CN108156144A - 一种访问认证方法及对应装置 - Google Patents
一种访问认证方法及对应装置 Download PDFInfo
- Publication number
- CN108156144A CN108156144A CN201711364462.1A CN201711364462A CN108156144A CN 108156144 A CN108156144 A CN 108156144A CN 201711364462 A CN201711364462 A CN 201711364462A CN 108156144 A CN108156144 A CN 108156144A
- Authority
- CN
- China
- Prior art keywords
- user terminal
- eid
- access request
- access
- userid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种访问认证方法及对应装置,用以提高提供网络访问的网络服务器上数据的安全性。所述方法应用于代理服务器,包括:接收用户终端的访问请求,访问请求用于访问网络服务器;判断访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;若访问请求中包含第一eid,则基于推测的历史访问行为,采用预设生成规则生成第一校验eid,其中,推测的历史访问行为基于用户终端的当前访问行为以预设推测规则进行推测而获得;判断第一eid是否与第一校验eid相同,若是,则将访问请求转发至网络服务器,否则,判定用户终端为非法用户。
Description
技术领域
本发明涉及信息技术领域,尤其涉及一种访问认证方法及对应装置。
背景技术
现有技术中,客户端进行网络访问的流程一般为:客户端向网络服务器发送访问请求,访问请求中包括用于指示所请求资源的统一资源定位符(Uniform ResoureLocator,url)地址;网络服务器在接收到访问请求后,根据其中的url地址提取所请求的资源,并形成响应报文返回给客户端。
对于很多网络服务提供商来说,他们提供的数据只希望由合法用户(如会员用户)访问获取,然而,目前存在非法用户截取合法用户访问请求中的url地址,直接用截取的url地址轻易盗取网络服务器上的数据的问题。并且,出于日常维护或管理的需要,网站管理人员往往会在他们的网络服务器上设置隐藏的url路径,而该隐藏的url路径被发现后,存在非法用户访问该隐藏的url路径轻易盗取后台数据的风险。
为解决上述技术问题,现有技术中存在在客户端或网络服务器端加密url信息,使url信息呈现为非明文状态,以增加非法用户通过url盗取数据的难度的技术方案。但该种技术方案需要更改url信息和后台业务处理流程,极大地增加了客户端或服务器端的工作量,效率较低。
发明内容
本发明实施例提供一种访问认证方法及对应装置,用以提高提供网络访问的网络服务器上数据的安全性。
第一方面,提供一种访问认证方法,应用于代理服务器,所述方法包括:
接收用户终端的访问请求,所述访问请求用于访问网络服务器;
判断所述访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;
若所述访问请求中包含第一eid,则基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,其中,推测的历史访问行为基于所述用户终端的当前访问行为以预设推测规则进行推测而获得;
判断第一eid是否与第一校验eid相同,若是,则将所述访问请求转发至所述网络服务器,否则,判定所述用户终端为非法用户。
在一种可能的实现方式中,在判断所述访问请求中是否包含第一访问验证信息eid之前,所述方法还包括:
判断所述访问请求中是否包含所述用户终端的用户标识信息userid;
若是,则将与所述用户终端的userid对应的访问计数step加1;
否则,为所述用户终端创建userid,并记录与所述用户终端的userid对应的step为1。
在一种可能的实现方式中,在判断所述访问请求中是否包含第一访问验证信息eid之后,所述方法还包括:
若所述访问请求中不包含第一eid,则判断所述用户终端的userid对应的step是否为1;
若是,则修改所述访问请求包含的统一资源定位符url地址为指定url地址,并在修改后将所述访问请求转发至所述网络服务器;
否则,判定所述用户终端为非法用户。
在一种可能的实现方式中,基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,包括:
采用预设加密算法,对预设的密钥key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
在一种可能的实现方式中,在将所述访问请求转发至所述网络服务器之后,所述方法还包括:
接收所述网络服务器针对所述访问请求返回的响应报文;
采用预设加密算法,对预设的key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid;
将所述用户终端的userid、第二eid和指示信息加入所述响应报文,其中,指示信息用于指示所述用户终端在发送至所述网络服务器的下一个访问请求中携带所述用户终端的userid和第二eid;
将加入后的所述响应报文转发至所述用户终端。
在一种可能的实现方式中,在判定所述用户终端为非法用户之后,所述方法还包括:
向所述网络服务器发送警示信息,以提示所述用户终端为非法用户;和/或,
将所述用户终端加入监控列表,并拒绝响应所述用户终端的访问请求。
第二方面,提供一种访问认证装置,所述装置包括:
访问请求接收模块,用于接收用户终端的访问请求,所述访问请求用于访问网络服务器;
第一判断模块,用于判断所述访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;
生成模块,用于若所述访问请求中包含第一eid,则基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,其中,推测的历史访问行为基于所述用户终端的当前访问行为以预设推测规则进行推测而获得;
第二判断模块,用于判断第一eid是否与第一校验eid相同,若是,则将所述访问请求转发至所述网络服务器,否则,判定所述用户终端为非法用户。
在一种可能的实现方式中,所述装置还包括第三判断模块,用于:
在判断所述访问请求中是否包含第一访问验证信息eid之前,判断所述访问请求中是否包含所述用户终端的用户标识信息userid;
若是,则将与所述用户终端的userid对应的访问计数step加1;
否则,为所述用户终端创建userid,并记录与所述用户终端的userid对应的step为1。
在一种可能的实现方式中,所述装置还包括第四判断模块,用于:
若所述访问请求中不包含第一eid,则判断所述用户终端的userid对应的step是否为1;
若是,则修改所述访问请求包含的统一资源定位符url地址为指定url地址,并在修改后将所述访问请求转发至所述网络服务器;
否则,判定所述用户终端为非法用户。
在一种可能的实现方式中,所述生成模块用于:
采用预设加密算法,对预设的密钥key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
在一种可能的实现方式中,所述装置还包括响应报文处理模块,用于:
在将所述访问请求转发至所述网络服务器之后,接收所述网络服务器针对所述访问请求返回的响应报文;
采用预设加密算法,对预设的key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid;
将所述用户终端的userid、第二eid和指示信息加入所述响应报文,其中,指示信息用于指示所述用户终端在发送至所述网络服务器的下一个访问请求中携带所述用户终端的userid和第二eid;
将加入后的所述响应报文转发至所述用户终端。
在一种可能的实现方式中,所述装置还包括非法用户处理模块,用于在判定所述用户终端为非法用户之后:
向所述网络服务器发送警示信息,以提示所述用户终端为非法用户;和/或,
将所述用户终端加入监控列表,并拒绝响应所述用户终端的访问请求。
第三方面,提供一种计算机设备,所述设备包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如第一方面所述的方法。
第四方面,提供一种计算机可读存储介质,包括:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行第一方面所述的方法。
本发明实施例中,代理服务器接收用户终端的访问请求,并对访问请求进行判断等认证处理,认证通过后将访问请求转发至网络服务器,否则判定用户终端为非法用户。在认证过程中,判断第一eid是否与第一校验eid相同,其中第一eid用于描述历史访问行为,第一校验eid是根据用户终端的当前访问行为推测的历史访问行为,如果第一eid与第一校验eid相同,就说明第一eid描述的历史访问行为与用户终端的当前访问行为间符合预设推测规则,即用户终端的当前访问行为符合通常的访问规律,该访问请求认证通过,如果第一eid与第一校验eid不相同,就说明用户终端的访问行为不符合通常的访问规律,判定用户终端为非法用户。
通过上述对访问请求的认证,能够判断出用户终端的当前访问行为是否存在异常,识别出非法用户,降低了网络服务器上的数据被盗取的可能性,提高了网络服务器上的数据的安全性。
进一步地,本发明实施例中,通过在用户终端和网络服务器端之间设置代理服务器,并在代理服务器中进行访问认证操作,而不需要在客户端或服务器端进行额外的操作,因此减少了用户终端、网络服务器的工作量。并且,由于本发明实施例的实施过程不需要用户终端或网络服务器对访问请求中的url信息做任何更改,因此就无需调整现有技术中的后台业务处理流程,极大的减少了网络服务器的后台处理工作量,提升了工作效率。
附图说明
图1为本发明实施例中代理服务器的交互关系示意图;
图2为本发明实施例提供的一种访问认证方法的流程示意图;
图3为本发明实施例提供的一种访问认证方法中代理服务器处理访问请求的流程示意图;
图4为本发明实施例提供的一种访问认证方法中代理服务器处理响应报文的流程示意图;
图5为本发明实施例提供的一种访问认证装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。另外,需要理解的是,在本发明实施例的描述中,“第一”、“第二”等词汇,仅用于区分描述的目的,而不能理解为指示或暗示相对重要性,也不能理解为指示或暗示顺序。
实施例一
本发明实施例提供一种访问认证方法,该方法可以应用于代理服务器。在具体的实施过程中,代理服务器可以为物理设备,如刀片式服务器、个人电脑、集群系统、分布式服务器等具有数据处理能力的物理设备;代理服务器也可以是虚拟设备,如云服务器等。并且,根据实际需要,代理服务器可以为单独的设备,也可以和用户终端或网络服务器部署在同一设备中。
请参见图1,如图1所示,代理服务器在网络位置中位于用户终端和网络服务器之间,提供数据转发的功能。
请参见图2,本发明实施例中的访问认证方法的流程描述如下。
步骤201:接收用户终端的访问请求,访问请求用于访问网络服务器。
本发明实施例中,用户终端需要获取网络服务器上的资源时,向网络服务器发送访问请求,位于网络服务器的网络前端的代理服务器则会接收到该访问请求。访问请求中包含有url地址,用于指示所请求的资源。
在具体的实施过程中,接收的访问请求可以是基于任意网络协议的访问请求,例如可以基于http、https、ftp、file、mailto等协议。
步骤202:判断访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为。
在具体的实施过程中,访问请求中可以包括请求头部分,请求头可以用于存储信息。代理服务器接收到访问请求后,可以在请求头中查找是否存在eid,查找到的eid即为第一eid。其中,eid为本发明实施例中定义的一种信息,该信息可以用于描述用户终端的访问行为。例如,第一eid可以用于描述用户终端在此次访问会话中前一次访问网络服务器的访问行为。
正常的网络访问过程中,eid由代理服务器生成并传递给用户终端。举例来说,正常的网络访问过程可以是合法用户访问网络服务器公开的url地址的过程。在本发明实施例的后续描述中,会对代理服务器如何生成eid,以及用户终端如何获取eid进行举例说明,在此不展开描述。
在一种可能的实施方式中,用于生成eid的预设生成规则定义了用于生成eid的参数类型、加密算法,等等。
步骤203:若访问请求中包含第一eid,则基于推测的历史访问行为,采用预设生成规则生成第一校验eid,其中,推测的历史访问行为基于用户终端的当前访问行为以预设推测规则进行推测而获得。
若步骤202中代理服务器判断出访问请求中包含第一eid,则代理服务器生成用于校验第一eid的第一校验eid。其中,生成第一eid的规则和生成第一校验eid的规则相同,都是采用预设生成规则生成。
本发明实施例中,基于用户终端的当前访问行为,以预设推测规则进行推测而获得推测的历史访问行为。其中,预设推测规则反映正常网络访问过程中的访问规律,也就是说,根据在后的访问行为和该预设推测规则,可以准确地推测出正常网络访问下在先的历史访问行为。
在一种可能的实施方式中,基于预设推测规则,可以根据生成第二eid的参数推测出生成第一eid的参数,其中,第二eid用于描述用户终端当前次访问的访问行为,第一eid用于描述用户终端前一次访问的访问行为。
步骤204:判断第一eid是否与第一校验eid相同,若是,则将访问请求转发至网络服务器,否则,判定用户终端为非法用户。
在具体的实施过程中,如果第一eid与第一校验eid相同,就说明第一eid描述的历史访问行为与用户终端的当前访问行为之间符合预设推测规则,即用户终端的当前访问行为符合通常的访问规律,可以确定该访问请求认证通过,如果第一eid与第一校验eid不相同,就说明用户终端的访问行为不符合通常的访问规律,可以判定用户终端为非法用户。
为便于理解,下面以一具体的网络访问过程对本发明实施例中的访问认证方法进行举例说明。请参见图3、图4:
步骤301中,接收用户终端的访问请求。
步骤302中,判断接收到的访问请求中是否包含用户终端的用户标识信息userid,该userid用于标识用户终端。
本发明实施例中,对于任意访问网络服务器的用户终端,代理服务器都会为其分配一个userid,该userid用于用户终端在当前的整个会话过程中使用。也就是说,只要用户终端与网络服务器的当前连接不断开,用户终端在后续的网络访问中均使用这个userid;而在当前连接断开后,若用户终端再次访问该网络服务器,则代理服务器会为用户终端重新分配一个新的userid。
步骤304中,若步骤302判断出访问请求中不包含用户终端的userid,则为用户终端创建userid,并记录与用户终端的userid对应的访问计数step为1。
其中,访问请求中不包含用户终端的userid,就表明此次访问是当前会话中的初次访问,即,此次访问中发送的访问请求是当前会话中用户终端向网络服务器发送的第一个访问请求。由于是初次访问,用户终端没有被分配userid,则代理服务器为用户终端创建一userid,并记录与用户终端的userid对应的访问计数step为1,表示这是用户终端的第一次访问。
步骤303中,若步骤302判断出访问请求中包含用户终端的userid,则将与用户终端的userid对应的访问计数step加1。
其中,访问请求中包含用户终端的userid,就表明当前次的访问不是当前会话中的初次访问。也就是说,发送此次的访问请求之前,用户终端已经在当前会话中向网络服务器发送过其它的访问请求。既然不是初次访问,则在正常的访问过程中,代理服务器中已经记录有用户终端的step,代理人服务器在之前记录的step基础上加1,表明用户终端又进行了一次访问。
步骤305中,判断访问请求中是否包含第一eid。其中,第一eid可以用于描述历史访问行为,本发明实施例中,以第一eid用于描述用户终端的前一次访问行为为例。
步骤308中,在步骤305判断出访问请求中不包含第一eid后,还会继续判断用户终端的userid对应的访问计数step是否为1。
其中,step为1表明此次访问为用户终端在当前会话中的初次访问。在正常的访问过程中,第一eid用于描述用户终端的历史访问行为,若访问请求中不包含第一eid,表明用户终端没有历史访问行为,即说明用户终端的这次访问是当前会话中的初次访问。
在访问请求不包含第一eid的情况下,通过判断用户终端的userid对应的step是否为1,可以确定当前次访问中用户终端的访问是否正常,即是否符合正常的访问规律。
步骤308中,访问请求中不含包第一eid,且step不为1,则可以表明此次访问是用户终端对服务器的初次访问,访问正常。
步骤309中,在步骤308判断出step为1后,修改访问请求包含的url地址为指定url地址。即,针对网络服务器的初次访问会跳转至指定url地址。
其中,指定url地址可以是访问网络服务器提供的网站的首页、登录页等页面的地址,本发明实施例中不对指定url地址做具体限制。
现有技术中,非法用户通常利用工具抓取url定位的数据,基于该技术方案,工具的访问请求会被首先跳转至指定url地址,避免工具直接抓取到原有url地址定位的数据,增加了非法用户盗取数据的难度。
修改访问请求包含的url地址为指定url地址后,进入步骤311,代理服务器将访问请求转发至网络服务器。即,代理服务器在修改访问请求包含的url地址为指定url地址后,将修改后的访问请求转发至网络服务器。
进一步地,网络服务器在接收到代理服务器转发的访问请求后,会生成响应报文,该响应报文用于响应用户终端发送的访问请求。
由于代理服务器在网络位置上位于用户终端与网络服务器之间,因而响应请求首先会由代理服务器接收到,即步骤401,代理服务器接收网络服务器针对访问请求返回的响应报文。然后,通过执行步骤402~步骤404,代理服务器将加入用户终端的userid、第二eid和指示信息后的响应报文转发至用户终端,其中,指示信息用于指示用户终端在发送至网络服务器的下一个访问请求中携带用户终端的userid和第二eid。这样,用户终端就会在当前会话中发送至网络服务器的下一个访问请求中,携带用户终端的userid和第二eid。
也就是说,一次会话过程中,除了初次发送的访问请求,后续发送的访问请求都会携带前一次网络访问后接收到的userid和eid。
步骤310中,在步骤308判断出step不为1后,判定用户终端为非法用户。
其中,由于正常的访问过程中,除了初次发送的访问请求,后续发送的访问请求都会携带前一次网络访问后接收到的userid和eid,因而若访问请求中不包含第一eid,且step不为1,则可以确定当前的访问是不符合正常的访问规律的异常访问,代理服务器即判定用户终端为非法用户。
步骤306中,若访问请求中包含第一eid,则采用预设加密算法,对预设的密钥key、用户终端的userid、访问请求包含的url地址中的域名信息url-domain、用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
步骤307中,判断第一eid是否与第一校验eid相同。
其中,由于第一校验eid是基于推测的历史访问行为生成的,反映正常的访问规律下用户终端前一次的访问行为。因而,若第一eid与第一校验eid不相同,就可以认为用户终端的当前访问不符合正常的访问规律;若第一eid与第一校验eid相同,就可以认为用户终端的当前访问符合正常的访问规律。
在步骤307判断出第一eid与第一校验eid不相同时,进入步骤310,即判定用户终端为非法用户。
在步骤307判断出第一eid与第一校验eid相同时,进入步骤311,即将访问请求转发至网络服务器。进一步的,将访问请求转发至网络服务器后,代理服务器可以接收到响应报文,即步骤401。然后,通过执行步骤402~步骤404,代理服务器将加入用户终端的userid、第二eid和指示信息后的响应报文转发至用户终端。这样,用户终端就会在当前会话中发送至网络服务器的下一个访问请求中,携带用户终端的userid和第二eid。
其中,图4所示的流程具体描述如下:
步骤401:接收网络服务器针对访问请求返回的响应报文。
步骤402:采用预设加密算法,对预设的key、用户终端的userid、访问请求包含的url地址中的域名信息url-domain、用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid。
步骤403:将用户终端的userid、第二eid和指示信息加入响应报文,其中,指示信息用于指示用户终端在发送至网络服务器的下一个访问请求中携带用户终端的userid和第二eid。
举例来说,指示信息可以是插入响应报文头部的一段代码,该代码在用户终端解析响应报文时触发执行,以指示用户终端加载userid和第二eid。
步骤404:将加入用户终端的userid、第二eid和指示信息后的响应报文转发至用户终端。
本发明实施例中,采用预设生成规则生成第一eid、第一校验eid和第二eid,也就是说,生成第一eid、第一校验eid和第二eid的规则相同。预设生成规则为:采用的预设加密算法,对key、userid、url-domain和step这四个参数参数进行加密计算。
其中,key为预设的,例如可以是代理服务器每次启动时随机生成的,也可以是代理服务器从其它设备周期性获取的,也可以是人为配置的,等等。并且,在具体的实施过程中,key可以是字符串。
userid是代理服务器为用户终端创建的用户标识信息,一次完整的会话过程中,userid保持不变。并且,各用户终端的userid不重复。例如,某个userid可以是2017020315364138。
url-domain为访问请求中的url地址所包含的域名信息,举例来说,在http://example.com/test/index.asp这一url地址中,url-domain为example.com。
step表示userid对应的访问计数,存储于代理服务器中。其中,生成返回给用户终端的eid时采用当前step,生成校验eid时采用当前step减1。
在一种可能的实施方式中,在判定所述用户终端为非法用户之后,代理服务器还可以向网络服务器发送警示信息,以提示用户终端为非法用户;和/或,将用户终端加入监控列表,并拒绝响应用户终端的访问请求。
实施例二
基于同一发明构思,本发明实施例提供一种访问认证装置,该访问认证装置可以是实施例一种所述的代理服务器。如图5所示,访问认证装置至少包括:访问请求接收模块501、第一判断模块502、生成模块503和第二判断模块504,其中:
访问请求接收模块501,用于接收用户终端的访问请求,访问请求用于访问网络服务器;
第一判断模块502,用于判断访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;
生成模块503,用于若访问请求中包含第一eid,则基于推测的历史访问行为,采用预设生成规则生成第一校验eid,其中,推测的历史访问行为基于用户终端的当前访问行为以预设推测规则进行推测而获得;
第二判断模块504,用于判断第一eid是否与第一校验eid相同,若是,则将访问请求转发至网络服务器,否则,判定用户终端为非法用户。
在一种可能的实施方式中,装置还包括第三判断模块,用于:
在判断访问请求中是否包含第一访问验证信息eid之前,判断访问请求中是否包含用户终端的用户标识信息userid;
若是,则将与用户终端的userid对应的访问计数step加1;
否则,为用户终端创建userid,并记录与用户终端的userid对应的step为1。
在一种可能的实施方式中,装置还包括第四判断模块,用于:
若访问请求中不包含第一eid,则判断用户终端的userid对应的step是否为1;
若是,则修改访问请求包含的统一资源定位符url地址为指定url地址,并在修改后将访问请求转发至网络服务器;
否则,判定用户终端为非法用户。
在一种可能的实施方式中,生成模块503用于:
采用预设加密算法,对预设的密钥key、用户终端的userid、访问请求包含的url地址中的域名信息url-domain、用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
在一种可能的实施方式中,装置还包括响应报文处理模块,用于:
在将访问请求转发至网络服务器之后,接收网络服务器针对访问请求返回的响应报文;
采用预设加密算法,对预设的key、用户终端的userid、访问请求包含的url地址中的域名信息url-domain、用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid;
将用户终端的userid、第二eid和指示信息加入响应报文,其中,指示信息用于指示用户终端在发送至网络服务器的下一个访问请求中携带用户终端的userid和第二eid;
将加入后的响应报文转发至用户终端。
在一种可能的实施方式中,装置还包括非法用户处理模块,用于在判定用户终端为非法用户之后:
向网络服务器发送警示信息,以提示用户终端为非法用户;和/或,
将用户终端加入监控列表,并拒绝响应用户终端的访问请求。
实施例三
基于同一发明构思,本发明实施例提供一种计算机装置,包括:
至少一个处理器,以及
与至少一个处理器连接的存储器;
其中,存储器存储有可被至少一个处理器执行的指令,至少一个处理器通过执行存储器存储的指令,执行如实施例一所述的方法。
实施例四
基于同一发明构思,本发明实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机指令,当计算机指令在计算机上运行时,使得计算机执行实施例一所述的方法。
在具体的实施过程中,计算机可读存储介质包括:通用串行总线闪存盘(Universal Serial Bus flash drive,USB)、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的存储介质。
上述的一个或多个技术方案,至少具有如下有益效果:
本发明实施例中,代理服务器接收用户终端的访问请求,并对访问请求进行判断等认证处理,认证通过后将访问请求转发至网络服务器,否则判定用户终端为非法用户。在认证过程中,判断第一eid是否与第一校验eid相同,其中第一eid用于描述历史访问行为,第一校验eid是根据用户终端的当前访问行为推测的历史访问行为,如果第一eid与第一校验eid相同,就说明第一eid描述的历史访问行为与用户终端的当前访问行为间符合预设推测规则,即用户终端的当前访问行为符合通常的访问规律,该访问请求认证通过,如果第一eid与第一校验eid不相同,就说明用户终端的访问行为不符合通常的访问规律,判定用户终端为非法用户。
通过上述对访问请求的认证,能够判断出用户终端的当前访问行为是否存在异常,识别出非法用户,降低了网络服务器上的数据被盗取的可能性,提高了网络服务器上的数据的安全性。
进一步地,本发明实施例中,通过在用户终端和网络服务器端之间设置代理服务器,并在代理服务器中进行访问认证操作,而不需要在客户端或服务器端进行额外的操作,因此减少了用户终端、网络服务器的工作量。并且,由于本发明实施例的实施过程不需要用户终端或网络服务器对访问请求中的url信息做任何更改,因此就无需调整现有技术中的后台业务处理流程,极大的减少了网络服务器的后台处理工作量,提升了工作效率。
进一步地,本发明实施例中,结合step判断、eid判断、跳转至指定url等多重防护方式,对用户终端的访问请求是否异常进行综合性的判断,增加非法用户盗取数据的难度。若非法用户截取并篡改了访问请求,代理服务器能立即识别出该用户为非法用户。
进一步地,本发明实施例中,用户终端的每次访问都会触发更新其对应的身份验证信息eid,因此在会话过程中的任何一次访问中,若非法用户截取并篡改了合法用户的访问请求,代理服务器都能立即识别出来。增加了非法用户盗取数据的难度。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明实施例进行各种改动和变型而不脱离本发明实施例的精神和范围。这样,倘若本发明实施例的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (14)
1.一种访问认证方法,其特征在于,应用于代理服务器,所述方法包括:
接收用户终端的访问请求,所述访问请求用于访问网络服务器;
判断所述访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;
若所述访问请求中包含第一eid,则基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,其中,推测的历史访问行为基于所述用户终端的当前访问行为以预设推测规则进行推测而获得;
判断第一eid是否与第一校验eid相同,若是,则将所述访问请求转发至所述网络服务器,否则,判定所述用户终端为非法用户。
2.如权利要求1所述的方法,其特征在于,在判断所述访问请求中是否包含第一访问验证信息eid之前,所述方法还包括:
判断所述访问请求中是否包含所述用户终端的用户标识信息userid;
若是,则将与所述用户终端的userid对应的访问计数step加1;
否则,为所述用户终端创建userid,并记录与所述用户终端的userid对应的step为1。
3.如权利要求2所述的方法,其特征在于,在判断所述访问请求中是否包含第一访问验证信息eid之后,所述方法还包括:
若所述访问请求中不包含第一eid,则判断所述用户终端的userid对应的step是否为1;
若是,则修改所述访问请求包含的统一资源定位符url地址为指定url地址,并在修改后将所述访问请求转发至所述网络服务器;
否则,判定所述用户终端为非法用户。
4.如权利要求2所述的方法,其特征在于,基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,包括:
采用预设加密算法,对预设的密钥key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
5.如权利要求1-4中任一权利要求所述的方法,其特征在于,在将所述访问请求转发至所述网络服务器之后,所述方法还包括:
接收所述网络服务器针对所述访问请求返回的响应报文;
采用预设加密算法,对预设的key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid;
将所述用户终端的userid、第二eid和指示信息加入所述响应报文,其中,指示信息用于指示所述用户终端在发送至所述网络服务器的下一个访问请求中携带所述用户终端的userid和第二eid;
将加入后的所述响应报文转发至所述用户终端。
6.如权利要求1-4中任一权利要求所述的方法,其特征在于,在判定所述用户终端为非法用户之后,所述方法还包括:
向所述网络服务器发送警示信息,以提示所述用户终端为非法用户;和/或,
将所述用户终端加入监控列表,并拒绝响应所述用户终端的访问请求。
7.一种访问认证装置,其特征在于,所述装置包括:
访问请求接收模块,用于接收用户终端的访问请求,所述访问请求用于访问网络服务器;
第一判断模块,用于判断所述访问请求中是否包含第一访问验证信息eid,其中,第一eid采用预设生成规则生成,用于描述历史访问行为;
生成模块,用于若所述访问请求中包含第一eid,则基于推测的历史访问行为,采用所述预设生成规则生成第一校验eid,其中,推测的历史访问行为基于所述用户终端的当前访问行为以预设推测规则进行推测而获得;
第二判断模块,用于判断第一eid是否与第一校验eid相同,若是,则将所述访问请求转发至所述网络服务器,否则,判定所述用户终端为非法用户。
8.如权利要求7所述的装置,其特征在于,所述装置还包括第三判断模块,用于:
在判断所述访问请求中是否包含第一访问验证信息eid之前,判断所述访问请求中是否包含所述用户终端的用户标识信息userid;
若是,则将与所述用户终端的userid对应的访问计数step加1;
否则,为所述用户终端创建userid,并记录与所述用户终端的userid对应的step为1。
9.如权利要求8所述的装置,其特征在于,所述装置还包括第四判断模块,用于:
若所述访问请求中不包含第一eid,则判断所述用户终端的userid对应的step是否为1;
若是,则修改所述访问请求包含的统一资源定位符url地址为指定url地址,并在修改后将所述访问请求转发至所述网络服务器;
否则,判定所述用户终端为非法用户。
10.如权利要求8所述的装置,其特征在于,所述生成模块用于:
采用预设加密算法,对预设的密钥key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step减1这四个参数进行加密计算,以生成第一校验eid。
11.如权利要求7-10中任一权利要求所述的装置,其特征在于,所述装置还包括响应报文处理模块,用于:
在将所述访问请求转发至所述网络服务器之后,接收所述网络服务器针对所述访问请求返回的响应报文;
采用预设加密算法,对预设的key、所述用户终端的userid、所述访问请求包含的url地址中的域名信息url-domain、所述用户终端的userid对应的当前step这四个参数进行加密计算,以生成第二eid;
将所述用户终端的userid、第二eid和指示信息加入所述响应报文,其中,指示信息用于指示所述用户终端在发送至所述网络服务器的下一个访问请求中携带所述用户终端的userid和第二eid;
将加入后的所述响应报文转发至所述用户终端。
12.如权利要求7-10中任一权利要求所述的装置,其特征在于,所述装置还包括非法用户处理模块,用于在判定所述用户终端为非法用户之后:
向所述网络服务器发送警示信息,以提示所述用户终端为非法用户;和/或,
将所述用户终端加入监控列表,并拒绝响应所述用户终端的访问请求。
13.一种计算机设备,其特征在于,所述设备包括:
至少一个处理器,以及
与所述至少一个处理器连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述至少一个处理器通过执行所述存储器存储的指令,执行如权利要求1-6中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于:
所述计算机可读存储介质存储有计算机指令,当所述计算机指令在计算机上运行时,使得计算机执行如权利要求1-6中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711364462.1A CN108156144B (zh) | 2017-12-18 | 2017-12-18 | 一种访问认证方法及对应装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711364462.1A CN108156144B (zh) | 2017-12-18 | 2017-12-18 | 一种访问认证方法及对应装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108156144A true CN108156144A (zh) | 2018-06-12 |
| CN108156144B CN108156144B (zh) | 2021-04-06 |
Family
ID=62466269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711364462.1A Active CN108156144B (zh) | 2017-12-18 | 2017-12-18 | 一种访问认证方法及对应装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108156144B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110955842A (zh) * | 2019-12-03 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 一种异常访问行为识别方法及装置 |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075866A (zh) * | 2006-12-26 | 2007-11-21 | 腾讯科技(深圳)有限公司 | 一种互联网信息的上报方法和系统 |
| CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
| CN101521569A (zh) * | 2008-02-28 | 2009-09-02 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
| CN102201915A (zh) * | 2010-03-22 | 2011-09-28 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
| US20120030774A1 (en) * | 2010-07-30 | 2012-02-02 | Keith Chad C | Method For Encrypting And Embedding Information In A URL For Content Delivery |
| CN103067156A (zh) * | 2012-12-28 | 2013-04-24 | 北京移数通电讯有限公司 | 移动互联网用户资源访问的url加密、验证方法和装置 |
| CN103596173A (zh) * | 2013-09-30 | 2014-02-19 | 北京智谷睿拓技术服务有限公司 | 无线网络认证方法、客户端及服务端无线网络认证装置 |
| CN105376216A (zh) * | 2015-10-12 | 2016-03-02 | 华为技术有限公司 | 一种远程访问方法、代理服务器及客户端 |
| CN106209905A (zh) * | 2016-08-16 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种网络安全管理方法和装置 |
| CN107438058A (zh) * | 2016-05-27 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 用户请求的过滤方法和过滤系统 |
-
2017
- 2017-12-18 CN CN201711364462.1A patent/CN108156144B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101075866A (zh) * | 2006-12-26 | 2007-11-21 | 腾讯科技(深圳)有限公司 | 一种互联网信息的上报方法和系统 |
| CN101521569A (zh) * | 2008-02-28 | 2009-09-02 | 华为技术有限公司 | 实现服务访问的方法、设备及系统 |
| CN101510877A (zh) * | 2009-02-25 | 2009-08-19 | 中国网络通信集团公司 | 单点登录方法和系统、通信装置 |
| CN102201915A (zh) * | 2010-03-22 | 2011-09-28 | 中国移动通信集团公司 | 一种基于单点登录的终端认证方法和装置 |
| US20120030774A1 (en) * | 2010-07-30 | 2012-02-02 | Keith Chad C | Method For Encrypting And Embedding Information In A URL For Content Delivery |
| CN103067156A (zh) * | 2012-12-28 | 2013-04-24 | 北京移数通电讯有限公司 | 移动互联网用户资源访问的url加密、验证方法和装置 |
| CN103596173A (zh) * | 2013-09-30 | 2014-02-19 | 北京智谷睿拓技术服务有限公司 | 无线网络认证方法、客户端及服务端无线网络认证装置 |
| CN105376216A (zh) * | 2015-10-12 | 2016-03-02 | 华为技术有限公司 | 一种远程访问方法、代理服务器及客户端 |
| CN107438058A (zh) * | 2016-05-27 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 用户请求的过滤方法和过滤系统 |
| CN106209905A (zh) * | 2016-08-16 | 2016-12-07 | 杭州华三通信技术有限公司 | 一种网络安全管理方法和装置 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110955842A (zh) * | 2019-12-03 | 2020-04-03 | 支付宝(杭州)信息技术有限公司 | 一种异常访问行为识别方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN108156144B (zh) | 2021-04-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20220358242A1 (en) | Data security hub | |
| KR101723937B1 (ko) | 애플리케이션 보안 검증을 위한 클라우드 지원형 방법 및 서비스 | |
| US10574697B1 (en) | Providing a honeypot environment in response to incorrect credentials | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| JP5191376B2 (ja) | リスクベース認証システムおよび危険度情報取得サーバならびにリスクベース認証方法 | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| US20160063229A1 (en) | Hybrid adaptive authentication scoring system | |
| JP2006520940A (ja) | インターネット検索エンジンにおける無効クリック検出方法および装置 | |
| CN113079164B (zh) | 堡垒机资源的远程控制方法、装置、存储介质及终端设备 | |
| US20200314136A1 (en) | Apparatus and method for analyzing security vulnerabilities | |
| CN111177672A (zh) | 一种页面访问控制方法、装置和电子设备 | |
| CN116938590B (zh) | 一种基于虚拟化技术的云安全管理方法与系统 | |
| JP2011100489A (ja) | ユーザ確認装置、方法及びプログラム | |
| CN109962908A (zh) | 基于令牌的权限管理方法、装置、设备和存储介质 | |
| CN109409079A (zh) | 弱口令核查方法及装置 | |
| CN108399333A (zh) | 用于执行网页的防病毒扫描的系统和方法 | |
| CN111046309A (zh) | 一种页面视图渲染方法、装置、设备及可读存储介质 | |
| CN104468486B (zh) | 信息处理方法、系统及电子设备 | |
| CN111966967A (zh) | 一种基于区块链技术和cdn的版权存证方法及系统 | |
| CN108156144A (zh) | 一种访问认证方法及对应装置 | |
| CN105184559A (zh) | 一种支付系统及方法 | |
| CN110301127A (zh) | 用于预测性令牌验证的装置和方法 | |
| US9723017B1 (en) | Method, apparatus and computer program product for detecting risky communications | |
| CN115119197B (zh) | 基于大数据的无线网络风险分析方法、装置、设备及介质 | |
| CN112769739A (zh) | 数据库操作违规处理方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 1206-1, 11 / F, building 6, No.50 courtyard, Xisanhuan North Road, Haidian District, Beijing 100048 Applicant after: BEIJING INFOSEC TECHNOLOGY Co.,Ltd. Address before: 1001, building 2, No. 23, xixiaofu, Haidian District, Beijing 100093 Applicant before: BEIJING INFOSEC TECHNOLOGY Co.,Ltd. |
|
| CB02 | Change of applicant information | ||
| CB03 | Change of inventor or designer information |
Inventor after: Liang Yuhan Inventor before: Liang Yuhan Inventor before: Zhang Qingyong Inventor before: Wang Yixin |
|
| CB03 | Change of inventor or designer information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |