技術領域

本發(fā)明涉及網(wǎng)絡安全的解決方案，特別地，本發(fā)明涉及在網(wǎng)絡應用中對用戶的輸入進行安全驗證的方法和裝置。

背景技術

現(xiàn)今，網(wǎng)絡應用(Web?application)中存在的安全漏洞的數(shù)目正在快速增加。網(wǎng)絡應用可能遭受的攻擊類型包括跨站腳本(XSS)攻擊、SQL注入式攻擊、LDAP注入式攻擊、命令接入式攻擊、PHP注入式攻擊等等。統(tǒng)計數(shù)據(jù)表明，有75％的攻擊是針對應用層的，而90％的站點對于網(wǎng)絡應用攻擊是脆弱的。

在Web應用安全的常規(guī)解決方案中，一方面，在客戶端側(cè)使用Web應用查看工具檢查代碼；另一方面，在Web應用服務器側(cè)使用Web應用防火墻來過濾并且阻止惡意輸入。由于惡意用戶有可能繞過客戶端側(cè)的Web應用查看工具直接向Web應用服務器注入惡意代碼或者腳本，因此在Web應用服務器側(cè)進一步對用戶的輸入進行驗證是非常必要的。

Web應用防火墻是一種Web應用服務器側(cè)的透明的保護裝置，其被配置為至少具有以下功能性：用于基于預先定義的安全規(guī)則驗證用戶的輸入；對于違反安全規(guī)則的用戶輸入采取適當安全保護動作。當檢測到違反預定義的安全規(guī)則的用戶輸入時，諸如Web應用防火墻的保護裝置會根據(jù)預先設定的規(guī)則采取對應的行動，例如，阻止IP、拒絕請求、生成日志，或者重新寫入有效負載等。

通過對在線Web應用的觀察，可以發(fā)現(xiàn)在服務器側(cè)由保護裝置檢測到的違反安全規(guī)則的情況可以歸因為以下兩種情況：

1.無辜用戶誤輸入某些違反安全規(guī)則的值；

2.惡意用戶通過使用某些工具繞過客戶端側(cè)的用戶輸入驗證機制向Web應用服務器注入惡意輸入值以進行攻擊。

然而現(xiàn)有的對用戶輸入的驗證方案并不能有效的識別無辜用戶和惡意用戶。保護裝置難以有針對性的采取適當?shù)陌踩Ｗo動作。例如，如果對輸入錯誤的無辜用戶執(zhí)行阻止其IP或者拒絕請求等動作，則會嚴重影響用戶對于該Web應用的使用體驗；如果無論惡意用戶還是無辜用戶造成違規(guī)時都拒絕請求并以用戶友好的方式提供安全提示，或者重寫用戶的請求(Rewrite?Request)進而提交給服務器端應用，則會增大安全驗證系統(tǒng)的性能的消耗。

因此，需要提供一種網(wǎng)絡應用的安全驗證方案能夠有效識別無辜用戶和惡意用戶。

發(fā)明內(nèi)容

為了克服現(xiàn)有技術中的缺陷，本發(fā)明提出一種用于在網(wǎng)絡應用中對用戶的輸入進行安全驗證的方法。該方法包括：向部署在客戶端的預驗證組件提供服務器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集，以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗證；基于該保護裝置的安全規(guī)則，對用戶的輸入進行驗證；響應于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件，將該用戶確定為第一類用戶；以及響應于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到該預驗證組件，將該用戶確定為第二類用戶。

本發(fā)明還提出一種用于在網(wǎng)絡應用中對用戶的輸入進行安全驗證的裝置。該裝置包括：用于向部署在客戶端的預驗證組件提供服務器側(cè)保護裝置的安全規(guī)則的安全規(guī)則子集、以便由該預驗證組件基于所提供的該安全規(guī)則子集在客戶端側(cè)執(zhí)行對用戶輸入的安全驗證的裝置；用于基于該保護裝置的安全規(guī)則、對用戶的輸入進行驗證的裝置；用于響應于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則未被提供到該預驗證組件、將該用戶確定為第一類用戶的裝置；以及用于響應于檢測到違規(guī)的用戶的輸入并且所違反的安全規(guī)則已被提供到該預驗證組件、將該用戶確定為第二類用戶的裝置。

本發(fā)明還涉及包括該在網(wǎng)絡應用中對用戶的輸入進行安全驗證的裝置的安全驗證系統(tǒng)。

根據(jù)本發(fā)明的技術方案，能夠有效地區(qū)分“第二類用戶”和“第一類用戶”。可以針對第二類用戶和第一類用戶配置不同的應對方案，由此提高驗證過程的針對性。根據(jù)本發(fā)明的一個實施例，既能夠盡量保證“第一類用戶”對Web應用的使用體驗，又可以最大限度地避免無謂的系統(tǒng)性能消耗。此外，根據(jù)本發(fā)明的技術方案還有利于減輕服務器側(cè)保護裝置的工作負荷，從而提高整個安全驗證系統(tǒng)的性能。

附圖說明

通過以下結(jié)合附圖的說明，并且隨著對本發(fā)明的更全面了解，本發(fā)明的其他目的和效果將變得更加清楚和易于理解，其中：

圖1示意性示出根據(jù)本發(fā)明一個實施方式能夠?qū)崿F(xiàn)其中的系統(tǒng)結(jié)構(gòu)；

圖2示出了根據(jù)本發(fā)明一個實施方式的對用戶的輸入進行安全驗證的方法流程圖；

圖3示出了根據(jù)本發(fā)明一個實施方式的服務器側(cè)保護裝置和客戶端側(cè)預驗證組件的工作流程圖；