[发明专利]防重放攻击的接口保护方法

说明书

技术领域

本发明涉及信息安全技术，特别涉及防重放攻击的接口保护技术。

背景技术

重放攻击(Replay Attacks)又称重播攻击、回放攻击，是指攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程，破坏认证的正确性。重放攻击可以由发起者，也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给认证服务器。重放攻击在任何网络通过程中都可能发生，是计算机世界黑客常用的攻击方式之一。

现有技术通常采用哈希加盐法对报文(包含时间戳)签名，通过验证时间戳的有效性和签名的有效性来防止重放攻击，随着黑客的猖獗，其明显稳定性和安全性已不能满足用户需求。

发明内容

本发明的目的是提供一种防重放攻击的接口保护方法，解决目前对接口调用过程中发生的重放攻击的保护不足的问题。

本发明解决其技术问题，采用的技术方案是：防重放攻击的接口保护方法，其特征在于，包括以下步骤：

客户端在发送的数据中添加额外信息，并向服务器发送请求，所述额外信息至少包括证书序列号及随机数；服务器接收请求后，提取出额外信息，并判断证书序列号及随机数是否存在服务器的存储数据库中，若是则判断为异常请求，若不是则判断为正常请求，并将额外信息保存在存储数据库中。

具体的，所述额外信息中还包括发送请求的时间，客户端从时间服务器获取发送请求的时间，服务器接收请求时，从时间服务器获取当前时间，并提取出额外信息，当判断序列号及随机数不存在服务器的存储数据库中时，并判断当前时间与发送请求的时间的差值是否在设定的阈值内，若是则判断为正常请求，若不是则判断为异常请求。

进一步的，所述额外信息中还包括签名算法，客户端发送请求时，使用签名算法中的散列算法对额外信息进行散列，生成散列值，并使用签名算法中的非对称算法对散列值进行私钥加密，生成与之对应的签名值。

具体的，当服务器接收请求时，服务器判断证书序列号及随机数不存在服务器的存储数据库中时，将证书序列号及随机数存入存储数据库中，并从认证中获取证书序列号对应的公钥，根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值，判断得到的散列值与生成与之对应的签名值是否相等，若是则判断为正常请求，若不是则判断为异常请求。

再进一步的，所述额外信息中还包括签名算法，客户端发送请求时，使用签名算法中的散列算法对额外信息进行散列，生成散列值，并使用签名算法中的非对称算法对散列值进行私钥加密，生成与之对应的签名值。

具体的，所述服务器接收请求时，当判断序列号及随机数不存在服务器的存储数据库中，且判断当前时间与发送请求的时间的差值在设定的阈值内时，将证书序列号及随机数存入存储数据库中，并从认证中获取证书序列号对应的公钥，根据签名算法中的非对称算法使用所述公钥解密签名值得到散列值，判断得到的散列值与发送请求时生成的散列值是否相等，若是则判断为正常请求，若不是则判断为异常请求。

再进一步的，所述证书序列号及随机数是以规定的时间间隔存入存储数据库。

本发明的有益效果是，通过上述防重放攻击的接口保护方法，在请求中添加唯一标识的额外信息，并判断其是否已存在存储数据库中，当不存在时，表明为首次正常请求，当其已经存在时，表明此次请求不是首次请求，服务器判断其此次请求为异常请求，有效地防止了接口的重放攻击，加强了接口访问控制和安全。

具体实施方式

下面结合实施例，详细描述本发明的技术方案。

本发明所述防重放攻击的接口保护方法为：客户端在发送的数据中添加额外信息，并向服务器发送请求，其中，额外信息至少包括证书序列号及随机数；服务器接收请求后，提取出额外信息，并判断证书序列号及随机数是否存在服务器的存储数据库中，若是则判断为异常请求，若不是则判断为正常请求，并将额外信息保存在存储数据库中。

实施例

本例防重放攻击的接口保护方法，包括以下步骤：客户端在发送的数据中添加额外信息，并向服务器发送请求，

当额外信息包括证书序列号及随机数时，服务器接收请求后，提取出额外信息，并判断证书序列号及随机数是否存在服务器的存储数据库中，若是则判断为异常请求，若不是则判断为正常请求，并将额外信息以规定的时间间隔存入存储数据库；