[发明专利]一种访问认证方法、装置、设备及可读存储介质

说明书

本发明公开了一种访问认证方法、装置、设备及可读存储介质，该方法包括：接收访问请求，并获取访问请求中携带的认证标志和客户端标志；查询与客户端标志匹配的随机流水号；随机流水号为在客户端标志对应的客户端成功登陆后反馈给客户端并同步更新的流水号；生成随机流水号对应的认证参考标志；判断认证标志与认证参考标志是否一致；若是，则确定访问请求合法，并与客户端对随机流水号进行同步更新处理；若否，则确定访问请求非法。该方法，无需存储并维护大量信息，也无需服务端与客户端保持严格的时间同步，也可可规避重放攻击，确保认证的正确性。

技术领域

本发明涉及网络安全技术领域，特别是涉及一种访问认证方法、装置、设备及可读存储介质。

背景技术

重放攻击是黑客常用的攻击方式之一，具体指攻击者发送一个目的主机已接收过的数据包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。

目前，包括存储集群和大部分服务器在内，用于防重放攻击的方案大致有随机数，时间戳和加流水号。其中，随机数是通过客户端和服务器双方记录使用过的随机数，如果相同认为是重放攻击，这种方式需要额外保存使用过的随机数，若记录的时间段较长，则保存和查询的开销较大；时间戳能够克服随机数的缺点，即不用保存任何记录，但是对认证双方时间同步精度很高，当系统很庞大甚至需要跨时区时这种方案便不可行；加流水号能够解决随机数和时间戳的缺点，客户端和服务器保持一个递增的流水号，只要流水号本次比上次高就认为安全，缺点是一旦攻击者对报文解密成功，就可以获得流水号，从而每次将流水号递增欺骗认证端。

综上所述，如何有效地解决重放攻击等问题，是目前本领域技术人员急需解决的技术问题。

发明内容

本发明的目的是提供一种访问认证方法、装置、设备及可读存储介质，以通过随机流水号结合认证标志，解决重放攻击问题。

为解决上述技术问题，本发明提供如下技术方案：

一种访问认证方法，包括：

接收访问请求，并获取所述访问请求中携带的认证标志和客户端标志；

查询与所述客户端标志匹配的随机流水号；所述随机流水号为在所述客户端标志对应的客户端成功登陆后反馈给所述客户端并同步更新的流水号；

生成所述随机流水号对应的认证参考标志；

判断所述认证标志与所述认证参考标志是否一致；

若是，则确定访问请求合法，并与所述客户端对所述随机流水号进行同步更新处理；若否，则确定所述访问请求非法。

优选地，与所述客户端对所述随机流水号进行同步更新处理，包括：

与所述客户端对所述随机流水号进行同步加或同步减的同步更新处理。

优选地，还包括：

当所述同步更新处理为同步加且所述随机流水号大于上限阈值时，或，当所述同步更新处理为同步减且所述随机流水号小于下限阈值时，重新生成新的随机流水号，并反馈给所述客户端。

优选地，所述重新生成新的随机流水号，并反馈给所述客户端，包括：

利用随机函数生成指定范围内的随机流水号，并利用AES加密后反馈给所述客户端。

优选地，生成所述随机流水号对应的认证参考标志，包括：

调用散列函数，生成所述认证参考标志。

优选地，所述调用散列函数，生成所述认证参考标志，包括：

按照函数轮换顺序，从多个所述散列函数中调用指定散列函数，生成所述认证参考标志；在反馈并同步更新所述随机流水号时，通知所述客户端利用所述指定散列函数生成所述认证标志。