本发明涉及网络安全技术领域,特别涉及基于JWT数据的防止再生攻击的方法和系统。
背景技术:
目前,网络安全领域的技术方案对重放攻击的重视程度还不够,只管理JWT数据的有效期,过期后需要用户重新登录。
现有技术方案只是控制当前JWT数据由哪个发布者发布,不得晚于或早于某个指定时间,不能提前防止重放攻击。 现有技术方案存在以下问题。
)对于不同的发行者,发行者之间的JWT数据不能再生,但同一发行者的JWT数据不能再生;
)相对于控制时间范围,在有效时间外不能再现JWT数据,但在有效时间内可以再现JWT数据。
技术实现要素:
为了解决现有技术的缺点,本发明的实施例提供了一种基于JWT数据的防止再生攻击的方法和系统。
根据第一方面,本发明的实施例提供了一种防止基于JWT数据的再生攻击的方法。
接收客户端发送的JWT数据;
判断当前时刻是否在根据当前时刻动态变化JWT数据便携的生成开始时刻和生成结束时刻的范围内,在"是"的情况下,判断为JWT数据有效;
使用Hash算法,判断所述JWT数据是否合法,在合法情况下,判断所述JWT数据的标签Key是否为1,
判断为所述JWT数据是再现数据,监听所述JWT数据;
否则,确定为JWT数据是有效的,JWT数据的标签Key被设置为1。
并且,所述混列算法是HMAC。
在第二方面,本发明的实施例提供了一种防止基于JWT数据的再生攻击的另一系统,该系统包括:
接收模块,用于接收客户端发送的JWT数据;
判断单元,判断当前时刻是否在根据当前时刻动态变化JWT数据便携的生成开始时刻和生成结束时刻的范围内;
所述判断模块使用散列算法判断所述JWT数据是否合法,如果合法,则判断是否存在所述JWT数据标签Key;
监听模块,用于监听所述JWT数据;
设定将JWT数据的标签Key设定为1的模块。
本发明实施方式提供的基于JWT数据的再生攻击防止方法及系统具有以下效果。
通过为有效合法的JWT数据设置标记Key,有效避免了重播攻击的发生,提高了防范重播攻击的效果。
图纸的说明
图1是根据本发明的实施例中提供的基于JWT数据的防止再生攻击的方法的示意图;
图2是根据本发明的实施例的基于JWT数据的避免再生攻击系统的简要结构图;
具体实施方式
下面将参考附图和具体实施例具体介绍本发明。
如图1中所示,根据本发明的实施方式提供的基于JWT数据的防重放攻击方法包括以下步骤。
S101、接收从客户端发送的JWT数据。
S102,判断当前时刻是否在基于当前时刻动态变化JWT数据便携的生成开始时刻和生成结束时刻的范围内.
作为具体的例子,从JWT数据的生成结束时刻Time2中减去生成开始时刻Time1的结果是该JWT数据的生命周期。 在本实施例中,JWT数据的生命周期的最小值,是网络状况正常的情况下,建立客户机和服务器的连接所需要的时间,最大值为65秒。
通常,Time1是当前时间的前5秒,而Time1是当前时间的最后60秒。
S103、使用Hash算法,判断所述JWT数据是否合法,在合法情况下,判断所述JWT数据的标签Key是否为1;
判断为所述JWT数据是再现数据,监听所述JWT数据;
否则,确定为JWT数据是有效的,JWT数据的标签Key被设置为1。
作为具体的例子,为了避免服务器上保存的标签Key过多,可以将标签Key的生命周期设置为JWT数据生命周期的1.5倍。
或者,混列算法是HMAC。
如图2所示,基于由本发明实施方式提供的JWT数据的再生攻击防止系统具备接收模块、判断模块、监听模块、设定模块,
接收模块,用于接收客户端发送的JWT数据;
判断单元,判断当前时刻是否在根据当前时刻动态变化JWT数据便携的生成开始时刻和生成结束时刻的范围内;
判断模块,使用Hash算法判断所述JWT数据是否正当,在正当情况下,判断所述JWT数据的标签Key是否为1;
监听模块,用于监听所述JWT数据;
设定将JWT数据的标签Key设定为1的模块。
本发明实施例提供的基于JWT数据的防重放攻击方法,通过接收从客户端发送的JWT数据,判断当前时刻是否在JWT数据携带的生成开始时刻和生成结束时间的范围内,如果是,则确定JW
T数据有效,利用Hash算法,判断JWT数据是否合法,若是,则判断JWT数据的标签Key是否为1,若是,则确定JWT数据为重放数据,对JWT数据进行拦截,若否,则确定JWT数据合法并将JWT数的标签Key设置为1,有效地避免了重放攻击的现象发生,提高了防止重放攻击的效果。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
可以理解的是,上述方法及装置中的相关特征可以相互参考。另外,上述实施例中的“第一”、“第二”等是用于区分各实施例,而并不代表各实施例的优劣。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统,装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
在此提供的算法和显示不与任何特定计算机、虚拟系统或者其它设备固有相关。各种通用系统也可以与基于在此的示教一起使用。根据上面的描述,构造这类系统所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
此外,存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
在一个典型的配置中,计算设备包括一个或多个处理器(CPU)、输入/输出接口、网络接口和内存。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM)。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。