[发明专利]一种基于双向数据流转的防篡改系统和方法

说明书

本发明属于软件安全防护技术领域，具体涉及一种基于双向数据流转的防篡改系统和方法，所述的系统包括客户端请求识别模块，该模块用于对客户端发出的所有请求进行识别，并对无效请求进行拦截处理；客户端请求时间戳分析模块，该模块用于获取客户端请求发送时服务端的当前时间；客户端请求防篡改模块，该模块用于对请求数据data和salt数值数据进行加密并签名处理；客户端请求发送模块；服务端请求识别模块；服务端请求时间戳分析模块；服务端请求防篡改模块；服务端响应识别模块；服务端响应时间戳分析模块；服务端响应防篡改模块；服务端响应发送模块；客户端响应识别模块；客户端响应时间戳分析模块；客户端响应防篡改模块。

技术领域

本发明属于软件安全防护技术领域，具体涉及一种基于双向数据流转的防篡改系统和方法。

背景技术

防篡改是一种有效防止数据完整性被非法篡改的技术，该技术能够保护软件的核心数据、设计逻辑、控制权限等不被攻击者修改，并对意图修改软件信息的行为作出响应，属于软件保护领域中的主动防御范畴。

现有技术中，数据防篡改的解决方案一般有三种：

第一种是数据加密。采用数据加密机制，通过对传输过程中的关键数据进行加密处理，确保数据防篡改。缺点是若攻击者拥有系统访问权限，可在数据未解密的情况下直接篡改加密数据，进行提权操作。

第二种是完整性校验。对请求的关键参数进行签名计算保证数据传输完整性。缺点是目前主流的数据完整机制只支持在请求中做签名计算和校验签名，而客户端因缺乏校验和处理机制，导致响应数据仍可被篡改，不能保证双向数据传输安全。

第三种是基于硬件的防篡改方法。利用软件和硬件之间相互配合的关系，利用防护设备阻止篡改情况的发生。但在实际的业务应用场景中，因为运行环境等因素限制，硬件防护不适用于所有业务场景。

鉴于现有技术中数据防篡改方案的缺陷，本发明提提供一种基于双向数据流转的防篡改系统和方法；以解决现有技术中存在的上述技术缺陷，是非常有必要的。

发明内容

本发明的目的在于，针对上述现有技术存在的缺陷，提供设计一种基于双向数据流转的防篡改系统和方法，以解决上述技术问题。

为实现上述目的，本发明给出以下技术方案：

一种基于双向数据流转的防篡改系统，包括：

客户端请求识别模块，该模块用于对客户端发出的所有请求进行识别，并对无效请求进行拦截处理；

客户端请求时间戳分析模块，该模块用于获取客户端请求发送时服务端的当前时间，所述的服务器的当前时间表示为：请求发送时客户端当前时间+时间差，时间差为服务端当前时间与客户端当前时间的差值；

客户端请求防篡改模块，该模块用于对请求数据data和sa l t数值数据进行加密并签名处理，所述的sa l t数值数据为用于计算签名的盐值，与用户会话绑定且生命周期与之一致，由服务端生成，经加密传输到客户端；

客户端请求发送模块，该模块用于将签名加密处理后的数据和时间戳数据以请求识别参数的形式随客户端请求一同发送至服务端；

服务端请求识别模块，该模块用于拦截处理客户端发送的所有请求，并判断客户端请求中是否存在请求识别参数，如果不存在请求识别参数则客户端请求无效，并向客户端返回无效请求，如果存在请求识别参数，则读取并继续执行；

服务端请求时间戳分析模块，该模块用于对请求识别参数中的时间戳数据进行验证，如果符合验证条件则继续执行，如果不符合验证条件则请求无效，并向客户端返回请求已失效；

服务端请求防篡改模块，该模块用于对请求识别参数中的签名加密处理数据进行验证，如果符合验证条件则继续执行，如果不符合验证条件则请求无效，并向客户端返回请求已失效；