The invention discloses a method and system for preventing illegal access to servers, which includes: A1. Server generates prompt code and session identification; A2. Encrypts prompt code and session identification to obtain encrypted information; A3. Sends prompt code and encrypted information to client; A4. Client receives information; A5. Client selects an encryption key to decrypt encrypted information; 6. Determine whether the prompt code in decrypted information is consistent with the prompt code received directly, if it is, get the corresponding session identity and jump to A; if not, repeat A5-A6; A. client generates the original resource URL; B. Combine the session identity and the original resource URL into a new URL; C. Send an access request based on the new URL; D. Determine whether the new URL has a session identity, if not, refuse access; If not, B. Execute E. Determine whether the session identifier in the new URL is consistent with the session identifier created by the predecessor, otherwise access is denied. The invention can identify whether the access request is legitimate or not, and prevent illegal access to the server from occurring.
【技术实现步骤摘要】
一种防止非法访问服务器的方法及系统
本专利技术属于通讯领域,特别涉及一种防止非法访问服务器的方法及系统。
技术介绍
目前,客户端和服务器的交互接口大部分是通过http的方式实现,其中,服务器提供对外的访问接口,这些接口提供的是标准的http服务。在现有技术中,客户端与服务器交互的过程如下:首先,客户端生成待请求的资源URL(UniformResourceLocator,统一资源定位符),向服务器发送http请求。然后,服务器接收到请求,向客户端返回访问结果。最后,客户端解析服务器返回的访问结果,并处理对应的业务逻辑。在上述交互过程中,若存在恶意客户端修改URL或其中的参数,发起恶意请求,或者恶意客户端模拟正常用户发起请求,则存在信息泄漏的风险。此外,若恶意客户端不断发起请求,则服务器由于资源不够而会拒绝正常的客户端请求,导致客户端无法获得需要的数据,从而服务器无法服务正常用户。为解决上述问题,现有的做法一般是对发起请求的客户端的IP、UserAgent进行限制处理,比如限制单个IP在固定时间段能发起的请求数,或者通过分析IP的行为,对可疑IP放入黑名单,不允许黑名...
【技术保护点】
1.一种防止非法访问服务器的方法,包括步骤A.客户端生成待请求的原始资源URL;其特征在于,在步骤A之前还包括:步骤A1.服务器生成提示码、会话标识和加密密钥集合;步骤A2.服务器将提示码、会话标识组合形成的信息经过加密密钥加密后得到加密信息,其中加密密钥为加密密钥集合中的任意一个数;步骤A3.服务器将加密密钥集合、提示码和加密信息发送至客户端;步骤A4.客户端接收加密密钥集合、提示码和加密信息;步骤A5.客户端在加密密钥集合中选取一个加密密钥对加密信息进行解密,得到解密信息;步骤A6.判断解密信息中包含的提示码是否和客户端直接从服务器接收的提示码一致,若是,则客户端获取相...
【技术特征摘要】
1.一种防止非法访问服务器的方法,包括步骤A.客户端生成待请求的原始资源URL;其特征在于,在步骤A之前还包括:步骤A1.服务器生成提示码、会话标识和加密密钥集合;步骤A2.服务器将提示码、会话标识组合形成的信息经过加密密钥加密后得到加密信息,其中加密密钥为加密密钥集合中的任意一个数;步骤A3.服务器将加密密钥集合、提示码和加密信息发送至客户端;步骤A4.客户端接收加密密钥集合、提示码和加密信息;步骤A5.客户端在加密密钥集合中选取一个加密密钥对加密信息进行解密,得到解密信息;步骤A6.判断解密信息中包含的提示码是否和客户端直接从服务器接收的提示码一致,若是,则客户端获取相应解密信息中的会话标识并跳转至步骤A;若否,则重复步骤A5~A6;在步骤A之后还包括:步骤B.客户端将步骤A6中获取的会话标识、步骤A中生成的原始资源URL合并为新URL;步骤C.客户端基于新URL向服务器发送访问请求;步骤D.服务器判断接收到的访问请求中的新URL中是否带有会话标识,若否,则判断此次访问请求为非法访问请求,服务器拒绝此次访问;若是,则执行步骤E;步骤E.判断新URL中的会话标识与服务器中预先生成的会话标识是否一致,若否,则判断此次访问请求为非法访问请求,服务器拒绝此次访问。2.如权利要求1所述的防止非法访问服务器的方法,其特征在于,所述步骤A1中,服务器还生成会话密钥;所述步骤A2中,服务器将提示码、会话标识、会话密钥组合形成的信息经过加密密钥加密后得到加密信息;所述步骤A6中,若解密信息中包含的提示码和客户端直接从服务器接收的提示码一致,则客户端获取相应解密信息中的会话标识和会话密钥并跳转至步骤A;所述步骤B中还包括,客户端根据会话密钥对原始资源URL进行加密,得到加密URL;客户端将步骤A6中获取的会话标识、步骤B中得到的加密URL、步骤A中生成的原始资源URL合并为新URL;所述步骤E中,若判断新URL中的会话标识与服务器中预先生成的会话标识一致,则利用会话密钥对新URL中的加密URL数据进行解密;还包括:步骤F.判断解密后得到的资源标识数据与新URL中原始资源URL中携带的资源标识数据是否一致,若否,则判断此次访问请求为非法访问请求,服务器拒绝此次访问;若是,则判断此次访问请求为合法访问请求,服务器允许此次访问且基于原始资源URL向客户端返回访问结果。3.一种防止非法访问服务器的系统,包括客户端和服务器,其中,客户端包括原始资...
【专利技术属性】
技术研发人员:李小红,
申请(专利权)人:湖南快乐阳光互动娱乐传媒有限公司,
类型:发明
国别省市:湖南,43
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。