一種防重放攻擊的方法及分布式系統。主要針對分布式系統，通過設計進行認證計算的驗證碼WnID并控制驗證碼WnID的狀態變換來實現防重放攻擊。具體而言，本系統中通過網關服務器G，先選擇一個工作服務器W_i針對客戶端C的認證請求生成驗證碼WnID_i，通過判斷客戶端C是否能正確的對驗證碼WnID_i及其狀態進行響應，在將認證信息轉發至具體的工作服務器W_i之前將進行重放攻擊的客戶端C進行篩除，避免其攻擊。本發明通過網關服務器G對進行重放攻擊的客戶端C進行預先篩除，從而減輕工作服務器的運算量，同時不會影響正常業務。而且，通過對驗證碼WnID及其狀態的設計，可以簡化篩除以及認證的計算量，同時減少進行認證所需的隨機數數量，提高認證的準確度。

技術領域

本發明涉及云計算技術領域，尤其涉及一種利用分布式系統進行防重放攻擊的方法。

背景技術

重放攻擊（Replay-Attack）就是攻擊者利用網絡監聽或者其他方式盜取認證憑據發送一個目的主機已接收過的包，來達到欺騙系統的目的，主要用于身份認證過程。重放攻擊任何網絡通訊過程中都可能發生。

現有解決重放攻擊的主要是通過服務器產生的隨機數（Nonce）以及時間戳（Timestamp）結合起來，預防重放攻擊。客戶端接收到服務器給的隨機數后，需要用HMAC算法計算出一個結果返回給服務器端，服務器將應用服務器上保存的認證信息與隨機數一起進行HMAC計算，如果結果與客戶端給的一致，則該次請求合法，不一致則為重放攻擊，丟棄請求。由于必須通過隨機數對重放攻擊進行區分和篩除，方案中的每個隨機數只能供一個用戶使用一次。使用過的隨機數需要保存到數據庫中，下次遇到有包含相同隨機數的請求將被直接丟棄，以防止攻擊者使用重放攻擊。然而這種解決方案中，很有可能遇到兩次正常的資源請求中，產生的隨機數完全相同的情況。此時，正常的請求也會被當成攻擊而被丟棄。隨著數據庫中保存的隨機數不斷增多，這個問題就會變得很明顯。為了避免隨機數重復的問題，只有通過附加傳輸一個時間戳信息，增加信息比對的條件來解決。但這同時也會帶來計算量的增加，減緩系統的響應速度。

而且，現有的方法中，不論客戶端發送的請求是否合法都需要先經過服務器端的計算和比對才能知道結果，如果存在許多客戶端在短時間內惡意發送大量的攻擊請求，則會形成分布式拒絕服務(DDoS:Distributed Denial of Service)攻擊，驗證服務器CPU資源將被非法請求的校驗占滿，影響正常業務。

而其他技術，例如利用IP黑名單進行防重放攻擊，只適用于已經知道該IP地址的狀況。而且IP黑名單技術在網絡層面對惡意用戶進行封殺，不為其提供服務。由于分布式拒絕攻擊或重放攻擊往往都是分布式的，如果封殺大批網段可能會使得很多正常用戶無法訪問服務，因而此方法并不適用。

現有的分布式系統中，存在著例如大數據領域的Hadoop方法。這類方法采用master+slaves的架構進行計算（master為一臺管理服務器，slaves為眾多執行任務的服務器，master分配計算任務讓slaves計算，最后master匯集計算結果），但這種結構本身主要針對的是大數據的計算任務，如果在非可信環境下部署系統，則必須針對管理服務器部署用戶登錄認證系統，以解決重放攻擊的問題。分布式計算和防重放攻擊所解決的是完全不同的兩個問題，本方法借鑒分布式系統的思想，改進了現有的防重放攻擊方法。

發明內容

為了解決現有技術存在的不足，本發明的目的在于提供一種防重放攻擊的方法及分布式系統。主要針對分布式系統，通過設計進行認證計算的驗證碼WnID并控制驗證碼WnID的狀態來變換實現防重放攻擊。

首先，為實現上述目的，提出一種防重放攻擊的方法，包括以下步驟：

第一步，客戶端向C網關服務器G發起認證請求；