CN105282090A - 一种互联网上防非法访问的公开url加密编码方法 - Google Patents
一种互联网上防非法访问的公开url加密编码方法 Download PDFInfo
- Publication number
- CN105282090A CN105282090A CN201410247360.1A CN201410247360A CN105282090A CN 105282090 A CN105282090 A CN 105282090A CN 201410247360 A CN201410247360 A CN 201410247360A CN 105282090 A CN105282090 A CN 105282090A
- Authority
- CN
- China
- Prior art keywords
- url
- digital information
- responsive
- encryption
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提出了一种互联网上用于防止URL任意信息获取攻击的编码方法,关键地设计了一种基于快速对称加密编码的数字码与字符串码的隐秘编码方法。基于一套自主设计的快速转换、混淆加密处理,编码方法对源数字码进行四轮加密后获得隐秘字符串码,保护URL中敏感数字信息不被任意获取访问。该发明包括:服务器端对URL中的敏感数字信息进行加密编码从而生成公开URL;用户使用公开URL发出访问请求;服务器端读取用户URL访问请求时,首先对其中含有的隐秘字符串参数进行解码,若解码结果正确,则给予正常请求响应,否则认为其为非法攻击,不予正常响应,或作其它进一步处理。本发明方法加解码速度快、安全强度较高,具有较强的抗URL任意访问攻击能力,对于URL中的参数篡改访问攻击无需额外数据库比对操作,实现效率高。
Description
技术领域
本发明提出了一种快速的基于对称式加密技术的数字码与字符串码的隐秘编码方法,用于URL地址的防任意获取攻击。
背景技术
随着Internet的普及,Web服务器因自身的分布性、无需安装、操作方便等优点被广泛应用。而如今,在网络上Web应用遭受URL攻击也非常普遍。
为了保证系统提供给用户的URL才能被正确访问,屏蔽非法用户伪造或篡改的URL访问,防止URL攻击,我们设计了一种新型的URL变换编码算法,有效地解决该问题。
发明内容
本发明的URL加密编码方法,对URL中的任意奇数位(X位)数字码进行加密,加密结果为大小写字母、数字构成(X+1)位随机字符。对于相同数字数据,每次进行加密时产生不同的编码结果,以提高加密密钥的安全强度;解密过程将(X+1)位隐秘字符串转化成原始的X位数据。对于由同一原始数字数据编码生成的不同隐秘字符串,解密还原得到的结果是一致的。
本发明实现了一种防止互联网上Web应用遭受URL攻击的简单有效方法,加密编码中引入(X+1)/2位十进制长度的随机码,使得相同密钥和数字码每次产生完全不同的编码结果,提升密钥的抗攻击能力,但解码时仅需编码密钥。本发明采用URL中重要数字码参数的变换加密技术对URL进行隐秘编码,服务器接受用户正常URL请求后,根据加密时保存的密钥对URL进行解密处理,还原得到解密后的关键数字码参数,并可快速地以自校验方式鉴别URL的合法性,无需第三方数据库数据校验,具有实现简单、计算效率高、安全性强优点。
附图说明
图1本发明应用于Web资源访问中的方法流程图;
图2本发明中加密算法的详细设计图;
图3操作演示示意图;
图4实际商业应用示意图;
具体实施方式
下面参照附图来对本发明中的各个步骤进行详细描述。
图1是流程图,大体展示了本发明在通过URL访问Web资源过程中的运行流程。
首先对原始URL通过本发明进行加密得到密文URL,用户根据密文URL访问Web资源。其次,Web服务器接收到用户的密文URL请求后,通过本发明的解密密钥对密文URL进行解密并分析是否合法,若合法返回给用户Web资源,若不合法做非法处理。
图2是设计图,示出了本发明中加密部分的详细步骤和算法思想。
加密过程:首先对原始数据(X)位增加一位校验位,转换成1×(X+1)的矩阵M,然后初始化一个1×3(X+1)/2的随机矩阵K后保存作为密钥,对矩阵M中部分数据重新随机排序,然后将该矩阵与一个1×(X+1)/2的随机矩阵进行第一轮加密混淆,得到一个1×3(X+1)/2的矩阵C,对矩阵C进行切割分成一个1×(X+1)的矩阵和一个1×(X+1)/2的矩阵进行下一轮加密混淆,总共进行四轮混淆,用密钥将混淆加密后的矩阵重新乱序得到矩阵N,最后将该1×3(X+1)/2的矩阵N通过拆分函数随机拆分成1×(X+1)的矩阵,最后转换成ASCII码得到(X+1)位的字符串,输出加密后的密文。
解密过程:解密过程是加密的逆过程。首先将该(X+1)位数字码与字符串码组成的密文转换为1×(X+1)的数字矩阵,通过拆分函数还原成1×3(X+1)/2的矩阵N,用密钥对矩阵N进行解密,得到矩阵C,此时,对矩阵C进行四轮混淆解密,得到一个1×(X+1)的矩阵和一个1×(X+1)/2的矩阵,对该结果部分还原并进行校验,如果任意篡改会导致校验位不正确和解密失败,最后将1×(X+1)的矩阵转换成(X+1)位数字,去掉校验位,输出X位结果。
图3是示意图,示出了本发明中加密解密的实际运行效果。
通过对任意X位数字加密得到(X+1)位加密后的密文,在对该加密密文通过加密会得到最初的原始数据。经过在本地服务器上测试,证明该算法是可行的。
图4是系统示意图,示出了本发明在实际商业的应用。
通过本发明对URL的重要参数或权限进行加密得到加密后的密文,再以附加参数的方式传递给Web服务器,服务器收到带有密文的URL请求后,通过加密时的密钥进行加密,得到原始URL并作出分析,合法则返回给用户Web资源,非法则做非法处理。
实际使用
该发明能够作为互联网Web资源访问中防URL攻击的通用加密方法。为防止URL任意攻击和服务器资源安全带来了更好的手段和方法。
Claims (8)
1.一种互联网上防非法访问的公开URL加密编码方法,其特征在于,包括:
a)服务器端对URL中含有的敏感数字码进行快速加密编码转换成隐秘字符串码后生成公开URL;
b)服务器端响应用户的URL访问请求时,对其中的字符串码参数进行解码识别;
c)若解码识别结果正确,则给予正常资源访问响应,否则不予正常响应,认为其为非常访问攻击,并可作其它进一步处理。
2.如权利要求1中所述的对URL中敏感数字码信息进行加密的方法,其特征在于,所述的敏感数字信息是指不少于9位的奇数位(X位)的十进制数字组成的数字串,对该敏感数字信息加密后生成的密文是由数字、大小写字母组成的串码,对于相同的敏感数字信息每次加密产生完全不同的编码结果。
3.如权利要求1中所述的对URL中敏感数字信息进行加密的方法,其特征在于,所述对敏感数字信息(X位)进行加密获得密文的步骤具体包括:
a)对URL中的X位敏感数字信息N增加一位校验位S,生成(X+1)位数字串N1;
b)对N1的奇数位上数字重新乱序生成数字串N2;
c)初始化3×(X+1)/2位十进制长度的随机数字顺序串作为密钥K并保存;
d)随机产生(X+1)/2位十进制长度的随机数字顺序串作为随机码R;
e)自主设计的一套混淆加密算法F1;
f)通过混淆加密算法F1对R和N2进行四轮加密混淆生成3×(X+1)/2位数字串N3;
g)通过密钥K对N3加密获得3×(X+1)/2位数字串N4;
h)自主设计的一个合并函数F2;
i)通过合并函数F2将N4合并成(X+1)位数字串N5;
j)将N5转换成(X+1)位ASCII码,得到密文M。
4.如权利要求3中所述的对URL中敏感数字信息进行加密的方法,其特征在于,所述的校验位S是由X位敏感数字信息求和再对10取余所得。
5.如权利要求3中所述的对URL中敏感数字信息进行加密的方法,其特征在于,所述的混淆加密算法F1是对Y位数字串和2×Y位数字串进行混淆加密生成3×Y位数字串。
6.如权利要求3中所述的对URL中敏感数字信息进行加密的方法,其特征在于,所述的合并函数F2是对3×Y位数字串合并成2×Y位数字串。
7.如权利要求1中所述的对URL中敏感数字信息进行加密的方法,其特征在于,所述的对密文进行解密并判断是否合法具体包括:
a)通过加密时保存的密钥K进行解密;
b)判断校验位是否正确;
c)判断解出的随机密钥是否合法。
8.如权利要求1中所述的对URL中敏感数字信息进行加密的方法,其特征在于,对相同数字信息加密后的不同编码结果进行解密,获得的原始数字码信息是相同的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410247360.1A CN105282090B (zh) | 2014-06-03 | 2014-06-03 | 一种互联网上防非法访问的公开url加密编码方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410247360.1A CN105282090B (zh) | 2014-06-03 | 2014-06-03 | 一种互联网上防非法访问的公开url加密编码方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105282090A true CN105282090A (zh) | 2016-01-27 |
| CN105282090B CN105282090B (zh) | 2018-11-27 |
Family
ID=55150431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410247360.1A Active CN105282090B (zh) | 2014-06-03 | 2014-06-03 | 一种互联网上防非法访问的公开url加密编码方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105282090B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291773A (zh) * | 2016-04-11 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种网页地址生成方法和装置 |
| CN107463840A (zh) * | 2016-06-02 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
| CN108075888A (zh) * | 2016-11-15 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置 |
| CN108416229A (zh) * | 2018-03-21 | 2018-08-17 | 西安电子科技大学 | 一种针对类别信息的数据脱敏方法 |
| CN110808955A (zh) * | 2019-09-29 | 2020-02-18 | 烽火通信科技股份有限公司 | 一种实现url动态变换的系统及方法 |
| CN111984989A (zh) * | 2020-09-01 | 2020-11-24 | 上海梅斯医药科技有限公司 | 一种自身校验发布和访问url的方法、装置、系统和介质 |
| CN112688902A (zh) * | 2019-10-18 | 2021-04-20 | 上海哔哩哔哩科技有限公司 | 防盗链方法、装置以及计算机设备 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801824A (zh) * | 2006-01-16 | 2006-07-12 | 北京北方烽火科技有限公司 | 一种web服务防盗链方法 |
| CN102594557A (zh) * | 2012-01-10 | 2012-07-18 | 深圳市汉普电子技术开发有限公司 | 对url加密的方法及装置、url验证的方法及装置 |
| CN102946392A (zh) * | 2012-11-15 | 2013-02-27 | 亚信联创科技(中国)有限公司 | 一种url数据加密传输方法及系统 |
-
2014
- 2014-06-03 CN CN201410247360.1A patent/CN105282090B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1801824A (zh) * | 2006-01-16 | 2006-07-12 | 北京北方烽火科技有限公司 | 一种web服务防盗链方法 |
| CN102594557A (zh) * | 2012-01-10 | 2012-07-18 | 深圳市汉普电子技术开发有限公司 | 对url加密的方法及装置、url验证的方法及装置 |
| CN102946392A (zh) * | 2012-11-15 | 2013-02-27 | 亚信联创科技(中国)有限公司 | 一种url数据加密传输方法及系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107291773B (zh) * | 2016-04-11 | 2020-11-17 | 创新先进技术有限公司 | 一种网页地址生成方法和装置 |
| CN107291773A (zh) * | 2016-04-11 | 2017-10-24 | 阿里巴巴集团控股有限公司 | 一种网页地址生成方法和装置 |
| CN107463840A (zh) * | 2016-06-02 | 2017-12-12 | 腾讯科技(深圳)有限公司 | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
| CN107463840B (zh) * | 2016-06-02 | 2018-11-09 | 腾讯科技(深圳)有限公司 | 一种基于网站网页名称加密的防御cc攻击的方法及装置 |
| CN108075888A (zh) * | 2016-11-15 | 2018-05-25 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置 |
| CN108075888B (zh) * | 2016-11-15 | 2021-01-26 | 北京京东尚科信息技术有限公司 | 动态url生成方法及装置、存储介质、电子设备 |
| CN108416229A (zh) * | 2018-03-21 | 2018-08-17 | 西安电子科技大学 | 一种针对类别信息的数据脱敏方法 |
| CN110808955A (zh) * | 2019-09-29 | 2020-02-18 | 烽火通信科技股份有限公司 | 一种实现url动态变换的系统及方法 |
| CN110808955B (zh) * | 2019-09-29 | 2021-11-16 | 烽火通信科技股份有限公司 | 一种实现url动态变换的系统及方法 |
| CN112688902A (zh) * | 2019-10-18 | 2021-04-20 | 上海哔哩哔哩科技有限公司 | 防盗链方法、装置以及计算机设备 |
| CN112688902B (zh) * | 2019-10-18 | 2023-04-18 | 上海哔哩哔哩科技有限公司 | 防盗链方法、装置以及计算机设备 |
| CN111984989A (zh) * | 2020-09-01 | 2020-11-24 | 上海梅斯医药科技有限公司 | 一种自身校验发布和访问url的方法、装置、系统和介质 |
| CN111984989B (zh) * | 2020-09-01 | 2024-04-12 | 上海梅斯医药科技有限公司 | 一种自身校验发布和访问url的方法、装置、系统和介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105282090B (zh) | 2018-11-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105282090A (zh) | 一种互联网上防非法访问的公开url加密编码方法 | |
| Patel et al. | Image encryption using different techniques: A review | |
| KR101874721B1 (ko) | 신분 인증 시스템, 장치, 방법 및 신분 인증 요청 장치 | |
| CN102684877B (zh) | 一种进行用户信息处理的方法及装置 | |
| CN106027228B (zh) | 一种网页标识的加解密方法及其加解密系统 | |
| CN102904712A (zh) | 信息加密方法 | |
| Saini et al. | Triple security of data in cloud computing | |
| Karthikeyan et al. | Enhanced security in steganography using encryption and quick response code | |
| CN104268610A (zh) | 一种分级qr码生成方法及读取方法 | |
| CN103414727A (zh) | 针对input密码输入框的加密保护系统及其使用方法 | |
| CN103942500B (zh) | 基于噪声的哈希密文再加密方法及再加密后的解密方法 | |
| Firdaus et al. | Monitoring system with two central facilities protocol | |
| US20150205970A1 (en) | Data encryption using an external arguments encryption algorithm | |
| CN105959099A (zh) | 一种实现ssr密码加密的方法 | |
| CN104717213A (zh) | 一种网络数据传输的加密解密方法及系统 | |
| CN111314270B (zh) | 一种基于有效期均匀分布对称算法的数据加密和解密方法 | |
| Patel et al. | A survey of information hiding techniques | |
| Tao et al. | Design of two-way one-time-password authentication scheme based on true random numbers | |
| CN104022865A (zh) | 一种网络数据加密传输方法 | |
| JP2005114870A (ja) | 暗号通信システム | |
| CN111130755A (zh) | 一种基于签名的矩阵双重加密方法 | |
| CN103942501B (zh) | 一种哈希密文再加密方法及再加密后的解密方法 | |
| CN100546242C (zh) | 一种超级密码的生成和认证方法 | |
| CN103746793A (zh) | 一种数形文载加密和解密方法 | |
| WO2019104455A1 (zh) | 一种加/解密方法、加/解密端及双随机相位加解密系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |