1為客戶端每一預(yù)設(shè)時(shí)間間隔內(nèi)向服務(wù)器發(fā)送一次連接請(qǐng)求,并更新服務(wù)器中保存的收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)���。
[0012]所述的客戶端連接標(biāo)識(shí)包含用戶名��、密碼及源IP地址��。
[0013]所述的客戶端為嵌入式設(shè)備����。
[0014]一種用于客戶端所訪問(wèn)的基于Web的服務(wù)器,其特點(diǎn)是���,服務(wù)器包含:
請(qǐng)求接收單元�����,用于接收客戶端發(fā)送的連接標(biāo)識(shí)�,并記錄收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)���;
存儲(chǔ)單元�����,與所述請(qǐng)求接收單元連接��,用于保存已認(rèn)證客戶端的連接標(biāo)識(shí)、收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)及預(yù)設(shè)時(shí)間間隔���;
驗(yàn)證單元���,分別與所述請(qǐng)求接收單元及存儲(chǔ)單元連接�,用于匹配請(qǐng)求接收單元收到的客戶端連接標(biāo)識(shí)與存儲(chǔ)單元已存儲(chǔ)的客戶端的連接標(biāo)識(shí)�;
判斷模塊,分別與所述請(qǐng)求接收單元及存儲(chǔ)單元連接���,用于計(jì)算請(qǐng)求接收單元收到的客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)與存儲(chǔ)單元已存儲(chǔ)的客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)之間的時(shí)間間隔���,并將該時(shí)間間隔與預(yù)設(shè)時(shí)間間隔作對(duì)比。
[0015]服務(wù)器進(jìn)一步包含執(zhí)行單元��,所述執(zhí)行單元分別連接驗(yàn)證單元與判斷模塊�����,用于根據(jù)驗(yàn)證單元的匹配結(jié)果發(fā)送連接成功或連接失敗至客戶端�,還根據(jù)判斷模塊的對(duì)比結(jié)果發(fā)送請(qǐng)求響應(yīng)或不響應(yīng)至客戶端。
[0016]一種Web服務(wù)安全訪問(wèn)系統(tǒng)�,其特點(diǎn)是,包含客戶端及服務(wù)器��;
所述的服務(wù)器包含:請(qǐng)求接收單元��,用于接收客戶端發(fā)送的連接標(biāo)識(shí)����,并記錄收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)�����;
存儲(chǔ)單元�����,與所述請(qǐng)求接收單元連接���,用于保存已認(rèn)證客戶端的連接標(biāo)識(shí)、收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)及預(yù)設(shè)時(shí)間間隔�����;
驗(yàn)證單元����,分別與所述請(qǐng)求接收單元及存儲(chǔ)單元連接,用于匹配請(qǐng)求接收單元收到的客戶端連接標(biāo)識(shí)與存儲(chǔ)單元已存儲(chǔ)的客戶端的連接標(biāo)識(shí)�;
判斷模塊,分別與所述請(qǐng)求接收單元及存儲(chǔ)單元連接���,用于計(jì)算請(qǐng)求接收單元收到的客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)與存儲(chǔ)單元已存儲(chǔ)的客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)之間的時(shí)間間隔,并將該時(shí)間間隔與預(yù)設(shè)時(shí)間間隔作對(duì)比��;
執(zhí)行單元,分別連接驗(yàn)證單元與判斷模塊�,用于根據(jù)驗(yàn)證單元的匹配結(jié)果發(fā)送連接成功或連接失敗至客戶端,還根據(jù)判斷模塊的對(duì)比結(jié)果發(fā)送請(qǐng)求響應(yīng)或不響應(yīng)至客戶端���。
[0017]所述的客戶端包含:
請(qǐng)求發(fā)送單元��,用于向服務(wù)器的請(qǐng)求接收單元發(fā)送客戶端連接標(biāo)識(shí)�����;
接收結(jié)果單元�,用于接收服務(wù)器的執(zhí)行單元發(fā)送的連接成功或連接失敗結(jié)果��,還用于接收請(qǐng)求響應(yīng)或不響應(yīng)結(jié)果��。
