CN110808955B - 一种实现url动态变换的系统及方法 - Google Patents

一种实现url动态变换的系统及方法 Download PDF

Info

Publication number
CN110808955B
CN110808955B CN201910935704.0A CN201910935704A CN110808955B CN 110808955 B CN110808955 B CN 110808955B CN 201910935704 A CN201910935704 A CN 201910935704A CN 110808955 B CN110808955 B CN 110808955B
Authority
CN
China
Prior art keywords
url
transformation
request
server
client
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910935704.0A
Other languages
English (en)
Other versions
CN110808955A (zh
Inventor
王若舟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fiberhome Telecommunication Technologies Co Ltd
Original Assignee
Fiberhome Telecommunication Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fiberhome Telecommunication Technologies Co Ltd filed Critical Fiberhome Telecommunication Technologies Co Ltd
Priority to CN201910935704.0A priority Critical patent/CN110808955B/zh
Publication of CN110808955A publication Critical patent/CN110808955A/zh
Application granted granted Critical
Publication of CN110808955B publication Critical patent/CN110808955B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]

Landscapes

  • Engineering & Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Databases & Information Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明属于Web网站安全防护技术领域,公开了一种实现URL动态变换的系统及方法;其系统包括客户端变换模块及服务器端变换模块;客户端变换模块部署在用户侧,用于完成与服务器端之间URL变换规则矩阵、时间、URL变换例外名单的同步,并执行每个请求URL的加密转换;服务器端变换模块部署在服务器端,用于生成、管理URL变换规则矩阵,为客户端提供时间同步服务,为客户端提供URL变换例外名单,并执行每个请求URL的解密转换;本发明提供的这种实现URL动态变换的系统及方法,有效隐藏敏感路径和请求参数,且加密转换的算法和密钥每隔一段时间动态变换,可有效防止攻击者进行暴力破解;且实现了用户无感知的URL动态变换,用户依然能按照自己的使用习惯使用URL。

Description

一种实现URL动态变换的系统及方法
技术领域
本发明属于Web网站安全防护技术领域,更具体地,涉及一种实现URL动态变换的系统及方法。
背景技术
针对Web服务的URL(Uniform Resource Locator,统一资源定位符)地址进行攻击是常见的黑客攻击手段,例如试图非法访问/admin,/manage,/user等高敏感地址路径获取重要信息。现有技术中针对URL进行防护的方法包括:
针对URL中的请求参数进行加密;这种方式仅能保护参数不被攻击者获取,而访问路径等敏感信息依然暴露在外。
服务器端在生成URL时直接加密,然后返回到客户端的页面中;这种方式的问题在于:用户看到的是加密后的无实际意义URL地址,用户很难在浏览器地址栏中输入正常URL进行访问,改变了用户的使用习惯,易用性较差。
服务器端和客户端通过验证码/激活码等方式约定一个密钥,然后对URL进行加解密,但这种方式通常用于手机等移动设备,容易被攻击者暴力破解。
发明内容
针对现有技术的以上缺陷或改进需求,本发明提供了一种实现URL动态变换的系统及方法,通过在客户端与服务器端之间的通信链路上对URL加密转换,有效隐藏敏感路径和请求参数,并在不同时刻采用不同加密算法、加密密钥对请求路径和请求参数同时加密变换,其目的在于提高URL安全性。
为实现上述目的,按照本发明的一个方面,提供了一种实现URL动态变换的系统,包括服务器端变换模块及客户端变换模块;
服务器端变换模块部署在服务器端,用于生成、管理URL变换规则矩阵,为客户端提供时间同步服务、提供URL变换例外名单,并执行每个请求URL的解密转换;客户端变换模块部署在用户侧,用于完成与服务器端之间URL变换规则矩阵、时间、URL变换例外名单的同步,并执行每个请求URL的加密转换。
优选的,上述实现URL动态变换的系统,其服务器端变换模块包括:
规则矩阵生成子模块,用于生成URL变换规则矩阵;
与规则矩阵生成子模块之间具有信号交互的规则矩阵管理子模块,该规则矩阵管理子模块用于将生成的URL变换规则矩阵绑定到当前用户的会话上,也支持当检测到用户的恶意攻击后主动解除矩阵与会话的绑定关系;
与规则矩阵生成子模块之间具有信号交互的规则矩阵服务子模块,该规则矩阵服务子模块用于响应客户端的规则矩阵生成请求和更新请求;
时间服务子模块,用于向客户端提供NTP时间同步服务;
例外名单服务子模块,用于维护URL变换例外名单,并响应客户端的例外名单同步请求;
与规则矩阵管理子模块之间具有信号交互的URL解密子模块,用于对客户端发来的不在URL变换例外名单中的请求进行URL解密。
优选的,上述实现URL动态变换的系统,其客户端变换模块包括:
规则矩阵同步子模块,用于与服务器端同步URL变换规则矩阵或更新URL变换规则矩阵并在客户端保存;
时间同步子模块,用于与服务器端进行时间同步;
例外名单同步子模块,用于与服务器端进行URL变换例外名单同步;
URL加密子模块,与规则矩阵同步子模块具有信号交互;该URL加密子模块用于依照URL变换规则矩阵和URL变换例外名单将客户端到服务器每一个需要变换的请求中的URL进行加密变换,与服务端之间具有通信连接。
为实现上述目的,按照本发明的另一个方面,基于上述实现URL动态变换的系统还提供了一种实现URL动态变换的方法,包括:
(1)服务器端接收到客户端登录服务器认证成功后发起的URL变换规则同步请求,生成URL变换规则矩阵,该URL变换规则矩阵描述在未来一段时间内的某一时刻,用户端和服务器端针对URL加、解密采用的密钥和对称加密算法;
(2)服务器端向客户端提供的Web页面中所包含的每一个Ajax请求URL、页面跳变请求URL是原始明文,保证URL对用户的可读性;
客户端在向服务器端发送这些URL请求时,在URL变换规则矩阵中找到当前时间节点应采用的加密算法和加密密钥,对请求URL进行加密,加密内容包含请求路径和请求参数,不包含服务器域名、IP和端口;
(3)服务器端收到客户端发送的加密URL之后的请求,依照用户会话与URL变换规则矩阵的绑定关系,找到当前用户会话绑定的URL变换规则矩阵,并根据当前时间在URL变换规则矩阵中找到当前时间节点的加密密钥和加密算法进行解密;解密成功后处理和响应客户端请求。
优选地,上述实现URL动态变换的方法,针对客户端请求发送的时间与请求到达服务器端的时间跨越了URL变换规则矩阵中两个时间节点的情况,服务器端在用当前时间节点对应的密钥和算法首次解密失败后,使用前一个时间节点对应的密钥和算法尝试二次解密。
优选地,上述实现URL动态变换的方法,当客户端检测到URL变换规则矩阵即将使用完毕,提前一个时间节点向服务器端发起更新URL变换规则矩阵请求,服务器端生成新的URL变换规则矩阵返回给客户端,并与用户会话绑定。
优选的,上述实现URL动态变换的方法,当服务器端检测到用户恶意攻击时,主动解除用户会话与URL变换规则矩阵的绑定,该用户会话下的所有后续请求均被服务器丢弃。
优选的,上述实现URL动态变换的方法,URL变换规则矩阵为:
时间 T<sub>0</sub> T<sub>1</sub> T<sub>2</sub> T<sub>3</sub> T<sub>4</sub> T<sub>5</sub> T<sub>6</sub> T<sub>7</sub> T<sub>8</sub> T<sub>9</sub> T<sub>10</sub> T<sub>11</sub> T<sub>12</sub> T<sub>13</sub>
