CN105100030B - 访问控制方法、系统和装置 - Google Patents
访问控制方法、系统和装置 Download PDFInfo
- Publication number
- CN105100030B CN105100030B CN201410220722.8A CN201410220722A CN105100030B CN 105100030 B CN105100030 B CN 105100030B CN 201410220722 A CN201410220722 A CN 201410220722A CN 105100030 B CN105100030 B CN 105100030B
- Authority
- CN
- China
- Prior art keywords
- user
- behavior
- client
- authorization code
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了访问控制方法、系统和装置:服务端接收客户端通过加密链路发送来的授权码获取请求,其中携带有客户端的认证标识;服务端确定接收到的认证标识合法,生成授权码,并将该授权码通过加密链路发送给客户端;服务端接收客户端发送来的资源获取请求,其中携带有该授权码,并对该授权码进行认证,认证通过,向客户端返回资源。应用本发明所述方案,能够提高访问的安全性。
Description
技术领域
本发明涉及网络技术,特别涉及访问控制方法、系统和装置。
背景技术
现有技术中,客户端在向服务端发起访问请求,以请求相关资源时,服务端通常会先对客户端进行认证,以确定请求是否合法,认证成功,再向客户端返回其所请求的资源。
所述认证的具体实现方式通常为:客户端按照预定的加密算法和密钥对客户端信息进行加密,并将生成的加密结果发送给服务端,相应地,服务端进行解密认证,认证通过,向客户端返回其所请求的资源。
但是,上述方式在实际应用中会存在一定的问题,如:客户端所使用的加密算法和密钥可能会被破解或泄漏,另外,客户端发送给服务端的加密串可能会被抓包拦截从而盗用,以上均会降低访问的安全性。
发明内容
有鉴于此,本发明提供了访问控制方法、系统和装置,能够提高访问的安全性。
为了达到上述目的,本发明的技术方案是这样实现的:
一种访问控制方法,包括:
服务端接收客户端通过加密链路发送来的授权码获取请求,其中携带有所述客户端的认证标识;
所述服务端确定接收到的认证标识合法,生成授权码,并将所述授权码通过所述加密链路发送给所述客户端;
所述服务端接收所述客户端发送来的资源获取请求,其中携带有所述授权码,并对所述授权码进行认证,认证通过,向所述客户端返回资源。
一种访问控制系统,包括:
客户端,用于通过加密链路向服务端发送授权码获取请求,其中携带有所述客户端的认证标识;通过所述加密链路接收所述服务端返回的授权码,并向所述服务端发送资源获取请求,其中携带有所述授权码;接收所述服务端返回的资源;
所述服务端,用于接收所述客户端发送来的授权码获取请求,当确定其中携带的所述认证标识合法时,生成授权码,并将所述授权码通过所述加密链路发送给所述客户端;接收所述客户端发送来的资源获取请求,并对其中携带的所述授权码进行认证,认证通过,向所述客户端返回资源。
一种客户端,包括:
第一处理模块,用于通过加密链路发送授权码获取请求,其中携带有所述客户端的认证标识,并通过所述加密链路接收授权码,发送给第二处理模块;
所述第二处理模块,用于发送资源获取请求,其中携带有所述授权码,并接收所请求的资源。
一种服务端,包括:
第三处理模块,用于通过加密链路接收授权码获取请求,当确定其中携带的认证标识合法时,生成授权码,并将所述授权码通过所述加密链路进行发送;
第四处理模块,用于接收资源获取请求,并对其中携带的所述授权码进行认证,认证通过,返回资源。
可见,采用本发明所述方案,客户端通过加密链路将认证标识发送给服务端,服务端在确定认证标识合法后,生成授权码,并通过加密链路返回给客户端,客户端只有在获取到正确的授权码后,才能进一步从服务端获取资源,即访问才能成功;相比于现有技术,本发明所述方案中的授权码在服务端生成,且认证标识和授权码均通过加密链路传输,因此被破解或抓包拦截等的可能性很小,从而提高了访问的安全性。
附图说明
图1为本发明访问控制方法实施例的流程图。
图2为本发明服务端确定授权码获取请求中携带的用户标识是否合法的过程示意图。
图3为本发明访问控制系统实施例的组成结构示意图。
图4为本发明客户端实施例的组成结构示意图。
图5为本发明服务端实施例的组成结构示意图。
具体实施方式
针对现有技术中存在的问题,本发明中提出一种访问控制方案,能够提高访问的安全性。服务端接收客户端通过加密链路发送来的授权码获取请求,其中携带有客户端的认证标识;服务端确定接收到的认证标识合法,生成授权码,并将该授权码通过加密链路发送给客户端;服务端接收客户端发送来的资源获取请求,其中携带有该授权码,并对该授权码进行认证,认证通过,向客户端返回资源。其中,所述认证标识可为加密版本标识或用户标识等。
为了使本发明的技术方案更加清楚、明白,以下参照附图并举实施例,对本发明所述方案作进一步的详细说明。
图1为本发明访问控制方法实施例的流程图。假设本实施例中的认证标识为加密版本标识,如图1所示,包括以下步骤11~13。
步骤11:服务端接收客户端通过加密链路发送来的授权码获取请求,其中携带有客户端的加密版本标识。
本发明所述方案中,客户端在向服务端发起正式的访问请求,以请求相关资源之前,需要先从服务端获取一个授权码。
为此,客户端需要先向服务端发送授权码获取请求,授权码获取请求的具体格式不作限制,但其中需要携带有客户端预先获取并保存的加密版本标识,另外,通常还需要进一步携带有客户端信息。
加密版本标识为一个加密字节序列。加密字节序列可表现为若干个连续的字节,即内存数据,如果需要,可以通过各种方式表示成字符串。
加密版本标识可预先写入到客户端中,并可采用隐藏混淆算法进行隐藏,以使得恶意对手难以猜解。隐藏混淆算法是一种可以对移动代码和软件知识产权等进行保护的程序变换技术。
客户端信息可包括设备信息和用户信息,如IP地址、用户名、硬件信息等,具体包括哪些信息同样可根据实际需要而定。
步骤12:服务端确定接收到的加密版本标识合法,生成授权码,并将该授权码通过加密链路发送给客户端。
服务端接收到来自客户端的授权码获取请求后,可首先确定其中携带的加密版本标识是否位于预先生成的加密版本标识白名单中,如果是,则可确定该加密版本标识合法,即确定该加密版本标识有效,从而继续后续处理,否则,可结束本次访问。
当确定该加密版本标识合法之后,服务端可对授权码获取请求中携带的客户端信息和加密版本标识进行加密,从而得到一个加密字节序列,并将该加密字节序列作为授权码,通过加密链路发送给客户端。
具体如何进行加密不作限制,只要采用对称加密算法,以便后续服务端可相应地进行解密即可。
步骤11和步骤12中所述的加密链路可以为安全套接层(SSL,Secure SocketsLayer)链路等,或者,也可以使用私有协议进行加密传输。
步骤13:服务端接收客户端发送来的资源获取请求,其中携带有该授权码,并对该授权码进行认证,认证通过,向客户端返回资源。
客户端获取到授权码之后,即可向服务端发送资源获取请求,其中需要携带有该授权码,资源获取请求无需通过加密链路进行传输。
资源获取请求的具体格式不作限制。
资源获取请求到达服务端后,服务端可首先对其中携带的授权码进行解密,即采用与加密得到授权码时所采用的加密方式相对应的解密方式,对授权码进行解密,如果解密失败,则可结束本次访问,如果解密成功,则可进一步确定解密得到的信息是否合法,如果是,则向客户端返回资源,否则,可结束本次访问。
以上所述结束本次访问仅为一种可能的处理方式,在实际应用中,还可以采用其它处理方式,如对访问速度进行控制等。
通过上述步骤11~步骤13,即成功(正常)地完成了一次客户端对服务端的访问流程。
在此基础上,为了进一步提高访问的安全性,本发明所述方案中还提出:当确定满足预定条件时,服务端可对客户端进行升级,升级后的客户端将采用新的加密版本标识,如何进行升级为现有技术。
所述满足预定条件可包括以下之一:通过数据分析确定升级之前的加密版本标识已经为不安全的加密版本标识、到达预定的升级时间。
其中,到达预定的升级时间可以是指:每经过预定时长,则进行一次升级,如每经过一周的时间,则进行一次升级。
如何通过数据分析确定升级之前的加密版本标识是否已经为不安全的加密版本标识可根据实际需要而定,可采用本领域技术人员能够想到的任意方式。
举例说明:按照图1所示流程可知,每一次正常的访问流程中,客户端会发送一个授权码获取请求,服务端也会接收到一个授权码获取请求,另外,客户端会发送一个资源获取请求,服务端也会接收到一个资源获取请求,比例一致;如果比例不一致,如某段时间内,客户端发送授权码获取请求的次数和服务端接收到授权码获取请求的次数相差较大,那么则可认为客户端的加密版本标识已经发生了泄漏并被恶意使用,即变为不安全的了。
另外,在实际应用中,可设置授权码的有效使用次数或有效使用时长,也就是说,每个授权码不是持续有效的,这样,即使恶意者通过抓取资源获取请求的数据包获得了一个授权码,也不可以一直使用该授权码,从而尽可能地防止了资源被盗用,有效使用次数和有效使用时长的具体取值均可根据实际需要而定。
如前所述,客户端可采用隐藏混淆算法来对保存在自身的加密版本标识进行隐藏,以使得恶意对手难以猜解,较佳地,对于不同版本的加密版本标识,可采用不同的隐藏混淆算法,相应地,在对客户端进行升级时,除了需要更新加密版本标识外,还需要对隐藏混淆算法进行更新。另外,对于不同版本的加密版本标识,服务端在生成授权码时,可采用不同的加密方式。
对于升级之前的旧版本的加密版本标识,可允许客户端继续对其使用一段时间,但可对其使用行为进行一定的限制,如对访问速度进行控制等,或者,也可在升级完成之后即对旧版本的加密版本标识进行禁用。
上述实施例中,以客户端发送给服务端的授权码获取请求中携带的认证标识为加密版本标识为例进行说明,如前所述,认证标识还可为用户标识等。
如果认证标识为用户标识,那么服务端接收到客户端通过加密链路发送来的授权码获取请求之后,确定其中携带的用户标识是否合法,如果合法,则生成授权码,并将该授权码通过加密链路发送给客户端,后续实现与图1所示实施例中相同,不再赘述。
具体地,图2为本发明服务端确定授权码获取请求中携带的用户标识是否合法的过程示意图。如图2所示,包括以下步骤21~23。
步骤21:服务端获取该用户标识对应的用户的历史行为记录。
用户的历史行为记录至少包括用户的用户标识、用户执行的行为的行为标识、用户使用的客户端的客户端标识和用户执行该行为的发生时间等。用户执行的行为包括请求资源、登录账户、搜索资源、访问资源列表、注册账户、安装应用、升级应用和/或请求广告等。
在实际应用中,用户标识可以为用户使用的客户端的介质访问控制(MAC,MediaAccess Control)地址或客户识别模块(SIM,Subscriber Identity Module)卡的卡号;或者用户标识可以为根据客户端的MAC地址或SIM卡的卡号进行哈希运算得到的哈希值或消息摘要算法第五版(MD5,Message Digest Algorithm5)值;或者,用户标识可以为服务端在用户使用的客户端中的cookie中栽种的个人信息等。
在执行步骤21之前,服务端可通过统计分析,收集每个用户的历史行为记录,具体方式不作限制。
步骤22:服务端根据用户的历史行为记录,计算用户为正常用户的正常概率以及为异常用户的异常概率。
具体地,本步骤可以通过如下A至D的步骤来实现。
A、根据用户的历史行为记录,从正常行为特征集合中获取用户的历史行为符合规定的正常行为特征。
正常行为特征集合包括至少一个正常行为特征和至少一个正常行为特征中的每个正常行为特征对应的权重。
正常行为特征集合可以包括如下第一至第四四条正常行为特征中的至少一条:
第一、用户在请求资源之前最近的预设时间内执行过预设行为,用户请求资源使用的客户端和用户执行预设行为使用的客户端相同,预设行为包括请求广告、登录账户、搜索资源和/或访问资源列表等行为;
第二、用户执行过前后台切换行为;
第三、用户执行过注册账户行为;
第四、用户执行过升级应用行为。
可以通过如下方式分别判断该用户的行为是否符合上述第一至第四条正常行为特征的规定。
对于上述第一条正常行为特征,从该用户的历史行为记录中获取该用户每次请求资源的发生时间;根据该用户的历史行为记录,判断在该发生时间之前最近的预设时间内该用户是否执行过预设行为,预设时间可以为半小时或一小时等。如果没有执行过预设行为,则确定该用户的行为不符合上述第一条正常行为特征的规定,如果执行过预设行为,则根据该用户的历史行为记录中存储的每次执行行为所使用的客户端地址,判断该用户执行请求资源所使用的客户端和该用户执行预设行为所使用的客户端是否相同。如果相同,则确定该用户的行为符合上述第一条正常行为特征的规定,如果不同,则确定该用户的行为不符合上述第一条正常行为特征的规定。
对于上述第二条正常行为特征,判断该用户的历史行为记录中是否存在前后台切换的行为标识,如果存在,则确定该用户的行为符合上述第二条正常行为特征的规定,如果不存在,则确定该用户的行为不符合上述第二条正常行为特征的规定。
对于上述第三条正常行为特征,判断该用户的历史行为记录中是否存在注册账户的行为标识,如果存在,则确定该用户的行为符合上述第三条正常行为特征的规定,如果不存在,则确定该用户的行为不符合上述第三条正常行为特征的规定。
对于上述第四条正常行为特征,判断该用户的历史行为记录中是否存在升级应用的行为标识,如果存在,则确定该用户的行为符合上述第四条正常行为特征的规定,如果不存在,则确定该用户的行为不符合上述第四条正常行为特征的规定。
B、根据获取的每条正常行为特征对应的权重和正常行为特征集合包括的正常行为特征的数目,计算该用户为正常用户的正常概率。
具体地,对获取的每条正常行为特征对应的权重进行求和运算,得到第一数值,计算第一数值与正常行为特征集合中包括的正常行为特征的数目之间的第一比值,将计算的第一比值作为该用户为正常用户的正常概率。
C、根据该用户的历史行为记录,从异常行为特征集合中获取该用户的行为符合规定的异常行为特征。
异常行为特征集合包括至少一个异常行为特征和至少一个异常行为特征中的每个异常行为特征对应的权重。
异常行为特征集合包括如下第一至第五五条异常行为特征中的至少一条:
第一、用户在请求资源之前最近的预设时间内没有执行过预设行为,预设行为包括请求广告、登录账户、搜索资源和/或访问资源列表等行为;
第二、用户没有执行过前后台切换行为;
第三、用户没有执行过升级应用行为;
第四、同一用户同时请求多个资源;
第五、同一用户在不同地点同时请求资源。
可以通过如下方式分别判断该用户的行为是否符合上述第一至第五五条异常行为特征的规定,包括:
对于上述第一异常行为特征,从该用户的历史行为记录中获取该用户每次请求资源的发生时间。根据该用户的历史行为记录,判断在该发生时间之前最近的预设时间内是否执行过预设行为,预设时间可以为半小时或一小时等。如果没有执行过任何预设行为,则确定该用户的行为符合第一条异常行为特征的规定,如果执行过至少一个预设行为,则确定该用户的行为不符合第一条异常行为特征的规定。
对于上述第二条异常行为特征,判断该用户的历史行为记录中是否存在前后台切换的行为标识,如果不存在,则确定该用户的行为符合第二条异常行为特征的规定,如果存在,则确定该用户的行为不符合第二条异常行为特征的规定。
对于上述第三条异常行为特征,判断该用户的历史行为记录中是否存在升级应用的行为标识,如果不存在,则确定该用户的行为符合第三条异常行为特征的规定,如果存在,则确定该用户的行为不符合第三条异常行为特征的规定。
对于上述第四条异常行为特征,根据该用户的历史行为记录,获取该用户每次请求资源的发生时间,根据该用户每次请求资源的发生时间,确定该用户是否同时请求多个资源,如果是,则确定该用户的行为符合第四条异常行为特征的规定,否则,则确定该用户的行为不符合第四条异常行为特征的规定。
对于上述第五条异常行为特征,根据该用户的历史行为记录,获取该用户每次请求资源的发生时间和每次请求资源使用的客户端的客户端地址,根据该用户每次请求资源使用的客户端的客户端地址,获取该用户每次请求资源的位置,根据该用户每次请求资源的发生时间和位置,确定该用户是否在不同地点同时请求多个资源,如果是,则确定该用户的行为符合第五条异常行为特征的规定,否则,则确定该用户的行为不符合第五条异常行为特征的规定。
D、根据获取的每条异常行为特征对应的权重和异常行为特征集合包括的异常行为特征的数目,计算该用户为异常用户的异常概率。
具体地,对获取的每条异常行为特征对应的权重进行求和运算,得到第二数值,计算第二数值与异常行为特征集合中包括的异常行为特征的数目之间的第二比值,将计算的第二比值作为该用户为异常用户的正常概率。
步骤23:服务端比较正常概率和异常概率,如果正常概率大于异常概率,则确定该用户标识合法。
服务端比较正常概率和异常概率;
如果正常概率大于异常概率,则可确定该用户标识合法;
否则,即如果正常概率小于或等于异常概率,则可确定该用户标识不合法,当然,对于正常概率等于异常概率的情况,也可按照合法处理。
也就是说,根据用户的历史行为记录,计算该用户为正常用户的正常概率以及为异常用户的异常概率,根据计算出的正常概率和异常概率,能够准确地确定出该用户是否为异常用户,从而能够防止资源被异常用户盗取。
基于上述介绍,本发明同时公开了一种访问控制系统、一种客户端以及一种服务端。
图3为本发明访问控制系统实施例的组成结构示意图。如图3所示,包括:客户端和服务端。
客户端,用于通过加密链路向服务端发送授权码获取请求,其中携带有客户端的认证标识;通过加密链路接收服务端返回的授权码,并向服务端发送资源获取请求,其中携带有授权码;接收服务端返回的资源;
服务端,用于接收客户端发送来的授权码获取请求,当确定其中携带的认证标识合法时,生成授权码,并将生成的授权码通过加密链路发送给客户端;接收客户端发送来的资源获取请求,并对其中携带的授权码进行认证,认证通过,向客户端返回资源。
图4为本发明客户端实施例的组成结构示意图。如图4所示,包括:第一处理模块和第二处理模块。
第一处理模块,用于通过加密链路发送授权码获取请求,其中携带有客户端的认证标识,并通过加密链路接收授权码,发送给第二处理模块;
第二处理模块,用于发送资源获取请求,其中携带有授权码,并接收所请求的资源。
其中,授权码获取请求中还可进一步携带有客户端信息。
图5为本发明服务端实施例的组成结构示意图。如图5所示,包括:第三处理模块和第四处理模块。
第三处理模块,用于通过加密链路接收授权码获取请求,当确定其中携带的认证标识合法时,生成授权码,并将授权码通过加密链路进行发送;
第四处理模块,用于接收资源获取请求,并对其中携带的授权码进行认证,认证通过,返回资源。
其中,授权码获取请求中可进一步携带有客户端信息;
相应地,第三处理模块可对客户端信息和认证标识进行加密,得到一个加密字节序列,将加密字节序列作为授权码;
第四处理模块对授权码进行解密,解密成功,且确定解密得到的信息合法,则返回资源。
较佳地,认证标识可为以下之一:加密版本标识、用户标识。
当认证标识为加密版本标识时,第三处理模块确定接收到的加密版本标识是否位于预先生成的加密版本标识白名单中,如果是,则确定接收到的加密版本标识合法。
第三处理模块还可进一步用于,当认证标识为加密版本标识,且满足预定条件时,对客户端进行升级,升级后的客户端将采用新的加密版本标识。
满足预定条件包括以下之一:通过数据分析确定升级之前的加密版本标识已经为不安全的加密版本标识、到达预定的升级时间。
当认证标识为用户标识时,第三处理模块可获取用户标识对应的用户的历史行为记录;根据用户的历史行为记录,计算用户为正常用户的正常概率以及为异常用户的异常概率;比较正常概率和异常概率,如果正常概率大于异常概率,则确定用户标识合法。
具体地,第三处理模块可根据用户的历史行为记录,从正常行为特征集合中获取用户的行为符合规定的正常行为特征以及从异常行为特征集合中获取用户的行为符合规定的异常行为特征;根据获取的每条正常行为特征对应的权重和正常行为特征集合包括的正常行为特征的数目,计算用户为正常用户的正常概率;根据获取的每条异常行为特征对应的权重和异常行为特征集合包括的异常行为特征的数目,计算用户为异常用户的异常概率。
在实际应用中,上述第三处理模块和第四处理模块可位于同一个服务器中,也可分别位于两个不同的服务器中,如第三处理模块位于授权服务器中,第四处理模块位于资源服务器中,授权服务器和资源服务器相互配合,以实现本发明所述方案。
图3~5所述系统和装置实施例的具体工作流程请按照前述方法实施例中的相应说明,此处不再赘述。
基于上述介绍可知,采用本发明所述方案,认证标识和授权码均是通过加密链路进行传输的,而加密链路采用私有协议,很难被破解,从而可以防止被抓包截取等;
而且,即使认证标识被恶意者获取,由于加密链路的存在,恶意者也很难连接到服务端,从而无法获取到授权码,进而无法获取到访问资源;
另外,关于授权码的加密解密算法均是在服务端进行的,从而降低了被破解或泄漏的可能性;即便授权码的加密解密算法被破解或泄漏,那么服务端也可以通过对原有的加密解密算法进行更新,来使得原有的加密解密算法不可用,而该操作只需要在服务端进行即可,不需要涉及到客户端,实现起来非常简单方便;
再有,客户端的认证标识只是一个临时的标识,服务端可对其进行有效控制,如可通过升级处理来提高资源被盗用的门槛等;
总之,采用本发明所述方案,提高了访问的安全性,而且,本发明所述方案实现起来简单方便,从而便于进行普及和推广。
综上所述,以上仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (11)
1.一种访问控制方法,其特征在于,包括:
服务端接收客户端通过加密链路发送来的授权码获取请求,其中携带有所述客户端的认证标识和客户端信息;所述认证标识为加密版本标识或用户标识;
如果所述服务端确定接收到的认证标识合法,所述服务端对所述客户端信息和所述认证标识进行加密,得到一个加密字节序列,将所述加密字节序列作为授权码,并将所述授权码通过所述加密链路发送给所述客户端;
所述服务端接收所述客户端发送来的资源获取请求,其中携带有所述授权码,并对所述授权码进行认证,认证通过,向所述客户端返回资源;
当所述认证标识为加密版本标识时,该方法进一步包括:当满足预定条件时,所述服务端对所述客户端进行升级,升级后的客户端将采用新的加密版本标识;所述满足预定条件包括以下之一:通过数据分析确定所述加密版本标识已经为不安全的加密版本标识、到达预定的升级时间;
当所述认证标识为用户标识时,所述服务端确定接收到的认证标识合法包括:
所述服务端获取所述用户标识对应的用户的历史行为记录;
所述服务端根据所述用户的历史行为记录,从正常行为特征集合中获取所述用户的行为符合规定的正常行为特征以及从异常行为特征集合中获取所述用户的行为符合规定的异常行为特征;
所述服务端根据获取的每条正常行为特征对应的权重和所述正常行为特征集合包括的正常行为特征的数目,计算所述用户为正常用户的正常概率;
所述服务端根据获取的每条异常行为特征对应的权重和所述异常行为特征集合包括的异常行为特征的数目,计算所述用户为异常用户的异常概率;
所述服务端比较所述正常概率和所述异常概率,如果所述正常概率大于所述异常概率,则确定所述用户标识合法。
2.根据权利要求1所述的方法,其特征在于,
所述服务端对所述授权码进行认证,认证通过,向所述客户端返回资源包括:所述服务端对所述授权码进行解密,解密成功,且确定解密得到的信息合法,则向所述客户端返回资源。
3.根据权利要求1所述的方法,其特征在于,
当所述认证标识为加密版本标识时,所述服务端确定接收到的认证标识合法包括:
所述服务端确定接收到的加密版本标识是否位于预先生成的加密版本标识白名单中,如果是,则确定接收到的加密版本标识合法。
4.根据权利要求1所述的方法,其特征在于,
当所述认证标识为加密版本标识时,该方法进一步包括:所述客户端采用隐藏混淆算法对保存在自身的加密版本标识进行隐藏。
5.根据权利要求1所述的方法,其特征在于,所述异常行为特征集合包括如下异常行为特征中至少一条:用户在请求资源之前最近的预设时间内没有执行过预设行为;用户没有执行过前后台切换行为;用户没有执行过升级应用行为;同一用户同时请求多个资源;同一用户在不同地点同时请求资源。
6.一种访问控制系统,其特征在于,包括:
客户端,用于通过加密链路向服务端发送授权码获取请求,其中携带有所述客户端的认证标识和客户端信息;所述认证标识为加密版本标识或用户标识;通过所述加密链路接收所述服务端返回的授权码,并向所述服务端发送资源获取请求,其中携带有所述授权码;接收所述服务端返回的资源;升级后的客户端将采用新的加密版本标识;
所述服务端,用于接收所述客户端发送来的授权码获取请求,如果确定其中携带的所述认证标识合法,对所述客户端信息和所述认证标识进行加密,得到一个加密字节序列,将所述加密字节序列作为授权码,并将所述授权码通过所述加密链路发送给所述客户端;接收所述客户端发送来的资源获取请求,并对其中携带的所述授权码进行认证,认证通过,向所述客户端返回资源;如果所述认证标识为加密版本标识,当满足预定条件时,所述服务端对所述客户端进行升级,所述满足预定条件包括以下之一:通过数据分析确定所述加密版本标识已经为不安全的加密版本标识、到达预定的升级时间;当所述认证标识为用户标识时,所述服务端确定所述认证标识合法包括:所述服务端获取所述用户标识对应的用户的历史行为记录;所述服务端根据所述用户的历史行为记录,从正常行为特征集合中获取所述用户的行为符合规定的正常行为特征以及从异常行为特征集合中获取所述用户的行为符合规定的异常行为特征;根据获取的每条正常行为特征对应的权重和所述正常行为特征集合包括的正常行为特征的数目,计算所述用户为正常用户的正常概率;根据获取的每条异常行为特征对应的权重和所述异常行为特征集合包括的异常行为特征的数目,计算所述用户为异常用户的异常概率;所述服务端比较所述正常概率和所述异常概率,如果所述正常概率大于所述异常概率,则确定所述用户标识合法。
7.一种客户端,其特征在于,包括:
第一处理模块,用于通过加密链路发送授权码获取请求,其中携带有所述客户端的认证标识和客户端信息,所述认证标识为加密版本标识或用户标识;并通过所述加密链路接收授权码,发送给第二处理模块;如果所述认证标识为加密版本标识,当满足预定条件时,服务端对所述客户端进行升级,升级后的客户端将采用新的加密版本标识;所述满足预定条件包括以下之一:通过数据分析确定所述加密版本标识已经为不安全的加密版本标识、到达预定的升级时间;所述授权码为服务端确定接收到的认证标识合法时生成并发送的,当所述认证标识为用户标识时,所述服务端确定接收到的认证标识合法包括:所述服务端获取所述用户标识对应的用户的历史行为记录;所述服务端根据所述用户的历史行为记录,从正常行为特征集合中获取所述用户的行为符合规定的正常行为特征以及从异常行为特征集合中获取所述用户的行为符合规定的异常行为特征;根据获取的每条正常行为特征对应的权重和所述正常行为特征集合包括的正常行为特征的数目,计算所述用户为正常用户的正常概率;根据获取的每条异常行为特征对应的权重和所述异常行为特征集合包括的异常行为特征的数目,计算所述用户为异常用户的异常概率;所述服务端比较所述正常概率和所述异常概率,如果所述正常概率大于所述异常概率,则确定所述用户标识合法;
所述第二处理模块,用于发送资源获取请求,其中携带有所述授权码,并接收所请求的资源;其中,所述授权码为服务器确定所述认证标识合法时,对所述客户端信息和所述认证标识进行加密,得到的一个加密字节序列。
8.一种服务端,其特征在于,包括:
第三处理模块,用于通过加密链路接收授权码获取请求,其中,所述授权码获取请求携带有客户端的认证标识和客户端信息,所述认证标识为加密版本标识或用户标识;当确定所述认证标识合法时,对所述客户端信息和所述认证标识进行加密,得到一个加密字节序列,将所述加密字节序列作为授权码,并将所述授权码通过所述加密链路进行发送;当所述认证标识为加密版本标识,且满足预定条件时,对所述客户端进行升级,升级后的客户端将采用新的加密版本标识;所述满足预定条件包括以下之一:通过数据分析确定升级之前的加密版本标识已经为不安全的加密版本标识、到达预定的升级时间;当所述认证标识为用户标识时,所述第三处理模块获取所述用户标识对应的用户的历史行为记录;根据所述用户的历史行为记录,从正常行为特征集合中获取所述用户的行为符合规定的正常行为特征以及从异常行为特征集合中获取所述用户的行为符合规定的异常行为特征;根据获取的每条正常行为特征对应的权重和所述正常行为特征集合包括的正常行为特征的数目,计算所述用户为正常用户的正常概率;根据获取的每条异常行为特征对应的权重和所述异常行为特征集合包括的异常行为特征的数目,计算所述用户为异常用户的异常概率;比较所述正常概率和所述异常概率,如果所述正常概率大于所述异常概率,则确定所述用户标识合法;
第四处理模块,用于接收资源获取请求,并对其中携带的所述授权码进行认证,认证通过,返回资源。
9.根据权利要求8所述的服务端,其特征在于,
所述第四处理模块对所述授权码进行解密,解密成功,且确定解密得到的信息合法,则返回资源。
10.根据权利要求8所述的服务端,其特征在于,
当所述认证标识为加密版本标识时,所述第三处理模块确定接收到的加密版本标识是否位于预先生成的加密版本标识白名单中,如果是,则确定接收到的加密版本标识合法。
11.根据权利要求8所述的服务端,其特征在于,所述异常行为特征集合包括如下异常行为特征中至少一条:用户在请求资源之前最近的预设时间内没有执行过预设行为;用户没有执行过前后台切换行为;用户没有执行过升级应用行为;同一用户同时请求多个资源;同一用户在不同地点同时请求资源。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410220722.8A CN105100030B (zh) | 2014-05-23 | 2014-05-23 | 访问控制方法、系统和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410220722.8A CN105100030B (zh) | 2014-05-23 | 2014-05-23 | 访问控制方法、系统和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105100030A CN105100030A (zh) | 2015-11-25 |
| CN105100030B true CN105100030B (zh) | 2020-02-21 |
Family
ID=54579583
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410220722.8A Active CN105100030B (zh) | 2014-05-23 | 2014-05-23 | 访问控制方法、系统和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN105100030B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109040111A (zh) * | 2018-09-03 | 2018-12-18 | 平安普惠企业管理有限公司 | 数据加密方法、装置、计算机设备以及存储介质 |
| CN110943827B (zh) * | 2019-10-18 | 2023-04-18 | 天津幸福生命科技有限公司 | 一种基于网络协议的数据获取方法及装置 |
| CN114978749B (zh) * | 2022-06-14 | 2023-10-10 | 中国电信股份有限公司 | 登录认证方法及系统、存储介质和电子设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309293A (zh) * | 2008-06-27 | 2008-11-19 | 中国网络通信集团公司 | 基于超文本传输协议的认证方法与认证系统 |
| CN102103725A (zh) * | 2009-12-22 | 2011-06-22 | 新竹货运股份有限公司 | 资讯处理系统、处理站及货到刷卡方法 |
| CN103139181A (zh) * | 2011-12-01 | 2013-06-05 | 华为技术有限公司 | 一种开放式认证的授权方法、装置和系统 |
| CN103888451A (zh) * | 2014-03-10 | 2014-06-25 | 百度在线网络技术(北京)有限公司 | 认证的授权方法、装置及系统 |
-
2014
- 2014-05-23 CN CN201410220722.8A patent/CN105100030B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101309293A (zh) * | 2008-06-27 | 2008-11-19 | 中国网络通信集团公司 | 基于超文本传输协议的认证方法与认证系统 |
| CN102103725A (zh) * | 2009-12-22 | 2011-06-22 | 新竹货运股份有限公司 | 资讯处理系统、处理站及货到刷卡方法 |
| CN103139181A (zh) * | 2011-12-01 | 2013-06-05 | 华为技术有限公司 | 一种开放式认证的授权方法、装置和系统 |
| CN103888451A (zh) * | 2014-03-10 | 2014-06-25 | 百度在线网络技术(北京)有限公司 | 认证的授权方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN105100030A (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3453136B1 (en) | Methods and apparatus for device authentication and secure data exchange between a server application and a device | |
| CN108259502B (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| US20170208049A1 (en) | Key agreement method and device for verification information | |
| CN111107073B (zh) | 应用自动登录方法、装置、计算机设备和存储介质 | |
| US20140156742A1 (en) | System and method for updating software, server and client thereof | |
| CN111031047B (zh) | 设备通信方法、装置、计算机设备及存储介质 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| US11240008B2 (en) | Key management method, security chip, service server and information system | |
| CN108809940B (zh) | 电网系统服务器与客户端交互加密方法 | |
| CN111104691A (zh) | 敏感信息的处理方法、装置、存储介质及设备 | |
| EP4322464A1 (en) | Information transmission method, storage medium and electronic device | |
| CN107819579B (zh) | 一种用户请求的处理方法、服务器及计算机可读存储介质 | |
| CN104753674A (zh) | 一种应用身份的验证方法和设备 | |
| CN105516135A (zh) | 用于账号登录的方法和装置 | |
| CN110225017B (zh) | 基于联盟区块链的身份验证方法、设备及存储介质 | |
| CN114637987A (zh) | 基于平台验证的安全芯片固件下载方法及系统 | |
| CN112559991A (zh) | 系统安全登录方法、装置、设备及存储介质 | |
| WO2016173174A1 (zh) | 锁网数据升级方法和装置 | |
| CN110138558B (zh) | 会话密钥的传输方法、设备及计算机可读存储介质 | |
| CN105100030B (zh) | 访问控制方法、系统和装置 | |
| CN108063748B (zh) | 一种用户认证方法、装置及系统 | |
| CN110839035A (zh) | 路径访问控制的方法、装置、计算机设备及存储介质 | |
| CN108667800B (zh) | 一种访问权限的认证方法及装置 | |
| CN110807210B (zh) | 一种信息处理方法、平台、系统及计算机存储介质 | |
| CN111132149A (zh) | 5g用户终端的注册方法、用户终端设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |