防止终端反复攻击服务器的方法与流程

本发明涉及通信技术领域，尤其是涉及一种防止终端反复攻击服务器的方法。

背景技术：

随着社会与网络的发展，信息的安全性要求越来越高，人们通过各种各样方法和手段来验证身份合法性，解决非法用户冒用和攻击的问题。现有的终端与服务器之间常常通过私钥签名、公钥证书验证的方式验证双方的身份；然而，如果非法用户截取合法用户的签名数据后传输给服务端，在服务端也能够验证通过；且非法用户如果重复调用某证书应用接口，服务端将受到反复攻击，导致系统异常。

技术实现要素：

有鉴于此，本发明的目的在于提供一种防止终端反复攻击服务器的方法，以提高认证服务器的防攻击能力。

第一方面，本发明实施例提供了一种防止终端反复攻击服务器的方法，其中，该方法应用于认证服务器，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量；链路保护密钥的第一分量预先下发至用户的终端设备；该方法包括：接收用户的证书应用访问请求；生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值和业务应用数据发送至认证服务器；判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

结合第一方面，本发明实施例提供了第一方面的第一种可能的实施方式，其中，上述方法还包括：接收用户的注册申请；随机生成链路保护密钥；通过拉格朗日定律将链路保护密钥分解为第一分量、第二分量和第三分量；将第一分量下发至用户的终端设备。

结合第一方面，本发明实施例提供了第一方面的第二种可能的实施方式，其中，上述根据随机码、链路保护密钥和业务应用数据，生成转换值的步骤，包括：根据随机码对业务应用数据进行转换，得到第一转换值；通过链路保护密钥对第一转换值进行加密运算，生成第一转换值的密文；将转换值和业务应用数据发送至认证服务器的步骤，包括：将第一转换值的密文和业务应用数据发送至认证服务器。

结合第一方面，本发明实施例提供了第一方面的第三种可能的实施方式，其中，根据随机码、链路保护密钥和业务应用数据，生成转换值的步骤，还包括：根据随机码对生成的链路保护密钥和业务应用数据进行哈希转换，得到第一转换值；将转换值和业务应用数据发送至认证服务器的步骤，包括：将第一转换值和业务应用数据发送至认证服务器。

结合第一方面的第三种可能的实施方式，本发明实施例提供了第一方面的第四种可能的实施方式，其中，判断转换值是否与第二分量和第三分量运算得到的转换值相匹配的步骤，包括：根据第二分量和第三分量生成链路保护密钥；通过生成的链路保护密钥对第一转换值的密文进行解密运算，得到第一转换值；根据随机码，对业务应用数据进行转换，得到第二转换值；判断第一转换值与第二转换值是否相匹配；如果是，确认转换值与第二分量和第三分量运算得到的转换值相匹配。

结合第一方面的第四种可能的实施方式，本发明实施例提供了第一方面的第五种可能的实施方式，其中，判断转换值是否与第二分量和第三分量运算得到的转换值相匹配的步骤，包括：根据第二分量和第三分量生成链路保护密钥；根据随机码，对业务应用数据和链路保护密钥进行哈希转换，得到第二转换值；判断第一转换值和第二转换值是否相匹配，如果是，确认转换值与第二分量和第三分量运算得到的转换值相匹配。

第二方面，本发明实施例还提供了一种防止终端反复攻击服务器的方法，其中，该方法应用于终端设备，终端设备保存有认证服务器预先下发的用户对应的链路保护密钥的第一分量；链路保护密钥的第二分量和第三分量保存在认证服务器中；该方法包括：向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值发送至认证服务器，以使认证服务器判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

第三方面，本发明实施例还提供了一种防止终端反复攻击服务器的装置，其中，该装置设置于认证服务器，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量；链路保护密钥的第一分量预先下发至用户的终端设备；该装置包括：请求接收模块，用于接收用户的证书应用访问请求；随机码生成模块，用于生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值和业务应用数据发送至认证服务器；判断模块，用于判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放所述用户的证书应用访问权限，以使用户访问证书应用。

结合第三方面，本发明实施例提供了第三方面的第一种可能的实施方式，其中，上述装置还包括：申请接收模块，用于接收用户的注册申请；密钥生成模块，用于随机生成链路保护密钥；密钥分解模块，用于通过拉格朗日定律将链路保护密钥分解为第一分量、第二分量和第三分量；分量下发模块，用于将第一分量下发至用户的终端设备。

第四方面，本发明实施例还提供了一种防止终端反复攻击服务器的装置，其中，该装置设置于终端设备，终端设备保存有认证服务器预先下发的用户对应的链路保护密钥的第一分量；链路保护密钥的第二分量和第三分量保存在认证服务器中；该装置包括：请求发送模块，用于向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；密钥生成模块，根据第一分量和第二分量生成链路保护密钥；第一转换模块，用于根据随机码、链路保护密钥和业务应用数据，生成第一转换值；发送模块，用于将转换值发送至认证服务器，以使认证服务器判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

本发明实施例带来了以下有益效果：

本发明实施例提供了一种防止终端反复攻击服务器的方法和装置，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量，其第一分量预先下发至用户的终端设备；认证服务器接收到用户的证书应用访问请求后；生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值发送至认证服务器；判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。该方式可以避免非法用户对服务器进行反复攻击，提高了认证服务器的防攻击能力。

本发明的其他特征和优点将在随后的说明书中阐述，或者，部分特征和优点可以从说明书推知或毫无疑义地确定，或者通过实施本发明的上述技术即可得知。

为使本发明的上述目的、特征和优点能更明显易懂，下文特举较佳实施方式，并配合所附附图，作详细说明如下。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施方式，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种防止终端反复攻击服务器的方法的流程图；

图2为本发明实施例提供的另一种防止终端反复攻击服务器的方法的流程图；

图3为本发明实施例提供的另一种防止终端反复攻击服务器的方法的流程图；

图4为本发明实施例提供的另一种防止终端反复攻击服务器的方法的流程图；

图5为本发明实施例提供的另一种防止终端反复攻击服务器的方法的流程图；

图6为本发明实施例提供的一种防止终端反复攻击服务器的装置结构示意图；

图7为本发明实施例提供的另一种防止终端反复攻击服务器的装置结构示意图；

图8为本发明实施例提供的一种防止终端反复攻击服务器的系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合附图对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

现有的终端与服务端之间可通过私钥签名、公钥证书验证的方式验证双方的身份，此方法要求终端与服务端必须具备私钥运算能力和存储能力；如云证书应用，证书及私钥数据均存储在服务端，终端将不具备私钥安全存储和运算能力。合法用户签名后的数据可以被多次验证，如果合法用户进行签名后并将此签名数据在网络上进行传输，其他非法用户截取该数据后传输给服务端，在服务端也能够验证通过，服务端将无法验证用户真实身份。当终端非法用户重复调用某证书应用接口，服务端将不停进行算法运算，将导致证书应用服务进入无限运算中，其他的应用服务系统因无法进入证书应用服务导致系统异常。

基于此，本发明实施例提供了一种防止终端反复攻击服务器的方法和装置；该技术可以应用于通过云端证书验证终端设备合法性的场景中；该终端设备可以为pc(personalcomputer，个人计算机)、手机、平板等设备，也可以为其他终端设备；为便于对本实施例进行理解，首先对本发明实施例所公开的一种防止终端反复攻击服务器的方法进行详细介绍。

参见图1所示的一种防止终端反复攻击服务器的方法的流程图；该方法应用于认证服务器，该认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量；链路保护密钥的第一分量预先下发至用户的终端设备；该方法步骤包括：

步骤s102，接收用户的证书应用访问请求；

通常，用户的终端设备中安装有多种业务应用软件，部分应用软件需要调用云端的认证证书以验证当前用户身份的合法性，才能进行后续的业务操作；业务应用软件可以通过终端设备向保存认证证书的服务器发送证书应用访问请求，因此，当业务应用软件被触发后，由终端设备向认证服务器发送证书应用访问请求。

步骤s104，生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值和业务应用数据发送至认证服务器；

上述随机码为认证服务器随机生成，具备单次使用有效的能力；上述第一分量由认证服务器预先下发至终端设备，该第一分量无法单独完成运算，必须配合认证服务器下发的第二分量；第一分量和第二分量可组成链路保护密钥，上述转换值可以通过随机码、链路保护密钥和业务应用数据进行哈希运算或者加密运算得到，保证转换值在传输中不被篡改。

步骤s106，判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

上述第二分量与第三分量可以合成链路保护密钥，该链路保护密钥与上述步骤s104中的链路保护密钥可以是相同的密钥，也可以是一对相互匹配的密钥。如果该链路保护密钥与步骤s104中的链路保护密钥相同，则认证服务器生成该用户的链路保护密钥后，将该链路保护密钥分成三个分量，包括第一分量、第二分量和第三分量；其中，第一分量和第二分量可以组成完整的链路保护密钥；第二分量和第三分量也可以组成完整的链路保护密钥；认证服务器再将上述第一分量下发至用户的终端设备；第二分量和第三分量保存至认证服务器的数据库。

进行匹配时，根据随机码、第二分量、第三分量和业务应用数据进行转换，得到另一个转换值；该步骤中转换过程使用的随机码和转换函数，可以与步骤s104一致，以使转换得到的转换值和接收到的转换值具有可比性。

认证服务器通过仅能单次使用的随机码对终端设备进行业务操作的合法验证，当非法用户通过截取合法用户的数据并重复调用应用接口对认证服务器进行攻击时，认证服务器能够有效截止这种反复的非法操作，保证认证服务器的正常运行。

本发明实施例提供了一种防止终端反复攻击服务器的方法，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量，其第一分量预先下发至用户的终端设备；认证服务器接收到用户的证书应用访问请求后；生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值和业务应用数据发送至认证服务器；判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。本方法可以避免非法用户对服务器进行反复攻击，提高了认证服务器的防攻击能力。

参见图2所示的另一种防止终端反复攻击服务器的方法的流程图；该方法在图1中所示方法的基础上实现，该方法应用于认证服务器；该方法步骤包括：

步骤s202，接收用户的注册申请；当终端设备的用户需要使用认证服务器的证书应用时，向认证服务器发送注册申请；

步骤s204，随机生成链路保护密钥；通过拉格朗日定律将链路保护密钥分解为第一分量、第二分量和第三分量；将第一分量下发至用户的终端设备；

第一分量下发至终端设备的过程中，可以采用密钥对第一分量进行加密后再发送，也可以是通过其他安全通道将第一分量下发至终端设备。第二分量与第三分量保存于认证服务器的数据库中，方便调取与使用。

步骤s206，接收用户的证书应用访问请求；业务应用软件触发证书应用访问需求后，由终端设备向认证服务器发送对应的证书应用访问请求。

步骤s208，生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据随机码对业务应用数据进行转换，得到第一转换值；根据第一分量和第二分量生成链路保护密钥，通过链路保护密钥对第一转换值进行加密运算，生成第一转换值的密文；将第一转换值的密文和业务应用数据发送至认证服务器；

上述第一转换值还可以使用链路保护密钥通过随机码对业务应用数据进行哈希运算得到，保证业务应用数据在传输中不被篡改从而保证其安全性。

步骤s210，根据第二分量和第三分量生成链路保护密钥；通过生成的该链路保护密钥对第一转换值的密文进行解密运算，得到第一转换值；

使用链路保护密钥通过随机码与对当前业务应用数据进行哈希变换或者先哈希后加密，由于哈希变换的不可逆性，保证当前业务操作数据在传输中不被篡改，提高数据传输的安全性。

步骤s212，根据随机码，对业务应用数据进行转换，得到第二转换值；

步骤s214，判断第一转换值与第二转换值是否相匹配；如果是，确认转换值与第二分量和第三分量运算得到的转换值相匹配；

步骤s216，开放用户的证书应用访问权限，以使用户访问证书应用。

通过同一随机码对业务应用数据进行转换得到的第二转换值和第一转换值相匹配，说明业务应用数据的确由合法用户的终端设备发送，而非非法用户截取数据并使用截取到的数据反复攻击认证服务器的情况；此时，终端设备可以获得证书应用的访问权限，并进行下一步的证书应用操作。

上述方式可以使终端设备在不具备私钥安全存储能力和运算能力时，对用户进行身份合法性验证，采用哈希变换，提高数据传输的安全性，采用加解密、数据哈希、匹配的方式，有效验证用户身份合法性，降低认证服务器被整体攻击的风险，可以有效截止非法运算，减少认证服务器的计算量，延长其使用寿命。

参见图3所示的另一种防止终端反复攻击服务器的方法的流程图，该方法应用于终端设备，该终端设备保存有认证服务器预先下发的用户对应的链路保护密钥的第一分量；链路保护密钥的第二分量和第三分量保存在认证服务器中；该方法步骤包括：