[0018]本發(fā)明一種Web服務(wù)安全訪問(wèn)方法�、系統(tǒng)及相應(yīng)的服務(wù)器與現(xiàn)有技術(shù)相比具有以下優(yōu)點(diǎn):服務(wù)器對(duì)客戶端的請(qǐng)求除了檢驗(yàn)用戶名、密碼和源IP地址外��,還檢驗(yàn)了服務(wù)器最近兩次收到請(qǐng)求報(bào)文的時(shí)間間隔�����,對(duì)未通過(guò)檢驗(yàn)的請(qǐng)求不作響應(yīng),有效提高了嵌入式設(shè)備的安全性���,既防止了設(shè)備信息的外泄�,又阻止了非法配置的執(zhí)行�����;客戶端在通過(guò)驗(yàn)證登錄成功后����,每隔一定時(shí)間向服務(wù)器發(fā)送請(qǐng)求報(bào)文,以保持其與服務(wù)器的連接一直有效�����,服務(wù)器為每個(gè)連接保存了最近收到請(qǐng)求報(bào)文的時(shí)間�,只要超過(guò)一定時(shí)間沒(méi)收到來(lái)自該連接客戶端的請(qǐng)求,就認(rèn)為該連接已失效����,在該連接客戶端重新登錄并驗(yàn)證通過(guò)前,將不再響應(yīng)該客戶端的請(qǐng)求�����。
【附圖說(shuō)明】
[0019]圖1為一種Web服務(wù)安全訪問(wèn)系統(tǒng)的整體結(jié)構(gòu)示意圖;
圖2為一種Web服務(wù)安全訪問(wèn)方法的流程圖�����;
圖3為本發(fā)明的實(shí)施例圖��。
【具體實(shí)施方式】
[0020]以下結(jié)合附圖�����,通過(guò)詳細(xì)說(shuō)明一個(gè)較佳的具體實(shí)施例����,對(duì)本發(fā)明做進(jìn)一步闡述����。[0021 ] 如圖1所示,一種Web服務(wù)安全訪問(wèn)系統(tǒng)�,包含客戶端I及服務(wù)器2,其中所述服務(wù)器2為支持web服務(wù)的嵌入式設(shè)備��,所述的服務(wù)器2包含:請(qǐng)求接收單元21��,用于接收客戶端I發(fā)送的連接標(biāo)識(shí)�,并記錄收到客戶端訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn);存儲(chǔ)單元22,與所述請(qǐng)求接收單元21連接�,用于保存已認(rèn)證客戶端I的連接標(biāo)識(shí)、收到客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)及預(yù)設(shè)時(shí)間間隔����;驗(yàn)證單元23,分別與所述請(qǐng)求接收單元21及存儲(chǔ)單元22連接���,用于匹配請(qǐng)求接收單元21收到的客戶端I連接標(biāo)識(shí)與存儲(chǔ)單元22已存儲(chǔ)的客戶端I的連接標(biāo)識(shí)�;判斷模塊24���,分別與所述請(qǐng)求接收單元21及存儲(chǔ)單元22連接�����,用于計(jì)算請(qǐng)求接收單元21收到的客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)與存儲(chǔ)單元22已存儲(chǔ)的客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)之間的時(shí)間間隔��,并將該時(shí)間間隔與預(yù)設(shè)時(shí)間間隔作對(duì)比���;執(zhí)行單元25,分別連接驗(yàn)證單元23與判斷模塊24��,用于根據(jù)驗(yàn)證單元23的匹配結(jié)果發(fā)送連接成功或連接失敗至客戶端1��,還根據(jù)判斷模塊24的對(duì)比結(jié)果發(fā)送請(qǐng)求響應(yīng)或不響應(yīng)至客戶端I ;請(qǐng)求發(fā)送單元11,用于向服務(wù)器2的請(qǐng)求接收單元21發(fā)送客戶端I連接標(biāo)識(shí)���;接收結(jié)果單元12����,用于接收服務(wù)器2的執(zhí)行單元25發(fā)送的連接成功或連接失敗結(jié)果���,還用于接收請(qǐng)求響應(yīng)或不響應(yīng)結(jié)果。
[0022]如圖2所示�����,為了更好的描述系統(tǒng)的應(yīng)用�,本發(fā)明公開(kāi)了一種Web服務(wù)安全訪問(wèn)方法,方法包含以下步驟:
501���、客戶端I向服務(wù)器2發(fā)送連接請(qǐng)求���;
502、服務(wù)器2驗(yàn)證客戶端I發(fā)送的客戶端連接標(biāo)識(shí)����;
若通過(guò)驗(yàn)證���,則執(zhí)行步驟SI ;
若未通過(guò)驗(yàn)證,則客戶端I與服務(wù)器2連接不成功�����;
51�����、服務(wù)器2記錄接收到客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)�;
52、服務(wù)器2判斷相鄰兩次訪問(wèn)請(qǐng)求時(shí)間間隔是否大于預(yù)設(shè)時(shí)間間隔���;
S2.1��、若是��,則服務(wù)器2不對(duì)客戶端I的請(qǐng)求作出響應(yīng)�;
S2.2����、若否,則服務(wù)器2響應(yīng)客戶端I的請(qǐng)求����,并保存接收到客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)�����;
S2.2.1�、客戶端I每一預(yù)設(shè)時(shí)間間隔內(nèi)向服務(wù)器2發(fā)送一次連接請(qǐng)求��,并更新服務(wù)器2中保存的收到客戶端I訪問(wèn)請(qǐng)求的時(shí)間節(jié)點(diǎn)���。
[0023]客戶端首次登陸服務(wù)器時(shí)沒(méi)有時(shí)間做對(duì)比,因此客戶端I首次連接服務(wù)