CN114616795A - 用于防止重试或重放攻击的安全机制 - Google Patents
用于防止重试或重放攻击的安全机制 Download PDFInfo
- Publication number
- CN114616795A CN114616795A CN202080073945.XA CN202080073945A CN114616795A CN 114616795 A CN114616795 A CN 114616795A CN 202080073945 A CN202080073945 A CN 202080073945A CN 114616795 A CN114616795 A CN 114616795A
- Authority
- CN
- China
- Prior art keywords
- message
- fingerprint
- computing device
- http
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000007246 mechanism Effects 0.000 title description 11
- 238000004891 communication Methods 0.000 claims abstract description 92
- 238000003860 storage Methods 0.000 claims abstract description 56
- 238000000034 method Methods 0.000 claims abstract description 47
- 230000004044 response Effects 0.000 claims description 31
- 238000012545 processing Methods 0.000 claims description 21
- 238000004422 calculation algorithm Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 description 23
- 230000003993 interaction Effects 0.000 description 18
- 230000008569 process Effects 0.000 description 8
- 239000003795 chemical substances by application Substances 0.000 description 4
- 238000001514 detection method Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000002093 peripheral effect Effects 0.000 description 3
- 238000003825 pressing Methods 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004590 computer program Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000000977 initiatory effect Effects 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241000699666 Mus <mouse, genus> Species 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000003999 initiator Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000013515 script Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/28—Flow control; Congestion control in relation to timing considerations
- H04L47/286—Time to live
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
- H04L2209/805—Lightweight hardware, e.g. radio-frequency identification [RFID] or sensor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
实施例包括用于管理通信网络安全的设备、方法和系统。可以由第二计算装置从第一计算装置接收基于通信网络的无状态通信协议而被格式化的消息。所述第二计算装置基于存储在与所述第二计算装置相关联的存储装置中的散列函数生成并进一步存储所述消息的指纹。所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的。另外,所述第二计算装置检测生成的所述消息的指纹是否具有已经存储在所述存储装置中的重复指纹,其中所述消息是具有所述重复指纹的消息的重试消息或重放消息。还可以描述和要求保护其它实施例。
Description
背景技术
例如计算机、通信或数据网络的网络包括通过链路连接以实现终端或计算装置之间的通信的组件集合,例如终端节点或计算装置、交换机、路由器。网络在世界各地被广泛用于连接个人和组织,使电子商务成为可能。通信协议是允许通信网络或系统的两个或更多个实体经由物理数量的任何类型的变化来传输信息的规则系统。互联网是来自不同组织的许多数据网络的最佳实例,所有这些组织都在单个地址空间下运行。附接到传输控制协议/互联网协议(TCP/IP)网络的终端使用IP协议指定的IP地址进行处理。协议可以通过硬件、软件或两者的组合来实施。通信系统根据协议使用定义明确的格式来交换各种消息。每个消息具有确切含义,旨在从针对所述特定情况预先确定的一系列可能响应中引出响应。通信安全是防止未授权的拦截器访问计算机系统或通信网络,同时仍向预期接收方传送内容的规则。随着互联网、电子商务和其它应用的广泛使用,网络或通信安全正面临越来越多的挑战。
发明内容
本文公开的实施例包括一种用于管理通信网络安全的计算机实施的方法。所述方法包括由通信网络的第二计算装置从通信网络的第一计算装置接收基于通信网络的无状态通信协议而被格式化的消息。所述方法还包括由第二计算装置基于存储在与第二计算装置相关联的存储装置中的散列函数生成消息的指纹。所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的。另外,所述方法包括由第二计算装置将生成的消息的指纹存储在存储装置中。此外,所述方法包括由第二计算装置检测生成的消息的指纹是否具有已经存储在存储装置中的重复指纹,其中所述消息是具有重复指纹的消息的重试消息或重放消息。
本文公开的实施例包括一种存储在包含程序指令的非瞬态计算机可读介质上的可执行软件产品,所述程序指令响应于计算装置的处理器执行指令而使处理器执行一系列操作。详细地说,响应于处理器执行指令,使得计算装置的处理器接收基于通信网络的无状态通信协议而被格式化的消息;以及基于存储在耦合到处理器的存储装置中的散列函数,生成消息的指纹。所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的。另外,响应于处理器执行指令,使得处理器将生成的消息的指纹存储在存储装置中;以及由处理器检测生成的消息的指纹是否具有已经存储在存储装置中的重复指纹,其中消息是具有重复指纹的消息的重试消息或重放消息。
本文公开的实施例包括一种计算装置,其包括用于存储散列函数的存储装置和耦合到所述存储装置的一个或多个处理器。一个或多个处理器被配置成由通信网络从耦合到计算装置的另一计算装置接收基于通信网络的无状态通信协议而被格式化的消息。一个或多个处理器还被配置成基于消息的标头的至少一部分或消息的正文的一部分使用散列函数生成消息的指纹;以及将生成的消息的指纹存储在存储装置中。另外,一个或多个处理器还被配置成检测生成的消息的指纹是否具有已经存储在存储装置中的重复指纹,其中消息是具有重复指纹的消息的重试消息或重放消息。
附图说明
通过以下结合附图的详细描述将容易理解实施例。为了便于描述,相同的附图标记表示相同的结构元件。在附图中以实例而非限制的方式示出了实施例。
图1(a)-1(f)示出了根据各种实施例的用于管理通信网络的安全机制的示例系统、通信协议堆栈、消息和过程。
图2(a)-2(c)示出了根据各种实施例的实施安全机制的示例通信网络。
图3示出了根据各种实施例的适合用于实践本公开的各方面的示例装置。
具体实施方式
呈现以下描述是为了使本领域的普通技术人员能够制造并使用实施例,并且以下描述是在专利申请和其要求的上下文中提供的。对于本文所述的示例性实施例及通用原理和特征的各种修改将是显而易见的。示例性实施例主要根据在特定实施方案中提供的特定方法和系统来描述。但是,所述方法和系统在其它实施方案中也将有效地起作用。例如“示例性实施例”、“一个实施例”和“另一实施例”的短语可以指相同或不同的实施例。将结合具有某些组件的系统和/或装置来描述实施例。但是,系统和/或装置可包括比示出的组件更多或更少的组件,并且可以在不脱离本公开的范围的情况下改变组件的布置和类型。所公开的实施例还将在具有某些步骤的特定方法的上下文中描述。但是,方法和系统针对具有不同和/或额外步骤以及与本发明的实施例不一致的不同次序的步骤的其它方法有效地操作。因此,本公开并不意图限于示出的实施例,而是被赋予与本文所描述的原理和特征一致的最广范围。
通信网络或计算机网络包括通过链路连接以实现计算装置之间遵循一个或多个通信协议的通信的组件集合,例如计算装置。随着通信网络的广泛使用,计算机安全、通信安全或网络安全至关重要。本文的实施例可涉及网络安全,其还可包括本领域的普通技术人员所理解的计算机安全或通信安全。一般来说,计算机安全或网络安全可包括许多主题,例如密码、认证、加密、密钥管理、各种攻击及其预防。主动攻击涉及对数据流进行一定修改或创建虚假流,并且可以细分为四类:重放、伪装、修改消息和拒绝服务。重放(也称为重放攻击)是一种网络攻击形式,其中有效数据传输被恶意或欺诈性地重复或延迟。这是由发起方或拦截数据并重新传输数据的对手进行的,可能是通过互联网协议(IP)数据包替换进行的伪装攻击的一部分。重放是“中间人攻击”的较低层级版本之一。另外,当用户发起使得重复消息或相似消息被发送的动作时,可能会发生重试。重试可以是用于其它类型的安全攻击的一种工具。例如,多轮重试可能会导致拒绝服务攻击或违反认证。
本文的实施例涉及用于防止计算机网络中的重试或重放攻击的安全机制,所述攻击是特定安全攻击,而不是一般的网络安全。此外,在实施例中,基于通信网络的无状态通信协议格式化在通信网络中传送的消息。在计算中,无状态协议是通常为服务器的接收器不保留会话信息的通信协议。每个消息都可以在没有上下文信息或不了解所述消息之前或之后的消息的情况下单独理解。本文的实施例涉及对例如通信网络中的计算装置等计算机的操作方式的特定改进,以基于通信网络的无状态协议提供对重试或重放攻击的安全保护。
本文的实施例改进了通信网络中的计算装置的功能,以基于无状态协议检测和防止重试或重放攻击。本文的实施例提高了对通信网络中的计算装置的安全保护的效率。当多次发送重复或相似消息时,会发生重试或回复。当第二消息是第一消息的重复消息时,第二消息是第一消息的重放消息。当第二消息是第一消息的相似消息时,第二消息是第一消息的重试消息。例如,当第二消息具有相同消息内容但具有不同标头字段时,第二消息是第一消息的重试消息。由于协议是无状态协议,因此目前无法检测一个消息是否与另一消息相同或相似,因为每个消息都是在没有上下文信息或不了解所述消息之前或之后的消息的情况下单独理解的。在一些当前技术中,请求标识符,例如相关标识符,可以用于将一个请求消息与另一请求消息绑定。然而,在共享相关标识符的请求消息链内,当前技术仍无法判断请求消息是唯一的还是重复的。因此,直接比较两个消息以检测重试或重放攻击是不可能的。本文的实施例生成消息的指纹,并且通过检测指纹的重复来检测消息的重复。另外,本文的实施例提高了对通信网络中的计算装置的安全保护水平。伴随而来的是,本文的实施例可以降低使用通信网络的商业组织或公司的风险。
图1(a)-1(f)示出了根据各种实施例的用于管理通信网络的安全机制的示例系统、通信协议堆栈、消息和过程。如图1(a)所示,通信网络100包括第一计算装置101和第二计算装置103,其中通信网络100包括云网络105。如图1(b)所示,通信网络130包括第一计算装置131、第二计算装置133、代理132和代理134。网络100或网络130中可能存在未示出的许多其它组件,例如,交换机、路由器、存储装置。本文针对网络100描述的操作类似地适用于网络130。
在实施例中,通信网络100或通信网络130可以是各种通信网络,例如互联网、传感器网络或电子支付交易处理网络,且更多细节在图2(a)-2(c)中示出。在实施例中,第一计算装置101、第一计算装置131、第二计算装置103或第二计算装置133可以包括智能手机、笔记本计算机、平板计算机、个人计算机、服务器、相机、传感器、路由器、交换机、物联网(IoT)装置、销售点(POS)终端或交易终端。
在实施例中,第一计算装置101或第二计算装置103可包括存储装置,以及耦合到所述存储装置的一个或多个处理器。例如,第二计算装置103包括存储装置104,以及耦合到存储装置104的一个或多个处理器,例如处理器102。存储装置104存储散列函数106。在实施例中,散列函数106可包括SHA-256、SHA-224、SHA-384、SHA-512或安全散列算法。散列函数106可以将消息或从消息生成的字母串作为输入,并产生固定位数的输出。例如,当散列函数106是SHA-256时,对于任何输入消息,散列函数106生成256位的输出消息。
在实施例中,第二计算装置103的处理器102可以被配置成通过通信网络100从第一计算装置101接收基于通信网络100的无状态通信协议格式化的消息111。消息111可以是请求消息。另外,处理器102可以被配置成生成要发送到第一计算装置101的响应消息113。消息111和消息113可以是第一请求和第一响应消息。第一计算装置101可进一步将第二请求消息121发送到第二计算装置103,且第二计算装置103可进一步生成要发送到第一计算装置101的第二响应消息123。消息111、消息113、消息121和消息123可以基于通信网络的无状态通信协议来格式化。因此,第一计算装置101和第二计算装置103可能未保留关于第一计算装置101与第二计算装置103之间的通信的会话信息。请求消息121是在不了解所述请求消息之前的请求(例如,消息111)的情况下独立执行的。第一计算装置101首先发送消息111,并且第二计算装置103用消息113作出响应。当第一计算装置101返回消息121时,第二计算装置103将消息121视为来自不同的计算装置或用户,并且不认为消息121来自相同的计算装置,即第一计算装置101。简而言之,对于无状态协议,每个请求消息都是独立请求消息。在一些当前技术中,请求标识符,例如相关标识符,可以用于将一个请求消息与另一请求消息绑定。相关ID,也称为传输ID,是附到允许参考特定交易或事件链的请求和消息的唯一标识符值。例如,消息111是包括共享相同相关标识的消息111和消息121两者的一组多个消息中的一个。然而,在共享相关标识符的请求消息链内,当前技术仍无法判断请求消息是唯一的还是重复的。例如,请求消息可能是先前失败的重试消息。
在实施例中,消息111或消息121的无状态通信协议可包括超文本传输协议(HTTP)、HTTP/1.1、HTTP/2、HTTP/3、HTTPS、互联网协议(IP)、无状态传感器网络协议,或任何其它无状态通信协议。如图1(c)所示,可以是HTTP、HTTP/1.1、HTTP/2、HTTP/3和HTTPS中的任一个的HTTP协议是TCP和IP层之上的应用层协议。HTTP协议是一种允许提取例如HTML文档的资源的协议。HTTP协议是网络上任何数据交换的基础,并且是一种客户端服务器协议,这意味着请求由通常为网络浏览器的接收方发起。从提取的不同子文档重建完整的文档,所述子文档例如文本、布局描述、图像、视频、脚本等。
可能存在与HTTP协议相关的各种重试或重放。当用户发起使得重复HTTP请求消息被传输的动作时,会发生用户重试。例如,当按下“重新加载”按钮、再次键入URL、再次按下URL栏中的“返回”或在屏幕上仍有显示的情况下两次按下导航链接或表单按钮时,可能会发生用户重试。当HTTP客户端实施方案在没有用户干预或发起的情况下重新发送先前的请求消息时,会发生自动重试。当GET请求未能返回完整响应时,或当连接在请求被发送之前断开时,可能会发生这种情况。自动重试可以由用户代理和中间客户端执行。当包含HTTP请求消息的基础传送单元(例如,TCP数据包、QUIC帧)在网络上被重新发送,并且似乎是作为传送协议操作的一部分自动向下游服务器发出或由攻击者向下游服务器发出的单独请求时,会发生重放。上游HTTP客户端可能没有任何指示表明发生了重放。
消息111可以是基于HTTP协议、IP协议或其它无状态协议的消息。如图1(d)所示,当消息111是HTTP消息时,消息111可包括方法名称、路径或请求URI、协议的版本、标头和正文。所述方法可包括HTTP相关协议中的GET、HEAD、POST、OPTIONS、PUT、DELETE、TRACE、CONNECT或PATCH,并且消息111可以是GET、HEAD、POST、OPTIONS、PUT、DELETE、TRACE、CONNECT或PATCH的消息。消息111可包括总标头、客户端请求标头或实体标头。标头可包括日期字段、生存时间(TTL)字段或相关标识字段以指定消息与其它消息的特定关系。另外,正文或标头可包括认证数据。
更详细地说,当消息111是HTTP消息时,消息111包括以下格式:请求行152、包括零个或更多个标头字段、后跟回车换行(CRLF)的标头151、指示标头字段结束的空行,以及任选的消息正文153。请求行以方法令牌(RequestMethod)开始,然后是请求统一资源标识符(URI)、协议版本,并以CRLF结束。元素由空格(SP)字符隔开。例如,请求行的格式为:“方法SP请求URI SP HTTP版本CRLF”。请求方法指示要对由给定请求URI标识的资源执行的方法。请求URI标识要对其应用请求的资源。HTTP标头包括HTTP标头字段,其提供关于请求或响应的信息,或关于消息正文中发送的对象的信息。有四种类型的HTTP消息标头:通用标头、客户端请求标头、服务器响应标头和实体标头。通用标头包括标头字段对请求消息和响应消息都具有一般适用性。客户端请求标头包括仅适用于请求消息的标头字段。服务器响应标头包括仅适用于响应消息的标头字段。实体标头包括定义关于实体正文的元信息或在不存在正文部分的情况下定义关于由请求标识的资源的元信息的标头字段。例如,标头可包括以下标头字段:接受字符集、接受编码、接受语言、授权、预期、来自、主机等。授权:凭证形式的授权请求标头字段值包括包含所请求资源领域的用户代理的认证信息的凭证。主机标头字段用于指定所请求资源的互联网主机和端口号。本文未示出或描述许多更详细的标头字段,但本领域的普通技术人员已知这些标头字段。
在实施例中,处理器102被配置成基于消息111的标头的至少一部分或消息111的正文的一部分使用散列函数106生成消息111的指纹108。如图1(e)所示,指纹108可以基于字符串154生成,所述字符串包括消息标头或正文信息的一部分,
RequestURI||RequestHttpMethod||RequestBody||AllRequestHeaderNamesInSortedCsvFormat||SelectedRequestHeaderValuesInSortedCsvFormat。RequestURI和RequestHttpMethod来自请求行152,RequestBody来自正文153。
AllRequestHeaderNamesInSortedCsvFormat||SelectedRequestHeaderValuesInSortedCsvFormat可包括来自标头151的所有或一些所选标头字段。字符串154的分量选自消息111、标头151、请求行152或正文153。然而,字符串154可以按重试或重放攻击检测的次序放置分量,所述次序不同于消息111中所示的分量。
在一些实施例中,字符串154可包括完整请求正文、所有标头名称和所有标头值。基于这种字符串154生成的指纹可用于检测对请求的重放攻击,其中中间人攻击已经发生并且已经重放整个请求,包括可能具有内置生存时间(TTL)的认证数据。指纹中使用所有标头值,包括相关标识符。基于这种字符串154(包括完整请求正文、所有标头名称和所有标头值)生成的指纹可能无法检测客户端重试请求的位置,因为客户端可能会创建新的认证标头,并且相关标识符可能不同。
在一些实施例中,字符串154可包括完整请求正文、所有标头名称、非日期/时间戳驱动的所选非认证数据。每当客户端重试请求时,由这种字符串154生成的指纹就可以检测到,因为指纹只查看静态值。然而,由于不同的静态数据点是有限的,因此资源上的一些GET请求可能具有相同的指纹。可以从用于生成指纹108的消息111获得各种字符串154,所述指纹对于检测重试或重放攻击可具有不同优点或缺点。
另外,处理器102被配置成将消息111的生成指纹108存储在存储装置104中。在一些实施例中,可以在不使用消息111中包含的认证数据的情况下生成指纹108。当恶意用户攻击服务器时,恶意用户可能会不断更改认证数据以获得对服务器上的内容的访问权。现有方法无法用不同的认证数据检测此类重试攻击。另外,存储装置104还存储针对其它消息生成的其它指纹107。处理器102还被配置成检测消息111的生成指纹108在存储装置104中存储的指纹107中是否具有重复指纹,其中重复指纹是针对另一消息生成的。如果处理器102检测到生成指纹108存在重复指纹,则消息111可以是生成重复指纹的另一消息的重试或重放消息。
在实施例中,处理器102还被配置成生成消息111的响应消息113。当处理器102检测到生成指纹108存在重复指纹时,处理器102可以生成响应消息113以指示拒绝服务请求。另一方面,当处理器102未检测到生成指纹108的重复指纹时,处理器102可以在没有本文所描述的安全机制的情况下生成响应消息113作为正常响应。
图1(f)示出了管理通信网络100的安全机制的示例过程170。过程170可以由第二计算装置103的处理器102执行。
在实施例中,在交互171,处理器102通过通信网络从第一计算装置接收基于通信网络的无状态通信协议格式化的消息。例如,处理器102通过通信网络100从第一计算装置101接收基于通信网络100的无状态通信协议格式化的消息111。
在实施例中,在交互173,处理器102基于存储在与第二计算装置相关联的存储装置中的散列函数生成消息的指纹,其中指纹是基于消息的标头的至少一部分或消息的正文的一部分使用散列函数生成的。例如,处理器102基于存储在存储装置104中的散列函数106生成消息111的指纹108。如上文所描述,基于由消息111的标头的至少一部分或消息111的正文的一部分形成的字符串154,使用散列函数106生成指纹108。
在实施例中,在交互175,处理器102将消息的生成指纹存储在存储装置中。例如,处理器102将消息111的生成指纹108存储在存储装置104中。
在实施例中,在交互177,处理器102检测消息的生成指纹是否具有已经存储在存储装置中的重复指纹,其中重复指纹是针对另一消息生成的。例如,处理器102检测消息111的生成指纹108是否具有已经存储在存储装置104中的重复指纹,其中重复指纹是针对另一消息生成的。
如上文所示,过程170中涉及的操作和交互不仅仅是在存储装置中进行的存储、组织和检取操作,也不仅仅是组织信息的概念。实际上,过程170中涉及的操作和交互检测重复消息,所述重复消息可以是重试或重放攻击。
在一些实施例中,当处理器102检测到已经存储在存储装置中的重复指纹时,处理器102还可以生成响应消息以指示拒绝服务请求。例如,当处理器102检测到已经存储在存储装置104中的重复指纹时,处理器102生成消息113以指示拒绝服务请求。
图2(a)-2(c)示出了实施安全机制的示例通信网络。图2(a)示出了例如网络浏览器的客户端在第一计算装置201上运行以通过互联网200与例如第二计算装置203的服务器进行通信。第一计算装置201、第二计算装置203和互联网200是图1(a)所示的第一计算装置101、第二计算装置103和网络100的实例。
在实施例中,在交互202,用户从在第一计算装置201上运行的网络浏览器发出URL。在交互204,浏览器向服务器203发送请求消息。在交互206,服务器203接收请求消息中的URL,并将URL映射到由URL指定的文件或程序。另外,在交互208,在服务器203发送响应消息之前,服务器203生成在交互206接收到的请求消息的指纹,并且进一步检测重复指纹是否之前已生成并存储在服务器203中。在交互208期间执行的操作是在正常的HTTP请求和响应操作流程中没有发生的额外步骤。在交互208中执行的额外步骤提高了服务器203检测重试或重放攻击的安全性。在交互212,服务器203可以取决于是否发现重复指纹而返回不同的响应消息。如果在交互208期间发现重复指纹,则服务器203可以发送响应消息以指示拒绝服务请求。如果未发现重复指纹,则服务器203可以向请求URL发送正常响应消息。在交互214,浏览器可以格式化并显示从服务器203接收到的响应消息。
在交互208中执行的额外操作提高了服务器203检测重试或重放攻击的安全性,使得服务器203具有改进的功能以基于无状态协议检测和防止重试或重放攻击。重复指纹的检测不同于对信息消息存在的其它类型的检查。例如,认证操作执行数据检查以查看用户数据库中是否存在用户提供的信息。然而,认证数据并非由消息的指纹提供。另外,用于认证的数据库包括由用户提供的数据,所述数据将用户与数据相关联。重复指纹的检测基于消息,而没有关于任何用户的任何了解。对交互208执行的操作不是常规操作,因为自HTTP协议多年前发明以来,没有HTTP消息执行过此步骤。
在实施例中,服务器203可进一步实施仅存储有限量的指纹的机制。例如,服务器203可以仅存储100万条消息、10亿条消息或在例如一天或一周的预定时间量期间生成的消息的指纹。
图2(b)示出了传感器网络220,其包括各种传感器节点,例如传感器221和传感器223。传感器221、传感器223和传感器网络220是图1(a)中所示的第一计算装置101、第二计算装置103和网络100的实例。消息可以在传感器221与传感器223之间传送,类似于图1(a)所示的针对第一计算装置101和第二计算装置103的消息序列。例如,传感器223可以从传感器221接收基于传感器网络220的无状态通信协议格式化的消息,基于存储在传感器223的存储装置中的散列函数生成消息的指纹。所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的。传感器223可以将消息的生成指纹存储在存储装置中,并且检测消息的生成指纹是否具有已经存储在存储装置中的重复指纹,其中重复指纹是针对重试消息或重放消息生成的。
另外,传感器网络220还可以包括汇聚节点225,所述汇聚节点可以通过例如互联网的另一网络224耦合到控制器227。传感器网络220可以指一组空间分散的专用传感器,用于监测和记录环境的物理条件,并在中心位置组织收集的数据。例如,传感器网络220可以测量例如温度、声音、污染水平、湿度、风等环境条件。传感器网络220可用于各种日常生活活动和服务,包括跟踪和监测各个区域中的事件。所述传感器网络的一些应用是将传感器用于军事用途以检测敌人入侵、环境监测(例如,森林火灾检测)、医疗保健部门的患者监测等。
图2(c)示出了例如网络浏览器的客户端在第一计算装置233上运行以在电子支付交易处理网络230中与第二计算装置236通信。第一计算装置233、第二计算装置236和电子支付交易处理网络230是图1(a)所示的第一计算装置101、第二计算装置103和网络100的实例。
在实施例中,电子支付交易处理网络230可包括前端组件232(例如,用户或客户计算装置233,例如智能手机、个人计算机、平板计算机等)和后端组件234(例如,支付处理系统236和未示出的营销文档系统)。前端组件232和后端组件234可经由通信链路240(例如,计算机网络、互联网连接等)彼此通信。电子支付交易处理网络230可以包括各种软件或计算机可执行指令以及唯一的硬件组件或模块,其可以采用软件和指令来管理支付处理、通信网络安全以及如本文所描述的其它信息和动态对象。各个模块可实施为包含计算机可读指令(即软件)的计算机可读存储器,所述指令由专用或唯一的计算装置内的电子支付交易处理网络230的处理器执行。
数据存储库247可包括消费者账户数据配置文件,所述消费者账户数据配置文件各自包括描述支付装置所有者的账户和支付处理系统236的用户的各条数据。
结账模块248可包括各种指令,所述指令在由处理器244执行时帮助用户使用支付装置进行金融交易。结账模块248可包括在加载到服务器存储器243中并由一个或多个计算机处理器244执行时允许用户使用支付装置及他或她与247一起存储的对应账户数据来完成支付的指令。在一些实施例中,结账模块248可包括在消费者计算装置233与在线商家之间的在线金融交易期间处理支付的指令。例如,结账模块248可包括经由网络240访问247中对应于发起交易的消费者的账户数据以及批准或拒绝给商家的支付金额的指令。结账模块还可以包括用于协调指令的执行以使得在用户计算装置233上执行的应用程序在用户计算装置233的图形用户界面(“GUI”)252内显示动态按钮对象250的指令。在一些实施例中,GUI252可包括存储在存储器253中并在计算装置233的处理器254上执行以显示动态按钮对象250的浏览器或其它应用程序。
消息可以在第一计算装置233与第二计算装置236之间传送,类似于图1(a)所示的针对第一计算装置101和第二计算装置103的消息序列。例如,第二计算装置236可以从第一计算装置233接收基于电子支付交易处理网络230的无状态通信协议格式化的消息,基于存储在第二计算装置236的存储器253中的散列函数生成消息的指纹。所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的。第二计算装置236可以将消息的生成指纹存储在存储器253中,并检测消息的生成指纹是否具有已经存储在存储器253中的重复指纹,其中重复指纹是针对重试消息或重放消息生成的。在一些实施例中,在第一计算装置233与第二计算装置236之间传送的消息可以基于HTTP协议。
图3示出了根据各种实施例的适合用于实践本公开的各方面的示例装置。尽管图3示出了计算机系统的各种组件,但其并不意图表示任何特定架构或组件互连方式。一个实施例可使用组件比图3所示的组件更少或更多的其它系统。
在图3中,数据处理系统370包括互连371,例如总线和系统核心逻辑,所述互连经由I/O控制器377互连微处理器373、存储器367和输入/输出(I/O)装置375。微处理器373耦合到高速缓存存储器379。I/O装置375可以包括显示装置和/或外围装置,例如鼠标、键盘、调制解调器、网络接口、打印机、扫描仪、相机和本领域已知的其它装置。在一个实施例中,当数据处理系统是服务器系统时,例如打印机、扫描仪、鼠标和/或键盘之类的一些I/O装置375是任选的。
在一个实施例中,互连371包括通过各种桥、控制器和/或适配器彼此连接的一个或多个总线。在一个实施例中,I/O控制器377包括用于控制USB(通用串行总线)外围装置的USB适配器,和/或用于控制IEEE-1394外围装置的IEEE-1394总线适配器。
在一个实施例中,存储器367包括下列各项中的一个或多个:ROM(只读存储器)、易失性RAM(随机访问存储器)以及诸如硬盘驱动器、闪存之类的非易失存储器等等。易失性RAM通常被实现为动态RAM(DRAM),它不断地需要电能才能刷新或将数据维持在存储器中。非易失性存储器通常是磁硬盘驱动器、磁光驱动器、光驱(例如,DVDRAM)或即使在系统断电后也能保持数据的其它类型的存储器系统。非易失性存储器也可以是随机存取存储器。非易失性存储器可以是与数据处理系统中的其它组件直接耦合的本地装置。还可以使用远离系统的非易失性存储器,诸如通过诸如调制解调器或以太网接口之类的网络接口耦合到数据处理系统的网络存储装置。
在本说明书中,一些功能和操作被描述为由软件代码执行或由软件代码导致,以简化描述。也就是说,可以在计算机系统或其它数据处理系统中,响应于其处理器(诸如微处理器)执行包含在诸如ROM、易失性RAM、非易失性存储器、高速缓存或远程存储装置等存储器中的指令序列来执行这些技术。
或者,或组合地,这里描述的功能和操作可以使用专用电路来实现,具有或不具有软件指令,诸如使用专用集成电路(ASIC)或现场可编程门阵列(FPGA)。实施例可以使用没有软件指令的硬连线电路或者与软件指令相结合来实现。因此,这些技术既不限于硬件电路和软件的任何特定组合,也不限于由数据处理系统执行的指令的任何特定源。
尽管一个实施例可以以全功能的计算机和计算机系统来实现,但是,各种实施例能够以多种形式作为计算产品来分发,并且能够不管用于实际实现所述分发的机器或计算机可读介质的特定类型而应用。
在实施例中,根据各种实施例,存储介质可以包含用于实践参考图1-3所描述的方法的指令。在一些实施例中,非瞬态计算机可读存储介质可以包括许多编程指令。编程指令可以被配置成响应于编程指令的执行启用装置,例如装置370,以执行例如与管理通信网络安全相关联的各种操作,所述通信网络例如通信网络100、第一通信装置101、第二通信装置103、过程170、第一通信装置201、第二通信装置203、传感器221、传感器223、第一计算装置233或第二计算装置236,如图1(a)-2(c)所示。
经执行以实现实施例的例程可以被实现为操作系统的部分、或特定应用程序、组件、程序、对象、模块或被称为“计算机程序”的指令序列。计算机程序通常包括在各时间在计算机的各种存储器和存储装置中的一个或多个指令集,当由计算机中的一个或多个处理器读取并执行这一个或多个指令集时,这一个或多个指令集使计算机执行实施涉及各方面的元件所需的操作。
非瞬态计算机可读存储介质可用于存储在由数据处理系统执行时使得系统执行各种方法的软件和数据。可执行软件和数据可以被存储在各种位置中,包括例如ROM、易失性RAM、非易失性存储器和/或高速缓存。此软件和/或数据的多个部分可以存储在这些存储装置的任一个中。此外,可以从集中式服务器或对等网络中获取数据和指令。可以在不同的时间并且在不同的通信会话中或在相同通信会话中从不同的集中式服务器和/或对等网络中获取数据和指令的不同部分。可以在执行应用程序之前完整地获取数据和指令。或者,当需要执行时,可以动态地恰及时地获取数据和指令的多个部分。如此,在特定的时间实例,不要求数据和指令完整地在机器可读介质上。
计算机可读介质的实例包括但不仅限于:可记录和不可记录类型的介质,诸如易失性和非易失性存储器装置、只读存储器(ROM)、随机存取存储器(RAM)、闪存装置、软盘和其它可移动磁盘、磁盘存储介质、光学存储介质(例如紧致盘只读存储器(CD-ROM)、数字多功能盘(DVD)等)等等。计算机可读介质可存储指令。
对于电、光、声或其它形式的传播信号(例如载波、红外信号、数字信号等),指令也可以在数字和模拟通信链路中体现。然而,传播信号(例如载波、红外信号、数字信号等)不是有形的机器可读介质,并且不被配置为存储指令。
一般而言,机器可读介质包括提供(即,存储和/或传输)可由机器(例如,计算机、网络装置、个人数字助理、制造工具、具有成组的一个或多个处理器的任何装置等)访问形式的信息的任何机制。
在各种实施例中,可以与软件指令相结合地使用硬连线电路来实现各技术。因此,这些技术既不限于硬件电路和软件的任何特定组合,也不限于由数据处理系统执行的指令的任何特定源。
以上描述和附图是说明性的,而不应解释为限制性的。本公开说明所公开的特征以使得本领域的技术人员能够制造和使用技术。如本文所述,应遵循所有与隐私、安全、许可、同意、授权等有关的现行和未来规则、法律和条例使用各特征。描述了许多具体细节以提供透彻的理解。然而,在某些情况下,并未描述公知的或常规的细节以避免使描述变得模糊。在本公开中,对一个实施例的引用不一定是对同一个实施例的引用;并且此类引用意味着至少一个实施例。
Claims (20)
1.一种用于管理通信网络安全的计算机实施的方法,包括:
由所述通信网络的第二计算装置从所述通信网络的第一计算装置接收基于所述通信网络的无状态通信协议而被格式化的消息;
由所述第二计算装置基于存储在与所述第二计算装置相关联的存储装置中的散列函数生成所述消息的指纹,其中所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的;
由所述第二计算装置将生成的所述消息的指纹存储在所述存储装置中,以及
由所述第二计算装置检测生成的所述消息的指纹是否具有已经存储在所述存储装置中的重复指纹,其中所述消息是具有所述重复指纹的消息的重试消息或重放消息。
2.根据权利要求2所述的方法,还包括:
当第二装置检测到已经存储在所述存储装置中的所述重复指纹时,由所述第二计算装置生成响应消息以指示拒绝所述消息中包含的服务请求。
3.根据权利要求1所述的方法,其中所述散列函数包括SHA-256、SHA-224、SHA-384、SHA-512或安全散列算法。
4.根据权利要求1所述的方法,其中所述无状态通信协议包括超文本传输协议(HTTP)、HTTP/1.1、HTTP/2、HTTP/3、HTTPS、互联网协议(IP)或无状态传感器网络协议。
5.根据权利要求1所述的方法,其中所述通信网络包括互联网、传感器网络或电子支付交易处理网络。
6.根据权利要求1所述的方法,其中所述消息是HTTP相关协议中的GET、HEAD、POST、OPTIONS、PUT、DELETE、TRACE、CONNECT或PATCH的请求消息。
7.根据权利要求1所述的方法,其中所述消息包括通用标头、客户端请求标头或实体标头。
8.根据权利要求1所述的方法,其中所述消息包括所述标头和所述正文,并且所述标头包括日期字段、生存时间(TTL)字段或相关标识字段,并且所述正文或所述标头包括认证数据。
9.根据权利要求8所述的方法,其中所述指纹是在不使用所述消息中包含的认证数据的情况下生成的。
10.根据权利要求1所述的方法,其中所述指纹是基于所述消息的所述标头的至少所有字段使用所述散列函数生成的。
11.根据权利要求1所述的方法,其中所述第一计算装置或所述第二计算装置包括智能手机、笔记本计算机、平板计算机、个人计算机、服务器、相机、传感器、路由器、交换机、物联网(IoT)装置、销售点(POS)终端或交易终端。
12.根据权利要求1所述的方法,其中所述消息是共享相同相关标识的一组多个消息中的一个。
13.一种存储在包含程序指令的非瞬态计算机可读介质上的可执行软件产品,所述程序指令响应于计算装置的处理器执行所述指令而使所述处理器执行以下操作:
接收基于通信网络的无状态通信协议而被格式化的消息;
基于存储在耦合到所述处理器的存储装置中的散列函数,生成所述消息的指纹,其中所述指纹是基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成的;
将生成的所述消息的指纹存储在所述存储装置中,以及
由所述处理器检测生成的所述消息的指纹是否具有已经存储在所述存储装置中的重复指纹,其中所述消息是具有所述重复指纹的消息的重试消息或重放消息。
14.根据权利要求13所述的可执行软件产品,其中所述程序指令用于使所述处理器进一步进行以下操作:
当第二装置检测到已经存储在所述存储装置中的所述重复指纹时,由所述处理器生成响应消息以指示拒绝所述消息中包含的服务请求。
15.根据权利要求13所述的可执行软件产品,其中所述散列函数包括SHA-256、SHA-224、SHA-384、SHA-512或安全散列算法。
16.根据权利要求13所述的可执行软件产品,其中所述无状态通信协议包括超文本传输协议(HTTP)、HTTP/1.1、HTTP/2、HTTP/3、HTTPS、互联网协议(IP)或无状态传感器网络协议;并且
其中所述消息是HTTP相关协议中的GET、HEAD、POST、OPTIONS、PUT、DELETE、TRACE、CONNECT或PATCH的请求消息。
17.根据权利要求13所述的可执行软件产品,其中所述通信网络包括互联网、传感器网络或电子支付交易处理网络。
18.一种计算装置,包括:
存储装置,其用于存储散列函数;
一个或多个处理器,其耦合到所述存储装置,其中所述一个或多个处理器被配置用于:
由通信网络从耦合到所述计算装置的另一计算装置接收基于所述通信网络的无状态通信协议而被格式化的消息;
基于所述消息的标头的至少一部分或所述消息的正文的一部分使用所述散列函数生成所述消息的指纹;
将生成的所述消息的指纹存储在所述存储装置中;
检测生成的所述消息的指纹是否具有已经存储在所述存储装置中的重复指纹,其中所述消息是具有所述重复指纹的消息的重试消息或重放消息;以及
当第二装置检测到已经存储在所述存储装置中的所述重复指纹时,生成响应消息以指示拒绝所述消息中包含的服务请求。
19.根据权利要求18所述的系统,其中所述散列函数包括SHA-256、SHA-224、SHA-384、SHA-512或安全散列算法;
所述无状态通信协议包括超文本传输协议(HTTP)、HTTP/1.1、HTTP/2、HTTP/3、HTTPS、互联网协议(IP)或无状态传感器网络协议;并且
所述消息是HTTP相关协议中的GET、HEAD、POST、OPTIONS、PUT、DELETE、TRACE、CONNECT或PATCH的请求消息。
20.根据权利要求18所述的系统,其中所述指纹是在不使用所述消息中包含的认证数据的情况下生成的。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/670,724 US11184389B2 (en) | 2019-10-31 | 2019-10-31 | Security mechanisms for preventing retry or replay attacks |
| US16/670,724 | 2019-10-31 | ||
| PCT/US2020/056372 WO2021086674A1 (en) | 2019-10-31 | 2020-10-19 | Security mechanisms for preventing retry or replay attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114616795A true CN114616795A (zh) | 2022-06-10 |
| CN114616795B CN114616795B (zh) | 2024-04-26 |
Family
ID=75689135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080073945.XA Active CN114616795B (zh) | 2019-10-31 | 2020-10-19 | 用于防止重试或重放攻击的安全机制 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US11184389B2 (zh) |
| EP (1) | EP4052417A4 (zh) |
| CN (1) | CN114616795B (zh) |
| WO (1) | WO2021086674A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116186718A (zh) * | 2023-04-27 | 2023-05-30 | 杭州大晚成信息科技有限公司 | 一种基于内核保护服务器数据的加固测试方法 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11442703B2 (en) * | 2020-09-22 | 2022-09-13 | Cisco Technology, Inc. | Domain-specific language for serverless network functions |
| US11625230B2 (en) | 2020-09-22 | 2023-04-11 | Cisco Technology, Inc. | Identifying execution environments for deploying network functions |
| CN115987536A (zh) * | 2021-10-15 | 2023-04-18 | 华为技术有限公司 | 报文源地址识别方法及装置 |
| CN114338600B (zh) * | 2021-12-28 | 2023-09-05 | 深信服科技股份有限公司 | 一种设备指纹的推选方法、装置、电子设备和介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106575400A (zh) * | 2014-07-30 | 2017-04-19 | 维萨国际服务协会 | 具有消息转换的认证系统 |
| US20170149819A1 (en) * | 2015-11-25 | 2017-05-25 | International Business Machines Corporation | Resisting replay attacks efficiently in a permissioned and privacy- preserving blockchain network |
| US10277400B1 (en) * | 2016-10-20 | 2019-04-30 | Wells Fargo Bank, N.A. | Biometric electronic signature tokens |
| US20190246160A1 (en) * | 2018-02-06 | 2019-08-08 | Akamai Technologies, Inc. | Securing an overlay network against attack |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4053269B2 (ja) * | 2001-09-27 | 2008-02-27 | 株式会社東芝 | データ転送装置およびデータ転送方法 |
| US10666523B2 (en) * | 2007-06-12 | 2020-05-26 | Icontrol Networks, Inc. | Communication protocols in integrated systems |
| WO2016118523A1 (en) | 2015-01-19 | 2016-07-28 | InAuth, Inc. | Systems and methods for trusted path secure communication |
| US10346272B2 (en) * | 2016-11-01 | 2019-07-09 | At&T Intellectual Property I, L.P. | Failure management for data streaming processing system |
| EP3435592B1 (en) * | 2017-01-25 | 2021-03-24 | Shenzhen Goodix Technology Co., Ltd. | Fingerprint data processing method and processing apparatus |
| US10931517B2 (en) * | 2017-07-31 | 2021-02-23 | Vmware, Inc. | Methods and systems that synchronize configuration of a clustered application |
| EP3627789A1 (en) * | 2018-09-19 | 2020-03-25 | Vocalink Limited | Information processing devices and methods |
| TWI729320B (zh) * | 2018-11-01 | 2021-06-01 | 財團法人資訊工業策進會 | 可疑封包偵測裝置及其可疑封包偵測方法 |
-
2019
- 2019-10-31 US US16/670,724 patent/US11184389B2/en active Active
-
2020
- 2020-10-19 EP EP20882406.0A patent/EP4052417A4/en active Pending
- 2020-10-19 WO PCT/US2020/056372 patent/WO2021086674A1/en unknown
- 2020-10-19 CN CN202080073945.XA patent/CN114616795B/zh active Active
-
2021
- 2021-10-19 US US17/505,152 patent/US20220038495A1/en active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106575400A (zh) * | 2014-07-30 | 2017-04-19 | 维萨国际服务协会 | 具有消息转换的认证系统 |
| US20170149819A1 (en) * | 2015-11-25 | 2017-05-25 | International Business Machines Corporation | Resisting replay attacks efficiently in a permissioned and privacy- preserving blockchain network |
| US10277400B1 (en) * | 2016-10-20 | 2019-04-30 | Wells Fargo Bank, N.A. | Biometric electronic signature tokens |
| US20190246160A1 (en) * | 2018-02-06 | 2019-08-08 | Akamai Technologies, Inc. | Securing an overlay network against attack |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116186718A (zh) * | 2023-04-27 | 2023-05-30 | 杭州大晚成信息科技有限公司 | 一种基于内核保护服务器数据的加固测试方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11184389B2 (en) | 2021-11-23 |
| CN114616795B (zh) | 2024-04-26 |
| EP4052417A1 (en) | 2022-09-07 |
| US20220038495A1 (en) | 2022-02-03 |
| US20210136105A1 (en) | 2021-05-06 |
| WO2021086674A1 (en) | 2021-05-06 |
| EP4052417A4 (en) | 2022-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11757641B2 (en) | Decentralized data authentication | |
| CN114616795B (zh) | 用于防止重试或重放攻击的安全机制 | |
| JP6830552B2 (ja) | アンチリプレー攻撃認証プロトコル | |
| CN112333198B (zh) | 安全跨域登录方法、系统及服务器 | |
| US10637855B2 (en) | Enhanced authentication for secure communications | |
| US7562222B2 (en) | System and method for authenticating entities to users | |
| JP6622196B2 (ja) | 仮想サービスプロバイダゾーン | |
| US8286225B2 (en) | Method and apparatus for detecting cyber threats | |
| US8533581B2 (en) | Optimizing security seals on web pages | |
| CN103179134A (zh) | 基于Cookie的单点登录方法、系统及其应用服务器 | |
| Bambacht et al. | Web3: A decentralized societal infrastructure for identity, trust, money, and data | |
| CN103229181A (zh) | 通过对url进行模糊处理来保护网站和网站用户 | |
| CN102571846A (zh) | 一种转发http请求的方法及装置 | |
| US9059987B1 (en) | Methods and systems of using single sign-on for identification for a web server not integrated with an enterprise network | |
| TW201018157A (en) | Method and system for defeating the man in the middle computer hacking technique | |
| US20210399897A1 (en) | Protection of online applications and webpages using a blockchain | |
| WO2021030545A1 (en) | Securing browser cookies | |
| Hajiali et al. | Preventing phishing attacks using text and image watermarking | |
| Wang et al. | A framework for formal analysis of privacy on SSO protocols | |
| CN116366256A (zh) | 以太坊智能合约漏洞信息安全共享系统及其方法 | |
| WO2005094264A2 (en) | Method and apparatus for authenticating entities by non-registered users | |
| Abinaya et al. | Cloud-based TPA auditing with risk prevention | |
| COLOMBO | Cerberus. Detection and characterization of automatically generated malicious domains | |
| CN103621008B (zh) | 身份认证方法及装置 | |
| GB2532248A (en) | Network based identity federation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |