公開內容涉及用于保護網絡通信安全的方法和裝置。在一個實施例中，提供一種在服務器處保護網絡通信安全的方法。所述方法包括：響應于來自客戶端的請求，確定接收自所述客戶端的令牌是否被包括在有效令牌隊列中，所述有效令牌隊列是先進先出隊列；響應于所述令牌被包括在所述有效令牌隊列中，基于所述令牌在所述有效令牌隊列中的位置來管理所述有效令牌隊列；以及基于對所述有效令牌隊列的所述管理向所述客戶端發送響應。還公開了在客戶端處的相應方法，以及用于實現這些方法的裝置。

技術領域

本發明的實施例總體上涉及網絡技術，更具體地，涉及用于保護網絡通信安全的方法和裝置。

背景技術

在網絡通信中，一類常見的惡意攻擊是偽造合法的請求或命令。例如，跨站點請求偽造(Cross-Site Request Forgery,CSRF)是這種惡意攻擊的一個示例。CSRF攻擊的通常做法是向用戶提供包含鏈接或者腳本的消息。如果用戶點擊鏈接或者觸發腳本的執行，未經授權的請求將被發送至已對該用戶完成認證的站點。此時，從站點的角度看，請求是由已認證用戶發送的合法請求。由此，該請求中所涉及的動作將被執行。以此方式，CSRF攻擊方可以通過偽造已認證用戶的請求來實現非法目的。

作為示例，假設一個用戶正在使用Web瀏覽器訪問包含其個人信息的站點。在用戶通過認證之后，站點向用戶提供在隨后的網絡會話中使用的令牌(token)。令牌例如可以由Web瀏覽器保存在cookie中。此時，攻擊方可向用戶發送CSRF攻擊消息，其形式可以是鏈接、文本、圖像或者任何其他格式。如果用戶觸發了該CSRF攻擊消息，例如點擊了鏈接或者導致腳本被執行，則針對用戶個人信息的請求可被發送至站點。例如，Web瀏覽器將創建新的標簽(tab)以用于該請求。此時，保存在cookie中的令牌將隨同請求被一起發送。由于該令牌的存在，站點將錯誤地認為所接收的請求是已認證用戶發起的合法請求，從而將用戶的個人信息提供給攻擊方。

已經提出了若干方案來應對CSRF攻擊。例如，站點可以在接收到每個請求時都要求提供附加的身份認證信息，例如認證碼。又如，站點可以縮短會話cookie和/或令牌的生命周期。可以理解，這些方式將會增加用戶負擔，導致不良的用戶體驗。另一些方案針對某些或者所有用戶請求使用特定的私密令牌。例如，可以為web頁面中的每個統一資源定位符(URL)提供相應的令牌。然而，巨大的令牌數量增加了服務器和客戶端的開銷，而且某些令牌可能很少甚至從來不被使用。因此，這種方案無法在例如Web2.0等諸多網絡環境中有效地工作。

發明內容

一般地，本發明的實施例提出一種用于保護網絡通信安全的技術方案。

在一個方面，本發明的實施例提供一種在服務器處保護網絡通信安全的方法。所述方法包括：響應于來自客戶端的請求，確定接收自所述客戶端的令牌是否被包括在有效令牌隊列中，所述有效令牌隊列是先進先出隊列；響應于所述令牌被包括在所述有效令牌隊列中，基于所述令牌在所述有效令牌隊列中的位置來管理所述有效令牌隊列；以及基于對所述有效令牌隊列的所述管理向所述客戶端發送響應。

在另一方面，本發明的實施例提供一種在服務器處保護網絡通信安全的裝置。所述裝置包括：令牌驗證單元，被配置為響應于來自客戶端的請求，確定接收自所述客戶端的令牌是否被包括在有效令牌隊列中，所述有效令牌隊列是先進先出隊列；令牌管理單元，被配置為響應于所述令牌被包括在所述有效令牌隊列中，基于所述令牌在所述有效令牌隊列中的位置來管理所述有效令牌隊列；以及響應單元，被配置為基于對所述有效令牌隊列的所述管理向所述客戶端發送響應。