CN102164033A - 防止服务被攻击的方法、设备及系统 - Google Patents
防止服务被攻击的方法、设备及系统 Download PDFInfo
- Publication number
- CN102164033A CN102164033A CN2010101197644A CN201010119764A CN102164033A CN 102164033 A CN102164033 A CN 102164033A CN 2010101197644 A CN2010101197644 A CN 2010101197644A CN 201010119764 A CN201010119764 A CN 201010119764A CN 102164033 A CN102164033 A CN 102164033A
- Authority
- CN
- China
- Prior art keywords
- client
- signature
- server
- authorization information
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种防止服务被攻击的方法、设备及系统,属于信息安全技术领域。该方法包括:接收客户端发送的服务申请,并向客户端下发验证信息,所述验证信息至少包括随机产生的明文及用私钥加密的用户标识;接收所述客户端返回的根据所述验证信息用公钥加密得到的签名;根据所述客户端返回的所述签名验证所述客户端的合法性,如果验证通过,则继续为所述客户端服务,否则,确定所述客户端为非法客户端,丢弃所述非法客户端发送的数据包。本发明通过在为客户端提供服务之前,先对客户端进行合法性验证,且在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因而可以避免因交互密钥存在的危险漏洞,进而达到防止服务被攻击的效果。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及一种防止服务被攻击的方法、设备及系统。
背景技术
很多服务器为了方便用户的访问,直接暴露在公网,因而容易遭到黑客的攻击。黑客攻击服务器一般都是在扫描到网络服务的端口后,通过构造或者篡改数据包,对服务器发起攻击。当服务器受到攻击后,无法鉴别数据包的来源,导致错误的服务非法用户,造成系统的繁忙。
为了使服务器在收到数据包时,能够有效鉴别数据包的来源,从而达到保护服务器正常服务的作用。现有技术采取的第一种防止服务被攻击的方式是对数据包进行加密,并使用安全的数据通道传送经加密的数据包。现有技术采取的第二种防止服务被攻击的方式是在数据包中增加数据签名等信息,证明数据包来源的合法性,该种方式下,客户端根据服务器下发的数据做不可逆的算法,然后利用自身存储的私钥制做签名,当服务器收到客户端发送的签名后,再用客户端发布的公钥对数据包进行解密来验证客户端签名的合法性。
在实现本发明的过程中,发明人发现现有技术至少存在以下缺点:
第一种方式的整个加密体系非常严密,适合安全性要求较高的传输场合,因为建立一次安全通道,在身份的验证以及密钥的交互中需要较多的消耗,因而对于安全性要求不是特别高的情况,该种方式过于复杂,且消耗过大,一般适用于对服务器端的验证;第二种以数据包中增加数字签名的方式来验证客户端合法性的方式,需要把客户端的公钥发布到服务器可以查询的地方,而这一过程存在危险漏洞。
发明内容
为了在不增加过多开销的前提下,实现对安全不严格的服务带来安全的保障机制,预防服务器的服务被攻击,本发明实施例提供了一种防止服务被攻击的方法、设备及系统。所述技术方案如下:
一方面,提供了一种防止服务被攻击的方法,所述方法包括:
接收客户端发送的服务申请,并向所述客户端下发验证信息,所述验证信息至少包括随机产生的明文及用私钥加密的用户标识;
接收所述客户端返回的根据所述验证信息用公钥加密得到的签名;
根据所述客户端返回的所述签名验证所述客户端的合法性,如果验证通过,则继续为所述客户端服务,否则,确定所述客户端为非法客户端,丢弃所述非法客户端发送的数据包。
其中,所述接收所述客户端返回的根据所述验证信息用公钥加密得到的签名,具体包括:
在所述客户端将所述验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并用公钥对所述数字签名明文信息进行加密得到签名后,接收所述客户端返回的所述签名;
相应地,所述根据所述签名验证所述客户端的合法性,具体包括:
将发送的所述明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对所述数字签名明文信息进行加密得到签名后,判断得到的所述签名与所述客户端返回的签名是否一致,如果一致,则判断所述客户端通过验证,否则,判断所述客户端未通过验证。
优选地,所述确定所述客户端为非法客户端之后,还包括:
记录所述非法客户端对应的网际协议IP地址,且在所述非法客户端连续大量发送数据包时,将所述非法客户端对应的IP地址加入到本地的防火墙策略。
具体地,所述继续为所述客户端服务,具体包括:
接收并处理所述客户端发送的携带所述签名的数据包。
可选地,所述向所述客户端下发的验证信息中还包括有效期;
相应地,继续为所述客户端服务,具体包括:
接收所述客户端发送的携带所述签名的数据包,并验证所述签名是否在所述有效期之内,如果是,则处理所述数据包,否则,丢弃所述数据包。
另一方面,提供了一种服务器,所述服务器包括:
第一接收模块,用于接收客户端发送的服务申请;
发送模块,用于在所述第一接收模块接收到所述客户端发送的服务申请后,向所述客户端下发验证信息,所述验证信息至少包括随机产生的明文及用私钥加密的用户标识;
第二接收模块,用于接收所述客户端返回的根据所述发送模块发送的验证信息用公钥加密得到的签名;
验证模块,用于根据所述第二接收模块接收到的所述客户端返回的所述签名验证所述客户端的合法性;
第一处理模块,用于在所述客户端通过所述验证模块的验证后,继续为所述客户端服务;
第二处理模块,用于在所述客户端未通过所述验证模块的验证时,确定所述客户端为非法客户端,丢弃所述非法客户端发送的数据包。
其中,所述第二接收模块,具体用于在所述客户端将所述验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对所述数字签名明文信息进行加密得到签名后,接收所述客户端返回的所述签名;
相应地,所述验证模块,具体用于将发送的所述明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对所述数字签名明文信息进行加密得到签名后,判断得到的所述签名与所述客户端返回的签名是否一致,如果一致,则判断所述客户端通过验证,否则,判断所述客户端未通过验证。
优选地,所述服务器,还包括:
记录模块,用于在所述第二处理模块确定所述客户端为非法客户端之后,记录所述非法客户端对应的网际协议IP地址;
第三处理模块,用于在所述非法客户端连续大量发送数据包时,将所述记录模块记录的所述非法客户端对应的I P地址加入到本地的防火墙策略。
具体地,所述第一处理模块,具体用于在所述客户端通过所述验证模块的验证后,接收并处理所述客户端发送的携带所述签名的数据包。
可选地,如果所述发送模块向所述客户端下发的验证信息中还包括有效期,则所述第一处理模块,具体用于接收所述客户端发送的携带所述签名的数据包,并验证所述签名是否在所述有效期之内,如果是,则处理所述数据包,否则,丢弃所述数据包。
还提供了一种客户端,所述客户端包括:
第一发送模块,用于向服务器发送服务申请;
接收模块,用于接收所述服务器下发的验证信息,所述验证信息至少包括所述服务器随机产生的明文及用私钥加密的用户标识;
签名生成模块,用于在所述接收模块接收到所述服务器下发的验证信息后,根据所述验证信息用公钥加密生成签名;
第二发送模块,用于将所述签名生成模块生成的签名发送给所述服务器,由所述服务器根据所述签名对所述客户端进行验证;
第三发送模块,用于在所述服务器根据所述签名验证所述客户端合法后,向所述服务器发送携带所述签名的数据包。
其中,所述签名生成模块,具体用于将所述接收模块接收到的验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对所述数字签名明文信息进行加密得到签名。
可选地,如果所述接收模块接收到的验证信息中还包括有效期,则所述第一发送模块,还用于在判断所述签名失效后,向所述服务器发送服务申请。
还提供了一种防止服务被攻击的系统,所述系统包括:服务器和客户端;所述服务器如上面所述的任一种服务器,所述客户端如上面所述的任一种客户端。
本发明实施例提供的技术方案的有益效果是:
通过在为客户端提供服务之前,先对客户端进行合法性验证,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,因而可以达到防止服务被攻击的效果,且由于在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因此可以避免因交互密钥而存在的危险漏洞;另外,由于客户端生成的签名具有时效性,能够有效限制并预防非法客户端通过网络数据嗅探和模拟发包对服务器发起恶意攻击。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的防止服务被攻击的方法流程图;
图2是本发明实施例二提供的防止服务被攻击的方法流程图;
图3是本发明实施例三提供的服务器结构示意图;
图4是本发明实施例三提供的另一种服务器结构示意图;
图5是本发明实施例四提供的客户端结构示意图;
图6是本发明实施例五提供的防止服务被攻击的系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
实施例一
参见图1,本实施例提供了一种防止服务被攻击的方法,该方法流程具体如下:
101:接收客户端发送的服务申请,并向该客户端下发验证信息;
其中,验证信息至少包括随机产生的明文及用私钥加密的用户标识;
102:接收客户端返回的根据验证信息用公钥加密得到的签名;
103:根据客户端返回的签名验证该客户端的合法性,如果验证通过,执行104,如果验证未通过,则执行105;
104:继续为该客户端服务,流程结束;
105:确定该客户端为非法客户端,丢弃该非法客户端发送的数据包,流程结束。
本实施例提供的方法,通过在为客户端提供服务之前,先对客户端进行合法性验证,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,因而可以达到防止服务被攻击的效果,且由于在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因此可以避免因交互密钥而存在的危险漏洞。
实施例二
本实施例提供了一种防止服务被攻击的方法,该方法通过服务器在向客户端提供服务之前,先验证客户端的合法性,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,从而达到防止服务被攻击的效果。参见图2,该方法流程具体如下:
201:客户端向服务器发送服务申请;
针对该步骤,为了防止服务器的服务被攻击,客户端在接受服务器的服务之前,需要先向服务器提出服务申请,以便服务器对提出服务申请的客户端进行合法性验证,进而防止服务器的服务被攻击。
202:服务器收到客户端发送的服务申请后,向该客户端下发验证信息;
其中,服务器向客户端下发的验证信息包括但不限于明文及用私钥加密的用户标识,明文是服务器端随机生成的,除此之外,为了防止客户端存储的公钥泄漏给外部其他客户端,本实施例采取了预先将非对称密钥的公钥及私钥保存在服务器端的方式,且私钥对外保密,因此,客户端不需要再将公钥发布给服务器,从而间接增强了服务的安全性。
203:客户端根据服务器下发的验证信息用公钥加密生成签名,并将生成的签名发送给服务器;
具体地,客户端根据服务器下发的验证信息用公钥加密生成签名时,先将验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对数字签名明文信息进行加密,得到一个字符串,该字符串即为客户端的签名。在构成数字签名明文信息时,客户端用非对称加密算法进行了加密操作,本实施例不对具体的非对称算法进行限定,例如,可采用MD5(Message DigestAlgorithm 5,消息摘要算法第五版)摘要算法。
204:服务器根据接收到的签名验证客户端的合法性,如果验证通过,则执行205,如果验证未通过,则执行206。
针对该步骤,服务器在收到客户端发送的签名后,服务器自身也会计算得到一个签名,具体做法是将发送的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对数字签名明文信息进行加密得到签名,并在得到签名后,通过判断得到的签名与客户端返回的签名是否一致,从而验证客户端的合法性,如果两个签名一致,则判断该客户端通过验证,否则,判断该客户端未通过验证。其中,服务器在将明文及用私钥加密的用户标识连接构成数字签名明文信息时,也需要进行不可逆算法,具体算法应与客户端在构成数字签名明文信息时采用的算法保持一致,本实施例对此同样不做具体限定。
205:服务器接收并处理客户端发送的携带签名的数据包,流程结束;
具体地,当客户端通过服务器的合法验证后,如果客户端再向服务器发送数据包,需要在数据包中携带验证时用到的签名,以保证服务器可以通过数据包中携带的签名确认数据包的合法性,从而有效防止非法客户端通过发送非法的数据包攻击服务。
可选地,如果在上述步骤202中,服务器向客户端下发的验证信息还包括有效期,则服务器接收到客户端发送的携带签名的数据包后,除了验证该数据包的合法性之外,还需要验证数据包携带的签名是否在有效期之内,如果是,则处理该数据包,否则,丢弃该数据包。此处对签名赋予时效的作用是,如果某个非法客户端截获了具有签名的数据包,然后伪造自己的身份,企图骗取服务器的信任,登陆服务系统,但由于签名具有一定的时效性,因而可以将该非法攻击限定在一定时间内,从而对服务起到间接保护的作用。关于有效期的长短,本实施例对此不作具体限定,可以为一天,一小时等等。
206:服务器确认该客户端为非法客户端,丢弃该客户端发送的数据包,流程结束。
针对该步骤,通过确认非法客户端,并丢弃非法客户端发送的数据包,进而可以有效防止服务被攻击。
优选地,服务器在将非法客户端发送的数据包丢弃之后,为了对服务系统做全面的保护,如果非法客户端通过构造数据包企图进行网络攻击,服务器会记录下这类非法客户端对应的IP(Internet Protocol,网际协议)地址,且在非法客户端连续大量发送数据包时,将该非法客户端对应的IP地址加入到本地的防火墙策略,从而达到从根本上禁止非法客户端对服务的攻击。
本实施例提供的方法,通过在为客户端提供服务之前,先对客户端进行合法性验证,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,因而可以达到防止服务被攻击的效果,且由于在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因此可以避免因交互密钥而存在的危险漏洞;另外,由于客户端生成的签名具有时效性,能够有效限制并预防非法客户端通过网络数据嗅探和模拟发包对服务器发起恶意攻击。
实施例三
参见图3,本实施例提供了一种服务器,该服务器包括:
第一接收模块301,用于接收客户端发送的服务申请;
发送模块302,用于在第一接收模块301接收到客户端发送的服务申请后,向客户端下发验证信息,验证信息至少包括随机产生的明文及用私钥加密的用户标识;
第二接收模块303,用于接收客户端返回的根据发送模块302发送的验证信息用公钥加密得到的签名;
验证模块304,用于根据第二接收模块303接收到的客户端返回的签名验证客户端的合法性;
第一处理模块305,用于在客户端通过验证模块304的验证后,继续为客户端服务;
第二处理模块306,用于在客户端未通过验证模块304的验证时,确定客户端为非法客户端,丢弃非法客户端发送的数据包。
其中,第二接收模块303,具体用于在客户端将验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对数字签名明文信息进行加密得到签名后,接收客户端返回的签名;
相应地,验证模块304,具体用于将发送的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对数字签名明文信息进行加密得到签名后,判断得到的签名与客户端返回的签名是否一致,如果一致,则判断客户端通过验证,否则,判断客户端未通过验证。
优选地,参见图4,该服务器,还包括:
记录模块307,用于在第二处理模块306确定客户端为非法客户端之后,记录非法客户端对应的网际协议IP地址;
第三处理模块308,用于在非法客户端连续大量发送数据包时,将记录模块307记录的非法客户端对应的IP地址加入到本地的防火墙策略。
具体地,第一处理模块305,具体用于在客户端通过验证模块304的验证后,接收并处理客户端发送的携带签名的数据包。
可选地,如果发送模块302向客户端下发的验证信息中还包括有效期,则第一处理模块305,具体用于接收客户端发送的携带签名的数据包,并验证签名是否在有效期之内,如果是,则处理数据包,否则,丢弃数据包。
本实施例提供的服务器,通过在为客户端提供服务之前,先对客户端进行合法性验证,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,因而可以达到防止服务被攻击的效果,且由于在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因此可以避免因交互密钥而存在的危险漏洞;另外,由于客户端生成的签名具有时效性,能够有效限制并预防非法客户端通过网络数据嗅探和模拟发包对服务器发起恶意攻击。
实施例四
参见图5,本实施例提供了一种客户端,该客户端包括:
第一发送模块501,用于向服务器发送服务申请;
接收模块502,用于接收服务器下发的验证信息,验证信息至少包括服务器随机产生的明文及用私钥加密的用户标识;
签名生成模块503,用于在接收模块502接收到服务器下发的验证信息后,根据验证信息用公钥加密生成签名;
第二发送模块504,用于将签名生成模块503生成的签名发送给服务器,由服务器根据签名对客户端进行合法性验证;
第三发送模块505,用于在服务器根据签名验证客户端合法后,向服务器发送携带签名的数据包。
其中,签名生成模块503,具体用于将接收模块502接收到的验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对数字签名明文信息进行加密得到签名。
可选地,如果接收模块502接收到的验证信息中还包括有效期,则第一发送模块501,还用于在判断签名失效后,向服务器发送服务申请。
本实施例提供的客户端,需要先接受服务器的合法性验证,并在验证通过之后,再向服务器发送数据包,进而达到防止服务被攻击的效果;另外,由于客户端生成的签名具有时效性,能够有效限制并预防非法客户端通过网络数据嗅探和模拟发包对服务器发起恶意攻击。
实施例五
参见图6,本实施例提供了一种防止服务被攻击的系统,该系统包括:服务器601和客户端602;
其中,服务器601如上述实施例三提供的服务器;客户端602如上述实施例四提供的客户端。
综上,本实施例提供的系统,通过在为客户端提供服务之前,先对客户端进行合法性验证,并在确认客户端为非法客户端之后,丢弃非法客户端发送的数据包,因而可以达到防止服务被攻击的效果,且由于在验证过程中未增加过多开销,也无需交互服务器和客户端之间的密钥,因此可以避免因交互密钥而存在的危险漏洞;另外,由于客户端生成的签名具有时效性,能够有效限制并预防非法客户端通过网络数据嗅探和模拟发包对服务器发起恶意攻击。
需要说明的是:上述实施例三和四提供的服务器及客户端设备在实现防止服务被攻击时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将设备的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的防止服务被攻击的系统、服务器及客户端设备,均与防止服务被攻击的方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
本发明实施例中的全部或部分步骤,可以利用软件实现,相应的软件程序可以存储在可读取的存储介质中,如光盘或硬盘等。
以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (14)
1.一种防止服务被攻击的方法,其特征在于,所述方法包括:
接收客户端发送的服务申请,并向所述客户端下发验证信息,所述验证信息至少包括随机产生的明文及用私钥加密的用户标识;
接收所述客户端返回的根据所述验证信息用公钥加密得到的签名;
根据所述客户端返回的所述签名验证所述客户端的合法性,如果验证通过,则继续为所述客户端服务,否则,确定所述客户端为非法客户端,丢弃所述非法客户端发送的数据包。
2.根据权利要求1所述的方法,其特征在于,所述接收所述客户端返回的根据所述验证信息用公钥加密得到的签名,具体包括:
在所述客户端将所述验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并用公钥对所述数字签名明文信息进行加密得到签名后,接收所述客户端返回的所述签名;
相应地,所述根据所述签名验证所述客户端的合法性,具体包括:
将发送的所述明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对所述数字签名明文信息进行加密得到签名后,判断得到的所述签名与所述客户端返回的签名是否一致,如果一致,则判断所述客户端通过验证,否则,判断所述客户端未通过验证。
3.根据权利要求1所述的方法,其特征在于,所述确定所述客户端为非法客户端之后,还包括:
记录所述非法客户端对应的网际协议IP地址,且在所述非法客户端连续大量发送数据包时,将所述非法客户端对应的IP地址加入到本地的防火墙策略。
4.根据权利要求1所述的方法,其特征在于,所述继续为所述客户端服务,具体包括:
接收并处理所述客户端发送的携带所述签名的数据包。
5.根据权利要求1所述的方法,其特征在于,所述向所述客户端下发的验证信息中还包括有效期;
相应地,继续为所述客户端服务,具体包括:
接收所述客户端发送的携带所述签名的数据包,并验证所述签名是否在所述有效期之内,如果是,则处理所述数据包,否则,丢弃所述数据包。
6.一种服务器,其特征在于,所述服务器包括:
第一接收模块,用于接收客户端发送的服务申请;
发送模块,用于在所述第一接收模块接收到所述客户端发送的服务申请后,向所述客户端下发验证信息,所述验证信息至少包括随机产生的明文及用私钥加密的用户标识;
第二接收模块,用于接收所述客户端返回的根据所述发送模块发送的验证信息用公钥加密得到的签名;
验证模块,用于根据所述第二接收模块接收到的所述客户端返回的所述签名验证所述客户端的合法性;
第一处理模块,用于在所述客户端通过所述验证模块的验证后,继续为所述客户端服务;
第二处理模块,用于在所述客户端未通过所述验证模块的验证时,确定所述客户端为非法客户端,丢弃所述非法客户端发送的数据包。
7.根据权利要求6所述的服务器,其特征在于,所述第二接收模块,具体用于在所述客户端将所述验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并用公钥对所述数字签名明文信息进行加密得到签名后,接收所述客户端返回的所述签名;
相应地,所述验证模块,具体用于将发送的所述明文及用私钥加密的用户标识连接构成数字签名明文信息,并以私钥对所述数字签名明文信息进行加密得到签名后,判断得到的所述签名与所述客户端返回的签名是否一致,如果一致,则判断所述客户端通过验证,否则,判断所述客户端未通过验证。
8.根据权利要求6所述的服务器,其特征在于,所述服务器,还包括:
记录模块,用于在所述第二处理模块确定所述客户端为非法客户端之后,记录所述非法客户端对应的网际协议IP地址;
第三处理模块,用于在所述非法客户端连续大量发送数据包时,将所述记录模块记录的所述非法客户端对应的IP地址加入到本地的防火墙策略。
9.根据权利要求6所述的服务器,其特征在于,所述第一处理模块,具体用于在所述客户端通过所述验证模块的验证后,接收并处理所述客户端发送的携带所述签名的数据包。
10.根据权利要求6所述的服务器,其特征在于,如果所述发送模块向所述客户端下发的验证信息中还包括有效期,则所述第一处理模块,具体用于接收所述客户端发送的携带所述签名的数据包,并验证所述签名是否在所述有效期之内,如果是,则处理所述数据包,否则,丢弃所述数据包。
11.一种客户端,其特征在于,所述客户端包括:
第一发送模块,用于向服务器发送服务申请;
接收模块,用于接收所述服务器下发的验证信息,所述验证信息至少包括所述服务器随机产生的明文及用私钥加密的用户标识;
签名生成模块,用于在所述接收模块接收到所述服务器下发的验证信息后,根据所述验证信息用公钥加密生成签名;
第二发送模块,用于将所述签名生成模块生成的签名发送给所述服务器,由所述服务器根据所述签名对所述客户端进行合法性验证;
第三发送模块,用于在所述服务器根据所述签名验证所述客户端合法后,向所述服务器发送携带所述签名的数据包。
12.根据权利要求11所述的客户端,其特征在于,所述签名生成模块,具体用于将所述接收模块接收到的验证信息中的明文及用私钥加密的用户标识连接构成数字签名明文信息,并以公钥对所述数字签名明文信息进行加密得到签名。
13.根据权利要求11所述的客户端,其特征在于,如果所述接收模块接收到的验证信息中还包括有效期,则所述第一发送模块,还用于在判断所述签名失效后,向所述服务器发送服务中请。
14.一种防止服务被攻击的系统,其特征在于,所述系统包括:服务器和客户端;
所述服务器如权利要求6至10任一权利要求所述的服务器;
所述客户端如权利要求11至13任一权利要求所述的客户端。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010119764.4A CN102164033B (zh) | 2010-02-24 | 2010-02-24 | 防止服务被攻击的方法、设备及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201010119764.4A CN102164033B (zh) | 2010-02-24 | 2010-02-24 | 防止服务被攻击的方法、设备及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102164033A true CN102164033A (zh) | 2011-08-24 |
CN102164033B CN102164033B (zh) | 2014-05-28 |
Family
ID=44465025
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201010119764.4A Active CN102164033B (zh) | 2010-02-24 | 2010-02-24 | 防止服务被攻击的方法、设备及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN102164033B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103036880A (zh) * | 2012-12-12 | 2013-04-10 | 华为技术有限公司 | 网络信息传输方法、设备及系统 |
CN103209161A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 一种访问请求处理方法及装置 |
CN103795542A (zh) * | 2014-01-24 | 2014-05-14 | 中国工商银行股份有限公司 | 一种数字签名认证方法及装置 |
CN104954327A (zh) * | 2014-03-27 | 2015-09-30 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
CN104980445A (zh) * | 2015-07-02 | 2015-10-14 | 郑州悉知信息技术有限公司 | 一种通信验证方法、装置及系统 |
CN105577627A (zh) * | 2014-11-11 | 2016-05-11 | 腾讯数码(天津)有限公司 | 通信方法、装置、网络设备、终端设备和通信系统 |
CN107666470A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种验证信息的处理方法及装置 |
CN107835167A (zh) * | 2017-10-31 | 2018-03-23 | 努比亚技术有限公司 | 一种数据保护的方法、终端及计算机可读存储介质 |
CN108833601A (zh) * | 2018-09-27 | 2018-11-16 | 微特技术有限公司 | 一种用于履带式起重机安全监控系统的4g通讯模块及方法 |
CN110113351A (zh) * | 2019-05-14 | 2019-08-09 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
CN110677431A (zh) * | 2019-10-14 | 2020-01-10 | 云深互联(北京)科技有限公司 | 一种双向验证的方法和装置 |
CN110912869A (zh) * | 2019-10-15 | 2020-03-24 | 合肥科技职业学院 | 一种基于大数据的监控提醒方法 |
CN111865924A (zh) * | 2020-06-24 | 2020-10-30 | 新浪网技术(中国)有限公司 | 一种监控用户端方法及系统 |
CN112003815A (zh) * | 2019-05-27 | 2020-11-27 | 阿里巴巴集团控股有限公司 | 通信系统、方法和装置、定位系统、计算设备和存储介质 |
CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
CN114650180A (zh) * | 2022-03-31 | 2022-06-21 | 广东省工业边缘智能创新中心有限公司 | 微服务鉴权认证方法及其系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1377540A (zh) * | 1999-10-01 | 2002-10-30 | 艾利森电话股份有限公司 | 在无线网络中执行保密数据传输的方法和设备 |
WO2003088612A2 (fr) * | 2002-04-12 | 2003-10-23 | Thomson Licensing S.A. | Procede d'authentification anonyme d'un emetteur de donnees |
CN101136046A (zh) * | 2006-08-28 | 2008-03-05 | 鸿富锦精密工业(深圳)有限公司 | 电子签名验证系统及方法 |
-
2010
- 2010-02-24 CN CN201010119764.4A patent/CN102164033B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1377540A (zh) * | 1999-10-01 | 2002-10-30 | 艾利森电话股份有限公司 | 在无线网络中执行保密数据传输的方法和设备 |
WO2003088612A2 (fr) * | 2002-04-12 | 2003-10-23 | Thomson Licensing S.A. | Procede d'authentification anonyme d'un emetteur de donnees |
CN101136046A (zh) * | 2006-08-28 | 2008-03-05 | 鸿富锦精密工业(深圳)有限公司 | 电子签名验证系统及方法 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103209161B (zh) * | 2012-01-16 | 2018-05-04 | 深圳市腾讯计算机系统有限公司 | 一种访问请求处理方法及装置 |
CN103209161A (zh) * | 2012-01-16 | 2013-07-17 | 深圳市腾讯计算机系统有限公司 | 一种访问请求处理方法及装置 |
CN103036880A (zh) * | 2012-12-12 | 2013-04-10 | 华为技术有限公司 | 网络信息传输方法、设备及系统 |
CN103795542A (zh) * | 2014-01-24 | 2014-05-14 | 中国工商银行股份有限公司 | 一种数字签名认证方法及装置 |
CN104954327A (zh) * | 2014-03-27 | 2015-09-30 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
CN104954327B (zh) * | 2014-03-27 | 2019-02-22 | 东华软件股份公司 | 用于终端连接控制的服务器及方法、终端及方法、和系统 |
CN105577627A (zh) * | 2014-11-11 | 2016-05-11 | 腾讯数码(天津)有限公司 | 通信方法、装置、网络设备、终端设备和通信系统 |
CN104980445A (zh) * | 2015-07-02 | 2015-10-14 | 郑州悉知信息技术有限公司 | 一种通信验证方法、装置及系统 |
CN107666470A (zh) * | 2016-07-28 | 2018-02-06 | 腾讯科技(深圳)有限公司 | 一种验证信息的处理方法及装置 |
CN107835167A (zh) * | 2017-10-31 | 2018-03-23 | 努比亚技术有限公司 | 一种数据保护的方法、终端及计算机可读存储介质 |
CN108833601B (zh) * | 2018-09-27 | 2021-07-30 | 微特技术有限公司 | 一种用于履带式起重机安全监控系统的4g通讯模块及方法 |
CN108833601A (zh) * | 2018-09-27 | 2018-11-16 | 微特技术有限公司 | 一种用于履带式起重机安全监控系统的4g通讯模块及方法 |
CN110113351A (zh) * | 2019-05-14 | 2019-08-09 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
CN110113351B (zh) * | 2019-05-14 | 2022-08-16 | 辽宁途隆科技有限公司 | Cc攻击的防护方法及装置、存储介质、计算机设备 |
CN112003815A (zh) * | 2019-05-27 | 2020-11-27 | 阿里巴巴集团控股有限公司 | 通信系统、方法和装置、定位系统、计算设备和存储介质 |
CN110677431A (zh) * | 2019-10-14 | 2020-01-10 | 云深互联(北京)科技有限公司 | 一种双向验证的方法和装置 |
CN110912869A (zh) * | 2019-10-15 | 2020-03-24 | 合肥科技职业学院 | 一种基于大数据的监控提醒方法 |
CN111865924A (zh) * | 2020-06-24 | 2020-10-30 | 新浪网技术(中国)有限公司 | 一种监控用户端方法及系统 |
CN111865924B (zh) * | 2020-06-24 | 2022-07-19 | 新浪网技术(中国)有限公司 | 一种监控用户端方法及系统 |
CN113992532A (zh) * | 2021-12-27 | 2022-01-28 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
CN113992532B (zh) * | 2021-12-27 | 2022-03-25 | 广州敏行区块链科技有限公司 | 一种区块链底层系统的测试方法及其系统 |
CN114650180A (zh) * | 2022-03-31 | 2022-06-21 | 广东省工业边缘智能创新中心有限公司 | 微服务鉴权认证方法及其系统 |
Also Published As
Publication number | Publication date |
---|---|
CN102164033B (zh) | 2014-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102164033B (zh) | 防止服务被攻击的方法、设备及系统 | |
CN109309565B (zh) | 一种安全认证的方法及装置 | |
US8307208B2 (en) | Confidential communication method | |
US20160337321A1 (en) | Secure communication method and apparatus | |
CN101588245B (zh) | 一种身份认证的方法、系统及存储设备 | |
US8417949B2 (en) | Total exchange session security | |
CN109728909A (zh) | 基于USBKey的身份认证方法和系统 | |
US7930542B2 (en) | MashSSL: a novel multi party authentication and key exchange mechanism based on SSL | |
JP2021524944A (ja) | マルチパーティ計算(mpc)による物のインターネット・セキュリティ | |
KR20030010667A (ko) | 다수의 서버를 사용하는 리모트 패스워드 인증을 위한시스템, 방법 및 소프트웨어 | |
CN102355663B (zh) | 基于分离机制网络的可信域间快速认证方法 | |
CN107483429B (zh) | 一种数据加密方法和装置 | |
CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
Chen et al. | Security analysis and improvement of user authentication framework for cloud computing | |
CN103236931A (zh) | 一种基于tpm的身份验证方法及系统以及相关设备 | |
CN101808142A (zh) | 通过路由器或交换机实现可信网络连接的方法和装置 | |
CN112351037A (zh) | 用于安全通信的信息处理方法及装置 | |
CN114513339A (zh) | 一种安全认证方法、系统及装置 | |
CN116633530A (zh) | 量子密钥传输方法、装置及系统 | |
Han et al. | A survey on MITM and its countermeasures in the TLS handshake protocol | |
CN116743470A (zh) | 业务数据加密处理方法及装置 | |
Darwish et al. | A model to authenticate requests for online banking transactions | |
CN110611679A (zh) | 一种数据传输方法、装置、设备及系统 | |
CN113645115B (zh) | 虚拟专用网络接入方法和系统 | |
CN103139218B (zh) | 分离机制网络中可信域间映射更新认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20160115 Address after: The South Road in Guangdong province Shenzhen city Fiyta building 518057 floor 5-10 Nanshan District high tech Zone Patentee after: Shenzhen Tencent Computer System Co., Ltd. Address before: 518000 Guangdong city of Shenzhen province Futian District SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |