CN106572105A - 一种url校验的方法及装置 - Google Patents

一种url校验的方法及装置 Download PDF

Info

Publication number
CN106572105A
CN106572105A CN201610970961.4A CN201610970961A CN106572105A CN 106572105 A CN106572105 A CN 106572105A CN 201610970961 A CN201610970961 A CN 201610970961A CN 106572105 A CN106572105 A CN 106572105A
Authority
CN
China
Prior art keywords
url
client
key
authentication servers
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610970961.4A
Other languages
English (en)
Inventor
冯亮
华锦芝
乐旭
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201610970961.4A priority Critical patent/CN106572105A/zh
Publication of CN106572105A publication Critical patent/CN106572105A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/068Network architectures or network communication protocols for network security for supporting key management in a packet data network using time-dependent keys, e.g. periodically changing keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种URL校验的方法及装置,URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;在确定客户端数据库中包含客户端标识之后,根据客户端数据库中客户端标识对应的第一密钥对签名进行解密,得到所述URL请求标识;并判断客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。本发明实施例提供的URL校验的方法及装置保证了客户端以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。

Description

一种URL校验的方法及装置
技术领域
本发明涉及通信技术领域,尤其涉及一种URL(Uniform Resource Locator,统一资源定位符)校验的方法及装置。
背景技术
随着互联网技术的快速发展,URL成为访问、定位和调用网络服务资源的主流方法。URL是对可以从互联网上得到的资源的位置和访问方法的一种简洁的表示,是互联网上标准资源的地址。互联网上的每个文件都有一个唯一的URL。
传统的URL通讯方式,所有参数都以明文的方式写在URL中,非法用户容易通过伪造URL或重复使用URL的方式与服务端通讯,而服务端无法判断此请求的真伪,这种方式不具备安全性,容易造成用户信息的泄露。现有技术对URL中的参数进行了加密,但是加密方式简单,缺乏系统性的URL安全验证,势必会对服务器端造成严重的安全隐患。
综上所述,现有技术缺乏对URL的安全验证,容易造成客户信息泄露及服务器的安全隐患。
发明内容
本发明提供一种URL校验的方法及装置,用以解决现有技术中缺乏对URL的安全验证,造成客户信息泄露及服务器安全隐患的问题。
本发明实施例提供一种URL校验的方法,包括:
URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;
所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据所述客户端数据库中所述客户端标识对应的第一密钥对所述签名进行解密,得到所述URL请求标识;
所述URL验证服务器判断所述客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。
较佳地,所述URL地址还包括操作指示标识,所述URL验证服务器向所述客户端发送校验成功消息之后,还包括:
所述URL验证服务器根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址后向所述URL验证服务器返回确认消息。
较佳地,所述URL验证服务器接收客户端根据预设规则生成的URL地址之前,还包括:
所述URL验证服务器在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端。
较佳地,所述URL验证服务器在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端之后,还包括:
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
本发明实施例还提供一种URL校验的方法,包括:
客户端通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址;
所述客户端将所述URL地址发送至URL验证服务器,以使所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据第一密钥对所述签名进行解密;
所述客户端接收所述URL验证服务器发送的校验结果返回消息。
较佳地,所述客户端通过预设的第一密钥对URL请求标识加密后生成签名之前,还包括:
所述客户端在第一预设时间接收所述URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。
较佳地,所述客户端在第一预设时间接收所述URL验证服务器发送的所述第一密钥之后,还包括:
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
本发明实施例提供一种URL校验的装置,包括:
接收单元:用于接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;
第一校验单元:用于在确定客户端数据库中包含所述客户端标识之后,根据所述客户端数据库中所述客户端标识对应的第一密钥对所述签名进行解密,得到所述URL请求标识;
第二校验单元:用于判断所述客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。
较佳地,所述URL地址还包括操作指示标识,第二校验单元,还用于:
根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址后向所述URL验证服务器返回确认消息。
较佳地,所述装置还包括发送单元,用于:
在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端。
较佳地,所述发送单元,还用于:
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
本发明实施例还提供一种URL校验的装置,包括:
地址生成单元:用于通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址;
发送单元:用于将所述URL地址发送至URL验证服务器,以使所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据第一密钥对所述签名进行解密;
接收单元:用于接收所述URL验证服务器发送的校验结果返回消息。
较佳地,所述接收单元,还用于:
在第一预设时间接收所述URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。
较佳地,所述接收单元,还用于
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
本发明提供一种URL校验的方法及装置,URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;在确定客户端数据库中包含客户端标识之后,根据客户端数据库中客户端标识对应的第一密钥对签名进行解密,得到所述URL请求标识;并判断客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。本发明实施例提供的URL校验的方法及装置,URL验证服务器首先判断URL请求是否为已授权的客户端生成的,然后判断是否已储存该URL请求的记录,从而保证了客户端以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的一种URL校验的系统结构示意图;
图2为本发明实施例提供的一种URL校验的方法流程示意图;
图3为本发明实施例提供的另一种URL校验的方法流程示意图;
图4本发明实施例提供的一种申请密钥的流程图;
图5本发明实施例提供的一种更新密钥的流程图;
图6本发明实施例提供的一种URL校验的流程图;
图7本发明实施例提供的一种注销服务的流程图;
图8为本发明实施例提供的一种URL校验的装置结构示意图;
图9为本发明实施例提供的另一种URL校验的装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例中的服务器也称伺服器,为提供计算服务的设备。服务器需要响应服务请求,并进行处理,由处理器、硬盘、内存、系统总线等组成。与服务器相对应,本发明实施例中的客户端也可称为用户端,具体指安装在客户机上能为客户提供本地服务的程序,需要与服务端互相配合运行。
如图1所示,为本发明实施例提供的一种URL校验的系统结构示意图,包括客户端101、URL验证服务器102、关联服务器103。具体地,客户端101以URL地址方式请求服务时,首先通过URL验证服务器102进行验证,验证成功后再调用该URL地址的关联服务器103以提供相关服务。本发明实施例中URL验证服务器102首先判断URL请求是否为已授权的客户端生成的,然后判断是否已储存该URL请求的记录,从而保证了客户端101以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。
本发明实施例提供一种URL校验的方法,对应的执行主体为URL验证服务器,如图2所示,本发明实施例提供的一种URL校验的方法流程示意图,包括:
步骤201:URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名。
需要说明的是,在步骤201之前,URL验证服务器在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至客户端,第一密钥用于验证客户端的真实性和URL的有效性。其中,URL验证服务器为每个客户端生成唯一的第一密钥,防窜改设备方式可以为智能卡、密码纸等方式,第一预设时间可以为客户端与URL验证服务器共同设定的时间,例如可以为启动服务器后十分钟。第一密钥及第二密钥可以为对称算法密钥,如DES(DataEncryption Standard,数据加密标准)算法、AES(Advanced EncryptionStandard,高级加密标准)算法和RC5(分组密码算法)算法等。对称加密算法具有计算量小、加密速度快、加密效率高的优点,能够提升客户端和服务器的运行效率。
在步骤201中,客户端根据预设规则生成URL地址后发送给用户,用户收到URL地址后使用URL向URL验证服务器发送请求。其中,预设的规则可以为:URL地址格式包含URL协议、端口号、相关服务器名称(例如IP地址或者域名)、路径、文件名以及文件参数后缀,如表1所示为URL地址需要添加的参数。
表1
参数名 意义
CLIENT_ID 客户端标识
UID URL请求标识
TOKEN URL请求标识加密后的签名
TIME 时间戳
METHOD_ID 操作指令标识
步骤202:URL验证服务器在确定客户端数据库中包含客户端标识之后,根据客户端数据库中客户端标识对应的第一密钥对签名进行解密,得到URL请求标识。
具体地,URL验证服务器存储有客户端数据库,客户端数据库中存储有每个客户端对应的信息,表2所示为客户端数据库中每个客户端对应的信息表。URL验证服务器首先遍历客户端数据库中是否包含所述客户端标识,若不包含,则停止处理,并向所述客户端返回失败消息;若包含,则根据客户端数据库中所述客户端标识对应的第一密钥对签名进行解密,得到解密后的签名即URL请求标识。
表2
字段名 字段格式 意义
CLIENT_ID TEXT 客户标识
TIME TIMESTAMP 时间戳
UID TEXT URL请求标识
METHOD_ID TEXT 操作指令标识
STATE TEXT 操作状态
步骤203:URL验证服务器判断客户端数据库是否包含所述URL请求标识,若是,则向客户端返回校验失败信息,否则添加URL请求标识至客户端数据库,并向客户端发送校验成功消息
具体地,URL验证服务器查询客户端数据库中是否存在对应URL请求标识的记录,若存在,表示已处理过该URL请求,则停止处理并向客户端返回校验失败消息;若不存在,则添加该URL请求标识至客户端数据库中,将表2中的操作状态STATE字段填入“prepared”状态,并向客户端返回校验成功消息。
进一步地,步骤203之后URL验证服务器根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址请求后向所述URL验证服务器返回确认消息。具体地,URL验证服务器根据操作指示标识对相关服务器发出运行消息,调用形式包括Web、HTTP(Hyper Text Transfer Protocol,超文本传输协议)服务等。相关服务器收到请求后,返回确认消息。URL验证服务器收到确认消息后,将表2中的操作状态STATE字段修改为“finished”状态。
本发明实施例中URL验证服务器首先判断客户端数据库中是否包含客户端标识,即URL请求是否为已授权的客户端生成的;然后判断客户端数据库是否已储存该URL请求的记录,并更新该URL请求的操作状态,从而保证了客户端以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。
本发明实施例还提供另一种URL校验的方法,对应的执行主体为客户端,如图3所示,本发明实施例提供的另一种URL校验的方法流程示意图,包括:
步骤301:客户端通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址。
需要说明的是,在步骤301之前,客户端在第一预设时间接收URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。其中,一个客户端对应一个第一密钥,防窜改设备方式可以为智能卡、密码纸等方式,第一预设时间可以为客户端与URL验证服务器共同设定的时间,例如可以为启动服务器后十分钟。第一密钥及第二密钥可以为对称算法密钥,如DES算法、AES算法和RC5算法等。
在步骤301中,客户端根据预设规则生成URL地址后发送给用户,用户收到URL地址后使用URL向URL验证服务器发送请求。其中,预设的规则可以为:URL地址格式包含URL协议、端口号、相关服务器名称(例如IP地址或者域名)、路径、文件名以及文件参数后缀,如表1所示为URL地址需要添加的参数。
步骤302:客户端将URL地址发送至URL验证服务器,以使URL验证服务器在确定客户端数据库中包含客户端标识之后,根据第一密钥对签名进行解密。
具体地,URL验证服务器存储有客户端数据库,客户端数据库中存储有每个客户端对应的信息,表2所示为客户端数据库中每个客户端对应的信息表。URL验证服务器首先遍历客户端数据库中是否包含所述客户端标识,若不包含,则停止处理,并向所述客户端返回失败消息;若包含,则根据客户端数据库中所述客户端标识对应的第一密钥对签名进行解密,得到解密后的签名即URL请求标识。
步骤303:客户端接收URL验证服务器发送的校验结果返回消息。
具体地,URL验证服务器查询客户端数据库中是否存在对应URL请求标识的记录,若存在,表示已处理过该URL请求,则停止处理并向客户端返回校验失败消息;若不存在,则向客户端返回校验成功消息。
本发明实施例中客户端通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址,并将URL地址发送至URL验证服务器,以使URL验证服务器在确定客户端数据库中包含客户端标识之后,根据第一密钥对签名进行解密,最后客户端接收URL验证服务器发送的校验结果返回消息。从而保证了客户端以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。
下面通过具体的实现过程对本发明实施例的URL验证方法进行详细说明,本发明实施例的URL验证方法包括5个步骤:启动服务、申请密钥、更新密钥、URL校验、注销服务。下面分别详细介绍5个步骤的实施过程。
一、启动服务
在启动服务阶段,URL验证服务器的管理员通过防窜改设备方式交给用户第二密钥Kr(如智能卡),URL验证服务器与客户双方各自保留第二密钥Kr,第二密钥Kr用于加密第一密钥Ks。然后,URL验证服务器与客户端共同设定验证服务的URL格式。具体地,URL格式可以包含URL协议、端口号、服务器名称(例如IP地址或者域名)、路径、文件名以及文件参数后缀吗,如表1所示为URL地址需要添加的参数。
二、申请密钥
客户端与URL验证服务器提前设定申请密钥Ks的第一预设时间。具体地,第一密钥Ks为对称算法密钥,用于在URL校验步骤中验证客户端的真实性和URL的有效性,一个客户端对应一个第一密钥Ks。如图4所示,为本发明实施例提供的一种申请密钥的流程图,包括:
步骤401:客户端向URL验证服务器发出申请第一密钥Ks的请求,请求中包含客户端ID、临时交互号N1和Ns。其中,临时交互号N1可以为时间戳、计数值或随机数等。此外,客户端通过第二密钥Kr对N1进行加密,生成Ns,加密方式可以任意对称加密算法,包括DES算法、AES算法和RC5算法等。
步骤402:校验申请的有效性。具体地,URL验证服务器收到请求,采用客户端ID对应的第二密钥Kr解密Ns,核对N1。若核对失败,则停止处理,不返回消息。
步骤403:若核对成功,URL验证服务器返回确认消息,消息中包含第一密钥Ks,第一密钥Ks采用第二密钥Kr进行加密。
步骤404:客户端收到消息,通过第二密钥Kr解密第一秘钥Ks并保存第一密钥Ks,并向URL验证服务器发送测试请求。测试请求中包含客户ID号、临时交互号N2,临时交互号N2=N1+1,并通过第一密钥Ks进行加密。
步骤405:URL验证服务器收到测试请求,通过第一密钥Ks解密临时交互号N2,并核对N2和N1。如果核对无误,返回确认消息,否则,不做应答。
步骤406:客户端收到确认消息后,设置第一密钥Ks有效,结束申请密钥流程。
三、更新密钥
URL验证服务器可以定时或不定时地向客户端发送更新第一密钥Ks请求,客户端也可以定时或不定时地向URL验证服务器发送更新第一密钥Ks请求。更新第一密钥Ks可以降低非授权用户从客户端窃取密钥Ks引起的危害。更新时间可以是固定时间(如每天的零点),或者是每完成固定次数的URL验证后更新。更新密钥越频繁,越能够加强安全度,减少因为泄露密钥导致的危害。如图5所示,以URL验证服务器向客户端发起更新第一密钥Ks请求为例,本发明实施例提供的一种更新密钥的流程图,包括:
步骤501:URL验证服务器发起更新密钥Ks请求。请求中包含客户ID、临时交互号N1和时间戳t,并通过第一密钥Ks对N1进行加密。
步骤502:校验申请的有效性。客户端收到请求,首先判断请求中客户端ID是否与自身客户端ID一致。如果不是,则停止请求处理;否则通过第一密钥Ks解密N1,验证URL验证服务器真实性。
步骤503:如果验证成功,客户端返回验证成功消息,包括临时交互号N2(N2=N1+1),并通过第一密钥Ks进行加密。
步骤504:URL验证服务器收到确认消息,通过第一密钥Ks解密N2,如果成功,则返回更新后的密钥Ks’和临时交互号N3(N3=N2+1),并通过第一密钥Ks加密,并设置更新后的密钥第一密钥Ks’为预开启状态。
步骤505:客户端收到消息后,通过第一密钥Ks解密消息成功后,设置新的第一密钥Ks’,并返回确认消息。
步骤506:URL验证服务器收到确认消息后发出更新后的第一密钥Ks’测试请求,请求中包含临时交互号N4(N4=N3+1),通过更新后的第一密钥Ks’对N4进行加密。
步骤507:客户端收到测试请求后,通过更新后的第一密钥Ks’对消息进行解密,解密成功后设置更新后的第一密钥Ks’有效。
步骤508:客户端向服务器返回确认消息,消息中包含临时交互号N5(N5=N4+1),并通过更新后的第一密钥Ks’进行加密。
步骤509:URL验证服务器收到确认后,通过更新后的第一密钥Ks’解密消息,验证临时交互号N5。验证成功后,设置更新后的第一密钥Ks’为开启状态。
在步骤503至508过程中,若URL验证服务器验证失败,则URL验证服务器端等待固定时间(如10秒)后重复步骤501。此外,客户端也可以定时或不定时地向URL验证服务器发送更新第一密钥Ks请求,具体步骤与上述过程类似,在此不再赘述。
四、URL校验
检验URL的有效性主要有两个方面:1)URL为已授权的客户端所生成的;2)一条URL地址请求只能验证通过一次,重复提交的URL将被视为无效。如图6所示,本发明实施例提供的一种URL校验的流程图,包括:
步骤601:客户端生成URL地址。
具体地,URL的生成方式遵循“启动服务”步骤制定的规则,且URL参数包含表1内的各参数项。其中,URL请求标识UID为一串标示符,可以为18位时间戳与随机数的组合。签名Token为通过对称加密算法第一密钥Ks对UID加密后生成。
步骤602:客户端将URL地址发送给用户。
步骤603:用户收到URL地址,将URL地址发送至URL验证服务器。
步骤604:URL验证服务器收到URL地址,验证URL地址的有效性。
具体地,首先判断客户端数据库中是否包含URL地址中客户端标识CLIENT_ID,即确认URL是否为已授权的客户端所生成。若否,则停止处理,返回失败消息。否则采用CLIENT_ID对应的第一密钥Ks解密Token,并核实解密成功与否,如果失败,停止处理,返回失败消息。然后在客户端数据库中查询是否存在对应UID的记录,若是,表示已处理过该URL,则停止处理,向客户端返回失败消息。如果未找到相应记录,则添加一条URL地址记录至客户端数据库表,将表2中的操作状态STATE字段填入“prepared”状态。
步骤605:URL验证服务器并向客户端返回校验结果。
步骤606:URL验证服务器根据操作指示标识METHOD_ID将URL地址发送至关联服务器。
步骤607:关联服务器在运行所述URL地址请求,并向URL验证服务器返回确认消息。
步骤608:URL验证服务器收到确认消息后,将表2中的操作状态STATE字段修改为“finished”状态。
五、注销服务
客户端注销URL验证服务时,URL验证服务器将停止对该客户的服务。如图7所示,本发明实施例提供的一种注销服务的流程图,包括:
步骤701:客户端向URL验证服务器发出注销服务请求,请求中包含客户端ID、临时交互号N1和Ns,Ns通过第一密钥Ks加密。
步骤702:URL验证服务器收到请求,采用该客户端ID对应的第一密钥Ks解密Ns,核对N1。
步骤703:如果核对成功,URL验证服务器挂起该客户端ID对应的URL验证服务,并向客户端返回确认消息。
步骤704:客户端收到确认请求后,发送验证注销服务请求。请求中包含客户端ID号、临时交互号N2,临时交互号N2=N1+1,并通过第一密钥Ks进行加密。
步骤705:URL验证服务器收到请求,通过第一密钥Ks解密临时交互号,并核对N2和N1。如果核对无误,并注销该客户端ID对应的URL验证服务。
步骤706:URL验证服务器向客户端返回确认注销服务消息。
本发明实施例提供的一种URL校验的方法,通过更新密钥策略,降低了非授权客户窃取密钥情况下引起的危害;以及对称加密算法验证客户端的可靠性,对称加密算法具有计算量小、加密速度快、加密效率高的优点,能够提升客户端和服务器的运行效率;此外,URL验证服务器端记录URL请求记录,不仅保留了完整的服务记录,还防止了不法分子利用有效URL地址重复调用服务。
基于同样的发明构思,本发明实施例还提供一种URL校验的装置,对应的实体结构为URL验证服务器。如图8所示,为本发明实施例提供的一种URL校验的装置结构示意图,包括:
接收单元801:用于接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;
第一校验单元802:用于在确定客户端数据库中包含所述客户端标识之后,根据所述客户端数据库中所述客户端标识对应的第一密钥对所述签名进行解密,得到所述URL请求标识;
第二校验单元803:用于判断所述客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。
较佳地,所述URL地址还包括操作指示标识,第二校验单元803,还用于:
根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址后向所述URL验证服务器返回确认消息。
较佳地,所述装置还包括发送单元804,用于:
在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端。
较佳地,所述发送单元804,还用于:
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
基于同样的发明构思,本发明实施例还提供另一种URL校验的装置,对应的实体结构为客户端。如图9所示,为本发明实施例提供的另一种URL校验的装置结构示意图,包括:
地址生成单元901:用于通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址;
发送单元902:用于将所述URL地址发送至URL验证服务器,以使所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据第一密钥对所述签名进行解密;
接收单元903:用于接收所述URL验证服务器发送的校验结果返回消息。
较佳地,所述接收单元903,还用于:
在第一预设时间接收所述URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。
较佳地,所述接收单元903,还用于
在第二预设时间更新所述第一密钥。
较佳地,所述第一密钥及所述第二密钥为对称算法密钥。
本发明提供一种URL校验的装置,URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;在确定客户端数据库中包含客户端标识之后,根据客户端数据库中客户端标识对应的第一密钥对签名进行解密,得到所述URL请求标识;并判断客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。本发明实施例提供的URL校验的方法及装置,URL验证服务器首先判断URL请求是否为已授权的客户端生成的,然后判断是否已储存该URL请求的记录,从而保证了客户端以URL方式请求服务时的安全性和可靠性,同时防止了恶意客户以相同URL重复调用服务。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的系统。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令系统的制造品,该指令系统实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (18)

1.一种URL校验的方法,其特征在于,包括:
URL验证服务器接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;
所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据所述客户端数据库中所述客户端标识对应的第一密钥对所述签名进行解密,得到所述URL请求标识;
所述URL验证服务器判断所述客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。
2.如权利要求1所述的方法,其特征在于,所述URL地址还包括操作指示标识,所述URL验证服务器向所述客户端发送校验成功消息之后,还包括:
所述URL验证服务器根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址后向所述URL验证服务器返回确认消息。
3.如权利要求1所述的方法,其特征在于,所述URL验证服务器接收客户端根据预设规则生成的URL地址之前,还包括:
所述URL验证服务器在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端。
4.如权利要求3所述的方法,其特征在于,所述URL验证服务器在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端之后,还包括:
在第二预设时间更新所述第一密钥。
5.如权利要求3所述的方法,其特征在于,所述第一密钥及所述第二密钥为对称算法密钥。
6.一种URL校验的方法,其特征在于,包括:
客户端通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址;
所述客户端将所述URL地址发送至URL验证服务器,以使所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据第一密钥对所述签名进行解密;
所述客户端接收所述URL验证服务器发送的校验结果返回消息。
7.如权利要求6所述的方法,其特征在于,所述客户端通过预设的第一密钥对URL请求标识加密后生成签名之前,还包括:
所述客户端在第一预设时间接收所述URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。
8.如权利要求7所述的方法,其特征在于,所述客户端在第一预设时间接收所述URL验证服务器发送的所述第一密钥之后,还包括:
在第二预设时间更新所述第一密钥。
9.如权利要求7所述的方法,其特征在于,所述第一密钥及所述第二密钥为对称算法密钥。
10.一种URL校验的装置,其特征在于,包括:
接收单元:用于接收客户端根据预设规则生成的URL地址,所述URL地址包括客户端标识,以及URL请求标识加密后的签名;
第一校验单元:用于在确定客户端数据库中包含所述客户端标识之后,根据所述客户端数据库中所述客户端标识对应的第一密钥对所述签名进行解密,得到所述URL请求标识;
第二校验单元:用于判断所述客户端数据库是否包含所述URL请求标识,若是,则向所述客户端返回校验失败信息,否则添加所述URL请求标识至所述客户端数据库,并向所述客户端发送校验成功消息。
11.如权利要求10所述的装置,其特征在于,所述URL地址还包括操作指示标识,第二校验单元,还用于:
根据所述操作指示标识将所述URL地址发送至关联服务器,以使所述关联服务器在运行所述URL地址后向所述URL验证服务器返回确认消息。
12.如权利要求9所述的装置,其特征在于,还包括发送单元,用于:
在第一预设时间利用防窜改设备方式存储的第二密钥对所述第一密钥进行加密后发送至所述客户端。
13.如权利要求12所述的装置,其特征在于,所述发送单元,还用于:
在第二预设时间更新所述第一密钥。
14.如权利要求12所述的装置,其特征在于,所述第一密钥及所述第二密钥为对称算法密钥。
15.一种URL校验的装置,其特征在于,包括:
地址生成单元:用于通过预设的第一密钥对URL请求标识加密后生成签名,根据所述签名、客户端标识及预设的规则生成URL地址;
发送单元:用于将所述URL地址发送至URL验证服务器,以使所述URL验证服务器在确定客户端数据库中包含所述客户端标识之后,根据第一密钥对所述签名进行解密;
接收单元:用于接收所述URL验证服务器发送的校验结果返回消息。
16.如权利要求15所述的装置,其特征在于,所述接收单元,还用于:
在第一预设时间接收所述URL验证服务器发送的所述第一密钥,并根据预设的利用防窜改设备方式存储的第二密钥对所述第一密钥进行解密。
17.如权利要求16所述的装置,其特征在于,所述接收单元,还用于
在第二预设时间更新所述第一密钥。
18.如权利要求16所述的装置,其特征在于,所述第一密钥及所述第二密钥为对称算法密钥。
CN201610970961.4A 2016-10-31 2016-10-31 一种url校验的方法及装置 Pending CN106572105A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610970961.4A CN106572105A (zh) 2016-10-31 2016-10-31 一种url校验的方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610970961.4A CN106572105A (zh) 2016-10-31 2016-10-31 一种url校验的方法及装置

Publications (1)

Publication Number Publication Date
CN106572105A true CN106572105A (zh) 2017-04-19

Family

ID=58539939

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610970961.4A Pending CN106572105A (zh) 2016-10-31 2016-10-31 一种url校验的方法及装置

Country Status (1)

Country Link
CN (1) CN106572105A (zh)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107018144A (zh) * 2017-05-05 2017-08-04 四川长虹电器股份有限公司 一种短地址安全校验系统及方法
CN108897898A (zh) * 2018-07-26 2018-11-27 广东浪潮大数据研究有限公司 一种静态网站托管数据访问的方法、系统及服务器
CN109831446A (zh) * 2019-03-05 2019-05-31 广州虎牙信息科技有限公司 一种请求校验方法、装置、设备和存储介质
CN109962888A (zh) * 2017-12-22 2019-07-02 航天信息股份有限公司 一种防篡改业务访问方法、客户端以及服务器
CN110266480A (zh) * 2019-06-13 2019-09-20 腾讯科技(深圳)有限公司 数据传输方法、装置及存储介质
CN110661863A (zh) * 2019-09-20 2020-01-07 政采云有限公司 一种请求处理方法、装置及电子设备和存储介质
CN110855624A (zh) * 2019-10-18 2020-02-28 平安科技(深圳)有限公司 基于web接口的安全校验方法及相关设备
CN111541758A (zh) * 2020-04-17 2020-08-14 支付宝(杭州)信息技术有限公司 页面更新方法及装置
CN111917787A (zh) * 2020-08-06 2020-11-10 北京奇艺世纪科技有限公司 请求检测方法、装置、电子设备和计算机可读存储介质
CN112291201A (zh) * 2020-09-30 2021-01-29 北京五八信息技术有限公司 业务请求的传输方法及装置、电子设备
CN112583807A (zh) * 2020-12-04 2021-03-30 锐捷网络股份有限公司 一种验证方法、装置、电子设备及存储介质
CN113821774A (zh) * 2021-09-07 2021-12-21 安徽继远软件有限公司 一种终端安全风险模块匹配和验证系统
CN113872935A (zh) * 2021-08-24 2021-12-31 青岛海尔科技有限公司 数据校验方法、装置、存储介质及电子装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080037284A (ko) * 2006-10-25 2008-04-30 이니텍(주) 웹 콘텐츠를 선택적으로 암호화하는 방법 및 그러한 방법을수행하는 프로그램이 기록된 컴퓨터 판독 가능 기록 매체
CN104065624A (zh) * 2013-03-21 2014-09-24 北京百度网讯科技有限公司 请求消息的安全校验方法、系统和装置
CN105306473A (zh) * 2015-11-05 2016-02-03 北京奇虎科技有限公司 一种防止注入攻击的方法、客户端、服务器和系统
CN105681470A (zh) * 2012-03-29 2016-06-15 北京奇虎科技有限公司 基于超文本传输协议的通信方法、服务器、终端

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20080037284A (ko) * 2006-10-25 2008-04-30 이니텍(주) 웹 콘텐츠를 선택적으로 암호화하는 방법 및 그러한 방법을수행하는 프로그램이 기록된 컴퓨터 판독 가능 기록 매체
CN105681470A (zh) * 2012-03-29 2016-06-15 北京奇虎科技有限公司 基于超文本传输协议的通信方法、服务器、终端
CN104065624A (zh) * 2013-03-21 2014-09-24 北京百度网讯科技有限公司 请求消息的安全校验方法、系统和装置
CN105306473A (zh) * 2015-11-05 2016-02-03 北京奇虎科技有限公司 一种防止注入攻击的方法、客户端、服务器和系统

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107018144A (zh) * 2017-05-05 2017-08-04 四川长虹电器股份有限公司 一种短地址安全校验系统及方法
CN109962888A (zh) * 2017-12-22 2019-07-02 航天信息股份有限公司 一种防篡改业务访问方法、客户端以及服务器
CN108897898A (zh) * 2018-07-26 2018-11-27 广东浪潮大数据研究有限公司 一种静态网站托管数据访问的方法、系统及服务器
CN109831446A (zh) * 2019-03-05 2019-05-31 广州虎牙信息科技有限公司 一种请求校验方法、装置、设备和存储介质
CN110266480A (zh) * 2019-06-13 2019-09-20 腾讯科技(深圳)有限公司 数据传输方法、装置及存储介质
CN110661863A (zh) * 2019-09-20 2020-01-07 政采云有限公司 一种请求处理方法、装置及电子设备和存储介质
CN110855624A (zh) * 2019-10-18 2020-02-28 平安科技(深圳)有限公司 基于web接口的安全校验方法及相关设备
CN111541758A (zh) * 2020-04-17 2020-08-14 支付宝(杭州)信息技术有限公司 页面更新方法及装置
CN111917787A (zh) * 2020-08-06 2020-11-10 北京奇艺世纪科技有限公司 请求检测方法、装置、电子设备和计算机可读存储介质
CN111917787B (zh) * 2020-08-06 2023-07-21 北京奇艺世纪科技有限公司 请求检测方法、装置、电子设备和计算机可读存储介质
CN112291201A (zh) * 2020-09-30 2021-01-29 北京五八信息技术有限公司 业务请求的传输方法及装置、电子设备
CN112291201B (zh) * 2020-09-30 2023-06-20 北京五八信息技术有限公司 业务请求的传输方法及装置、电子设备
CN112583807A (zh) * 2020-12-04 2021-03-30 锐捷网络股份有限公司 一种验证方法、装置、电子设备及存储介质
CN113872935A (zh) * 2021-08-24 2021-12-31 青岛海尔科技有限公司 数据校验方法、装置、存储介质及电子装置
CN113821774A (zh) * 2021-09-07 2021-12-21 安徽继远软件有限公司 一种终端安全风险模块匹配和验证系统

Similar Documents

Publication Publication Date Title
CN106572105A (zh) 一种url校验的方法及装置
CN109309565A (zh) 一种安全认证的方法及装置
US20090077373A1 (en) System and method for providing verified information regarding a networked site
CN1831865B (zh) 一种基于cpk的电子银行安全认证系统和方法
CN105072125B (zh) 一种http通信系统及方法
CN114900338B (zh) 一种加密解密方法、装置、设备和介质
CN111275419B (zh) 一种区块链钱包签名确权方法、装置及系统
CN109272617B (zh) 开锁验证方法、服务器、门锁、电子设备和存储介质
CN105681340B (zh) 一种数字证书的使用方法及装置
CN106302606B (zh) 一种跨应用访问方法及装置
CN111800378B (zh) 一种登录认证方法、装置、系统和存储介质
KR100951094B1 (ko) 프라이버시 보존 방법 및 시스템, 컴퓨터 판독가능 저장 매체
CN111753014B (zh) 基于区块链的身份认证方法及装置
CN106571951A (zh) 审计日志获取、生成、验证方法、系统及装置
CN114024710A (zh) 一种数据传输方法、装置、系统及设备
CN108737110A (zh) 一种用于防重放攻击的数据加密传输方法及装置
CN110474908A (zh) 交易监管方法与装置、存储介质及计算机设备
JP2008269381A (ja) 認証サーバ及びオンラインサービスシステム
CN108701308A (zh) 用于基于区块链发布公共证书的系统、及使用该系统的用于基于区块链发布公共证书的方法
CN114629713B (zh) 身份验证方法、装置及系统
WO2024011863A9 (zh) 通信方法、装置、sim卡、电子设备和终端设备
CN107919958A (zh) 一种数据加密的处理方法、装置及设备
JP2003198541A (ja) データ検証システムとその装置
US11729159B2 (en) System security infrastructure facilitating protecting against fraudulent use of individual identity credentials
CN107086918B (zh) 一种客户端验证方法和服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20170419

RJ01 Rejection of invention patent application after publication