CN107689964A - 嵌入式web服务器防重放攻击的方法 - Google Patents
嵌入式web服务器防重放攻击的方法 Download PDFInfo
- Publication number
- CN107689964A CN107689964A CN201710900329.7A CN201710900329A CN107689964A CN 107689964 A CN107689964 A CN 107689964A CN 201710900329 A CN201710900329 A CN 201710900329A CN 107689964 A CN107689964 A CN 107689964A
- Authority
- CN
- China
- Prior art keywords
- digital signature
- request
- session
- web server
- url
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 14
- 238000012795 verification Methods 0.000 claims abstract description 15
- 235000014510 cooky Nutrition 0.000 claims description 18
- 238000001514 detection method Methods 0.000 claims description 6
- 230000003993 interaction Effects 0.000 claims description 4
- 230000015572 biosynthetic process Effects 0.000 claims description 3
- 230000004048 modification Effects 0.000 claims description 3
- 238000012986 modification Methods 0.000 claims description 3
- 208000033748 Device issues Diseases 0.000 claims 1
- 230000008859 change Effects 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验;S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
Description
技术领域
本发明涉及信息技术领域,特别涉及一种嵌入式WEB服务器防重放攻击的方法。
背景技术
随着互联网的飞速发展、家庭信息化的迅速普及,家庭网关已经成为家庭信息化中的核心设备。为了满足易用性,目前家庭网关普遍提供WEB管理接口来满足用户快捷方便的设备管理。
但随之也带来了诸多安全隐患,通过撰改URL、进行消息截获的重放攻击的恶意手段来获取家庭网关的超级管理用户权限,从而获取对家庭网关的最高控制权限。通过进一步手段来监控整个家庭网络数据信息,截获用户关键的重要私人信息,对用户的个人隐私、财产安全造成严重的威胁。根据FortiGuard实验室报告,家庭网关在2015年引发的攻击将近820,000次,到2016年攻击次数指数级增加,达到250多亿次,家庭网络安全问题正面临着严峻的挑战。
发明内容
为了解决上述嵌入式WEB服务器遇到的重放攻击的安全问题,本发明提供了一种嵌入式WEB服务器防重放攻击的方法,可以有效地针对该类型攻击进行防范。
为实现上述目的,本发明的具体技术方案如下:
一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步;
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
优选地,所述Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
优选地,所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId。
进一步地,所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
优选地,所述校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则验证通过,返回步骤S21。
采用技术方案,本发明对于Get请求则不进行数字签名校验,仅进行身份合法性校验,同时在Get响应中颁发数字签名,对于信息更改的Post请求,则校验数字签名是否合法,同时在Post响应时重新颁发新的数字签名,用于后继对该页面的信息修改,通过数字签名中的URL路径、随机数的MD5加密设计,可以有效的防止Post请求被拦截而造成的恶意的修改、重放攻击。
附图说明
图1为本发明的交互原理图;
图2为本发明中的身份合法性校验流程图;
图3为本发明中的完整性数字签名校验流程图。
具体实施方式
以下结合附图和具体实施例,对本发明进一步说明。
参考图1至图3所示,本发明提供一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步。
其中,所述Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
其中,所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId。
所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
具体地,针对已通过合法性验证的HTTP GET请求生成一个新的URL表项存储到本地,该表项记载如下信息。其中URL路径、RandId仅在本地存储,不会泄漏给终端,仅仅将生成的数字签名通知给终端。该数字签名包含了请求URL,使得攻击者不能借用此次生成的合法数字签名,恶意修改URL达到访问其它URL的合法权限。该数字签名生成机制即使每次针对相同URL进行访问,也需要重新生成随机数RandId,并重新计算颁发新的数字签名,从而使得攻击者无法对报文进行截取、重放攻击。
步骤S21中生成的数字签名连同此次请求的URL路径一起组合成Cookie信息(SIG=数字签名;path=URL路径;),通过在HTTP请求响应中携带此Cookie信息,使得终端(如,浏览器)在后续对该URL页面进行配置修改Post请求时,必须携带本次颁发的数字签名。当前URL数字签名机制借助于Cookie机制,使得浏览器可以帮助我们根据指定路径存储多份数字签名,当浏览器向指定URL路径发起请求时,就会携带该路径对应的数字签名。
所述校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则验证通过,返回步骤S21。
具体地,对于数字签名是否合法验证,在处理后续HTTP后Post请求时,会根据Post请求的URL找到本地存储的URL表项,如果未找到则认为非法请求,拒绝此次请求,如果找到则根据URL表项中记载的RandId、当前请求URL生成数字签名,核对计算的数字签名是否与用户侧协带的数字签名是否一致,如果不一致则认为非法请求,并非上次颁发的数字签名或者URL地址已经被撰改,拒绝此次请求,否则本次请求为合法请求,允许通过WEB对家庭网关进行配置管理等合法操作。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (5)
1.一种嵌入式WEB服务器防重放攻击的方法,其特征在于,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步;
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
2.根据权利要求1所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,所述Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
3.根据权利要求1所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId。
4.根据权利要求3所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
5.根据权利要求4所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,所述校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则验证通过,返回步骤S21。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710900329.7A CN107689964B (zh) | 2017-09-28 | 2017-09-28 | 嵌入式web服务器防重放攻击的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710900329.7A CN107689964B (zh) | 2017-09-28 | 2017-09-28 | 嵌入式web服务器防重放攻击的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107689964A true CN107689964A (zh) | 2018-02-13 |
| CN107689964B CN107689964B (zh) | 2020-10-23 |
Family
ID=61155465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710900329.7A Active CN107689964B (zh) | 2017-09-28 | 2017-09-28 | 嵌入式web服务器防重放攻击的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107689964B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756750A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 安全访问方法、装置、设备及存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070245409A1 (en) * | 2006-04-12 | 2007-10-18 | James Harris | Systems and Methods for Providing Levels of Access and Action Control Via an SSL VPN Appliance |
| US20090214185A1 (en) * | 2001-12-26 | 2009-08-27 | Victor Company Japan, Ltd. | Method and apparatus for generating information signal to be recorded |
| CN103001770A (zh) * | 2012-10-24 | 2013-03-27 | 北京奇虎科技有限公司 | 一种用户验证方法、服务器及系统 |
| CN103139146A (zh) * | 2011-11-24 | 2013-06-05 | 成绵广 | 认证方法 |
| CN103248616A (zh) * | 2012-02-14 | 2013-08-14 | 中兴通讯股份有限公司 | Dlna网络中进行身份验证的方法及装置、系统 |
| WO2014012476A1 (en) * | 2012-07-18 | 2014-01-23 | Tencent Technology (Shenzhen) Company Limited | Method and system of login authentication |
| US20140298037A1 (en) * | 2011-12-15 | 2014-10-02 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for securely transmitting data |
| CN105141605A (zh) * | 2015-08-19 | 2015-12-09 | 金蝶软件(中国)有限公司 | 会话方法、网站服务器及浏览器 |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
-
2017
- 2017-09-28 CN CN201710900329.7A patent/CN107689964B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090214185A1 (en) * | 2001-12-26 | 2009-08-27 | Victor Company Japan, Ltd. | Method and apparatus for generating information signal to be recorded |
| US20070245409A1 (en) * | 2006-04-12 | 2007-10-18 | James Harris | Systems and Methods for Providing Levels of Access and Action Control Via an SSL VPN Appliance |
| CN103139146A (zh) * | 2011-11-24 | 2013-06-05 | 成绵广 | 认证方法 |
| US20140298037A1 (en) * | 2011-12-15 | 2014-10-02 | Huawei Technologies Co., Ltd. | Method, apparatus, and system for securely transmitting data |
| CN103248616A (zh) * | 2012-02-14 | 2013-08-14 | 中兴通讯股份有限公司 | Dlna网络中进行身份验证的方法及装置、系统 |
| WO2014012476A1 (en) * | 2012-07-18 | 2014-01-23 | Tencent Technology (Shenzhen) Company Limited | Method and system of login authentication |
| CN103001770A (zh) * | 2012-10-24 | 2013-03-27 | 北京奇虎科技有限公司 | 一种用户验证方法、服务器及系统 |
| CN105141605A (zh) * | 2015-08-19 | 2015-12-09 | 金蝶软件(中国)有限公司 | 会话方法、网站服务器及浏览器 |
| CN105429760A (zh) * | 2015-12-01 | 2016-03-23 | 神州融安科技(北京)有限公司 | 一种基于tee的数字证书的身份验证方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 王芳等: "无线城域网络安全架构及其认证方法研究", 《江苏科技大学学报(自然科学版)》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111756750A (zh) * | 2020-06-24 | 2020-10-09 | 中国建设银行股份有限公司 | 安全访问方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107689964B (zh) | 2020-10-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bojinov et al. | Kamouflage: Loss-resistant password management | |
| CN104184713B (zh) | 终端识别方法、机器识别码注册方法及相应系统、设备 | |
| US20170324555A1 (en) | System and method for preemptive self-healing security | |
| EP1999609B1 (en) | Client side attack resistant phishing detection | |
| US8601586B1 (en) | Method and system for detecting web application vulnerabilities | |
| Singh et al. | SQL injection: Types, methodology, attack queries and prevention | |
| CN103401957A (zh) | 一种web环境下唯一标识客户端机器的方法 | |
| CN109067813A (zh) | 网络漏洞检测方法、装置、存储介质和计算机设备 | |
| CN105743905B (zh) | 一种实现安全登录的方法、设备、装置及系统 | |
| CN110912855A (zh) | 一种基于渗透性测试用例集的区块链架构安全评估方法及系统 | |
| CN104869102A (zh) | 基于xAuth协议的授权方法、装置和系统 | |
| CN107241292B (zh) | 漏洞检测方法及装置 | |
| CN106161348A (zh) | 一种单点登录的方法、系统以及终端 | |
| CN105978994A (zh) | 一种面向Web系统的登录方法 | |
| CN108848079A (zh) | 实现信息验证的方法、系统、装置和计算机系统 | |
| CN105516066A (zh) | 一种对中间人的存在进行辨识的方法及装置 | |
| JP2014110046A (ja) | 不正アクセスの検知および処理システム、装置、方法、並びにコンピュータ読み取り可能な記録媒体 | |
| Díaz de León Guillén et al. | A systematic review of security threats and countermeasures in SaaS | |
| CN104618356B (zh) | 身份验证方法及装置 | |
| CN101552671A (zh) | 基于u盘和动态差异密码的网络身份认证方法及系统 | |
| Gavazzi et al. | A Study of {Multi-Factor} and {Risk-Based} Authentication Availability | |
| CN106487752A (zh) | 一种用于验证访问安全的方法和装置 | |
| CN113364744A (zh) | 基于windows日志对域用户登录认证异常的检测方法及系统 | |
| CN105404796A (zh) | 一种JavaScript源文件保护的方法及装置 | |
| Innocenti et al. | You’ve got (a reset) mail: A security analysis of email-based password reset procedures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: A method for preventing replay attacks on embedded WEB servers Effective date of registration: 20231218 Granted publication date: 20201023 Pledgee: Guangzhou Bank Co.,Ltd. Shenzhen Nanshan Branch Pledgor: SHENZHEN YOUHUA TECHNOLOGY Co.,Ltd. Registration number: Y2023980072370 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |