一种网络信息的安全保护方法及系统

1.本技术涉及信息安全技术领域，特别涉及一种网络信息的安全保护方法、系统、计算机可读存储介质和电子设备。


背景技术：

2.https请求是客户端到服务器端的请求信息，一般认为https请求不存在安全问题，但随着技术的发展，出现了一种新形式的针对https的中间人攻击。攻击者通过dns劫持、木马病毒向用户系统中插入信任证书等手段，使用伪造的证书，劫持了https请求，实现中间人攻击，对用户的财产安全、信息安全造成重大的安全隐患。目前，对于这种攻击方式，业界还没有成熟的解决方案。
3.因而，亟需提供一种针对上述现有技术不足的技术方案。


技术实现要素：

4.本技术的目的在于提供一种网络信息的安全保护方法、系统、计算机可读存储介质和电子设备，以解决或缓解上述现有技术中存在的问题。
5.为了实现上述目的，本技术提供如下技术方案：本技术提供一种网络信息的安全保护方法，包括：在应用端引入应用端插件，在所述应用端通过所述应用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端，在所述前端引入前端插件，通过所述前端插件对所述临时会话哈希、应用信息以及所述唯一标识进行拦截，并生成第一验证请求发送至所述服务器端；响应于服务器端接收到所述前端发送的第一验证请求，对所述第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；响应于所述合法性验证通过，由所述服务器端根据所述应用信息，生成第一请求信息，以及对所述第一请求信息进行处理，生成校验信息，并将所述合法性验证通过的结果和所述校验信息反馈至所述前端，由所述前端插件进行处理，以生成第二会话请求发送至所述应用端；响应于所述应用端接收到所述第二会话请求，由所述应用端插件进行处理，获取所述第二会话请求的第二请求信息，并发送到所述服务器端；所述服务器端根据接收到的所述第二请求信息中包含的所述校验信息，查找所述第一请求信息，并与所述第二请求信息进行比对；若所述服务器端未查找到所述第一请求信息，或者，所述第一请求信息与所述第二请求信息的比对结果不一致，则确认遇到中间人劫持。
6.优选的，所述应用端插件从多个所述服务器端中选取一个，将选取的所述服务器端的唯一标识反馈至所述前端插件。
7.优选的，基于加盐哈希算法或者加密算法，对所述临时会话哈希、应用信息以及唯一标识进行合法性验证。
8.优选的，对所述第一请求信息进行加盐哈希运算或加密运算，生成所述校验信息。
9.优选的，响应于所述合法性验证通过，将所述合法性验证通过的结果和所述校验
信息反馈至所述前端插件，以由所述前端插件在所述第一会话请求中加入所述临时会话哈希、所述唯一标识以及所述校验信息，生成所述第二会话请求。
10.优选的，所述应用端收到所述第二会话请求后，交由所述应用端插件进行处理，所述应用端插件根据所述临时会话哈希判断所述第二会话请求是否为合法请求，若所述第二会话请求为合法请求，则提取所述第二会话请求中的所述校验信息、所述第二请求信息发送到所述服务器端；若所述第二会话请求不是合法请求，则确认遇到中间人劫持。
11.优选的，响应于所述第一请求信息与所述第二请求信息的比对结果一致，所述服务器端将对结果返回至所述应用端，由所述应用端插件生成短期会话哈希，并将所述短期会话哈希返回至所述前端，由所述前端将所述短期会话哈希进行存储，并附加到后续请求参数中，所述前端使用所述短期会话哈希进行后续请求，所述应用端不再拦截。
12.本技术实施例还提供一种网络信息的安全保护系统，包括：第一验证请求生成单元，配置为在应用端引入应用端插件，在所述应用端通过所述应用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端并在所述前端引入前端插件，通过所述前端插件对所述临时会话哈希、应用信息以及所述唯一标识进行拦截，并生成第一验证请求发送至所述服务器端；合法性验证单元，配置为响应于所述服务器端接收到所述前端发送的第一验证请求，对所述第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；校验信息生成单元，配置为响应于所述合法性验证通过，由所述服务器端根据所述应用信息，生成第一请求信息，以及对所述第一请求信息进行处理，生成校验信息，并将所述合法性验证通过的结果和所述校验信息反馈至所述前端，由所述前端插件进行处理，以生成第二会话请求发送至所述应用端；第二验证请求生成单元，配置为响应于所述应用端接收到所述第二会话请求，由所述应用端插件进行处理，获取所述第二会话请求的第二请求信息，并发送到所述服务器端；信息比对单元，配置为所述服务器端根据接收到的所述第二请求信息中包含的所述校验信息，查找所述第一请求信息，并与所述第二请求信息进行比对；确认单元，配置为若所述服务器端未查找到所述第一请求信息，或者，所述第一请求信息与所述第二请求信息的比对结果不一致，则确认遇到中间人劫持。
13.本技术实施例还提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序为如上任一所述的网络信息的安全保护方法。
14.本技术实施例还提供一种电子设备，包括：存储器、处理器、以及存在所述存储器中并可在所述处理器上运行的程序，所述处理器执行所述程序时实现如权上任一所述的网络信息的安全保护方法。
有益效果
15.本技术实施例提供的网络信息的安全保护技术方案中，当应用端插件接收到前端插件发送的第一会话请求后，生成临时会话哈希、应用信息以及从多个服务器端中选择其中一个，并将临时会话哈希、应用信息以及选择的服务器端的唯一标识反馈至前端插件进行处理，由前端插件将生成的第一验证请求发送至选择的服务器端，由服务器端对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；若合法性验证未通过，向前端插件反馈异常信息，即认为遇到中间人劫持；若合法性验证通过，则服务器端
根据应用信息生成第一请求信息，对第一请求信息进行加密运算，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端插件，由前端插件生成第二会话请求并发送至应用端插件；当应用端插件接收到第二会话请求后，获取第二会话请求中的第二请求信息，生成第二验证信息发送至服务器端，由服务器端根据接收到的第二验证信息中包含的校验查找第一请求信息，并与第二请求信息进行比对；若服务器端未查找到第一请求信息，或者，查找到的第一请求信息与第二请求信息的比对结果不一致，则确认遇到中间人劫持。籍此，通过应用端插件和服务器端的结合，配合链路检测、会话过期等机制，实现了更为严谨、准确的对中间人劫持的防范，有效提高了信息、财产安全；而且，可以在前端通过javascript进行处理，不需要负责的设备，技术实现更加方便。
附图说明
16.构成本技术的一部分的说明书附图用来提供对本技术的进一步理解，本技术的示意性实施例及其说明用于解释本技术，并不构成对本技术的不当限定。其中：图1为根据本技术的一些实施例提供的一种网络信息的安全保护方法的流程示意图；图2为根据本技术的一些实施例提供的一种网络信息的安全保护方法的逻辑示意图；图3为根据本技术的一些实施例提供的一种网络信息的安全保护方法的架构示意图；图4为根据本技术的一些实施例提供的一种网络信息的安全保护方法的数据流图；图5为根据本技术的一些实施例提供的一种网络信息的安全保护系统的结构示意图；图6为根据本技术的一些实施例提供的电子设备的结构示意图；图7为根据本技术的一些实施例提供的电子设备的硬件结构图。
具体实施方式
17.下面将参考附图并结合实施例来详细说明本技术。各个示例通过本技术的解释的方式提供而非限制本技术。实际上，本领域的技术人员将清楚，在不脱离本技术的范围或精神的情况下，可在本技术中进行修改和变型。例如，示为或描述为一个实施例的一部分的特征可用于另一个实施例，以产生又一个实施例。因此，所期望的是，本技术包含归入所附权利要求及其等同物的范围内的此类修改和变型。
18.对于目前的出现的针对http的中间人攻击，攻击者通过dns劫持、木马病毒等方式向用户系统中插入信任证书等手段，使用伪造的证书，劫持http请求，完成中间人攻击。对于这种攻击方式，业界还没有成熟的解决方案，基于此，申请人提出了一种网络信息的安全保护方法，结合应用端插件和服务器端，配合链路检测、会话过期等机制，实现针对中间人劫持的有效防范。
19.如图1至图4所示，该网络信息的安全保护方法包括：步骤s101、在应用端引入应用端插件，在应用端通过应用端插件对第一会话请求
进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端；并在前端引入前端插件，通过前端插件对临时会话哈希、应用信息以及唯一标识进行拦截，并生成第一验证请求发送至服务器端。
20.本技术中，当应用端插件接收到第一会话请求，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端进行处理，以生成第一验证请求。
21.请求信息及反馈信息在前端和服务器间进行通讯，其中，服务器包括应用端插件和多个服务器端。在选取服务器端时，每个服务器端均具有唯一标识，通过应用端插件从多个服务器端中随机选取其中一个服务器端，对请求进行验证，并将选取的服务器端的唯一标识反馈装置前端插件，通过唯一标识即可实现该服务器端的标定，以有效避免伪造服务器端。在此，前端包括浏览器以及应用程序（application，简称app），应用程序可以在安卓端、苹果端、window客户端上进行部署的，在此，并不对此进行限制。为便于理解，本技术实施例中，以浏览器为例进行说明。
22.浏览器端请求应用端插件，向应用端插件发出第一会话请求，在第一回话请求中不包含认证信息，应用端插件调用其签名模块，生成第一会话请求的临时会话哈希（hash1）以及应用信息（比如，应用名称、会话token等），通过应用信息可有效标识请求来自于哪个应用、会话。同时，应用端插件从多个服务器端中选取其中一个，并将临时会话哈希（hash1）、应用信息以及选取的服务器端的唯一标识返回至浏览器端。
23.根据应用端插件配置的安全等级，临时会话哈希（hash1）、应用信息以及选取的服务器端的唯一标识具体通过简单重定向、简单ajax通讯、添加校验的重定向、添加校验的ajax、加密的重定向、加密的ajax通讯等不同的方式返回至浏览器端。
24.浏览器端收到应用端插件返回的临时会话哈希（hash1）、应用信息以及选取的服务器端的唯一标识后，根据配置的安全等级，对数据进行直接转发（如302跳转）、rsa加密等，生成第一验证请求，并提交到选择的服务器端。也就是说，第一验证请求中包含有临时会话哈希（hash1）、应用信息以及选取的服务器端的唯一标识。
25.步骤s102、服务器端接收到前端发送的第一验证请求，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证。
26.服务器端接收到浏览器端提交的第一验证请求后，调用服务器端的验证模块，基于加盐哈希算法或者加密算法（对称加密算法或非对称加密算法），对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性、有效性验证。也就是说，服务器端根据预置规则，对第一验证请求进行加盐哈希运算（加密运算），将得到的新的信息摘要与第一验证请求中包含的信息摘要进行比较，若得到的新的信息摘要与第一验证请求中包含的信息摘要一致，则第一验证请求的合法性验证通过。
27.本技术中，服务器端支持多种不同安全等级的数据校验算法，由应用端在应用端插件初始化时指定，按安全等级低到高排列，依次有简单重定向、带哈希重定向、带哈希的校验、(对数据进行)对称加密、(对数据进行)非对称加密等5个等级的校验算法。根据应用端插件所属服务器配置的不同安全等级，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识的合法性进行区别验证。
28.简单重定向在由应用端插件生成验证地址，并通过前端插件请求到服务器端，服务器端直接进行处理。带哈希重定向，应用端插件处理时，会附加额外的请求数据的加盐哈
希，服务器端也会对请求参数和哈希进行校验，防止伪造参数。带哈希的校验，应用端会额外附加处理后的浏览器信息，前端插件也会对浏览器信息进行处理，对请求参数添加额外的加盐哈希，服务器端会对浏览器信息和哈希信息进行校验。对称加密，会在前端对数据进行des加密，服务器端进行des数据解密。非对称加密，会在前端插件对数据进行rsa加密，在服务器对数据进行解密。
29.当应用端插件所属服务器配置的安全等级为一级时，对请求服务器端的配置、ip、网络节点路径、dns进行验证；如果通过，校验成功，如果不通过，则为劫持直接进行302直接跳转。
30.当应用端插件所属服务器配置的安全等级为二级时，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行加盐哈希验证。根据第一验证请求中的唯一标识，在数据库中查找hash值与盐值；将盐值和hash与请求过来的哈希值进行匹配校验；如果通过，校验成功，如果不通过，则为劫持。
31.当应用端插件所属服务器配置的安全等级为三级时，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行对称加密密钥验证。本地对称加密密钥算法可选des、desede或者aes。对第一验证请求发送的公钥，服务器端使用本地密钥进行解密后，进行比对；如果通过，校验成功，如果不通过，则为劫持。
32.当应用端插件所属服务器配置的安全等级为四级时，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行非对称加密验证，其中，非对称加密算法有：rsa、ecc（移动设备用）、diffie-hellman、el gamal、dsa等。服务器端用自己保存的专用密钥对加密后的信息进行解密；进行比对，如果通过，校验成功，如果不通过，则为劫持。
33.步骤s103、响应于合法性验证通过，由服务器端根据应用信息，生成第一请求信息，以及对第一请求信息进行处理，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端，由前端插件进行处理，以生成第二会话请求发送至应用端。
34.若服务器端对第一验证请求的合法性验证通过，则使用应用信息，生成第一请求信息（info1），第一请求信息中包含但不限于请求者的链路、请求者ip等。
35.然后，服务器端将第一请求信息存储到其存储模块中，并调用其签名模块对第一请求信息进行运算，得到校验信息（hash2），具体的，服务器端调用其签名模块对第一请求信息进行加盐哈希运算或rsa运算，生成校验信息。
36.服务器端将合法性验证的结果返回给浏览器端（前端插件），若服务器端对第一验证请求的合法性验证未通过，则将验证未通过的异常结果直接返回给浏览器；若服务器端对第一验证请求的合法性验证通过，则将合法性验证通过的结果和校验信息一起返回至浏览器端。
37.浏览器端接收到服务器端反馈后，根据合法性验证结果，执行下一步操作，若合法性验证未通过，则浏览器端直接抛出异常，即遇到中间人劫持。若合法性验证通过，则浏览器端将临时会话哈希（hash1）、校验信息（hash2）等信息附加到请求中，生成第二回话请求。具体的，响应于合法性验证通过，将合法性验证通过的结果和校验信息反馈至前端插件，以由前端插件在第一会话请求中加入临时会话哈希、唯一标识以及校验信息，生成第二会话请求，并再次请求应用端。
38.步骤s104、响应于应用端接收到第二会话请求，由应用端插件进行处理，获取第二
会话请求的第二请求信息，并发送到服务器端。
39.具体的，应用端收到第二会话请求后，交由应用端插件进行处理，应用端插件根据临时会话哈希判断第二会话请求是否为合法请求，若第二会话请求为合法请求，则提取第二会话请求中的校验信息、第二请求信息发送到服务器端；若第二会话请求不是合法请求，则确认遇到中间人劫持。
40.也就是说，当应用端收到浏览器端发出的第二会话请求后，调用应用端插件（信息模块），使用临时会话哈希判断第二会话请求是否为合法请求，若第二会话请求是合法请求，从第二会话请求中获取本次请求的请求信息（即第二请求信息（info2））和校验信息,发送至选取的服务器端。具体的，应用端根据临时会话哈希（hash1）找到选取的服务器端，并使用校验信息（hash2）、第二请求信息（info2）等参数请求服务器端。在通过临时会话哈希判断第二会话请求是否合法时，可以通过解析临时会话哈希的md5值，并将其与应用端第一会话请求时存储的md5值进行比对，若临时会话哈希的md5值与应用端存储的第一会话请求的md5值一致，则认为第二会话请求为合法请求。
41.步骤s105、服务器端根据接收到的第二请求信息中包含的校验信息，查找第一请求信息，并与第二请求信息进行比对。
42.服务器端收到应用端发送的第二请求信息后，根据校验信息（hash2）在其存储模块中查找对应存储的第一请求信息（info1）；若查找对应存储的第一请求信息（info1），则将第二请求信息（info2）与第一请求信息（info1）进行比对，并将比对结果发送给浏览器端。具体的，由服务器端对第二请求信息（info2）中的信息摘要与第一请求信息（info1）中的信息摘要进行比较，若第二请求信息（info2）中的信息摘要与第一请求信息（info1）中的信息摘要一致，则认为第二请求信息（info2）与第一请求信息（info1）一致。其中，信息摘要的获取参见步骤s102，在此不再一一赘述。
43.步骤s106、若服务器端未查找到第一请求信息，或者，第一请求信息与第二请求信息的比对结果不一致，则确认遇到中间人劫持。
44.本技术中，若服务器端在其存储模块中未查找对应的第一请求信息（info1），则认为遇到中间人攻击，抛出错误，验证失败；若服务器端在其存储模块中查找对应的第一请求信息（info1），则对第二请求信息（info2）与第一请求信息（info1）进行比对，若比对结果不一致，则认为遇到中间人攻击（中间人劫持），抛出错误，验证失败。
45.服务器端将比对结果返回至应用端插件，由应用端插件根据验证结果（比对结果是否一致、是否查找到第一请求信息（info1））进行处理，若验证失败，则认为遭遇中间人攻击，返回验证异常结果。
46.若验证成功，服务器端将比对一致的验证结果返回给应用端插件，则应用端插件调用其签名模块随机生成短期内有效的回话哈希（即短期会话哈希，hash3），并附加到请求返回参数中。具体的，响应于第一请求信息与第二请求信息的比对结果一致，服务器端将比对结果返回至应用端，由应用端插件生成短期会话哈希，并将短期会话哈希返回至前端，由前端将短期会话哈希进行存储，并附加到后续请求参数中，前端使用短期会话哈希进行后续请求，应用端不再拦截。
47.也就是说，浏览器端（前端）在接收到短期会话哈希（hash3），将短期会话哈希（hash3）存储到本地，在后续的每次请求中，均将短期会话哈希（hash3）附加到请求中，应用
端对附加有短期会话哈希（hash3）的请求不再进行拦截。当短期会话哈希（hash3）过期后，再次请求时，重复建立短期会话哈希（hash3）的过程，建立新的回话哈希。
48.籍此，通过应用端插件和服务器端的结合，配合链路检测、会话过期等机制，实现了更为严谨、准确的对中间人劫持的防范，有效提高了信息、财产安全；而且，可以在浏览器端（前端插件）通过javascript进行处理，不需要复杂的设备，技术实现更加方便。
49.本技术实施例还提供一种网络信息的安全保护系统，如图5所示，该网络信息的安全保护系统包括：第一验证请求生成单元501、合法性验证单元502、校验信息生成单元503、第二验证请求生成单元504、信息比对单元505和确认单元506。
50.其中，第一验证请求生成单元501，配置为在应用端引入应用端插件，在应用端通过应用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端；并在前端引入前端插件，通过前端插件对临时会话哈希、应用信息以及唯一标识进行拦截，并生成第一验证请求发送至服务器端。
51.合法性验证单元502，配置为响应于服务器端接收到前端发送的第一验证请求，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证。
52.校验信息生成单元503，配置为响应于合法性验证通过，由服务器端根据应用信息，生成第一请求信息，以及对第一请求信息进行处理，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端，由前端插件进行处理，生成第二会话请求发送至应用端。
53.第二验证请求生成单元504，配置为响应于应用端接收到第二会话请求，由应用端插件进行处理，获取第二会话请求的第二请求信息，并发送到服务器端。
54.信息比对单元505，配置为服务器端根据接收到的第二请求信息中包含的校验信息，查找第一请求信息，并与第二请求信息进行比对。
55.确认单元506，配置为若服务器端未查找到第一请求信息，或者，第一请求信息与第二请求信息的比对结果不一致，则确认遇到中间人劫持。
56.本技术实施例提供的网络信息的安全保护系统能够实现上述任一实施例的网络信息的安全保护方法的步骤、流程，并达到相同的技术效果，在此不再一一赘述。
57.图6为根据本技术的一些实施例提供的电子设备的结构示意图；如图6所示，该电子设备包括：一个或多个处理器601；计算机可读介质，可以配置为存储一个或多个程序602，一个或多个处理器601执行一个或多个程序602时，实现如下步骤：在应用端引入应用端插件，在应用端通过应用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端，在前端引入前端插件，通过前端插件对临时会话哈希、应用信息以及唯一标识进行拦截，并生成第一验证请求发送至服务器端；服务器端接收到前端发送的第一验证请求，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；响应于合法性验证通过，由服务器端根据应用信息，生成第一请求信息，以及对第一请求信息进行处理，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端，由前端插件进行处理，以生成第二会话请求发送至应用端；响应于应用端接收到第二会话请求，由应用端插件进行处理，获取第二会话请求的第二请求信息，并发送到服务器端；服务器端根据接收到的第二请求信息中包含的校验信息，查找第一请求信息，并与第二请求信
息进行比对；若服务器端未查找到第一请求信息，或者，第一请求信息与第二请求信息的比对结果不一致，则确认遇到中间人劫持。
58.图7为根据本技术的一些实施例提供的电子设备的硬件结构；如图7所示，该电子设备的硬件结构可以包括：处理器701、通信接口702、计算机可读介质703和通信总线704。
59.其中，处理器701、通信接口702、计算机可读存储介质703通过通信总线704完成相互间的通信。
60.可选地，通信接口702可以为通信模块的接口，如gsm模块的接口。
61.其中，处理器701具体可以配置为：在应用端引入应用端插件，在应用端通过应用端插件对第一会话请求，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端，在前端引入前端插件，通过前端插件对临时会话哈希、应用信息以及唯一标识进行拦截，并生成第一验证请求发送至服务器端；服务器端接收到前端发送的第一验证请求，对第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；响应于合法性验证通过，由服务器端根据应用信息，生成第一请求信息，以及对第一请求信息进行处理，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端，由前端插件进行处理，以生成第二会话请求发送至应用端；响应于应用端接收到第二会话请求，由应用端插件进行处理，获取第二会话请求的第二请求信息，并发送到服务器端；服务器端根据接收到的第二请求信息中包含的校验信息，查找第一请求信息，并与第二请求信息进行比对；若服务器端未查找到第一请求信息，或者，第一请求信息与第二请求信息的比对结果不一致，则确认遇到中间人劫持。
62.处理器701可以是通用处理器，包括中央处理器（central processing unit，简称cpu）、网络处理器（network processor，简称np）等，还可以是数字信号处理器（dsp）、专用集成电路（asic）、现成可编程门阵列（fpga）或者其它可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本技术实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
63.本技术实施例的电子设备以多种形式存在，包括但不限于：（1）移动通信设备：这类设备的特点是具备移动通信功能，并且以提供话音、数据通信为主要目标。这类终端包括：智能手机（例如：iphone）、多媒体手机、功能性手机，以及低端手机等。
64.（2）超移动个人计算机设备：这类设备属于个人计算机的范畴，有计算和处理功能，一般也具备移动上网特性。这类终端包括：pda、mid和umpc设备等，例如ipad。
65.（3）便携式娱乐设备：这类设备可以显示和播放多媒体内容。该类设备包括：音频、视频播放器（例如：ipod），掌上游戏机，电子书，以及智能玩具和便携式车载导航设备。
66.（4）服务器：提供计算服务的设备，服务器的构成包括处理器、硬盘、内存、系统总线等，服务器和通用的计算机架构类似，但是由于需要提供高可靠的服务，因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
67.（5）其它具有数据交互功能的电子装置。
68.需要指出，根据实施的需要，可将本技术实施例中描述的各个部件/步骤拆分为更多部件/步骤，也可以将两个或多个部件/步骤或者部件/步骤的部分操作组合成新的部件/步骤，以实现本技术实施例的目的。
69.上述根据本技术实施例的方法可在硬件、固件中实现，或者被实现为可存储在记录介质（诸如cd rom、ram、软盘、硬盘或磁光盘）中的软件或计算机代码，或者被实现通过网络下载的原始存储在远程记录介质或非暂时机器存储介质中并将被存储在本地记录介质中的计算机代码，从而在此描述的方法可被存储在使用通用计算机、专用处理器或者可编程或专用硬件（诸如asic或fpga）的记录介质上的这样的软件处理。可以理解，计算机、处理器、微处理器控制器或可编程硬件包括可存储或接收软件或计算机代码的存储组件（例如，ram、rom、闪存等），当软件或计算机代码被计算机、处理器或硬件访问且执行时，实现在此描述的网络信息的安全保护方法。此外，当通用计算机访问用于实现在此示出的方法的代码时，代码的执行将通用计算机转换为用于执行在此示出的方法的专用计算机。
70.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的单元及方法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和涉及约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术实施例的范围。
71.需要说明的是，本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其它实施例的不同之处。尤其，对于设备及系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。
72.以上所描述得设备及系统实施例仅仅是示意性的，其中作为分离不见说明的单元可以使或者也可以不是物理上分开的，作为单元提示的不见可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
73.以上所述仅为本技术的优选实施例，并不用于限制本技术，对于本领域的技术人员来说，本技术可以有各种更改和变化。凡在本技术的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种网络信息的安全保护方法，其特征在于，包括：在应用端引入应用端插件，在所述应用端通过所述应用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端；在所述前端引入前端插件，通过所述前端插件对所述临时会话哈希、应用信息以及所述唯一标识进行拦截，并生成第一验证请求发送至所述服务器端；所述服务器端接收到所述前端发送的第一验证请求，对所述第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；响应于所述合法性验证通过，由所述服务器端根据所述应用信息，生成第一请求信息，以及对所述第一请求信息进行处理，生成校验信息，并将所述合法性验证通过的结果和所述校验信息反馈至所述前端，由所述前端插件进行处理，以生成第二会话请求发送至所述应用端；响应于所述应用端接收到所述第二会话请求，由所述应用端插件进行处理，获取所述第二会话请求的第二请求信息，并发送到所述服务器端；所述服务器端根据接收到的所述第二请求信息中包含的所述校验信息，查找所述第一请求信息，并与所述第二请求信息进行比对；若所述服务器端未查找到所述第一请求信息，或者，所述第一请求信息与所述第二请求信息的比对结果不一致，则确认遇到中间人劫持。2.根据权利要求1所述的网络信息的安全保护方法，其特征在于，所述应用端插件从多个所述服务器端中选取一个，将选取的所述服务器端的唯一标识反馈至所述前端插件。3.根据权利要求1所述的网络信息的安全保护方法，其特征在于，基于加盐哈希算法、加密算法，对所述临时会话哈希、应用信息以及唯一标识进行合法性验证。4.根据权利要求1所述的网络信息的安全保护方法，其特征在于，对所述第一请求信息进行加盐哈希运算、加密运算，生成所述校验信息。5.根据权利要求1所述的网络信息的安全保护方法，其特征在于，响应于所述合法性验证通过，将所述合法性验证通过的结果和所述校验信息反馈至所述前端插件，以由所述前端插件在所述第一会话请求中加入所述临时会话哈希、所述唯一标识以及所述校验信息，生成所述第二会话请求。6.根据权利要求1所述的网络信息的安全保护方法，其特征在于，所述应用端收到所述第二会话请求后，交由所述应用端插件进行处理，所述应用端插件根据所述临时会话哈希判断所述第二会话请求是否为合法请求，若所述第二会话请求为合法请求，则提取所述第二会话请求中的所述校验信息、所述第二请求信息发送到所述服务器端；若所述第二会话请求不是合法请求，则确认遇到中间人劫持。7.根据权利要求1所述的网络信息的安全保护方法，其特征在于，还包括：响应于所述第一请求信息与所述第二请求信息的比对结果一致，所述服务器端将比对结果返回至所述应用端，由所述应用端插件生成短期会话哈希，并将所述短期会话哈希返回至所述前端，由所述前端将所述短期会话哈希进行存储，并附加到后续请求参数中，所述前端使用所述短期会话哈希进行后续请求，所述应用端不再拦截。8.一种网络信息的安全保护系统，其特征在于，还包括：第一验证请求生成单元，配置为在应用端引入应用端插件，在所述应用端通过所述应
用端插件对第一会话请求进行拦截，将生成的临时会话哈希、应用信息以及选取的服务器端的唯一标识反馈至前端；并在所述前端引入前端插件，通过所述前端插件对所述临时会话哈希、应用信息以及所述唯一标识进行拦截，并生成第一验证请求发送至所述服务器端；合法性验证单元，配置为响应于所述服务器端接收到所述前端发送的第一验证请求，对所述第一验证请求中包含的临时会话哈希、应用信息以及唯一标识进行合法性验证；校验信息生成单元，配置为响应于所述合法性验证通过，由所述服务器端根据所述应用信息，生成第一请求信息，以及对所述第一请求信息进行处理，生成校验信息，并将所述合法性验证通过的结果和所述校验信息反馈至所述前端，由所述前端插件进行处理，以生成第二会话请求发送至所述应用端；第二验证请求生成单元，配置为响应于所述应用端接收到所述第二会话请求，由所述应用端插件进行处理，获取所述第二会话请求的第二请求信息，并发送到所述服务器端；信息比对单元，配置为所述服务器端根据接收到的所述第二请求信息中包含的所述校验信息，查找所述第一请求信息，并与所述第二请求信息进行比对；确认单元，配置为若所述服务器端未查找到所述第一请求信息，或者，所述第一请求信息与所述第二请求信息的比对结果不一致，则确认遇到中间人劫持。9.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述计算机程序为如权利要求1-7任一所述的网络信息的安全保护方法。10.一种电子设备，其特征在于，包括：存储器、处理器、以及存在所述存储器中并可在所述处理器上运行的程序，所述处理器执行所述程序时实现如权利要求1-7任一所述的网络信息的安全保护方法。

技术总结
本申请提供一种网络信息的安全保护方法及系统。该方法中：由应用端插件对第一会话请求进行拦截，将生成的信息反馈至前端，由前端插件生成第一验证请求；服务器端对第一验证请求中包含的信息进行合法性验证；当合法性验证通过，服务器端对生成第一请求信息进行运算，生成校验信息，并将合法性验证通过的结果和校验信息反馈至前端，由前端插件生成第二会话请求，发送至应用端插件；应用端插件获取第二会话请求中的第二请求信息发送到服务器端，由服务器端根据校验信息，查找第一请求信息并与第二请求信息进行比对；当服务器端未查找到第二请求信息，或者，第二请求信息与存储的信息的比对不一致，确认遇到中间人劫持。确认遇到中间人劫持。确认遇到中间人劫持。


技术研发人员：伍京华 周广娟 刘营 孙怡 曹瑞阳 张亚
受保护的技术使用者：中国矿业大学（北京）
技术研发日：2023.07.13
技术公布日：2023/8/14