[发明专利]一种基于手机令牌防御CSRF攻击的方法在审
| 申请号: | 202010922150.3 | 申请日: | 2020-09-04 |
| 公开(公告)号: | CN112104458A | 公开(公告)日: | 2020-12-18 |
| 发明(设计)人: | 田凯 | 申请(专利权)人: | 紫光云(南京)数字技术有限公司 |
| 主分类号: | H04L9/08 | 分类号: | H04L9/08;H04L9/32;H04W12/00 |
| 代理公司: | 南京中盟科创知识产权代理事务所(特殊普通合伙) 32279 | 代理人: | 孙丽君 |
| 地址: | 210000 江苏省南京市浦口区江浦街*** | 国省代码: | 江苏;32 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 基于 手机 令牌 防御 csrf 攻击 方法 | ||
1.一种基于手机令牌防御CSRF攻击的方法,其特征在于,包括以下步骤:
步骤S1:客户端注册包含手机号码信息的账号,登陆所述账号,且客户端向服务器发送HTTP请求后,服务器获取客户端中注册的手机号码;
步骤S2:所述客户端随机生成服务器动态令牌,以短信的方式发送给所述客户端,服务器同时保存所述服务器动态令牌;
步骤S3:所述客户端收到服务器动态令牌后,编辑手机动态令牌,并将手机动态令牌发送给服务器所专属的服务器号码;
步骤S4:所述服务器通过调用服务器号码,获取服务器号码中的手机动态令牌、手机号码,再根据手机号码,获取所述手机号码对应的服务器动态令牌,服务器对比手机动态令牌和服务器动态令牌是否相同;
步骤S5:若手机动态令牌和服务器动态令牌不同,则切断服务器与客户端之间的联系,避免攻击者通过服务器网站,对客户端的客户造成仿冒、攻击的影响;若手机动态令牌和服务器动态令牌相同,则建立服务器与客户端的联系,客户端能正常访问服务器。
2.根据权利要求1所述的一种基于手机令牌防御CSRF攻击的方法,其特征在于,所述服务器动态密码由数字、字母或者符号中的其中一种或者多种组合组成。
3.根据权利要求2所述的一种基于手机令牌防御CSRF攻击的方法,其特征在于,所述服务器动态密码至少为4位字符。
4.根据权利要求1所述的一种基于手机令牌防御CSRF攻击的方法,其特征在于,所述步骤S3中,编辑所述手机动态令牌的时间为三分钟,编辑所述手机动态令牌的时间从服务器发送服务器动态令牌后开始计算,若编辑手机动态令牌的时间超过三分钟,则服务器删除步骤S2中保存的服务器动态令牌,并切断服务器与客户端之间的联系。
5.根据权利要求1所述的一种基于手机令牌防御CSRF攻击的方法,其特征在于,所述服务器为同一个根域名下的多个网站。
6.根据权利要求1所述的一种基于手机令牌防御CSRF攻击的方法,其特征在于,所述步骤S3中,所述客户端通过短信的方式将手机动态令牌发送给服务器号码,或者所述客户端通过手机app的方式将手机动态令牌发送给服务器号码。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于紫光云(南京)数字技术有限公司,未经紫光云(南京)数字技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202010922150.3/1.html,转载请声明来源钻瓜专利网。