算法 A’ A” A’ A” A”’ A”’ A’ A’ A” A’ A”’ A’ A” A”
密钥 K<sub>0</sub> K<sub>1</sub> K<sub>2</sub> K<sub>3</sub> K<sub>4</sub> K<sub>5</sub> K<sub>6</sub> K<sub>7</sub> K<sub>8</sub> K<sub>9</sub> K<sub>10</sub> K<sub>11</sub> K<sub>12</sub> K<sub>13</sub>
其中,A’、A”、A”’是指DES、3DES或AES对称加密算法中的一种;Tn与Tn+1之间的间隔设为给定范围内的随机值;在第n个时间节点Tn,密钥Kn均为随机生成的32位、64位或128位密钥,n=1、2、3…13…。
优选地,上述实现URL动态变换的方法,URL变换规则矩阵与用户会话绑定,不同用户登录生成不同的矩阵,同一个用户每次登录也生成不同的矩阵,以进一步提升安全性。
优选地,上述实现URL动态变换的方法,客户端还向服务器端发起时间NTP同步请求,以保证两端时间一致性。
优选地,上述实现URL动态变换的方法,客户端与服务器端约定URL变换例外名单,URL变换例外名单内的URL地址不参与变换。
优选地,上述实现URL动态变换的方法,服务器端在生成URL变换规则矩阵时根据网络安全态势控制矩阵时间轴的长度和变换时间间隔;缩短矩阵长度使矩阵更加频繁的更新,缩短变换时间间隔使密钥和算法变换更快。
总体而言,通过本发明所构思的以上技术方案与现有技术相比,能够取得下列有益效果:
(1)本发明提供的实现URL动态变换的方法及系统,在客户端与服务器端之间的通信链路上URL已被加密转换,有效隐藏了敏感路径和请求参数;且加密转换的算法和密钥每隔一段设定的时间动态变换,间隔时长可达分钟级别,可有效防止攻击者进行暴力破解。
(2)采用本发明提供的实现URL动态变换的方法及系统,只有登录认证成功且安装有客户端变换模块的用户才能与服务器端正常通信,在用户侧形成有效安全保障。
(3)本发明提供的实现URL动态变换的方法及系统,URL转换规则和用户会话绑定,不同用户、同一个用户多次登录均绑定独立的URL转换规则,有效形成隔离,防止矩阵被窃取盗用。
(4)本发明提供的实现URL动态变换的方法及系统,实现了用户无感知的URL动态变换,URL变换对用户透明,用户侧看到的仍然是原始明文URL,用户依然能按照自己的使用习惯使用URL;而且既支持请求路径变换,也支持请求参数变换。
附图说明
图1是本发明实施例提供的实现URL动态变换的系统的架构示意图;
图2是本发明提供的实现URL动态变换的方法准备阶段的流程示意图;
图3是本发明提供的实现URL动态变换的方法变换阶段的流程示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。此外,下面所描述的本发明各个实施方式中所涉及到的技术特征只要彼此之间未构成冲突就可以相互组合。
参照图1,实施例提供的URL动态变换系统,包括服务器端变换模块及客户端变换模块;服务器端变换模块部署在服务器端,用于生成、管理变换规则矩阵,为客户端提供时间同步服务,为客户端提供URL变换例外名单,并执行每个请求URL的解密转换;客户端变换模块部署在用户侧,用于和服务器端完成URL变换规则矩阵、时间、例外名单的同步,并执行每个请求URL的加密转换。
在一个优选实施例中,服务器端变换模块包括如下子模块:
规则矩阵生成子模块,负责生成“URL变换规则矩阵”;
与规则矩阵生成子模块之间具有信号交互的规则矩阵管理子模块,该规则矩阵管理子模块负责将生成好的规则矩阵绑定到当前用户的会话上,也支持当检测到用户的恶意攻击后主动解除矩阵与会话的绑定关系;
与规则矩阵生成子模块之间具有信号交互的规则矩阵服务子模块,该规则矩阵服务子模块负责响应客户端的规则矩阵生成请求和更新请求;
时间服务子模块,负责向客户端提供NTP时间同步服务;
例外名单服务子模块,负责维护URL变换例外名单,并响应客户端的例外名单同步请求;
与规则矩阵管理子模块之间具有信号交互的URL解密子模块,负责对客户端发来的不在例外名单中的请求进行URL解密。
在一个优选实施例中,客户端变换模块包括:
规则矩阵同步子模块,负责与服务器端通过HTTPS协议同步或更新“URL变换规则矩阵”,并在客户端进行保存;
时间同步子模块,负责与服务器端通过NTP协议进行时间同步;
例外名单同步子模块,负责与服务器端进行URL变换例外名单同步;
URL加密子模块,与规则矩阵同步子模块具有信号交互;该URL加密子模块负责依照规则矩阵和例外名单将客户端到服务器每一个需要变换的请求中的URL进行加密变换。
实施例提供的URL动态变换方法,在不同时刻采用不同加密算法、加密密钥对请求路径和请求参数同时加密变换,并让用户无感知,具体如下:
(1)客户端在登录服务器认证成功后,向服务器端发起URL变换规则同步请求,服务器端生成“URL变换规则矩阵”,该URL变换规则矩阵描述在未来一段时间内的某一时刻,用户端和服务器端针对URL加解密采用的密钥和对称加密算法;在一个实施例中,URL变换规则矩阵如下表1所示;
