[发明专利]一种防止会话重演的方法及系统

说明书

本发明属于通信技术领域，涉及一种防止会话重演的方法及系统。如果第三方攻击企图截取并重用授信凭证，在30分钟内发起请求，服务器的重演性验证将会发现授信凭证已经被提交过了。因为第三方截取的用户请求和授信凭证一定是真实的合法用户的，这真正合法的用户请求会继续穿到服务器。而第三方攻击截取授信凭证，伪造IP，组织请求内容，需要一定时间。这样第一次提交的一定是真实的合法用户，以后的提交必定为攻击者。如果第三方在30分钟后发起请求，授信凭证本身有30分钟的时效期的限制，攻击者的重演企图也不能实现。

技术领域

本发明属于通信技术领域，涉及一种防止会话重演的方法及系统。

背景技术

现在貌似大多数网站用户认证主要包括两种方式：

一.基于SESSION的用户认证

用户通过服务器的身份验证后，在服务器端生成用户相关的SESSION数 据，而将发给客户端SESSION_ID存放到COOKIE中。当客户端需要向服务器 请求服务时，在发送至服务器的用户请求中带上SESSION_ID。服务器就可以 根据SESSION_ID验证服务器端是否存在对应的SESSION数据，以此完成用户 认证。

二.基于TOKEN的用户认证

基于TOKEN的用户认证是一种服务器端无状态的认证方式，服务器端不 用存放TOKEN数据。用户通过服务器的身份验证后，由服务器生成一个TOKEN (Hash或Encrypt，即哈希或加密)发给客户端。客户端可以放到COOKIE或 LOCALSTORAGE中，客户端在发送给服务器的每个用户请求中附上TOKEN作为 授信凭证，服务端在收到TOKEN以后进行授信凭证验证，通过验证后即可确认 用户的身份。

上述两种认证方式，主要靠唯一的授信凭证发给客户端，客户端的每次 用户请求都附带上SESSION或TOKEN来保持、识别授信凭证。虽然每一个客户 端上的SESSION或TOKEN是唯一的，但是SESSION或TOKEN在一定时间内也是 固定不变的。在开放网络上，SESSION或TOKEN很可能被恶意第三方截取盗用， 并且附在自己的恶意请求上，使得恶意第三方可以冒充真正的用户向服务器发 送恶意请求，服务器难以识别，威胁网络完全。

于是现有技术中，服务器每次先给客户端分配一个随机数，由客户端根 据这个随机数加密或变换SESSION或TOKEN信息，来使得客户端每次用户请求 的授信凭证不一样。但是，这种技术方案的实现方式中，首先需要服务器产生 并保持这个随机数并且将该随机数传送给客户端。因此，如果用于传送这个随 机数的传送通道不安全，那么这个随机数仍然有可能被恶意的第三方截取盗 用。并且如果第三方用的授信凭证正好就是当时那次的请求内容，服务器端就 可能接受请求。这种使用盗用当时的授信凭证及请求，再次发给服务器的重演 行为仍无法避免。

发明内容

本发明为了解决上述技术问题，提出一种防止会话重演的方法，其特征 在于，包括步骤：

步骤S1，接收用户请求，所述用户请求附带授信凭证；

步骤S2，验证所述授信凭证，验证通过则缓存所述授信凭证并且响应所 述用户请求，验证不通过则拒绝所述用户请求；验证所述授信凭证包括授信凭 证的重演性验证；

其中，所述重演性验证是指检查缓存中是否存在所述授信凭证，如果存 在则所述重演性验证失败，如果不存在则所述重演性验证通过。

作为优选，所述授信凭证包括时效信息；

所述步骤S2中，验证所述授信凭证包括授信凭证的时效性验证；所述时 效性验证是根据所述时效信息验证所述授信凭证是否在时效期内，如果所述授 信凭证在所述时效期内则所述时效性验证通过，如果所述授信凭证不在所述时 效期内则所述时效性验证不通过。

作为优选，所述步骤S2包括：