CN107516044A - 一种识别方法、装置和系统 - Google Patents
一种识别方法、装置和系统 Download PDFInfo
- Publication number
- CN107516044A CN107516044A CN201610425956.5A CN201610425956A CN107516044A CN 107516044 A CN107516044 A CN 107516044A CN 201610425956 A CN201610425956 A CN 201610425956A CN 107516044 A CN107516044 A CN 107516044A
- Authority
- CN
- China
- Prior art keywords
- certification request
- blacklist
- mark
- request
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Automation & Control Theory (AREA)
- Databases & Information Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了一种识别方法、装置和系统,目标服务器预先从旁路设备获取黑名单,所述目标服务器可以根据所述黑名单中认证请求的标识来识别所接收到的认证请求,当所述目标服务器接收第一认证请求时,可以从所述第一认证请求中确定出所述第一认证请求的标识,并将所述第一认证请求的标识与所述黑名单进行比对,若所述第一认证请求的标识处于所述黑名单中,所述目标服务器可以确定若与发送所述第一认证请求的访问设备进行认证,很有可能会造成异常失败而不会认证成功,造成系统资源浪费,故所述目标服务器将会识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求,从而提高了系统资源的使用效率。
Description
技术领域
本发明涉及数据处理领域,特别是涉及一种识别方法、装置和系统。
背景技术
网络中的服务器存储有对象,例如数据、文件等。若有访问设备希望访问一个服务器中存储的对象,这个服务器可以为该访问设备的访问提供服务。为了保证访问过程中的安全性,在确定允许访问设备访问对象前,服务器需要和访问设备完成认证,通过认证过程,服务器和访问设备可以协商用于加密通信内容的密钥。这个认证过程例如可以是在安全套接层(英文:Secure Sockets Layer,缩写:SSL)/传输层安全(英文:Transport LayerSecurity,缩写:TLS)协议下握手过程。
由于认证过程中需要协商密钥,而协商密钥的过程可能需要服务器利用密钥进行加解密的操作,例如解密访问设备发来的交换信息,或者对信息进行加密并向访问设备发送等,而这些操作会消耗服务器一定的处理资源。
攻击者利用认证过程中这种需要消耗服务器处理资源的特点,通过向服务器发送伪造的非法认证请求,让服务器进入与发送方的认证过程,并消耗掉服务器的处理资源。通过不断的发送非法认证请求,可以让服务器不停的重复进入认证过程,消耗服务器的大量处理资源,使得服务器剩余资源不足以维持正常工作甚至宕机,影响了服务器对合法用户的访问提供服务,降低了用户体验。
发明内容
为了解决上述技术问题,本发明提供了一种识别方法、装置和系统,服务器可以识别出认证过程中可能会出现异常失败的认证请求,从而提高了系统资源的使用效率。
本发明实施例公开了如下技术方案:
一种识别系统,所述系统包括访问设备、服务器和旁路设备:
所述访问设备,用于向所述服务器发送第一认证请求;
所述服务器具有预先从所述旁路设备获取的黑名单,用于接收所述第一认证请求;从所述第一认证请求中确定出所述第一认证请求的标识;将所述第一认证请求的标识与所述黑名单进行比对;若所述第一认证请求的标识处于所述黑名单中,识别所述第一认证请求为非法请求;
所述旁路设备与所述服务器相连,用于根据接收到的异常失败消息生成黑名单,所述黑名单包括所述异常失败消息对应的认证请求的标识。
一种识别方法,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述黑名单包括所述异常失败消息对应的认证请求的标识,所述目标服务器为与所述旁路设备相连的服务器中的一个服务器,所述方法包括:
所述目标服务器接收第一认证请求;
所述目标服务器从所述第一认证请求中确定出所述第一认证请求的标识;
所述目标服务器将所述第一认证请求的标识与所述黑名单进行比对;
若所述第一认证请求的标识处于所述黑名单中,所述目标服务器识别所述第一认证请求为非法请求。
可选的,所述第一认证请求的标识包括发送所述第一认证请求的访问设备的设备标识,所述黑名单包括设备黑名单,所述目标服务器将所述第一认证请求的标识与黑名单进行比对,包括:
所述目标服务器将所述设备标识与所述设备黑名单进行比对;
若所述第一认证请求的标识处于所述设备黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
可选的,所述第一认证请求的标识包括所述认证请求所请求访问对象的对象标识,所述黑名单包括对象黑名单,所述目标服务器将所述第一认证请求的标识与黑名单进行比对,包括:
所述目标服务器将所述对象标识与所述对象黑名单进行比对;
若所述第一认证请求的标识处于所述对象黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
可选的,还包括:
所述目标服务器接收第二认证请求;
若所述目标服务器与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则所述目标服务器确定与发送所述第二认证请求的访问设备的认证过程为异常失败;
所述目标服务器从所述第二认证请求中确定出所述第二认证请求的标识;
所述目标服务器向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
可选的,还包括:
所述目标服务器接收所述旁路设备发送的更新信息;
所述目标服务器根据所述更新信息更新所述黑名单。
一种识别装置,所述装置包括:
存储单元,用于预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述黑名单包括所述异常失败消息对应的认证请求的标识;
接收单元,用于接收第一认证请求;
确定单元,用于从所述第一认证请求中确定出所述第一认证请求的标识;
比对单元,用于将所述第一认证请求的标识与所述黑名单进行比对;若所述比对单元的比对结果为所述第一认证请求的标识处于所述黑名单中,触发识别单元;
所述识别单元,用于识别所述第一认证请求为非法请求。
可选的,所述第一认证请求的标识包括发送所述第一认证请求的访问设备的设备标识,所述黑名单包括设备黑名单,所述比对单元具体用于将所述设备标识与所述设备黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述设备黑名单中,触发所述识别单元。
可选的,所述第一认证请求的标识包括所述认证请求所请求访问对象的对象标识,所述黑名单包括对象黑名单,所述比对单元具体用于将所述对象标识与所述对象黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述对象黑名单中,触发所述识别单元。
可选的,还包括确定单元和发送单元:
所述接收单元还用于接收第二认证请求;
所述确定单元,用于若与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则确定与发送所述第二认证请求的访问设备的认证过程为异常失败;
所述确定单元还用于从所述第二认证请求中确定出所述第二认证请求的标识;
所述发送单元,用于向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
可选的,还包括更新单元:
所述接收单元还用于接收所述旁路设备发送的更新信息;
所述更新单元,用于根据所述更新信息更新所述黑名单。
由上述技术方案可以看出,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,由于所述黑名单包括所述异常失败消息对应的认证请求的标识,故所述目标服务器可以根据所述黑名单中认证请求的标识来识别所接收到的认证请求,当所述目标服务器接收第一认证请求时,可以从所述第一认证请求中确定出所述第一认证请求的标识,并将所述第一认证请求的标识与所述黑名单进行比对,若所述第一认证请求的标识处于所述黑名单中,所述目标服务器可以确定若与发送所述第一认证请求的访问设备进行认证,很有可能会造成异常失败而不会认证成功,造成系统资源浪费,故所述目标服务器将会识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求,从而提高了系统资源的使用效率。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1a为本发明实施例提供的一种识别系统的系统结构图;
图1为本发明实施例提供的一种识别方法的方法流程图;
图2为本发明实施例提供的一种生成和发送异常失败请求方法的方法流程图;
图3为本发明实施例提供的一种识别装置的装置结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
服务器存储有对象,服务器在允许访问设备访问自身存储对象之前,为了保证访问过程中的安全性,例如协商用于传输数据加密的密钥,访问设备和服务器之间双方身份的相互验证等,服务器需要和访问设备完成认证,例如这个认证过程可以是在SSL/TLS协议下的握手过程。
由于认证过程中需要协商密钥,而协商密钥的过程可能需要服务器利用密钥进行加解密的操作,例如解密访问设备发来的交换信息,或者对信息进行加密并向访问设备发送等,而这些操作会消耗服务器一定的处理资源。而在认证过程中,相对于服务器一侧,访问设备一侧实际上耗费的自身资源很少,因此,这种两侧资源耗费相差巨大的情况造成了可供攻击者利用的缺陷,而攻击者正是依据这一资源消耗的特点,通过认证请求向服务器发起认证过程,从而消耗服务器资源,达到攻击服务器的目的。
以SSL/TLS协议下的两种传统握手方式为例说明针对认证过程的攻击方式。
一种传统的握手方法为基于RSA算法(RSA是三个创始人Ron Rivest、Adi Shamir、Leonard Adleman的首字母缩写)的密钥交换算法,针对这种握手方式的主要攻击流程是:访问设备发送Client Hello消息;服务器端回应Server Hello Done消息;访问设备使用假的客户密钥交换(英文:Client Key Exchange)消息发送回服务器端,在这个假的ClientKey Exchange中的数据并没有经过真正的公钥加密过程,因此访问设备的开销极小,但是服务器端在接收到Client Key Exchange消息的时候需要尝试用私钥来进行解密,这会极大的消耗服务器资源。
另一种传统的握手方式为基于DHE/ECDHE的密钥交换算法,针对这种握手方式的主要攻击流程是:访问设备发送Client Hello消息;服务器端回应Server Hello Done消息,在其中的Server Key Exchange消息中,服务器需要使用证书中的私钥进行签名操作,这一签名操作极其耗费服务器CPU的处理资源。而对于攻击者来说,访问设备在收到ServerKey Exchange消息之后只需要关闭连接即可,因此访问设备的开销极小。
类似于上述的攻击会消耗服务器大量的资源,使得服务器剩余资源不足以维持正常工作甚至宕机,影响了对合法用户的访问提供服务,降低了用户体验。然而目前尚未有行之有效的方式可以让服务器避免上述针对认证过程的攻击。不过发明人发现,如果服务器可以在没有实质开始认证之前就能够识别出哪些是认证请求是高风险请求(即进行认证的认证结果会有很高概率出现异常失败)的话,则可以有效保证服务器自身处理资源的使用效率,避免浪费。为此,本发明实施例提供了一种识别方法、装置和系统,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,由于所述黑名单包括导致生成所述异常失败消息包的认证请求的标识,故所述目标服务器可以根据所述黑名单中认证请求的标识来识别所接收到的认证请求,当所述目标服务器接收第一认证请求时,可以从所述第一认证请求中确定出所述第一认证请求的标识,并将所述第一认证请求的标识与所述黑名单进行比对,若所述第一认证请求的标识处于所述黑名单中,所述目标服务器可以确定若与发送所述第一认证请求的访问设备进行认证,很有可能会造成异常失败而不会认证成功,造成系统资源浪费,故所述目标服务器将会识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求,从而提高了系统资源的使用效率。
在介绍本发明的识别方式之前,需要先介绍本发明实施例中所提供的识别系统的系统结构,以及服务器用于识别认证请求的黑名单。
在本发明实施例中,所提供的识别系统包括访问设备10、服务器20和旁路设备30。例如图1a所示,其中,所述访问设备10可以向所述服务器发送第一认证请求,以便和所述服务器20开始认证过程。所述服务器20(在后续实施例的描述中,可以具体为目标服务器)具有预先获取的黑名单,所述服务器20获取的黑名单由所述旁路设备30生成,所述旁路设备30除了与所述服务器20相连,还可以与其他服务器相连。所述旁路设备30可以收集所连接的一个或多个服务器发送的异常失败消息,并根据这些异常失败消息所携带的认证请求的标识来生成黑名单。若所述旁路设备只连接了一个服务器,那么所述旁路设备将只为这个服务器提供服务,即仅从这个服务器接收异常失败消息以及仅向这个服务器发送黑名单,那么这个旁路设备可以为属于这个服务器内的一个数据库单元或者一个处理模块,这个旁路设备也可以是一个独立的网络设备。若所述旁路设备连接了多个服务器(例如一个服务器集群中的各个服务器),那么所述旁路设备将为这多个服务器提供服务,则所述旁路设备不仅从多个服务器处接收异常失败消息,而且还会综合这些从不同服务器发来的异常失败消息,根据所携带的认证请求的标识,得到统一的黑名单,并将这个统一的黑名单发给这多个服务器。这种系统结构下,所述旁路设备可以是一个独立的网络设备,例如一个服务器等。
在所述旁路设备为多个服务器提供服务的系统结构下,所述旁路设备可以综合这多个服务器上认证过程中所出现的异常失败情况,从而可以生成更为准确的黑名单,例如,攻击者a利用上述认证过程的缺陷攻击服务器a所存储对象a和b以及服务器b所存储对象c,导致服务器a和服务器b均出现资源过度消耗的问题,达到了攻击目的。之后,攻击者a还可以继续同样的攻击方式来攻击服务器c、d等,如果服务器a、b、c和d均与同一台旁路设备相连,那么在攻击者a攻击服务器a和服务器b时,所述旁路设备已经可以根据服务器a和服务器b发送的异常失败消息确定了攻击者a所发送认证消息的标识,并将加入了攻击者a所发送认证消息的标识的黑名单发给了服务器a、b、c和d。若这时攻击者a攻击服务器c,可能攻击者a之前从未攻击过服务器c,但是服务器c依然可以根据所述黑名单第一时间发现这个认证请求为高危的非法请求,并拒绝与攻击者a进行认证,从而避免了自身处理资源的浪费。
所述旁路设备可以根据预设条件来生成所述黑名单,例如预设条件可以是一定次数,比如所述旁路设备接收到一个认证请求的标识的次数超出预设次数,那么所述旁路设备可以将这个认证请求的标识录入到所述黑名单中,从而可以提高所述黑名单的准确性,避免合法用户因为可能偶然出现的异常情况导致被加入到所述黑名单中,影响用户体验。
本发明实施例中的所述目标服务器为与所述旁路设备相连的服务器中的一个服务器,可以预先从旁路设备获取所述黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述异常失败消息包括认证请求的标识。
这里所述的异常失败消息是服务器发送的,为服务器在进行认证过程中出现异常失败时生成的,也就是说,如果服务器接收到一个认证请求后开始进行认证,若认证过程出现异常失败,那么服务器将会为此生成一个异常失败消息,这个异常失败消息中将会携带这个认证请求的标识。
需要注意的是,由于所述旁路设备可能不断收到服务器发送的异常失败消息,故所述旁路设备可以实时的更新黑名单的内容,并可以定期的将更新内容发给与其相连的服务器,以便服务器更新本地黑名单的内容。
所述目标服务器更新黑名单的方式可以具体包括,所述目标服务器接收所述旁路设备发送的更新信息。所述目标服务器根据所述更新信息更新所述黑名单。
接下来将从所述目标服务器的角度对本发明实施例提供的识别方法进行说明。
图1为本发明实施例提供的一种识别方法的方法流程图,所述方法包括:
S101:所述目标服务器接收第一认证请求。
举例说明,所述第一认证请求可以是有一个访问设备所发送,所述的访问设备可以是能够连接网络的网络设备、移动终端、本地计算机等,所述访问设备中可以部署有用于访问对象的客户端,例如淘宝APP或者浏览器。
所述第一认证请求用于请求所述目标服务器与发送所述第一认证请求的访问设备进行认证。
S102:所述目标服务器从所述第一认证请求中确定出所述第一认证请求的标识。
举例说明,所述目标服务器确定出的所述第一认证请求的标识可以用于标识所述第一认证请求的特征,本发明并不限定所述第一认证请求的标识的具体类型,所述第一认证请求的不同类型标识可以标识所述第一认证请求的不同特征。可选的,本发明实施例还提供了几种具体类型的所述第一认证请求的标识,将会在之后具体介绍。
S103:所述目标服务器将所述第一认证请求的标识与所述黑名单进行比对。
S104:若所述第一认证请求的标识处于所述黑名单中,所述目标服务器识别所述第一认证请求为非法请求。
举例说明,由于所述黑名单中收录了认证过程出现异常失败情况的认证请求的标识,故当所述第一认证请求的标识与所述黑名单中认证请求的标识相同时,所述目标服务器可以识别出所述第一认证请求可能为高危请求,与发送所述第一认证请求的访问设备进行认证很可能出现异常失败,故所述目标服务器可以拒绝与发送所述第一认证请求的访问设备进行认证。
接下来将说明本发明实施例提供的几种具体类型的所述第一认证请求的标识。
在第一种可能的具体类型中,所述第一认证请求的标识可以具体包括发送所述第一认证请求的访问设备的设备标识,这里所述的设备标识可以用于标识发送所述第一认证请求的访问设备,例如可以是这个访问设备具体的设备ID,也可以是这个访问设备的源IP等。在这种情况下,所述黑名单可以具体包括设备黑名单,所述设备黑名单中记载访问设备的标识,这些访问设备和与所述旁路设备连接的服务器的认证过程出现过异常失败。
在这种具体类型的情况下,所述目标服务器可以准确的识别出哪些访问设备为具体的攻击者,从而屏蔽这些访问设备的认证请求。相应的,与所述旁路设备相连的其他服务器也可以实现屏蔽具有所述设备黑名单中标识的访问设备。
在这种具体类型的情况下,图1所对应实施例中的S103和S104可以具体为:
所述目标服务器将所述设备标识与所述设备黑名单进行比对。
若所述第一认证请求的标识处于所述设备黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
在第二种可能的具体类型中,所述第一认证请求的标识可以具体包括所述认证请求所请求访问对象的对象标识,这里所述的对象标识可以从服务器名称指示(英文:servername indication,缩写:SNI)中获得,例如所述对象标识可以具体为域名信息。需要注意的是,不同对象的对象标识可以相同,例如一个域名下可以有多个对象,并分别加载在一个或多个服务器上,但是这个域名下各个对象的对象标识均相同,例如都可以为这个域名的域名信息。
在这种情况下,所述黑名单可以包括对象黑名单,所述对象黑名单中记载服务器所存储对象的标识。
在这种具体类型的情况下,可以理解为具有所述对象标识对应的对象遭受的攻击数量巨大,通过设备标识的方式屏蔽攻击的效率不足以在短时间内恢复被海量攻击所浪费的资源。可以通过所述对象黑名单,暂时屏蔽掉所有试图访问所述对象标识对应的对象的认证请求,从而可以短时间内快速恢复所述目标服务器被浪费的资源。
在这种具体类型的情况下,图1所对应实施例中的S103和S104可以具体为:
所述目标服务器将所述对象标识与所述对象黑名单进行比对。
若所述第一认证请求的标识处于所述对象黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
在第三种可能的具体类型中,所述第一认证请求的标识在包括发送所述第一认证请求的访问设备的设备标识的前提下,还可以包括所述认证请求所请求访问对象的对象标识。相应的,所述黑名单可以即包括设备黑名单,也包括对象黑名单。所述目标服务器可以不同的场景下使用其中一个黑名单,也可以同时使用这两个黑名单,也可以交替使用这两个黑名单。
例如,在攻击量较小时使用所述设备黑名单,准确的屏蔽攻击来源。或者在攻击量较大时使用所述对象黑名单,以便短时间快速的恢复所述目标服务器的可用资源。或者可以通过所述对象黑名单将遭受攻击量较大的对象屏蔽掉,不接收针对该对象的认证请求,同时根据所述设备黑名单准确屏蔽针对其他对象的攻击来源。
接下来将以所述目标服务器为例,详细说明与所述旁路设备相连的服务器如何生成异常失败请求。
可选的,在图1所对应实施例的基础上,图2为本发明实施例提供的一种生成和发送异常失败请求方法的方法流程图,所述方法包括:
S201:所述目标服务器接收第二认证请求。
S202:若所述目标服务器与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则所述目标服务器确定与发送所述第二认证请求的访问设备的认证过程的失败为异常失败。
举例说明,这里所述的异常失败是区别于认证过程中正常失败的一种认证失败情况。所述目标服务器可以通过预设的策略来判断认证过程中出现的认证失败是属于正常失败还是异常失败。这里所述的正常失败可以理解为服务器与合法用户的访问设备认证过程中可能出现的失败情况,例如访问设备的客户端版本号过低等情况。
而所述异常失败有别于所述正常失败,以认证过程为RSA算法下的握手过程为例,如果所述目标服务器使用私钥对接收到的Client Key Exchange消息进行解密出现失败,这属于一种正常认证流程中难以出现的异常失败情况,一般是在访问设备发来的ClientKey Exchange消息为伪造的情况才会发生上述私钥解密失败。
以DHE/ECDHE算法下的握手过程为例,若所述目标服务器向访问设备发送ServerKey Exchange消息后,该访问设备没有任何回应就关闭与所述目标服务器的数据连接,这也属于一种正常认证流程中难以出现的异常失败情况。
S203:所述目标服务器从所述第二认证请求中确定出所述第二认证请求的标识。
举例说明,图2所对应实施例中,并不限定S202和S203之间的执行顺序,例如S203可以先于S202被执行,S202也可以先于S203被执行,甚至S202和S203还可以同时执行。
S204:所述目标服务器向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
举例说明,所述第二认证请求的标识可以为上述说明的三种可能的具体类型之一,这里不再赘述。
通过所述目标服务器向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息,所述旁路设备可以将所述第二认证请求的标识作为生成所述黑名单的依据。
由上述实施例可见,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,由于所述黑名单包括导致生成所述异常失败消息的认证请求的标识,故所述目标服务器可以根据所述黑名单中认证请求的标识来识别所接收到的认证请求,当所述目标服务器接收第一认证请求时,可以从所述第一认证请求中确定出所述第一认证请求的标识,并将所述第一认证请求的标识与所述黑名单进行比对,若所述第一认证请求的标识处于所述黑名单中,所述目标服务器可以确定若与发送所述第一认证请求的访问设备进行认证,很有可能会造成异常失败而不会认证成功,造成系统资源浪费,故所述目标服务器将会识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求,从而提高了系统资源的使用效率。
图3为本发明实施例提供的一种识别装置的装置结构图,所述装置包括:
存储单元301,用于预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述黑名单包括所述异常失败消息对应的认证请求的标识。
接收单元302,用于接收第一认证请求。
确定单元303,用于从所述第一认证请求中确定出所述第一认证请求的标识。
比对单元304,用于将所述第一认证请求的标识与所述黑名单进行比对;若所述比对单元304的比对结果为所述第一认证请求的标识处于所述黑名单中,触发识别单元305。
所述识别单元305,用于识别所述第一认证请求为非法请求。
可选的,所述第一认证请求的标识包括发送所述第一认证请求的访问设备的设备标识,所述黑名单包括设备黑名单,所述比对单元具体用于将所述设备标识与所述设备黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述设备黑名单中,触发所述识别单元。
可选的,所述第一认证请求的标识包括所述认证请求所请求访问对象的对象标识,所述黑名单包括对象黑名单,所述比对单元具体用于将所述对象标识与所述对象黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述对象黑名单中,触发所述识别单元。
可选的,所述装置还包括确定单元和发送单元:
所述接收单元还用于接收第二认证请求;
所述确定单元,用于若与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则确定与发送所述第二认证请求的访问设备的认证过程的失败为异常失败;
所述确定单元还用于从所述第二认证请求中确定出所述第二认证请求的标识;
所述发送单元,用于向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
可选的,所述装置还包括更新单元:
所述接收单元还用于接收所述旁路设备发送的更新信息;
所述更新单元,用于根据所述更新信息更新所述黑名单。
由上述实施例可见,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,由于所述黑名单包括导致生成所述异常失败消息的认证请求的标识,故所述目标服务器可以根据所述黑名单中认证请求的标识来识别所接收到的认证请求,当所述目标服务器接收第一认证请求时,可以从所述第一认证请求中确定出所述第一认证请求的标识,并将所述第一认证请求的标识与所述黑名单进行比对,若所述第一认证请求的标识处于所述黑名单中,所述目标服务器可以确定若与发送所述第一认证请求的访问设备进行认证,很有可能会造成异常失败而不会认证成功,造成系统资源浪费,故所述目标服务器将会识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求,从而提高了系统资源的使用效率。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质可以是下述介质中的至少一种:只读存储器(英文:read-only memory,缩写:ROM)、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于设备及系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的设备及系统实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (11)
1.一种识别系统,其特征在于,所述系统包括访问设备、服务器和旁路设备:
所述访问设备,用于向所述服务器发送第一认证请求;
所述服务器具有预先从所述旁路设备获取的黑名单,用于接收所述第一认证请求;从所述第一认证请求中确定出所述第一认证请求的标识;将所述第一认证请求的标识与所述黑名单进行比对;若所述第一认证请求的标识处于所述黑名单中,识别所述第一认证请求为非法请求;
所述旁路设备与所述服务器相连,用于根据接收到的异常失败消息生成黑名单,所述黑名单包括所述异常失败消息对应的认证请求的标识。
2.一种识别方法,其特征在于,目标服务器预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述黑名单包括所述异常失败消息对应的认证请求的标识,所述目标服务器为与所述旁路设备相连的服务器中的一个服务器,所述方法包括:
所述目标服务器接收第一认证请求;
所述目标服务器从所述第一认证请求中确定出所述第一认证请求的标识;
所述目标服务器将所述第一认证请求的标识与所述黑名单进行比对;
若所述第一认证请求的标识处于所述黑名单中,所述目标服务器识别所述第一认证请求为非法请求。
3.根据权利要求2所述的方法,其特征在于,所述第一认证请求的标识包括发送所述第一认证请求的访问设备的设备标识,所述黑名单包括设备黑名单,所述目标服务器将所述第一认证请求的标识与黑名单进行比对,包括:
所述目标服务器将所述设备标识与所述设备黑名单进行比对;
若所述第一认证请求的标识处于所述设备黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
4.根据权利要求2所述的方法,其特征在于,所述第一认证请求的标识包括所述认证请求所请求访问对象的对象标识,所述黑名单包括对象黑名单,所述目标服务器将所述第一认证请求的标识与黑名单进行比对,包括:
所述目标服务器将所述对象标识与所述对象黑名单进行比对;
若所述第一认证请求的标识处于所述对象黑名单中,所述目标服务器识别所述第一认证请求为非法请求,拒绝与发送所述第一认证请求的访问设备进行认证。
5.根据权利要求2至4任一项所述的方法,其特征在于,还包括:
所述目标服务器接收第二认证请求;
若所述目标服务器与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则所述目标服务器确定与发送所述第二认证请求的访问设备的认证过程为异常失败;
所述目标服务器从所述第二认证请求中确定出所述第二认证请求的标识;
所述目标服务器向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
6.根据权利要求2至4任一项所述的方法,其特征在于,还包括:
所述目标服务器接收所述旁路设备发送的更新信息;
所述目标服务器根据所述更新信息更新所述黑名单。
7.一种识别装置,其特征在于,所述装置包括:
存储单元,用于预先从旁路设备获取黑名单,所述黑名单为旁路设备根据接收到的异常失败消息所生成,所述黑名单包括所述异常失败消息对应的认证请求的标识;
接收单元,用于接收第一认证请求;
确定单元,用于从所述第一认证请求中确定出所述第一认证请求的标识;
比对单元,用于将所述第一认证请求的标识与所述黑名单进行比对;若所述比对单元的比对结果为所述第一认证请求的标识处于所述黑名单中,触发识别单元;
所述识别单元,用于识别所述第一认证请求为非法请求。
8.根据权利要求7所述的装置,其特征在于,所述第一认证请求的标识包括发送所述第一认证请求的访问设备的设备标识,所述黑名单包括设备黑名单,所述比对单元具体用于将所述设备标识与所述设备黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述设备黑名单中,触发所述识别单元。
9.根据权利要求7所述的装置,其特征在于,所述第一认证请求的标识包括所述认证请求所请求访问对象的对象标识,所述黑名单包括对象黑名单,所述比对单元具体用于将所述对象标识与所述对象黑名单进行比对,若所述比对单元的比对结果为所述第一认证请求的标识处于所述对象黑名单中,触发所述识别单元。
10.根据权利要求7至9任一项所述的装置,其特征在于,还包括确定单元和发送单元:
所述接收单元还用于接收第二认证请求;
所述确定单元,用于若与发送所述第二认证请求的访问设备的认证过程失败,且失败的情况符合预设策略,则确定与发送所述第二认证请求的访问设备的认证过程为异常失败;
所述确定单元还用于从所述第二认证请求中确定出所述第二认证请求的标识;
所述发送单元,用于向所述旁路设备发送包括所述第二认证请求的标识的异常失败消息。
11.根据权利要求7至9任一项所述的装置,其特征在于,还包括更新单元:
所述接收单元还用于接收所述旁路设备发送的更新信息;
所述更新单元,用于根据所述更新信息更新所述黑名单。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610425956.5A CN107516044A (zh) | 2016-06-15 | 2016-06-15 | 一种识别方法、装置和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201610425956.5A CN107516044A (zh) | 2016-06-15 | 2016-06-15 | 一种识别方法、装置和系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107516044A true CN107516044A (zh) | 2017-12-26 |
Family
ID=60721004
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201610425956.5A Pending CN107516044A (zh) | 2016-06-15 | 2016-06-15 | 一种识别方法、装置和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107516044A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259386A (zh) * | 2021-06-21 | 2021-08-13 | 易纳购科技(北京)有限公司 | 恶意请求拦截方法、装置及计算机设备 |
| WO2023071649A1 (en) * | 2021-10-27 | 2023-05-04 | International Business Machines Corporation | Natural language processing for restricting user access to systems |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859094A (zh) * | 2005-04-30 | 2006-11-08 | 腾讯科技(深圳)有限公司 | 一种点对点连接安全性检查的方法 |
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN101489096A (zh) * | 2009-02-05 | 2009-07-22 | 华为技术有限公司 | 电视节目点播付费方法、设备及系统 |
| CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
| CN103379090A (zh) * | 2012-04-12 | 2013-10-30 | 腾讯科技(北京)有限公司 | 一种开放平台访问的频率控制方法和系统、频率服务器 |
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
-
2016
- 2016-06-15 CN CN201610425956.5A patent/CN107516044A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1859094A (zh) * | 2005-04-30 | 2006-11-08 | 腾讯科技(深圳)有限公司 | 一种点对点连接安全性检查的方法 |
| CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
| CN101378315A (zh) * | 2007-08-27 | 2009-03-04 | 华为技术有限公司 | 认证报文的方法、系统、设备和服务器 |
| CN101489096A (zh) * | 2009-02-05 | 2009-07-22 | 华为技术有限公司 | 电视节目点播付费方法、设备及系统 |
| CN102137111A (zh) * | 2011-04-20 | 2011-07-27 | 北京蓝汛通信技术有限责任公司 | 一种防御cc攻击的方法、装置和内容分发网络服务器 |
| CN102811213A (zh) * | 2011-11-23 | 2012-12-05 | 北京安天电子设备有限公司 | 基于模糊哈希算法的恶意代码检测系统及方法 |
| CN103379090A (zh) * | 2012-04-12 | 2013-10-30 | 腾讯科技(北京)有限公司 | 一种开放平台访问的频率控制方法和系统、频率服务器 |
| CN103561121A (zh) * | 2013-10-11 | 2014-02-05 | 北京奇虎科技有限公司 | 一种dns的解析方法、装置和浏览器 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113259386A (zh) * | 2021-06-21 | 2021-08-13 | 易纳购科技(北京)有限公司 | 恶意请求拦截方法、装置及计算机设备 |
| WO2023071649A1 (en) * | 2021-10-27 | 2023-05-04 | International Business Machines Corporation | Natural language processing for restricting user access to systems |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Bera et al. | Designing blockchain-based access control protocol in IoT-enabled smart-grid system | |
| CN110069918B (zh) | 一种基于区块链技术的高效双因子跨域认证方法 | |
| CN106060796B (zh) | 终端的备份销毁方法和装置 | |
| CN111383021B (zh) | 基于区块链网络的节点管理方法、装置、设备及介质 | |
| CN111245597A (zh) | 密钥管理方法、系统及设备 | |
| CN111355684B (zh) | 一种物联网数据传输方法、装置、系统、电子设备及介质 | |
| CN112733129B (zh) | 一种服务器带外管理的可信接入方法 | |
| US11570213B2 (en) | Collaborative security for application layer encryption | |
| Li et al. | Enhancing the trust of internet routing with lightweight route attestation | |
| US20220294637A1 (en) | System and Method of Establishing a Trusted Relationship in a Distributed System | |
| CN116112187B (zh) | 一种远程证明方法、装置、设备及可读存储介质 | |
| CN112202773B (zh) | 一种基于互联网的计算机网络信息安全监控与防护系统 | |
| CN114553480B (zh) | 跨域单点登录方法、装置、电子设备及可读存储介质 | |
| CN109743319B (zh) | 一种联网式专用服务器的可信启动和安全运行方法 | |
| CN111371588A (zh) | 基于区块链加密的sdn边缘计算网络系统、加密方法及介质 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN107516044A (zh) | 一种识别方法、装置和系统 | |
| WO2018028359A1 (zh) | 业务处理方法、装置、存储介质及电子装置 | |
| CN116112216B (zh) | 云数据验证方法、装置、电子设备及非易失性存储介质 | |
| CN104486082A (zh) | 认证方法和路由器 | |
| CN111651740B (zh) | 一种面向分布式智能嵌入式系统的可信平台共享系统 | |
| CN114745115A (zh) | 一种信息传输方法、装置、计算机设备及存储介质 | |
| Sani et al. | Sdag: blockchain-enabled model for secure data awareness in smart grids | |
| CN114065170A (zh) | 平台身份证书的获取方法、装置和服务器 | |
| CN108076021B (zh) | 业务处理方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171226 |