[发明专利]一种基于功能级超时配置的防止重放攻击方法

说明书

本发明公开了一种基于功能级超时配置的防止重放攻击方法，其实现过程为：首先进行功能级超时配置，定义每一个远程服务的服务名称及其远程访问超时时间；然后进行客户端请求加密，即加入定义的服务名称进行加密；在服务端对上述加密的请求解密后，依据定义的远程服务的超时时间进行访问时间有效性判断；服务端记录通过有效性判断的远程服务的历史指纹，该历史指纹包括服务名称、指纹内容。本发明的一种基于功能级超时配置的防止重放攻击方法与现有技术相比，有效增加了防重放攻击方法的安全性，实用性强，适用范围广泛，易于推广。

技术领域

本发明涉及计算机技术领域，具体地说是一种基于功能级超时配置的防止重放攻击方法。

背景技术

在互联网应用领域，企业对其信息系统的安全性越来越重视，尤其像注入攻击漏洞、可重放攻击漏洞等，正在不断引起企业的重视，并对信息系统的开发提出了越来越高的要求。目前流行的防重放攻击的方式基本上是在客户端将当前的时间戳进行加密后作为客户端访问指纹传输到服务端进行时间有效性判断的方式，此方式有两个主要弊端：首先，客户端不同服务的加密机制完全相同；其次，在服务端还原出请求时间戳后使用全局统一的、相对较长的超时时间进行访问的时间有效性判断。这些弊端，导致了攻击者可以实时截取访问请求后进行即时攻击、或者使用实时截取的客户端访问指纹替换计划要进行重放攻击的请求指纹的方式，绕过重放攻击检查机制，达到重放攻击的目的。

因此，提高防可重放攻击算法的安全性，是现在互联网应用开发领域亟需解决的问题。基于此，本发明提供一种基于功能级超时配置的防止重放攻击方法，采用了一套更加安全的指纹生成和服务端比对方式对原有算法进行加固，较大程度的提高了防重放攻击方法的安全性。

发明内容

本发明的技术任务是针对以上不足之处，提供一种高性能、有一定容错能力，且资源得到有效利用的基于功能级超时配置的防止重放攻击方法。

一种基于功能级超时配置的防止重放攻击方法，其实现过程为：

首先进行功能级超时配置，定义每一个远程服务的服务名称及其远程访问超时时间；

然后进行客户端请求加密，加入定义的服务名称进行加盐加密；

在服务端对上述加密的请求解密后，依据定义的远程服务的超时时间进行访问时间有效性判断；

服务端记录通过有效性判断的远程服务的历史指纹，该历史指纹包括服务名称、指纹内容。

所述远程访问超时时间是指从客户端发起的HTTP请求，在收到响应前允许的最大等待时间，如果超过该等待时间后，还未从服务端接收到请求，则认为本次请求因存在网络连接的问题而导致请求失效。

客户端请求加密是指将服务名称参与到客户端的请求水印加密，该加密为加盐加密，其中加盐是指根据远程服务定义的名称，在客户端请求水印的生成过程中，都加入当前访问服务的服务名称，参与加密计算。

所述加密计算是指对客户端计算出的服务端当前时间的时间戳，将时间戳与盐值进行组合之后再在服务端进行加密计算，所述盐值是指在客户端请求水印生成过程中当前访问服务的服务名称。

所述时间戳的计算过程为：当用户登录时，客户端计算并记录当前客户端和服务端的时间差，在之后的访问时，基于此时间差，在客户端计算出当前服务端的时间戳，然后将该时间戳结合加盐操作，进行加密。

在进行加密前，首先校验请求水印中的服务名称是否正确，当服务名称校验通过后，再获取时间戳和加盐操作；如果一个新请求的服务名称校验出错，则定位本次请求是重放攻击，此时拒绝服务并启动预警机制。

在进行加盐加密时，需要判断是否使用证书加密，如果使用证书加密，则通过非对称加密生成客户端访问指纹；如果不使用证书加密，则通过对称加密生成客户端访问指纹。