CN116094748A - 一种基于布隆过滤器的报文验签拦截系统 - Google Patents
一种基于布隆过滤器的报文验签拦截系统 Download PDFInfo
- Publication number
- CN116094748A CN116094748A CN202211476341.7A CN202211476341A CN116094748A CN 116094748 A CN116094748 A CN 116094748A CN 202211476341 A CN202211476341 A CN 202211476341A CN 116094748 A CN116094748 A CN 116094748A
- Authority
- CN
- China
- Prior art keywords
- bloom filter
- message
- signature
- interception system
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000005540 biological transmission Effects 0.000 claims abstract description 6
- 238000012795 verification Methods 0.000 claims abstract description 4
- 238000004140 cleaning Methods 0.000 claims abstract description 3
- 238000000034 method Methods 0.000 claims description 15
- 238000013507 mapping Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 4
- 230000006870 function Effects 0.000 claims description 4
- 230000002427 irreversible effect Effects 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 2
- 230000008569 process Effects 0.000 description 5
- 238000004891 communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于布隆过滤器的报文验签拦截系统,对传输过程的报文进行报文解密、签名校验,并通过布隆过滤器对报文进行拦截清洗。本发明有益效果:一种基于布隆过滤器的报文验签拦截系统,解决HTTP请求被截取抓包,模拟并发请求危害服务数据安全,软件运行安全的问题。
Description
技术领域
本发明属于数据安全领域,尤其是涉及一种基于布隆过滤器的报文验签拦截系统。
背景技术
互联网应用越发轻巧灵活,从app到小程序到H5,各种终端会有大量的请求从移动终端发起,目前针对移动终端的爬虫和端口扫描工具很多,有一定安全隐患;
因此亟需针对这些接口进行一些保护措施,防止接口请求被抓取后被重复调用,最大程度的对网路请求进行保护。
发明内容
有鉴于此,本发明旨在提出一种基于布隆过滤器的报文验签拦截系统,以至少解决背景技术中的至少一个问题。
为达到上述目的,本发明的技术方案是这样实现的:
一种基于布隆过滤器的报文验签拦截系统,对传输过程的报文进行报文解密、签名校验,并通过布隆过滤器对报文进行拦截清洗。
进一步的,使用的签名方法为:通过请求参数按照规律组合后拼接秘钥字符串使用单项不可逆算法方法生成签名。
进一步的,请求参数主要包括请求的真实报文、时间戳、分配给客户端的公钥字符串、nonce字符串。
进一步的,服务端首先判断用户请求所带的时间戳是否与当时时间相差是否在允许的时间差范围内,如果超出该范围,直接返回错误信息提示。
进一步的,网关通过既定的签名算法组合用户请求的报文拼接秘钥字符串生成签名,并与用户请求报文中的签名比对,如果匹配不过,直接返回错误信息提示。
进一步的,采用布隆过滤器对请求报文进行拦截,过程如下:
S1、网关层捕获到请求内容,对标记位的nonce进行读取;
S2、通过布隆过滤器对nonce的值进行核验,基于布隆过滤器查不到则必不存在的特性,认定请求唯一性真实可靠,对正常的请求进行放行;
S3、对于一个key,用k个hash函数映射到Bitmap上,查找时只需要对要查找的内容同样做k次hash映射,通过查看Bitmap上这k个位置是否都被标记了来判断是否之前被插入过。
进一步的,布隆过滤器的误判率公式如下:
其中,
n 是已经添加元素的数量;
k 哈希的次数;
m 布隆过滤器的长度;
布隆过滤器的长度m可以根据给定的误判率的和期望添加的元素个数n的通过如下公式计算:
通过访问记录记录下nonce的数量n,哈希的次数k,结合需要限制的误判率P,通过定时任务对过滤器的额长度进行动态调整,实现查询速度和容量的动态结合最优解。
进一步的,本方案公开了一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,所述处理器用于执行一种基于布隆过滤器的报文验签拦截系统。
进一步的,本方案公开了一种服务器,包括至少一个处理器,以及与所述处理器通信连接的存储器,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述处理器执行,以使所述至少一个处理器执行一种基于布隆过滤器的报文验签拦截系统。
进一步的,本方案公开了一种计算机可读取存储介质,存储有计算机程序,所述计算机程序被处理器执行时实现一种基于布隆过滤器的报文验签拦截系统。
