嵌入式WEB服务器防重放攻击的方法技术

本发明专利技术公开一种嵌入式WEB服务器防重放攻击的方法，包括如下步骤：S1、终端向嵌入式Web服务器发送Get请求；对该Get请求进行身份合法性校验；S2、进行完整性数字签名校验，判断当前请求是Get请求还是Post请求，若为Get请求，则嵌入式Web服务器在Get响应中颁发第一数字签名；若为Post请求，则校验该携带第一数字签名的Post请求的第一数字签名是否合法，若非法，则拒绝访问；若合法，则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名，用于后续对该页面的信息修改。

The method of anti replay attack in embedded WEB server

The invention discloses a method of embedded WEB server anti replay attacks, which comprises the following steps: S1, embedded Web server sends a request to the terminal Get; to verify the legitimacy of the identity of the Get request; S2, integrity of the digital signature verification, determine the current request is a Get request or Post request, if the Get request is the embedded Web server in the Get response issued the first digital signature; if the Post request is the first check the digital signature of the carrying the first digital signature of the Post request is legitimate, if illegal, refused to visit; if it is legal, the embedded Web server in the Post response when issued relative to the first digital signature updated second digital signature. For on the following page information modification.

【技术实现步骤摘要】
嵌入式WEB服务器防重放攻击的方法
本专利技术涉及信息
，特别涉及一种嵌入式WEB服务器防重放攻击的方法。
技术介绍
随着互联网的飞速发展、家庭信息化的迅速普及，家庭网关已经成为家庭信息化中的核心设备。为了满足易用性，目前家庭网关普遍提供WEB管理接口来满足用户快捷方便的设备管理。但随之也带来了诸多安全隐患，通过撰改URL、进行消息截获的重放攻击的恶意手段来获取家庭网关的超级管理用户权限，从而获取对家庭网关的最高控制权限。通过进一步手段来监控整个家庭网络数据信息，截获用户关键的重要私人信息，对用户的个人隐私、财产安全造成严重的威胁。根据FortiGuard实验室报告，家庭网关在2015年引发的攻击将近820,000次，到2016年攻击次数指数级增加，达到250多亿次，家庭网络安全问题正面临着严峻的挑战。
技术实现思路
为了解决上述嵌入式WEB服务器遇到的重放攻击的安全问题，本专利技术提供了一种嵌入式WEB服务器防重放攻击的方法，可以有效地针对该类型攻击进行防范。为实现上述目的，本专利技术的具体技术方案如下：一种嵌入式WEB服务器防重放攻击的方法，包括如下步骤：S1、终端向嵌入式Web服务器发送Get请求；对该Get请求进行身份合法性校验，校验成功后，进入下一步；S2、进行完整性数字签名校验，判断当前请求是Get请求还是Post请求，若为Get请求，则嵌入式Web服务器在Get响应中颁发第一数字签名；若为Post请求，则校验该携带第一数字签名的Post请求的第一数字签名是否合法，若非法，则拒绝访问；若合法，则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名，用于后续对该页面的信息修改。优选地，所述Get请求进行身份合法性校验包括如下步骤：S11、检测Get请求是否包含Cookie信息，若为是，则进入下一步；若为否，则随机值生成一个会话ID，在本地生成一个以该会话ID为名称的会话文件，给用户浏览器返回401错误，同时在401错误响应中包括该会话ID的Cookie信息，要求终端在后续交互时携带该会话ID的Cookie信息；S12、判断Cookie信息中是否有会话ID，若无则返回步骤S11；若有会话ID，则根据会话ID查找在步骤S11中生成的会话文件，如果查找失败，则返回步骤S11，否则进入下一步；S13、检测会话文件内容是否为空，若不为空，则进入下一步；若为空，则从摘要验证中取账号、密码进行本地验证，若验证失败则返回步骤S11，若验证成功，则将账号信息写入本地会话文件，进入步骤S2；S14、从Cookie信息中取账号、密码进行验证，若验证失败则返回步骤S11；若验证成功，则从会话文件中取账号、密码进行验证，若验证失败则返回步骤S11，若验证成功则进入步骤S2。优选地，所述第一数字签名形成的步骤有：S21、根据此次请求的URL地址，重新生成随机数RandId，并根据当前请求URL路径、RandId生成数字签名，在本地响应中颁发给终端，并在本地新增URL表项，记载当前URL路径、RandId。进一步地，所述第一数字签名＝MD5(请求URL路径+RandId+固定字符串)。优选地，所述校验该Post请求携带的第一数字签名是否合法的步骤有：S22、根据Post请求的URL查找在步骤S21中生成的URL表项，若查找失败，则认为是非法请求，拒绝访问；若查找成功，则进入下一步；S23、根据URL表项记载的URL路径、RandId计算数字签名，并校验终端此次Post请求携带的数字签名是否与计算出的数字签名相同，如果不同，则认为非法请求，拒绝访问；否则验证通过，返回步骤S21。采用技术方案，本专利技术对于Get请求则不进行数字签名校验，仅进行身份合法性校验，同时在Get响应中颁发数字签名，对于信息更改的Post请求，则校验数字签名是否合法，同时在Post响应时重新颁发新的数字签名，用于后继对该页面的信息修改，通过数字签名中的URL路径、随机数的MD5加密设计，可以有效的防止Post请求被拦截而造成的恶意的修改、重放攻击。附图说明图1为本专利技术的交互原理图；图2为本专利技术中的身份合法性校验流程图；图3为本专利技术中的完整性数字签名校验流程图。具体实施方式以下结合附图和具体实施例，对本专利技术进一步说明。参考图1至图3所示，本专利技术提供一种嵌入式WEB服务器防重放攻击的方法，包括如下步骤：S1、终端向嵌入式Web服务器发送Get请求；对该Get请求进行身份合法性校验，校验成功后，进入下一步。其中，所述Get请求进行身份合法性校验包括如下步骤：S11、检测Get请求是否包含Cookie信息，若为是，则进入下一步；若为否，则随机值生成一个会话ID，在本地生成一个以该会话ID为名称的会话文件，给用户浏览器返回401错误，同时在401错误响应中包括该会话ID的Cookie信息，要求终端在后续交互时携带该会话ID的Cookie信息；S12、判断Cookie信息中是否有会话ID，若无则返回步骤S11；若有会话ID，则根据会话ID查找在步骤S11中生成的会话文件，如果查找失败，则返回步骤S11，否则进入下一步；S13、检测会话文件内容是否为空，若不为空，则进入下一步；若为空，则从摘要验证中取账号、密码进行本地验证，若验证失败则返回步骤S11，若验证成功，则将账号信息写入本地会话文件，进入步骤S2；S14、从Cookie信息中取账号、密码进行验证，若验证失败则返回步骤S11；若验证成功，则从会话文件中取账号、密码进行验证，若验证失败则返回步骤S11，若验证成功则进入步骤S2。S2、进行完整性数字签名校验，判断当前请求是Get请求还是Post请求，若为Get请求，则嵌入式Web服务器在Get响应中颁发第一数字签名；若为Post请求，则校验该携带第一数字签名的Post请求的第一数字签名是否合法，若非法，则拒绝访问；若合法，则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名，用于后续对该页面的信息修改。其中，所述第一数字签名形成的步骤有：S21、根据此次请求的URL地址，重新生成随机数RandId，并根据当前请求URL路径、RandId生成数字签名，在本地响应中颁发给终端，并在本地新增URL表项，记载当前URL路径、RandId。所述第一数字签名＝MD5(请求URL路径+RandId+固定字符串)。具体地，针对已通过合法性验证的HTTPGET请求生成一个新的URL表项存储到本地，该表项记载如下信息。其中URL路径、RandId仅在本地存储，不会泄漏给终端，仅仅将生成的数字签名通知给终端。该数字签名包含了请求URL，使得攻击者不能借用此次生成的合法数字签名，恶意修改URL达到访问其它URL的合法权限。该数字签名生成机制即使每次针对相同URL进行访问，也需要重新生成随机数RandId，并重新计算颁发新的数字签名，从而使得攻击者无法对报文进行截取、重放攻击。步骤S21中生成的数字签名连同此次请求的URL路径一起组合成Cookie信息(SIG＝数字签名；path＝URL路径；)，通过在HTTP请求响应中携带此Cookie信息，使得终端(如，浏览器)在后续对该URL页面进行配置修改Post请求时，必须携带本次颁发的数字签名本文档来自技高网...

【技术保护点】
一种嵌入式WEB服务器防重放攻击的方法，其特征在于，包括如下步骤：S1、终端向嵌入式Web服务器发送Get请求；对该Get请求进行身份合法性校验，校验成功后，进入下一步；S2、进行完整性数字签名校验，判断当前请求是Get请求还是Post请求，若为Get请求，则嵌入式Web服务器在Get响应中颁发第一数字签名；若为Post请求，则校验该携带第一数字签名的Post请求的第一数字签名是否合法，若非法，则拒绝访问；若合法，则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名，用于后续对该页面的信息修改。

【技术特征摘要】
1.一种嵌入式WEB服务器防重放攻击的方法，其特征在于，包括如下步骤：S1、终端向嵌入式Web服务器发送Get请求；对该Get请求进行身份合法性校验，校验成功后，进入下一步；S2、进行完整性数字签名校验，判断当前请求是Get请求还是Post请求，若为Get请求，则嵌入式Web服务器在Get响应中颁发第一数字签名；若为Post请求，则校验该携带第一数字签名的Post请求的第一数字签名是否合法，若非法，则拒绝访问；若合法，则嵌入式Web服务器在Post响应时颁发相对第一数字签名更新过的第二数字签名，用于后续对该页面的信息修改。2.根据权利要求1所述的嵌入式WEB服务器防重放攻击的方法，其特征在于，所述Get请求进行身份合法性校验包括如下步骤：S11、检测Get请求是否包含Cookie信息，若为是，则进入下一步；若为否，则随机值生成一个会话ID，在本地生成一个以该会话ID为名称的会话文件，给用户浏览器返回401错误，同时在401错误响应中包括该会话ID的Cookie信息，要求终端在后续交互时携带该会话ID的Cookie信息；S12、判断Cookie信息中是否有会话ID，若无则返回步骤S11；若有会话ID，则根据会话ID查找在步骤S11中生成的会话文件，如果查找失败，则返回步骤S11，否则进入下一步；S13、检测会话文件内容是否为空，若不为空，则进入下一步；若为空，则从摘要验证中取...

【专利技术属性】
技术研发人员：刘建峰，王通源，肖青平，沈时雨，李德海，
申请(专利权)人：深圳市友华通信技术有限公司，
类型：发明
国别省市：广东,44