适用于MQTT服务安全保障的改善方法及系统

摘要

本申请公开了一种适用于MQTT服务安全保障的改善方法及系统，改善方法包括：请求步骤：客户端向服务端发送请求；预处理步骤：所述服务端记录所述请求的请求信息，后并将所述请求异步同步到安全策略技术算服务器；生成防护策略配置步骤：所述安全策略计算服务器根据所述请求及所述请求信息动态计算生成防护策略配置；安全策略适配处理步骤：所述服务端保存所述防护策略配置，在下一次所述客户端发送请求时进行安全策略适配处理。本发明针对恶意攻击的防护，在基于行业通用的防护策略通道更新的前提下，设计更加低性能损耗、随机规律的响应动作和信息处理，扰乱恶意客户端对服务器安全防护的规律。

说明书

技术领域

本发明属于适用于MQTT服务安全保障的改善领域，具体涉及一种适用于MQTT服务安全保障的改善方法及系统。

背景技术

在当前基于MQTT协议设计的通信场景普及度已经非常高的，但是服务端所受的恶意攻击、特别是大并发的攻击已经是网络安全领域的常规话题，本方案目的是在解决恶意攻击、特别是大并发攻击。

如专利一种适用于mqtt的安全防护方法及系统，结合后端服务器记录学些攻击方的恶意请求的参数、请求频次等规律形成规则配置同步到服务端的节点，有正常运营的服务端运营节点去做恶意请求的防护处理。

现有技术一的缺点

1：依赖正常运营的服务端主节点去拦截处理恶意请求的客户端，严重消耗正常运营的服务端性能，降低了服务端业务处理能力。

2：严重依赖前端服务端集群，不够灵活，前端服务端集群各服务器节点负载不均衡，可能造成雪崩效应(服务器逐台承受不住过大的负载压力而崩溃，进而将负载压力转移到下一台服务器)，对服务器运维压力非常大。

发明内容

本申请实施例提供了一种适用于MQTT服务安全保障的改善方法及系统，改善方法，其中，包括：

请求步骤：客户端向服务端发送请求；

预处理步骤：所述服务端记录所述请求的请求信息，后并将所述请求异步同步到安全策略技术算服务器；

生成防护策略配置步骤：所述安全策略计算服务器根据所述请求及所述请求信息动态计算生成防护策略配置；

安全策略适配处理步骤：所述服务端保存所述防护策略配置，在下一次所述客户端发送请求时进行安全策略适配处理。

上述改善方法，其中，还包括恶意请求处理步骤：对每一所述请求进行判断并输出判断结果，所述服务端根据所述判断结果处理所述请求。

上述改善方法，其中，所述请求信息包括：请求参数、请求IP及请求时间。

上述改善方法，其中，所述恶意请求处理步骤包括：

判断步骤：判断所述请求是否是恶意请求，获得判断结果；

判断结果处理步骤：若所述判断结果是非恶意请求，所述服务端发送所述请求至业务处理服务器处理；若所述判断结果是恶意请求，所述服务端主动关闭所述请求，并将所述请求转移到恶意请求受理服务器托管。

上述改善方法，其中，所述恶意请求受理服务器采用随机延迟响应、随机断开及随机响应历史积累的恶意请求客户端的恶意参数尝试反向侵占发送恶意请求的客户端。

本发明还包括一种适用于MQTT服务安全保障的改善系统，其中，包括：

服务端，接收客户端发送的请求，并记录所述请求的请求信息；

安全策略技术算服务器，所述服务端将所述请求异步同步到所述安全策略技术算服务器，所述安全策略计算服务器根据所述请求及所述请求信息动态计算生成防护策略配置，所述服务端保存所述防护策略配置，在下一次所述客户端发送请求时进行安全策略适配处理。

