[发明专利]一种信息处理方法及装置

说明书

本申请提供一种信息处理方法及装置，在现有应用框架的基础上增加了安全校验机制，具体地，服务应用端接收到客户端发送的请求报文后，利用请求解析器中的报文转换器对请求报文进行处理，得到处理结果；利用请求解析器中的请求校验器，对所述处理结果进行安全校验；校验通过后，进行业务逻辑处理并生成响应报文；对所述响应报文进行封装，并将封装后的报文返回至客户端。由于对客户端与服务应用端之间传输的信息即请求报文进行了安全校验，因此可以避免主要针对客户端与服务应用端之间传输数据的中间人攻击。相较于现有技术的安全验证机制，提高了应用的安全性。

技术领域

本申请属于信息安全技术领域，尤其涉及一种信息处理方法及装置。

背景技术

现有的应用框架上，仅存在用于实现对用户鉴权的安全机制，用于保证应用的安全性。但是，随着互联网的发展，用户对应用安全性的要求越来越高，仅对用户鉴权进行安全验证，并不能满足用户对应用安全性的要求。例如，无法避免中间人攻击。

针对此，亟需提高应用的安全性来满足用户要求。

发明内容

有鉴于此，本申请的目的在于提供一种信息处理方法及处理装置，用于提高应用的安全性。

技术方案如下：

本申请提供了一种信息处理方法，包括：

接收到客户端发送的请求报文后，利用请求解析器中的报文转换器对请求报文进行处理，得到处理结果；

利用请求解析器中的请求校验器，对所述处理结果进行安全校验；

校验通过后，进行业务逻辑处理并生成响应报文；

对所述响应报文进行封装，并将封装后的报文返回至客户端。

优选地，所述利用请求解析器中的报文转换器对请求报文进行处理，得到处理结果，包括：

确定所述请求报文的类型；

根据所述请求报文的类型，从所述请求解析器中的报文转换器列表中选择对应的报文转换器；其中，所述报文转换器列表是通过配置项将所需的报文转换器注册到所述请求解析器中生成的；

利用从所述报文转换器列表中选择的报文转换器，对所述请求报文进行转换，得到约定格式的请求报文。

优选地，还包括：

对所述约定格式的请求报文进行解密，得到请求报文数据；

对所述请求报文数据进行XSS过滤，得到过滤后的报文数据。

优选地，所述请求校验器至少包括完整性校验器、防重放攻击校验器、防重复提交校验器、鉴权校验器、终端版本校验器中的一项或多项的组合。

优选地，所述对所述响应报文进行封装，并将封装后的报文返回至客户端，包括：

若所述响应报文为正确响应所述请求报文后生成的返回值，则利用响应解析器将返回值封装为约定格式的响应报文；

若所述响应报文为未被正确响应所述请求报文后生成的异常信息，则利用异常解析器将异常信息封装为约定格式的响应报文；

将所述约定格式的响应报文返回至客户端。

优选地，所述将所述约定格式的响应报文返回至客户端，包括：

对所述约定格式的响应报文进行整体签名，并将所述约定格式的响应报文和所述整体签名发送至客户端，使得客户端接收到响应报文后，基于所述整体签名对所述响应报文进行完整性校验。

优选地，还包括：

将所述请求报文的防重放令牌，添加至所述约定格式的响应报文；