CN102624892A - 一种防止外挂客户端模拟http请求的方法 - Google Patents
一种防止外挂客户端模拟http请求的方法 Download PDFInfo
- Publication number
- CN102624892A CN102624892A CN2012100596218A CN201210059621A CN102624892A CN 102624892 A CN102624892 A CN 102624892A CN 2012100596218 A CN2012100596218 A CN 2012100596218A CN 201210059621 A CN201210059621 A CN 201210059621A CN 102624892 A CN102624892 A CN 102624892A
- Authority
- CN
- China
- Prior art keywords
- request
- plug
- browser
- timestamp
- client
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开一种防止外挂客户端模拟HTTP请求的方法,其包括以下步骤:(1)浏览器发出普通HTTP请求;(2)浏览器内置的BHO插件拦截普通HTTP请求,其中BHO为浏览器帮助插件;(3)BHO插件获取当前时间,并把当前时间通过3DES加密算法进行加密,并对密文进行Base64编码,从而生成加密时间戳;(4)浏览器发起一个新的请求,把加密时间戳传递到服务器;(5)服务器根据加密时间戳判断该请求是否为外挂客户端的请求。通过采用上述方法,能够防止外挂客户端模拟HTTP请求并访问网络运营支撑系统,从而增加系统的稳定性和安全性。
Description
技术领域
本发明涉及一种安全访问网络运营支撑系统的方法,特别地涉及一种防止外挂客户端模拟HTTP请求的方法。
背景技术
在电信行业内的基于浏览器/服务器结构的运营支撑系统中,一般采用HTTP作为浏览器与服务器之间的数据传输协议,这样在浏览器和服务器之间的通信过程中,通常的步骤是:(1)浏览器向服务器发出请求;(2)服务器获得请求;(3)服务器处理请求;(4)服务器把处理结果数据返回给浏览器;(5)浏览器收取结果数据,并把数据展现给用户。通过采用这样简单的通信方式,外挂的客户端很容易模拟HTTP请求,从而导致运营支撑系统的不稳定性和不安全性。
发明内容:
为了防止外挂客户端很容易地模拟普通的HTTP请求,同时为了增强网络运营支撑系统的安全性,本发明提供一种防止外挂客户端模拟HTTP请求的方法,其包括以下步骤:
(1)浏览器发出普通HTTP请求;
(2)浏览器内置的BHO插件拦截普通HTTP请求,其中BHO为浏览器帮助插件;
(3)BHO插件获取当前时间,并把当前时间通过3DES加密算法进行加密,并对密文进行Base64编码,从而生成加密时间戳;
(4)浏览器发起一个新的请求,把加密时间戳传递到服务器;
(5)服务器根据加密时间戳判断该请求是否为外挂客户端的请求。
这样,通过采用上述方法能够防止外挂客户端模拟HTTP请求并访问网络运营支撑系统,从而增加系统的稳定性和安全性。
附图说明:
图1是本发明的一种防止外挂客户端模拟HTTP请求的方法的流程图;
图2是是本发明的一种防止外挂客户端模拟HTTP请求的方法中浏览器与服务器之间的通信示意图。
具体实施方式:
参照附图1,提供了一种防止外挂客户端模拟HTTP请求的方法的具体实施例,该方法包括以下步骤:
1、浏览器发出普通HTTP请求;
2、浏览器内置的BHO插件(Browser Helper Object,浏览器帮助插件)拦截普通HTTP请求;
3、BHO插件获取当前时间,并把当前时间通过3DES加密算法进行加密,并对密文进行Base64编码,从而生成加密时间戳;
其中, 3DES加密又称Triple DES,是DES加密算法的一种模式,它使用3条56位的密钥对 3DES数据进行三次加密。数据加密标准(DES)是美国的一种由来已久的加密标准,它使用对称密钥加密法,并于1981年被ANSI组织规范为ANSI X.3.92。DES使用56位密钥和密码块的方法,而在密码块的方法中,文本被分成64位大小的文本块然后再进行加密。比起最初的DES,3DES加密方式更为安全);而Base64是网络上最常见的用于传输8Bit字节代码的编码方式之一。
4、浏览器发起一个新的请求,把加密时间戳传递到服务器;具体通信过程如图2所示。
5、服务器中的web容器接收加密时间戳,并对加密时间戳进行解密,其中包括Base64解密和3DES解密,如果解密错误,则存入时间值为-1并判定为外挂;如果解密正确,则保存当前时间,并返回至BHO插件;
6、当解密正确的情况下,BHO插件允许浏览器继续发起普通HTTP请求;
7、在服务器中处理普通HTTP请求时,需要判定当前时间与时间戳的时间差值,如果时间差值大于阀值,则判定为外挂请求,返回错误,否则处理请求;
8、服务器在处理完请求后把处理结果数据返回给浏览器;
9、浏览器收取结果数据,并把数据展现给用户。
需要说明的是,本发明所举实施例只是为了更清楚地表达本发明方法,并不用于限制本发明。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
在S(服务器)端配置过滤器。
过滤器就是在源数据和目的数据之间起过滤作用的中间组件。对Web应用来说,过滤器是一个驻留在服务器端的Web组件,它可以截取客户端和资源之间的请求与响应信息,并对这些信息进行过滤。
当Web容器接受到一个对资源的请求时,它将判断是否有过滤器与这个资源相关联。如果有,那么容器将把请求交给过滤器进行处理。在WEB防止外挂中,对所有访问服务器的请求都匹配验证过滤器,进行相关安全验证。
Claims (10)
1.一种防止外挂客户端模拟HTTP请求的方法,其包括以下步骤:
(1)浏览器发出普通HTTP请求;
(2)浏览器内置的BHO插件拦截普通HTTP请求,其中BHO为浏览器帮助插件;
(3)BHO插件获取当前时间,并把当前时间通过3DES加密算法进行加密,并对密文进行Base64编码,从而生成加密时间戳;
(4)浏览器发起一个新的请求,把加密时间戳传递到服务器;
(5)即服务器根据加密时间戳判断该HTTP请求是否为外挂客户端的请求。
2.如权利要求1所述的方法,其特征在于:在服务器根据加密时间戳判断该请求是否为外挂客户端的请求时,包括以下步骤:服务器中的web容器接收加密时间戳,并对加密时间戳进行解密,如果解密错误,则存入时间值为-1并判定为外挂客户端请求;如果解密正确,则保存当前时间,并返回至BHO插件。
3.如权利要求2所述的方法,其特征在于:对加密时间戳进行解密包括Base64解密和3DES解密。
4.如权利要求3所述的方法,其特征在于:当解密正确的情况下,BHO插件允许浏览器继续发起普通HTTP请求。
5.如权利要求4所述的方法,其特征在于:当浏览器继续向服务器发起普通HTTP请求后,在服务器中处理普通HTTP请求时,需要判定当前时间与时间戳的时间差值。
6.如权利要求5所述的方法,其特征在于:在当判定当前时间与时间戳地时间差值时,如果时间差值大于阀值,则判定为外挂客户端的请求,返回错误,否则处理请求。
7.如权利要求6所述的方法,其特征在于:服务器在处理完请求后把处理结果数据返回给浏览器。
8.如权利要求7所述的方法,其特征在于:浏览器收取结果数据,并把数据展现给用户。
9.权利要求1-8中任一项所述的方法,其特征在于:3DES加密是DES加密算法的一种模式,它使用3条56位的密钥对3DES数据进行三次加密。
10.权利要求1-8中任一项所述的方法,其特征在于:Base64是最常用的用于传输8Bit字节代码的编码方式之一。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059621.8A CN102624892B (zh) | 2012-03-08 | 2012-03-08 | 一种防止外挂客户端模拟http请求的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210059621.8A CN102624892B (zh) | 2012-03-08 | 2012-03-08 | 一种防止外挂客户端模拟http请求的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102624892A true CN102624892A (zh) | 2012-08-01 |
| CN102624892B CN102624892B (zh) | 2016-03-16 |
Family
ID=46564574
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210059621.8A Active CN102624892B (zh) | 2012-03-08 | 2012-03-08 | 一种防止外挂客户端模拟http请求的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102624892B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099676A (zh) * | 2014-04-18 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 一种用户登录方法、用户终端及服务器 |
| CN106209606A (zh) * | 2016-08-31 | 2016-12-07 | 北京深思数盾科技股份有限公司 | 一种安全使用web邮件的方法、终端和系统 |
| CN108074151A (zh) * | 2016-11-14 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 电子商务的防刷单方法和系统 |
| CN110311892A (zh) * | 2019-05-23 | 2019-10-08 | 视联动力信息技术股份有限公司 | 一种数据获取方法和服务器 |
| CN110891065A (zh) * | 2019-12-03 | 2020-03-17 | 西安博达软件股份有限公司 | 一种基于Token的用户身份辅助加密的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| CN101640682A (zh) * | 2009-06-04 | 2010-02-03 | 深圳市汇海科技开发有限公司 | 一种改善Web服务安全性的方法 |
| CN102158367A (zh) * | 2010-12-17 | 2011-08-17 | 中国科学技术大学苏州研究院 | 主动反外挂的网络游戏系统及网络游戏系统反外挂方法 |
-
2012
- 2012-03-08 CN CN201210059621.8A patent/CN102624892B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101388768A (zh) * | 2008-10-21 | 2009-03-18 | 北京启明星辰信息技术股份有限公司 | 检测恶意http请求的方法及装置 |
| CN101640682A (zh) * | 2009-06-04 | 2010-02-03 | 深圳市汇海科技开发有限公司 | 一种改善Web服务安全性的方法 |
| CN102158367A (zh) * | 2010-12-17 | 2011-08-17 | 中国科学技术大学苏州研究院 | 主动反外挂的网络游戏系统及网络游戏系统反外挂方法 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105099676A (zh) * | 2014-04-18 | 2015-11-25 | 阿里巴巴集团控股有限公司 | 一种用户登录方法、用户终端及服务器 |
| CN105099676B (zh) * | 2014-04-18 | 2018-10-02 | 阿里巴巴集团控股有限公司 | 一种用户登录方法、用户终端及服务器 |
| CN106209606A (zh) * | 2016-08-31 | 2016-12-07 | 北京深思数盾科技股份有限公司 | 一种安全使用web邮件的方法、终端和系统 |
| CN106209606B (zh) * | 2016-08-31 | 2019-11-12 | 北京深思数盾科技股份有限公司 | 一种安全使用web邮件的方法、终端和系统 |
| CN108074151A (zh) * | 2016-11-14 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 电子商务的防刷单方法和系统 |
| CN108074151B (zh) * | 2016-11-14 | 2021-09-03 | 北京京东尚科信息技术有限公司 | 电子商务的防刷单方法和系统 |
| CN110311892A (zh) * | 2019-05-23 | 2019-10-08 | 视联动力信息技术股份有限公司 | 一种数据获取方法和服务器 |
| CN110891065A (zh) * | 2019-12-03 | 2020-03-17 | 西安博达软件股份有限公司 | 一种基于Token的用户身份辅助加密的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102624892B (zh) | 2016-03-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102196375A (zh) | 保护带外消息 | |
| CN103428221A (zh) | 对移动应用的安全登录方法、系统和装置 | |
| CN104463040A (zh) | 一种密码安全输入方法及系统 | |
| CN102684877A (zh) | 一种进行用户信息处理的方法及装置 | |
| CN103458400A (zh) | 一种语音加密通信系统中的密钥管理方法 | |
| CN105141635A (zh) | 一种群发消息安全通讯的方法和系统 | |
| CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
| CN102624892B (zh) | 一种防止外挂客户端模拟http请求的方法 | |
| CN102655643A (zh) | 无线数据加密方法和解密方法 | |
| CN105450397A (zh) | 基于下发加密算法的数据加密方法和客户端 | |
| CN105610789A (zh) | 一种适用于多人群聊即时通信的数据加密方法 | |
| CN102355353A (zh) | 一种加密输入法及加密通信方法和装置 | |
| CN105791258A (zh) | 一种数据传输方法、终端及开放平台 | |
| CN103916363A (zh) | 加密机的通讯安全管理方法和系统 | |
| CN110311892A (zh) | 一种数据获取方法和服务器 | |
| CN104270380A (zh) | 基于移动网络和通信客户端的端到端加密方法和加密系统 | |
| CN103177225B (zh) | 一种数据管理方法和系统 | |
| CN108111308A (zh) | 一种基于动态随机加密的工业互联网通讯加密方法 | |
| CN104038336A (zh) | 一种基于3des的数据加密方法 | |
| CN105142134A (zh) | 参数获取以及参数传输方法和装置 | |
| CN102724205A (zh) | 一种对工业领域通讯过程加密的方法及数据采集设备 | |
| CN102932345B (zh) | 一种信息传输方法、装置及系统 | |
| CN109922022A (zh) | 物联网通信方法、平台、终端和系统 | |
| CN104811451A (zh) | 登陆链接方法及系统 | |
| CN104113410A (zh) | 一种基于多表加密法的数据加密传输方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 100085 Haidian District, Zhongguancun, South Street, No. 6,, building information, floor, No. 16 Applicant after: SI-TECH Information Technology Ltd. Address before: 100085 Haidian District, Zhongguancun, South Street, No. 6,, building information, floor, No. 16 Applicant before: Beijing Digital China SI-TECH Information Technology Co., Ltd. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: BEIJING DIGITAL CHINA SI-TECH INFORMATION TECHNOLOGY LTD. TO: BEIJING SI-TECH INFORMATION TECHNOLOGY LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |