[发明专利]一种完整性校验漏洞安全防护的方法及系统在审
| 申请号: | 202011575626.7 | 申请日: | 2020-12-28 |
| 公开(公告)号: | CN112699374A | 公开(公告)日: | 2021-04-23 |
| 发明(设计)人: | 魏光玉;薛念明;邢宏伟;李勋;刘涛;张坤;边莉;李向阳;谢吉伦 | 申请(专利权)人: | 山东鲁能软件技术有限公司 |
| 主分类号: | G06F21/57 | 分类号: | G06F21/57;G06F21/60;G06F21/64;G06F16/955 |
| 代理公司: | 北京元本知识产权代理事务所(普通合伙) 11308 | 代理人: | 李斌 |
| 地址: | 250001 山东省济南市高*** | 国省代码: | 山东;37 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 一种 完整性 校验 漏洞 安全 防护 方法 系统 | ||
本发明公开了一种完整性校验漏洞安全防护的方法及系统,其方法包括:客户端根据拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息,生成所述客户端的待签名数据;所述客户端根据用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理,得到所述客户端的签名信息,并将包含所述客户端的签名信息的数据请求发送给服务端;所述服务端接收到所述数据请求后,利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护。
技术领域
本发明涉及应用软件安全防护领域,特别涉及一种完整性校验漏洞安全防护的方法及系统。
背景技术
完整性校验漏洞,是指系统在服务器端没有对客户端提交的数据做数据完整性的校验,使得在请求发送中被篡改的数据也能正常保存和读取,存在安全隐患,如图3所示。
目前完整性校验漏洞的解决方案一般有两种:
一种是采用数据加密机制,通过对传输过程中的数据进行加密处理,确保数据安全。缺点是该方案严重依赖于加密算法,如果采用比较简单的算法或编码,一旦被人获取足够的“样本”,将有可能被反向推测出解密算法,从而泄露重要数据。
另一种是数据传输采用https通信协议,保证数据传输信道安全。但在实际的业务应用场景中,因为运行环境等因素限制,会导致传输过程中无法使用https。该方案的缺点是不适合所有业务场景。
发明内容
为解决目前完整性校验漏洞解决方案中出现的数据加密算法选择不当、数据传输过程不能使用https等问题,本发明提出了一种基于用户会话签名标识的通过数据签名校验机制进行完整性校验漏洞的安全防护的方法及系统。
根据本发明实施例提供的一种完整性校验漏洞安全防护的方法,包括:
客户端根据拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息,生成所述客户端的待签名数据;
所述客户端根据用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理,得到所述客户端的签名信息,并将包含所述客户端的签名信息的数据请求发送给服务端;
所述服务端接收到所述数据请求后,利用所述数据请求中的所述客户端签名信息进行完整性校验漏洞安全防护。
优选地,还包括客户端接收并保存所述服务端发送的用户会话签名标识信息,其具体包括:
所述客户端在登录所述服务端成功后,建立与所述服务端之间的用户会话;
所述服务器端根据所述用户会话,生成与所述用户会话相关的用户会话签名标识信息,并将所述用户会话签名标识信息发送给所述客户端。
优选地,所述客户端根据拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息,生成所述客户端的待签名数据包括:
所述客户端分别获取拼接请求URL信息和拼接请求头部信息;
所述客户端根据请求数据中的各参数名称信息,按照字母字典升序排列的方式进行排序,得到拼接请求的数据信息;
所述客户端按照拼接请求URL信息、拼接请求头部信息及拼接请求的数据信息的拼接顺序进行拼接处理,生成所述客户端的待签名数据。
优选地,所述客户端根据用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理,得到所述客户端的签名信息包括:
所述客户端利用MD5算法对所述用户会话签名标识信息和所述客户端的待签名数据进行数字签名处理,得到所述客户端的签名信息。
优选地,所述数据请求中还包括:
所述拼接请求URL信息、所述拼接请求头部信息及所述拼接请求的数据信息。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于山东鲁能软件技术有限公司,未经山东鲁能软件技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202011575626.7/2.html,转载请声明来源钻瓜专利网。
