(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211054804.0 (22)申请日 2022.08.31 (71)申请人 南方电网科 学研究院有限责任公司 地址 510663 广东省广州市萝岗区科 学城 科翔路11号J1栋3、 4、 5楼及J3 栋3楼 (72)发明人 徐传懋　匡晓云　许爱东　杜金燃　 赖博宇　戴涛　 (74)专利代理 机构 北京集佳知识产权代理有限 公司 11227 专利代理师 刘晓娟 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) H04L 9/08(2006.01) (54)发明名称 一种逻辑漏洞防护方法和系统 (57)摘要 本申请公开了一种逻辑漏洞防护方法和系 统， 其中方法包括： 客户端利用对用户token、 随 机数、 时间戳以及明文数据生成第一签名， 利用 预置加密算法对第一签名、 随机数、 时间戳和明 文数据加密， 生成第一密文， 对预置加密算法的 初始向量和密钥分别进行加密， 生成第二密文和 第三密文， 将第一密文、 第二密文和第三密文发 送至服务端； 服务端对第二密文和第三密文进行 解密， 得到初始向量和密钥， 利用初始向量和密 钥对第一密文进行解密， 得到第一签名、 随机 数、 时间戳和明文数据， 通过随机数和时间戳验证明 文数据是否为重放数据包， 若是， 则拒绝响应， 若 否， 则利用明文数据生成第二签名， 对比第一签 名和第二签名是否一致， 以得到明文数据是否被 篡改的对比结果。 权利要求书2页 说明书7页 附图4页 CN 115442110 A 2022.12.06 CN 115442110 A 1.一种逻辑漏洞防护方法， 其特征在于， 应用于逻辑漏洞防护系统， 所述逻辑漏洞防护 系统包括： 客户端和服 务端； 所述方法包括： 所述客户端利用 用户token、 随机数、 时间戳以及明文数据生成第一签名； 所述客户端利用预置加密算法对所述第一签名、 所述随机数、 所述时间戳和所述明文 数据加密， 生成第一密文； 所述客户端对所述预置加密算法的初始向量和密钥分别进行加密， 生成第 二密文和第 三密文； 所述客户端将所述第一密文、 所述第二密文和所述第三密文发送至所述 服务端； 所述服务端对所述第二密文和所述第三密文进行解密， 得到所述初始向量和所述密 钥； 所述服务端利用所述初始向量和所述密钥对所述第 一密文进行解密， 得到所述第 一签 名、 所述随机数、 所述时间戳和所述明文数据； 所述服务端通过所述随机数和所述时间戳验证所述明文数据是否为重放数据包， 若 是， 则拒绝响应， 若否， 则 利用所述明文数据生成第二签名； 所述服务端对比所述第 一签名和所述第 二签名是否一致， 以得到所述明文数据 是否被 篡改的对比结果。 2.根据权利要求1所述的逻辑漏洞防护方法， 其特征在于， 通过所述随机数和所述 时间 戳验证所述明文数据是否为重放数据包， 具体包括： 以预置数据为时间跨度、 所述时间戳 为中心， 构建预设时间范围； 在本地数据库中查找是否位于所述预设时间范围内， 且与所述随机数相同的数据， 若 存在， 则判定所述明文数据为重放数据包， 若不存在， 则判定所述明文数据不为重放数据 包。 3.根据权利要求1所述的逻辑漏洞防护方法， 其特征在于， 对比所述第 一签名和所述第 二签名是否一 致， 以得到所述明文数据是否被篡改的对比结果， 具体包括： 对比所述第 一签名和所述第 二签名是否一致， 若是， 则判定所述明文数据 未被篡改并， 若否， 则判定所述明文数据被篡改并拒绝响应。 4.根据权利要求1所述的逻辑漏洞防护方法， 其特征在于， 所述预置加密算法为SM4算 法； 利用预置加密算法对所述第 一签名、 所述随机数、 所述 时间戳和所述明文数据加密， 生 成第一密文， 具体包括： 利用SM4算法的CBC模式对所述第一签名、 所述随机数、 所述时间戳和所述明文数据进 行加密， 生成第一密文。 5.根据权利要求1所述的逻辑漏洞防护方法， 其特征在于， 利用用户token、 随机数、 时 间戳以及明文数据生成第一签名， 具体包括： 通过摘要算法， 利用 用户token、 随机数、 时间戳以及明文数据生成第一签名。 6.一种逻辑漏洞防护系统， 其特 征在于， 包括： 客户端和服 务端； 所述客户端， 用于利用用户token、 随机数、 时间戳以及明文数据生成第一签名； 还用于 利用预置加密算法对 所述第一签名、 所述随机数、 所述时间戳和所述明文 数据加密， 生 成第权　利　要　求　书 1/2 页 2 CN 115442110 A 2一密文； 还用于对所述预置加密算法的初始向量和密钥分别进行加密， 生成第二密文和第 三密文； 还用于将所述第一密文、 所述第二密文和所述第三密文发送至所述 服务端； 所述服务端， 用于对所述第二密文和所述第三密文进行解密， 得到所述初始向量和所 述密钥； 还用于利用所述初始向量和所述密钥对所述第一密文进行解密， 得到所述第一签 名、 所述随机数、 所述时间戳和所述明文 数据； 还用于通过所述随机数和所述时间戳验证所 述明文数据是否为重放数据包， 若是， 则拒绝响应， 若否， 则利用所述明文数据生成第二签 名； 还用于对比所述第一签名 和所述第二签名是否一致， 以得到所述明文数据是否被篡改 的对比结果。 7.根据权利要求6所述的逻辑漏洞防护系统， 其特征在于， 通过所述随机数和所述 时间 戳验证所述明文数据是否为重放数据包， 具体包括： 以预置数据为时间跨度、 所述时间戳 为中心， 构建预设时间范围； 在本地数据库中查找是否位于所述预设时间范围内， 且与所述随机数相同的数据， 若 存在， 则判定所述明文数据为重放数据包， 若不存在， 则判定所述明文数据不为重放数据 包。 8.根据权利要求6所述的逻辑漏洞防护系统， 其特征在于， 对比所述第 一签名和所述第 二签名是否一 致， 以得到所述明文数据是否被篡改的对比结果， 具体包括： 对比所述第 一签名和所述第 二签名是否一致， 若是， 则判定所述明文数据 未被篡改并， 若否， 则判定所述明文数据被篡改并拒绝响应。 9.根据权利要求6所述的逻辑漏洞防护系统， 其特征在于， 所述预置加密算法为SM4算 法； 利用预置加密算法对所述第 一签名、 所述随机数、 所述 时间戳和所述明文数据加密， 生 成第一密文， 具体包括： 利用SM4算法的CBC模式对所述第一签名、 所述随机数、 所述时间戳和所述明文数据进 行加密， 生成第一密文。 10.根据权利 要求6所述的逻辑漏洞防护系统， 其特征在于， 利用用户token、 随机数、 时 间戳以及明文数据生成第一签名， 具体包括： 通过摘要算法， 利用 用户token、 随机数、 时间戳以及明文数据生成第一签名。权　利　要　求　书 2/2 页 3 CN 115442110 A 3