表1URL变换规则矩阵示例
时间 T<sub>0</sub> T<sub>1</sub> T<sub>2</sub> T<sub>3</sub> T<sub>4</sub> T<sub>5</sub> T<sub>6</sub> T<sub>7</sub> T<sub>8</sub> T<sub>9</sub> T<sub>10</sub> T<sub>11</sub> T<sub>12</sub> T<sub>13</sub>
算法 A’ A” A’ A” A”’ A”’ A’ A’ A” A’ A”’ A’ A” A”
密钥 K<sub>0</sub> K<sub>1</sub> K<sub>2</sub> K<sub>3</sub> K<sub>4</sub> K<sub>5</sub> K<sub>6</sub> K<sub>7</sub> K<sub>8</sub> K<sub>9</sub> K<sub>10</sub> K<sub>11</sub> K<sub>12</sub> K<sub>13</sub>
在一个优选实施例中,URL变换规则矩阵的生成方式为:
(1)时间轴上,Tn和Tn+1的间隔设为1分钟至5分钟之间的一个随机值;
(2)在每一时间节点Tn,密钥Kn均为随机生成的32位、64位或128位密钥;
(3)在每一时间节点Tn,算法A’、A”、A”’指DES、3DES或AES对称加密算法中的一种;
URL变换规则矩阵与用户会话绑定,不同用户登录生成不同的矩阵,同一个用户每次登录也生成不同的矩阵,进一步提升安全性。
在一个优选实施例中,客户端还向服务器端发起时间NTP同步请求,以保证两端时间一致性。
在一个优选实施例中,客户端与服务器端约定“URL变换例外名单”,URL变换例外名单内的URL地址不参与变换。
在一个优选实施例中,服务器端在生成URL变换规则矩阵时灵活控制矩阵时间轴的长度和变换时间间隔:在网络安全态势严峻时,则缩短矩阵长度,使得矩阵更加频繁的更新;或缩短变换时间间隔以让密钥和算法变换得更快,从而降低矩阵被截获或破解的风险。
(2)服务器端向客户端提供的Web页面中所包含的每一个Ajax请求URL、页面跳变请求URL仍然是原始明文,保证URL对用户的可读性;客户端在向服务器端发送这些URL请求时,如果URL不在URL变换例外名单中,则在URL变换规则矩阵中找到当前时间节点应采用的加密算法和加密密钥,对请求URL进行加密,加密内容包含请求路径和请求参数,不包含服务器域名、IP和端口。
(3)客户端将加密URL之后的请求发送给服务器端。
(4)服务器端收到请求后,如果URL不在URL变换例外名单中,则依照用户会话和URL变换规则矩阵的绑定关系,找到当前用户会话绑定的URL变换规则矩阵;根据当前时间,在URL变换规则矩阵中找到当前时间节点的加密密钥和加密算法进行解密;解密成功后处理和响应客户端请求。
进一步地,针对客户端请求发送时间和请求到达服务器端时间分别位于Tn-1和Tn的情况,即请求跨越了URL变换规则矩阵中两个时间节点的情况,服务器端在用当前时间节点Tn对应密钥和算法首次解密失败后,回溯到使用当前时间节点的上一个节点Tn-1对应的密钥和算法尝试二次解密。
进一步的,客户端在检测到“URL变换规则矩阵”即将使用完毕,提前一个时间节点(Tmax-1)向服务器端发起更新“URL变换规则矩阵”请求,服务器端生成新的“URL变换规则矩阵”返回给客户端,并与用户会话绑定。
优选的,当服务器检测到用户恶意攻击时,则主动解除用户会话与URL变换规则矩阵的绑定,该用户会话下的所有后续请求均被服务器丢弃。
以下结合具体实施例进一步阐述。
实施例提供的URL动态变换方法,包括准备阶段和变换阶段;在准备阶段,服务器和客户端完成NTP时间同步、URL变换规则矩阵同步、URL变换例外名单同步,为变换阶段实施每一次URL变换做准备。
参照图1,基于上述URL动态变换系统的URL动态变换方法准备阶段如下:
步骤S101:用户将浏览器的代理地址指向客户端变换模块,后续所有发往该Web网站的请求均被该客户端变换模块拦截。
步骤S102:用户尝试登录Web网站。
步骤S103:服务器端验证用户身份,成功后允许用户登录。
步骤S104:客户端变换模块拦截来自服务器端的响应,如果登录成功,时间同步子模块向服务器发起NTP时间同步。
步骤S105:服务器和客户端完成NTP时间同步。
步骤S106:规则矩阵同步子模块向服务器端发起URL变换规则矩阵同步请求,请求通过HTTPS协议发送。
步骤S107:服务器端的规则矩阵生成子模块开始为本次用户会话生成“URL变换规则矩阵”;具体地,首先确定该URL变换规则矩阵的长度和时间轴,当网络安全态势平稳时,时间轴长度设置为100节点,规则变换间隔可设置为1分钟至5分钟之间随机值。当网络安全态势严峻时,时间轴长度缩短为20或更小,规则变换间隔提速到1分钟一次。
步骤S108:在每一个时间节点Tn随机选择一个对称加密算法,算法选择池支持在服务器端配置和扩充,至少包括:DES、3DES、AES算法。
步骤S109:在每一个时间节点Tn随机生成一个32位、64位或128位的加解密密钥;最终生成的URL变换规则矩阵如下表2所示;
表2 URL变换规则矩阵
Figure BDA0002221520030000091
步骤S110:规则矩阵管理子模块将生成的URL变换规则矩阵绑定到本次用户会话(cookie中的sessionId)上。
步骤S111:规则矩阵服务子模块将该URL变换规则矩阵返回给客户端。
步骤S112:客户端发起URL变换例外名单同步请求,请求通过HTTPS协议发送。
步骤S113:例外名单服务子模块将预置好的“URL变换例外名单”返回给客户端,URL变换例外名单包含通信双发事先约定不参与变换的请求URL。
步骤S114:客户端变换模块保存URL变换规则矩阵和URL变换例外名单,供变换阶段的每一次URL加密变换使用。
参照图2,URL变换阶段如下:
步骤S201:用户在浏览器发起请求。
步骤S202:由于在上述准备阶段已将浏览器代理指向了客户端变换模块,因此客户端变换模块拦截到此次请求。
步骤S203:如果URL不在例外名单中,URL加密模块查找“URL变换规则矩阵”中当前时间节点的加密算法和加密密钥,对URL中的请求路径和请求参数进行加密变换。
在一个实例中,原始URL为:
http://10.127.10.5:8080/admin/privileges/config?userId=17&userType=3;
其中可变换的部分是:admin/privileges/config?userId=17&userType=3;
变换后的URL为:http://10.127.10.5:8080/yP81NnjC3SCJHy……6we64WE919FFrshgWea3。
例如,URL变换规则矩阵中T1是2019-07-01 00:00:00,T2是2019-07-0100:03:00,T3是2019-07-01 00:07:00,若当前时刻是2019-07-01 00:00:39,则取T1时刻的加密算法和密钥,若当前是2019-07-01 00:05:10,则取T2时刻的加密算法和密钥。如果URL在URL变换例外名单中,则直接将请求发给服务器端,不做加密处理。
步骤S204:客户端变换模块将URL变换后的请求发送给服务器。
步骤S205:服务器端变换模块收到请求,请求的cookie中携带了请求所属会话的sessionId。
判断URL是否在URL变换例外名单中,如果是则直接将请求转发给服务器业务后台处理,并将处理结果反馈给客户端;否则进入步骤S206。
步骤S206:服务器端变换模块依照sessionId找到与此次会话绑定的规则矩阵。
步骤S207:URL解密子模块在URL变换规则矩阵中找到当前时间节点的加密算法和加密密钥,尝试对请求的URL进行首次解密,若解密失败则进入步骤S208,若解密成功则进入步骤S210。
步骤S208:使用规则矩阵中上一个时间节点(Tn-1)的加密算法和加密密钥,尝试对请求的URL进行二次解密(Tn为当前时间节点),若二次解密失败进入步骤S209,若二次解密成功则进入步骤S210。
步骤S209:返回客户端请求无效。
步骤S210:URL解密子模块将URL解密后的请求转发给服务器业务后台处理,并将处理结果反馈给客户端。
步骤S211:客户端收到请求响应,包括请求无效的反馈或请求处理的结果。
本发明提供的实现URL动态变换的系统及方法,在客户端与服务器端通信时,对URL进行安全防护;通过URL变换规则矩阵描述在不同时间采用何种加密算法、采用随机密钥对通信URL进行加解密;而且客户端与服务器端同步URL变换规则矩阵;客户端向服务器端发起请求时,每一个URL都被依照URL变换规则矩阵动态加密转换;服务器收到请求后使用同样的URL变换规则矩阵反向解密转换;为每一个登录用户或一个用户的多次登录创建独立的规则矩阵,形成有效隔离以防止URL转换规则矩阵被窃取盗用;矩阵的长度、变换时间间隔可依照网络安全态势灵活调整;而加密转换的算法和密钥动态变换,可起到有效防止攻击者进行暴力破解的作用,进一步提高安全保障。
本领域的技术人员容易理解,以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种实现URL动态变换的系统,其特征在于,包括客户端变换模块及服务器端变换模块;
所述客户端变换模块部署在用户侧,用于完成与服务器端之间URL变换规则矩阵、时间、URL变换例外名单的同步,依照所述URL变换规则矩阵和所述URL变换例外名单执行每个请求URL的加密转换;所述服务器端变换模块部署在服务器端,用于生成、管理URL变换规则矩阵,为客户端提供时间同步服务,为客户端提供URL变换例外名单,并执行每个请求URL的解密转换;
所述客户端在向所述服务器端发送URL请求时,所述客户端变换模块在URL变换规则矩阵中找到当前时间节点应采用的加密算法和加密密钥,对请求URL中的请求路径和请求参数进行加密;所述服务器端变换模块根据所述当前时间节点在URL变换规则矩阵中找到所述当前时间节点的加密密钥和加密算法,对请求URL中的请求路径和请求参数进行解密,解密成功后处理和响应客户端请求。
2.如权利要求1所述的系统,其特征在于,所述客户端变换模块包括:
规则矩阵同步子模块,用于与服务器端同步URL变换规则矩阵或更新URL变换规则矩阵并在客户端保存;
时间同步子模块,用于与服务器端进行时间同步;
URL加密子模块,与规则矩阵同步子模块具有信号交互,与服务端之间具有通信连接;所述URL加密子模块用于依照URL变换规则矩阵和URL变换例外名单将客户端发往服务器的每一个需要变换的请求中的URL进行加密变换。
3.如权利要求2所述的系统,其特征在于,所述客户端变换模块还包括例外名单同步子模块,用于与服务器端进行URL变换例外名单同步。
4.如权利要求1所述的系统,其特征在于,所述服务器端变换模块包括:
规则矩阵生成子模块,用于生成URL变换规则矩阵;
与规则矩阵生成子模块之间具有信号交互的规则矩阵管理子模块,所述规则矩阵管理子模块用于将生成的URL变换规则矩阵绑定到当前用户的会话上,支持当检测到用户的恶意攻击后主动解除矩阵与会话的绑定关系;
与规则矩阵生成子模块之间具有信号交互的规则矩阵服务子模块,所述规则矩阵服务子模块用于响应客户端的规则矩阵生成请求和更新请求;
时间服务子模块,用于向客户端提供NTP时间同步服务;
与规则矩阵管理子模块之间具有信号交互的URL解密子模块,用于对客户端发来的不在URL变换例外名单中的请求进行URL解密。
5.如权利要求4所述的系统,其特征在于,所述服务器端变换模块还包括例外名单服务子模块,用于维护URL变换例外名单,并响应客户端的URL变换例外名单同步请求。
6.一种基于权利要求1~5任一项所述系统的实现URL动态变换的方法,其特征在于,包括:
(1)服务器端接收到客户端登录服务器认证成功后发起的URL变换规则同步请求,生成URL变换规则矩阵,并将该矩阵绑定到用户会话;所述URL变换规则矩阵描述在未来一段时间内的某一时间节点,用户端和服务器端针对URL加、解密采用的密钥和对称加密算法;
(2)服务器端向客户端提供的Web页面中所包含的每一个Ajax请求URL、页面跳变请求URL是原始明文,保证URL对用户的可读性;
客户端在向服务器端发送URL请求时,在URL变换规则矩阵中找到当前时间节点应采用的加密算法和加密密钥,对请求URL进行加密;
(3)服务器端收到客户端发送的加密URL之后的请求,依照用户会话与URL变换规则矩阵的绑定关系,找到当前用户会话绑定的URL变换规则矩阵,并根据当前时间在URL变换规则矩阵中找到当前时间节点的加密密钥和加密算法进行解密;解密成功后处理和响应客户端请求。
7.如权利要求6所述的方法,其特征在于,若客户端请求发送的时间与请求到达服务器端的时间跨越了URL变换规则矩阵中两个时间节点,服务器端在用当前时间节点对应的密钥和算法首次解密失败后,使用当前节点的前一个时间节点对应的密钥和算法尝试二次解密。
8.如权利要求6所述的方法,其特征在于,当客户端检测到URL变换规则矩阵即将使用完,提前一个时间节点向服务器端发起更新URL变换规则矩阵请求,服务器端生成新的URL变换规则矩阵返回给客户端,并与用户会话绑定。
9.如权利要求6所述的方法,其特征在于,当服务器端检测到用户恶意攻击时,主动解除用户会话与URL变换规则矩阵的绑定,该用户会话下的所有后续请求均被服务器丢弃。
10.如权利要求6所述的方法,其特征在于,URL变换规则矩阵为:
时间 T<sub>0</sub> T<sub>1</sub> T<sub>2</sub> T<sub>3</sub> T<sub>4</sub> T<sub>5</sub> T<sub>6</sub> T<sub>7</sub> T<sub>8</sub> T<sub>9</sub> T<sub>10</sub> T<sub>11</sub> T<sub>12</sub> T<sub>13</sub> 算法 A’ A” A’ A” A”’ A”’ A’ A’ A” A’ A”’ A’ A” A” 密钥 K<sub>0</sub> K<sub>1</sub> K<sub>2</sub> K<sub>3</sub> K<sub>4</sub> K<sub>5</sub> K<sub>6</sub> K<sub>7</sub> K<sub>8</sub> K<sub>9</sub> K<sub>10</sub> K<sub>11</sub> K<sub>12</sub> K<sub>13</sub>
其中,A’、A”、A”’是指DES、3DES或AES对称加密算法中的一种;Tn与Tn+1之间的间隔设为给定范围内的随机值;在第n个时间节点Tn,密钥Kn为随机生成的32位、64位或128位密钥。
11.如权利要求6所述的方法,其特征在于,URL变换规则矩阵与用户会话绑定,不同用户登录生成不同的矩阵,同一个用户每次登录也生成不同的矩阵。
12.如权利要求6所述的方法,其特征在于,服务器端在生成URL变换规则矩阵时根据网络安全态势控制矩阵时间轴的长度和变换时间间隔;通过缩短矩阵长度使URL变换规则矩阵更新更频繁,通过缩短变换时间间隔使密钥和算法变换更快。
CN201910935704.0A 2019-09-29 2019-09-29 一种实现url动态变换的系统及方法 Active CN110808955B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910935704.0A CN110808955B (zh) 2019-09-29 2019-09-29 一种实现url动态变换的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910935704.0A CN110808955B (zh) 2019-09-29 2019-09-29 一种实现url动态变换的系统及方法

Publications (2)

Publication Number Publication Date
CN110808955A CN110808955A (zh) 2020-02-18
CN110808955B true CN110808955B (zh) 2021-11-16

Family

ID=69487930

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910935704.0A Active CN110808955B (zh) 2019-09-29 2019-09-29 一种实现url动态变换的系统及方法

Country Status (1)

Country Link
CN (1) CN110808955B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111680233B (zh) * 2020-06-08 2023-08-29 北京明略昭辉科技有限公司 一种生成落地页网址的方法、装置、存储介质和电子设备
CN111723378B (zh) * 2020-06-17 2023-03-10 浙江网新恒天软件有限公司 一种基于网站地图的网站目录爆破方法
CN111988301A (zh) * 2020-08-14 2020-11-24 武汉气吞云梦科技有限公司 一种客户端防黑客暴力攻击的安全通讯方法
CN112351009B (zh) * 2020-10-27 2022-07-22 杭州安恒信息技术股份有限公司 一种网络安全防护方法、装置、电子设备及可读存储介质
CN112653671A (zh) * 2020-12-10 2021-04-13 杭州安恒信息技术股份有限公司 一种客户端与服务端的网络通信方法、装置、设备及介质
CN112650955B (zh) * 2020-12-30 2024-04-12 中国农业银行股份有限公司 一种统一资源定位符url的处理方法及装置

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006216002A (ja) * 2005-02-02 2006-08-17 Foward Network:Kk Urlセキュリティーシステム
CN103701586A (zh) * 2013-11-07 2014-04-02 金硕澳门离岸商业服务有限公司 获取密钥的方法和装置
CN104243460A (zh) * 2014-09-03 2014-12-24 飞天诚信科技股份有限公司 一种实现网络防钓鱼的方法
CN104378363A (zh) * 2014-10-30 2015-02-25 中国科学院信息工程研究所 一种动态应用地址转换方法及其网关系统
CN105282090A (zh) * 2014-06-03 2016-01-27 江南大学 一种互联网上防非法访问的公开url加密编码方法
CN108737442A (zh) * 2018-06-12 2018-11-02 北京多采多宜网络科技有限公司 一种加密校验处理方法
CN110177103A (zh) * 2019-05-28 2019-08-27 江苏快页信息技术有限公司 一种基于网页地址转换的动态web安全防护方法与系统
CN110176992A (zh) * 2019-05-29 2019-08-27 江苏恒宝智能系统技术有限公司 安全密钥管理系统和方法及其安全元件

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003298560A1 (en) * 2002-08-23 2004-05-04 Exit-Cube, Inc. Encrypting operating system
US8478990B2 (en) * 2011-06-02 2013-07-02 Cryptite LLC Mobile transaction methods and devices with three-dimensional colorgram tokens

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006216002A (ja) * 2005-02-02 2006-08-17 Foward Network:Kk Urlセキュリティーシステム
CN103701586A (zh) * 2013-11-07 2014-04-02 金硕澳门离岸商业服务有限公司 获取密钥的方法和装置
CN105282090A (zh) * 2014-06-03 2016-01-27 江南大学 一种互联网上防非法访问的公开url加密编码方法
CN104243460A (zh) * 2014-09-03 2014-12-24 飞天诚信科技股份有限公司 一种实现网络防钓鱼的方法
CN104378363A (zh) * 2014-10-30 2015-02-25 中国科学院信息工程研究所 一种动态应用地址转换方法及其网关系统
CN108737442A (zh) * 2018-06-12 2018-11-02 北京多采多宜网络科技有限公司 一种加密校验处理方法
CN110177103A (zh) * 2019-05-28 2019-08-27 江苏快页信息技术有限公司 一种基于网页地址转换的动态web安全防护方法与系统
CN110176992A (zh) * 2019-05-29 2019-08-27 江苏恒宝智能系统技术有限公司 安全密钥管理系统和方法及其安全元件

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"一种改进URL保护算法研究";章红琴等;《微型机与应用》;20160225;全文 *
yueshi等."Cloudlet mesh for securing mobile clouds from intrusions and network attacks".《 2015 3rd IEEE International Conference on Mobile Cloud Computing, Services, and Engineering》.2015, *

Also Published As

Publication number Publication date
CN110808955A (zh) 2020-02-18

Similar Documents

Publication Publication Date Title
CN110808955B (zh) 一种实现url动态变换的系统及方法
CN109561066B (zh) 数据处理方法、装置、终端及接入点计算机
CN110036597B (zh) 用于由不可信代码使用的安全分布私有密钥的方法和系统
JP5047291B2 (ja) インターネットユーザに対して認証サービスを提供するための方法およびシステム
JP5978759B2 (ja) サービス要求装置、サービス提供システム、サービス要求方法およびサービス要求プログラム
US6986047B2 (en) Method and apparatus for serving content from a semi-trusted server
US8200834B2 (en) Method and system for secure server-based session management using single-use HTTP cookies
US8275984B2 (en) TLS key and CGI session ID pairing
CN109347835A (zh) 信息传输方法、客户端、服务器以及计算机可读存储介质
JP2017521934A (ja) クライアントとサーバとの間の相互検証の方法
KR20150091969A (ko) 사물인터넷을 위한 데이터그램 전송에서 경량 인증을 위한 컴퓨터 구현 시스템 및 방법
US20120084561A1 (en) Token-based authentication using middle tier
JP2009296190A (ja) 秘匿通信方法
GB2587569A (en) Controlling access to traversal using replays around network address translation (TURN) servers using trusted single-use credentials
WO2012024910A1 (zh) 认证方法、装置和系统
US8099602B2 (en) Methods for integrating security in network communications and systems thereof
Huang et al. A token-based user authentication mechanism for data exchange in RESTful API
WO2016188402A1 (zh) 一种网络防钓鱼的装置、方法和系统
JP2005301577A (ja) 認証システム、サーバ用認証プログラム、およびクライアント用認証プログラム
US20170295142A1 (en) Three-Tiered Security and Computational Architecture
US20230179433A1 (en) Systems and Methods for Distributed, Stateless, and Dynamic Browser Challenge Generation and Verification
EP2243082A1 (en) Method and apparatus for authenticating service application processes in high availability clusters
CN114039748A (zh) 身份验证方法、系统、计算机设备和存储介质
EP3511852B1 (en) Method for providing an enhanced level of authentication related to a secure software client application that is provided, by an application distribution entity, in order to be transmitted to a client computing device; system, software client application instance or client computing device, third party server entity, and program and computer program product
Gupta et al. Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant