也可以根据访问请求中携带的第一终端设备的硬件地址(如MAC地址)和目的IP计算验证参数。
[0068]同理,可以依据第一终端设备的硬件地址和目的IP进行HMAC (Hash-basedMessage Authenticat1n Code)运算,以得到验证码。
[0069]具体可以依据如下公式(I)计算。
[0070]$jsl = HMAC($srcip, $dstip)(I)
[0071]其中,$jsl为进行HMAC运算的结果,即验证码Jsrcip和$dstip分别为第一终端设备的识别标识和网络服务器的识别标识。
[0072]步骤S23:若所述网络设备接收到所述第一终端设备发送的,与所述验证参数相对应的加密因子,则依据所述验证参数对所述第一终端设备发送的加密因子进行验证。
[0073]发明人在实现本发明的过程中发现,通常,拒绝服务攻击通常是黑客在用户设备侧通过工具模拟合法用户向网络服务器发送大量访问请求,其目的是为了对网络服务器进行攻击,而不是从网络服务器侧获取资源,因此,被黑客控制的用户设备通常不会对验证参数进行响应,也就不会计算验证因子,更不会发送验证因子。
[0074]而正常的终端设备(即没有被黑客控制额终端设备)则会对验证参数进行响应,艮P,计算验证因子,并发送该验证因子。
[0075]因此,本申请实施例中,当第一终端设备为合法用户时,在网络正常的情况下,网络设备会接收到第一终端设备发送的,与所述验证参数相对应的加密因子;而当第一终端设备是由黑客控制的非法用户时,网络设备则通常不会接收到第一终端设备发送的,与所述验证参数相对应的加密因子。
[0076]当网络法设备接收到所述第一终端设备发送的,与所述验证参数相对应的加密因子后,对加密因子进行验证,以确定第一终端设备的合法性。
[0077]步骤S24:当验证通过时,所述网络设备向所述网络服务器发送所述访问请求。
[0078]当加密因子验证通过时,网络设备将第一终端设备发送的访问请求转发给网络服务器。实现了合法用户设备与网络服务器之间的通信。
[0079]本申请提供的通信方法,在终端设备向网络服务器发送访问请求时,网络设备截获终端设备向网络服务器发送的访问请求,然后对终端设备进行验证,验证通过后,才将访问请求发送给网络服务器,而拒绝服务攻击通常是黑客在用户设备侧通过工具模拟合法用户向网络服务器发送大量访问请求,而不会对网络服务器进行响应,因此,非法用户设备不会进行验证响应,因而,通过本申请实施例提供的通信方法,可以防止非法用户发送的访问请求到达网络服务器,降低对网络服务器进行拒绝服务攻击这一事件发生的概率。
[0080]上述实施例中,可选的,所述依据所述验证参数对所述第一终端设备发送的加密因子进行验证的一种实现流程图如图3所示,可以包括以下步骤:
[0081]步骤S31:所述网络设备依据所述验证参数获取本地加密因子;
[0082]网络设备与第一终端设备采用相同的算法计算本地加密因子。
[0083]可选的,网络设备可以依据所述验证参数,以及所述第一终端设备的识别码计算本地加密因子。
[0084]可选的,网络设备可以依据公式⑵计算本地加密因子。
[0085]$sess1nkey-b = HMAC($keyl, $imei,$jsl))(2)
[0086]其中,$sess1nkey-b为本地加密因子;$keyl为网络设备与终端设备的共享密钥为终端设备发送的终端设备的识别码(如頂EI号)或随机数;$jsl为验证参数。
[0087]可选的,网络设备也可以依据所述验证参数、所述第一终端设备的识别码,以及所述第一终端设备接收到所述验证参数时的时间戳计算本地加密因子。
[0088]可选的,网络设备可以依据公式(3)计算本地加密因子。
[0089]$sess1nkey-b = HMAC($keyl, $imei, $timestamp,$jsl))(3)
[0090]其中,$sess1nkey-b为本地加密因子;$keyl为网络设备与终端设备的共享密钥为终端设备发送的终端设备的识别码(如頂EI号)或随机数;$timeStamp为时间戳;$jsl为验证参数。
[0091]步骤S32:当所述第一终端设备发送的加密因子与所述本地加密因子相同时,确定验证通过。
[0092]在获取本地加密因子后,可以将本地加密因子与第一终端设备发送的加密因子进行比对,如果第一终端设备发送的加密因子与本地加密因子相同,则确定验证通过;否则,可以确定验证未通过。
[0093]上述实施例中,可选的,本申请提供的通信方法的另一种实现流程图如图4所示,可以包括:
[0094]步骤S41:网络设备截获第一终端设备向网络服务器发送的访问请求;
[0095]步骤S42:所述网络设备获取验证参数,并向所述第一终端设备发送所述验证参数;
[0096]步骤S43:判断是否接收到第一终端设备发送的,与验证参数相对应的加密因子;如果是,则执行步骤S44 ;如果否,则执行步骤S47 ;
[0097]可选的,可以判断在向第一终端设备发送所述验证参数后的预设时长内是否接收到第一终端设备发送的,与验证参数相对应的加密因子,如果在所述预设时长内接收到第一终端设备发送的,与验证参数相对应的加密因子,则可以确定接收到第一终端设备发送的,与验证参数相对应的加密因子,否则,可以确定没有接收到第一终端设备发送的,与验证参数相对应的加密因子。
[0098]步骤S44:依据所述验证参数对所述第一终端设备发送的加密因子进行验证;
[0099]步骤S45:判断是否验证通过;如果验证通过,则执行步骤S46 ;否则执行步骤S47 ;
[0100]步骤S46:所述网络设备向所述网络服务器发送所述访问请求。
[0101]步骤S47:丢弃所述第一终端设备发送的访问请求。
[0102]在丢弃第一终端设备发送的访问请求后,还可以阻断第一终端设备与网络服务器之间的连接。
[0103]本申请实施例中,若没有接收到第一终端设备发送的,与验证参数相对应的加密因子,或者,验证未通过,都丢弃第一终端设备向网络服务器发送的访问请求,即不会将该第一终端设备发送的访问请求转发给网络服务器。
[0104]上述实施例中,可选的,本申请实施例提供的通信方法还可以包括:
[0105]网络设备统计由第一终端设备发送的访问请求在单位时间内被丢弃的次数;
[0106]可以统计一段时间内由第一终端设备发送的访问请求被丢弃的总次数,将总次数除以统计时长就可以确定由第一终端设备发送的访问请求在单位时间内被丢弃的次数,即由第一终端设备发送的访问请求被丢弃的频率。
[0107]当由第一终端设备发送的访问请求在单位时间内被丢弃的次数大于预设阈值时,确定所述第一终端设备为非法用户设备。
[0108]可选的,在确定第一终端设备为非法用户设备后,网络设备在接收到第一终端设备向网络服务器发送的访问请求后,在获取验证参数前,还可以包括:
[0109]判断所述第一终端设备是否为非法用户设备;
[0110]若所述第一终端设备为非法用户设备,则丢弃所述访问请求;否则,执行所述获取验证参数的步骤。
[0111]本实施例中,在确定第一终端设备为非法用户设备后,如果接收到第一终端设备发送的访问请求,则直接丢弃该访问请求,而不再对第一终端设备的合法性进行验证,降低网络设备的资源耗费。进一步的,还可以阻断第一终端设备与网络服务器的连接,使得第一终端设备不能再发送访问请求,可以抵抗蛮力攻击,增强自身的稳定性。
[0112]可选的,在确定第一终端设备为非法用户设备后,网络设备在接收到第一终端设备向网络服务器发送的访问请求后,在获取验证参数前,还可以包括:
[0113]判断所述第一终端设备是否为非法用户设备;
[0114]若所述第一终端设备为非法用户设备,则断开所述第一终端设备与所述网络服务器之间的连接;否则,执行所述获取验证参数的步骤。
[0115]本实施例中,在确定第一终端设备为非法用户设备后,如果接收到第一终端设备发送的访问请求,则直接阻断第一终端设备与网络设备的连接,使得第一终端设备不能再发送访问请求,可以抵抗蛮力攻击,增强自身的稳定性。进一步的,还可以丢弃第一终端设备发送的访问请求,防止该第一终端设备发送的访问请求占用网络设备的内存空间。
[0116]本申请提供的通信方法的又一种实现流程图如图5所示,可以包括:
[0117]步骤S51:第一终端设备向网络服务器发送访问请求;
[0118]所述访问请求可以是符合HTTP协议的访问请求。
[0119]步骤S52:所述第一终端设备接收验证参数,所述验证参数由网络设备截获所述第一终端设备向网络服务器发送的访问请求后获取,并向所述第一终端设备发送;
[0120]步骤S53:所述第一终端设备依据所述验证参数计算加密因子;
[0121]第一终端设备在接收到验证参数后,依据该验证参数计算加密因子,第一终端设备与网络设备采用相同的方法计算加密因子。
[0122]可选的,第一终端设备可以依据所述验证参数,以及该第一终端设备的识别码计算加密因子。
[0123]可选的,第一终端设备可以依据公式(4)计算加密因子。
[0124]$sess1nkey-a = HMAC($keyl, $imei, $jsl)) (4)
[0125]其中,$sess1nkey_a为加密因子;$keyl为网络设备与第一终端设备的共享密钥为第一终端设备的识别码(如頂EI号)或随机数;$jsl为验证参数。
[0126]可选的,第一终端设备也可以依据所述验证参数、所述第一终端设备的识别码,以及所述第一终端设备接收到所述验证参数时的时间戳计算加密因子。