[发明专利]一种防止非法访问服务器的方法及系统

说明书

本发明公开了一种防止非法访问服务器的方法及系统，其中防止方法包括：客户端生成会话标识并发送至服务器；服务器接收会话标识并对其加密得到会话密钥、将会话密钥同步至客户端；客户端生成待请求的原始资源URL、利用会话密钥对会话标识及原始资源URL进行加密并追加会话标识，得到新URL；客户端基于新URL向服务器发送访问请求；服务器从新URL中获得会话标识并得到会话密钥；利用会话密钥对新URL进行解密，得到解密后的会话标识及解密后的URL；判断解密后得到的会话标志是否与直接获得的会话标识一致，若否则拒绝此次访问；若是则允许此次访问。本发明增加了会话密钥破解的难度，能够容易地更新会话密钥，能够有效防止非法访问服务器的行为发生。

技术领域

本发明属于通讯领域，特别涉及一种防止非法访问服务器的方法及系统。

背景技术

目前，客户端和服务器的交互接口大部分是通过http的方式实现，其中，服务器提供对外的访问接口，这些接口提供的是标准的http服务。

在现有技术中，客户端与服务器交互的过程如下：

首先，客户端生成待请求的资源URL(Uniform Resource Locator,统一资源定位符)，向服务器发送http请求。

然后，服务器接收到请求，向客户端返回访问结果。

最后，客户端解析服务器返回的访问结果，并处理对应的业务逻辑。

在上述交互过程中，若存在恶意客户端修改URL或其中的参数，发起恶意请求，或者恶意客户端模拟正常用户发起请求，则存在信息泄漏的风险。此外，若恶意客户端不断发起请求，则服务器由于资源不够而会拒绝正常的客户端请求，导致客户端无法获得需要的数据，从而服务器无法服务正常用户。

为解决上述问题，现有的做法一般是在客户端和服务器事先预定一个会话密钥，预先写在代码或配置文件中。这种固定方式的会话密钥容易被破解，且难以被修改，第三方客户端如果获知了会话密钥，就可以伪造请求，访问服务器后端接口，从而导致信息泄漏和服务器无法服务正常用户。

发明内容

本发明的目的在于，针对上述现有技术的不足，提供一种防止非法访问服务器的方法及系统，增加了会话密钥破解的难度，能够容易地更新会话密钥，能够有效识别非法访问请求，防止非法访问服务器的行为发生，避免信息泄漏和服务器无法服务正常用户。

为解决上述技术问题，本发明所采用的技术方案是：

一种非法访问服务器防止方法，包括步骤A.客户端生成待请求的原始资源URL；其特点是，

在步骤A之前还包括：

步骤A1.客户端生成会话标识；

步骤A2.客户端将会话标识发送至服务器；

步骤A3.服务器接收会话标识；

步骤A4.服务器利用预设的加密密钥对会话标识加密，得到会话密钥；

步骤A5.服务器将会话密钥同步至客户端；

在步骤A之后还包括：

步骤B.客户端利用会话密钥对会话标识及原始资源URL进行加密，并在后面追加会话标识，得到新URL；

步骤C.客户端基于新URL向服务器发送访问请求；

步骤D.服务器从新URL中获得会话标识，依照A4的步骤得到会话密钥；

步骤E.利用会话密钥对新URL进行解密，得到解密后的会话标识及解密后的URL；