CN104954386B - 一种网络反劫持方法及装置 - Google Patents
一种网络反劫持方法及装置 Download PDFInfo
- Publication number
- CN104954386B CN104954386B CN201510374035.6A CN201510374035A CN104954386B CN 104954386 B CN104954386 B CN 104954386B CN 201510374035 A CN201510374035 A CN 201510374035A CN 104954386 B CN104954386 B CN 104954386B
- Authority
- CN
- China
- Prior art keywords
- data
- data packet
- packet
- http
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 39
- 238000012795 verification Methods 0.000 claims abstract description 130
- 238000004891 communication Methods 0.000 claims description 11
- 238000012546 transfer Methods 0.000 claims description 5
- 230000008685 targeting Effects 0.000 claims 1
- 230000005641 tunneling Effects 0.000 claims 1
- 238000010200 validation analysis Methods 0.000 abstract 1
- 230000008859 change Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 6
- 230000006399 behavior Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 2
- 239000007943 implant Substances 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 238000012804 iterative process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种网络反劫持方法及装置,所述方法包括:接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包;根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中;向所述客户端发送添加有所述安全验证字段的数据包。以及:向服务端发送网页数据请求;接收所述服务端发送的数据包;判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段验证所述数据包是否被篡改过,否则,判定所述数据包被篡改过,实现了提高反劫持手段的通用性以及降低反劫持成本的技术效果。
Description
技术领域
本发明实施例涉及网络技术领域,尤其涉及一种网络反劫持方法及装置。
背景技术
随着互联网的飞速发展,广告联盟、分销等业务的兴起,用户端点击访问行为的利益驱动越来越大,导致网络中各种劫持行为的泛滥。
例如,用户使用客户端浏览网页时网页被运营商劫持,篡改网页内容,植入广告等,具体的,承载了网页数据的超文本传送协议(HTTP)包从服务器到客户端的传输过程中会经过多个路由设备,某些路由设备根据运营商的设置会篡改HTTP包中的网页数据或在HTTP包中植入广告数据等。
又例如,存在中间人(如黑客等非法用户)对网页的拦截破坏等非法攻击行为。具体的,路由设备中的路由数据(比如下一跳地址)会由于黑客等非法用户的攻击而被篡改,使得经过该路由设备的HTTP包会被发送至非法服务器,非法服务器会篡改HTTP包的网页数据或在HTTP包中植入广告数据等,然后将HTTP包发送给客户端。
现有技术针对上述网络劫持行为提供了以下两种解决方案:
一是通过更换所接入的运营商来避免网络劫持(如植入广告);
二是通过安装相应的广告拦截防火墙等被动方法来避免网络劫持。
然而,第一种方法需要大量用户更换运营商,耗时费力,需消耗大量的人力、财力,且更换运营商之后并不能从根本上避免出现网络劫持的情况。第二种方法的技术成本和门槛高,仅适合有实力的公司采用,不适合广大群众用户。
发明内容
本发明实施例提供一种网络反劫持方法及装置,以提高反劫持手段的通用性,降低反劫持成本。
第一方面,本发明实施例提供了一种网络反劫持方法,包括:
接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包;
根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中;
向所述客户端发送添加有所述安全验证字段的数据包。
第二方面,本发明实施例还提供了一种网络反劫持方法,包括:
向服务端发送网页数据请求;
接收所述服务端发送的数据包;
判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段判定所述数据包是否被劫持过,否则,判定所述数据包被劫持过。
第三方面,本发明实施例提供了一种网络反劫持装置,包括:
