技術(shù)領(lǐng)域

本發(fā)明涉及通信系統(tǒng)認證領(lǐng)域，尤其是一種防重放攻擊的認證方法。

背景技術(shù)

重放攻擊（Replay?Attacks）又稱重播攻擊、回放攻擊或新鮮性攻擊（Freshness?Attacks），是指攻擊者發(fā)送一個目的主機已接收過的包，來達到欺騙系統(tǒng)的目的，主要用于身份認證過程，破壞認證的正確性。重放攻擊會不斷惡意或欺詐性地重復(fù)一個有效的數(shù)據(jù)傳輸，攻擊者利用網(wǎng)絡(luò)監(jiān)聽或者其他方式盜取認證憑據(jù)，之后再把它重新發(fā)給認證服務(wù)器，以破壞認證的安全性。例如通過監(jiān)聽http數(shù)據(jù)傳輸或者其他方式截獲cookie并提交cookie就是一種重放攻擊，可以輕松復(fù)制別人的cookie從而獲得相應(yīng)的認證權(quán)限。

為了避免服務(wù)器遭受重放攻擊，現(xiàn)有技術(shù)中一般采用基于時間判斷的防御機制，而為了保證不同服務(wù)器直接能識別接收到的消息是否過期，時間戳在其中扮演一個重要的角色，由于標記時間戳的一方與接收消息的一方會存在一定的時間差問題，一般會采用IEEE1588精確時間協(xié)議（Precision?Time?Protocol，PTP)，或者松散的時間同步方式來進行時間同步。若采用專門的時間同步協(xié)議，可能會導(dǎo)致通信協(xié)議或者系統(tǒng)更加復(fù)雜，以增加系統(tǒng)的不穩(wěn)定性；若采用松散的時間同步方式，即通過在兩個服務(wù)之間進行三次握手，然后服務(wù)器計算它們之間的時間最大差值，則需要系統(tǒng)或協(xié)議能忍受一定時間的延遲或不同步問題，但在有些系統(tǒng)或協(xié)議中這種延遲或不同步是不允許的。

發(fā)明內(nèi)容

本發(fā)明要解決的技術(shù)問題是：提供一種勿需時間同步的防重放攻擊的認證方法，該方法提高了認證系統(tǒng)的安全性。

為了解決上述技術(shù)問題，本發(fā)明所采用的技術(shù)方案是：

一種防重放攻擊的認證方法，包括以下步驟：

客戶端發(fā)送登錄請求消息到登錄認證服務(wù)器；

登錄認證服務(wù)器生成包括標識當前時間的第一時間戳的認證憑據(jù)給客戶端；

客戶端發(fā)送服務(wù)請求、來自登錄認證服務(wù)器的認證憑據(jù)以及自己生成的單向數(shù)據(jù)鏈值到應(yīng)用服務(wù)器；

應(yīng)用服務(wù)器將包括認證憑據(jù)和單向數(shù)據(jù)鏈值的信息發(fā)送到登錄認證服務(wù)器；

登錄認證服務(wù)器判定所述認證憑據(jù)的正確性并計算當前時間與第一時間戳的時間差，將用于證明用戶是否已經(jīng)登錄的認證憑據(jù)的正確性的判定結(jié)果、所述時間差及接收到的單向數(shù)據(jù)鏈值封裝成校驗信息發(fā)送給應(yīng)用服務(wù)器；

應(yīng)用服務(wù)器接收校驗信息，判斷接收到的單向數(shù)據(jù)鏈值是否為最新的單向數(shù)據(jù)鏈值，若否則判定為重放消息，直接丟棄該校驗消息；若是則根據(jù)校驗信息對客戶端的服務(wù)請求進行服務(wù)響應(yīng)。

進一步作為優(yōu)選的實施方式，所述應(yīng)用服務(wù)器根據(jù)校驗信息對客戶端的服務(wù)請求進行服務(wù)響應(yīng)包括以下步驟：

將校驗信息中的時間差與設(shè)定的有效時間比較，判斷時間差是否大于設(shè)定的有效時間，若是則丟棄該校驗信息；若否則執(zhí)行下一步驟；

判斷判定結(jié)果是否正確，若認證憑據(jù)正確則執(zhí)行服務(wù)響應(yīng)，若否則丟棄該校驗信息。

進一步作為優(yōu)選的實施方式，所述設(shè)定的有效時間來自應(yīng)用服務(wù)器端。

進一步作為優(yōu)選的實施方式，所述設(shè)定的有效時間來自登錄認證服務(wù)器端。

進一步作為優(yōu)選的實施方式，所述設(shè)定的有效時間可以人為調(diào)整。

本發(fā)明的有益效果是：本發(fā)明防重放攻擊的認證方法，在對認證憑證有效期的校驗時，不是在應(yīng)用服務(wù)器端校驗認證憑證的時間差，而是將認證憑證有效期的校驗轉(zhuǎn)移到登錄認證服務(wù)器端，由于認證憑證上的第一時間戳是由登錄認證服務(wù)器生產(chǎn)的，在校驗認證憑證的有效期時采用登錄認證服務(wù)器本地端的時間與第一時間戳比較，保證了校驗的準確性，勿需對應(yīng)用服務(wù)器和登錄認證服務(wù)器的時間進行同步；進一步通過單向數(shù)據(jù)鏈保證了用戶的合法服務(wù)請求不被重放攻擊的可能。

附圖說明

下面結(jié)合附圖對本發(fā)明的具體實施方式作進一步說明：

圖1是本發(fā)明防重放攻擊的認證方法的步驟流程圖；

圖2是本發(fā)明防重放攻擊的認證方法中應(yīng)用服務(wù)器根據(jù)校驗信息對客戶端的服務(wù)請求進行服務(wù)響應(yīng)優(yōu)選實施例的步驟流程圖；

圖3是本發(fā)明防重放攻擊的認證方法應(yīng)用場景的示意圖；

圖4是本發(fā)明單向數(shù)據(jù)鏈的應(yīng)用示意圖。

具體實施方式

參照圖1,一種防重放攻擊的認證方法，包括以下步驟：

客戶端發(fā)送登錄請求消息到登錄認證服務(wù)器；

登錄認證服務(wù)器生成包括標識當前時間的第一時間戳Time_SignOn的認證憑據(jù)給客戶端；