一种动态防重放攻击认证方法及装置制造方法及图纸

本发明专利技术公开了一种动态防重放攻击认证方法及装置，通过采用多个安全等级的分级控制，统一在一个独立的有效期分配服务器中进行动态的有效期时间分配，且生成时间戳也在另一个独立的服务器中，保证了校验的准确性；确保用户的合法服务请求不被重放攻击的同时,也动态的确保了用户的合法服务请求的有效期得到了保障，确保了用户体验，保证了校验的准确性；确保用户的合法服务请求不被重放攻击的同时,也动态的确保了用户的合法服务请求的有效期得到了保障，提升了用户体验，保证了客户端与服务器端登录的安全性与稳定性。

A Dynamic Anti-replay Attack Authentication Method and Device

The invention discloses a dynamic anti-replay attack authentication method and device, which unifies dynamic validity period allocation in an independent validity period allocation server by adopting hierarchical control of multiple security levels, and generates a timestamp in another independent server to ensure the accuracy of verification, and ensures that the legitimate service requests of users are not attacked by replay. At the same time, it also dynamically ensures the validity of users'legitimate service requests, guarantees user experience, and ensures the accuracy of verification; ensures that users' legitimate service requests are not replayed attacks, but also dynamically ensures the validity of users'legitimate service requests is guaranteed, improves user experience, and ensures the security of client and server login. Completeness and stability.

【技术实现步骤摘要】
一种动态防重放攻击认证方法及装置
本公开涉及信息安全
，具体涉及一种动态防重放攻击认证方法及装置。
技术介绍
在现有的重放攻击防御技术中，为避免服务器遭受重放攻击，一般采用基于时间判断的防御机制，而为了保证不同服务器直接能识别接收到的消息是否过期，一般采用基于时间戳的方法，而基于时间戳的方法包括在客户端生成时间戳、在服务器端生成时间戳和由登录认证服务器生产时间戳三种方式，虽然在服务器端生成时间戳和由登录认证服务器生产时间戳都能提升安全性防御重放攻击，但是由于有效期是固定的时间，虽然在通过单向数据链时提升安全性，在校验认证凭证时无论采用哪一种方式的有效期依然是以这个时间戳比较，如果重放攻击的频率小于有效期则依然存在安全隐患，而且有效期过短会产生其他的问题，例如一段时间不操作，session的访问有效期很快就过期了，由于有效期的时间过短，导致了要反复的输入密码重新进行登录验证等访问操作不便的用户体验问题。
技术实现思路
本公开提供一种动态防重放攻击认证方法及装置，通过采用多个安全等级的分级控制，统一在一个独立的有效期分配服务器中进行动态的有效期时间分配，且生成时间戳也在另一个独立的服务器中，保证了校验的准确性；确保用户的合法服务请求不被重放攻击的同时,也动态的确保了用户的合法服务请求的有效期得到了保障，确保了用户体验。为了实现上述目的，根据本公开的一方面，提供一种动态防重放攻击认证方法，所述方法包括以下步骤：步骤1，客户端向登录认证服务器发送登录请求；步骤2，登录认证服务器发送有效时长更新请求给客户端；步骤3，应用服务器向动态时效服务器发送有效期分配请求；步骤4，动态时效服务器发送有效期分配响应给应用服务器；步骤5，应用服务器发送有效时长更新响应给登录认证服务器；步骤6，登录认证服务器发送登录响应给客户端；步骤7，客户端发送服务请求到应用服务器，同时发送动态监测请求给动态时效服务器；步骤8，动态时效服务器发送认证判断请求给登录认证服务器；步骤9，登录认证服务器发送认证判断响应给动态时效服务器；步骤10，动态时效服务器发送动态监测响应给客户端；步骤11，应用服务器对客户端服务请求的有效性进行判断并进行服务响应。进一步地，在步骤1中，登录请求包括，用户名字符串、密码字符串和客户端的安全等级，密码字符串为密码经过SHA256算法加密形成的字符串，客户端的安全等级包括：移动设备的安全等级为1级，风险等级最低；平板电脑等级为2级；家庭台式电脑等级为3级；公共场所使用的终端机为3级，风险等级最高，获取客户端的安全等级方式为人工选择、管理员指定登录IP或自动识别任意一种方法。进一步地，在步骤2中，有效时长更新请求为登录认证服务器生成，包括标识当前时间的时间戳和请求认证的用户名。进一步地，在步骤3中，有效期分配请求为应用服务器传递的用户名和客户端的安全等级、当前时间与时间戳的时间差，当前时间与时间戳的时间差用于证明用户是否已经登录的认证凭据的正确性的判定结果。进一步地，在步骤4中，有效期分配响应为通过公式计算有效期Tava，式子中，Tnow为当前时间，Δt为当前时间与时间戳的时间差，tx为登录时间增量，tx初始值为1，登录成功的维持的持续时间每增加10秒则tx增加0.1；ty为时间戳的时间；σ为客户端的安全等级，即客户端的安全等级包括：移动设备的安全等级为1级，σ＝1，风险等级最低；平板电脑等级为2级，σ＝2；家庭台式电脑等级为3级；公共场所使用的终端机为3级，σ＝3。进一步地，在步骤5中，有效时长更新响应为有效期登录认证服务器根据存储的认证信息的正确性进行判断生成判定结果，认证信息为用户名字符串、密码字符串经过SHA256算法解密形成的字符串，判定结果用于证明用户是否已经登录。进一步地，在步骤6中，登录响应为在登录认证服务器生成的认证凭据，该认证凭据包括标识当前时间的时间戳，还包括用于认证的校验码，以标识用户是否登录成功。进一步地，在步骤7中，动态监测请求为判断开始计算登录成功的维持的持续时间，从应用服务器进行第一次的服务响应的时间开始计算，计算登录时间增量tx，tx初始值为1，登录成功的维持的持续时间每增加10秒则tx增加0.1。进一步地，在步骤8中，认证判断请求为判断应用服务器是否已经开始对客户端进行服务响应。进一步地，在步骤9中，认证判断响应为开始通过循环通过步骤4循环进行有效期的重新分配。进一步地，在步骤10中，动态监测响应为应用服务器开始从动态时效服务器中读取有效期。进一步地，在步骤11中，应用服务器对客户端服务请求的有效性进行判断并进行服务响应为，应用服务器动态时效服务器中实时的读取有效期，这样保证了在登录认证服务器中不断的调整动态时效服务器分配的有效期的值，通过判断认证信息为用户名字符串、密码字符串经过SHA256算法解密形成的字符串的正确性，若服务请求在有效期内认证成功，则应用服务器进行服务响应。这样即使窃听者通过统计出了当前的服务的有效期值，但是有效期值一直在变化，从而无法推导出最新的效期值，无法确定重放攻击的频率，导致服务器的访问有效期很容易就过期了，从而避免了重放攻击。本专利技术还提供了一种动态防重放攻击认证装置，所述装置包括：存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序运行在以下装置的单元中：登录请求单元，用于客户端向登录认证服务器发送登录请求；有效时长更新请求单元，用于登录认证服务器发送有效时长更新请求给客户端；有效期分配请求单元，用于应用服务器向动态时效服务器发送有效期分配请求；有效期分配响应单元，用于动态时效服务器发送有效期分配响应给应用服务器；有效时长更新响应单元，用于应用服务器发送有效时长更新响应给登录认证服务器；登录响应单元，用于登录认证服务器发送登录响应给客户端；服务与动态监测请求单元，用于客户端发送服务请求到应用服务器，同时发送动态监测请求给动态时效服务器；认证判断请求单元，用于动态时效服务器发送认证判断请求给登录认证服务器；认证判断响应单元，用于登录认证服务器发送认证判断响应给动态时效服务器；动态监测响应单元，用于动态时效服务器发送动态监测响应给客户端；服务响应单元，用于应用服务器对客户端服务请求的有效性进行判断并进行服务响应。本公开的有益效果为：本专利技术提供一种动态防重放攻击认证方法及装置，保证了校验的准确性；确保用户的合法服务请求不被重放攻击的同时,也动态的确保了用户的合法服务请求的有效期得到了保障，提升了用户体验，保证了客户端与服务器端登录的安全性与稳定性。附图说明通过对结合附图所示出的实施方式进行详细说明，本公开的上述以及其他特征将更加明显，本公开附图中相同的参考标号表示相同或相似的元素，显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图，在附图中：图1所示为一种动态防重放攻击认证方法的流程图；图2所示为一种动态防重放攻击认证装置图。具体实施方式以下将结合实施例和附图对本公开的构思、具体结构及产生的技术效果进行清楚、完整的描述，以充分地理解本公开的目的、方案和效果。需要说明的是，在不冲突的情况下，本申请中的实施例及本文档来自技高网...

【技术保护点】
1.一种动态防重放攻击认证方法，其特征在于，所述方法包括以下步骤：步骤1，客户端向登录认证服务器发送登录请求；步骤2，登录认证服务器发送有效时长更新请求给客户端；步骤3，应用服务器向动态时效服务器发送有效期分配请求；步骤4，动态时效服务器发送有效期分配响应给应用服务器；步骤5，应用服务器发送有效时长更新响应给登录认证服务器；步骤6，登录认证服务器发送登录响应给客户端；步骤7，客户端发送服务请求到应用服务器，同时发送动态监测请求给动态时效服务器；步骤8，动态时效服务器发送认证判断请求给登录认证服务器；步骤9，登录认证服务器发送认证判断响应给动态时效服务器；步骤10，动态时效服务器发送动态监测响应给客户端；步骤11，应用服务器对客户端服务请求的有效性进行判断并进行服务响应。

【技术特征摘要】
1.一种动态防重放攻击认证方法，其特征在于，所述方法包括以下步骤：步骤1，客户端向登录认证服务器发送登录请求；步骤2，登录认证服务器发送有效时长更新请求给客户端；步骤3，应用服务器向动态时效服务器发送有效期分配请求；步骤4，动态时效服务器发送有效期分配响应给应用服务器；步骤5，应用服务器发送有效时长更新响应给登录认证服务器；步骤6，登录认证服务器发送登录响应给客户端；步骤7，客户端发送服务请求到应用服务器，同时发送动态监测请求给动态时效服务器；步骤8，动态时效服务器发送认证判断请求给登录认证服务器；步骤9，登录认证服务器发送认证判断响应给动态时效服务器；步骤10，动态时效服务器发送动态监测响应给客户端；步骤11，应用服务器对客户端服务请求的有效性进行判断并进行服务响应。2.根据权利要求1所述的一种动态防重放攻击认证方法，其特征在于，在步骤1中，登录请求包括，用户名字符串、密码字符串和客户端的安全等级，密码字符串为密码经过SHA256算法加密形成的字符串，客户端的安全等级包括：移动设备的安全等级为1级；平板电脑等级为2级；家庭台式电脑等级为3级；公共场所使用的终端机为3级。3.根据权利要求1所述的一种动态防重放攻击认证方法，其特征在于，在步骤2中，有效时长更新请求为登录认证服务器生成，包括标识当前时间的时间戳和请求认证的用户名。4.根据权利要求2所述的一种动态防重放攻击认证方法，其特征在于，在步骤3中，有效期分配请求为应用服务器传递的用户名和客户端的安全等级、当前时间与时间戳的时间差，当前时间与时间戳的时间差用于证明用户是否已经登录的认证凭据的正确性的判定结果。5.根据权利要求2所述的一种动态防重放攻击认证方法，其特征在于，在步骤4中，有效期分配响应为通过公式计算有效期Tava，式子中，Tnow为当前时间，Δt为当前时间与时间戳的时间差，tx为登录时间增量，tx初始值为1，登录成功的维持的持续时间每增加10秒则tx增加0.1；ty为时间戳的时间；σ为客户端的安全等级，即客户端的安全等级包括：移动设备的安全等级为1级，σ＝1，风险等级最低；平板电脑等级为2级，σ＝2；家庭台式电脑等级为3级；公共场所使用的终端机为3级，σ＝3。6.根据权利要求2所述的一种动态防重放攻击认证方法，其特征在于，在步骤5中，有效时长更新响应为有效期登录认证服务器根...

【专利技术属性】
技术研发人员：郑永旭，马莉，陈健聪，郑浩文，钟声远，蔡坚生，庄义炎，
申请(专利权)人：佛山科学技术学院，
类型：发明
国别省市：广东,44