(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210746467.5 (22)申请日 2022.06.28 (71)申请人 广西电网有限责任公司电力科 学研 究院 地址 530023 广西壮 族自治区南宁市 兴宁 区民主路6 -2号 (72)发明人 凌颖　黎新　宾冬梅　余通　 杨春燕　韩松明　谢铭　 (74)专利代理 机构 广州市专 注鱼专利代理有限 公司 44456 专利代理师 杨瑾 (51)Int.Cl. H04L 9/32(2006.01) H04L 9/40(2022.01) H04L 67/02(2022.01) (54)发明名称 基于在线交互式WEB动态防御的随机令牌生 成方法 (57)摘要 本发明提供一种基于在 线交互式WEB动态防 御的随机令牌生成方法， 包括以下步骤： 客户端 向动态安全防护系统发送接入请求； 验证接入请 求中携带的随机令牌， 如果合法， 则将接入请求 转发给web服务器， 转至下一步； 如果随机令牌不 合法， 对接入请求进行拦截， 并返回状态码给客 户端； 当接入请求中未携带随机令牌时， 为客户 端发放随机令牌； 服务器返回请求响应结果； 动 态安全防护系统更新随机令牌， 并将携带更新后 的随机令牌的请求响应结果发送给客户端。 本发 明通过验证接入请求携带令牌的合法性确保业 务平面处理流程的正常运行， 拦截恶意请求， 可 有效防止水平越权、 垂直越权、 第七层模型分布 式拒绝服务攻击、 请求重放 等恶意入侵行为。 权利要求书2页 说明书5页 附图4页 CN 115208577 A 2022.10.18 CN 115208577 A 1.基于在线交 互式WEB动态防御的随机 令牌生成方法， 其特 征在于， 包括以下步骤： 步骤S1、 客户端向动态安全防护系统发送接入请求； 步骤S2、 动态安全防护系统验证接入请求中携带的随机令牌， 如果随机令牌合法， 则将 接入请求转发给web服务器， 转至步骤S 3； 如果随机令牌不合法， 对接入请求进 行拦截， 并返 回状态码给客户端； 当接入请求中未携带随机 令牌时， 为 客户端发放随机 令牌； 步骤S3、 服 务器返回请求响应结果给动态安全防护系统； 步骤S4、 动态安全 防护系统更新随机令牌， 并将携带更新后的随机令牌的请求响应结 果发送给客户端； 更新后的随机 令牌单次有效， 或者在设定的时间段内有效； 步骤S5、 客户端根据请求响应结果中携带的更新后的随机 令牌接入WEB。 2.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在 于， 所述的接入请求包括Ajax请求、 非Ajax的get请求或非Ajax的post请求。 3.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在 于， 所述的随机 令牌包括URL令牌或Co okie令牌。 4.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在 于， 所述当接入请求中未携带随机 令牌时， 为 客户端发放随机 令牌的过程 为： 步骤S201、 客户端第一次访问web服务器时， 动态安全防护系统先确定客户端的接入请 求的类型； 步骤S202、 动态安全防护系 统确定接入请求中是否携带随机令牌， 如果未携带随机令 牌， 转至步骤S20 3， 否则对随机 令牌的合法性进行验证； 步骤S203、 动态安全防护系统根据接入请求的类型为 客户端生成不同的随机 令牌。 5.根据权利要求4所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在 于， 所述步骤S203包括： 如果接入请求为Ajax请求， 且请求访问的网站入 口在白名单中， 则将Ajax请求转发给 Web服务器； Web服务器返回成功状态响应码； 动态 安全防护系统对网页进 行动态封装、 生 成 URL令牌， 并将封装后的网页及URL令牌下发到客户端浏览器； 如果接入请求为非Ajax的get请求， 且请求访问的网站入口在白名单中， 则将非Ajax的 get请求转发给web服务器； web服务器返回成功状态响应码； 动态 安全防护系统生成Cookie 令牌， 通过Set ‑Cookie的方式将Co okie令牌下发到客户端浏览器； 如果接入请求为非Ajax 的post请求， 且请求访问的网站入 口在白名单中， 动态安全防 护系统生成Co okie令牌并下发到客户端。 6.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在 于， 所述如果随机 令牌不合法， 对接入请求进行拦截， 并返回状态码给客户端包括： 对接入请求进行Reload， 返回412状态码或202状态码， 并在Reload的代码中引用Core   JS， 在Respose的代码中设置CookieS， 客户端采用CookieS生成CookieT， CookieT来采集客 户端的浏览器指纹、 攻击检测数据、 时间戳； 客户端重新发送给web服务器的请求 中， 将携带有CookieS和CookieT内容的令牌， 动态 安全防护系统通过对该令牌的数据解密， 验证客户端数据采集是否存在异常， 只有验证令 牌合法的请求才允许转发给WEB服 务器。 7.根据权利要求1所述的基于在线交互式WEB动态防御的随机令牌生成方法， 其特征在权　利　要　求　书 1/2 页 2 CN 115208577 A 2于， 所述更新后的随机 令牌单次有效， 或者在设定的时间段内有效包括： 针对客户端访问web服务器 的Ajax请求生成的URL令牌， 为一次性随机令牌， 该令牌30 分钟内有效， 不允许重复使用； 针对客户端访问web服务器的非Ajax的get请求和非Ajax的post请求生成的Cookie令 牌， 非Ajax的get请求的Cookie令牌2分钟内可以重复使用； 非Ajax的post请求的Cookie令 牌不允许重复使用。权　利　要　求　书 2/2 页 3 CN 115208577 A 3