[go: up one dir, main page]

CN107689964B - 嵌入式web服务器防重放攻击的方法 - Google Patents

嵌入式web服务器防重放攻击的方法 Download PDF

Info

Publication number
CN107689964B
CN107689964B CN201710900329.7A CN201710900329A CN107689964B CN 107689964 B CN107689964 B CN 107689964B CN 201710900329 A CN201710900329 A CN 201710900329A CN 107689964 B CN107689964 B CN 107689964B
Authority
CN
China
Prior art keywords
request
digital signature
verification
session
web server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710900329.7A
Other languages
English (en)
Other versions
CN107689964A (zh
Inventor
刘建峰
王通源
肖青平
沈时雨
李德海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Youhua Technology Co ltd
Original Assignee
Shenzhen Youhua Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Youhua Technology Co ltd filed Critical Shenzhen Youhua Technology Co ltd
Priority to CN201710900329.7A priority Critical patent/CN107689964B/zh
Publication of CN107689964A publication Critical patent/CN107689964A/zh
Application granted granted Critical
Publication of CN107689964B publication Critical patent/CN107689964B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明公开一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验;S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。

Description

嵌入式WEB服务器防重放攻击的方法
技术领域
本发明涉及信息技术领域,特别涉及一种嵌入式WEB服务器防重放攻击的方法。
背景技术
随着互联网的飞速发展、家庭信息化的迅速普及,家庭网关已经成为家庭信息化中的核心设备。为了满足易用性,目前家庭网关普遍提供WEB管理接口来满足用户快捷方便的设备管理。
但随之也带来了诸多安全隐患,通过撰改URL、进行消息截获的重放攻击的恶意手段来获取家庭网关的超级管理用户权限,从而获取对家庭网关的最高控制权限。通过进一步手段来监控整个家庭网络数据信息,截获用户关键的重要私人信息,对用户的个人隐私、财产安全造成严重的威胁。根据FortiGuard实验室报告,家庭网关在2015年引发的攻击将近820,000次,到2016年攻击次数指数级增加,达到250多亿次,家庭网络安全问题正面临着严峻的挑战。
发明内容
为了解决上述嵌入式WEB服务器遇到的重放攻击的安全问题,本发明提供了一种嵌入式WEB服务器防重放攻击的方法,可以有效地针对该类型攻击进行防范。
为实现上述目的,本发明的具体技术方案如下:
一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步;
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
优选地,所述Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
优选地,所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId。
进一步地,所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
优选地,所述校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则验证通过,返回步骤S21。
采用技术方案,本发明对于Get请求则不进行数字签名校验,仅进行身份合法性校验,同时在Get响应中颁发数字签名,对于信息更改的Post请求,则校验数字签名是否合法,同时在Post响应时重新颁发新的数字签名,用于后继对该页面的信息修改,通过数字签名中的URL路径、随机数的MD5加密设计,可以有效的防止Post请求被拦截而造成的恶意的修改、重放攻击。
附图说明
图1为本发明的交互原理图;
图2为本发明中的身份合法性校验流程图;
图3为本发明中的完整性数字签名校验流程图。
具体实施方式
以下结合附图和具体实施例,对本发明进一步说明。
参考图1至图3所示,本发明提供一种嵌入式WEB服务器防重放攻击的方法,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步。
其中,所述Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验该携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对该页面的信息修改。
其中,所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId。
所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
具体地,针对已通过合法性验证的HTTP GET请求生成一个新的URL表项存储到本地,该表项记载如下信息。其中URL路径、RandId仅在本地存储,不会泄漏给终端,仅仅将生成的数字签名通知给终端。该数字签名包含了请求URL,使得攻击者不能借用此次生成的合法数字签名,恶意修改URL达到访问其它URL的合法权限。该数字签名生成机制即使每次针对相同URL进行访问,也需要重新生成随机数RandId,并重新计算颁发新的数字签名,从而使得攻击者无法对报文进行截取、重放攻击。
步骤S21中生成的数字签名连同此次请求的URL路径一起组合成Cookie信息(SIG=数字签名;path=URL路径;),通过在HTTP请求响应中携带此Cookie信息,使得终端(如,浏览器)在后续对该URL页面进行配置修改Post请求时,必须携带本次颁发的数字签名。当前URL数字签名机制借助于Cookie机制,使得浏览器可以帮助我们根据指定路径存储多份数字签名,当浏览器向指定URL路径发起请求时,就会携带该路径对应的数字签名。
所述校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则验证通过,返回步骤S21。
具体地,对于数字签名是否合法验证,在处理后续HTTP后Post请求时,会根据Post请求的URL找到本地存储的URL表项,如果未找到则认为非法请求,拒绝此次请求,如果找到则根据URL表项中记载的RandId、当前请求URL生成数字签名,核对计算的数字签名是否与用户侧协带的数字签名是否一致,如果不一致则认为非法请求,并非上次颁发的数字签名或者URL地址已经被撰改,拒绝此次请求,否则本次请求为合法请求,允许通过WEB对家庭网关进行配置管理等合法操作。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。

Claims (3)

1.一种嵌入式WEB服务器防重放攻击的方法,其特征在于,包括如下步骤:
S1、终端向嵌入式Web服务器发送Get请求;对该Get请求进行身份合法性校验,校验成功后,进入下一步;
S2、进行完整性数字签名校验,判断当前请求是Get请求还是Post请求,若为Get请求,则嵌入式Web服务器在Get响应中颁发第一数字签名;若为Post请求,则校验携带第一数字签名的Post请求的第一数字签名是否合法,若非法,则拒绝访问;若合法,则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名,用于后续对页面的信息修改;
所述第一数字签名形成的步骤有:
S21、根据此次请求的URL地址,重新生成随机数RandId,并根据当前请求URL路径、RandId生成数字签名,在本地响应中颁发给终端,并在本地新增URL表项,记载当前URL路径、RandId;
校验该Post请求携带的第一数字签名是否合法的步骤有:
S22、根据Post请求的URL查找在步骤S21中生成的URL表项,若查找失败,则认为是非法请求,拒绝访问;若查找成功,则进入下一步;
S23、根据URL表项记载的URL路径、RandId计算数字签名,并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同,如果不同,则认为非法请求,拒绝访问;否则校验通过,返回步骤S21。
2.根据权利要求1所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,对该Get请求进行身份合法性校验包括如下步骤:
S11、检测Get请求是否包含Cookie信息,若为是,则进入下一步;若为否,则随机值生成一个会话ID,在本地生成一个以该会话ID为名称的会话文件,给用户浏览器返回401错误,同时在401错误响应中包括该会话ID的Cookie信息,要求终端在后续交互时携带该会话ID的Cookie信息;
S12、判断Cookie信息中是否有会话ID,若无则返回步骤S11;若有会话ID,则根据会话ID查找在步骤S11中生成的会话文件,如果查找失败,则返回步骤S11,否则进入下一步;
S13、检测会话文件内容是否为空,若不为空,则进入下一步;若为空,则从摘要验证中取账号、密码进行本地验证,若验证失败则返回步骤S11,若验证成功,则将账号信息写入本地会话文件,进入步骤S2;
S14、从Cookie信息中取账号、密码进行验证,若验证失败则返回步骤S11;若验证成功,则从会话文件中取账号、密码进行验证,若验证失败则返回步骤S11,若验证成功则进入步骤S2。
3.根据权利要求1所述的嵌入式WEB服务器防重放攻击的方法,其特征在于,所述第一数字签名=MD5(请求URL路径+RandId+固定字符串)。
CN201710900329.7A 2017-09-28 2017-09-28 嵌入式web服务器防重放攻击的方法 Active CN107689964B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710900329.7A CN107689964B (zh) 2017-09-28 2017-09-28 嵌入式web服务器防重放攻击的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710900329.7A CN107689964B (zh) 2017-09-28 2017-09-28 嵌入式web服务器防重放攻击的方法

Publications (2)

Publication Number Publication Date
CN107689964A CN107689964A (zh) 2018-02-13
CN107689964B true CN107689964B (zh) 2020-10-23

Family

ID=61155465

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710900329.7A Active CN107689964B (zh) 2017-09-28 2017-09-28 嵌入式web服务器防重放攻击的方法

Country Status (1)

Country Link
CN (1) CN107689964B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111756750B (zh) * 2020-06-24 2022-07-15 中国建设银行股份有限公司 安全访问方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139146A (zh) * 2011-11-24 2013-06-05 成绵广 认证方法
CN103248616A (zh) * 2012-02-14 2013-08-14 中兴通讯股份有限公司 Dlna网络中进行身份验证的方法及装置、系统
WO2014012476A1 (en) * 2012-07-18 2014-01-23 Tencent Technology (Shenzhen) Company Limited Method and system of login authentication
CN105141605A (zh) * 2015-08-19 2015-12-09 金蝶软件(中国)有限公司 会话方法、网站服务器及浏览器

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003199045A (ja) * 2001-12-26 2003-07-11 Victor Co Of Japan Ltd 情報記録信号の生成方法、情報信号の再生方法、情報信号の伝送方法、情報記録信号生成装置、情報信号再生装置、情報信号伝送装置、情報信号記録媒体、及び情報信号伝送用プログラム
US8151323B2 (en) * 2006-04-12 2012-04-03 Citrix Systems, Inc. Systems and methods for providing levels of access and action control via an SSL VPN appliance
CN103166931A (zh) * 2011-12-15 2013-06-19 华为技术有限公司 一种安全传输数据方法,装置和系统
CN103001770B (zh) * 2012-10-24 2016-06-01 北京奇虎科技有限公司 一种用户验证方法、服务器及系统
CN105429760B (zh) * 2015-12-01 2018-12-14 神州融安科技(北京)有限公司 一种基于tee的数字证书的身份验证方法及系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103139146A (zh) * 2011-11-24 2013-06-05 成绵广 认证方法
CN103248616A (zh) * 2012-02-14 2013-08-14 中兴通讯股份有限公司 Dlna网络中进行身份验证的方法及装置、系统
WO2014012476A1 (en) * 2012-07-18 2014-01-23 Tencent Technology (Shenzhen) Company Limited Method and system of login authentication
CN105141605A (zh) * 2015-08-19 2015-12-09 金蝶软件(中国)有限公司 会话方法、网站服务器及浏览器

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
无线城域网络安全架构及其认证方法研究;王芳等;《江苏科技大学学报(自然科学版)》;20071015;第21卷(第5期);第77-79页 *

Also Published As

Publication number Publication date
CN107689964A (zh) 2018-02-13

Similar Documents

Publication Publication Date Title
US11757641B2 (en) Decentralized data authentication
CN112333198B (zh) 安全跨域登录方法、系统及服务器
US8762731B2 (en) Multi-system security integration
CN103581108B (zh) 一种登录验证方法、客户端、服务器及系统
CN103944900B (zh) 一种基于加密的跨站请求攻击防范方法及其装置
CN105939326B (zh) 处理报文的方法及装置
US7925883B2 (en) Attack resistant phishing detection
US8850219B2 (en) Secure communications
US9112828B2 (en) Method for defending against session hijacking attacks and firewall
US8312073B2 (en) CAPTCHA-free throttling
CN111478910B (zh) 用户身份验证方法和装置、电子设备以及存储介质
US20200084225A1 (en) In-stream malware protection
CN105721411A (zh) 一种防止盗链的方法、防止盗链的服务器及客户端
CN109039987A (zh) 一种用户账户登录方法、装置、电子设备和存储介质
Giani et al. Data exfiltration and covert channels
US9015817B2 (en) Resilient and restorable dynamic device identification
CN102073822A (zh) 防止用户信息泄漏的方法及系统
CN110690972A (zh) 令牌认证方法、装置、电子设备及存储介质
Kellezi et al. Securing Open Banking with Model‐View‐Controller Architecture and OWASP
US20120204242A1 (en) Protecting web authentication using external module
CN107689964B (zh) 嵌入式web服务器防重放攻击的方法
CN102984117A (zh) 一种网页组件的鉴权方法、鉴权服务器及鉴权系统
CN111611620A (zh) 一种访问平台的访问请求处理方法及相关装置
CN106878233A (zh) 安全数据的读取方法、安全服务器、终端及系统
JP5743822B2 (ja) 情報漏洩防止装置及び制限情報生成装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
PE01 Entry into force of the registration of the contract for pledge of patent right

Denomination of invention: A method for preventing replay attacks on embedded WEB servers

Effective date of registration: 20231218

Granted publication date: 20201023

Pledgee: Guangzhou Bank Co.,Ltd. Shenzhen Nanshan Branch

Pledgor: SHENZHEN YOUHUA TECHNOLOGY Co.,Ltd.

Registration number: Y2023980072370

PE01 Entry into force of the registration of the contract for pledge of patent right