步骤s302，向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；

步骤s304，根据第一分量和第二分量生成链路保护密钥；

步骤s306，根据随机码、链路保护密钥和业务应用数据，生成转换值；

步骤s308，将转换值发送至认证服务器，以使认证服务器判断第一转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

上述第二分量在发送至终端设备之前，即从数据库中被调用出来，之后可以一直存储于认证服务器的内存中；上述认证服务器判断转换值与第二分量和第三分量运算得到的转换值是否匹配时，仅需从数据库中调用第三分量即可，第二分量可以直接使用，不需重新调用。

本发明实施例提供了一种防止终端反复攻击服务器的方法，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量，其第一分量预先下发至用户的终端设备；终端设备向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值发送至认证服务器，以使认证服务器判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放所述用户的证书应用访问权限，以使用户访问证书应用。该方式可以避免非法用户对服务器进行反复攻击，提高了认证服务器的防攻击能力。

参见图4所示的另一种防止终端反复攻击服务器的方法的流程图；该方法在图1、图2或图3中所示方法的基础上实现，该方法应用于终端设备，终端设备保存有认证服务器预先下发的用户对应的链路保护密钥的第一分量；链路保护密钥的第二分量和第三分量保存在认证服务器中；该方法步骤包括：

步骤s402，向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；

步骤s404，根据第一分量和第二分量生成链路保护密钥；根据随机码对链路保护密钥和业务应用数据进行哈希转换，得到第一转换值；

步骤s406，将第一转换值和业务应用数据发送至认证服务器，以使认证服务器根据第二分量和第三分量合成为链路保护密钥；根据随机码，对业务应用数据和链路保护密钥进行哈希转换，得到第二转换值；

步骤s408，判断第一转换值和第二转换值是否相匹配，如果是，确认转换值与第二分量和第三分量运算得到的转换值相匹配；

步骤s410，开放用户的证书应用访问权限，以使用户访问证书应用。

上述方式可以避免非法用户对服务器进行反复攻击，提高了认证服务器的防攻击能力。

本发明实施例还提供了另一种防止终端反复攻击服务器的方法，该方法中，图5所示的终端相当于上述终端设备，所示的应用管理服务和证书应用服务均存在于认证服务器中；其中，该应用管理服务和证书应用服务可以为运行在认证服务器中的软件或应用程序；该方法上述图1至图4所示中任意方法的基础上实现，该方法具体步骤如下：

步骤s502，应用开始后，由终端设备向应用管理服务发送连接请求；该连接请求相当于上述证书应用访问请求；

步骤s504，应用管理服务接收到终端设备发送的连接请求后，向证书应用服务转发该连接请求；

步骤s506，证书应用服务接收到连接请求并向应用管理服务发送反馈信息；

步骤s508，应用管理服务产生随机码，并从数据库服务中取出链路保护密钥的第二分量；

步骤s510，应用管理服务将随机码与第二分量发送至终端设备；

步骤s512，终端设备将第一分量与第二分量合成链路保护密钥，根据随机码对业务应用数据进行哈希变换，然后使用链路保护密钥对哈希变换结果加密得第一转换值，或者链路保护密钥使用随机码对业务应用数据进行哈希变换得第一转换值；

步骤s514，终端设备将业务应用数据与第一转换值发送至应用管理服务；

步骤s516，应用管理服务从数据库服务中取出第三分量，与第二分量合成链路保护密钥，使用链路保护密钥解密第一转换值，然后使用随机码对业务应用数据进行哈希变换；或者链路保护密钥使用随机码对业务应用数据进行哈希变换得第二转换值。

将第一转换值与第二转换值进行运算匹配，若匹配，调用证书应用服务，开放证书应用访问权限；

步骤s518，证书应用服务完成相应的证书应用处理，并将处理结果发送至应用管理服务；

步骤s520，应用管理服务将接收到的处理结果发送至终端设备；

步骤s522，终端设备接收处理结果，应用结束。

上述方式使得终端设备在不具备私钥安全存储能力和运算能力时，对用户进行身份合法性验证；可以有效截止非法操作，降低认证服务器被整体攻击的风险，保证认证服务器的正常运行，延长认证服务器使用寿命。

对应于上述图1或图2的方法实施例，本发明实施例提供了一种防止终端反复攻击服务器的装置，该装置设置于认证服务器，认证服务器中保存有用户对应的链路保护密钥的第二分量和第三分量；链路保护密钥的第一分量预先下发至用户的终端设备；

参见图6所示，该装置包括：

请求接收模块60，用于接收用户的证书应用访问请求；

随机码生成模块61，用于生成随机码，将随机码和第二分量发送至终端设备，以使终端设备根据第一分量和第二分量生成链路保护密钥；根据随机码、链路保护密钥和业务应用数据，生成转换值；将转换值发送至认证服务器；

判断模块62，用于判断转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

上述装置还包括：申请接收模块，用于接收用户的注册申请；密钥生成模块，用于随机生成链路保护密钥；密钥分解模块，用于通过拉格朗日定律将链路保护密钥分解为第一分量、第二分量和第三分量；分量下发模块，用于将第一分量下发至用户的终端设备。

对应于上述图3或图4方法实施例，本发明实施例提供了另一种防止终端反复攻击服务器的装置，该装置设置于终端设备，该终端设备保存有认证服务器预先下发的用户对应的链路保护密钥的第一分量；该链路保护密钥的第二分量和第三分量保存在认证服务器中；

参见图7所示，该装置包括：

请求发送模块70，用于向认证服务器发送用户的证书应用访问请求，以使认证服务器生成随机码，将随机码和第二分量发送至终端设备；

密钥生成模块71，根据第一分量和第二分量生成链路保护密钥；

第一转换模块72，用于根据随机码、链路保护密钥和业务应用数据，生成第一转换值；

发送模块73，用于将第一转换值发送至认证服务器，以使认证服务器判断第一转换值是否与第二分量和第三分量运算得到的转换值相匹配，如果是，开放用户的证书应用访问权限，以使用户访问证书应用。

本发明实施例提供的防止终端反复攻击服务器的装置，与上述实施例提供的防止终端反复攻击服务器的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例还提供了一种防止终端反复攻击服务器的系统，该系统包括：终端设备和认证服务器；上述图6所示的装置设置于认证服务器；上述图7所示的装置设置于终端设备。

参见图8，该终端设备(即图8中的终端)中通常包含有多个应用系统(也可以称为应用软件)；上述认证服务器(即图8中的服务端)中通常包含有多个与终端设备的应用系统对应的应用管理服务，还包含有证书应用服务。终端设备的不同的应用系统在认证服务器存在与之对应的应用管理服务，通过应用管理服务完成终端设备用户身份合法性验证以及数据管理等功能，同时应用管理服务通过调用证书应用服务完成证书应用。

图8中，以终端设备包括三个应用系统为例进行说明，分别为应用系统801、应用系统802、应用系统803，每个应用系统包含可以有图7所示的装置，用于触发业务应用、对数据进行处理等操作。图8中包含应用管理服务8111、应用管理服务8112、应用管理服务8113，每一个应用系统对应一个应用管理服务，用于验证终端设备用户身份合法性、对数据进行处理、调取证书应用等操作。所有的应用管理服务对应一个证书应用服务812，用于允许用户进行访问，并调用证书应用服务完成相应的证书操作。

本发明实施例提供的防止终端反复攻击服务器的系统，与上述实施例提供的防止终端反复攻击服务器的方法具有相同的技术特征，所以也能解决相同的技术问题，达到相同的技术效果。

本发明实施例所提供的防止终端反复攻击服务器的方法、装置以及系统，认证服务器通过链路保护密钥验证终端设备的用户身份的合法性，解决终端不具备私钥安全存储与运算能力用户身份合法性验证.；认证服务器产生的随机码具备单次使用有效能力，通过随机码与当前业务操作数据hash(哈希)验证，既保证当前业务操作数据在传输中不被篡改，同时保证当前业务操作数据单次有效，解决类似因签名数据在多次验证均有效导致服务端无法确定真实用户身份合法性的问题；认证服务器通过应用管理服务进行业务操作合法验证，当非法用户通过重复调用应用接口对进行服务端攻击时，服务端能够有效截止当前的非法操作保证证书应用服务正常运行从而解决非法用户通过重复调用导致整个服务端无法运行的问题，降低了服务端被整体攻击的风险，延长服务端证书应用服务中加密设备使用寿命。

本发明实施例所提供的防止终端反复攻击服务器的方法、装置以及系统的计算机程序产品，包括存储了程序代码的计算机可读存储介质，程序代码包括的指令可用于执行前面方法实施例中所述的方法，具体实现可参见方法实施例，在此不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的系统、装置和方法，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。