本發明涉及移動互聯網領域，尤其涉及一種防重放攻擊方法及裝置，接收客戶端發送的業務請求，其中，業務請求中至少包括客戶端的認證憑證和序列號，序列號為客戶端根據上一次發送業務請求時攜帶的序列號和預設遞增步長得到的；根據預設的有效期，判斷認證憑證是否有效，并判斷序列號是否在保存的認證憑證對應的序列號窗口內，以及是否未被記錄，進而判斷序列號是否合法，確定業務請求是否為重放請求，這樣，客戶端發送業務請求時攜帶認證憑證和遞增的序列號即可實現防重放攻擊，減少交互次數，提高了效率和系統性能，認證憑證關聯序列號進行保存，并設置有效期，可以有效控制信息存儲量，通過序列號窗口也可以避免誤判，也不需要嚴格的時間同步。

技術領域

本發明涉及移動互聯網領域，尤其涉及一種防重放攻擊方法及裝置。

背景技術

重放攻擊(Replay Attacks)又稱重播攻擊(Playback Attack)或新鮮性攻擊(Freshness Attacks)，是指攻擊者攔截并重發一個目標主機已接收過的包，來達到欺騙的目的。這種攻擊會不斷惡意或欺詐性地重復一個有效的數據傳輸。攻擊者利用網絡監聽或者其他方式盜取認證憑據，之后再把它重新發給服務器。重放攻擊在任何網絡通訊過程中都可能發生，目前網絡服務的各種服務器常常受到攻擊方的重放攻擊。

現有技術中，防重放攻擊的方法，例如挑戰-應答方法。這種方法是客戶端請求服務器時，服務器會首先生成一個隨機數返回給客戶端，然后客戶端帶上這個隨機數訪問服務器，服務器比對客戶端的這個參數，如果一致則認為不是重放攻擊，允許訪問。

但是，現有技術中，挑戰-應答方法中客戶端每次業務請求時都需要先請求服務端生成一個挑戰碼，然后客戶端帶上應答碼再進行業務訪問，即需要客戶端與服務器進行兩次交互，降低了系統性能，對于網絡中的服務器等高并發系統是一個很大的挑戰。

發明內容

本發明實施例提供一種防重放攻擊方法及裝置，以解決現有技術中防重放攻擊方法效率較低并降低了系統性能的問題。

本發明實施例提供的具體技術方案如下：

一種防重放攻擊方法，包括：

接收客戶端發送的業務請求，其中，所述業務請求中至少包括所述客戶端的認證憑證和序列號，所述序列號為客戶端根據上一次發送業務請求時攜帶的序列號和預設遞增步長得到的；

根據預設的有效期，判斷所述認證憑證是否在所述預設的有效期內，若是則確定所述認證憑證有效；

根據保存的所述認證憑證對應的序列號窗口，判斷所述序列號是否在所述序列號窗口內，以及根據記錄的所述認證憑證對應的已訪問的序列號，判斷所述序列號是否未被記錄，若均為是，則確定所述序列號合法，并確定所述業務請求不是重放請求。

較佳的，進一步包括：

接收客戶端發送的登錄請求；

確定所述客戶端的身份校驗通過后，向所述客戶端返回認證憑證和序列號初始值，并根據預設的窗口大小和所述序列號初始值，以所述序列號初始值為中心，根據所述預設的窗口大小，生成序列號窗口，以及將所述序列號窗口內的序列號作為所述認證憑證對應的序列號，并保存所述認證憑證和所述認證憑證對應的序列號窗口。

較佳的，進一步包括：

若確定所述序列號在所述序列號窗口內，則以所述序列號為中心，根據預設的窗口大小，更新保存的所述認證憑證對應的序列號窗口，并記錄所述序列號，更新記錄的所述認證憑證對應的已訪問的序列號。

較佳的，進一步包括：

若確定所述認證憑證不在所述預設的有效期內，則清除保存的所述認證憑證、所述認證憑證對應的序列號窗口，以及記錄的所述認證憑證對應的已訪問的序列號。

較佳的，進一步包括：