一种安全防御方法、装置及系统与流程

本申请涉及通信技术领域，尤其涉及一种安全防御方法、装置及系统。

背景技术：

csrf跨站点请求伪造(crosssiterequestforgery)，跟xss攻击一样，存在巨大的危害性，通俗理解为：攻击者盗用用户身份，以用户名义发送恶意请求，对服务器而言这个请求完全合法，不过却完成攻击者所期望的一个操作。例如，以用户名义发送邮件、发消息，盗取用户账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。

技术实现要素：

鉴于此，本申请提供一种安全防御方法、装置及系统，可以防御csrf攻击，保护服务器网络安全。

为了实现上述目的，本发明提供了下述技术特征：

一种安全防御方法，包括：

拦截网页客户端发送的网页访问请求；

从所述网页访问请求中提取网址和网址对应的第一随机值；

从存储空间中获取与所述网址对应的第二随机值；

若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

可选的，还包括：

若所述第一随机值与所述第二随机值不一致，则确定所述网页访问请求包含csrf攻击、丢弃所述网页访问请求。

可选的，在拦截网页客户端发送的网页访问请求之前，还包括：

生成并保存各个网址一一对应的各个随机值；

在各个随机值超过有效时间后，重新生成并保存各个网址对应的各个随机值。

可选的，在生成并保存各个网址一一对应的各个随机值之后，还包括：

发送各个网址一一对应的各个随机值至网页客户端，以供网页客户端保存各个网址一一对应的各个随机值。

可选的，所述从所述网页访问请求中提取网址和网址对应的第一随机值包括：

拆分所述网页访问请求中的组合网址，获得网址和加密随机值；

按照预先设定的解密机制对所述加密随机值执行解密操作，获得网址对应的第一随机值。

一种安全防御方法，包括：

接收包含网址的网页访问请求；

在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值；

按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值；

将网址和所述加密随机值组成组合网址；

发送包含所述组合网址的网页访问请求至网页服务器。

可选的，在所述接收包含网址的网页访问请求之前，还包括：

接收并保存各个网址一一对应的各个随机值；

在重新接收各个网址一一对应的各个随机值后，删除原有的各个网址一一对应的各个随机值，接收并保存最新的各个网址一一对应的各个随机值。

一种安全防御装置，包括：

拦截单元，用于拦截网页客户端发送的网页访问请求；

提取单元，用于从所述网页访问请求中提取网址和网址对应的第一随机值；

获取单元，用于从存储空间中获取与所述网址对应的第二随机值；

确定单元，用于若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

一种安全防御装置，包括：

接收单元，用于接收包含网址的网页访问请求；

查找单元，用于在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值；

加密单元，用于按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值；

组合单元，用于将网址和所述加密随机值组成组合网址；

发送单元，用于发送包含所述组合网址的网页访问请求至网页服务器。

一种安全防御系统，包括：

网页客户端，用于接收包含网址的网页访问请求；在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值；按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值；将网址和所述加密随机值组成组合网址；发送包含所述组合网址的网页访问请求至网页服务器；

网页服务器，用于拦截网页客户端发送的网页访问请求；从所述网页访问请求中提取网址和网址对应的第一随机值；从存储空间中获取与所述网址对应的第二随机值；若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

通过以上技术手段，可以实现以下有益效果：

本发明中为了防御csrf攻击，提出网页客户端可以在网页访问请求中添加攻击者不能伪造的随机值，网页服务器会拦截网页客户端发送的网页访问请求，并验证第一随机值与本身存储的第二随机值是否一致，如果一致则确定网页访问请求不包含csrf攻击、可以正常处理网页访问请求。

附图说明

为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1a为本申请实施例公开的一种安全防御系统的结构示意图；

图1b为本申请实施例公开的一种安全防御方法的流程图；

图2为本申请实施例公开的又一种安全防御方法的流程图；

图3为本申请实施例公开的一种安全防御装置的结构示意图；

图4为本申请实施例公开的又一种安全防御装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

本发明提供了一种安全防御系统，参见图1a，安全防御系统包括：网页客户端100和网页服务器200。

网页客户端100，用于接收包含网址的网页访问请求；在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值；按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值；将网址和所述加密随机值组成组合网址；发送包含所述组合网址的网页访问请求至网页服务器；

网页服务器200，用于拦截网页客户端发送的网页访问请求；从所述网页访问请求中提取网址和网址对应的第一随机值；从存储空间中获取与所述网址对应的第二随机值；若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

下面分别对网页客户端100和网页服务器200的处理过程进行详细说明。

本发明提供了一种安全防御方法，参见图1b，包括以下步骤：

步骤s101：网页服务器生成并保存各个网址一一对应的各个随机值。

网页服务器为网站中各个网址随机生成一一对应的随机值，至于随机值的生成过程可以采用已有方案，对此本申请不做限定。

为了保证随机值的安全性，避免被攻击者截取，本发明提出随机值仅仅在有效时间内有效，超过有效时间后网页服务器会重新生成并保存各个网址一一对应的各个随机值；也即，在各个随机值超过有效时间后，重新生成并保存各个网址对应的各个随机值。

步骤s102：网页服务器发送各个网址一一对应的各个随机值至网页客户端。

网页服务器每次生成保存各个网址一一对应的各个随机值后，均会发送各个网址一一对应的各个随机值至网页客户端，以便网页客户端也可以及时更新各个网址一一对应的各个随机值至网页客户端，以便与网页服务器的随机值保持一致。

步骤s103：网页客户端接收并保存各个网址一一对应的各个随机值。

可以理解的是，在重新接收各个网址一一对应的各个随机值后，删除原有的各个网址一一对应的各个随机值，接收并保存最新的各个网址一一对应的各个随机值。

步骤s201：网页客户端接收包含网址的网页访问请求。

在用户登录网页客户端或者基于已显示网页打开下级页面(或上级页面)的情况下，网页客户端会接收包含网址的网页访问请求，例如，网址可以为用户登录网页客户端时的首页网址，已显示网页的下级页面的网址，或，已显示网页的上级页面的网址。

步骤s202：网页客户端在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值。

不同网页具有不同的随机值，这样可以进一步保证安全性。网页客户端在预先保存的各个网址一一对应的各个随机值中，查找与网址对应的随机值。

步骤s203：网页客户端按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值。

网页客户端与网页服务器之间已经协商好加解密机制，为了保证随机值的安全性，不会被随意盗取和篡改，网页额客户端会按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值。

步骤s204：网页客户端将网址和所述加密随机值组成组合网址。

网页客户端对网址进行加工，在网址后添加加密随机值，以便组成组合网址。

步骤s205：网页客户端发送包含所述组合网址的网页访问请求至网页服务器。

步骤s206：网页服务器拦截网页客户端发送的网页访问请求。

网页服务器中可以添加拦截模块，以便用于拦截网页客户端发送的网页访问请求。

步骤s207：网页服务器从所述网页访问请求中提取网址和网址对应的第一随机值。

网页服务器可以拆分所述网页访问请求中的组合网址，获得网址和加密随机值；按照预先设定的解密机制对所述加密随机值执行解密操作，获得网址对应的第一随机值。

步骤s208：网页服务器从存储空间中获取与所述网址对应的第二随机值。

网页服务器中保存有所述网址对应的正确随机值，为了便于区分，采用第二随机值表示。

步骤s209：判断第一随机值与第二随机值是否一致，若一致则进入步骤s210；若不一致，则进入步骤s211。

步骤s210：若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

步骤s211：若所述第一随机值与所述第二随机值不一致，则确定所述网页访问请求包含csrf攻击、丢弃所述网页访问请求。

通过以上技术手段，可以实现以下有益效果：

本发明中为了防御csrf攻击，提出网页客户端可以在网页访问请求中添加攻击者不能伪造的随机值，网页服务器会拦截网页客户端发送的网页访问请求，并验证第一随机值与本身存储的第二随机值是否一致，如果一致则确定网页访问请求不包含csrf攻击、可以正常处理网页访问请求。

可以理解的是，csrf攻击之所以能够成功是因为攻击者可以完全伪造用户的网页访问请求，网页访问请求中关于用户登录网页的验证信息均存在于cookie中，因此黑客可以利用用户于cookie的验证信息来通过网页服务器的安全验证。

为了防御csrf，其关键在于在网页访问请求中放入攻击者不能获取也不能伪造的信息，并且该信息不存在于cookie之中。为此，本发明提供采用随机值的作为验证网页访问请求是否包含csrf攻击的手段。

若网页访问请求中不包含随机值，或，随机值不正确，则表示网页访问请求很大程度上被攻击者所发出，为此会丢弃网页访问请求；若网页访问请求中的随机值正确，则确定网页访问请求是正常的，正常处理网页访问请求。

本发明提供了一种安全防御装置，应用于网页服务器。参见图3，包括：

拦截单元31，用于拦截网页客户端发送的网页访问请求；

提取单元32，用于从所述网页访问请求中提取网址和网址对应的第一随机值；

获取单元33，用于从存储空间中获取与所述网址对应的第二随机值；

确定单元34，用于若所述第一随机值与所述第二随机值一致，则确定所述网页访问请求不包含csrf攻击、正常处理所述网页访问请求。

若所述第一随机值与所述第二随机值不一致，则确定所述网页访问请求包含csrf攻击、丢弃所述网页访问请求。

可选的，在拦截单元31拦截网页客户端发送的网页访问请求之前，还包括：

生成并保存各个网址一一对应的各个随机值；

在各个随机值超过有效时间后，重新生成并保存各个网址对应的各个随机值。

可选的，在生成并保存各个网址一一对应的各个随机值之后，还包括：发送各个网址一一对应的各个随机值至网页客户端，以供网页客户端保存各个网址一一对应的各个随机值。

可选的，提取单元32从所述网页访问请求中提取网址和网址对应的第一随机值包括：

拆分所述网页访问请求中的组合网址，获得网址和加密随机值；

按照预先设定的解密机制对所述加密随机值执行解密操作，获得网址对应的第一随机值。

通过以上技术手段，可以实现以下有益效果：

本发明中为了防御csrf攻击，提出网页客户端可以在网页访问请求中添加攻击者不能伪造的随机值，网页服务器会拦截网页客户端发送的网页访问请求，并验证第一随机值与本身存储的第二随机值是否一致，如果一致则确定网页访问请求不包含csrf攻击、可以正常处理网页访问请求。

可以理解的是，csrf攻击之所以能够成功是因为攻击者可以完全伪造用户的网页访问请求，网页访问请求中关于用户登录网页的验证信息均存在于cookie中，因此黑客可以利用用户于cookie的验证信息来通过网页服务器的安全验证。

为了防御csrf，其关键在于在网页访问请求中放入攻击者不能获取也不能伪造的信息，并且该信息不存在于cookie之中。为此，本发明提供采用随机值的作为验证网页访问请求是否包含csrf攻击的手段。

若网页访问请求中不包含随机值，或，随机值不正确，则表示网页访问请求很大程度上被攻击者所发出，为此会丢弃网页访问请求；若网页访问请求中的随机值正确，则确定网页访问请求是正常的，正常处理网页访问请求。

本发明提供了一种安全防御装置，应用于网页客户端。参见图4，包括：

接收单元41，用于接收包含网址的网页访问请求；

查找单元42，用于在预先保存的各个网址一一对应的各个随机值中，查找与所述网址对应的随机值；

加密单元43，用于按照预先设定的加密机制对所述随机值执行加密操作，获得加密随机值；

组合单元44，用于将网址和所述加密随机值组成组合网址；

发送单元45，用于发送包含所述组合网址的网页访问请求至网页服务器。

在所述接收包含网址的网页访问请求之前，还包括：

接收并保存各个网址一一对应的各个随机值；在重新接收各个网址一一对应的各个随机值后，删除原有的各个网址一一对应的各个随机值，接收并保存最新的各个网址一一对应的各个随机值。

通过以上技术手段，可以实现以下有益效果：

本发明中为了防御csrf攻击，提出网页客户端可以在网页访问请求中添加攻击者不能伪造的随机值，网页服务器会拦截网页客户端发送的网页访问请求，并验证第一随机值与本身存储的第二随机值是否一致，如果一致则确定网页访问请求不包含csrf攻击、可以正常处理网页访问请求。

可以理解的是，csrf攻击之所以能够成功是因为攻击者可以完全伪造用户的网页访问请求，网页访问请求中关于用户登录网页的验证信息均存在于cookie中，因此黑客可以利用用户于cookie的验证信息来通过网页服务器的安全验证。

为了防御csrf，其关键在于在网页访问请求中放入攻击者不能获取也不能伪造的信息，并且该信息不存在于cookie之中。为此，本发明提供采用随机值的作为验证网页访问请求是否包含csrf攻击的手段。

若网页访问请求中不包含随机值，或，随机值不正确，则表示网页访问请求很大程度上被攻击者所发出，为此会丢弃网页访问请求；若网页访问请求中的随机值正确，则确定网页访问请求是正常的，正常处理网页访问请求。

本实施例方法所述的功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算设备可读取存储介质中。基于这样的理解，本申请实施例对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该软件产品存储在一个存储介质中，包括若干指令用以使得一台计算设备(可以是个人计算机，服务器，移动计算设备或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read-onlymemory)、随机存取存储器(ram，randomaccessmemory)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。

对所公开的实施例的上述说明，使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的，本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下，在其它实施例中实现。因此，本申请将不会被限制于本文所示的这些实施例，而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。