[发明专利]一种完整性校验漏洞安全防护的方法及系统

权利要求书

1.一种完整性校验漏洞安全防护的方法，其特征在于，包括：

客户端根据拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息，生成所述客户端的待签名数据；

所述客户端根据用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理，得到所述客户端的签名信息，并将包含所述客户端的签名信息的数据请求发送给服务端；

所述服务端接收到所述数据请求后，利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护。

2.根据权利要求1所述的方法，其特征在于，还包括客户端接收并保存所述服务端发送的用户会话签名标识信息，其具体包括：

所述客户端在登录所述服务端成功后，建立与所述服务端之间的用户会话；

所述服务器端根据所述用户会话，生成与所述用户会话相关的用户会话签名标识信息，并将所述用户会话签名标识信息发送给所述客户端。

3.根据权利要求1所述的方法，其特征在于，所述客户端根据拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息，生成所述客户端的待签名数据包括：

所述客户端分别获取拼接请求URL信息和拼接请求头部信息；

所述客户端根据请求数据中的各参数名称信息，按照字母字典升序排列的方式进行排序，得到拼接请求的数据信息；

所述客户端按照拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息的拼接顺序进行拼接处理，生成所述客户端的待签名数据。

4.根据权利要求1所述的方法，其特征在于，所述客户端根据用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理，得到所述客户端的签名信息包括：

所述客户端利用MD5算法对所述用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理，得到所述客户端的签名信息。

5.根据权利要求1所述的方法，其特征在于，所述数据请求中还包括：

所述拼接请求URL信息、所述拼接请求头部信息及所述拼接请求的数据信息。

6.根据权利要求5所述的方法，其特征在于，所述服务端接收到所述数据请求后，利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护包括：

所述服务端接收到所述数据请求后，通过对所述数据请求中的所述拼接请求URL信息、所述拼接请求头部信息及所述拼接请求的数据信息进行合法性验证，判断所述数据请求是无效请求还是有效请求；

当判断所述数据请求是无效请求时，所述服务端丢弃所述数据请求；

当判断所述数据请求是有效请求时，所述服务端利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护。

7.根据权利要求6所述的方法，其特征在于，所述服务端利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护包括：

所述服务端通过对所述数据请求中的所述客户端签名信息进行有效性验证，判断所述数据请求是否存在完整性校验漏洞；

当判断所述数据请求不存在完整性校验漏洞时，将所述数据请求作为有效数据请求；

当判断所述数据请求存在完整性校验漏洞时，则丢弃所述数据请求。

8.根据权利要求7所述的方法，其特征在于，所述服务端通过对所述数据请求中的所述客户端签名信息进行有效性验证，判断所述数据请求是否存在完整性校验漏洞包括：

所述服务端根据所述拼接请求URL信息、所述拼接请求头部信息及所述拼接请求的数据信息，生成待签名数据；

所述服务端在生成待签名数据后，读取与所述客户端对应的用户会话签名标识信息，并利用MD5算法对所读取的用户会话签名标识信息和所述待签名数据进行数字签名处理，得到签名信息；

当所述签名信息与所述客户端签名信息相同时，所述服务端判断所述数据请求不存在完整性校验漏洞；

当所述签名信息与所述客户端签名信息不同时，所述服务端判断所述数据请求存在完整性校验漏洞，并丢弃所述数据请求。