上述改善系统，其中，还包括：

恶意请求处理单元，对每一所述请求进行判断并输出判断结果，所述服务端根据所述判断结果处理所述请求。

上述改善系统，其中，所述请求信息包括：请求参数、请求IP及请求时间。

上述改善系统，其中，所述恶意请求处理单元包括：

判断模块，判断所述请求是否是恶意请求，获得判断结果；

业务处理服务器，若所述判断结果是非恶意请求，所述服务端发送所述请求至所述业务处理服务器处理；

恶意请求受理服务器，若所述判断结果是恶意请求，所述服务端主动关闭所述请求，并将所述请求转移到恶意请求受理服务器托管。

上述改善系统，其中，所述恶意请求受理服务器采用随机延迟响应、随机断开及随机响应历史积累的恶意请求客户端的恶意参数尝试反向侵占发送恶意请求的客户端。

本发明的有益效果在于：

1、针对恶意攻击的防护，在基于行业通用的防护策略通道更新的前提下，设计更加低性能损耗、随机规律的响应动作和信息处理，扰乱恶意客户端对服务器安全防护的规律

2、提升服务器的安全防护能力以及减少对正常业务处理的影响，甚至增加恶意攻击客户端的攻击成本和对服务器攻击的研究周期。

附图说明

此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。

在附图中：

图1是适用于MQTT服务安全保障的改善方法的流程图；

图2是图1中步骤S5的分步骤流程图；

图3是适用于MQTT服务安全保障的改善方法的应用流程图；

图4是适用于MQTT服务安全保障的改善系统的结构示意图；

图5是根据本发明实施例的计算机设备的框架图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行描述和说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。基于本申请提供的实施例，本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例，都属于本申请保护的范围。

显而易见地，下面描述中的附图仅仅是本申请的一些示例或实施例，对于本领域的普通技术人员而言，在不付出创造性劳动的前提下，还可以根据这些附图将本申请应用于其他类似情景。此外，还可以理解的是，虽然这种开发过程中所作出的努力可能是复杂并且冗长的，然而对于与本申请公开的内容相关的本领域的普通技术人员而言，在本申请揭露的技术内容的基础上进行的一些设计，制造或者生产等变更只是常规的技术手段，不应当理解为本申请公开的内容不充分。

在本申请中提及“实施例”意味着，结合实施例描述的特定特征、结构或特性可以包含在本申请的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例，也不是与其它实施例互斥的独立的或备选的实施例。本领域普通技术人员显式地和隐式地理解的是，本申请所描述的实施例在不冲突的情况下，可以与其它实施例相结合。

除非另作定义，本申请所涉及的技术术语或者科学术语应当为本申请所属技术领域内具有一般技能的人士所理解的通常意义。本申请所涉及的“一”、“一个”、“一种”、“该”等类似词语并不表示数量限制，可表示单数或复数。本申请所涉及的术语“包括”、“包含”、“具有”以及它们任何变形，意图在于覆盖不排他的包含；例如包含了一系列步骤或模块(单元)的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可以还包括没有列出的步骤或单元，或可以还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。本申请所涉及的“连接”、“相连”、“耦接”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电气的连接，不管是直接的还是间接的。本申请所涉及的“多个”是指两个或两个以上。“和/或”描述关联对象的关联关系，表示可以存在三种关系，例如，“A和/或B”可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。本申请所涉及的术语“第一”、“第二”、“第三”等仅仅是区别类似的对象，不代表针对对象的特定排序。

下面结合附图所示的各实施方式对本发明进行详细说明，但应当说明的是，这些实施方式并非对本发明的限制，本领域普通技术人员根据这些实施方式所作的功能、方法、或者结构上的等效变换或替代，均属于本发明的保护范围之内。

在详细阐述本发明各个实施例之前，对本发明的核心发明思想予以概述，并通过下述若干实施例予以详细阐述。

请参照图1，图1是适用于MQTT服务安全保障的改善方法的流程图。如图1所示，本发明的适用于MQTT服务安全保障的改善方法包括：

请求步骤S1：客户端向服务端发送请求；

预处理步骤S2：所述服务端记录所述请求的请求信息，后并将所述请求异步同步到安全策略技术算服务器；

生成防护策略配置步骤S3：所述安全策略计算服务器根据所述请求及所述请求信息动态计算生成防护策略配置；

安全策略适配处理步骤S4：所述服务端保存所述防护策略配置，在下一次所述客户端发送请求时进行安全策略适配处理；

恶意请求处理步骤S5：对每一所述请求进行判断并输出判断结果，所述服务端根据所述判断结果处理所述请求。

进一步，其中，所述请求信息包括：请求参数、请求IP及请求时间。

请参照图2，图2是图1中步骤S5的步骤流程图。如图2所示，所述恶意请求处理步骤S5包括：

判断步骤S51：判断所述请求是否是恶意请求，获得判断结果；

判断结果处理步骤S52：若所述判断结果是非恶意请求，所述服务端发送所述请求至业务处理服务器处理；若所述判断结果是恶意请求，所述服务端主动关闭所述请求，并将所述请求转移到恶意请求受理服务器托管。

再进一步，所述恶意请求受理服务器采用随机延迟响应、随机断开及随机响应历史积累的恶意请求客户端的恶意参数尝试反向侵占发送恶意请求的客户端。

以下，列举实施例具体说明本发明的适用于MQTT服务安全保障的改善方法如下。

实施例一：

本发明结合现有许多行业常用的MQTT安全防护方案如：前端网关记录客户端请求的参数、请求频次、IP、时间规律等发送到后端策略计算服务器，后端策略计算服务器计算成安全防护策略配置后，同步到网关，由网关受理、主动关闭该请求。本方案的区别在于，后端策略计算服务器计算成安全防护策略配置后，同步到前端服务器后，当服务器通过策略配置识别当前请求为恶意请求后，会将部分恶意请求关闭或者将恶意请求转发到通过一个服务器集群共享的socket长连接连接到的一台恶意请求受理服务器去处理，该过程在计算机原理中属于消息转发，基本不会影响服务器性能，恶意请求受理服务器去扰乱、维持恶意请求的MQTT长连接的数据，返回防护、扰乱的数据，由于该恶意请求受理服务器所有操作是纯内存级操作，其目的是扰乱恶意请求客户端如：进行缓慢的请求响应处理、错误字符响应处理措施、扰乱恶意请求客户端对服务器安全策略处理逻辑，反向侵占恶意请求客户端的性能。

本发明在恶意请求安全防护中，尽量在维持服务器正常运营的前提下，反向侵占恶意请求客户端性能，达到更加动态的安全防护。

以下结合图3进行具体说明，如图3所示本发明流程详解如图所示，具体的步骤如下：

1：客户端请求服务端，发送消息

2：服务端受理/认证客户端请求，记录客户端请求参数、IP、时间等信息

3：服务端将客户端请求异步同步到安全策略技术算服务器

4：安全策略计算服务器通过结合客户端请求组的参数、IP、时间等参数动态计算成防护策略配置如：1分钟内登录超过3次、登录错误超过2次、同IP一分钟内请求超过了5次或者同一秒时间请求超过2次等的处理随机关闭、随机转发到恶意请求受理服务器托管，该策略配置主动同步到服务端，该过程针对疑似相似信息的客户端会逐步生成更加严格的配置。

5：服务端保存安全策略计算服务器的安全策略配置，在下一次客户端请求的时候进行安全策略适配处理。

6：非恶意的请求受理最终交由业务服务器去处理，属于正常的业务运营。

7：恶意请求，服务端随意主动关闭、转移到恶意请求受理服务器托管

8：恶意请求服务器随机延迟响应、随机断开、随机响应历史积累的恶意请求客户端的恶意参数尝试反向侵占恶意客户端。

实施例二：

请参照图4，图4是适用于MQTT服务安全保障的改善系统的结构示意图。如图4所示本发明还包括一种适用于MQTT服务安全保障的改善系统，其中，包括：

服务端，接收客户端发送的请求，并记录所述请求的请求信息；

安全策略技术算服务器，所述服务端将所述请求异步同步到所述安全策略技术算服务器，所述安全策略计算服务器根据所述请求及所述请求信息动态计算生成防护策略配置，所述服务端保存所述防护策略配置，在下一次所述客户端发送请求时进行安全策略适配处理。

其中，改善系统还包括：

恶意请求处理单元，对每一所述请求进行判断并输出判断结果，所述服务端根据所述判断结果处理所述请求。

其中，所述请求信息包括：请求参数、请求IP及请求时间。

其中，所述恶意请求处理单元包括：

判断模块，判断所述请求是否是恶意请求，获得判断结果；

业务处理服务器，若所述判断结果是非恶意请求，所述服务端发送所述请求至所述业务处理服务器处理；

恶意请求受理服务器，若所述判断结果是恶意请求，所述服务端主动关闭所述请求，并将所述请求转移到恶意请求受理服务器托管。

其中，所述恶意请求受理服务器采用随机延迟响应、随机断开及随机响应历史积累的恶意请求客户端的恶意参数尝试反向侵占发送恶意请求的客户端。

实施例三：

结合图5所示，本实施例揭示了一种计算机设备的一种具体实施方式。计算机设备可以包括处理器81以及存储有计算机程序指令的存储器82。

具体地，上述处理器81可以包括中央处理器(CPU)，或者特定集成电路(Application Specific Integrated Circuit，简称为ASIC)，或者可以被配置成实施本申请实施例的一个或多个集成电路。

其中，存储器82可以包括用于数据或指令的大容量存储器。举例来说而非限制，存储器82可包括硬盘驱动器(Hard Disk Drive，简称为HDD)、软盘驱动器、固态驱动器(SolidState Drive，简称为SSD)、闪存、光盘、磁光盘、磁带或通用串行总线(Universal SerialBus，简称为USB)驱动器或者两个或更多个以上这些的组合。在合适的情况下，存储器82可包括可移除或不可移除(或固定)的介质。在合适的情况下，存储器82可在数据处理装置的内部或外部。在特定实施例中，存储器82是非易失性(Non-Volatile)存储器。在特定实施例中，存储器82包括只读存储器(Read-Only Memory，简称为ROM)和随机存取存储器(RandomAccess Memory，简称为RAM)。在合适的情况下，该ROM可以是掩模编程的ROM、可编程ROM(Programmable Read-Only Memory，简称为PROM)、可擦除PROM(Erasable ProgrammableRead-Only Memory，简称为EPROM)、电可擦除PROM(Electrically Erasable ProgrammableRead-Only Memory，简称为EEPROM)、电可改写ROM(Electrically Alterable Read-OnlyMemory，简称为EAROM)或闪存(FLASH)或者两个或更多个以上这些的组合。在合适的情况下，该RAM可以是静态随机存取存储器(Static Random-Access Memory，简称为SRAM)或动态随机存取存储器(Dynamic Random Access Memory，简称为DRAM)，其中，DRAM可以是快速页模式动态随机存取存储器(Fast Page Mode Dynamic Random Access Memory，简称为FPMDRAM)、扩展数据输出动态随机存取存储器(Extended Date Out Dynamic RandomAccess Memory，简称为EDODRAM)、同步动态随机存取内存(Synchronous Dynamic Random-Access Memory，简称SDRAM)等。

存储器82可以用来存储或者缓存需要处理和/或通信使用的各种数据文件，以及处理器81所执行的可能的计算机程序指令。

处理器81通过读取并执行存储器82中存储的计算机程序指令，以实现上述实施例中的任意一种适用于MQTT服务安全保障的改善方法。

在其中一些实施例中，计算机设备还可包括通信接口83和总线80。其中，如图5所示，处理器81、存储器82、通信接口83通过总线80连接并完成相互间的通信。

通信接口83用于实现本申请实施例中各模块、装置、单元和/或设备之间的通信。通信端口83还可以实现与其他部件例如：外接设备、图像/数据采集设备、数据库、外部存储以及图像/数据处理工作站等之间进行数据通信。

总线80包括硬件、软件或两者，将计算机设备的部件彼此耦接在一起。总线80包括但不限于以下至少之一：数据总线(Data Bus)、地址总线(Address Bus)、控制总线(Control Bus)、扩展总线(Expansion Bus)、局部总线(Local Bus)。举例来说而非限制，总线80可包括图形加速接口(Accelerated Graphics Port，简称为AGP)或其他图形总线、增强工业标准架构(Extended Industry Standard Architecture，简称为EISA)总线、前端总线(Front Side Bus，简称为FSB)、超传输(Hyper Transport，简称为HT)互连、工业标准架构(Industry Standard Architecture，简称为ISA)总线、无线带宽(InfiniBand)互连、低引脚数(Low Pin Count，简称为LPC)总线、存储器总线、微信道架构(Micro ChannelArchitecture，简称为MCA)总线、外围组件互连(Peripheral Component Interconnect，简称为PCI)总线、PCI-Express(PCI-X)总线、串行高级技术附件(Serial AdvancedTechnology Attachment，简称为SATA)总线、视频电子标准协会局部(Video ElectronicsStandards Association Local Bus，简称为VLB)总线或其他合适的总线或者两个或更多个以上这些的组合。在合适的情况下，总线80可包括一个或多个总线。尽管本申请实施例描述和示出了特定的总线，但本申请考虑任何合适的总线或互连。

该计算机设备可以基于一种适用于MQTT服务安全保障的改善方法，从而实现结合图1-图2描述的方法。

另外，结合上述实施例中治理数据的方法，本申请实施例可提供一种计算机可读存储介质来实现。该计算机可读存储介质上存储有计算机程序指令；该计算机程序指令被处理器执行时实现上述实施例中的一种适用于MQTT服务安全保障的改善方法。

以上所述实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

综上所述，基于本发明的有益效果在于，本专利提供了一种适用于MQTT服务安全保障的改善方法，针对恶意攻击的防护，在基于行业通用的防护策略通道更新的前提下，设计更加低性能损耗、随机规律的响应动作和信息处理，扰乱恶意客户端对服务器安全防护的规律；提升服务器的安全防护能力以及减少对正常业务处理的影响，甚至增加恶意攻击客户端的攻击成本和对服务器攻击的研究周期。

以上所述实施例仅表达了本申请的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本申请构思的前提下，还可以做出若干变形和改进，这些都属于本申请的保护范围。因此，本申请专利的保护范围应以所附权利要求为准。