(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211129106.2 (22)申请日 2022.09.16 (71)申请人 北京易诚互动网络技 术股份有限公 司 地址 100192 北京市海淀区西小口路6 6号 中关村东升科技园A-1楼二层201B室 (72)发明人 申志强　田玉兵　 (74)专利代理 机构 北京卓岚智财知识产权代理 有限公司 1 1624 专利代理师 蔡永波 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/51(2022.01) G06Q 40/04(2012.01) (54)发明名称 一种保障互联网应用安全的方法及装置 (57)摘要 本发明实施例提供一种保障互联网应用安 全的方法及装置， 装置即逻辑防火墙架设于服务 端的应用服务器之前， 针对每个应用， 获取当前 实际操作步骤对应的上行数据； 识别用户在应用 所请求的业务； 获取业务流程的按预设顺序组成 的各预设操作步骤， 根据请求路径、 上行参数识 别上行数据在业务的流程中对应的预设操作步 骤； 若在当前 实际操作步骤对应的预设操作步骤 之前， 缺少与预设操作步骤对应的实际操作步 骤， 和/或， 有效实际操作步骤的顺序与业务预设 操作步骤的顺序不一致， 则停止将当前实际操作 步骤对应的上行数据转发给应用服务器； 否则将 当前实际操作步骤对应的上行数据转发给应用 服务器。 有效的解决了利用业务流程上的漏洞的 攻击行为。 权利要求书4页 说明书21页 附图4页 CN 115514548 A 2022.12.23 CN 115514548 A 1.一种保障互联网应用安全的方法， 其特征在于， 将逻辑防火墙架设于服务端的应用 服务器之前， 所述保障互联网应用安全的方法包括： 针对每个应用， 通过逻辑防火墙获取用户请求应用时发送的当前实际操作步骤对应的 上行数据； 根据请求应用的上行数据解析出请求路径、 上行参数并保存， 根据请求路径、 上行参数 识别用户在应用所请求的业 务； 获取所述业务的流程中按预设顺序组成的各预设操作步骤， 根据请求路径、 上行参数 识别所述上行数据在所述业务的流程中对应的预设操作步骤； 其中， 所述业务是 由各操作 步骤相应的微 服务组成； 获取用户发送的关于所述业务的有效实际操作步骤， 获取所述业务按预设顺序组成的 预设操作步骤， 将用户的关于所述业务的有效实际操作的上行数据与预设操作步骤的上行 数据进行比对， 验证在当前实际操作步骤对应的预设操作步骤之前， 是否缺少与预设操作 步骤对应的实际操作步骤， 以及验证该用户请求所述业务的有效的实际操作步骤的顺序是 否与所述预设操作步骤的顺序一致； 其中， 每个所述实际操作步骤包括用户发送的上行数 据； 若在当前实际操作步骤对应的预设操作步骤之前， 缺少与预设操作步骤对应的实际操 作步骤， 和/或， 该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的 顺序不一致， 则停止将当前实际操作步骤对应的上行数据转发给应用服务器， 并返回错误 提示； 若在当前实际操作步骤对应的预设操作步骤之前， 不缺少与 预设操作步骤对应的实际 操作步骤， 且该用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺 序一致， 将当前实际操作步骤 对应的上 行数据转发给应用服 务器。 2.根据权利要求1所述的保障互联网应用安全的方法， 其特征在于， 在所述若在 当前实 际操作步骤对应的预设操作步骤之前， 不缺少与预设操作步骤对应的实际操作步骤， 且该 用户请求该应用的有效实际操作步骤的顺序与所述业务预设操作步骤的顺序一致之后， 还 包括： 针对用户发送的关于所述业务的当前实际操作步骤的上行数据， 确定在验证属性内是 否设置对当前实际操作步骤的上行数据的特定字段进 行验证， 当确定 设置对当前实际操作 步骤的上行数据的特定字段进 行验证时， 则根据预设的验证方式对当前实际操作步骤的上 行数据进行验证； 所述对特定字段的验证包括验证字段类型、 字段范围、 字段的数据格式、 字段是否缺 失， 且字段类型包括脱敏字段； 其中， 所述针对用户发送的关于所述业务的当前 实际操作步骤的上行数据， 确定在 验证属性内是否 设置对当前实际操作步骤的上行数据的 特定字段进行验证， 具体包括： 采用当前实际操作步骤之前实际操作步骤的上行数据和/ 或、 下行数据， 与当前实际操作步骤的上行数据和/或、 下行数据之间的所定义的逻辑来验 证当前实际操作步骤的上 行数据； 在当前实际操作步骤对应的上行数据通过验证后， 将当前实际操作步骤对应的上行数 据转发给应用服 务器； 否则， 停止将当前实际操作步骤 对应的上 行数据转发给应用服 务器。 3.根据权利要求1所述的保障互联网应用安全的方法， 其特征在于， 根据用户请求应用 发送的当前实际操作步骤对应的上行数据解析确定用户唯一标识， 以及获取应用服务器根权　利　要　求　书 1/4 页 2 CN 115514548 A 2据所述上行数据返回的下行数据， 对所述下行数据进行解析确定用户唯一标识； 将包含所 述用户唯一标识相同的上行数据、 下行数据认定为同一用户的上行数据、 下行数据； 其中， 每个所述实际操作步骤 还包括根据所述上 行数据返回给用户的下 行数据； 将用户所述业务的上行数据、 下行数据解析后按照各自生成时间的顺序保存， 设置该 用户关于该请求所述 业务的上行数据、 下行数据的生命周期； 所述保障互联网应用安全的方法， 还 包括： 在当前实际操作步骤对应的上行数据通过验证后， 将应用服务器根据 所述上行数据返 回的下行数据进行返回。 4.根据权利要求3所述的保障互联网应用安全的方法， 其特征在于， 在所述根据请求路 径、 上行参数识别所述上 行数据在所述 业务的流程中对应的预设操作步骤之后， 还 包括： 若所述上行数据在所述业务的流程中对应的预设操作步骤为非防护流程中的步骤， 则 将当前实际操作步骤 对应的上 行数据转发给应用服 务器； 若所述上行数据在所述业务的流程中对应的预设操作步骤为是所述业务的开始步骤， 则清理所述用户关于所述业务在最近第一预设时间内保存的上行数据、 下行数据， 并自所 述开始步骤重新 开始保存实际操作步骤 对应的上 行数据、 下行数据； 判断当前实际操作步骤是否在流程过期时间内是否完成， 若当前实际操作步骤在流程 过期时间内未完成， 则清除所述用户关于所述业务的所有上行数据、 下行数据， 重新开始保 存所述业务的上行数据、 下行数据。 5.根据权利要求1所述的保障互联网应用安全的方法， 其特征在于， 在所述将逻辑防火 墙架设于服 务端的应用服 务器之前的同时， 还 包括： 通过所述应用具有的程序接口API说明书和/或、 应用操作手册， 确定所述业务的流程 的按预设顺序组成的各 预设操作步骤； 或 通过查看所述业务的操作日志， 根据 所述业务的操作日志中的业务的流程中的步骤顺 序及步骤请求的上行数据、 下行数据、 上行数据内的上行参数以及请求的逻辑顺序， 确定所 述业务的流程中的按预设顺序组成的各 预设操作步骤。 6.一种保障互联网应用安全的装置， 其特征在于， 所述保障互联网应用安全的装置包 括逻辑防火墙， 将所述逻辑防火墙架设于服 务端的应用服 务器之前， 所述逻辑防火墙包括： 数据获取单元， 用于针对每个应用， 获取用户请求应用时发送的当前实 际操作步骤对 应的上行数据； 数据解析 单元， 用于根据请求应用的上 行数据解析 出请求路径、 上 行参数并保存； 流程识别单元， 用于根据请求路径、 上行参数识别用户在应用所请求的业务； 获取所述 业务的流程中按预设顺序 组成的各预设操作步骤， 根据请求路径、 上行参数识别所述上行 数据在所述业务的流程中对应的预设操作步骤； 其中， 所述业务是 由各操作步骤相应的微 服务组成； 流程检查单元， 用于获取用户发送的关于所述业务的有效实 际操作步骤， 获取所述业 务按预设顺序组成的预设操作步骤， 将用户的关于所述业务的有效实际操作的上行数据与 预设操作步骤的上行数据进行比对， 验证在当前实际操作步骤对应的预设操作步骤之前， 是否缺少与预设操作步骤对应的实际操作步骤， 以及验证该用户请求所述业务的有效的实 际操作步骤的顺序是否与所述预设操作步骤的顺序一致； 其中， 每个所述实际操作步骤包权　利　要　求　书 2/4 页 3 CN 115514548 A 3