解密。
[0068]另一方面,甲方可以使用乙方的公钥对机密信息进行签名后再发送给乙方;乙方再用自己的私匙对数据进行验签。
[0069]甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要。
[0070]非对称密码体制的特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快。对称密码体制中只有一种密钥,并且是非公开的,如果要解密就得让对方知道密钥。所以保证其安全性就是保证密钥的安全,而非对称密钥体制有两种密钥,其中一个是公开的,这样就可以不需要像对称密码那样传输对方的密钥了。这样安全性就大了很多。
[0071]请参阅图3,相应地,本发明还提供了一种对应于上述有效防止网络攻击的WEB网站链接动态隐藏方法的装置,其包括浏览器端1、服务器端2、WEB页面匹配单元3、加密单元
4、解密单元5。
[0072]所述WEB页面匹配单元3,用于收集服务器端发送的URI并将该URI与其内所存储的URI内容进行比对,判断是否需要加密。WEB页面匹配单元3中所存储的URI可以包括其所指向的内容,也可以只是URI值。
[0073]所述加密单元4,用于根据WEB页面匹配单元的判断结果对服务器端发送的URI进行加密,并将经加密的含有对浏览器请求路径进行加密的脚本文件的URI发送给服务器端。经加密单元4和脚本文件加密后的URI中带有生效时间标记,也即加密的时间点。所述的脚本文件包括判断单元6和二次加密单元7,所述判断单元6用于监控浏览器访问请求并在该访问请求的内容与预设参数一致时触二次加密单元7对访问请求的URI进行加密,该预设参数设在判断单元内。
[0074]所述解密单元5,用于对浏览器端所发送的路径信息进行解密,把解密结果反馈给浏览器端或服务器端。解密单元5包括一次解密单元8及二次解密单元9,一次解密单元及二次解密单元设有识别URI中的生效时间标记并依据该生效时间标记判断该URI是否超过有效期的时效控制单元。
[0075]其中,WEB页面匹配单元3、加密单元4以及解密单元5可设置于服务器中,也可以是作为独立于服务器的实体产品。
[0076]如图2,下面通过一个具体的例子来解释本装置的结构。
[0077]在浏览器I向服务器2发送首次建立连接请求后,首先我们需要对浏览器1、服务器2以及WEB页面匹配单元3进行预配置,预配置的主要内容包括:
[0078]1、确定需要进行加密的对象,也即确定服务器对于浏览器的哪些响应的URI需要进行加密使其变形;同时也需要明确浏览器哪些行为对于的URI需要进行加密变形。此时需要在WEB页面匹配单元3中设置服务器要求加密的URI或者要求加密的内容所对应的URI数据。
[0079]2、在加密单元4和解密单元5中进行加密的算法和密钥等参数设置。加密算法可以是非对称加密法,也可以是现有加密算法中的任意一种。
[0080]3、在浏览器I中设置判断单元6以及二次加密单元7所使用的加密的算法和密钥等参数设置。判断单元6中包含触发二次加密单元7工作的特定的浏览器行为,比如,点击WEB页面中的“用户登陆”按钮行为。
[0081]预配置完成后,服务器2向用户的浏览器发送响应内容后,WEB页面匹配单元3首先会收集服务器2发送的响应内容,然后在整个响应内容中进行字符串的查找,查看在整个响应内容中,包括html内容和各种html页面的引用的其他脚本或对象中的内容,是否存在着预配置的需要变形的URI的对象。如果在WEB页面匹配单元3的WEB回应页面中查找到了含有预配置中的需要变形的URI的对象,则对匹配的URI对象进行首次加密处理,使用服务器侧的公钥对匹配的URI对象进行非对称加密。
[0082]如图2,当WEB页面匹配单元3验证得出所获取到的URI的值需要加密,例如为:/login, php,然后以非对称加密算法对该URI进行加密,加密后的URI已经变得和原来不一样,例如成为:1234567。当浏览器中判断单元6判断得出对应于加密的URI值的用户行为需触二次加密单元7进行加密处理,二次加密单元7便对1234567的URI加密,假设加密后的结果为abcdefg。浏览器I发送该URI至一次解密单元8,若一次解密单元8判断该URI已经超过有效期,则返回出错页面到浏览器1,若判断的结果为URI有效,则用对应的私钥对用户请求进行首次解密,解密后用户请求会由abcdefg解密成为1234567,并转发到二次解密单元9进行第二次解密处理。经二次解密单元9使用私钥对用户请求进行二次解密之后,用户请求会由1234567解密成为/login.php,用户请求被还原成为一个正常的URI资源,发送给服务器2进行处理。
[0083]实施例2
[0084]下面以本发明应用于12306网站来解决抢票行为作为例子,进一步解释本发明的结构。
[0085]首先对12306网站上的抢票行为做分析,各种抢票软件是通过分析12306购票网站的架构,找到几个关键的URL,然后通过脚本的方式,对这几个关键的URL不停的进行参数提交,达到自动化,程序化抢票的目的,其效率要比一般的人工手动点击网站的效率要快几百倍。
[0086]在2014版的12306网站上,用户登陆、查询车票、提交订单等几个关键页面的URL如下:
[0087]请求登陆页面:https://kyfw.12306.cn/otn/login/init
[0088]获得验证码并验证:https://kyfw.12306.cn/otn/passcodeNew/getPassCodeNew?module = login&r and = sjrand&
[0089]登录完成要选择买票人的信息:
[0090]https://kyfw.12306.cn/otn/confirmPassenger/getPassengerDTOs[0091 ]查票的地址和参数如下:https://kyfw.12306.cn/otn/leftTicket/queryT
[0092]提交订单的地址:https://kyfw.12306.cn/otn/leftTicket/submitOrderRequest
[0093]抢票软件想要成功抢票,需要模拟这些环节的每一步并且需要提交正确的参数。只需要将这些静态URL地址中的一个或几个变成随机动态的URL就可以让各种抢票软件无法正常工作。
[0094]将本发明的装置应用于12306网站后,在经过初始的预配置之后,本发明的装置便可有效解决抢票软件的抢票行为,具体如下:
[0095]1、客户端浏览器请求12306的首页。
[0096]2、12306的网站服务器接收到客户端的请求,并将客户端请求的相应的页面内容发送给WEB页面匹配单元3。
[0097]3、如果经判断用户请求的URI需要变形,在本实施案例中为登陆页:
[0098]/otn/login/init,则对/otn/login/init进行首次加密处理,使用服务器侧的公钥对/otn/login/init进行非对称加密。
[00"] 4、加密单元4进行首次加密是,将/otn/login/init使用服务器侧密钥中的公钥进行加密后的URI 的值为/asdkjdf as lkjfasdklasf dlj。
[0100]5、然后通过加密单位4中的w...