CN108881130B - 会话控制信息的安全控制方法和装置 - Google Patents
会话控制信息的安全控制方法和装置 Download PDFInfo
- Publication number
- CN108881130B CN108881130B CN201710346792.1A CN201710346792A CN108881130B CN 108881130 B CN108881130 B CN 108881130B CN 201710346792 A CN201710346792 A CN 201710346792A CN 108881130 B CN108881130 B CN 108881130B
- Authority
- CN
- China
- Prior art keywords
- user
- identity information
- session key
- tested
- login request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1073—Registration or de-registration
Abstract
本发明公开了一种会话控制信息的安全控制方法和装置,涉及通信技术领域。该会话控制信息的安全控制方法,包括:获取合法用户注册的会话密钥和身份信息;接收待测用户的用户直接登录请求,用户直接登录请求包括会话密钥和身份信息;若用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息;若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。能够提高提高用户的会话控制的安全性。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种会话控制信息的安全控制方法和装置。
背景技术
HTTP(Hyper Text Transfer Protocol,超文本传输协议)是一种客户端与服务器端请求和应答的标准。通过使用网络浏览器、网络爬虫或其他网络工具,客户端可以发起一个到服务器端上制定端口的HTTP请求,从而访问网页和网络应用。
在访问网页和网络应用时,需要注册用户,并需要用户通过客户端进行登录操作。不同的用户具有不同的会话控制信息(即session信息)。比如,用户A的会话控制信息中存储用户A会话所需的属性信息和配置信息。当用户A在各个网络页面之间跳转时,存储在会话控制信息中的内容将不会丢失。浏览器在每次启动时均会生成一个随机的身份标识存放在用户端的cookie(即存储在本地客户端上的数据)根路径中。当用户A通过客户端使用HTTP与服务器端进行交互时,身份标识会提交至服务器端。服务器端根据身份标识与服务器端的会话控制标识映射以确定用户A的会话控制信息。若用户A的身份标识被任意一个用户得知并利用,就可以使任意一个用户以用户A的身份登录,盗取用户A的相关信息。从而降低了用户的会话控制的安全性。
发明内容
本发明实施例提供了一种会话控制信息的安全控制方法和装置,能够提高用户的会话控制的安全性。
第一方面,本发明实施例提供了一种会话控制信息的安全控制方法,包括:获取合法用户注册的会话密钥和身份信息;接收待测用户的用户直接登录请求,用户直接登录请求包括会话密钥和身份信息;若用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息;若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
在第一方面的一些实施例中,上述会话控制信息的安全控制方法还包括:若待测用户登录成功,将待测用户作为合法用户,并建立合法用户与服务器端的套接字连接。
在第一方面的一些实施例中,上述会话控制信息的安全控制方法还包括:若用户直接登录请求中的身份信息与合法用户注册的身份信息一致,检测合法用户与服务器端的套接字连接是否断开;若合法用户与服务器端的套接字连接未断开,则销毁待测用户的会话控制信息,并将待测用户的用户直接登录请求中的会话密钥标记为无效。
在第一方面的一些实施例中,上述会话控制信息的安全控制方法还包括:若在待测用户在登录成功后的预设有效时长内未接收到待测用户的操作,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
在第一方面的一些实施例中,上述会话控制信息的安全控制方法还包括:若待测用户的用户直接登录请求中的会话密钥标记为无效,为待测用户生成新的会话密钥。
在第一方面的一些实施例中,获取合法用户注册的会话密钥和身份信息,包括:利用flash获取合法用户注册的会话密钥和身份信息。
在第一方面的一些实施例中,身份信息包括浏览器标识、互联网协议地址、物理地址中的一项或一项以上。
第二方面,本发明实施例提供了一种会话控制信息的安全控制装置,包括:获取模块,被配置为获取合法用户注册的会话密钥和身份信息;请求接收模块,被配置为接收待测用户的用户直接登录请求,用户直接登录请求包括会话密钥和身份信息;对比模块,被配置为若用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息;第一销毁模块,被配置为若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
在第二方面的一些实施例中,上述会话控制信息的安全控制装置还包括:连接建立模块,被配置为若待测用户登录成功,将待测用户作为合法用户,并建立合法用户与服务器端的套接字连接。
在第二方面的一些实施例中,上述会话控制信息的安全控制装置还包括:检测模块,被配置为若用户直接登录请求中的身份信息与合法用户注册的身份信息一致,检测合法用户与服务器端的套接字连接是否断开;第二销毁模块,被配置为若合法用户与服务器端的套接字连接未断开,则销毁待测用户的会话控制信息,并将待测用户的用户直接登录请求中的会话密钥标记为无效。
在第二方面的一些实施例中,上述会话控制信息的安全控制装置还包括:第三销毁模块,被配置为若在待测用户在登录成功后的预设有效时长内未接收到待测用户的操作,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
在第二方面的一些实施例中,上述会话控制信息的安全控制装置还包括:生成模块,被配置为若待测用户的用户直接登录请求中的会话密钥标记为无效,为待测用户生成新的会话密钥。
在第二方面的一些实施例中,获取模块具体被配置为:利用flash获取合法用户注册的会话密钥和身份信息。
在第二方面的一些实施例中,身份信息包括浏览器标识、互联网协议地址、物理地址中的一项或一项以上。
本发明实施例提供了一种会话控制信息的安全控制方法和装置,获取合法用户注册的会话密钥和身份信息。若待测用户的用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息。若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,将用户直接登录请求中的会话密钥标记为无效。与得知某个用户的身份标识,就能够绕开登录过程,直接以该用户的身份标识登录的现有技术相比,在本发明实施例中,进行两次判断,若非法用户得知合法用户的会话密钥,也可以通过合法用户注册的身份信息进行二次判断。将身份信息与合法用户注册的身份信息不同的用户登录信息对应的待测用户的会话控制信息销毁,并将用户直接登录请求中的会话密钥标记为无效,强制该待测用户进行登录过程。避免非法用户绕过登录,从而进而提高了用户的会话控制的安全性。
附图说明
从下面结合附图对本发明的具体实施方式的描述中可以更好地理解本发明其中,相同或相似的附图标记表示相同或相似的特征。
图1为本发明一实施例中会话控制信息的安全控制方法的流程图;
图2为本发明另一实施例中会话控制信息的安全控制方法的流程图;
图3为本发明又一实施例中会话控制信息的安全控制方法的流程图;
图4为本发明一实施例中会话控制信息的安全控制装置的结构示意图;
图5为本发明另一实施例中会话控制信息的安全控制装置的结构示意图;
图6为本发明又一实施例中会话控制信息的安全控制装置的结构示意图。
具体实施方式
下面将详细描述本发明的各个方面的特征和示例性实施例。在下面的详细描述中,提出了许多具体细节,以便提供对本发明的全面理解。但是,对于本领域技术人员来说很明显的是,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明的更好的理解。本发明决不限于下面所提出的任何具体配置和算法,而是在不脱离本发明的精神的前提下覆盖了元素、部件和算法的任何修改、替换和改进。在附图和下面的描述中,没有示出公知的结构和技术,以便避免对本发明造成不必要的模糊。
图1为本发明一实施例中会话控制信息的安全控制方法的流程图。如图1所示,会话控制信息的安全控制方法包括步骤101-步骤104。
在步骤101中,获取合法用户注册的会话密钥和身份信息。
其中,合法用户为注册成功后的用户。与合法用户不同,但企图使用合法用户的身份登录的用户为非法用户。合法用户在注册时会生成会话密钥和合法用户的身份信息。会话密钥在合法用户再次登录时,也可指示合法用户的身份。每个会话密钥只能成功注册一次,也就是说,一个会话密钥不会颁发给两个不同的用户。身份信息可用于指示用户的身份。在一个示例中,身份信息可以为浏览器标识(即browser)、互联网协议地址(即IP地址)、物理地址(即MAC地址)中的一项或一项以上。身份信息还可以包括其他能够指示用户的身份的标识,在此并不限定。
在步骤102中,接收待测用户的用户直接登录请求。
其中,用户直接登录请求可以为用户登录网页或登录网络应用程序要求绕过登录,直接登录到页面或网络应用程序的请求。用户直接登录请求包括会话密钥和身份信息。
在步骤103中,若用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息。
其中,用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,有可能是待测用户就是合法用户,由于某些原因客户端与服务器端断开,需要重新登录。也有可能是非法用户通过某些途径得到了合法用户注册的会话密钥,企图利用合法用户的会话密钥绕开登录过程,直接登录到合法用户的网页或网络应用程序。因此,需要将用户直接登录请求中的身份信息与合法用户注册的身份信息进行对比。
在一个示例中,身份信息可以通过浏览器、网络、硬件中的一个方面或一个以上的方面来指示用户的身份。比如,身份信息包括浏览器标识,非法用户盗用合法用户的会话密钥登录时利用的浏览器可能不同,因此不同的浏览器生成的浏览器标识可能也不同。也就是说,可以利用浏览器标识来识别可能存在的非法用户。还比如,身份信息包括互联网协议地址,互联网协议地址是互联网协议提供的一种统一的地址格式,为互联网中的每一个网络和每一台客户端分配一个逻辑地址。非法用户代用合法用户的会话密钥登录时的互联网协议地址可能与合法用户注册时的互联网协议地址不同。因此,可以利用互联网协议地址来识别可能存在的非法用户。又比如,身份信息包括物理地址,非法用户盗用合法用户的会话密钥登录时利用的客户端的实体设备可能不同。也就是说,可以利用物理地址来识别可能存在的非法用户。
需要说明的是,若用户直接登录请求中的会话密钥与合法用户注册的会话密钥不一致,则可销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
在步骤104中,若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
其中,用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,表明待测用户可能为非法用户。因此销毁待测用户的会话控制信息。会话控制信息(即session信息)存储特定用户会话所需的属性和配置信息。当用户在网页之间跳转时,存储在会话控制信息中的内容并不会丢失,并在用户的会话中一直存在。为了避免非法用户能够利用会话控制信息绕过登录过程,在用户直接登录请求中的身份信息与合法用户注册的身份信息不一致时,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效,使待测用户需要进入登录界面,进行登录,且不能够再使用之前的用户直接登录请求中的会话密钥。从而避免了非法用户绕过登录,提高了用户的会话控制信息的安全性。
若身份信息包括两项信息或更多项信息,那么若用户直接登录请求中的身份信息与合法用户注册的身份信息至少有一项不同,就可以销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
需要说明的是,若用户直接登录请求中的身份信息与合法用户注册的身份信息一致,可以允许待测用户绕过登录,或者可以增加其他的对比检测流程,进一步进行对待测用户是否为合法用户的判断。
本发明实施例提供了一种会话控制信息的安全控制方法,获取合法用户注册的会话密钥和身份信息。若待测用户的用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息。若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,将用户直接登录请求中的会话密钥标记为无效。与得知某个用户的身份标识,就能够绕开登录过程,直接以该用户的身份标识登录的现有技术相比,在本发明实施例中,进行两次判断,若非法用户得知合法用户的会话密钥,也可以通过合法用户注册的身份信息进行二次判断。将身份信息与合法用户注册的身份信息不同的用户登录信息对应的待测用户的会话控制信息销毁,并将用户直接登录请求中的会话密钥标记为无效,强制该待测用户进行登录过程。避免非法用户绕过登录,从而进而提高了用户的会话控制的安全性。
图2为本发明另一实施例中会话控制信息的安全控制方法的流程图。图2与图1的不同之处在于,会话控制信息的安全控制方法还可以包括步骤105、步骤106、步骤107和步骤108。
在步骤105中,若待测用户登录成功,将待测用户作为合法用户,并建立合法用户与服务器端的套接字连接。
其中,合法用户注册成功后,还需要通过在登录页面输入登录信息(如用户名和密码等),登录网页或网络应用程序。在登录成功前的用户被称为待测用户。若待测用户登录成功,则可将该登录成功的待测用户称为合法用户,并建立合法用户与服务器端的套接字(即socket)连接。套接字连接能够永久保持连接不中断。在一个示例中,登录成功的合法用户与服务器端建立套接字连接,并将会话密钥和身份信息发送给服务器端保存,始终保持连接。但若将合法用户的会话控制信息销毁,则套接字连接断开。在一个示例中,若用户退出登录,或者刷新登录的主页面,即为销毁会话控制信息,套接字连接断开。需要用户重新进行登录。
在一个示例中,在会话控制信息的安全控制装置中,后台可利用Java Socket服务建立合法用户与服务器端的套接字连接。前端可利用FlashSocket服务与后台的JavaSocket服务建立通信。在一个示例中,上述实施例中的步骤101可以具体细化为利用flash获取合法用户注册的会话密钥和身份信息。flash为一种交互式矢量图和网站动画的标准,大多数网页或网络应用程序均使用flash来作为交互式矢量图和网站动画的标准。利用flash来获取合法用户注册的会话密钥和身份信息,适用于各类浏览器以及各种操作系统,具有非常强的兼容性。
在步骤106中,若用户直接登录请求中的身份信息与合法用户注册的身份信息一致,检测合法用户与服务器端的套接字连接是否断开。
其中,用户直接登录请求中的身份信息与合法用户注册的身份信息一致,也有可能是非法用户通过某种途径得到了合法用户的身份信息,从而利用合法用户的身份信息企图绕过登录。由于若合法用户登录成功后,合法用户与服务器端的套接字连接在合法用户未销毁会话控制信息时是永久保持连接不中断的。因此,可以通过检测合法用户与服务器端的套接字连接是否断开,来判断用户直接登录请求对应的待测用户是否为合法用户。
在步骤107中,若合法用户与服务器端的套接字连接未断开,则销毁待测用户的会话控制信息,并将待测用户的用户直接登录请求中的会话密钥标记为无效。
其中,若合法用户与服务器端的套接字连接未断开,可表明合法用户并未销毁合法用户的会话控制信息。也可以说,合法用户并没有退出登录。因此,待测用户极有可能是非法用户。可销毁待测用户的会话控制信息,并将待测用户的用户直接登录请求中的会话密钥标记为无效。使待测用户执行登录流程,进一步避免非法用户绕过登录。
需要说明的是,若合法用户与服务器端的套接字连接已断开,可以允许待测用户绕过登录,或者可以增加其他的对比检测流程,进一步判断待测用户是否为合法用户。
在步骤108中,若待测用户的用户直接登录请求中的会话密钥标记为无效,为待测用户生成新的会话密钥。
待测用户的用户直接登录请求中的会话密钥为无效,为待测用户生成新的会话密钥。需要说明的是,新的会话密钥与标记为无效的会话密钥不同。比如,在将待测用户的登录请求中的会话密钥A1标记为无效后,不需要用户重新打开浏览器,强制为待测用户生成新的会话密钥A2,并跳转到登录页面,要求待测用户进行登录流程。
在上述实施例中,可对会话控制信息进行监控,并根据监控情况做出相应的措施。比如,可以监控身份信息不符的待测用户复制合法用户的会话密钥企图绕过登录的情况,拒绝待测用户绕过登录,销毁待测用户的会话控制信息,使待测用户进行登录流程。又比如,可以监控待测用户复制合法用户的会话密钥,使用不同的客户端企图绕过登录的情况,拒绝待测用户绕过登录,销毁待测用户的会话控制信息,使待测用户进行登录流程。还比如,可以监控待测用户复制合法用户的会话密钥,使用相同的客户端但不同的浏览器企图绕过登录的情况,拒绝待测用户绕过登录,销毁待测用户的会话控制信息,使待测用户进行登录流程。再比如,可以监控合法用户的一些不安全行为,比如,合法用户刷新主页面,套接字连接会断开,合法用户也需要重新进行登录流程。
图3为本发明又一实施例中会话控制信息的安全控制方法的流程图。图3与图1的不同之处在于,会话控制信息的安全控制方法还包括步骤109。
在步骤109中,若在待测用户在登录成功后的预设有效时长内未接收到待测用户的操作,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
其中,待测用户在预设有效时长内没有对网页或网络应用程序进行操作,在此期间,可能会有其他非法用户企图绕过登录。比如,当前时间与待测用户上一次的操作时间的差值大于预设有效时长,则表明待测用户在登录成功后的预设有效时长内未接收到待测用户的操作。因此,需要销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。在一个示例中,可以在web.xml中进行配置,使浏览器页面跳转至登录页面。可以采用定时器和线程设定实现预设有效时长的设定和触发。
在一个示例中,可以将上述实施例中的会话控制信息的安全控制方法中的流程集成为会话控制安全组件。其中,可以利用Java Socket服务进行后台的合法用户或待测用户与服务器端之间的套接字连接。可以利用前端的Flash Socket服务(即flash的套接字服务)与后台的Java Socket服务(即Java的套接字服务)建立通信。利用flash来采集合法用户的会话密钥和身份信息以及待测用户的会话密钥和身份信息。
其中,flash会随着浏览器将网页页面元素加载完毕后自动进行初始化,flash初始化完成后,支持各个流程功能的提供给Javascript(Java脚本)调用的接口进行初始化。然后初始化套接字服务(即socket服务),以便于前端与后台交互。
后台可以利用过滤器进行合法用户以及待测用户的身份信息和权限的检查。比如,合法用户以及待测用户是否登录,以及登录中涉及到的登录信息、对非法用户的处理策略等。可以利用会话监听器监听会话控制信息的创建和销毁为管理会话控制信息的安全管理器提供信息。后台利用Java实现套接字服务(即socket服务)。安全管理器初始化包括两个步骤,步骤一为启动flash沙箱鉴权服务,以便后续能够使用Flash Socket服务。步骤二为启动安全监控服务,即对会话控制信息进行的监控。比如,可以采用线程池实现,每个待测用户或合法用户对应配置有一个独立的线程。
图4为本发明一实施例中会话控制信息的安全控制装置200的结构示意图。如图4所示,会话控制信息的安全控制装置200包括获取模块201、请求接收模块202、对比模块203和第一销毁模块204。
其中,获取模块201,被配置为获取合法用户注册的会话密钥和身份信息。
在一个示例中,身份信息包括浏览器标识、互联网协议地址、物理地址中的一项或一项以上。
请求接收模块202,被配置为接收待测用户的用户直接登录请求,用户直接登录请求包括会话密钥和身份信息。
对比模块203,被配置为若用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比用户直接登录请求中的身份信息与合法用户注册的身份信息。
第一销毁模块204,被配置为若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
本发明实施例提供了一种会话控制信息的安全控制装置200,获取模块201获取合法用户注册的会话密钥和身份信息。若请求接收模块202接收到的待测用户的用户直接登录请求中的会话密钥与合法用户注册的会话密钥一致,对比模块203对比用户直接登录请求中的身份信息与合法用户注册的身份信息。若用户直接登录请求中的身份信息与合法用户注册的身份信息不一致,第一销毁模块204销毁待测用户的会话控制信息,将用户直接登录请求中的会话密钥标记为无效。与得知某个用户的身份标识,就能够绕开登录过程,直接以该用户的身份标识登录的现有技术相比,在本发明实施例中,进行两次判断,若非法用户得知合法用户的会话密钥,也可以通过合法用户注册的身份信息进行二次判断。将身份信息与合法用户注册的身份信息不同的用户登录信息对应的待测用户的会话控制信息销毁,并将用户直接登录请求中的会话密钥标记为无效,强制该待测用户进行登录过程。避免非法用户绕过登录,从而进而提高了用户的会话控制的安全性。
图5为本发明另一实施例中会话控制信息的安全控制装置200的结构示意图。图5与图4的不同之处在于,会话控制信息的安全控制装置200还可包括连接建立模块205、检测模块206、第二销毁模块207和生成模块208。
其中,连接建立模块205,被配置为若待测用户登录成功,将待测用户作为合法用户,并建立合法用户与服务器端的套接字连接。
检测模块206,被配置为若用户直接登录请求中的身份信息与合法用户注册的身份信息一致,检测合法用户与服务器端的套接字连接是否断开。
第二销毁模块207,被配置为若合法用户与服务器端的套接字连接未断开,则销毁待测用户的会话控制信息,并将待测用户的用户直接登录请求中的会话密钥标记为无效。
生成模块208,被配置为若待测用户的用户直接登录请求中的会话密钥标记为无效,为待测用户生成新的会话密钥。
在一个示例中,上述获取模块201可具体被配置为利用flash获取合法用户注册的会话密钥和身份信息。
图6为本发明又一实施例中会话控制信息的安全控制装置200的结构示意图。图6与图4的不同之处在于,会话控制信息的安全控制装置200还可包括第三销毁模块209。
其中,第三销毁模块209,被配置为若在待测用户在登录成功后的预设有效时长内未接收到待测用户的操作,销毁待测用户的会话控制信息,并将用户直接登录请求中的会话密钥标记为无效。
需要明确的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同或相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。对于装置实施例而言,相关之处可以参见方法实施例的说明部分。本发明并不局限于上文所描述并在图中示出的特定步骤和结构。本领域的技术人员可以在领会本发明的精神之后,作出各种改变、组合、修改和添加,或者改变步骤之间的顺序。并且,为了简明起见,这里省略对已知方法技术的详细描述。
以上所述的结构框图中所示的功能模块可以实现为硬件、软件、固件或者它们的组合。当以硬件方式实现时,其可以例如是电子电路、专用集成电路(ASIC)、适当的固件、插件、功能卡等等。当以软件方式实现时,本发明的元素是被用于执行所需任务的程序或者代码段。程序或者代码段可以存储在机器可读介质中,或者通过载波中携带的数据信号在传输介质或者通信链路上传送。“机器可读介质”可以包括能够存储或传输信息的任何介质。
Claims (10)
1.一种会话控制信息的安全控制方法,其特征在于,包括:
获取合法用户注册的会话密钥和身份信息;
接收待测用户的用户直接登录请求,所述用户直接登录请求包括会话密钥和身份信息;
若所述用户直接登录请求中的会话密钥与所述合法用户注册的会话密钥一致,对比所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息;
若所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息不一致,销毁所述待测用户的会话控制信息,并将所述用户直接登录请求中的会话密钥标记为无效;
若所述待测用户登录成功,将所述待测用户作为合法用户,并建立所述合法用户与服务器端的套接字连接;
若所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息一致,检测所述合法用户与服务器端的套接字连接是否断开;
若所述合法用户与服务器端的套接字连接未断开,则销毁所述待测用户的会话控制信息,并将所述待测用户的所述用户直接登录请求中的会话密钥标记为无效。
2.根据权利要求1所述的方法,其特征在于,还包括:
若在所述待测用户在登录成功后的预设有效时长内未接收到所述待测用户的操作,销毁所述待测用户的会话控制信息,并将所述用户直接登录请求中的会话密钥标记为无效。
3.根据权利要求1或2所述的方法,其特征在于,还包括:
若所述待测用户的所述用户直接登录请求中的会话密钥标记为无效,为所述待测用户生成新的会话密钥。
4.根据权利要求1所述的方法,其特征在于,所述获取合法用户注册的会话密钥和身份信息,包括:
利用flash获取合法用户注册的会话密钥和身份信息。
5.根据权利要求1或4所述的方法,其特征在于,所述身份信息包括浏览器标识、互联网协议地址、物理地址中的一项或一项以上。
6.一种会话控制信息的安全控制装置,其特征在于,包括:
获取模块,被配置为获取合法用户注册的会话密钥和身份信息;
请求接收模块,被配置为接收待测用户的用户直接登录请求,所述用户直接登录请求包括会话密钥和身份信息;
对比模块,被配置为若所述用户直接登录请求中的会话密钥与所述合法用户注册的会话密钥一致,对比所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息;
第一销毁模块,被配置为若所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息不一致,销毁所述待测用户的会话控制信息,并将所述用户直接登录请求中的会话密钥标记为无效;
连接建立模块,被配置为若所述待测用户登录成功,将所述待测用户作为合法用户,并建立所述合法用户与服务器端的套接字连接;
检测模块,被配置为若所述用户直接登录请求中的身份信息与所述合法用户注册的身份信息一致,检测所述合法用户与服务器端的套接字连接是否断开;
