CN114697132A - 重复访问请求攻击拦截方法、装置、设备及存储介质 - Google Patents

重复访问请求攻击拦截方法、装置、设备及存储介质 Download PDF

Info

Publication number
CN114697132A
CN114697132A CN202210455686.8A CN202210455686A CN114697132A CN 114697132 A CN114697132 A CN 114697132A CN 202210455686 A CN202210455686 A CN 202210455686A CN 114697132 A CN114697132 A CN 114697132A
Authority
CN
China
Prior art keywords
access request
access
request
token
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210455686.8A
Other languages
English (en)
Other versions
CN114697132B (zh
Inventor
周永雄
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ping An Technology Shenzhen Co Ltd
Original Assignee
Ping An Technology Shenzhen Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ping An Technology Shenzhen Co Ltd filed Critical Ping An Technology Shenzhen Co Ltd
Priority to CN202210455686.8A priority Critical patent/CN114697132B/zh
Publication of CN114697132A publication Critical patent/CN114697132A/zh
Application granted granted Critical
Publication of CN114697132B publication Critical patent/CN114697132B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Abstract

本发明涉及安全防护领域,揭露了一种重复访问请求攻击拦截方法,包括:接收到访问请求时,向所述访问请求分配包含防篡改签名的请求令牌;获取访问所述请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;若包含,则确定所述访问请求为重复访问请求攻击;若不包含,则基于所述访问请求生成验证签名并获取时间戳;判断所述时间戳与当前时间的差值是否大于预设阈值以及验证签名与访问令牌中的防篡改签名是否一致,确定访问请求是否为访问请求攻击。本发明还提出一种重复访问请求攻击拦截装置、电子设备以及存储介质。本发明可以提高重复访问请求攻击拦截的准确度。

Description

重复访问请求攻击拦截方法、装置、设备及存储介质
技术领域
本发明涉及安全防护技术领域,尤其涉及一种重复访问请求攻击拦截方法、装置、电子设备及计算机可读存储介质。
背景技术
通常情况下,网络信息通信对应的数据请求接口不仅仅只提供一项服务,同时还需要提供给其它服务调用,需要请求接口必须暴露在外,并且提供具体的接口地址及请求的参数,这样就会造成攻击者截取之前数据请求的报文,利用恶意截取的请求报文来达到身份验证的目的,形成重复请求攻击。
现有的主要防重放攻击方法通常是判断当前请求报文中的时间戳是否与服务端预设的存储空间时间相差超过一分钟,若相差时间超过一分钟,就判断当前请求报文为重复请求攻击,但攻击者仍然可以在一分钟内进行大量的投放攻击,导致系统出现请求报文的误判,将重复请求攻击判断为正常的请求,或者将正常的请求报文判断为重复请求攻击,造成重复请求攻击拦截的准确度低。
发明内容
本发明提供一种重复访问请求攻击拦截方法、装置及计算机可读存储介质,其主要目的在于解决重复请求攻击拦截时的准确度较低的问题。
为实现上述目的,本发明提供的一种重复访问请求攻击拦截方法,包括:
接收到访问请求时,根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌;
获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
可选地,所述根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌,包括:
提取所述访问请求中的关键数据字符串;
根据预设的加密算法生成密钥,其中所述密钥包括公钥及私钥,并将所述公钥及私钥对应存储至预设的存储空间;
基于所述关键数据字符串及所述私钥利用所述加密算法生成防篡改签名;
根据所述防篡改签名生成包含所述防篡改签名的请求令牌,并将所述请求令牌及所述公钥发送至所述访问请求。
可选地,所述提取所述访问请求中的关键数据字符串,包括:
获取预设的关键数据字段;
根据所述关键数据字段确定所述访问请求中的关键数据字符串并提取所述关键数据字符串。
可选地,根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌后,所述方法还包括:
将所述请求令牌存储至所述预设的存储空间中;
获取所述请求令牌的分配时间,根据所述分配时间为所述请求令牌设置存储有效期。
可选地,所述查找所述预设的存储空间中是否包含所述访问令牌,包括:
利用所述访问令牌在所述预设的存储空间中检索;
若在所述预设的存储空间中能检索到与所述访问令牌相同的请求令牌,则所述预设的存储空间中包含所述访问令牌;
若所述存储空间中检索不到与所述访问令牌相同的请求令牌,则所述预设的存储空间中不包含所述访问令牌。
可选地,所述基于所述访问请求利用所述加密算法生成验证签名,包括:
提取所述访问请求中的关键数据字符串及对应的公钥;
根据所述公钥在所述预设的存储空间中查找对应的私钥;
基于所述私钥及所述关键数据字符串利用所述加密算法生成验证签名。
可选地,所述根据所述公钥在所述预设的存储空间中查找对应的私钥,包括:
根据所述公钥在所述预设的存储空间中查找所述公钥的密钥对;
根据所述密钥对确定所述公钥对应的私钥。
为了解决上述问题,本发明还提供一种重复访问请求攻击拦截装置,所述装置包括:
请求令牌分配模块,用于接收到访问请求时,根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌;
访问令牌查找模块,用于获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
拒绝访问请求模块,用于若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
验证签名获取模块,用于若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
验证签名校验模块,用于判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
确定访问请求合法模块,用于在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
为了解决上述问题,本发明还提供一种电子设备,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行上述所述的重复访问请求攻击拦截方法。
为了解决上述问题,本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有至少一个计算机程序,所述至少一个计算机程序被电子设备中的处理器执行以实现上述所述的重复访问请求攻击拦截方法。
本发明实施例通过利用预设的加密算法为访问请求分配包含防篡改签名的请求令牌,有利于提高访问请求验证的准确度;获取访问请求返回的访问令牌,校验预设的存储空间中是否包含访问令牌;若存储空间中包含所述访问令牌,则确定访问请求为重复访问请求攻击,拒绝访问,防止在请求令牌有效期内进行重复访问攻击;若存储空间中不包含所述访问令牌,则根据访问请求生成验证签名,并获取访问请求的时间戳;计算时间戳与当前时间的差值是否大于预设阈值以及校验验证签名与访问令牌中的防篡改签名是否一致;在时间差值大于预设阈值以及验证签名与防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求,已实现更精确地重复访问请求攻击的拦截,提高重复访问请求攻击的准确度。因此本发明提出的重复访问请求攻击拦截方法、装置、电子设备及计算机可读存储介质,可以解决重复访问请求攻击时的准确度较低的问题。
附图说明
图1为本发明一实施例提供的重复访问请求攻击拦截方法的流程示意图;
图2为本发明一实施例提供的生成请求令牌的流程示意图;
图3为本发明一实施例提供的生成验证签名的流程示意图;
图4为本发明一实施例提供的重复访问请求攻击拦截装置的功能模块图;
图5为本发明一实施例提供的实现所述重复访问请求攻击拦截方法的电子设备的结构示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本申请实施例提供一种重复访问请求攻击拦截方法。所述重复访问请求攻击拦截方法的执行主体包括但不限于服务端、终端等能够被配置为执行本申请实施例提供的该方法的电子设备中的至少一种。换言之,所述重复访问请求攻击拦截方法可以由安装在终端设备或服务端设备的软件或硬件来执行,所述软件可以是区块链平台。所述服务端包括但不限于:单台服务器、服务器集群、云端服务器或云端服务器集群等。所述服务器可以是独立的服务器,也可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务、云通信、中间件服务、域名服务、安全服务、内容分发网络(ContentDelivery Network,CDN)、以及大数据和人工智能平台等基础云计算服务的云服务器。
参照图1所示,为本发明一实施例提供的重复访问请求攻击拦截方法的流程示意图。在本实施例中,所述重复访问请求攻击拦截方法包括:
S1、接收到访问请求时,根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌;
本发明实施例中,可以利用预设的加密算法对所述访问请求的信息进行加密,得到包含防篡改签名的请求令牌,其中,所述预设的加密算法可以是非对称加密等加密算法中的加密算法,通过所述加密算法使得请求令牌具有唯一的防篡改签名。
详细地,参阅图2所示,所述向所述访问请求分配包含防篡改签名的请求令牌,包括:
S11、提取所述访问请求中的关键数据字符串;
S12、根据预设的加密算法生成密钥,其中所述密钥包括公钥及私钥,并所述公钥及私钥预设的存储空间中;
S13、基于所述关键数据字符串及所述私钥利用所述加密算法生成防篡改签名;
S14、生成包含所述防篡改签名的请求令牌,并将所述请求令牌及所述公钥发送至所述访问请求对应的客户端。
进一步地,所述提取所述访问请求中的关键数据字符串,包括:
获取预设的关键数据字段;
根据所述关键数据字段确定所述访问请求中的关键数据字符串并提取所述关键数据字符串。
示例性地,所述预设的关键数据字段包括但不限于timeStamp(时间戳)、X-Ca-Nonce(通用唯一识别码)、host(请求来源)等字段。
本发明实施例中,所述访问请求中的关键数据字符串是所述访问请求中能够证明访问来源合法性的数据,例如,访问请求的地址、时间戳、访问请求的通用唯一识别码等关键信息字符串,根据所述关键数据字符串及所述私钥生成的防篡改签名具有较强的防伪性,有利于提高重复访问攻击拦截的准确度。
进一步地,向所述访问请求分配包含防篡改签名的请求令牌后,所述方法还包括:
将所述请求令牌存储至预设的存储空间中;
获取所述请求令牌的分配时间,根据所述分配时间为所述请求令牌设置存储有效期。
本发明实施例中,所述存储空间可以是预设的存储空间中预设的缓存时间库或cookie,同时为请求令牌设置缓存有效期,防止所述有效期内进行大量的重复请求攻击,其中所述存储有效期可以是30S、40S、45S等不超过一分钟的时间。
S2、获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
本发明实施例中,所述访问请求中会携带着返回的访问令牌,根据所述访问令牌进一步地确定所述访问请求是否合法。
详细地,所述查找预设的存储空间中是否包含所述访问令牌,包括:
利用所述访问令牌在所述存储空间中检索;
若在所述存储空间中能检索到与所述访问令牌相同的请求令牌,则所述预设的存储空间中包含所述访问令牌;
若在所述预设的存储空间中检索不到与所述访问令牌相同的请求令牌,则所述预设的存储空间中中不包含所述访问令牌。
本发明实施例中,通过查找预设的存储空间中是否包含所述访问令牌,可以确定所述访问请求是否是在请求令牌的缓存有效期内进行的重复请求攻击,提高重复请求攻击拦截的准确度。
若所述预设的存储空间中包含所述访问令牌,则执行S3、确定所述访问请求为重复请求攻击,拒绝所述访问请求;
本发明实施例中,若所述预设的存储空间中包含所述访问令牌,则所述访问请求可能是非法获取了请求令牌进行的重复访问攻击,拒绝所述访问请求。
若所述预设的存储空间中不包含所述访问令牌,则执行S4、基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
本发明实施例中,若所述预设的存储空间中不包含所述访问令牌,则所述访问请求可能合法,或者是所述访问请求对访问令牌的信息进行了篡改,容易造成误判,所以需要进一步地校验防篡改签名的一致性。
详细地,参阅图3所示,所述基于所述访问请求利用所述加密算法生成验证签名,包括:
S41、提取所述访问请求中的关键数据字符串及对应的公钥;
S42、根据所述公钥在所述预设的存储空间中查找对应的私钥;
S43、基于所述私钥及所述关键数据字符串利用所述加密算法生成验证签名。
进一步地,所述根据所述公钥在所述预设的存储空间中查找对应的私钥,包括:
根据所述公钥在所述预设的存储空间中查找所述公钥的密钥对;
根据所述密钥对确定所述公钥对应的私钥。
本发明实施例中,通过私钥及所述关键数据字符串生成验证签名,能够有效的判断所述访问请求是否是对关键数据进行篡改而形成的重复请求攻击,通过校验验证签名与防篡改签名是否一致,有效地提高重复请求攻击拦截的准确度。
本发明另一实施例中,通过获取所述访问请求的时间戳,并计算所述时间戳与当前时间的时间差值,防止短时间内恶意的重复进行访问请求,造成服务器繁忙,甚至造成服务器故障。
S5、判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;本发明实施例中,通过同时检验时间差值是否大于预设时间阈值以及校验所述验证签名与所述访问请求中的防篡改签名是否一致,能够提高重复访问请求攻击的拦截准确度,防止出现误判。
在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则S6、确定所述访问请求合法,允许所述访问请求。
本发明实施例中,在所述时间差值大于所述时间阈值以及所述验证签名与访问令牌中的防篡改签名一致时,确定所述访问请求的来源合法且所述访问不是在短时间内进行的重复访问请求,则所述访问请求合法,可以进行下一步地访问。
本发明另一实施例中,在所述时间差值不大于所述时间阈值以及/或所述验证签名与所述访问令牌中的防篡改签名不一致时,则执行上述步骤S3、确定所述访问请求为重复请求攻击,拒绝所述访问请求。
若所述时间差值小于或等于预设时间阈值,则所述访问请求可能是预设时间阈值内进行的重复访问请求攻击,则所述访问请求不合法,或所述验证签名与所述访问令牌中的防篡改签名不一致,则可能是对合法的访问请求的信息进行了非法篡改,则所述访问请求也不合法,因此,只有在所述时间差值大于时间阈值同时所述验证签名与请求令牌中的防篡改签名一致时,所述访问请求才是合法的访问请求。
本发明实施例通过利用预设的加密算法为访问请求分配包含防篡改签名的请求令牌,有利于提高访问请求验证的准确度;获取访问请求返回的访问令牌,校验预设的存储空间中是否包含访问令牌;若存储空间中包含所述访问令牌,则确定访问请求为重复访问请求攻击,拒绝访问,防止在请求令牌有效期内进行重复访问攻击;若存储空间中不包含所述访问令牌,则根据访问请求生成验证签名,并获取访问请求的时间戳;计算时间戳与当前时间的差值是否大于预设阈值以及校验验证签名与访问令牌中的防篡改签名是否一致;在时间差值大于预设阈值以及验证签名与防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求,已实现更精确地重复访问请求攻击的拦截,提高重复访问请求攻击的准确度。因此本发明提出的重复访问请求攻击拦截方法,可以解决重复访问请求攻击时的准确度较低的问题。
如图4所示,是本发明一实施例提供的重复访问请求攻击拦截装置的功能模块图。
本发明所述重复访问请求攻击拦截装置100可以安装于电子设备中。根据实现的功能,所述重复访问请求攻击拦截装置100可以包括请求令牌分配模块101、访问令牌查找模块102、拒绝访问请求模块103、验证签名获取模块104、验证签名校验模块105及确定访问请求合法模块106。本发明所述模块也可以称之为单元,是指一种能够被电子设备处理器所执行,并且能够完成固定功能的一系列计算机程序段,其存储在电子设备的存储器中。
在本实施例中,关于各模块/单元的功能如下:
所述请求令牌分配模块101,用于接收到访问请求时,向所述访问请求分配包含防篡改签名的请求令牌;
所述访问令牌查找模块102,用于获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
所述拒绝访问请求模块103,用于若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
所述验证签名获取模块104,用于若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
所述验证签名校验模块105,用于判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
所述确定访问请求合法模块106,用于在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
详细地,本发明实施例中所述重复访问请求攻击拦截装置100中所述的各模块在使用时采用与上述图1至图3中所述的重复访问请求攻击拦截方法一样的技术手段,并能够产生相同的技术效果,这里不再赘述。
如图5所示,是本发明一实施例提供的实现重复访问请求攻击拦截方法的电子设备的结构示意图。
所述电子设备1可以包括处理器10、存储器11、通信总线12以及通信接口13,还可以包括存储在所述存储器11中并可在所述处理器10上运行的计算机程序,如重复访问请求攻击拦截程序。
其中,所述处理器10在一些实施例中可以由集成电路组成,例如可以由单个封装的集成电路所组成,也可以是由多个相同功能或不同功能封装的集成电路所组成,包括一个或者多个中央处理器(Central Processing unit,CPU)、微处理器、数字处理芯片、图形处理器及各种控制芯片的组合等。所述处理器10是所述电子设备的控制核心(ControlUnit),利用各种接口和线路连接整个电子设备的各个部件,通过运行或执行存储在所述存储器11内的程序或者模块(例如执行重复访问请求攻击拦截程序等),以及调用存储在所述存储器11内的数据,以执行电子设备的各种功能和处理数据。
所述存储器11至少包括一种类型的可读存储介质,所述可读存储介质包括闪存、移动硬盘、多媒体卡、卡型存储器(例如:SD或DX存储器等)、磁性存储器、磁盘、光盘等。所述存储器11在一些实施例中可以是电子设备的内部存储单元,例如该电子设备的移动硬盘。所述存储器11在另一些实施例中也可以是电子设备的外部存储设备,例如电子设备上配备的插接式移动硬盘、智能存储卡(Smart Media Card,SMC)、安全数字(Secure Digital,SD)卡、闪存卡(Flash Card)等。进一步地,所述存储器11还可以既包括电子设备的内部存储单元也包括外部存储设备。所述存储器11不仅可以用于存储安装于电子设备的应用软件及各类数据,例如重复访问请求攻击拦截程序的代码等,还可以用于暂时地存储已经输出或者将要输出的数据。
所述通信总线12可以是外设部件互连标准(peripheral componentinterconnect,简称PCI)总线或扩展工业标准结构(extended industry standardarchitecture,简称EISA)总线等。该总线可以分为地址总线、数据总线、控制总线等。所述总线被设置为实现所述存储器11以及至少一个处理器10等之间的连接通信。
所述通信接口13用于上述电子设备与其他设备之间的通信,包括网络接口和用户接口。可选地,所述网络接口可以包括有线接口和/或无线接口(如WI-FI接口、蓝牙接口等),通常用于在该电子设备与其他电子设备之间建立通信连接。所述用户接口可以是显示器(Display)、输入单元(比如键盘(Keyboard)),可选地,用户接口还可以是标准的有线接口、无线接口。可选地,在一些实施例中,显示器可以是LED显示器、液晶显示器、触控式液晶显示器以及OLED(Organic Light-Emitting Diode,有机发光二极管)触摸器等。其中,显示器也可以适当的称为显示屏或显示单元,用于显示在电子设备中处理的信息以及用于显示可视化的用户界面。
图中仅示出了具有部件的电子设备,本领域技术人员可以理解的是,图中示出的结构并不构成对所述电子设备的限定,可以包括比图示更少或者更多的部件,或者组合某些部件,或者不同的部件布置。
例如,尽管未示出,所述电子设备还可以包括给各个部件供电的电源(比如电池),优选地,电源可以通过电源管理装置与所述至少一个处理器10逻辑相连,从而通过电源管理装置实现充电管理、放电管理、以及功耗管理等功能。电源还可以包括一个或一个以上的直流或交流电源、再充电装置、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。所述电子设备还可以包括多种传感器、蓝牙模块、Wi-Fi模块等,在此不再赘述。
应该了解,所述实施例仅为说明之用,在专利申请范围上并不受此结构的限制。
所述电子设备1中的所述存储器11存储的重复访问请求攻击拦截程序是多个指令的组合,在所述处理器10中运行时,可以实现:
接收到访问请求时,向所述访问请求分配包含防篡改签名的请求令牌;
获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
具体地,所述处理器10对上述指令的具体实现方法可参考附图对应实施例中相关步骤的描述,在此不赘述。
进一步地,所述电子设备1集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。所述计算机可读存储介质可以是易失性的,也可以是非易失性的。例如,所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)。
本发明还提供一种计算机可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序在被电子设备的处理器所执行时,可以实现:
接收到访问请求时,向所述访问请求分配包含防篡改签名的请求令牌;
获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
在本发明所提供的几个实施例中,应该理解到,所揭露的设备,装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述模块的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。
所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,作为模块显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能模块可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能模块的形式实现。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。
因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附关联图标记视为限制所涉及的权利要求。
本发明所指区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain),本质上是一个去中心化的数据库,是一串使用密码学方法相关联产生的数据块,每一个数据块中包含了一批次网络交易的信息,用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。
本申请实施例可以基于人工智能技术对相关的数据进行获取和处理。其中,人工智能(Artificial Intelligence,AI)是利用数字计算机或者数字计算机控制的机器模拟、延伸和扩展人的智能,感知环境、获取知识并使用知识获得最佳结果的理论、方法、技术及应用系统。
此外,显然“包括”一词不排除其他单元或步骤,单数不排除复数。系统权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一、第二等词语用来表示名称,而并不表示任何特定的顺序。
最后应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或等同替换,而不脱离本发明技术方案的精神和范围。

Claims (10)

1.一种重复访问请求攻击拦截方法,其特征在于,所述方法包括:
接收到访问请求时,向所述访问请求分配包含防篡改签名的请求令牌;
获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
2.如权利要求1所述的重复访问请求攻击拦截方法,其特征在于,所述向所述访问请求分配包含防篡改签名的请求令牌,包括:
提取所述访问请求中的关键数据字符串;
根据预设的加密算法生成密钥,其中所述密钥包括公钥及私钥,并将所述公钥及私钥存储至所述预设的存储空间中;
基于所述关键数据字符串及所述私钥利用所述加密算法生成防篡改签名;
生成包含所述防篡改签名的请求令牌,并将所述请求令牌及所述公钥发送至所述访问请求对应的客户端。
3.如权利要求2所述的重复访问请求攻击拦截方法,其特征在于,所述提取所述访问请求中的关键数据字符串,包括:
获取预设的关键数据字段;
根据所述关键数据字段确定所述访问请求中的关键数据字符串并提取所述关键数据字符串。
4.如权利要求1所述的重复访问请求攻击拦截方法,其特征在于,所述向所述访问请求分配包含防篡改签名的请求令牌后,所述方法还包括:
将所述请求令牌存储至预设的存储空间中;
获取所述请求令牌的分配时间,根据所述分配时间为所述请求令牌设置存储有效期。
5.如权利要求1所述的重复访问请求攻击拦截方法,其特征在于,所述查找预设的存储空间中是否包含所述访问令牌,包括:
利用所述访问令牌在所述预设的存储空间中检索;
若在所述存储空间中能检索到与所述访问令牌相同的请求令牌,则所述存储空间中包含所述访问令牌;
若所述存储空间中检索不到与所述访问令牌相同的请求令牌,则所述存储空间中中不包含所述访问令牌。
6.如权利要求1所述的重复访问请求攻击拦截方法,其特征在于,所述基于所述访问请求利用所述加密算法生成验证签名,包括:
提取所述访问请求中的关键数据字符串及对应的公钥;
根据所述公钥在所述存储空间中查找对应的私钥;
基于所述私钥及所述关键数据字符串利用所述加密算法生成验证签名。
7.如权利要求6所述的重复访问请求攻击拦截方法,其特征在于,所述根据所述公钥在所述预设的存储空间中查找对应的私钥,包括:
根据所述公钥在所述预设的存储空间中查找所述公钥的密钥对;
根据所述密钥对确定所述公钥对应的私钥。
8.一种重复访问请求攻击拦截装置,其特征在于,所述装置包括:
请求令牌分配模块,用于接收到访问请求时,根据所述访问请求向所述访问请求分配包含防篡改签名的请求令牌;
访问令牌查找模块,用于获取所述访问请求返回的访问令牌,查找预设的存储空间中是否包含所述访问令牌;
拒绝访问请求模块,用于若所述预设的存储空间中包含所述访问令牌,则确定所述访问请求为重复请求攻击,拒绝所述访问请求;
验证签名获取模块,用于若所述预设的存储空间中不包含所述访问令牌,则基于所述访问请求利用所述加密算法生成验证签名,并获取所述访问请求的时间戳;
验证签名校验模块,用于判断所述时间戳与当前时间的差值是否大于预设阈值以及校验所述验证签名与所述访问令牌中的防篡改签名是否一致;
确定访问请求合法模块,用于在所述时间差值大于预设阈值以及所述验证签名与所述访问令牌中的防篡改签名一致时,则确定所述访问请求合法,允许所述访问请求。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任意一项所述的重复访问请求攻击拦截方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至7中任意一项所述的重复访问请求攻击拦截方法。
CN202210455686.8A 2022-04-24 2022-04-24 重复访问请求攻击拦截方法、装置、设备及存储介质 Active CN114697132B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210455686.8A CN114697132B (zh) 2022-04-24 2022-04-24 重复访问请求攻击拦截方法、装置、设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210455686.8A CN114697132B (zh) 2022-04-24 2022-04-24 重复访问请求攻击拦截方法、装置、设备及存储介质

Publications (2)

Publication Number Publication Date
CN114697132A true CN114697132A (zh) 2022-07-01
CN114697132B CN114697132B (zh) 2023-08-22

Family

ID=82144154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210455686.8A Active CN114697132B (zh) 2022-04-24 2022-04-24 重复访问请求攻击拦截方法、装置、设备及存储介质

Country Status (1)

Country Link
CN (1) CN114697132B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225368A (zh) * 2022-07-15 2022-10-21 北京天融信网络安全技术有限公司 一种报文处理方法、装置、电子设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8775810B1 (en) * 2009-09-30 2014-07-08 Amazon Technologies, Inc. Self-validating authentication token
CN107135073A (zh) * 2016-02-26 2017-09-05 北京京东尚科信息技术有限公司 接口调用方法和装置
CN108011717A (zh) * 2016-11-11 2018-05-08 北京车和家信息技术有限责任公司 一种请求用户数据的方法、装置及系统
CN110611564A (zh) * 2019-07-30 2019-12-24 云南昆钢电子信息科技有限公司 一种基于时间戳的api重放攻击的防御系统及方法
CN113452531A (zh) * 2021-06-29 2021-09-28 青岛海尔科技有限公司 数据传输方法及装置
CN113630421A (zh) * 2021-08-24 2021-11-09 神州网云(北京)信息技术有限公司 基于非对称加密算法防web系统数据移植方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8775810B1 (en) * 2009-09-30 2014-07-08 Amazon Technologies, Inc. Self-validating authentication token
CN107135073A (zh) * 2016-02-26 2017-09-05 北京京东尚科信息技术有限公司 接口调用方法和装置
CN108011717A (zh) * 2016-11-11 2018-05-08 北京车和家信息技术有限责任公司 一种请求用户数据的方法、装置及系统
CN110611564A (zh) * 2019-07-30 2019-12-24 云南昆钢电子信息科技有限公司 一种基于时间戳的api重放攻击的防御系统及方法
CN113452531A (zh) * 2021-06-29 2021-09-28 青岛海尔科技有限公司 数据传输方法及装置
CN113630421A (zh) * 2021-08-24 2021-11-09 神州网云(北京)信息技术有限公司 基于非对称加密算法防web系统数据移植方法

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115225368A (zh) * 2022-07-15 2022-10-21 北京天融信网络安全技术有限公司 一种报文处理方法、装置、电子设备及存储介质

Also Published As

Publication number Publication date
CN114697132B (zh) 2023-08-22

Similar Documents

Publication Publication Date Title
CN108900464B (zh) 电子装置、基于区块链的数据处理方法和计算机存储介质
CN112104627B (zh) 基于区块链的数据传输方法、装置、电子设备及存储介质
CN112948851A (zh) 用户认证方法、装置、服务器及存储介质
CN112651035A (zh) 数据处理方法、装置、电子设备及介质
CN112104626A (zh) 基于区块链的数据访问验证方法、装置、电子设备及介质
CN111914029A (zh) 基于区块链的医疗数据调用方法、装置、电子设备及介质
CN111695097A (zh) 登录检验方法、装置及计算机可读存储介质
CN113127915A (zh) 数据加密脱敏方法、装置、电子设备及存储介质
CN115174148B (zh) 面向云计算和信息安全的云服务管理方法及人工智能平台
CN113158207A (zh) 基于区块链的报告生成方法、装置、电子设备及存储介质
CN111859431A (zh) 电子文件签章方法、装置、电子设备及存储介质
CN114697132B (zh) 重复访问请求攻击拦截方法、装置、设备及存储介质
CN114884697A (zh) 基于国密算法的数据加解密方法及相关设备
CN112866285B (zh) 网关拦截方法、装置、电子设备及存储介质
CN111783119A (zh) 表单数据安全控制方法、装置、电子设备及存储介质
CN115119197B (zh) 基于大数据的无线网络风险分析方法、装置、设备及介质
CN111934882B (zh) 基于区块链的身份认证方法、装置、电子设备及存储介质
CN114826725A (zh) 数据交互方法、装置、设备及存储介质
CN114897624A (zh) 保单数据合并方法、装置、设备及存储介质
CN114125158A (zh) 基于可信电话的防骚扰方法、装置、设备及存储介质
CN112988888A (zh) 密钥管理方法、装置、电子设备及存储介质
CN112182598A (zh) 公有样本id识别方法、装置、服务器及可读存储介质
CN114897489A (zh) 线上投票结果保存方法、装置、设备及可读存储介质
CN113935054A (zh) 基于区块链的数字身份更新方法、装置、设备及存储介质
CN114186141A (zh) 非法客户检测方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant