CN108494775B - 防止利用合法数据或篡改合法数据进行网络攻击的方法 - Google Patents

防止利用合法数据或篡改合法数据进行网络攻击的方法 Download PDF

Info

Publication number
CN108494775B
CN108494775B CN201810254078.4A CN201810254078A CN108494775B CN 108494775 B CN108494775 B CN 108494775B CN 201810254078 A CN201810254078 A CN 201810254078A CN 108494775 B CN108494775 B CN 108494775B
Authority
CN
China
Prior art keywords
terminal
data
hash value
cloud
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810254078.4A
Other languages
English (en)
Other versions
CN108494775A (zh
Inventor
刘剑飞
常清雪
肖建
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sichuan Changhong Electric Co Ltd
Original Assignee
Sichuan Changhong Electric Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sichuan Changhong Electric Co Ltd filed Critical Sichuan Changhong Electric Co Ltd
Priority to CN201810254078.4A priority Critical patent/CN108494775B/zh
Publication of CN108494775A publication Critical patent/CN108494775A/zh
Application granted granted Critical
Publication of CN108494775B publication Critical patent/CN108494775B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps

Abstract

本发明公开了防止利用合法数据或篡改合法数据进行网络攻击的方法,采用对请求的业务数据加入时间戳、不重复随机数、约定盐值,并对上述数据进行hash算法取得hash值,业务终端访问云端时将上述数据与业务数据一同上传到服务器;云端验签模块验证时间戳、hash值是否符合验签,若符合则将访问数据、将业务终端上传的时间戳,不重复的随机数,以及云端和终端约定的盐值进行hash算法得到hash值,再与业务终端上传的hash值进行对比,一致则通过验证,可进行后续工作,并缓存此次业务终端上传的hash值用于比对后面访问的hash值,如果不一致则拒绝服务请求。本发明可防止服务器资源被非法占据而影响正常访问,以达到保护网络和服务器资源的目的。

Description

防止利用合法数据或篡改合法数据进行网络攻击的方法
技术领域
本发明涉及网络安全技术领域,特别涉及防止利用合法数据或篡改合法数据进行网络攻击的方法。
背景技术
随着互联网应用的增多,服务于互联网应用的服务器经常遭受网络攻击者的攻击。其中网络攻击者截取请求数据,利用合法数据或篡改合法数据对服务器进行大量反复的请求,以达到占用服务器和网络资源,影响正常业务访问的方式,是一种非常普遍的攻击手段。该攻击方式简单,且易于分布式攻击,需采取一种高效,容易实现的方式抵御这样的攻击。
hash算法是FIPS所认证的安全散列算法,能计算出一个数字消息所对应到的长度固定的字符串(又称消息摘要)的算法。若输入的讯息不同,它们对应到不同字串的机率很高;而SHA是FIPS所认证的五种安全杂凑算法。这些算法之所以称作“安全”是基于以下两点(根据官方标准的描述):1、由讯息摘要反推原输入讯息,从计算理论上来说是很困难的。2、想要找到两组不同的讯息对应到相同的讯息摘要,从计算理论上来说也是很困难的。任何对输入讯息的变动,都有很高的机率导致其产生的讯息摘要迥异,因此,本发明的技术方案中将充分运用该算法。
发明内容
本发明的目的是克服上述背景技术中不足,提供防止利用合法数据或篡改合法数据进行网络攻击的方法,通过本发明的技术方案可有效防止网络攻击者利用合法数据或者篡改合法数据对服务器进行反复请求,以防止服务器资源被非法占据而影响正常访问,以达到保护网络和服务器资源的目的。
为了达到上述的技术效果,本发明采取以下技术方案:
防止利用合法数据或篡改合法数据进行网络攻击的方法,包含相互通信连接的终端签名模块、云端验签模块及数据存储模块,其中,数据存储模块将每个业务终端和云端约定的盐值与该终端的标识数据一对一保存,且具体包含以下步骤:
S1.业务终端在进行网络请求前,先由终端签名模块向业务数据中加入时间戳、不重复的随机数及该业务终端与云端约定的盐值,从而生成待签名数据;
S2.终端签名模块再对所述待签名数据进行hash算法,得到hash值;
S3.业务终端访问云端时,将该hash值、业务数据、时间戳、不重复的随机数一同提交云端服务器;
S4.云端验签模块将时间戳与本地时间对比,验证其时间差值是否在规定范围内,并验证hash值是否缓存;
S5.若时间差值未在规定范围内,则向业务终端返回验签失败的提示并结束本次访问,否则将收到的hash值与云端缓存的hash值进行对比;
S6.若收到的hash值已在云端缓存即与云端缓存的hash值相同,则说明该访问请求为重复请求,则向业务终端返回验签失败的提示并结束本次访问,否则,根据该终端的标识数据从数据库中取出对应的盐值;
S7.云端验签模块按终端的方式将收到的业务数据中加入时间戳、不重复的随机数,并与所述步骤S6中取出的盐值相组合得到组合数据,并对该组合数据进行hash算法,得到hash值;
S8.将步骤S7中得到的hash值与终端提交的hash值是否一致;
S9.若一致则通过验证,则云端根据收到的业务数据进行相关业务逻辑工作,同时云端将终端提交的hash值缓存;
若不一致则说明参数被篡改,验证不通过,则向业务终端返回验签失败的提示并结束本次访问;
本发明的技术方案主要采用对请求的业务数据加入时间戳、不重复的随机数,云端和业务终端约定的盐值,然后对上述数据进行hash算法,取得hash值,业务终端访问云端时,时间戳、不重复的随机数、hash值与业务数据一同上传致服务器访问;云端验签模块验证时间戳是否在规定范围内,验证hash值是否缓存,如果时间戳在规定范围内,业务终端上传的hash值未缓存,服务器将访问数据,并将业务终端上传的时间戳,不重复的随机数,以及云端和终端约定的盐值进行hash算法得到hash值,再与业务终端上传的hash值进行对比,一致则通过验证,可进行后续工作,并缓存此次业务终端上传的hash值用于比对后面访问的hash值,如果不一致则拒绝服务请求。
进一步地,所述终端的标识数据为该终端的SN或mac值。
进一步地,所述步骤S3及步骤S7中不重复的随机数为UUID。
进一步地,所述步骤S4中时间差值的规定范围为30s。
本发明与现有技术相比,具有以下的有益效果:
在本发明的技术方案中充分利用了业务数据(用于云端根据业务数据进行相关业务逻辑工作)、时间戳(由终端访问时间服务器或云端时间服务器获取。保障云端与终端时间保持一致)、不重复的随机数(保证每次业务终端发起的请求具有唯一性,不可重复)、终端与云端约定的盐值,并充分利用hash算法,有效防止利用合法数据或篡改合法数据进行攻击;
时间戳参与hash算法,保证了hash值的时间性;不重复的随机数uuid,保证业务终端的请求的唯一性;业务终端与云端约定的盐值,由于不在网络请求中传输,因此攻击者截获请求报文后,也无法获取盐值,篡改请求数据将造成hash值不正确,同时以上参数的组合方式也增加攻击者复原签名数据的难度,最终起到防止网络攻击者截取合法数据或篡改合法数据进行网络攻击的作用,防止服务器资源被非法占据而影响正常访问,以达到保护网络和服务器资源的目的。
附图说明
图1是本发明的方法的流程步骤示意图。
图2是本发明的一个实施例中该方法在一个项目中的部署图。
附图标记:
101-终端签名模块,201-云端验签模块,202-数据存储模块,301-应用服务。
具体实施方式
下面结合本发明的实施例对本发明作进一步的阐述和说明。
实施例:
实施例一:
一种防止利用合法数据或篡改合法数据进行攻击的方法,可用于物联网(ipp)项目,launcher项目等移动端与云端的访问中,如图2所示,本实施例中主要是将其应用于一个在包含由多种应用服务301的物联网项目中。
如图1所示,该防止利用合法数据或篡改合法数据进行攻击的方法,该方法的实现,主要由两个模块实现:终端签名模块101,云端验签模块201,其中,这两个模块分别具有以下作用:
终端签名模块101:主要功能是将业务终端发出的业务数据body加上时间戳timestamp、不重复的随机数、如uuid、终端与云端约定的盐值salt,并将组合成的数据进行hash算法,得到hash值;其中,业务终端与云端约定的盐值salt为不同的业务终端盐值salt不同,该盐值salt为一组随机数,与终端SN或mac一对一对应绑定保存在数据存储模块202中。
终端签名模块101向调用的业务终端提供时间戳timestamp、不重复的随机数uuid、hash值、终端SN或mac,业务终端在进行网络请求时,将这些数据与业务数据一道提交至云端验签模块201。
云端验签模块201:主要功能是接收业务终端发送的业务数据body、hash值、时间戳timestamp、不重复的随机数uuid、终端SN或mac,并进行具体的验签操作。
该防止利用合法数据或篡改合法数据进行攻击的方法主要包含以下步骤:
S1.业务终端在进行网络请求前,先由终端签名模块101向业务数据中加入时间戳、不重复的随机数及该业务终端与云端约定的盐值,从而生成待签名数据;
S2.终端签名模块101再对所述待签名数据进行hash算法,得到hash值;
S3.业务终端访问云端时,将该hash值、业务数据、时间戳、不重复的随机数如UUID,一同提交云端服务器;
S4.云端验签模块201将时间戳与本地时间对比,验证其时间差值是否超过30s,并验证hash值是否缓存;
S5.若时间差值超过30s,则向业务终端返回验签失败的提示并结束本次访问,否则将收到的hash值与云端缓存的hash值进行对比;
S6.若收到的hash值已在云端缓存即与云端缓存的hash值相同,则说明该访问请求为重复请求,则向业务终端返回验签失败的提示并结束本次访问,否则,根据该终端的标识数据即该终端的SN或mac值从数据库中取出对应的盐值;
S7.云端验签模块201按终端的方式将收到的业务数据中加入时间戳、不重复的随机数UUID,并与所述步骤S6中取出的盐值相组合得到组合数据,并对该组合数据进行hash算法,得到hash值;
S8.将步骤S7中得到的hash值与终端提交的hash值是否一致;
S9.若一致则通过验证,则云端根据收到的业务数据进行相关业务逻辑工作,同时云端将终端提交的hash值缓存,其有效期为30s;
若不一致则说明参数被篡改,验证不通过,则向业务终端返回验签失败的提示并结束本次访问。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (4)

1.防止利用合法数据或篡改合法数据进行网络攻击的方法,其特征在于,包含相互通信连接的终端签名模块、云端验签模块及数据存储模块,其中,数据存储模块将每个业务终端和云端约定的盐值与该终端的标识数据一对一保存,且具体包含以下步骤:
S1.业务终端在进行网络请求前,先由终端签名模块向业务数据中加入时间戳、不重复的随机数及该业务终端与云端约定的盐值,从而生成待签名数据;
S2.终端签名模块再对所述待签名数据进行hash算法,得到hash值;
S3.业务终端访问云端时,将该hash值、业务数据、时间戳、不重复的随机数一同提交云端服务器;
S4.云端验签模块将时间戳与本地时间对比,验证其时间差值是否在规定范围内,并验证hash值是否缓存;
S5.若时间差值未在规定范围内,则向业务终端返回验签失败的提示并结束本次访问,否则将收到的hash值与云端缓存的hash值进行对比;
S6.若收到的hash值已在云端缓存即与云端缓存的hash值相同,则说明该访问请求为重复请求,则向业务终端返回验签失败的提示并结束本次访问,否则,根据该终端的标识数据从数据库中取出对应的盐值;
S7.云端验签模块按终端的方式将收到的业务数据中加入时间戳、不重复的随机数,并与所述步骤S6中取出的盐值相组合得到组合数据,并对该组合数据进行hash算法,得到hash值;
S8.将步骤S7中得到的hash值与终端提交的hash值是否一致;
S9.若一致则通过验证,则云端根据收到的业务数据进行相关业务逻辑工作,同时云端将终端提交的hash值缓存;
若不一致则说明参数被篡改,验证不通过,则向业务终端返回验签失败的提示并结束本次访问。
2.根据权利要求1所述的防止利用合法数据或篡改合法数据进行网络攻击的方法,其特征在于,所述终端的标识数据为该终端的SN或mac值。
3.根据权利要求1所述的防止利用合法数据或篡改合法数据进行网络攻击的方法,所述步骤S3及步骤S7中不重复的随机数为UUID。
4.根据权利要求1所述的防止利用合法数据或篡改合法数据进行网络攻击的方法,所述步骤S4中时间差值的规定范围为30s。
CN201810254078.4A 2018-03-26 2018-03-26 防止利用合法数据或篡改合法数据进行网络攻击的方法 Active CN108494775B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810254078.4A CN108494775B (zh) 2018-03-26 2018-03-26 防止利用合法数据或篡改合法数据进行网络攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810254078.4A CN108494775B (zh) 2018-03-26 2018-03-26 防止利用合法数据或篡改合法数据进行网络攻击的方法

Publications (2)

Publication Number Publication Date
CN108494775A CN108494775A (zh) 2018-09-04
CN108494775B true CN108494775B (zh) 2020-12-15

Family

ID=63337826

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810254078.4A Active CN108494775B (zh) 2018-03-26 2018-03-26 防止利用合法数据或篡改合法数据进行网络攻击的方法

Country Status (1)

Country Link
CN (1) CN108494775B (zh)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10681083B2 (en) 2018-12-29 2020-06-09 Alibaba Group Holding Limited System and method for detecting replay attack
US11283634B2 (en) 2018-12-29 2022-03-22 Advanced New Technologies Co., Ltd. System and method for detecting replay attack
JP6905059B2 (ja) 2018-12-29 2021-07-21 アドバンスド ニュー テクノロジーズ カンパニー リミテッド リプレイ攻撃の検出のためのシステム及び方法
US10735464B2 (en) 2018-12-29 2020-08-04 Alibaba Group Holding Limited System and method for detecting replay attack
CN109639436A (zh) * 2019-01-04 2019-04-16 平安科技(深圳)有限公司 基于盐值的数据持有性验证方法及终端设备
CN109714370B (zh) * 2019-03-07 2021-04-02 四川长虹电器股份有限公司 一种基于http协议端云安全通信的实现方法
CN110069941A (zh) * 2019-03-15 2019-07-30 深圳市买买提信息科技有限公司 一种接口访问鉴权方法、装置及计算机可读介质
CN111222180A (zh) * 2020-02-27 2020-06-02 山东浪潮通软信息科技有限公司 判断会计凭证是否遭受篡改的方法、系统、设备及介质
CN111786797B (zh) * 2020-07-03 2022-10-18 四川阵风科技有限公司 三方通信的时效性验证方法
CN112487476A (zh) * 2020-11-30 2021-03-12 山东浪潮通软信息科技有限公司 一种防止会计凭证数据篡改方法、装置、设备及介质
CN112819463B (zh) * 2021-01-15 2022-08-02 山大地纬软件股份有限公司 基于可信秘钥体系的区块链高并发签名验签方法及系统
CN112968910B (zh) * 2021-03-30 2022-12-27 中国建设银行股份有限公司 一种防重放攻击方法和装置
CN113254210A (zh) * 2021-05-31 2021-08-13 深圳高灯计算机科技有限公司 一种基于云服务的ofd文件签章验证方法、系统及设备
CN113794568A (zh) * 2021-09-14 2021-12-14 北京北大方正电子有限公司 接口安全验证方法、访问接口的方法、装置、设备和介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656476A (zh) * 2017-01-18 2017-05-10 腾讯科技(深圳)有限公司 一种密码保护方法及装置
CN106778288A (zh) * 2015-11-24 2017-05-31 阿里巴巴集团控股有限公司 一种数据脱敏的方法及系统

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8156333B2 (en) * 2008-05-29 2012-04-10 Red Hat, Inc. Username based authentication security
CN106302336A (zh) * 2015-05-25 2017-01-04 四川长虹电器股份有限公司 一种基于云计算实现用户指纹安全的方法、系统和设备
CN105117658B (zh) * 2015-07-28 2018-11-30 北京后易科技有限公司 一种基于指纹认证的密码安全管理方法与设备
CN107274331B (zh) * 2017-06-13 2018-03-13 重庆第二师范学院 用于数据流的鲁棒水印嵌入方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106778288A (zh) * 2015-11-24 2017-05-31 阿里巴巴集团控股有限公司 一种数据脱敏的方法及系统
CN106656476A (zh) * 2017-01-18 2017-05-10 腾讯科技(深圳)有限公司 一种密码保护方法及装置

Also Published As

Publication number Publication date
CN108494775A (zh) 2018-09-04

Similar Documents

Publication Publication Date Title
CN108494775B (zh) 防止利用合法数据或篡改合法数据进行网络攻击的方法
US10833871B2 (en) System and method for deterministic signing of a message using a multi-party computation (MPC) process
CN112788036B (zh) 身份验证方法及装置
CN108769230B (zh) 交易数据存储方法、装置、服务器及存储介质
CN106899406B (zh) 一种云端数据存储完整性的证明方法
CN112671720B (zh) 一种云平台资源访问控制的令牌构造方法、装置及设备
US11184336B2 (en) Public key pinning for private networks
CN107592202B (zh) 应用签名方法、装置、系统、计算设备及存储介质
CN112801663B (zh) 区块链存证方法、装置、系统、设备和介质
CN113055188B (zh) 一种数据处理方法、装置、设备及存储介质
CN107517194B (zh) 一种内容分发网络的回源认证方法和装置
CN105978695A (zh) 一种用于云存储数据的批量自审计方法
US20140215207A1 (en) Provisioning and managing certificates for accessing secure services in network
WO2018149004A1 (zh) 一种鉴权方法及系统
CN104717217B (zh) 一种云存储中基于部分授权的可证明安全数据持有性验证方法
CN115189913B (zh) 数据报文的传输方法和装置
CN112311779B (zh) 应用于区块链系统的数据访问控制方法及装置
CN113328997A (zh) 联盟链跨链系统及方法
US20200153622A1 (en) System and method for enforcement of correctness for key derivation
CN113536284A (zh) 一种数字证书的验证方法、装置、设备和存储介质
CA2981202C (en) Hashed data retrieval method
CN111241492A (zh) 一种产品多租户安全授信方法、系统及电子设备
CN114422106B (zh) 一种多服务器环境下的物联网系统安全认证方法及系统
EP4252384B1 (en) Methods, devices and system related to a distributed ledger and user identity attribute
CN113794568A (zh) 接口安全验证方法、访问接口的方法、装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant