[发明专利]一种重放攻击的防御方法及系统

说明书

本发明提供了一种重放攻击的防御方法及系统，包括：当接收到客户端发送的页面请求时，判断服务器存储的会话表中是否存在客户端的会话信息；当会话表中不存在客户端的会话信息时，在会话表中增加客户端的新建会话信息，并向客户端发送时间重定向响应，以使客户端在完成与服务器的时间同步过程后重新向服务器发送页面请求；对页面请求携带的客户端请求时间进行时间验证；当客户端请求时间验证合格时，判断页面请求是否已被服务器处理过，若页面请求未被服务器处理过，确定页面请求有效，向客户端返回页面请求对应的请求内容。本发明能够在客户端与服务器时间不同步的局域网中实现对重放攻击的防御，提升了重放攻击的防御效果。

技术领域

本发明涉及网络安全技术领域，尤其是涉及一种重放攻击的防御方法及系统。

背景技术

重放攻击通常是指恶意网络攻击者通过抓包截获正常的网络请求数据包，转由自己将该数据包发送至服务器，从而获得相应的请求内容。现有的重放攻击防御技术，通常对于每次的HTTP请求都加上timestamp参数，然后把timestamp和其他参数一起进行数字签名。由于一次正常的HTTP请求，从发出到达服务器通常不会超过10s，服务器收到HTTP请求之后，首先将时间戳参数与当前时间相比较，判断是否超出10s，如果超时则认为该HTTP请求为非法请求。

现有的重放攻击防御方式必须满足客户端与服务器端的时间是同步的，但是，目前大多企事业单位的重要系统都是运行于内部局域网中，无法与互联网NTP服务器通信完成时间同步，且内部局域网中往往也没有部署统一的NTP服务器。且一些客户端与服务器端的时间差距可达数分钟之久，导致基于timestamp的防御方案无法适用。因此，如何在内部局域网与服务器无法完成时间同步的情况下，实现对重放攻击的防御成为亟待解决的问题。

发明内容

有鉴于此，本发明的目的在于提供一种重放攻击的防御方法及系统，能够在客户端与服务器时间不同步的局域网中实现对重放攻击的防御，且能够有效筛选出重放攻击，提升了重放攻击的防御效果。

为了实现上述目的，本发明实施例采用的技术方案如下：

第一方面，本发明实施例提供了一种重放攻击的防御方法，包括：当服务器接收到客户端发送的页面请求时，判断所述服务器存储的会话表中是否存在所述客户端的会话信息；当所述会话表中不存在所述客户端的会话信息时，在所述会话表中增加所述客户端的新建会话信息，并向所述客户端发送时间重定向响应，以使所述客户端在完成与所述服务器的时间同步过程后重新向所述服务器发送页面请求；当所述服务器再次接收到所述客户端发送的所述页面请求时，或者，当所述会话表中存在所述客户端的会话信息时，对所述页面请求携带的客户端请求时间进行时间验证；当所述客户端请求时间验证合格时，判断所述页面请求是否已被所述服务器处理过，若所述页面请求未被所述服务器处理过，确定所述页面请求有效，向所述客户端返回所述页面请求对应的请求内容。

进一步，本发明实施例提供了第一方面的第一种可能的实施方式，其中，所述页面请求中携带有所述客户端的会话缓存信息，所述判断所述服务器存储的会话表中是否存在所述客户端的会话信息的步骤，包括：判断所述会话表中是否存在与所述会话缓存信息中的会话ID相等的会话ID，若存在，确定所述会话表中存在所述客户端的会话信息，若不存在，确定所述会话表中不存在所述客户端的会话信息。

进一步，本发明实施例提供了第一方面的第二种可能的实施方式，其中，所述在所述会话表中增加所述客户端的新建会话信息，并向所述客户端发送时间重定向响应，以使所述客户端在完成与所述服务器的时间同步过程后重新向所述服务器发送页面请求的步骤，包括：基于所述服务器的当前本地时间及随机数生成所述客户端的会话ID，记为第一会话ID，将所述会话表中所述第一会话ID对应的会话参数均初始化为0；基于所述服务器向所述客户端发送指向时间同步页面的重定向响应；其中，所述重定向响应中携带有所述第一会话ID；当所述客户端接收到所述重定向响应时，基于所述客户端向所述服务器发起时间同步请求，并在所述时间同步请求有效时，再次向所述服务器发送所述页面请求。