本文實例講述了PHP基于timestamp和nonce實現(xiàn)的防止重放攻擊方案。分享給大家供大家參考，具體如下：

以前總是通過timestamp來防止重放攻擊，但是這樣并不能保證每次請求都是一次性的。今天看到了一篇文章介紹的通過nonce（Number used once）來保證一次有效，感覺兩者結(jié)合一下，就能達(dá)到一個非常好的效果了。

重放攻擊是計算機(jī)世界黑客常用的攻擊方式之一，所謂重放攻擊就是攻擊者發(fā)送一個目的主機(jī)已接收過的包，來達(dá)到欺騙系統(tǒng)的目的，主要用于身份認(rèn)證過程。

首先要明確一個事情，重放攻擊是二次請求，黑客通過抓包獲取到了請求的HTTP報文，然后黑客自己編寫了一個類似的HTTP請求，發(fā)送給服務(wù)器。也就是說服務(wù)器處理了兩個請求，先處理了正常的HTTP請求，然后又處理了黑客發(fā)送的篡改過的HTTP請求。

基于timestamp的方案

每次HTTP請求，都需要加上timestamp參數(shù)，然后把timestamp和其他參數(shù)一起進(jìn)行數(shù)字簽名。因為一次正常的HTTP請求，從發(fā)出到達(dá)服務(wù)器一般都不會超過60s，所以服務(wù)器收到HTTP請求之后，首先判斷時間戳參數(shù)與當(dāng)前時間相比較，是否超過了60s，如果超過了則認(rèn)為是非法的請求。

假如黑客通過抓包得到了我們的請求url：
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$stime);
// 服務(wù)器通過uid從數(shù)據(jù)庫中可讀出token

一般情況下，黑客從抓包重放請求耗時遠(yuǎn)遠(yuǎn)超過了60s，所以此時請求中的stime參數(shù)已經(jīng)失效了。
如果黑客修改stime參數(shù)為當(dāng)前的時間戳，則sign參數(shù)對應(yīng)的數(shù)字簽名就會失效，因為黑客不知道token值，沒有辦法生成新的數(shù)字簽名。

但這種方式的漏洞也是顯而易見的，如果在60s之內(nèi)進(jìn)行重放攻擊，那就沒辦法了，所以這種方式不能保證請求僅一次有效。

基于nonce的方案

nonce的意思是僅一次有效的隨機(jī)字符串，要求每次請求時，該參數(shù)要保證不同，所以該參數(shù)一般與時間戳有關(guān)，我們這里為了方便起見，直接使用時間戳的16進(jìn)制，實際使用時可以加上客戶端的ip地址，mac地址等信息做個哈希之后，作為nonce參數(shù)。
我們將每次請求的nonce參數(shù)存儲到一個“集合”中，可以json格式存儲到數(shù)據(jù)庫或緩存中。
每次處理HTTP請求時，首先判斷該請求的nonce參數(shù)是否在該“集合”中，如果存在則認(rèn)為是非法請求。

假如黑客通過抓包得到了我們的請求url：
http://koastal.site/index/Info?uid=ZX07&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$nonce);
// 服務(wù)器通過uid從數(shù)據(jù)庫中可讀出token

nonce參數(shù)在首次請求時，已經(jīng)被存儲到了服務(wù)器上的“集合”中，再次發(fā)送請求會被識別并拒絕。
nonce參數(shù)作為數(shù)字簽名的一部分，是無法篡改的，因為黑客不清楚token，所以不能生成新的sign。

這種方式也有很大的問題，那就是存儲nonce參數(shù)的“集合”會越來越大，驗證nonce是否存在“集合”中的耗時會越來越長。我們不能讓nonce“集合”無限大，所以需要定期清理該“集合”，但是一旦該“集合”被清理，我們就無法驗證被清理了的nonce參數(shù)了。也就是說，假設(shè)該“集合”平均1天清理一次的話，我們抓取到的該url，雖然當(dāng)時無法進(jìn)行重放攻擊，但是我們還是可以每隔一天進(jìn)行一次重放攻擊的。而且存儲24小時內(nèi)，所有請求的“nonce”參數(shù)，也是一筆不小的開銷。

基于timestamp和nonce的方案

那我們?nèi)绻瑫r使用timestamp和nonce參數(shù)呢？
nonce的一次性可以解決timestamp參數(shù)60s的問題，timestamp可以解決nonce參數(shù)“集合”越來越大的問題。

我們在timestamp方案的基礎(chǔ)上，加上nonce參數(shù)，因為timstamp參數(shù)對于超過60s的請求，都認(rèn)為非法請求，所以我們只需要存儲60s的nonce參數(shù)的“集合”即可。

假如黑客通過抓包得到了我們的請求url：
http://koastal.site/index/Info?uid=ZX07&stime=1480862753&nonce=58442c21&sign=80b886d71449cb33355d017893720666

其中

$sign=md5($uid.$token.$stime.$nonce);
// 服務(wù)器通過uid從數(shù)據(jù)庫中可讀出token

如果在60s內(nèi)，重放該HTTP請求，因為nonce參數(shù)已經(jīng)在首次請求的時候被記錄在服務(wù)器的nonce參數(shù)“集合”中，所以會被判斷為非法請求。超過60s之后，stime參數(shù)就會失效，此時因為黑客不清楚token的值，所以無法重新生成簽名。

綜上，我們認(rèn)為一次正常的HTTP請求發(fā)送不會超過60s，在60s之內(nèi)的重放攻擊可以由nonce參數(shù)保證，超過60s的重放攻擊可以由stime參數(shù)保證。

因為nonce參數(shù)只會在60s之內(nèi)起作用，所以只需要保存60s之內(nèi)的nonce參數(shù)即可。

我們并不一定要每個60s去清理該nonce參數(shù)的集合，只需要在新的nonce到來時，判斷nonce集合最后一次修改時間，超過60s的話，就清空該集合，存放新的nonce參數(shù)集合。其實nonce參數(shù)集合可以存放的時間更久一些，但是最少是60s。
隨機(jī)數(shù)集合可以根據(jù)業(yè)務(wù)場景采用定期清理或根據(jù)大小自動清理的方案，例如該接口每秒的請求數(shù)最高為1000，則60s內(nèi)的請求數(shù)量最多為1500*60=90000，則我們在每次請求后檢查集合大小是否超過90000，若超高該數(shù)量則清空。

驗證流程

//判斷stime參數(shù)是否有效
if( $now - $stime > 60){
  die("請求超時");
}
//判斷nonce參數(shù)是否在“集合”已存在
if( in_array($nonce,$nonceArray) ){
  die("請求僅一次有效");
}
//驗證數(shù)字簽名
if ( $sign != md5($uid.$token.$stime.$nonce) ){
  die("數(shù)字簽名驗證失敗");
}
/*
if( $now - $nonceArray->lastModifyTime > 60 ){
  $nonceArray = null;
}
$nonceArray.push($nonce);
*/
//處理隨機(jī)數(shù)
$key = 'nonce'+$uid;
if($redis->sismember($key,$nonce) === true){
  die('拒絕重放攻擊請求');
}
if($redis->scard($key) > 90000){
  $redis->del($key);
}
$redis->sadd($key,$nonce);
//重放攻擊檢查完成

參考文章：

http://www.360doc.com/content/14/0116/16/834950_345740386.shtml

更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題：《php程序設(shè)計安全教程》、《php安全過濾技巧總結(jié)》、《PHP運算與運算符用法總結(jié)》、《PHP基本語法入門教程》、《php面向?qū)ο蟪绦蛟O(shè)計入門教程》、《php字符串(string)用法總結(jié)》、《php+mysql數(shù)據(jù)庫操作入門教程》及《php常見數(shù)據(jù)庫操作技巧匯總》

希望本文所述對大家PHP程序設(shè)計有所幫助。

最新評論