数据包获取模块,用于接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包;
安全验证字段添加模块,用于根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中;
数据包发送模块,用于向所述客户端发送添加有所述安全验证字段的数据包。
第四方面,本发明实施例还提供了一种网络反劫持装置,包括:
数据请求模块,用于向服务端发送网页数据请求;
数据包接收模块,用于接收所述服务端发送的数据包;
判断模块,用于判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段验证所述数据包是否被劫持过,否则,判定所述数据包被劫持过。
本发明实施例中,服务端接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包;根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中;向所述客户端发送添加有所述安全验证字段的数据包。客户端接收所述服务端发送的数据包;判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段验证所述数据包是否被劫持过,否则,判定所述数据包被劫持过,使得客户端能够根据接收到的数据包中是否包含安全验证字段识别该数据包是否被劫持过,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
附图说明
图1为本发明实施例一提供的一种网络反劫持方法的流程示意图;
图2为本发明实施例二提供的一种网络反劫持方法的流程示意图;
图3为本发明实施例三提供的一种网络反劫持方法的流程示意图;
图4为本发明实施例四提供的一种网络反劫持方法的流程示意图;
图5为本发明实施例五提供的一种网络反劫持装置的结构示意图;
图6为本发明实施例六提供的一种网络反劫持装置的结构示意图;
图7为本发明实施例七提供的一种实现网络反劫持方法的系统构架示意图;
图8为本发明实施例七提供的一种实现网络反劫持方法的系统结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种网络反劫持方法的流程图,该方法适用于包括服务端和至少一个客户端的系统架构中,服务端能够与各客户端交互,配合实现本实施例的方案。本发明实施例的执行主体为服务端,如图1所示,本实施例的方法具体包括:操作110-操作130。
操作110中,接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包。
所述客户端一般是指安装在网络设备或移动终端上,与服务端进行后续交互的特殊应用程序。例如,各种Web浏览器客户端等。用户通过网络设备或移动终端的客户端向服务端发送网页数据请求,一般地,客户端在申请访问所需要的网页时,首先必须向服务端发送网页数据请求,然后等待服务端将用户所需要的网页数据发送至客户端。服务端启动时,会开启监测客户端发来的网页数据请求的功能,实时监控客户端发送的网页数据请求,以便及时处理用户的网页请求,将客户端所请求的包含网页数据的数据包返回给客户端。
操作120中,根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中。
其中所述预先设定的加密密钥可以是非对称密钥,也可以是对称密钥。根据上述操作110中获取的数据包中的特定数据以及预先设定的加密密钥生成安全验证字段,并添加到上述需要下发给客户端的数据包中。本发明实施例对安全验证字段的类型,生成算法,以及安全验证字段在数据包中的添加位置不作限制。
操作130中,向所述客户端发送添加有所述安全验证字段的数据包。
本实施例通过根据需要向客户端发送的数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中,并向所述客户端发送添加有所述安全验证字段的数据包,由客户端根据接收到的数据包中是否包含安全验证字段识别该数据包是否被劫持过,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
在上述实施例基础上,所述安全验证字段的生成,优选为下列方式:
将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为安全验证字段。哈希散列运算是一种单向密码体制,即它是一个从明文到密文的不可逆的映射,可以将任意长度的输入经过变化以后得到固定长度的输出。这就意味着通过哈希散列运算,无法推出任何部分的原始信息。任何输入信息的变化,哪怕仅一位,都将导致散列结果的明显变化。具有这些特性的散列数据就可以用于验证信息是否被修改。典型的哈希散列运算包括MD2(Message Digest Algorithm 2,信息摘要算法2)、MD4(Message Digest Algorithm 4,信息摘要算法4)、MD5(Message Digest Algorithm5,信息摘要算法5)和SHA-1(Secure Hash Algorithm,安全哈希算法)。哈希散列运算也称为“哈希函数”。每种算法都是某种单向哈希函数的迭代过程,通过这些哈希函数可以处理任意长度的消息或数据输入,产生经过压缩的“消息摘要”(Message Digest)。这些算法充分保证了原数据的完整性;对原数据的任何改动,都将导致生成不同的消息摘要。哈希函数把消息或数据压缩成摘要,使得数据量变小,该函数将数据打乱混合,重新创建一个叫做散列数据的指纹。散列数据通常用来代表一个短的随机字母和数字组成的字符串。本发明实施例通过将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,并将该散列数据作为安全验证字段添加到所述数据包中,以验证数据的完整性,防止对数据的恶意破坏。
在上述实施例基础上,所述网页数据请求为HTTP请求,请求方法包括OPTIONS、GET、HEAD、POST、PUT、DELETE、TRACE、CONNECT等。根据所述HTTP请求获取需要下发给所述客户端的HTTP包,数据类型包括图片、视频、HTML文档、软件应用程序等。
在上述实施例基础上,在生成安全验证字段时,优选的根据所述数据包中的实体(Entity-Body)数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中。
进一步的,安全验证字段的添加选择将所述安全验证字段添加在所述HTTP包的HTTP头中,以避免对Entity-Body数据的修改。
实施例二
图2为本发明实施例二提供的一种网络反劫持方法的流程图,该方法具体由客户端执行,如图2所示,本实施例的方法具体包括:操作210-操作250。
操作210中,向服务端发送网页数据请求。
用户通过网络设备上的客户端向服务端发送网页数据请求,一般地包含请求的类型,请求的数据,浏览器的信息等。
操作220中,接收所述服务端发送的数据包。
向服务端发送网页数据请求之后,等待接收所述服务端发送的数据包,并对接收到的数据包进行解析。
操作230中,判断所述数据包中是否包含有安全验证字段。
当所述数据包中不包含有安全验证字段时,执行操作240;否则,执行操作250。
操作240中,判定所述数据包被劫持过。
操作250中,根据所述安全验证字段验证所述数据包是否被劫持过。
接收所述服务端发送的数据包之后,分析判断所述数据包中是否包含有安全验证字段,若所述数据包中不包含安全验证字段,则判定所述数据包一定被劫持过。若所述数据包中包含安全验证字段,那么所述数据包有可能被劫持过,也可能未被劫持过,具体地,可以根据数据包中的安全验证字段验证所述数据包是否被劫持过。
本实施例通过向服务端发送网页数据请求,实现客服端与服务端的交互,在接收所述服务端发送的数据包后,判断所述数据包中是否包含有安全验证字段,当所述数据包中不包含有安全验证字段若时,判定所述数据包被劫持过,当所述数据包中包含有安全验证字段若时,根据所述安全验证字段判断所述数据包是否被劫持过,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
实施例三
本发明实施例三提供了一个优选实例。图3为本发明实施例三提供的一种网络反劫持方法的流程图,如图3所示,本实施例的方法具体包括:操作310-操作3110。
操作310中,向服务端发送网页数据请求。
操作320中,接收所述服务端发送的数据包。
操作330中,判断所述数据包中是否包含有安全验证字段。
当所述数据包中不包含有安全验证字段时,执行操作340;否则,执行操作350。
操作340中,判定所述数据包被劫持过,并执行操作390。
操作350中,根据所述数据包中的特定数据和预先设定的加密秘钥生成验证信息。
操作360中,判断所述验证信息与所述安全验证字段是否一致。
当所述验证信息与所述安全验证字段一致时,执行操作370,否则执行操作380。
操作370中,判定所述数据包未被劫持过,并执行操作3110。
操作380中,判定所述数据包被劫持过。
操作390中,发出当前下载页面被劫持是否继续浏览页面的提示信息。
操作3100中,判断用户是否选择继续浏览。
当用户选择继续浏览时,执行操作3110,否则结束操作。
操作3110中,正常渲染、显示网页。
当所述数据包中包含安全验证字段,由于所述数据包有可能被篡改过,也可能未被篡改过,因此需要进一步地根据数据包中的安全验证字段验证所述数据包是否被篡改过。具体地,根据接收到的服务端发送的数据包中的特定数据预先设定的加密秘钥生成验证信息,其中所述预先设定的加密秘钥与在服务端生成安全验证字段时采用的预先设定的加密秘钥相同,然后将验证信息与在数据包中提取的安全验证字段进行比较,当验证信息与所述安全验证字段一致时,则判定所述数据包未被劫持过,当验证信息与所述安全验证字段不一致时,则判定所述数据包被劫持过。
本实施例通过向服务端发送网页数据请求,实现客服端与服务端的交互,在接收所述服务端发送的数据包后,判断所述数据包中是否包含有安全验证字段,当所述数据包中不包含有安全验证字段若时,判定所述数据包被劫持过,当所述数据包中包含有安全验证字段若时,根据所述安全验证字段判断所述数据包是否被劫持过,并在判定数据包被篡改过后,向用户发出当前下载页面被劫持是否继续浏览页面的提示信息,根据用户选择执行相应的策略,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
在上述实施例基础上,所述验证信息的生成,优选为下列方式:
将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为验证信息。由于哈希散列运算是一种单向密码体制,通过哈希散列运算,任何输入信息的变化,哪怕仅一位,都将导致散列数据的明显变化。采用哈希散列运算得到的散列数据作为验证信息,能够进一步提高验证的准确率。
进一步地,所述网页数据请求为HTTP请求,所述数据包为HTTP包。所述特定数据为所述HTTP包中的Entity-Body数据。
进一步地,判断所述数据包中是否包含有安全验证字段,包括:判断所述数据包的HTTP头中是否包含有安全验证字段。
实施例四
本发明实施例四提供了一个优选实例。图4为本发明实施例四提供的一种网络反劫持方法的流程图,如图4所示,本实施例的方法具体包括:操作410-操作4110。
操作410中,向服务端发送网页数据请求。
操作420中,接收所述服务端发送的数据包。
操作430中,判断所述数据包中是否包含有安全验证字段。
当所述数据包中不包含有安全验证字段时,执行操作440;否则,执行操作450。
操作440中,判定所述数据包被劫持过。
操作450中,根据所述数据包中的特定数据和预先设定的加密秘钥生成验证信息。
操作460中,判断所述验证信息与所述安全验证字段是否一致。
当所述验证信息与所述安全验证字段一致时,执行操作470,否则执行操作480。
操作470中,判定所述数据包未被劫持过。
操作480中,判定所述数据包被劫持过。
当所述数据包被篡改过时,执行操作490,当所述数据包未被劫持过时,执行操作4110。
操作490中,采用比当前所采用通信协议的安全性更高的通信协议,重新向服务端发送网页数据请求,接收所述服务端重新发送的数据包,并进行网页显示。
操作4110中,正常渲染、显示网页。
此优选实施方式,能够在所述数据包被篡改过时,采用比当前所采用通信协议的安全性更高的通信协议,重新向服务端发送网页数据请求,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
在上述实施例基础上,所述验证信息的生成,优选下列方式:
将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为验证信息。由于哈希散列运算是一种单向密码体制,通过哈希散列运算,任何输入信息的变化,哪怕仅一位,都将导致散列数据的明显变化。采用哈希散列运算得到的散列数据作为验证信息,能够进一步提高验证的准确率。
进一步地,所述网页数据请求为HTTP请求,所述数据包为HTTP包。所述特定数据为所述HTTP包中的实体Entity-Body数据。
进一步地,判断所述数据包中是否包含有安全验证字段,包括:判断所述数据包的HTTP头中是否包含有安全验证字段。
实施例五
图5为本发明实施例五提供的一种网络反劫持装置的结构示意图,该装置可通过硬件或软件的方式实现,并一般可集成于WEB客户端所在的终端设备(例如,手机、台式机或者笔记本等)中,或作为WEB客户端的子程序。如图5所示,该网络反劫持装置包括:数据包获取模块510,安全验证字段添加模块520,数据包发送模块530。
其中,数据包获取模块510,用于接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包;安全验证字段添加模块520,用于根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中;数据包发送模块530,用于向所述客户端发送添加有所述安全验证字段的数据包。
本实施例通过根据需要向客户端发送的数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中,并向所述客户端发送添加有所述安全验证字段的数据包,由客户端进而根据接收到的数据包中是否包含安全验证字段识别该数据包是否被劫持过,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
在上述方案基础上中,所述安全验证字段添加模块具体用于:将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为安全验证字段。
进一步地,所述网页数据请求为超文本传送协议HTTP请求,所述数据包为超文本传送协议HTTP包。所述特定数据为所述HTTP包中的实体Entity-Body数据。所述安全验证字段添加模块具体用于将所述安全验证字段添加在所述HTTP包的HTTP头中。
实施例六
图6为本发明实施例六提供的一种网络反劫持装置的结构示意图,该装置可通过硬件或软件的方式实现,并一般可集成于WEB服务端所在的终端设备中,或作为WEB服务端的子程序。如图6所述装置包括:数据请求模块610,数据包接收模块620,判断模块630。
其中,数据请求模块610,用于向服务端发送网页数据请求;数据包接收模块620,用于接收所述服务端发送的数据包;判断模块630,用于判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段判定所述数据包是否被劫持过,否则,判定所述数据包被劫持过。
本实施例通过向服务端发送网页数据请求,实现客服端与服务端的交互,在接收所述服务端发送的数据包后,判断所述数据包中是否包含有安全验证字段,当所述数据包中不包含有安全验证字段若时,判定所述数据包被劫持过,当所述数据包中包含有安全验证字段时,根据所述安全验证字段判断所述数据包是否被劫持过,达到了反劫持的目的,本方案无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
在上述实施例基础上,所述判断模块包括:验证信息生成子单元,用于根据所述数据包中的特定数据和预先设定的加密秘钥生成验证信息;判断子单元,用于判断所述验证信息与所述安全验证字段是否一致,若一致,则判定所述数据包未被劫持过,否则,判定所述数据包被劫持过。
在上述实施例基础上,所述验证信息生成子单元具体用于:将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为验证信息。
在上述实施例基础上,所述装置还包括:提示模块,用于发出当前下载页面被篡改是否继续浏览页面的提示信息,根据用户选择执行相应操作;或者,采用比当前所采用通信协议的安全性更高的通信协议,重新向服务端发送网页数据请求。
在上述实施例基础上,所述高安全性协议为HTTP协议。
在上述实施例基础上,所述网页数据请求为HTTP请求,所述数据包为HTTP包。
在上述实施例基础上,所述特定数据为所述HTTP包中的实体Entity-Body数据。
在上述实施例基础上,所述判断模块具体用于:判断所述数据包的HTTP头中是否包含有安全验证字段。
本发明实施例所提供的网络反劫持装置可用于执行本发明任意实施例提供的网络反劫持方法,具备相应的功能模块,实现相同的有益效果。
实施例七
图7为本发明实施例七提供的一种实现网络反劫持方法的系统构架示意图,图8为本发明实施例七提供的一种实现网络反劫持方法的系统结构图。如图8所示,所述系统包括客户端设备,中间网关、路由等网络设备,服务器。如图7所示,客户端设备向服务器发送网页数据请求;其中,图7提供一种网页数据请求实例:
“GET/index.html
Host:www.baidu.com
Accept:text/html
……”
其中第一行“GET”代表请求方法,“index.html”表示URI,“HTTP/1.1代表协议和协议的版本;第二行Host:wwww.baidu.com表示请求的目的地;第三行Accept:text/html表示浏览器可接受的MIME类型。
所述网页数据请求经过中间网关、路由等网络设备到达服务端,服务端接收客户端设备发送的网页数据请求后,根据所述网页数据请求获取需要下发给所述客户端的数据包,根据所述数据包中的特定数据和预先设定的加密秘钥生成安全验证字段,并将所述安全验证字段添加在所述数据包中,并向客户端发送添加有所述安全验证字段的数据包;图7还提供了一种数据包实例:
“HTTP/1.1200OK
Date:Sun.11Nov 201421:21:21CMT
Content-Type:text/html
Content-Hash
38779946ef65f4657aacecbbb38ff282
……”
其中,HTTP/1.1200OK表示协议的版本号和应答状态码;Date:Sun.11Nov201421:21:21CMT表示服务器响应生成的日期和时间;Content-Type:text/html表示返回数据的类型;Content-Hash 38779946ef65f4657aacecbbb38ff282为安全验证字段。
客户端接收服务端发送的数据包后,判断所述数据包中是否包含有安全验证字段,若是,则根据所述安全验证字段验证所述数据包是否被劫持过,否则,判定所述数据包被劫持过。
本发明实施例无需用户更换运营商以及安装防火墙软件,提高了反劫持手段的通用性,降低了反劫持成本。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (7)
1.一种网络反劫持方法,其特征在于,应用于服务端,包括:
接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包,其中所述网页数据请求为超文本传送协议HTTP请求,所述数据包为HTTP包;
将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将所述散列数据作为安全验证字段,并将所述安全验证字段添加在所述HTTP包的HTTP头中,其中所述特定数据为所述HTTP包中的实体Entity-Body数据;
向所述客户端发送添加有所述安全验证字段的数据包。
2.一种网络反劫持方法,其特征在于,应用于客户端,包括:
向服务端发送网页数据请求,其中所述网页数据请求为HTTP请求;
接收所述服务端发送的数据包,其中所述数据包为HTTP包;
判断所述HTTP包的HTTP头中是否包含有安全验证字段,若是,则根据所述数据包中的特定数据和预先设定的加密秘钥生成验证信息,其中所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为验证信息,其中所述特定数据为所述HTTP包中的实体Entity-Body数据;
判断所述验证信息与所述安全验证字段是否一致,若一致,则判定所述数据包未被劫持过,否则,判定所述数据包被劫持过。
3.根据权利要求2所述的方法,其特征在于,在判定所述数据包被劫持过后,还包括:
发出当前下载页面被劫持是否继续浏览页面的提示信息,根据用户选择执行相应操作;或者,
采用比当前所采用通信协议的安全性更高的通信协议,重新向服务端发送网页数据请求。
4.根据权利要求3所述的方法,其特征在于,所述安全性更高的通信协议为以安全为目标的HTTP通道协议HTTPs。
5.一种网络反劫持装置,其特征在于,应用于服务端,包括:
数据包获取模块,用于接收客户端发送的网页数据请求,根据所述网页数据请求获取需要下发给所述客户端的数据包,其中所述网页数据请求为超文本传送协议HTTP请求,所述数据包为HTTP包;
安全验证字段添加模块,用于将所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将所述散列数据作为安全验证字段,并将所述安全验证字段添加在所述HTTP包的HTTP头中,其中所述特定数据为所述HTTP包中的实体Entity-Body数据;
数据包发送模块,用于向所述客户端发送添加有所述安全验证字段的数据包。
6.一种网络反劫持装置,其特征在于,应用于客户端,包括:
数据请求模块,用于向服务端发送网页数据请求,其中所述网页数据请求为HTTP请求;
数据包接收模块,用于接收所述服务端发送的数据包,其中所述数据包为HTTP包;
判断模块,用于判断所述HTTP包的HTTP头中是否包含有安全验证字段,若是,则根据所述安全验证字段验证所述数据包是否被劫持过,否则,判定所述数据包被劫持过;
其中,所述判断模块包括:
验证信息生成子单元,用于判断所述HTTP包的HTTP头中是否包含有安全验证字段,若是,则根据所述数据包中的特定数据与预先设定的加密秘钥进行哈希散列运算,得到散列数据,将该散列数据作为验证信息,其中所述特定数据为所述HTTP包中的实体Entity-Body数据;
判断子单元,用于判断所述验证信息与所述安全验证字段是否一致,若一致,则判定所述数据包未被劫持过,否则,判定所述数据包被劫持过。
7.根据权利要求6所述的装置,其特征在于,所述装置还包括:
提示模块,用于发出当前下载页面被篡改是否继续浏览页面的提示信息,根据用户选择执行相应操作;或者,
采用比当前所采用通信协议的安全性更高的通信协议,重新向服务端发送网页数据请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510374035.6A CN104954386B (zh) | 2015-06-30 | 2015-06-30 | 一种网络反劫持方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510374035.6A CN104954386B (zh) | 2015-06-30 | 2015-06-30 | 一种网络反劫持方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954386A CN104954386A (zh) | 2015-09-30 |
| CN104954386B true CN104954386B (zh) | 2018-10-02 |
Family
ID=54168738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510374035.6A Active CN104954386B (zh) | 2015-06-30 | 2015-06-30 | 一种网络反劫持方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954386B (zh) |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105516246B (zh) * | 2015-11-25 | 2019-03-26 | 魅族科技(中国)有限公司 | 一种防应用程序下载劫持的方法及服务器 |
| CN107463840B (zh) * | 2016-06-02 | 2018-11-09 | 腾讯科技(深圳)有限公司 | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
| CN106209833A (zh) * | 2016-07-08 | 2016-12-07 | 汉柏科技有限公司 | 一种防止网页劫持的方法及网关 |
| CN107277050B (zh) * | 2017-07-27 | 2021-02-26 | 维沃移动通信有限公司 | 一种数据处理方法、服务器、终端及计算机可读存储介质 |
| CN107360187B (zh) * | 2017-08-21 | 2020-09-25 | 网宿科技股份有限公司 | 一种网络劫持的处理方法、装置及系统 |
| CN109981555B (zh) * | 2017-12-28 | 2021-08-24 | 腾讯科技(深圳)有限公司 | 对网页数据的处理方法、装置、设备、终端及存储介质 |
| CN108830107B (zh) * | 2018-06-25 | 2021-10-26 | 北京奇虎科技有限公司 | 保护隐私信息的方法、装置、电子设备及计算机可读存储介质 |
| CN109167774B (zh) * | 2018-08-23 | 2021-04-06 | 西安理工大学 | 一种数据报文及在防火墙上的数据流安全互访方法 |
| CN110225124B (zh) * | 2019-06-13 | 2023-04-07 | 广州小鹏汽车科技有限公司 | 车辆数据共享处理方法、装置、车辆及介质 |
| CN112311724B (zh) * | 2019-07-26 | 2023-06-20 | 贵州白山云科技股份有限公司 | 一种定位http劫持的方法、装置、介质及设备 |
| CN111343146B (zh) * | 2020-02-04 | 2022-08-09 | 北京字节跳动网络技术有限公司 | 数据审核方法、系统、计算机可读介质及电子设备 |
| CN111953680B (zh) * | 2020-08-11 | 2022-07-12 | 北京字节跳动网络技术有限公司 | 内容分发网络的反劫持方法、装置、介质和电子设备 |
| CN112069522B (zh) * | 2020-09-15 | 2022-10-25 | 平安医疗健康管理股份有限公司 | 电子处方的处理方法、装置、计算机设备和存储介质 |
| CN114124491B (zh) * | 2021-11-12 | 2024-10-15 | 中国电信股份有限公司 | 防旁路劫持方法和系统、入口和出口交换机、安全网元 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051616A (zh) * | 2012-12-17 | 2013-04-17 | 中国科学院信息工程研究所 | 一种基于rssp--ii协议的数据报传输方法 |
| CN103401836A (zh) * | 2013-07-01 | 2013-11-20 | 北京卓易讯畅科技有限公司 | 一种用于判断网页是否被isp劫持的方法与设备 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0517303D0 (en) * | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | System and method for processing secure transmissions |
| CN101083714A (zh) * | 2006-05-31 | 2007-12-05 | 中国科学院计算技术研究所 | 一种家庭信息化系统 |
| CN103117998B (zh) * | 2012-11-28 | 2016-01-20 | 北京用友政务软件有限公司 | 一种基于JavaEE应用系统的安全加固方法 |
| CN103685247A (zh) * | 2013-12-04 | 2014-03-26 | 冯丽娟 | 安全通信方法、装置、系统以及安全主板 |
| CN104333562B (zh) * | 2014-11-27 | 2017-11-03 | 沈文策 | 数据包传输方法及装置 |
-
2015
- 2015-06-30 CN CN201510374035.6A patent/CN104954386B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103051616A (zh) * | 2012-12-17 | 2013-04-17 | 中国科学院信息工程研究所 | 一种基于rssp--ii协议的数据报传输方法 |
| CN103401836A (zh) * | 2013-07-01 | 2013-11-20 | 北京卓易讯畅科技有限公司 | 一种用于判断网页是否被isp劫持的方法与设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104954386A (zh) | 2015-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954386B (zh) | 一种网络反劫持方法及装置 | |
| Sun et al. | The devil is in the (implementation) details: an empirical analysis of OAuth SSO systems | |
| CN108040065B (zh) | 网页跳转后的免登录方法、装置、计算机设备和存储介质 | |
| CN109413060B (zh) | 报文处理方法、装置、设备及存储介质 | |
| US8984604B2 (en) | Locally stored phishing countermeasure | |
| US9344426B2 (en) | Accessing enterprise resources while providing denial-of-service attack protection | |
| US6874084B1 (en) | Method and apparatus for establishing a secure communication connection between a java application and secure server | |
| US10333716B2 (en) | Script verification using a digital signature | |
| US10250389B2 (en) | Script verification using a hash | |
| CN105025041A (zh) | 文件上传的方法、装置和系统 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
| CN111314288B (zh) | 中继处理方法、装置、服务器和存储介质 | |
| CN103561040A (zh) | 一种文件下载方法及系统 | |
| CN103229479A (zh) | 一种网站识别方法、装置及网络系统 | |
| JP2012247992A (ja) | 情報処理装置及び情報処理方法 | |
| CN104243419A (zh) | 基于安全外壳协议的数据处理方法、装置及系统 | |
| CN104283903A (zh) | 文件的下载方法及装置 | |
| CN103327034A (zh) | 安全登录方法、系统和装置 | |
| EP3242444A1 (en) | Service processing method and device | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| CN109495458A (zh) | 一种数据传输的方法、系统及相关组件 | |
| US20120204242A1 (en) | Protecting web authentication using external module | |
| Suga | Status Survey of SSL/TLS Sites in 2018 After Pointing Out About" Search form" Issues | |
| CN107026828A (zh) | 一种基于互联网缓存的防盗链方法及互联网缓存 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |