CN115065503A - 一种api网关防重放攻击的方法 - Google Patents
一种api网关防重放攻击的方法 Download PDFInfo
- Publication number
- CN115065503A CN115065503A CN202210506846.7A CN202210506846A CN115065503A CN 115065503 A CN115065503 A CN 115065503A CN 202210506846 A CN202210506846 A CN 202210506846A CN 115065503 A CN115065503 A CN 115065503A
- Authority
- CN
- China
- Prior art keywords
- request
- gateway
- difference
- maximum time
- preset maximum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 36
- 238000012795 verification Methods 0.000 claims abstract description 25
- 238000001914 filtration Methods 0.000 claims description 7
- 238000013500 data storage Methods 0.000 claims description 4
- 230000002265 prevention Effects 0.000 claims description 3
- 230000006870 function Effects 0.000 description 12
- 238000011144 upstream manufacturing Methods 0.000 description 4
- 238000004364 calculation method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 239000000872 buffer Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0869—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种API网关防重放攻击的方法,涉及网关安全技术领域;通过请求携带结合时间戳的加密参数和随机数,通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
Description
技术领域
本发明公开一种方法,涉及网关安全技术领域;,具体地说是一种API网关防重放攻击的方法。
背景技术
现有的防重放攻击方法采用timestamp+nonce结合的手段,在每次HTTP请求时需要加上timestamp参数,当服务端接收到HTTP请求之后判断timestamp与当前时间的差值,可以设定一个时间范围,比如60s,如果超过60s则认为是非法请求。但这种方式无法拦截攻击者在60s内的重放请求,作为优化,再加上一个nonce随机数,防止60s内出现重复请求的情况。nonce是60s内仅一次有效的随机数,要求60s内的每次请求该参数保证不同,将60s内收到过的参数缓存起来以校验60s内是否有重复的nonce。
但现有的防重放攻击的方法中时间戳很容易被攻击者伪造,绕过网关的拦截,同时nonce校验值需要在缓存中进行存储,为了节约缓存一定程度上限制了timestamp最大间隔时间的设置,而且查询效率也不高。
发明内容
本发明针对现有技术的问题,提供一种API网关防重放攻击的方法,更加安全快捷,对于缓存大小要求更低,比对效率更高,更能适应网关在现实环境中的防重放攻击需要。
本发明提出的具体方案是:
本发明提供一种API网关防重放攻击的方法,通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
进一步,所述的一种API网关防重放攻击的方法中通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数。
进一步,所述的一种API网关防重放攻击的方法中所述通过网关对请求进行加密参数解密,包括:
根据所述加密参数,通过网关根据从请求传入的密钥key查询对应的secret,解密请求中的加密字符串。
进一步,所述的一种API网关防重放攻击的方法中通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤。
进一步,所述的一种API网关防重放攻击的方法中通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率。
进一步,所述的一种API网关防重放攻击的方法中当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。
进一步,所述的一种API网关防重放攻击的方法中利用Kong插件操作内存之前,验证是否绑定Kong插件。
本发明还提供一种API网关防重放攻击的装置,包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
本发明的有益之处是:
本发明提供一种API网关防重放攻击的方法,相较于已有方法,提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,并能合理利用验证timestamp的数字签名进行防重放,同时利用dlCBF拦截最大时间差内的重放请求,使两部分功能可以各自独立开启关闭,以此达到完善网关防重放的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明方法交互流程示意图。
具体实施方式
Kong是一款基于Nginx_Lua模块写的高可用,易扩展的,由Mashape公司开源的APIGateway项目。
布隆过滤器(Bloom Filter)是由Howard Bloom在1970年提出的二进制向量数据结构,它具有很好的空间和时间效率,被用来检测一个元素是不是集合中的一个成员,即可以判定“可能已存在和绝对不存在”两种情况。
Bonomi等人提出了一种采用d-left哈希函数结合元素指纹来构建计数型Bloomfilter的方法(d-left counting bloom filter,简称dlCBF),bloom filter的优势在于快捷和空间利用率高。dlCBF尝试结合d-left算法,对原有布隆过滤器进行优化改进,解决一般哈希表存在的最坏访问时间的问题。在实现方面可以按照设计需要折中考虑存储器利用率、加入失败概率等因素,具有很好的灵活性和可扩展性,以提高空间效率。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
本发明提供一种API网关防重放攻击的方法,通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
本发明方法通过对timestamp进行数字签名,以及将nonce数值比对改为dlCBF数值过滤,来将攻击者的重放攻击请求快速识别拦截,相较于已有方法,提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,以此达到完善实现网关的防重放功能的目的。
具体应用中,在本发明方法的实施例中,进行API网关防重放攻击时,网关接收请求,请求中携带结合时间戳的加密参数和随机数,
进一步,通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数,
通过网关接收请求,根据传入的密钥key到数据库中查询出对应的secret,解密请求中的加密字符串,对解密后的字符串进行安全性校验,判断加密的secret与数据库中存储的数据是否一致,如果不一致直接返回错误应答,一致则校验通过,再将字符串中的时间戳与当前时间进行差值计算,将差值与预设的最大时间差进行比对,如果差值大于预设最大时间差,则判定为非法请求,拦截该请求,不对上游服务发起请求,如果差值小于预设最大时间差则进行dlCBF数值过滤进一步判断是否为重放攻击,即判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
进一步地,通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤,其中进行随机数过滤时,获取请求中携带的随机数e,使用dlCBF对随机数e进行过滤,来判断随机数e是否已经在过滤器中存在:
如果随机数e被过滤器判断为true,则认为该次请求为重放请求,拦截该次请求,不进行上游服务访问,直接返回错误代码;
如果随机数e判断为false,则认为该次请求为初次请求,网关不进行拦截,直接进行上游服务的访问,同时需要将该次请求的随机数e按照dlCBF数据存储算法将记录存储在过滤器中。由于dlCBF继承了布隆过滤器的特性,对于判断为false的元素,过滤器具有100%的召回率,不存在误判的可能,所以不需要再进行多余的判断,可以直接请求上游服务。
进一步地,通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率,
比如设网关在预设最大时间差内能够接收的最大请求个数为m个,d-left哈希表设定为包含4个子表,
每个子表包含m/24个bucket,使得bucket的平均负载是6个元素,
表中每个bucket可以容纳8个cell,8个就能以很高的概率保证不会溢出,
cell中的每个counter包含2位,每一位可以容纳4个相同的fingerprint,给fingerprint设置一个表示空的状态,比如全0,这样才能使用2位counter表示4个fingerprint,
dl CBF使用r位的fingerprint(每个元素52/3位)时,此误判概率的计算公式为:
误判率=24×2-r
当r设置为14时误判率约为0.0015,也就是有0.0015的概率会将正常请求误认为重放攻击请求而被拦截,这样的误判率在大多数场景下是可以被接受的。如果对误判率有较高要求,可以进一步提高fingerprint的位数。
进一步,所述的一种API网关防重放攻击的方法中当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。因为dlCBF推荐的删除元素算法较为复杂,而直接删除整个dlCBF,在下一个预设最大时间差长度的时间段内再重新构建,效率比较高。
进一步,所述的一种API网关防重放攻击的方法中利用Kong插件操作内存之前,验证是否绑定Kong插件。由于Kong插件具有可插拔的特性,考虑到客户端的请求可能并没有绑定该插件,所以在进行防重放验证前,还需要对请求是否绑定防重放插件进行验证,如果请求的API并没有该插件,则不需上述两部分校验。这里给出推荐配置:
_format_version:"1.1"
plugins:
-name:apig-anti-replacement
config:
anti-replacementEnable:true[是否开启防重放]
redHost:'172.26.52.175'[redis相关配置]
redPort:6379
redPwd:'password'
redTimeout:60
redDatabase:0
redKeepalive:10000
redPoolSize:100
Kong增加该插件配置,并在插件中加入是否开启防重放的判断字段。当Kong接收到客户端发起的http请求时,先校验该请求的API配置信息,判断API配置信息中是否具有插件apig-anti-replacement如果存在该插件,获取配置中的anti-replacementEnable字段,判断是否开启了防重放功能。如果获取的结果为true,则进行上述两部分的防重放校验,如果结果为false,则不进行防重放校验。
由于配置中含有redis信息,可以通过请求API的插件配置是否具有该插件的方式,选择性开启数字签名校验的功能。也就是说,即使anti-replacementEnable字段为false,但因为能够查询到该插件配置,依然可以选择开启数字签名的校验功能,保障API的调用安全。而如果API插件配置中查询不到插件apig-anti-replacement,则既不开启防重放功能,也不开启数字签名校验的功能。用这种方式,只使用一个插件配置,就可以同时实现API防重放与数字签名验证两种功能的各自执行。
本发明还提供一种API网关防重放攻击的装置,包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
同样地,本发明装置提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,并能合理利用验证timestamp的数字签名进行防重放,同时利用dlCBF拦截最大时间差内的重放请求,使两部分功能可以各自独立开启关闭,以此达到完善网关防重放的目的。
需要说明的是,上述各流程和各装置结构中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。
Claims (8)
1.一种API网关防重放攻击的方法,其特征是通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
2.根据权利要求1所述的一种API网关防重放攻击的方法,其特征是通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数。
3.根据权利要求2所述的一种API网关防重放攻击的方法,其特征是所述通过网关对请求进行加密参数解密,包括:
根据所述加密参数,通过网关根据从请求传入的密钥key查询对应的secret,解密请求中的加密字符串。
4.根据权利要求1-3任一项所述的一种API网关防重放攻击的方法,其特征是通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤。
5.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率。
6.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。
7.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是利用Kong插件操作内存之前,验证是否绑定Kong插件。
8.一种API网关防重放攻击的装置,其特征是包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210506846.7A CN115065503A (zh) | 2022-05-11 | 2022-05-11 | 一种api网关防重放攻击的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210506846.7A CN115065503A (zh) | 2022-05-11 | 2022-05-11 | 一种api网关防重放攻击的方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115065503A true CN115065503A (zh) | 2022-09-16 |
Family
ID=83199312
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210506846.7A Pending CN115065503A (zh) | 2022-05-11 | 2022-05-11 | 一种api网关防重放攻击的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115065503A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094748A (zh) * | 2022-11-23 | 2023-05-09 | 紫光云技术有限公司 | 一种基于布隆过滤器的报文验签拦截系统 |
CN116319073A (zh) * | 2023-05-12 | 2023-06-23 | 国开启科量子技术(北京)有限公司 | 基于量子随机数的api接口防重放攻击方法及系统 |
Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050022009A1 (en) * | 2003-06-05 | 2005-01-27 | Aguilera Macros K. | System and method for preventing replay attacks |
CN102739659A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种防重放攻击的认证方法 |
US8392709B1 (en) * | 2009-04-28 | 2013-03-05 | Adobe Systems Incorporated | System and method for a single request—single response protocol with mutual replay attack protection |
CN106713305A (zh) * | 2016-12-20 | 2017-05-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于功能级超时配置的防止重放攻击方法 |
CN107453878A (zh) * | 2017-08-11 | 2017-12-08 | 四川长虹电器股份有限公司 | 一种支持rest api防篡改防重放的方法 |
CN108737110A (zh) * | 2018-05-23 | 2018-11-02 | 中汇会计师事务所(特殊普通合伙) | 一种用于防重放攻击的数据加密传输方法及装置 |
CN110611564A (zh) * | 2019-07-30 | 2019-12-24 | 云南昆钢电子信息科技有限公司 | 一种基于时间戳的api重放攻击的防御系统及方法 |
CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
WO2020155794A1 (zh) * | 2019-01-31 | 2020-08-06 | 平安科技(深圳)有限公司 | 基于时间戳的加密及认证方法、系统和计算机设备 |
CN111899019A (zh) * | 2020-07-28 | 2020-11-06 | 朱玮 | 一种黑名单多方交叉验证和共享的方法及系统 |
CN112039913A (zh) * | 2020-09-07 | 2020-12-04 | 上海浦东发展银行股份有限公司 | 一种服务端api调用方法、装置及存储介质 |
CN112035182A (zh) * | 2020-08-31 | 2020-12-04 | 浪潮云信息技术股份公司 | 一种基于kong的API网关监控方法及系统 |
CN112711759A (zh) * | 2020-12-28 | 2021-04-27 | 山东鲁能软件技术有限公司 | 一种防重放攻击漏洞安全防护的方法及系统 |
CN112818325A (zh) * | 2021-01-30 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种基于应用实现api网关独立鉴权的方法 |
CN112968910A (zh) * | 2021-03-30 | 2021-06-15 | 中国建设银行股份有限公司 | 一种防重放攻击方法和装置 |
CN113382011A (zh) * | 2021-06-18 | 2021-09-10 | 金陵科技学院 | 一种api接口防止重放攻击的方法 |
CN113395247A (zh) * | 2020-03-11 | 2021-09-14 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
CN113612795A (zh) * | 2021-08-18 | 2021-11-05 | 广州科语机器人有限公司 | 重放攻击判断方法、物联网设备、电子设备及存储介质 |
CN114143261A (zh) * | 2021-12-01 | 2022-03-04 | 浪潮云信息技术股份公司 | 一种api网关动态路由后端地址的方法及系统 |
CN114422139A (zh) * | 2021-12-17 | 2022-04-29 | 上海浦东发展银行股份有限公司 | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 |
-
2022
- 2022-05-11 CN CN202210506846.7A patent/CN115065503A/zh active Pending
Patent Citations (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20050022009A1 (en) * | 2003-06-05 | 2005-01-27 | Aguilera Macros K. | System and method for preventing replay attacks |
US8392709B1 (en) * | 2009-04-28 | 2013-03-05 | Adobe Systems Incorporated | System and method for a single request—single response protocol with mutual replay attack protection |
CN102739659A (zh) * | 2012-06-16 | 2012-10-17 | 华南师范大学 | 一种防重放攻击的认证方法 |
CN106713305A (zh) * | 2016-12-20 | 2017-05-24 | 济南浪潮高新科技投资发展有限公司 | 一种基于功能级超时配置的防止重放攻击方法 |
CN107453878A (zh) * | 2017-08-11 | 2017-12-08 | 四川长虹电器股份有限公司 | 一种支持rest api防篡改防重放的方法 |
CN108737110A (zh) * | 2018-05-23 | 2018-11-02 | 中汇会计师事务所(特殊普通合伙) | 一种用于防重放攻击的数据加密传输方法及装置 |
WO2020155794A1 (zh) * | 2019-01-31 | 2020-08-06 | 平安科技(深圳)有限公司 | 基于时间戳的加密及认证方法、系统和计算机设备 |
CN110611564A (zh) * | 2019-07-30 | 2019-12-24 | 云南昆钢电子信息科技有限公司 | 一种基于时间戳的api重放攻击的防御系统及方法 |
CN111262701A (zh) * | 2020-01-10 | 2020-06-09 | 普联国际有限公司 | 一种重放攻击检测方法、系统、设备及存储介质 |
CN113395247A (zh) * | 2020-03-11 | 2021-09-14 | 华为技术有限公司 | 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备 |
CN111899019A (zh) * | 2020-07-28 | 2020-11-06 | 朱玮 | 一种黑名单多方交叉验证和共享的方法及系统 |
CN112035182A (zh) * | 2020-08-31 | 2020-12-04 | 浪潮云信息技术股份公司 | 一种基于kong的API网关监控方法及系统 |
CN112039913A (zh) * | 2020-09-07 | 2020-12-04 | 上海浦东发展银行股份有限公司 | 一种服务端api调用方法、装置及存储介质 |
CN112711759A (zh) * | 2020-12-28 | 2021-04-27 | 山东鲁能软件技术有限公司 | 一种防重放攻击漏洞安全防护的方法及系统 |
CN112818325A (zh) * | 2021-01-30 | 2021-05-18 | 浪潮云信息技术股份公司 | 一种基于应用实现api网关独立鉴权的方法 |
CN112968910A (zh) * | 2021-03-30 | 2021-06-15 | 中国建设银行股份有限公司 | 一种防重放攻击方法和装置 |
CN113382011A (zh) * | 2021-06-18 | 2021-09-10 | 金陵科技学院 | 一种api接口防止重放攻击的方法 |
CN113612795A (zh) * | 2021-08-18 | 2021-11-05 | 广州科语机器人有限公司 | 重放攻击判断方法、物联网设备、电子设备及存储介质 |
CN114143261A (zh) * | 2021-12-01 | 2022-03-04 | 浪潮云信息技术股份公司 | 一种api网关动态路由后端地址的方法及系统 |
CN114422139A (zh) * | 2021-12-17 | 2022-04-29 | 上海浦东发展银行股份有限公司 | Api网关请求安全验证方法、装置、电子设备及计算机可读介质 |
Non-Patent Citations (3)
Title |
---|
M. V. S. S. NAGENDRANATH等: "Detection of Packet Dropping and Replay Attacks in MANET", 2017 INTERNATIONAL CONFERENCE ON CURRENT TRENDS IN COMPUTER, ELECTRICAL, ELECTRONICS AND COMMUNICATION (CTCEEC), 6 September 2018 (2018-09-06) * |
张进;邬江兴;刘勤让;: "4种计数型Bloom Filter的性能分析与比较", 软件学报, no. 05 * |
肖斌斌;徐雨明;: "基于双重验证的抗重放攻击方案", 计算机工程, no. 05, 15 May 2017 (2017-05-15) * |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116094748A (zh) * | 2022-11-23 | 2023-05-09 | 紫光云技术有限公司 | 一种基于布隆过滤器的报文验签拦截系统 |
CN116319073A (zh) * | 2023-05-12 | 2023-06-23 | 国开启科量子技术(北京)有限公司 | 基于量子随机数的api接口防重放攻击方法及系统 |
CN116319073B (zh) * | 2023-05-12 | 2024-03-26 | 国开启科量子技术(北京)有限公司 | 基于量子随机数的api接口防重放攻击方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10296248B2 (en) | Turn-control rewritable blockchain | |
CN108337239B (zh) | 电子设备的事件证明 | |
US9967096B2 (en) | Rewritable blockchain | |
KR101252707B1 (ko) | 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치 | |
CN111262701B (zh) | 一种重放攻击检测方法、系统、设备及存储介质 | |
CN111723383B (zh) | 数据存储、验证方法及装置 | |
KURNAZ et al. | Secure pin authentication in java smart card using honey encryption | |
CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
CN109361668A (zh) | 一种数据可信传输方法 | |
CN115065503A (zh) | 一种api网关防重放攻击的方法 | |
US7096497B2 (en) | File checking using remote signing authority via a network | |
CN107908574B (zh) | 固态盘数据存储的安全保护方法 | |
CN106603561A (zh) | 一种云存储中的块级加密方法及多粒度去重复方法 | |
EP1430680B1 (en) | Server with file verification | |
CN100476844C (zh) | 电子钥匙与计算机之间实现绑定功能的方法 | |
CN111585995A (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CA2981202C (en) | Hashed data retrieval method | |
CN108256351B (zh) | 文件处理方法和装置、存储介质及终端 | |
US20040243828A1 (en) | Method and system for securing block-based storage with capability data | |
CN109657490A (zh) | 一种办公文件透明加解密方法及系统 | |
CN111800390A (zh) | 异常访问检测方法、装置、网关设备及存储介质 | |
Nosrati et al. | Security assessment of mobile-banking | |
US11775677B2 (en) | Tokenization and encryption for secure data transfer | |
CN108449753B (zh) | 一种手机设备读取可信计算环境中的数据的方法 | |
CN108650249A (zh) | Poc攻击检测方法、装置、计算机设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |