本申請實施例公開了一種防止會話劫持的方法、服務器以及終端，用于防止攻擊方惡意獲取終端和服務器之間的身份認證信息，提高了終端和服務器之間的會話信息安全等級。本申請實施例方法包括：服務器自動創建會話標識，隨機創建作為唯一標識符的令牌的數值，并不斷更換令牌的數值，然后將該動態數值放入服務器和終端用于信息交互的數據包中，通過加密方式對數據包進行加密，從而雙重保護終端和服務器之間進行信息交互的信息安全。

技術領域

本申請涉及通信技術領域，尤其涉及防止會話劫持的方法、服務器以及終端。

背景技術

會話劫持是一種攻擊者作為第三方通過獲取終端的會話標識(Session ID)后，使用該合法的會話標識登錄目標終端的用戶帳號，偽裝成合法用戶，劫持終端和服務器之間的會話的攻擊方法。而心跳機制是終端定時發送一個自定義的心跳包，讓服務器知道終端還處于活動狀態，以確保終端和服務器之間連接的有效性的機制。在終端和服務器之間需要進行會話之前，終端首先需要登錄服務器以及進行與服務器之間的心跳包檢測，在終端登錄并獲知終端和服務器之間正常連接后，終端向服務器發送業務信息。目前終端和服務器之間的會話機制，通常使用會話標識進行二者之間信息的交互。而會話機制中的會話標識通常保存在Cookie中，Cookie是指某些網站為了辨別用戶身份、進行會話跟蹤而儲存在用戶本地終端上的數據，這些數據通常都已經加密。

當終端需要和服務器進行信息交互時，首先，終端需要登錄服務器，通過登錄請求信息將終端的用戶帳號以及密碼發送給服務器，服務器在接收到登錄請求信息后，就會在服務器中自動創建會話標識，并建立終端的用戶信息與該會話標識之間的用戶身份識別映射關系，然后將該會話標識發送給終端，終端用該會話標識發送請求心跳包消息給服務器，當服務器通過用戶身份識別映射關系以及該會話標識對終端認證成功后，服務器就會將心跳包通過心跳包響應消息發送給終端，最后終端還是使用會話標識將業務請求消息發送給服務器，服務器通過會話標識將第一業務消息通過業務響應消息發送給終端。

然而，由于目前的技術中，會話標識始終是在終端和服務器之間作為可以進行該會話(信息交互)的身份憑證，而即使會話標識保存在Cookie中，并且已進行了加密，但是攻擊方還是能夠找到一些計算機安全漏洞惡意獲取該會話標識，偽裝成合法終端，攻擊終端和服務器之間的會話，嚴重影響了終端和服務器之間的會話信息安全，二者之間的會話信息安全等級有待提高。

發明內容

本申請實施例提供了防止會話劫持的方法、服務器以及終端，能夠防止攻擊方惡意獲取終端和服務器之間的身份認證信息，提高了終端和服務器之間的會話信息安全等級。

本申請實施例提供了一種防止會話劫持的方法，包括：

服務器驗證終端發送的用戶帳號以及密碼；

所述服務器創建與所述用戶帳號對應的會話標識；

所述服務器創建與所述會話標識對應的第一令牌；

所述服務器建立所述用戶信息與所述會話標識的用戶身份識別映射關系，所述用戶信息包括用戶名在內的用戶與所述服務器之間的會話信息；

所述服務器通過加密方式向所述終端發送登錄響應消息，所述登錄響應消息攜帶所述第一令牌；

所述服務器通過所述加密方式接收所述終端發送的心跳包請求消息，所述心跳包請求消息攜帶所述第一令牌；

當所述服務器通過用戶身份識別映射關系確定所述用戶信息的認證成功時，所述服務器創建與所述會話標識對應的所述第二令牌；

所述服務器通過所述加密方式向所述終端發送心跳包響應消息，所述心跳包響應消息攜帶所述第二令牌；

所述服務器接收所述終端通過所述加密方式發送的第一業務請求消息，所述第一業務請求消息攜帶所述第二令牌；