[发明专利]一种防重放攻击的认证方法

说明书

技术领域

本发明涉及通信系统认证领域，尤其是一种防重放攻击的认证方法。

背景技术

重放攻击（Replay Attacks）又称重播攻击、回放攻击或新鲜性攻击（Freshness Attacks），是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击会不断恶意或欺诈性地重复一个有效的数据传输，攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器，以破坏认证的安全性。例如通过监听http数据传输或者其他方式截获cookie并提交cookie就是一种重放攻击，可以轻松复制别人的cookie从而获得相应的认证权限。

为了避免服务器遭受重放攻击，现有技术中一般采用基于时间判断的防御机制，而为了保证不同服务器直接能识别接收到的消息是否过期，时间戳在其中扮演一个重要的角色，由于标记时间戳的一方与接收消息的一方会存在一定的时间差问题，一般会采用IEEE1588精确时间协议（Precision Time Protocol，PTP)，或者松散的时间同步方式来进行时间同步。若采用专门的时间同步协议，可能会导致通信协议或者系统更加复杂，以增加系统的不稳定性；若采用松散的时间同步方式，即通过在两个服务之间进行三次握手，然后服务器计算它们之间的时间最大差值，则需要系统或协议能忍受一定时间的延迟或不同步问题，但在有些系统或协议中这种延迟或不同步是不允许的。

发明内容

本发明要解决的技术问题是：提供一种勿需时间同步的防重放攻击的认证方法，该方法提高了认证系统的安全性。

为了解决上述技术问题，本发明所采用的技术方案是：

一种防重放攻击的认证方法，包括以下步骤：

客户端发送登录请求消息到登录认证服务器；

登录认证服务器生成包括标识当前时间的第一时间戳的认证凭据给客户端；

客户端发送服务请求、来自登录认证服务器的认证凭据以及自己生成的单向数据链值到应用服务器；

应用服务器将包括认证凭据和单向数据链值的信息发送到登录认证服务器；

登录认证服务器判定所述认证凭据的正确性并计算当前时间与第一时间戳的时间差，将用于证明用户是否已经登录的认证凭据的正确性的判定结果、所述时间差及接收到的单向数据链值封装成校验信息发送给应用服务器；

应用服务器接收校验信息，判断接收到的单向数据链值是否为最新的单向数据链值，若否则判定为重放消息，直接丢弃该校验消息；若是则根据校验信息对客户端的服务请求进行服务响应。

进一步作为优选的实施方式，所述应用服务器根据校验信息对客户端的服务请求进行服务响应包括以下步骤：

将校验信息中的时间差与设定的有效时间比较，判断时间差是否大于设定的有效时间，若是则丢弃该校验信息；若否则执行下一步骤；

判断判定结果是否正确，若认证凭据正确则执行服务响应，若否则丢弃该校验信息。

进一步作为优选的实施方式，所述设定的有效时间来自应用服务器端。

进一步作为优选的实施方式，所述设定的有效时间来自登录认证服务器端。

进一步作为优选的实施方式，所述设定的有效时间可以人为调整。

本发明的有益效果是：本发明防重放攻击的认证方法，在对认证凭证有效期的校验时，不是在应用服务器端校验认证凭证的时间差，而是将认证凭证有效期的校验转移到登录认证服务器端，由于认证凭证上的第一时间戳是由登录认证服务器生产的，在校验认证凭证的有效期时采用登录认证服务器本地端的时间与第一时间戳比较，保证了校验的准确性，勿需对应用服务器和登录认证服务器的时间进行同步；进一步通过单向数据链保证了用户的合法服务请求不被重放攻击的可能。

附图说明

下面结合附图对本发明的具体实施方式作进一步说明：

图1是本发明防重放攻击的认证方法的步骤流程图；

图2是本发明防重放攻击的认证方法中应用服务器根据校验信息对客户端的服务请求进行服务响应优选实施例的步骤流程图；

图3是本发明防重放攻击的认证方法应用场景的示意图；

图4是本发明单向数据链的应用示意图。

具体实施方式

参照图1,一种防重放攻击的认证方法，包括以下步骤：

客户端发送登录请求消息到登录认证服务器；

登录认证服务器生成包括标识当前时间的第一时间戳Time_SignOn的认证凭据给客户端；