CN107483459A - 防重放攻击的接口保护方法 - Google Patents
防重放攻击的接口保护方法 Download PDFInfo
- Publication number
- CN107483459A CN107483459A CN201710756015.4A CN201710756015A CN107483459A CN 107483459 A CN107483459 A CN 107483459A CN 201710756015 A CN201710756015 A CN 201710756015A CN 107483459 A CN107483459 A CN 107483459A
- Authority
- CN
- China
- Prior art keywords
- request
- server
- extraneous information
- judged
- replay
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及防重放攻击的接口保护技术。本发明针对目前对接口调用过程中发生的重放攻击的保护不足的问题,提出了一种防重放攻击的接口保护方法,其技术方案可概括为:客户端在发送的数据中添加额外信息,并向服务器发送请求,所述额外信息至少包括证书序列号及随机数;服务器接收需发送的数据后,提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则判断为正常请求,并将额外信息保存在存储数据库中。本发明的有益效果是,在请求中添加额外信息,并判断其是否已存在存储数据库中,当不存在时,判断本次为正常请求,当其已经存在时,判断为异常请求。
Description
技术领域
本发明涉及信息安全技术,特别涉及防重放攻击的接口保护技术。
背景技术
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生,是计算机世界黑客常用的攻击方式之一。
现有技术通常采用哈希加盐法对报文(包含时间戳)签名,通过验证时间戳的有效性和签名的有效性来防止重放攻击,随着黑客的猖獗,其明显稳定性和安全性已不能满足用户需求。
发明内容
本发明的目的是提供一种防重放攻击的接口保护方法,解决目前对接口调用过程中发生的重放攻击的保护不足的问题。
本发明解决其技术问题,采用的技术方案是:防重放攻击的接口保护方法,其特征在于,包括以下步骤:
客户端在发送的数据中添加额外信息,并向服务器发送请求,所述额外信息至少包括证书序列号及随机数;服务器接收请求后,提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则判断为正常请求,并将额外信息保存在存储数据库中。
具体的,所述额外信息中还包括发送请求的时间,客户端从时间服务器获取发送请求的时间,服务器接收请求时,从时间服务器获取当前时间,并提取出额外信息,当判断序列号及随机数不存在服务器的存储数据库中时,并判断当前时间与发送请求的时间的差值是否在设定的阈值内,若是则判断为正常请求,若不是则判断为异常请求。
进一步的,所述额外信息中还包括签名算法,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值。
具体的,当服务器接收请求时,服务器判断证书序列号及随机数不存在服务器的存储数据库中时,将证书序列号及随机数存入存储数据库中,并从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值,判断得到的散列值与生成与之对应的签名值是否相等,若是则判断为正常请求,若不是则判断为异常请求。
再进一步的,所述额外信息中还包括签名算法,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值。
具体的,所述服务器接收请求时,当判断序列号及随机数不存在服务器的存储数据库中,且判断当前时间与发送请求的时间的差值在设定的阈值内时,将证书序列号及随机数存入存储数据库中,并从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值,判断得到的散列值与发送请求时生成的散列值是否相等,若是则判断为正常请求,若不是则判断为异常请求。
再进一步的,所述证书序列号及随机数是以规定的时间间隔存入存储数据库。
本发明的有益效果是,通过上述防重放攻击的接口保护方法,在请求中添加唯一标识的额外信息,并判断其是否已存在存储数据库中,当不存在时,表明为首次正常请求,当其已经存在时,表明此次请求不是首次请求,服务器判断其此次请求为异常请求,有效地防止了接口的重放攻击,加强了接口访问控制和安全。
具体实施方式
下面结合实施例,详细描述本发明的技术方案。
本发明所述防重放攻击的接口保护方法为:客户端在发送的数据中添加额外信息,并向服务器发送请求,其中,额外信息至少包括证书序列号及随机数;服务器接收请求后,提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则判断为正常请求,并将额外信息保存在存储数据库中。
实施例
本例防重放攻击的接口保护方法,包括以下步骤:客户端在发送的数据中添加额外信息,并向服务器发送请求,
当额外信息包括证书序列号及随机数时,服务器接收请求后,提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则判断为正常请求,并将额外信息以规定的时间间隔存入存储数据库;
当额外信息包括证书序列号、随机数及发送请求的时间时,其中,发送请求的时间由客户端从时间服务器获取,服务器接收请求后,从时间服务器获取当前时间,并提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则将额外信息以规定的时间间隔存入存储数据库,并判断当前时间与发送请求的时间的差值是否在设定的阈值内,若是则判断为正常请求,若不是则判断为异常请求;
当额外信息包括证书序列号、随机数及签名算法时,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值,服务器接收请求后,从时间服务器获取当前时间,并提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则将额外信息以规定的时间间隔存入存储数据库,并从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用公钥解密签名值得到散列值,判断得到的散列值与发送请求时生成的散列值是否相等,若是则判断为正常请求,若不是则判断为异常请求;
当额外信息包括证书序列号、随机数、发送请求的时间及签名算法时,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值,其中,发送请求的时间由客户端从时间服务器获取,服务器接收请求后,从时间服务器获取当前时间,并提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则将额外信息以规定的时间间隔存入存储数据库,并判断当前时间与发送请求的时间的差值是否在设定的阈值内,若不是则判断为异常请求,若是则从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用公钥解密签名值得到散列值,判断得到的散列值与发送请求时生成的散列值是否相等,若是则判断为正常请求,若不是则判断为异常请求。
根据本例的描述可见,本例中将额外信息以规定的时间间隔存入存储数据库可根据实际需要自由设定,而在本发明的基础上在额外信息中添加其他标识因素以判断是否为正常请求为较为成熟的现有技术,此处不再详述。
Claims (7)
1.防重放攻击的接口保护方法,其特征在于,包括以下步骤:
客户端在发送的数据中添加额外信息,并向服务器发送请求,所述额外信息至少包括证书序列号及随机数;服务器接收请求后,提取出额外信息,并判断证书序列号及随机数是否存在服务器的存储数据库中,若是则判断为异常请求,若不是则判断为正常请求。
2.根据权利要求1所述的防重放攻击的接口保护方法,其特征在于,所述额外信息中还包括发送请求的时间,客户端从时间服务器获取发送请求的时间,服务器接收请求时,从时间服务器获取当前时间,并提取出额外信息,当判断序列号及随机数不存在服务器的存储数据库中时,并判断当前时间与发送请求的时间的差值是否在设定的阈值内,若是则判断为正常请求,若不是则判断为异常请求。
3.根据权利要求1所述的防重放攻击的接口保护方法,其特征在于,所述额外信息中还包括签名算法,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值。
4.根据权利要求3所述的防重放攻击的接口保护方法,其特征在于,当服务器接收请求时,服务器判断证书序列号及随机数不存在服务器的存储数据库中时,将证书序列号及随机数存入存储数据库中,并从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值,判断得到的散列值与生成与之对应的签名值是否相等,若是则判断为正常请求,若不是则判断为异常请求。
5.根据权利要求2所述的防重放攻击的接口保护方法,其特征在于,所述额外信息中还包括签名算法,客户端发送请求时,使用签名算法中的散列算法对额外信息进行散列,生成散列值,并使用签名算法中的非对称算法对散列值进行私钥加密,生成与之对应的签名值。
6.根据权利要求5所述的防重放攻击的接口保护方法,其特征在于,所述服务器接收请求时,当判断序列号及随机数不存在服务器的存储数据库中,且判断当前时间与发送请求的时间的差值在设定的阈值内时,将证书序列号及随机数存入存储数据库中,并从认证中获取证书序列号对应的公钥,根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值,判断得到的散列值与发送请求时生成的散列值是否相等,若是则判断为正常请求,若不是则判断为异常请求。
7.根据权利要求4或6所述的防重放攻击的接口保护方法,其特征在于,所述证书序列号及随机数是以规定的时间间隔存入存储数据库。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710756015.4A CN107483459A (zh) | 2017-08-29 | 2017-08-29 | 防重放攻击的接口保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710756015.4A CN107483459A (zh) | 2017-08-29 | 2017-08-29 | 防重放攻击的接口保护方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN107483459A true CN107483459A (zh) | 2017-12-15 |
Family
ID=60604104
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710756015.4A Pending CN107483459A (zh) | 2017-08-29 | 2017-08-29 | 防重放攻击的接口保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107483459A (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108183905A (zh) * | 2017-12-29 | 2018-06-19 | 中国平安人寿保险股份有限公司 | 校验方法、用户设备、存储介质及校验装置 |
CN108667617A (zh) * | 2018-05-04 | 2018-10-16 | 深圳市沃特沃德股份有限公司 | app接口防重放方法及服务器 |
CN109495441A (zh) * | 2018-09-10 | 2019-03-19 | 北京车和家信息技术有限公司 | 接入认证方法、装置、相关设备及计算机可读存储介质 |
CN109768991A (zh) * | 2019-03-04 | 2019-05-17 | 杭州迪普科技股份有限公司 | 报文的重放攻击检测方法、装置、电子设备 |
CN111200599A (zh) * | 2019-12-28 | 2020-05-26 | 浪潮电子信息产业股份有限公司 | 一种访问认证方法、装置、设备及可读存储介质 |
CN113225348A (zh) * | 2021-05-19 | 2021-08-06 | 中国建设银行股份有限公司 | 请求防重放校验方法和装置 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101192926A (zh) * | 2006-11-28 | 2008-06-04 | 北京握奇数据系统有限公司 | 帐号保护的方法及系统 |
KR101358704B1 (ko) * | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | 싱글 사인 온을 위한 인증 방법 |
CN106230587A (zh) * | 2016-08-05 | 2016-12-14 | 浪潮软件股份有限公司 | 一种长连接防重放攻击的方法 |
CN106789997A (zh) * | 2016-12-12 | 2017-05-31 | 中国传媒大学 | 一种防重放攻击的加密方法 |
-
2017
- 2017-08-29 CN CN201710756015.4A patent/CN107483459A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101192926A (zh) * | 2006-11-28 | 2008-06-04 | 北京握奇数据系统有限公司 | 帐号保护的方法及系统 |
KR101358704B1 (ko) * | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | 싱글 사인 온을 위한 인증 방법 |
CN106230587A (zh) * | 2016-08-05 | 2016-12-14 | 浪潮软件股份有限公司 | 一种长连接防重放攻击的方法 |
CN106789997A (zh) * | 2016-12-12 | 2017-05-31 | 中国传媒大学 | 一种防重放攻击的加密方法 |
Non-Patent Citations (1)
Title |
---|
王娜: ""电子商务中的认证技术"", 《山东行政学院山东省经济管理干部学院学报》 * |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108183905A (zh) * | 2017-12-29 | 2018-06-19 | 中国平安人寿保险股份有限公司 | 校验方法、用户设备、存储介质及校验装置 |
CN108667617A (zh) * | 2018-05-04 | 2018-10-16 | 深圳市沃特沃德股份有限公司 | app接口防重放方法及服务器 |
CN109495441A (zh) * | 2018-09-10 | 2019-03-19 | 北京车和家信息技术有限公司 | 接入认证方法、装置、相关设备及计算机可读存储介质 |
CN109768991A (zh) * | 2019-03-04 | 2019-05-17 | 杭州迪普科技股份有限公司 | 报文的重放攻击检测方法、装置、电子设备 |
CN111200599A (zh) * | 2019-12-28 | 2020-05-26 | 浪潮电子信息产业股份有限公司 | 一种访问认证方法、装置、设备及可读存储介质 |
CN113225348A (zh) * | 2021-05-19 | 2021-08-06 | 中国建设银行股份有限公司 | 请求防重放校验方法和装置 |
CN113225348B (zh) * | 2021-05-19 | 2023-04-07 | 中国建设银行股份有限公司 | 请求防重放校验方法和装置 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107483459A (zh) | 防重放攻击的接口保护方法 | |
US10880306B2 (en) | Verification information update | |
CN103581173B (zh) | 一种基于工业以太网的数据安全传输方法、系统及装置 | |
CN101170407B (zh) | 一种安全地生成密钥对和传送公钥或证书申请文件的方法 | |
CN103338201B (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
CN111464503B (zh) | 基于随机多维变换的网络动态防御方法、装置及系统 | |
KR20110070694A (ko) | 다자간 양자 통신에서의 사용자 인증 방법 및 장치 | |
CN103346888A (zh) | 一种基于密码、智能卡和生物特征的远程身份认证方法 | |
CN105099690A (zh) | 一种移动云计算环境下基于otp和用户行为的认证授权方法 | |
CN106230587B (zh) | 一种长连接防重放攻击的方法 | |
CN112711759A (zh) | 一种防重放攻击漏洞安全防护的方法及系统 | |
CN113626802B (zh) | 一种设备密码的登录验证系统及方法 | |
CN106559408A (zh) | 一种基于信任管理的sdn认证方法 | |
CN105681470A (zh) | 基于超文本传输协议的通信方法、服务器、终端 | |
CN103888938A (zh) | 一种基于参数的动态生成密钥的pki私钥保护方法 | |
CN108696356A (zh) | 一种基于区块链的数字证书删除方法、装置及系统 | |
KR20080050134A (ko) | 다중 인증 수단을 가지는 시스템의 통합 사용자 인증 서버,클라이언트 및 방법 | |
CN103312499B (zh) | 一种身份认证方法及系统 | |
US10122755B2 (en) | Method and apparatus for detecting that an attacker has sent one or more messages to a receiver node | |
CN103401872B (zh) | 基于rdp改进协议的防止和检测中间人攻击的方法 | |
CN103973703A (zh) | 一种用于应用程序和服务器之间交换数据安全的请求方法 | |
CN108075895B (zh) | 一种基于区块链的节点许可方法和系统 | |
CN110247911A (zh) | 一种流量异常检测方法及系统 | |
CN110224810A (zh) | 一种二维码的防伪方法 | |
CN107888543A (zh) | 基于分布式集群环境下保护集群数据安全的方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171215 |
|
RJ01 | Rejection of invention patent application after publication |