相对于现有技术,本发明所述的一种基于布隆过滤器的报文验签拦截系统具有以下有益效果:
本发明所述的一种基于布隆过滤器的报文验签拦截系统,解决HTTP请求被截取抓包,模拟并发请求危害服务数据安全,软件运行安全的问题。
具体实施方式
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
在现有技术中大多使用Https传输协议,对请求报文及响应的报文使用对称加密算法进行加密,以及通过nonce值对报文使用次数进行记录,通过哈希算法或者位图法进行访问过程存储,用于查询,实现恶意的请求进行过滤,在上述方案中,使用Https传输协议,用户仍可使用一些抓包软件,获取接口的请求报文及地址,获取到这些信息后,用户可以使用工具重复调用;对请求报文及响应的报文使用加密算法进行加密,用户同样使用转包软件,结合操作判断对应的请求,抓取请求报文后,使用工具进行重复调用;基于nonce值的访问记录过程存储数据量大,查询校验的过程中,哈希算法匹配效率低,位图法存储量过大影响报文解析的速度;
本方案主要为了解决HTTP请求被截取抓包,模拟并发请求危害服务数据安全,软件运行安全的问题,具体方案如下:
(1)本发明是意在对传输过程的报文进行报文解密、签名校验等,并通过布隆过滤器对报文进行拦截清洗。
(2)本发明使用的签名方法为通过请求参数(主要包含:请求的真实报文,时间戳,分配给客户端的公钥字符串,nonce字符串等)按照一定规律组合后拼接秘钥字符串使用单项不可逆算法方法生成签名。服务端首先判断用户请求所带的时间戳是否与当时时间相差是否在允许的时间差范围内,如果超出该范围,直接返回错误信息提示;第二步:网关通过既定的签名算法组合用户请求的报文拼接秘钥字符串生成签名,并与用户请求报文中的签名比对,如果匹配不过,直接返回错误信息提示。
(3)本发明采用了布隆过滤器对请求报文进行拦截,过程如下。第一步,网关层捕获到请求内容,对标记位的nonce进行读取。第二步,通过布隆过滤器对nonce的值进行核验,基于布隆过滤器“查不到则必不存在”的特性,我们认为请求唯一性真实可靠,对正常的请求进行放行。第三步,由于布隆过滤器的原理中,对于一个key,用k个hash函数映射到Bitmap上,查找时只需要对要查找的内容同样做k次hash映射,通过查看Bitmap上这k个位置是否都被标记了来判断是否之前被插入过。所以布隆过滤器存在“查得到的不一定存在的问题”,需要根据实际情况进行误判率的优化。
(4)布隆过滤器的误判率公式如下:
其中,
n 是已经添加元素的数量;
k 哈希的次数;
·m布隆过滤器的长度(如比特数组的大小);
(5)布隆过滤器的长度m可以根据给定的误判率(FFP)的和期望添加的元素个数n的通过如下公式计算:
(6)通过访问记录记录下nonce的数量n,哈希的次数k,结合需要限制的误判率P,通过定时任务对过滤器的额长度进行动态调整,实现查询速度和容量的动态结合最优解。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本申请所提供的几个实施例中,应该理解到,所揭露的方法和系统,可以通过其它的方式实现。例如,以上所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。上述单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本发明实施例方案的目的。
最后应说明的是:以上各实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述各实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的范围,其均应涵盖在本发明的权利要求和说明书的范围当中。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于布隆过滤器的报文验签拦截系统,其特征在于:对传输过程的报文进行报文解密、签名校验,并通过布隆过滤器对报文进行拦截清洗。
2.根据权利要求1所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于:使用的签名方法为:通过请求参数按照规律组合后拼接秘钥字符串使用单项不可逆算法方法生成签名。
3.根据权利要求2所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于:请求参数主要包括请求的真实报文、时间戳、分配给客户端的公钥字符串、nonce字符串。
4.根据权利要求2所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于:服务端首先判断用户请求所带的时间戳是否与当时时间相差是否在允许的时间差范围内,如果超出该范围,直接返回错误信息提示。
5.根据权利要求4所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于:网关通过既定的签名算法组合用户请求的报文拼接秘钥字符串生成签名,并与用户请求报文中的签名比对,如果匹配不过,直接返回错误信息提示。
6.根据权利要求1所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于,采用布隆过滤器对请求报文进行拦截,过程如下:
S1、网关层捕获到请求内容,对标记位的nonce进行读取;
S2、通过布隆过滤器对nonce的值进行核验,基于布隆过滤器查不到则必不存在的特性,认定请求唯一性真实可靠,对正常的请求进行放行;
S3、对于一个key,用k个hash函数映射到Bitmap上,查找时只需要对要查找的内容同样做k次hash映射,通过查看Bitmap上这k个位置是否都被标记了来判断是否之前被插入过。
7.根据权利要求6所述的一种基于布隆过滤器的报文验签拦截系统,其特征在于:布隆过滤器的误判率公式如下:
其中,
n是已经添加元素的数量;
k哈希的次数;
m布隆过滤器的长度;
布隆过滤器的长度m可以根据给定的误判率的和期望添加的元素个数n的通过如下公式计算:
通过访问记录记录下nonce的数量n,哈希的次数k,结合需要限制的误判率P,通过定时任务对过滤器的额长度进行动态调整,实现查询速度和容量的动态结合最优解。
8.一种电子设备,包括处理器以及与处理器通信连接,且用于存储所述处理器可执行指令的存储器,其特征在于:所述处理器用于执行上述权利要求1-7任一所述的一种基于布隆过滤器的报文验签拦截系统。
9.一种服务器,其特征在于:包括至少一个处理器,以及与所述处理器通信连接的存储器,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述处理器执行,以使所述至少一个处理器执行如权利要求1-7任一所述的一种基于布隆过滤器的报文验签拦截系统。
10.一种计算机可读取存储介质,存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-7任一项所述的一种基于布隆过滤器的报文验签拦截系统。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211476341.7A CN116094748A (zh) | 2022-11-23 | 2022-11-23 | 一种基于布隆过滤器的报文验签拦截系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211476341.7A CN116094748A (zh) | 2022-11-23 | 2022-11-23 | 一种基于布隆过滤器的报文验签拦截系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116094748A true CN116094748A (zh) | 2023-05-09 |
Family
ID=86185769
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211476341.7A Pending CN116094748A (zh) | 2022-11-23 | 2022-11-23 | 一种基于布隆过滤器的报文验签拦截系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116094748A (zh) |
Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
| CN107798251A (zh) * | 2017-10-19 | 2018-03-13 | 江苏大学 | 基于盲签名的隐私保护症状匹配系统及其匹配方法 |
| CN109408572A (zh) * | 2018-09-30 | 2019-03-01 | 南京联创信息科技有限公司 | 基于sb框架及布隆过滤器的海量数据处理方法 |
| CN112468446A (zh) * | 2020-11-02 | 2021-03-09 | 上海绊糖信息科技有限公司 | 一种保护用户隐私的移动运行环境安全检测系统 |
| CN112527433A (zh) * | 2020-12-08 | 2021-03-19 | 平安科技(深圳)有限公司 | 页面弹窗控制方法、装置、计算机设备和存储介质 |
| CN112532598A (zh) * | 2020-11-19 | 2021-03-19 | 南京大学 | 一种用于实时入侵检测系统的过滤方法 |
| CN112565176A (zh) * | 2019-09-26 | 2021-03-26 | 通用电气公司 | 与分布式控制系统中的装置安全地通信 |
| CN112562151A (zh) * | 2020-12-03 | 2021-03-26 | 浪潮云信息技术股份公司 | 一种基于布隆过滤器的门禁系统 |
| CN113225351A (zh) * | 2021-05-28 | 2021-08-06 | 中国建设银行股份有限公司 | 一种请求处理方法、装置、存储介质及电子设备 |
| CN114095177A (zh) * | 2021-11-18 | 2022-02-25 | 中国银行股份有限公司 | 信息安全处理的方法及装置、电子设备、存储介质 |
| CN114745202A (zh) * | 2022-05-10 | 2022-07-12 | 山东鲁软数字科技有限公司 | 一种主动防御web攻击的方法及基于主动防御的web安全网关 |
| CN114826623A (zh) * | 2022-06-28 | 2022-07-29 | 云账户技术(天津)有限公司 | 一种mock测试报文的处理方法及装置 |
| CN115065503A (zh) * | 2022-05-11 | 2022-09-16 | 浪潮云信息技术股份公司 | 一种api网关防重放攻击的方法 |
-
2022
- 2022-11-23 CN CN202211476341.7A patent/CN116094748A/zh active Pending
Patent Citations (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050086520A1 (en) * | 2003-08-14 | 2005-04-21 | Sarang Dharmapurikar | Method and apparatus for detecting predefined signatures in packet payload using bloom filters |
| CN107798251A (zh) * | 2017-10-19 | 2018-03-13 | 江苏大学 | 基于盲签名的隐私保护症状匹配系统及其匹配方法 |
| CN109408572A (zh) * | 2018-09-30 | 2019-03-01 | 南京联创信息科技有限公司 | 基于sb框架及布隆过滤器的海量数据处理方法 |
| CN112565176A (zh) * | 2019-09-26 | 2021-03-26 | 通用电气公司 | 与分布式控制系统中的装置安全地通信 |
| CN112468446A (zh) * | 2020-11-02 | 2021-03-09 | 上海绊糖信息科技有限公司 | 一种保护用户隐私的移动运行环境安全检测系统 |
| CN112532598A (zh) * | 2020-11-19 | 2021-03-19 | 南京大学 | 一种用于实时入侵检测系统的过滤方法 |
| CN112562151A (zh) * | 2020-12-03 | 2021-03-26 | 浪潮云信息技术股份公司 | 一种基于布隆过滤器的门禁系统 |
| CN112527433A (zh) * | 2020-12-08 | 2021-03-19 | 平安科技(深圳)有限公司 | 页面弹窗控制方法、装置、计算机设备和存储介质 |
| CN113225351A (zh) * | 2021-05-28 | 2021-08-06 | 中国建设银行股份有限公司 | 一种请求处理方法、装置、存储介质及电子设备 |
| CN114095177A (zh) * | 2021-11-18 | 2022-02-25 | 中国银行股份有限公司 | 信息安全处理的方法及装置、电子设备、存储介质 |
| CN114745202A (zh) * | 2022-05-10 | 2022-07-12 | 山东鲁软数字科技有限公司 | 一种主动防御web攻击的方法及基于主动防御的web安全网关 |
| CN115065503A (zh) * | 2022-05-11 | 2022-09-16 | 浪潮云信息技术股份公司 | 一种api网关防重放攻击的方法 |
| CN114826623A (zh) * | 2022-06-28 | 2022-07-29 | 云账户技术(天津)有限公司 | 一种mock测试报文的处理方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108471432B (zh) | 防止网络应用程序接口被恶意攻击的方法 | |
| CN109361668A (zh) | 一种数据可信传输方法 | |
| JP2016136735A (ja) | プロトコルフィンガープリント取得および評価相関のためのシステム、装置、プログラム、および方法 | |
| CN112217835A (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN112968910B (zh) | 一种防重放攻击方法和装置 | |
| CN112165536B (zh) | 一种网络终端认证的方法及装置 | |
| CN110581836B (zh) | 一种数据处理方法、装置及设备 | |
| KR20130006924A (ko) | 도메인의 신뢰 ip 주소를 이용한 업데이트 서버 접속 장치 및 방법 | |
| CN101197822B (zh) | 防止信息泄漏的系统和基于该系统的防止信息泄漏的方法 | |
| CN113904826B (zh) | 数据传输方法、装置、设备和存储介质 | |
| WO2022075559A1 (ko) | 악성 메일 처리 시스템 및 방법 | |
| CN107770183A (zh) | 一种数据传输方法与装置 | |
| Shah et al. | TCP/IP network protocols—Security threats, flaws and defense methods | |
| CN111817858A (zh) | 一种基于多重签名的区块链数据安全方法 | |
| CN116094748A (zh) | 一种基于布隆过滤器的报文验签拦截系统 | |
| CN117319046A (zh) | 防御DDoS攻击的安全通信方法、系统、设备及介质 | |
| Carrier et al. | The session token protocol for forensics and traceback | |
| RU2314562C1 (ru) | Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей | |
| CN117439799A (zh) | 一种http请求数据防篡改的方法 | |
| KR20010103201A (ko) | 해킹 및 바이러스의 침투방지 시스템 | |
| CN108289102B (zh) | 一种微服务接口安全调用装置 | |
| CN114172698A (zh) | 一种业务请求处理方法、Web服务器、设备及介质 | |
| Asang et al. | Data Security on Internet of Things Device Using Hybrid Encryption Models | |
| JP6847488B1 (ja) | Ip通信における認証方法 | |
| CN118200917A (zh) | 一种移动网络环境安全访问受保护应用方法、系统及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |