[发明专利]请求防重放校验方法和装置

说明书

本发明公开了一种请求防重放校验方法和装置，涉及大数据技术领域。该方法的一具体实施方式包括：接收访问请求；根据预设的时间戳校验规则、预设的报文校验规则和预设的随机数校验规则，对所述访问请求进行校验；若校验通过，则处理所述访问请求。该实施方式大大降低了高流量高并发请求状态下，防重放校验请求对服务器性能的影响，能够保证服务之间的通信安全，提升系统的防攻击能力，为满足企业级系统的安全管理提供了强有力的保障和技术指引。

技术领域

本发明涉及大数据技术领域，尤其涉及一种请求防重放校验方法和装置。

背景技术

通常情况下的网络通信，API接口由于需要提供给其他服务调用，所以必须要暴露到外网，并提供具体请求地址和请求参数，给服务带来了请求报文被篡改被重放的风险。其中，请求篡改指攻击者拦截通信请求，对请求参数内容进行篡改，从而达到窃取信息，攻击目标系统的目的。请求重放指攻击者发送一个系统已接收过的请求，来达到欺骗系统的目的。主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。目前，常用的防重放攻击方法需要针对每个客户端的请求保存认证凭证、序列窗口大小和已到达序列号，当客户端数量较多的时候，需要消耗大量存储空间。而且，当客户端同一时间请求数量较多的时候会存在正常情况下超过预设窗口范围的可能性，导致正常请求被误判。

发明内容

有鉴于此，本发明实施例提供一种请求防重放校验方法和装置，大大降低了高流量高并发请求状态下，防重放校验请求对服务器性能的影响，为满足企业级系统的安全管理提供了强有力的保障和技术指引，能够保证服务之间的通信安全，提升系统的防攻击能力。

为实现上述目的，根据本发明实施例的一个方面，提供了一种请求防重放校验方法，包括：接收访问请求；根据预设的时间戳校验规则、预设的报文校验规则和预设的随机数校验规则，对所述访问请求进行校验；若校验通过，则处理所述访问请求。

可选地，根据预设的时间戳校验规则对所述访问请求进行校验包括：

解析所述访问请求，从所述访问请求中获取第一时间戳，所述第一时间戳为发送方发送所述访问请求时的时间戳；

确定接收到所述访问请求时的第二时间戳；

根据所述第一时间戳和所述第二时间戳，确定时间差；

确定动态时间误差范围；

确定所述时间差是否在所述动态时间误差范围内；

若是，则确定所述访问请求通过所述时间戳校验规则。

可选地，确定动态时间误差范围包括：根据请求流量特征、CPU性能特征和预设时间戳系数，确定动态时间误差范围。

可选地，根据请求流量特征和CPU性能特征，确定动态时间误差范围包括：根据服务器每秒可处理请求数、服务器当前处理请求数、CPU使用率、CPU最大使用率和预设时间戳系数，确定动态时间误差范围。

可选地，所述方法根据下式(1)确定动态时间误差范围：

其中，nT表示服务器每秒可处理请求数，cT表示服务器当前处理请求数，S表示CPU使用率，maxS表示CPU最大使用率，P表示预设时间戳系数；req(t)表示请求参数系数，cpu(t)表示CPU使用率系数。

可选地，根据预设的报文校验规则对所述访问请求进行校验包括：

解析所述访问请求，从所述访问请求中获取第一报文值，所述第一报文值为发送方根据预设规则对所述访问请求的报文内容进行计算得到的结果；

根据所述预设规则，对所述访问请求的报文内容进行计算，得到第二报文值；

比较所述第一报文值和所述第二报文值；