[发明专利]一种基于功能级超时配置的防止重放攻击方法

权利要求书

1.一种基于功能级超时配置的防止重放攻击方法，其特征在于，其实现过程为：

首先进行功能级超时配置，定义每一个远程服务的服务名称及其远程访问超时时间；

然后进行客户端请求加密，即加入定义的服务名称进行加密；

在服务端对上述加密的请求解密后，依据定义的远程服务的超时时间进行访问时间有效性判断；

服务端记录通过有效性判断的远程服务的历史指纹，该历史指纹包括服务名称、指纹内容；

客户端请求加密是指将服务名称参与到客户端的请求水印加密，该加密为加盐加密，其中加盐是指根据远程服务定义的名称，在客户端请求水印的生成过程中，都加入当前访问服务的服务名称，参与加密计算；

在进行加密前，首先校验请求水印中的服务名称是否正确，当服务名称校验通过后，再获取时间戳和加盐操作；如果一个新请求的服务名称校验出错，则定位本次请求是重放攻击，此时拒绝服务并启动预警机制；

在进行加盐加密时，需要判断是否使用证书加密，如果使用证书加密，则通过非对称加密生成客户端访问指纹；如果不使用证书加密，则通过对称加密生成客户端访问指纹；

在服务端进行访问时间有效性判断的过程为：首先对客户端请求指纹进行解密，得到服务名称和时间戳；其次校验该请求指纹中服务名称的正确性；然后，自动将该指纹中的时间戳与该功能指定的超时时间相加，判断其合计时间是否小于服务端当前时间，如果该合计时间大于服务端当前时间，则认为本次请求无效，否则有效。

2.根据权利要求1所述的一种基于功能级超时配置的防止重放攻击方法，其特征在于，所述远程访问超时时间是指从客户端发起的HTTP请求，在收到响应前允许的最大等待时间，如果超过该等待时间后，还未从服务端接收到请求，则认为本次请求因存在网络连接的问题而导致请求失效。

3.根据权利要求1所述的一种基于功能级超时配置的防止重放攻击方法，其特征在于，所述加密计算是指对客户端计算出的服务端当前时间的时间戳，将时间戳与盐值进行组合之后再在服务端进行加密计算，所述盐值是指在客户端请求水印生成过程中当前访问服务的服务名称。

4.根据权利要求3所述的一种基于功能级超时配置的防止重放攻击方法，其特征在于，所述时间戳的计算过程为：当用户登录时，客户端计算并记录当前客户端和服务端的时间差，在之后的访问时，基于此时间差，在客户端计算出当前服务端的时间戳，然后将该时间戳结合加盐操作，进行加密。

5.根据权利要求1所述的一种基于功能级超时配置的防止重放攻击方法，其特征在于，服务端记录通过有效性判断的远程服务的历史指纹时，需要先对请求的水印进行唯一性校验，然后记录：当服务端通过时间有效性校验后，继续与服务有效期内的历史指纹进行比对，以进行客户端请求水印进行唯一性校验，如果一个新请求的指纹与缓存的历史指纹相同，则定位本次请求是重放攻击，此时需要拒绝服务并启动预警机制；当客户端访问指纹通过验证后，服务端将本次通过的客户端指纹进行缓存。

6.根据权利要求5所述的一种基于功能级超时配置的防止重放攻击方法，其特征在于，当客户端访问指纹通过验证后，服务端将本次通过的客户端指纹按功能进行缓存：根据服务名称，每一个服务都设置一个独立的缓存列表，用来记录该功能的有效历史访问水印；该缓存的水印根据服务设定的超时时间进行定期清理，将超过服务超时时间的水印清理掉，只保留有效期内的缓存，作为唯一性对比的依据。