[发明专利]一种防重放攻击方法及装置

说明书

本发明涉及移动互联网领域，尤其涉及一种防重放攻击方法及装置，接收客户端发送的业务请求，其中，业务请求中至少包括客户端的认证凭证和序列号，序列号为客户端根据上一次发送业务请求时携带的序列号和预设递增步长得到的；根据预设的有效期，判断认证凭证是否有效，并判断序列号是否在保存的认证凭证对应的序列号窗口内，以及是否未被记录，进而判断序列号是否合法，确定业务请求是否为重放请求，这样，客户端发送业务请求时携带认证凭证和递增的序列号即可实现防重放攻击，减少交互次数，提高了效率和系统性能，认证凭证关联序列号进行保存，并设置有效期，可以有效控制信息存储量，通过序列号窗口也可以避免误判，也不需要严格的时间同步。

技术领域

本发明涉及移动互联网领域，尤其涉及一种防重放攻击方法及装置。

背景技术

重放攻击(Replay Attacks)又称重播攻击(Playback Attack)或新鲜性攻击(Freshness Attacks)，是指攻击者拦截并重发一个目标主机已接收过的包，来达到欺骗的目的。这种攻击会不断恶意或欺诈性地重复一个有效的数据传输。攻击者利用网络监听或者其他方式盗取认证凭据，之后再把它重新发给服务器。重放攻击在任何网络通讯过程中都可能发生，目前网络服务的各种服务器常常受到攻击方的重放攻击。

现有技术中，防重放攻击的方法，例如挑战-应答方法。这种方法是客户端请求服务器时，服务器会首先生成一个随机数返回给客户端，然后客户端带上这个随机数访问服务器，服务器比对客户端的这个参数，如果一致则认为不是重放攻击，允许访问。

但是，现有技术中，挑战-应答方法中客户端每次业务请求时都需要先请求服务端生成一个挑战码，然后客户端带上应答码再进行业务访问，即需要客户端与服务器进行两次交互，降低了系统性能，对于网络中的服务器等高并发系统是一个很大的挑战。

发明内容

本发明实施例提供一种防重放攻击方法及装置，以解决现有技术中防重放攻击方法效率较低并降低了系统性能的问题。

本发明实施例提供的具体技术方案如下：

一种防重放攻击方法，包括：

接收客户端发送的业务请求，其中，所述业务请求中至少包括所述客户端的认证凭证和序列号，所述序列号为客户端根据上一次发送业务请求时携带的序列号和预设递增步长得到的；

根据预设的有效期，判断所述认证凭证是否在所述预设的有效期内，若是则确定所述认证凭证有效；

根据保存的所述认证凭证对应的序列号窗口，判断所述序列号是否在所述序列号窗口内，以及根据记录的所述认证凭证对应的已访问的序列号，判断所述序列号是否未被记录，若均为是，则确定所述序列号合法，并确定所述业务请求不是重放请求。

较佳的，进一步包括：

接收客户端发送的登录请求；

确定所述客户端的身份校验通过后，向所述客户端返回认证凭证和序列号初始值，并根据预设的窗口大小和所述序列号初始值，以所述序列号初始值为中心，根据所述预设的窗口大小，生成序列号窗口，以及将所述序列号窗口内的序列号作为所述认证凭证对应的序列号，并保存所述认证凭证和所述认证凭证对应的序列号窗口。

较佳的，进一步包括：

若确定所述序列号在所述序列号窗口内，则以所述序列号为中心，根据预设的窗口大小，更新保存的所述认证凭证对应的序列号窗口，并记录所述序列号，更新记录的所述认证凭证对应的已访问的序列号。

较佳的，进一步包括：

若确定所述认证凭证不在所述预设的有效期内，则清除保存的所述认证凭证、所述认证凭证对应的序列号窗口，以及记录的所述认证凭证对应的已访问的序列号。

较佳的，进一步包括：