CN115065503A - 一种api网关防重放攻击的方法 - Google Patents

一种api网关防重放攻击的方法 Download PDF

Info

Publication number
CN115065503A
CN115065503A CN202210506846.7A CN202210506846A CN115065503A CN 115065503 A CN115065503 A CN 115065503A CN 202210506846 A CN202210506846 A CN 202210506846A CN 115065503 A CN115065503 A CN 115065503A
Authority
CN
China
Prior art keywords
request
gateway
difference
maximum time
preset maximum
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210506846.7A
Other languages
English (en)
Inventor
张积磊
张旭
朱璐
栗凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur Cloud Information Technology Co Ltd
Original Assignee
Inspur Cloud Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur Cloud Information Technology Co Ltd filed Critical Inspur Cloud Information Technology Co Ltd
Priority to CN202210506846.7A priority Critical patent/CN115065503A/zh
Publication of CN115065503A publication Critical patent/CN115065503A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3297Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/121Timestamp

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种API网关防重放攻击的方法,涉及网关安全技术领域;通过请求携带结合时间戳的加密参数和随机数,通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。

Description

一种API网关防重放攻击的方法
技术领域
本发明公开一种方法,涉及网关安全技术领域;,具体地说是一种API网关防重放攻击的方法。
背景技术
现有的防重放攻击方法采用timestamp+nonce结合的手段,在每次HTTP请求时需要加上timestamp参数,当服务端接收到HTTP请求之后判断timestamp与当前时间的差值,可以设定一个时间范围,比如60s,如果超过60s则认为是非法请求。但这种方式无法拦截攻击者在60s内的重放请求,作为优化,再加上一个nonce随机数,防止60s内出现重复请求的情况。nonce是60s内仅一次有效的随机数,要求60s内的每次请求该参数保证不同,将60s内收到过的参数缓存起来以校验60s内是否有重复的nonce。
但现有的防重放攻击的方法中时间戳很容易被攻击者伪造,绕过网关的拦截,同时nonce校验值需要在缓存中进行存储,为了节约缓存一定程度上限制了timestamp最大间隔时间的设置,而且查询效率也不高。
发明内容
本发明针对现有技术的问题,提供一种API网关防重放攻击的方法,更加安全快捷,对于缓存大小要求更低,比对效率更高,更能适应网关在现实环境中的防重放攻击需要。
本发明提出的具体方案是:
本发明提供一种API网关防重放攻击的方法,通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
进一步,所述的一种API网关防重放攻击的方法中通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数。
进一步,所述的一种API网关防重放攻击的方法中所述通过网关对请求进行加密参数解密,包括:
根据所述加密参数,通过网关根据从请求传入的密钥key查询对应的secret,解密请求中的加密字符串。
进一步,所述的一种API网关防重放攻击的方法中通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤。
进一步,所述的一种API网关防重放攻击的方法中通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率。
进一步,所述的一种API网关防重放攻击的方法中当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。
进一步,所述的一种API网关防重放攻击的方法中利用Kong插件操作内存之前,验证是否绑定Kong插件。
本发明还提供一种API网关防重放攻击的装置,包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
本发明的有益之处是:
本发明提供一种API网关防重放攻击的方法,相较于已有方法,提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,并能合理利用验证timestamp的数字签名进行防重放,同时利用dlCBF拦截最大时间差内的重放请求,使两部分功能可以各自独立开启关闭,以此达到完善网关防重放的目的。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明方法交互流程示意图。
具体实施方式
Kong是一款基于Nginx_Lua模块写的高可用,易扩展的,由Mashape公司开源的APIGateway项目。
布隆过滤器(Bloom Filter)是由Howard Bloom在1970年提出的二进制向量数据结构,它具有很好的空间和时间效率,被用来检测一个元素是不是集合中的一个成员,即可以判定“可能已存在和绝对不存在”两种情况。
Bonomi等人提出了一种采用d-left哈希函数结合元素指纹来构建计数型Bloomfilter的方法(d-left counting bloom filter,简称dlCBF),bloom filter的优势在于快捷和空间利用率高。dlCBF尝试结合d-left算法,对原有布隆过滤器进行优化改进,解决一般哈希表存在的最坏访问时间的问题。在实现方面可以按照设计需要折中考虑存储器利用率、加入失败概率等因素,具有很好的灵活性和可扩展性,以提高空间效率。
下面结合附图和具体实施例对本发明作进一步说明,以使本领域的技术人员可以更好地理解本发明并能予以实施,但所举实施例不作为对本发明的限定。
本发明提供一种API网关防重放攻击的方法,通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
本发明方法通过对timestamp进行数字签名,以及将nonce数值比对改为dlCBF数值过滤,来将攻击者的重放攻击请求快速识别拦截,相较于已有方法,提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,以此达到完善实现网关的防重放功能的目的。
具体应用中,在本发明方法的实施例中,进行API网关防重放攻击时,网关接收请求,请求中携带结合时间戳的加密参数和随机数,
进一步,通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数,
通过网关接收请求,根据传入的密钥key到数据库中查询出对应的secret,解密请求中的加密字符串,对解密后的字符串进行安全性校验,判断加密的secret与数据库中存储的数据是否一致,如果不一致直接返回错误应答,一致则校验通过,再将字符串中的时间戳与当前时间进行差值计算,将差值与预设的最大时间差进行比对,如果差值大于预设最大时间差,则判定为非法请求,拦截该请求,不对上游服务发起请求,如果差值小于预设最大时间差则进行dlCBF数值过滤进一步判断是否为重放攻击,即判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
进一步地,通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤,其中进行随机数过滤时,获取请求中携带的随机数e,使用dlCBF对随机数e进行过滤,来判断随机数e是否已经在过滤器中存在:
如果随机数e被过滤器判断为true,则认为该次请求为重放请求,拦截该次请求,不进行上游服务访问,直接返回错误代码;
如果随机数e判断为false,则认为该次请求为初次请求,网关不进行拦截,直接进行上游服务的访问,同时需要将该次请求的随机数e按照dlCBF数据存储算法将记录存储在过滤器中。由于dlCBF继承了布隆过滤器的特性,对于判断为false的元素,过滤器具有100%的召回率,不存在误判的可能,所以不需要再进行多余的判断,可以直接请求上游服务。
进一步地,通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率,
比如设网关在预设最大时间差内能够接收的最大请求个数为m个,d-left哈希表设定为包含4个子表,
每个子表包含m/24个bucket,使得bucket的平均负载是6个元素,
表中每个bucket可以容纳8个cell,8个就能以很高的概率保证不会溢出,
cell中的每个counter包含2位,每一位可以容纳4个相同的fingerprint,给fingerprint设置一个表示空的状态,比如全0,这样才能使用2位counter表示4个fingerprint,
dl CBF使用r位的fingerprint(每个元素52/3位)时,此误判概率的计算公式为:
误判率=24×2-r
当r设置为14时误判率约为0.0015,也就是有0.0015的概率会将正常请求误认为重放攻击请求而被拦截,这样的误判率在大多数场景下是可以被接受的。如果对误判率有较高要求,可以进一步提高fingerprint的位数。
进一步,所述的一种API网关防重放攻击的方法中当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。因为dlCBF推荐的删除元素算法较为复杂,而直接删除整个dlCBF,在下一个预设最大时间差长度的时间段内再重新构建,效率比较高。
进一步,所述的一种API网关防重放攻击的方法中利用Kong插件操作内存之前,验证是否绑定Kong插件。由于Kong插件具有可插拔的特性,考虑到客户端的请求可能并没有绑定该插件,所以在进行防重放验证前,还需要对请求是否绑定防重放插件进行验证,如果请求的API并没有该插件,则不需上述两部分校验。这里给出推荐配置:
_format_version:"1.1"
plugins:
-name:apig-anti-replacement
config:
anti-replacementEnable:true[是否开启防重放]
redHost:'172.26.52.175'[redis相关配置]
redPort:6379
redPwd:'password'
redTimeout:60
redDatabase:0
redKeepalive:10000
redPoolSize:100
Kong增加该插件配置,并在插件中加入是否开启防重放的判断字段。当Kong接收到客户端发起的http请求时,先校验该请求的API配置信息,判断API配置信息中是否具有插件apig-anti-replacement如果存在该插件,获取配置中的anti-replacementEnable字段,判断是否开启了防重放功能。如果获取的结果为true,则进行上述两部分的防重放校验,如果结果为false,则不进行防重放校验。
由于配置中含有redis信息,可以通过请求API的插件配置是否具有该插件的方式,选择性开启数字签名校验的功能。也就是说,即使anti-replacementEnable字段为false,但因为能够查询到该插件配置,依然可以选择开启数字签名的校验功能,保障API的调用安全。而如果API插件配置中查询不到插件apig-anti-replacement,则既不开启防重放功能,也不开启数字签名校验的功能。用这种方式,只使用一个插件配置,就可以同时实现API防重放与数字签名验证两种功能的各自执行。
本发明还提供一种API网关防重放攻击的装置,包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
上述装置内的各模块之间的信息交互、执行过程等内容,由于与本发明方法实施例基于同一构思,具体内容可参见本发明方法实施例中的叙述,此处不再赘述。
同样地,本发明装置提高了timestamp参数的伪造难度,加快了比对识别效率,节约了缓存存储空间,并能合理利用验证timestamp的数字签名进行防重放,同时利用dlCBF拦截最大时间差内的重放请求,使两部分功能可以各自独立开启关闭,以此达到完善网关防重放的目的。
需要说明的是,上述各流程和各装置结构中不是所有的步骤和模块都是必须的,可以根据实际的需要忽略某些步骤或模块。各步骤的执行顺序不是固定的,可以根据需要进行调整。上述各实施例中描述的系统结构可以是物理结构,也可以是逻辑结构,即,有些模块可能由同一物理实体实现,或者,有些模块可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
以上所述实施例仅是为充分说明本发明而所举的较佳的实施例,本发明的保护范围不限于此。本技术领域的技术人员在本发明基础上所作的等同替代或变换,均在本发明的保护范围之内。本发明的保护范围以权利要求书为准。

Claims (8)

1.一种API网关防重放攻击的方法,其特征是通过请求携带结合时间戳的加密参数和随机数,
通过网关对请求进行加密参数解密,并对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
2.根据权利要求1所述的一种API网关防重放攻击的方法,其特征是通过网关生成签名密钥key与secret,利用secret与请求时的时间戳拼接进行数字签名,获得加密字符串,将所述加密字符串与密钥key作为所述加密参数。
3.根据权利要求2所述的一种API网关防重放攻击的方法,其特征是所述通过网关对请求进行加密参数解密,包括:
根据所述加密参数,通过网关根据从请求传入的密钥key查询对应的secret,解密请求中的加密字符串。
4.根据权利要求1-3任一项所述的一种API网关防重放攻击的方法,其特征是通过网关利用Kong插件操作内存,编写dlCBF内存数据存储逻辑,进行随机数过滤。
5.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是通过Kong根据网关在最大时间差内能够接收的最大请求个数预设dlCBF的误判概率。
6.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是当dlCBF申请的内存占用时间超出预设最大时间差时,通过Kong释放当前时间段的数据,重新构建新的dlCBF。
7.根据权利要求4所述的一种API网关防重放攻击的方法,其特征是利用Kong插件操作内存之前,验证是否绑定Kong插件。
8.一种API网关防重放攻击的装置,其特征是包括判断拦截模块,
判断拦截模块通过网关对请求进行加密参数解密,所述请求携带结合时间戳的加密参数和随机数,
判断拦截模块对解密后参数进行安全性校验,判断请求是否为重放攻击,校验通过则将时间戳与当前时间进行差值计算,判断差值是否大于预设最大时间差,若是则判定为非法请求,拦截所述请求,否则判断请求中携带的随机数是否在dlCBF中已存在,若是则认为请求为重放请求,拦截所述请求,否则认为请求为初次请求,不进行拦截。
CN202210506846.7A 2022-05-11 2022-05-11 一种api网关防重放攻击的方法 Pending CN115065503A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210506846.7A CN115065503A (zh) 2022-05-11 2022-05-11 一种api网关防重放攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210506846.7A CN115065503A (zh) 2022-05-11 2022-05-11 一种api网关防重放攻击的方法

Publications (1)

Publication Number Publication Date
CN115065503A true CN115065503A (zh) 2022-09-16

Family

ID=83199312

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210506846.7A Pending CN115065503A (zh) 2022-05-11 2022-05-11 一种api网关防重放攻击的方法

Country Status (1)

Country Link
CN (1) CN115065503A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094748A (zh) * 2022-11-23 2023-05-09 紫光云技术有限公司 一种基于布隆过滤器的报文验签拦截系统
CN116319073A (zh) * 2023-05-12 2023-06-23 国开启科量子技术(北京)有限公司 基于量子随机数的api接口防重放攻击方法及系统

Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022009A1 (en) * 2003-06-05 2005-01-27 Aguilera Macros K. System and method for preventing replay attacks
CN102739659A (zh) * 2012-06-16 2012-10-17 华南师范大学 一种防重放攻击的认证方法
US8392709B1 (en) * 2009-04-28 2013-03-05 Adobe Systems Incorporated System and method for a single request—single response protocol with mutual replay attack protection
CN106713305A (zh) * 2016-12-20 2017-05-24 济南浪潮高新科技投资发展有限公司 一种基于功能级超时配置的防止重放攻击方法
CN107453878A (zh) * 2017-08-11 2017-12-08 四川长虹电器股份有限公司 一种支持rest api防篡改防重放的方法
CN108737110A (zh) * 2018-05-23 2018-11-02 中汇会计师事务所(特殊普通合伙) 一种用于防重放攻击的数据加密传输方法及装置
CN110611564A (zh) * 2019-07-30 2019-12-24 云南昆钢电子信息科技有限公司 一种基于时间戳的api重放攻击的防御系统及方法
CN111262701A (zh) * 2020-01-10 2020-06-09 普联国际有限公司 一种重放攻击检测方法、系统、设备及存储介质
WO2020155794A1 (zh) * 2019-01-31 2020-08-06 平安科技(深圳)有限公司 基于时间戳的加密及认证方法、系统和计算机设备
CN111899019A (zh) * 2020-07-28 2020-11-06 朱玮 一种黑名单多方交叉验证和共享的方法及系统
CN112039913A (zh) * 2020-09-07 2020-12-04 上海浦东发展银行股份有限公司 一种服务端api调用方法、装置及存储介质
CN112035182A (zh) * 2020-08-31 2020-12-04 浪潮云信息技术股份公司 一种基于kong的API网关监控方法及系统
CN112711759A (zh) * 2020-12-28 2021-04-27 山东鲁能软件技术有限公司 一种防重放攻击漏洞安全防护的方法及系统
CN112818325A (zh) * 2021-01-30 2021-05-18 浪潮云信息技术股份公司 一种基于应用实现api网关独立鉴权的方法
CN112968910A (zh) * 2021-03-30 2021-06-15 中国建设银行股份有限公司 一种防重放攻击方法和装置
CN113382011A (zh) * 2021-06-18 2021-09-10 金陵科技学院 一种api接口防止重放攻击的方法
CN113395247A (zh) * 2020-03-11 2021-09-14 华为技术有限公司 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备
CN113612795A (zh) * 2021-08-18 2021-11-05 广州科语机器人有限公司 重放攻击判断方法、物联网设备、电子设备及存储介质
CN114143261A (zh) * 2021-12-01 2022-03-04 浪潮云信息技术股份公司 一种api网关动态路由后端地址的方法及系统
CN114422139A (zh) * 2021-12-17 2022-04-29 上海浦东发展银行股份有限公司 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Patent Citations (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050022009A1 (en) * 2003-06-05 2005-01-27 Aguilera Macros K. System and method for preventing replay attacks
US8392709B1 (en) * 2009-04-28 2013-03-05 Adobe Systems Incorporated System and method for a single request—single response protocol with mutual replay attack protection
CN102739659A (zh) * 2012-06-16 2012-10-17 华南师范大学 一种防重放攻击的认证方法
CN106713305A (zh) * 2016-12-20 2017-05-24 济南浪潮高新科技投资发展有限公司 一种基于功能级超时配置的防止重放攻击方法
CN107453878A (zh) * 2017-08-11 2017-12-08 四川长虹电器股份有限公司 一种支持rest api防篡改防重放的方法
CN108737110A (zh) * 2018-05-23 2018-11-02 中汇会计师事务所(特殊普通合伙) 一种用于防重放攻击的数据加密传输方法及装置
WO2020155794A1 (zh) * 2019-01-31 2020-08-06 平安科技(深圳)有限公司 基于时间戳的加密及认证方法、系统和计算机设备
CN110611564A (zh) * 2019-07-30 2019-12-24 云南昆钢电子信息科技有限公司 一种基于时间戳的api重放攻击的防御系统及方法
CN111262701A (zh) * 2020-01-10 2020-06-09 普联国际有限公司 一种重放攻击检测方法、系统、设备及存储介质
CN113395247A (zh) * 2020-03-11 2021-09-14 华为技术有限公司 一种防止对SRv6 HMAC校验进行重放攻击的方法和设备
CN111899019A (zh) * 2020-07-28 2020-11-06 朱玮 一种黑名单多方交叉验证和共享的方法及系统
CN112035182A (zh) * 2020-08-31 2020-12-04 浪潮云信息技术股份公司 一种基于kong的API网关监控方法及系统
CN112039913A (zh) * 2020-09-07 2020-12-04 上海浦东发展银行股份有限公司 一种服务端api调用方法、装置及存储介质
CN112711759A (zh) * 2020-12-28 2021-04-27 山东鲁能软件技术有限公司 一种防重放攻击漏洞安全防护的方法及系统
CN112818325A (zh) * 2021-01-30 2021-05-18 浪潮云信息技术股份公司 一种基于应用实现api网关独立鉴权的方法
CN112968910A (zh) * 2021-03-30 2021-06-15 中国建设银行股份有限公司 一种防重放攻击方法和装置
CN113382011A (zh) * 2021-06-18 2021-09-10 金陵科技学院 一种api接口防止重放攻击的方法
CN113612795A (zh) * 2021-08-18 2021-11-05 广州科语机器人有限公司 重放攻击判断方法、物联网设备、电子设备及存储介质
CN114143261A (zh) * 2021-12-01 2022-03-04 浪潮云信息技术股份公司 一种api网关动态路由后端地址的方法及系统
CN114422139A (zh) * 2021-12-17 2022-04-29 上海浦东发展银行股份有限公司 Api网关请求安全验证方法、装置、电子设备及计算机可读介质

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
M. V. S. S. NAGENDRANATH等: "Detection of Packet Dropping and Replay Attacks in MANET", 2017 INTERNATIONAL CONFERENCE ON CURRENT TRENDS IN COMPUTER, ELECTRICAL, ELECTRONICS AND COMMUNICATION (CTCEEC), 6 September 2018 (2018-09-06) *
张进;邬江兴;刘勤让;: "4种计数型Bloom Filter的性能分析与比较", 软件学报, no. 05 *
肖斌斌;徐雨明;: "基于双重验证的抗重放攻击方案", 计算机工程, no. 05, 15 May 2017 (2017-05-15) *

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116094748A (zh) * 2022-11-23 2023-05-09 紫光云技术有限公司 一种基于布隆过滤器的报文验签拦截系统
CN116319073A (zh) * 2023-05-12 2023-06-23 国开启科量子技术(北京)有限公司 基于量子随机数的api接口防重放攻击方法及系统
CN116319073B (zh) * 2023-05-12 2024-03-26 国开启科量子技术(北京)有限公司 基于量子随机数的api接口防重放攻击方法及系统

Similar Documents

Publication Publication Date Title
US10296248B2 (en) Turn-control rewritable blockchain
CN108337239B (zh) 电子设备的事件证明
US9967096B2 (en) Rewritable blockchain
KR101252707B1 (ko) 통신 장치에 대한 비허가 액세스를 검출하고 이러한 비허가 액세스에 대한 정보를 보안적으로 통신하기 위한 방법 및 장치
CN111262701B (zh) 一种重放攻击检测方法、系统、设备及存储介质
CN111723383B (zh) 数据存储、验证方法及装置
KURNAZ et al. Secure pin authentication in java smart card using honey encryption
CN112217835B (zh) 报文数据的处理方法、装置、服务器和终端设备
CN109361668A (zh) 一种数据可信传输方法
CN115065503A (zh) 一种api网关防重放攻击的方法
US7096497B2 (en) File checking using remote signing authority via a network
CN107908574B (zh) 固态盘数据存储的安全保护方法
CN106603561A (zh) 一种云存储中的块级加密方法及多粒度去重复方法
EP1430680B1 (en) Server with file verification
CN100476844C (zh) 电子钥匙与计算机之间实现绑定功能的方法
CN111585995A (zh) 安全风控信息传输、处理方法、装置、计算机设备及存储介质
CA2981202C (en) Hashed data retrieval method
CN108256351B (zh) 文件处理方法和装置、存储介质及终端
US20040243828A1 (en) Method and system for securing block-based storage with capability data
CN109657490A (zh) 一种办公文件透明加解密方法及系统
CN111800390A (zh) 异常访问检测方法、装置、网关设备及存储介质
Nosrati et al. Security assessment of mobile-banking
US11775677B2 (en) Tokenization and encryption for secure data transfer
CN108449753B (zh) 一种手机设备读取可信计算环境中的数据的方法
CN108650249A (zh) Poc攻击检测方法、装置、计算机设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination