[发明专利]一种在门户服务器和客户端之间防重放攻击的方法及设备

说明书

技术领域

本发明涉及安全认证技术领域，具体涉及一种在门户(Portal)Portal服务器和Portal客户端之间防重放攻击的方法及设备。

背景技术

Portal认证通常也称为Web认证，即通过网页(Web)方式进行用户认证。一般将Portal认证网站称为门户网站。Portal认证协议主要应用于基于WEB的宽带接入认证系统中，完成用户的认证和授权。未认证用户上网时，设备强制用户登录到特定站点，用户可以免费访问其中的服务。当用户需要使用互联网中的其它信息时，必须在门户网站进行认证，只有认证通过后用户才可以使用互联网资源。

整个Portal认证过程涉及到了认证Portal客户端(Portal Client)、认证服务器(Portal Server)、宽带接入服务器(BAS，Broad Access Server)和认证授权与计费(AAA，Authentication Authorization Accounting)服务器。认证主要通过在Portal Server和BAS之间的协议交互，协议采用非严格意义上的客户端/服务器(Client/Server)结构，大部分消息采用请求/响应(Request/Response)方式进行交互。

目前，Portal客户端主动要求下线的处理流程如图1所示。在Portal客户端主动要求下线的过程中，Portal客户端会先主动向Portal服务器发送下线请求报文(LOGOUT_REQUEST(0x66))，其中该下线请求报文中的认证(Authenticator)字段是对该下线请求报文中的部分字段和Portal客户端的预置共享密钥进行信息-摘要算法5(MD5，Message-Digest algorithm 5)摘要计算而得出的。当Portal服务器收到上述下线请求报文后，就会根据这个请求报文中的部分字段和Portal服务器的预置共享密钥进行MD5摘要计算得到一个值，并和Portal客户端的Authenticator字段的值进行比较，如果相同，就认为报文是合法的，执行与BAS的交互，最后向Portal客户端返回下线回应报文；否则就认为报文错误，可以简单丢弃，并进行对丢弃报文的统计。上述处理过程是Portal服务器对于Portal客户端的一个认证过程。为了完成这个认证过程，要求Portal服务器和Portal客户端两端需要配置相同的预置共享密钥(Secret)，并且双方都是采用相同的加密算法(如RFC1321中描述的MD5的加密算法)，同时接收方为了验证所接收到的报文的正确性，必须采用和发送方完全一样的计算过程，即对预定的字段进行加密计算。

现有技术的Portal客户端下线实现方式存在中间人重放攻击的安全问题。如果在Portal客户端和Portal服务器之间有中间人攻击者，它监听到Portal客户端向Portal服务器发送的某一次的主动下线请求报文后，把这个报文保存下来。当该Portal客户端再次通过认证，正常上线的时候，中间人攻击者突然向Portal服务器重放该报文，将会导致Portal服务器把该Portal客户端踢下线。如果中间人攻击者保存了Portal客户端的大量不同Portal客户端的主动下线请求报文，并不定期的进行故意重放，就会导致发生大量Portal客户端非正常掉线的情况，进而还可以衍生出其他的攻击行为，如：会话劫持，主机间信任关系窃取等。

发明内容

本发明所要解决的技术问题是提供一种在Portal服务器和Portal客户端之间防重放攻击的方法及设备，有效地防止下线请求报文的重放攻击，提高Portal认证系统的安全性。

为解决上述技术问题，本发明提供方案如下：

一种在Portal服务器和Portal客户端之间防重放攻击的方法，包括：

步骤A，Portal服务器接收到针对第一Portal客户端的下线请求报文，所述下线请求报文中包括有第一验证字、第一用户序列号和第一Portal客户端的第一IP地址；

步骤B，Portal服务器在本地保存的对应关系表中查找所述第一IP地址对应的第二用户序列号，并判断第一、第二用户序列号是否相同：若是，则进入步骤C，否则丢弃所述下线请求报文并结束流程；其中，所述对应关系表中保存有所述Portal服务器为各个在线Portal客户端分配的IP地址与用户序列号之间的对应关系，并且任一Portal客户端在任意两次上线后被分配到同一用户序列号的概率不大于预定值；