基于OpenResty的API防护系统的设计与实现

作     者：赵娟娟 

作者单位：武汉轻工大学 

学位级别：硕士

导师姓名：刘昌华

授予年度：2021年

学科分类：08[工学] 0839[工学-网络空间安全] 

主      题：API防护 防篡改 CC攻击 OpenResty平台 受信客户端 

摘      要：随着Web应用的发展,越来越多的人喜欢在网页上上网,因为相比较使用APP来说使用网页上网更方便,不需要下载更多的软件,节约了手机的内存空间。但是Web应用在给人们带来便利的同时也带来了很多威胁,因为网页中的代码都是暴露在页面中的,所以攻击者就会分析其代码逻辑并进行攻击,这会对Web应用的安全问题造成很大的影响。因此,对网页中核心代码的保护显得尤为重要,目前对于Web攻击的一些防护方式要么是牺牲性能来换取网站的安全性,要么是采用极其被动的防护方式,这些都达不到理想的防护效果。所以需要设计一种新的防护方式来既保证网站安全访问的同时又不影响性能。本文针对上述问题进行深入研究提出了一种针对网页中最核心部分即对API请求保护的方法,由于攻击者通常是基于API请求分析并发起攻击的,因此本文设计了一种在客户端对API请求进行签名加密,在服务端通过验证签名是否正确来拦截非法请求的保护方式,在不影响网站性能的情况下实现了用户的安全访问。具体工作主要包含以下三个方面:(1)API防护方法分析。基于WAF对于API非法请求攻击有很低的拦截率问题,本文提出基于受信客户端的防护方法,并通过签名加密的方法实现了受信客户端的防护,最后验证了受信客户端防护方法的对恶意请求的拦截率远远大于WAF的防护方法对恶意请求的拦截率。(2)API防护系统的设计与实现。在客户端使用二进制Web Assembly技术来实现AES算法签名逻辑,避免客户端代码被黑客利用的可能性。在Open Resty平台中验证签名并完成请求转发,实现了API防护系统。(3)系统测试与分析。针对系统需求分析提出的各个功能完成测试,对比本系统的防护效果与API防护方法的防护效果,通过实验验证了本系统的防护效果比WAF的防护效果好很多。最终本文通过设计防护效果对比实验验证了该系统可以有效解决非法API请求拦截率低的问题。另外,本文论证了使用签名加密的方式实现受信客户端的访问对于保护Web服务器的有效性,该系统的研究为未来Web安全的研究提供了一定的帮助。