网站信息处理方法及装置、存储介质及电子设备转让专利
申请号 : CN202110949111.7
文献号 : CN113660274B
文献日 : 2023-04-07
发明人 : 刘伟 , 李凯 , 那中丽 , 张敏 , 胡晓娟 , 胡文志
申请人 : 中国电信股份有限公司
摘要 :
本公开提供了一种网站信息处理方法及装置、存储介质及电子设备,涉及网络数据安全技术领域。该方法包括获取网站数据请求;对网站进行验证,得到验证结果;初始化第一响应数据;以及根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。通过对网站响应数据进行初始化处理,可以防止攻击者自己植入仿造的验证结果,解决了现有技术中安全标签被破解颁发假验证结果的攻击行为,从而有效拦截网络攻击,防止用户遭受网络攻击导致经济受损或隐私泄露,另一方面提高了网络安全的可靠性。
权利要求 :
1.一种网站信息处理方法,其特征在于,包括:获取网站数据请求;
对所述网站进行验证,得到验证结果;
将所述网站数据请求转发至网站服务器,然后由所述网站服务器返回第一响应数据,所述第一响应数据为被自定义写入的头部字段数据和/或实体数据;
初始化所述第一响应数据;以及
对初始化后的第一响应数据写入所述验证结果得到第二响应数据,以根据所述第二响应数据的头部字段数据和/或实体数据所携带的表征所述验证结果的标签字段判断网站是否可信。
2.根据权利要求1所述的网站信息处理方法,其特征在于,获取网站数据请求,还包括:由二维码获取网站数据请求。
3.根据权利要求1所述的网站信息处理方法,其特征在于,对所述网站进行验证,得到验证结果之前还包括:生成可信网站的白名单。
4.根据权利要求3所述的网站信息处理方法,其特征在于,对所述网站进行验证,得到验证结果,还包括:判断所述网站是否在所述白名单中,
如果所述网站在所述白名单中,则生成可信标签;以及如果所述网站不在所述白名单中,则生成不可信标签。
5.根据权利要求3所述的网站信息处理方法,其特征在于,生成可信网站的白名单之后,还包括:对所述可信网站的白名单进行定时更新。
6.根据权利要求1所述的网站信息处理方法,其特征在于,根据所述验证结果和所述初始化后的第一响应数据生成第二响应数据,以根据所述第二响应数据判断所述网站是否可信,还包括:发送所述第二响应数据,以生成判断结果的提示信息。
7.一种网站信息处理装置,其特征在于,包括:获取模块,用于获取网站数据请求;
验证模块,用于对所述网站进行验证,得到验证结果;
初始化模块,用于将所述网站数据请求转发至网站服务器,然后由所述网站服务器返回第一响应数据,所述第一响应数据为被自定义写入的头部字段数据和/或实体数据;初始化所述第一响应数据;和响应数据处理模块,用于对初始化后的第一响应数据写入所述验证结果得到第二响应数据,以根据所述第二响应数据的头部字段数据和/或实体数据所携带的表征所述验证结果的标签字段判断网站是否可信。
8.一种网站信息处理设备,其特征在于,包括:处理器;以及
存储器,用于存储所述处理器的可执行指令;
其中,所述处理器配置为经由执行所述可执行指令来执行权利要求1~6中任意一项所述网站信息处理方法。
9.一种用于网站信息处理的计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1~6中任意一项所述的网站信息处理方法。
说明书 :
网站信息处理方法及装置、存储介质及电子设备
技术领域
[0001] 本公开涉及网络信息安全技术领域,尤其涉及一种网站信息处理方法及装置、存储介质及电子设备。
背景技术
[0002] 网络攻击是指对计算机信息系统、基础设施、计算机网络或具备计算功能的各种终端设备的进攻动作。对于具备计算功能的各种终端设备和计算机网络来说,破坏、揭露、修改、使软件或服务失去功能、在没有得到授权的情况下偷取或访问任何一计算机的数据,都会被视为于计算机和计算机网络中的攻击。
[0003] 面对信息时代层出不穷的网络攻击,我们应当制定有针对性的策略,明确安全对象。因此,针对用户终端侧的安全隐患是本领域技术人员亟需解决的问题。
[0004] 需要说明的是,在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解,因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。
发明内容
[0005] 本公开的目的在于提供一种网站信息处理方法及装置、存储介质及电子设备,至少在一定程度上克服由于相关技术中用户无法分辨网站真伪而带来的安全隐患问题。
[0006] 本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
[0007] 根据本公开的一个方面,提供一种网站信息处理方法,包括:获取网站数据请求;对网站进行验证,得到验证结果;初始化第一响应数据;以及根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。
[0008] 在本公开一个实施例中,根据验证结果和初始化后的第一响应数据生成第二响应数据,包括:将验证结果写入初始化后的第一响应数据的头部字段数据中。
[0009] 在本公开一个实施例中,获取网站数据请求,还包括:由二维码获取网站数据请求。
[0010] 在本公开一个实施例中,对网站进行验证,得到验证结果之前还包括:生成可信网站的白名单。
[0011] 在本公开一个实施例中,对网站进行验证,得到验证结果,还包括:判断网站是否在白名单中,如果网站在白名单中,则生成可信标签;以及如果网站不在白名单中,则生成不可信标签。
[0012] 在本公开一个实施例中,生成可信网站的白名单之后,还包括:对可信网站的白名单进行定时更新。
[0013] 在本公开一个实施例中,根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信,还包括:发送第二响应数据,以生成判断结果的提示信息。
[0014] 根据本公开的另一个方面,提供一种网站信息处理装置,包括:获取模块,用于获取网站数据请求;验证模块,用于对网站进行验证,得到验证结果;初始化模块,用于初始化第一响应数据;和响应数据处理模块,用于根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。
[0015] 根据本公开的再一个方面,提供一种电子设备,包括:处理器;以及存储器,用于存储所述处理器的可执行指令;其中,所述处理器配置为经由执行所述可执行指令来执行上述的网站信息处理方法。
[0016] 根据本公开的又一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述的网站信息处理方法。
[0017] 本公开的实施例所提供的网站信息处理方法,通过对网站响应数据进行初始化处理,可以防止攻击者自己植入仿造的验证结果,解决了现有技术中安全标签被破解颁发假验证结果的攻击行为,从而有效拦截网络攻击,防止用户遭受网络攻击导致经济受损或隐私泄露,另一方面提高了网络安全的可靠性。
[0018] 应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本公开。
附图说明
[0019] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。显而易见地,下面描述中的附图仅仅是本公开的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0020] 图1示出本公开实施例中一种通用网络架构示意图;
[0021] 图2示出本公开实施例中一种网站信息处理方法的步骤流程图;
[0022] 图3示出本公开实施例中一种网站信息处理方法的步骤流程图;
[0023] 图4示出本公开实施例中一种网站信息处理方法的实施场景示意图;
[0024] 图5示出本公开实施例中一种可信网站信息处理方法的业务流程示意图;
[0025] 图6示出本公开实施例中一种不可信网站信息处理方法的业务流程示意图;
[0026] 图7示出本公开实施例中一种网站信息处理装置示意图;和
[0027] 图8示出本公开实施例中一种网站信息处理的计算机设备的结构框图。
具体实施方式
[0028] 现在将参考附图更全面地描述示例实施方式。然而,示例实施方式能够以多种形式实施,且不应被理解为限于在此阐述的范例;相反,提供这些实施方式使得本公开将更加全面和完整,并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。
[0029] 此外,附图仅为本公开的示意性图解,并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体,不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
[0030] 此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。在本公开的描述中,“多个”的含义是至少两个,例如两个、三个等,除非另有明确具体的限定。
[0031] 针对上述相关技术中存在的技术问题,本公开实施例提供了一种网站信息处理方法,以用于至少解决上述技术问题中的一个或全部。
[0032] 图1是本申请一个示例性实施例提供的通用网络架构示意图。该网络架构包括核心网侧和接入网侧。如图1所示的核心网侧部分,可以为网络节点集群150的形式,并且网络节点集群150可以由若干个网络节点服务器152和相互连接的网络节点链路154组成。
[0033] 在本公开实施例中,如图1所示的接入网侧部分,接入网侧包含若干网络基础设施,可以是若干个终端。若干个终端与其相对应的基站设备110进行通信。
[0034] 终端120可以是手机、游戏主机、平板电脑、电子书阅读器、智能眼镜、MP4(MovingPicture Experts Group Audio Layer IV,动态影像专家压缩标准音频层面4)播放器、智能家居设备、AR(Augmented Reality,增强现实)设备、VR(Virtual Reality,虚拟现实)设备等移动终端,或者,终端120也可以是个人计算机(Personal Computer,PC),比如膝上型便携计算机和台式计算机等等。
[0035] 其中,基站设备110和终端120中可以安装有用于提供网站信息处理的应用程序。
[0036] 终端120通过基站设备110与集中处理单元设备集群130之间通过通信网络相连。可选的,通信网络是有线网络或无线网络。
[0037] 集中处理单元设备集群130是一台服务器,或者由若干台服务器组成,集中处理单元设备集群130将数据映射为虚拟资源池140,其中每台集中处理单元设备可以与每台虚拟计算单元映射。
[0038] 核心网侧的网络节点服务器集群150和终端120均可以用于为提供网站信息处理的应用程序提供后台服务。可选地,核心网侧的网络节点服务器集群150承担主要计算工作,终端120承担次要计算工作;或者,核心网侧的网络节点服务器集群150承担次要计算工作,终端120承担主要计算工作;或者,终端120和核心网侧的网络节点服务器集群150之间采用分布式计算架构进行协同计算。
[0039] 在一些可选的实施例中,核心网侧的网络节点服务器集群150用于存储网站信息处理的信息。
[0040] 在本申请中,核心网侧的网络节点服务器集群150还可以与区块链系统(未示出)相连,核心网侧的网络节点服务器集群150将可信网站信息和/或网站信息处理的记录存储在区块链系统中。在一些可选的实施例中,核心网侧的网络节点服务器集群150本身也可以作为区块链系统中的一个节点运行和存储数据。
[0041] 可选的,在本申请实施例中,核心网侧的网络节点服务器集群150包括网关服务器和网站服务器。其中,网关服务器用于实现网站信息处理方法的逻辑控制,比如,执行网站信息请求处理、分析网站信息请求处理、分析网站信息响应处理,执行网站信息响应处理等,网站服务器用于实现各种网站服务提供方信息的存储,以及重要功能的决策管理,比如,可以实现对添加服务提供方的决策。
[0042] 需要说明的是,上述网关服务器和网站服务器可以属于同一个计算机设备,或者,上述网关服务器和网站服务器也可以分属于不同的计算机设备。
[0043] 可选地,不同的终端120中安装的应用程序的客户端是相同的,或两个终端120上安装的应用程序的客户端是不同控制系统平台的同一类型应用程序的客户端。基于终端平台的不同,该应用程序的客户端的具体形态也可以不同,比如,该应用程序客户端可以是手机客户端、PC客户端或者全球广域网(World Wide Web,3W)客户端等。
[0044] 本领域技术人员可以知晓,上述终端120的数量可以更多或更少。比如上述终端可以仅为一个,或者上述终端为几十个或几百个,或者更多数量。本申请实施例对终端的数量和设备类型不加以限定。
[0045] 可选的,该系统还可以包括管理设备(图1未示出),该管理设备与接入网侧的集中处理单元设备集群130之间通过通信网络相连。可选的,通信网络是有线网络或无线网络。
[0046] 可选的,上述的无线网络或有线网络使用标准通信技术和/或协议。网络通常为因特网、但也可以是任何网络,包括但不限于局域网(Local Area Network,LAN)、城域网(Metropolitan Area Network,MAN)、广域网(Wide Area Network,WAN)、移动、有线或者无线网络、专用网络或者虚拟专用网络的任何组合)。在一些实施例中,使用包括超文本标记语言(Hyper Text Mark‑up Language,HTML)、可扩展标记语言(Extensible MarkupLanguage,XML)等的技术和/或格式来代表通过网络交换的数据。此外还可以使用诸如安全套接字层(Secure Socket Layer,SSL)、传输层安全(Transport Layer Security,TLS)、虚拟专用网络(Virtual Private Network,VPN)、网际协议安全(Internet ProtocolSecurity,IPsec)等常规加密技术来加密所有或者一些链路。在另一些实施例中,还可以使用定制和/或专用数据通信技术取代或者补充上述数据通信技术。
[0047] 下面,将结合附图及实施例对本示例实施方式中的网站信息处理方法的各个步骤进行更详细的说明。
[0048] 图2示出本公开实施例中一种网站信息处理方法的步骤流程图。本公开实施例提供的方法可以由任意具备计算处理能力的电子设备执行,例如如图1中的终端设备120和/或核心网侧的网络节点服务器集群140。在下面的举例说明中,以核心网侧的网络节点服务器集群140为执行主体进行示例说明。
[0049] 如图2所示,本公开实施例提供的网站信息处理方法可以包括以下步骤:
[0050] 步骤S210,获取网站数据请求。
[0051] 在本公开的一些实施例中,该网站数据请求可以为超文本传输协议http的格式,也可以为简单文件传输协议TFTP、文件传输协议FTP、网络文件系统NFS、广域信息查询系统WAIS和SMTP简单邮件传输协议的格式。
[0052] 在公开的一些实施例中,可以通过扫描条形码、二维码、三维码等各种形式的码或直接点击链接等各种方式获取数据请求。
[0053] 在本公开的一些实施例中,网站数据请求包括头部字段数据,并且头部字段数据可以被自定义写入数据。在本公开的一些实施例中,用户端可以通过在头部字段数据和/或实体数据的部分加入标记,以选择是否需要对获取的网站数据请求进行安全验证,网关服务器可以根据头部字段数据和/或实体数据判断是否进行安全验证。这样可以增加网站信息处理的灵活性。
[0054] 步骤S220,对网站进行验证,得到验证结果。
[0055] 在本公开的一些实施例中,网站验证方法可以基于多种方式,包括但不限于,在核心网侧建立可信网站白名单,通过判断待验证网站是否在该白名单中,以验证该网站的安全性。本申请对网站验证方法不做限制。网关服务器通过对网站进行验证得到验证结果并返回给终端,从而帮助终端判断该网站是否可信。
[0056] 步骤S230,初始化第一响应数据。
[0057] 在本公开的一些实施例中,网关服务器接收到网站数据请求并转发至网站服务器,然后由网站服务器返回第一响应数据。网站服务器可以是合法网站服务器也可能是非法网站服务器。在本公开的一些实施例中,第一响应数据包括可以被自定义写入的头部字段数据和/或实体数据。在一些实施例中,非法网站服务器可以对第一响应数据的头部字段数据和/或实体数据写入仿造可信数据。
[0058] 在本公开的一些实施例中,初始化第一响应数据可以包括初始化第一响应数据的部分或全部头部字段数据和/或实体数据,还可以包括初始化非法网站服务器对第一响应数据的头部字段数据和/或实体数据写入的仿造数据。
[0059] 在本公开的一些实施例中,网关服务器可以仅针对非法服务器端写入的仿造数据字段进行初始化。具体地,可以对第一响应数据按特定字段搜索,如果搜索到由非法服务器端仿造的数据字段,则针对非法服务器端写入的仿造数据字段进行初始化。
[0060] 步骤S240,根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。
[0061] 在本公开的一些实施例中,网关设备可以对初始化后的第一响应数据的头部字段数据和/或实体数据写入验证结果,得到第二响应数据。具体地,验证结果可以为可信或不可信标签,以使终端根据第二响应数据的头部字段数据和/或实体数据所携带的标签字段判断网站是否可信。在本公开的一些实施例中,标签字段可以为key‑value键值对的形式。
[0062] 在本公开的一些实施例中,还包括如果网站的验证结果为不可信,则拦截不可信网站的响应数据。
[0063] 在一些实施例中,可以在头部字段的部分数据中添加标签,使解析更方便,从而提高了网站安全验证的可实施性和实用性,进一步保证了用户访问的网络安全。
[0064] 通过执行上述方法,可以防止攻击者自己植入仿造的验证结果,解决了现有技术中安全标签被破解颁发假验证结果的攻击行为,从而有效拦截网络攻击,防止用户遭受网络攻击导致经济受损或隐私泄露,另一方面提高了网络安全的可靠性。
[0065] 进一步地,通过设置在核心网侧的网关服务器上执行此验证方法,克服了现有技术中的通信协议格式限制问题,更加方便、快捷地对多种格式的网站数据请求进行验证,以解决网络攻击的问题。本方法有利于提升网络安全防护的整体水平。
[0066] 图3示出本发明一实施例中标识码验证方法的业务流程示意图。如图3所示,包括:
[0067] 步骤S310,由二维码获取网站数据请求。
[0068] 在本公开的一些实施例中,可以由终端扫描二维码向网关服务器发送该网站数据请求,再由网关服务器向对应的网站服务器转发该网站数据请求。
[0069] 步骤S320,定时更新生成可信网站的白名单。
[0070] 在本公开的一些实施例中,可信网站白名单以目录索引或其他可检索形式。在一些实施例中,可以基于分布式服务器例如Elasticsearch构建的索引,从而实现可信网站的高效存储和实时查询。
[0071] 在一些实施例中,可信网站白名单可以来自于标识解析服务节点服务器,可选地,该标识解析服务节点服务器的数据来自国家标识运营单位。具体地,可信网站通过在国家标识运营单位注册获得授权的工业编码(例如,二维码),进而可以通过本实例的方法扫描合法二维码获取合法网站数据信息。通过上述方法可以保证可信网站数据的准确性,以提高网站验证环节的可靠性。
[0072] 在本公开的一些实施例中,可信网站白名单包括可信网站的IP地址和/或域名,也可以包括其他的网站信息。
[0073] 在本公开的一些实施例中,标识解析服务节点服务器会定时更新可信网站白名单数据,进一步提高网站验证的可靠性。
[0074] 步骤S330,判断网站是否在白名单中。
[0075] 在本公开的一些实施例中,可信网站白名单可以存储于网关服务器中,由网关服务器判断待验证网站是否在白名单中,执行网站验证得到验证结果。也可以单独存储于标识可信验证模块服务器中,其中标识可信验证模块服务器执行网站验证得到验证结果后,将结果返回至可信网站白名单中。其中,可基于JAVA语言或SpringBoot开源框架来构建标识可信验证模块。
[0076] 在一些实施例中,标识可信验证模块服务器和网关服务器都可以被部署于第二代融合网络(Chinatelecom Next‑generation Convergency NetWork,简称CN2)中。或者在另外一些实施例中,标识可信验证模块服务器和网关服务器分别部署在两个网络中,并通过可信安全的信道连接。
[0077] 步骤S340,生成可信标签。
[0078] 在本公开的一些实施例中,如果网关服务器得到的验证结果为可信网站,则生成可信标签。在一些实施例中,可信标签可以用键值对的形式表示。
[0079] 步骤S350,生成不可信标签。
[0080] 在本公开的一些实施例中,如果网关服务器得到的验证结果为不可信网站,则生成不可信标签。在一些实施例中,不可信标签可以用键值对的形式表示。
[0081] 步骤S360,初始化第一响应数据。
[0082] 此步骤同步骤S230类似,在此不再赘述。
[0083] 步骤S370,将标签添加到第一响应数据生成第二响应数据。
[0084] 在本公开的一些实施例中,将可信/不可信标签添加到第一响应数据生成第二响应数据还可以包括:将可信或不可信数据字段以键值对的形式添加到第一响应数据的部分或全部头部字段数据和/或实体数据。
[0085] 步骤S380,发送第二响应数据,以提示该网站是否可信。
[0086] 在本公开的一些实施例中,网关服务器将第二响应数据返回给终端,通过弹窗或标识的形式显示在页面上,以提示该网站是否可信。
[0087] 在本公开的一些实施例中,网关服务器还可以根据不可信的验证结果自动拦截不可信网站的所有数据包。
[0088] 通过执行本申请的上述方法,将网站验证应用在扫描二维码的访问形式,可以使网站验证方法更加灵活,从而防止用户遭受网络攻击。通过定时更新白名单的方法,保证了网络验证的准确性。更进一步地,防止攻击者植入仿造的可信标签,解决了现有技术中安全标签被破解颁发假可信标签的攻击行为,从而有效拦截网络攻击,防止用户遭受网络攻击导致经济受损或隐私泄露,另一方面提高了网络安全的可靠性。
[0089] 图4示出本公开实施例中一种网站信息处理方法的实施场景示意图。如图4所示,网站信息处理方法具体实施过程包括:
[0090] 步骤S401,终端410扫描二维码获取网站数据请求。
[0091] 在本公开的一些实施例中,二维码包括但不限于工业标识。可以是工业领域专用的二维码标识,也可以是通用二维码。终端410向网关服务器420发送网站数据请求。
[0092] 在本公开的一些实施例中,网关服务器420可以将终端410发送的网站数据请求发送至标识可信验证模块430进行验证。
[0093] 步骤S402,标识可信验证模块430从标识解析服务节点服务器440中同步可信网站白名单数据。
[0094] 在本公开的一些实施例中,标识解析服务节点服务器440的数据来自国家标识运营单位。具体地,可信网站通过在国家标识运营单位注册获得存储的授权工业编码(例如,二维码),进而可以通过扫描授权的工业编码获取网站数据信息。通过上述方法可以保证可信网站数据的准确性,以提高网站验证环节的可靠性。
[0095] 在本公开的一些实施例中,在标识可信验证模块430中构建基于ES的索引来存储可信网站白名单信息。
[0096] 在本公开的一些实施例中,标识可信验证模块430从标识解析服务节点服务器440中定时同步可信网站白名单数据,从而保证网站验证结果的准确性。其中,可以通过数据表的方式进行同步,也可以通过接口方式进行同步。
[0097] 步骤S403,标识可信验证模块430根据可信网站白名单判断网站是否可信。
[0098] 在本公开的一些实施例中,标识可信网站判断是否网站是否存在于基于ES的索引的白名单信息中,如果存在,则说明该网站可信,如果不存在,则说明该网站不可信。
[0099] 在本公开的一些实施例中,标识可信验证模块430可以通过有线或无线网络通信的形式,将验证结果发送给网关服务器420。
[0100] 步骤S404,如果验证结果为可信网站,则网关服务器420生成可信标签。
[0101] 在本公开的一些实施例中,可以对网关服务器420进行改造,被配置为根据标识可信验证模块430的验证结果,生成标签数据。
[0102] 在本公开的一些实施例中,可信标签数据可以为键值对的形式或其他与网站数据请求的格式相匹配的字段数据格式。本公开对标签数据字段的格式不做限制。
[0103] 步骤S405,如果验证结果为不可信网站,则网关服务器420生成不可信标签。
[0104] 在本公开的一些实施例中,不可信标签数据可以为键值对的形式或其他与网站数据请求的格式相匹配的字段数据格式。本公开对标签数据字段的格式不做限制。
[0105] 步骤S406,网关服务器420初始化第一响应数据。
[0106] 在本公开的一些实施例中,第一响应数据是由合法网站服务器450或非法网站服务器460返回给网关服务器420的网站响应数据。
[0107] 在本公开的一些实施例中,可以对网关服务器420进行改造,使网关服务器420被配置为可以初始化网站响应数据,尤其是当网站响应数据中出现仿造的可信标签数据的情况。
[0108] 在本公开的一些实施例中,网关服务器420还可以被配置为对第一响应数据的头部字段和/或实体字段数据进行初始化。
[0109] 在本公开的一些实施例中,网关服务器420还可以被配置为在初始化第一响应数据之前,对第一响应数据进行字段搜索,如果发现有仿造的可信字段则执行初始化,如果没有发现仿造的可信字段,则不执行初始化,从而节省了网关服务器端的计算资源,提高了信息处理的准确性。
[0110] 步骤S407,网关服务器420对初始化后的第一响应数据添加标签生成第二响应数据。
[0111] 在本公开的一些实施例中,网关服务器420可以被配置为在初始化后的第一响应数据的头部字段和/或实体字段添加标签。
[0112] 在一些实施例中,可以在头部字段的部分数据中添加标签,使解析更方便,从而提高了网站安全验证的可实施性和实用性,进一步保证了用户访问的网络安全。
[0113] 步骤S408,网关服务器420将第二响应数据发送给终端410,以提示终端该网站验证结果。
[0114] 通过上述对网关改造的网站信息处理方法,对网络攻击的主动、精准防护,解决因用户终端无法分辨网站数据真伪而带来的安全隐患问题,无需终端侧进行任何操作,实施更方便,有利于提升网络安防的整体水平。
[0115] 图5示出本公开实施例中一种可信网站信息处理方法的业务流程示意图。如图5所示,包括:
[0116] 步骤S510,合法网站服务器505向国家标识运营中心登记注册网站数据,即标识解析服务节点504登记注册网站数据,包括IP地址、域名等,获得标识资质,发布标识码。步骤S512,标识可信验证模块503定时同步标识解析服务节点504的数据,并执行步骤S514,定时更新生成白名单。在一些实施例中,根据上述可信网站的登记注册信息建立索引生成白名单。
[0117] 步骤S516,用户终端501向网关服务器502发送网站数据请求。其中,在一些实施例中,用户终端501可以通过上述获得标识资质的标识码向网关服务器502发送网站数据请求,在另外一些实施例中,用户终端501可以通过各种方式向网关服务器502发送网站数据请求。步骤S518,网关服务器502接收到网站数据请求后,按照网站数据请求,执行步骤S520,分别向标识可信验证模块和合法网站服务器转发该网站数据请求。其中标识可信验证模块可以被配置为网关服务器中,也可以被配置为独立的服务器中。
[0118] 步骤S522,由标识可信验证模块503根据接收到的网站数据请求判断待验证网站是否在白名单中,验证结果为合法网站,则生成可信标签。在一些实施例中,标识可信验证模块503根据网站数据请求的IP地址、域名等网站数据进行检索,判断网站数据是否在基于ES的索引中。再执行步骤S524,将可信标签返回给网关服务器。
[0119] 步骤S526,网关服务器502接收由合法网站服务器505返回的第一响应数据。并执行步骤S528,初始化第一响应数据,并将可信标签添加到第一响应数据中,生成第二响应数据,并执行步骤530返回该第二响应数据。在一些可选的实施例中,在网关服务器502收到验证结果为可信网站时,也可以跳过步骤S526‑步骤S530,将可信网站返回的第一响应数据发送给终端。
[0120] 步骤S532,终端侧501根据第二响应数据,判断该网站为可信网站。
[0121] 通过上述方法,在实现网络安全防护的同时,不会对合法可信网站的访问过程产生任何影响,通过在网关侧灵活设置初始化响应数据的信息处理方法,不会影响可信网站服务器以及用户终端的配置,通过简单的操作即可实现全网防护。
[0122] 图6示出本公开实施例中一种不可信网站信息处理方法的业务流程示意图。如图6所示,包括:
[0123] 步骤S610,合法网站服务器605向国家标识运营中心登记注册网站数据,即标识解析服务节点604登记注册网站数据,包括IP地址、域名等,获得标识资质,发布标识码。步骤S612,标识可信验证模块603定时同步标识解析服务节点604的数据,并执行步骤S614,定时更新生成白名单。在一些实施例中,根据上述可信网站的登记注册信息建立索引生成白名单。
[0124] 步骤S616,用户终端601向网关服务器602发送网站数据请求。其中,在一些实施例中,用户终端601可以通过上述获得标识资质的标识码向网关服务器602发送网站数据请求,在另外一些实施例中,用户终端601可以通过各种方式向网关服务器602发送网站数据请求。步骤S618,网关服务器602接收到网站数据请求后,按照该网站数据请求,执行步骤S620,分别向标识可信验证模块和非法网站服务器转发该网站数据请求。其中标识可信验证模块可以被配置为网关服务器中,也可以被配置为独立的服务器中。
[0125] 步骤S622,由标识可信验证模块603根据接收到的网站数据请求判断待验证网站是否在白名单中,验证结果为非法网站,则生成不可信标签。在一些实施例中,标识可信验证模块603根据网站数据请求的IP地址、域名等网站数据进行基于ES的检索,判断网站数据是否在基于ES的索引中。再执行步骤S624,将不可信标签返回给网关服务器。
[0126] 步骤S626,网关服务器602接收由非法网站服务器606返回的第一响应数据。并执行步骤S628,初始化第一响应数据,并将不可信标签添加到第一响应数据中,生成第二响应数据。在本公开的一些实施例中,网关服务器602还可以对第一响应数据进行拦截。然后执行步骤630返回该第二响应数据。在一些可选的实施例中,在网关服务器602收到验证结果为不可信网站时,网关服务器602对第一响应数据的部分或全部进行检查,如果发现仿造的标签数据,则对第一响应数据进行初始化。
[0127] 步骤S632,终端侧601根据第二响应数据,判断该网站为不可信网站。
[0128] 通过上述方法,一方面,通过在网关侧灵活设置初始化响应数据的信息处理方法,不会影响可信网站服务器以及用户终端的配置,操作更简单。另一方面,可以防止攻击者自己植入仿造的验证结果,解决了现有技术中安全标签被破解颁发假验证结果的攻击行为,从而有效拦截网络攻击。
[0129] 需要注意的是,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
[0130] 图7示出本公开实施例中一种网站信息处理装置示意图。如图7所示,网站信息处理装置700包括:
[0131] 获取模块710,用于获取网站数据请求。验证模块720,用于对网站进行验证,得到验证结果。初始化模块730,用于初始化第一响应数据。响应数据处理模块740,用于根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。
[0132] 所属技术领域的技术人员能够理解,本发明的各个方面可以实现为系统、方法或程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。
[0133] 下面参照图8来描述根据本发明的这种实施方式的电子设备800。图8显示的电子设备800仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
[0134] 如图8所示,电子设备800以通用计算设备的形式表现。电子设备800的组件可以包括但不限于:上述至少一个处理单元810、上述至少一个存储单元820、连接不同系统组件(包括存储单元820和处理单元810)的总线830。
[0135] 其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元810执行,使得所述处理单元810执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元810可以执行如图2中所示的S210,获取网站数据请求;S220,对网站进行验证,得到验证结果;S230,初始化第一响应数据;以及S240根据验证结果和初始化后的第一响应数据生成第二响应数据,以根据第二响应数据判断网站是否可信。
[0136] 存储单元820可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)8201和/或高速缓存存储单元8202,还可以进一步包括只读存储单元(ROM)8203。
[0137] 存储单元820还可以包括具有一组(至少一个)程序模块8205的程序/实用工具8204,这样的程序模块8205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
[0138] 总线830可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
[0139] 电子设备800也可以与一个或多个外部设备(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备800交互的设备通信,和/或与使得该电子设备800能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口850进行。并且,电子设备800还可以通过网络适配器860与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器860通过总线830与电子设备800的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备800使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
[0140] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
[0141] 在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
[0142] 根据本发明的实施方式的用于实现上述方法的程序产品,其可以采用便携式紧凑盘只读存储器(CD‑ROM)并包括程序代码,并可以在终端设备,例如个人电脑上运行。然而,本发明的程序产品不限于此,在本文件中,可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
[0143] 所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
[0144] 计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
[0145] 可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
[0146] 可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
[0147] 应当注意,尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元,但是这种划分并非强制性的。实际上,根据本公开的实施方式,上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之,上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。
[0148] 此外,尽管在附图中以特定顺序描述了本公开中方法的各个步骤,但是,这并非要求或者暗示必须按照该特定顺序来执行这些步骤,或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的,可以省略某些步骤,将多个步骤合并为一个步骤执行,以及/或者将一个步骤分解为多个步骤执行等。
[0149] 通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD‑ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、移动终端、或者网络设备等)执行根据本公开实施方式的方法。
[0150] 本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和精神由所附的权利要求指出。