第二销毁模块,被配置为若所述合法用户与服务器端的套接字连接未断开,则销毁所述待测用户的会话控制信息,并将所述待测用户的所述用户直接登录请求中的会话密钥标记为无效。
7.根据权利要求6所述的装置,其特征在于,还包括:
第三销毁模块,被配置为若在所述待测用户在登录成功后的预设有效时长内未接收到所述待测用户的操作,销毁所述待测用户的会话控制信息,并将所述用户直接登录请求中的会话密钥标记为无效。
8.根据权利要求6或7所述的装置,其特征在于,还包括:
生成模块,被配置为若所述待测用户的所述用户直接登录请求中的会话密钥标记为无效,为所述待测用户生成新的会话密钥。
9.根据权利要求6所述的装置,其特征在于,所述获取模块具体被配置为:
利用flash获取合法用户注册的会话密钥和身份信息。
10.根据权利要求6或9所述的装置,其特征在于,所述身份信息包括浏览器标识、互联网协议地址、物理地址中的一项或一项以上。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710346792.1A CN108881130B (zh) | 2017-05-16 | 2017-05-16 | 会话控制信息的安全控制方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710346792.1A CN108881130B (zh) | 2017-05-16 | 2017-05-16 | 会话控制信息的安全控制方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108881130A CN108881130A (zh) | 2018-11-23 |
| CN108881130B true CN108881130B (zh) | 2021-07-30 |
Family
ID=64320817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710346792.1A Active CN108881130B (zh) | 2017-05-16 | 2017-05-16 | 会话控制信息的安全控制方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108881130B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110096583B (zh) * | 2019-05-09 | 2021-05-14 | 思必驰科技股份有限公司 | 多领域对话管理系统及其构建方法 |
| CN113343191B (zh) * | 2021-08-04 | 2022-05-27 | 广东南方电信规划咨询设计院有限公司 | 一种网络信息的安全保护方法及系统 |
| CN114629673A (zh) * | 2021-08-20 | 2022-06-14 | 重庆数智逻辑科技有限公司 | 页面控制方法、装置、电子设备及计算机可读存储介质 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8086845B2 (en) * | 2006-09-26 | 2011-12-27 | Microsoft Corporation | Secure tunnel over HTTPS connection |
| CN102195930B (zh) * | 2010-03-02 | 2014-12-10 | 华为技术有限公司 | 设备间安全接入方法和通信设备 |
| CN102111404B (zh) * | 2010-12-28 | 2013-04-03 | 四川长虹电器股份有限公司 | 广电业务运营支撑系统与条件接收系统通信的方法 |
| CN103023855A (zh) * | 2011-09-20 | 2013-04-03 | 镇江雅迅软件有限责任公司 | 一种基于客户端计算机硬件参数的安全登录系统 |
| CN102404349B (zh) * | 2011-12-31 | 2014-05-21 | 山东中创软件工程股份有限公司 | 单点登陆方法 |
| CN103401880B (zh) * | 2013-08-15 | 2016-03-23 | 西南大学 | 一种工业控制网络自动登录的系统及方法 |
| CN104717187B (zh) * | 2013-12-16 | 2018-11-23 | 中国移动通信集团公司 | 一种登录方法及设备 |
| KR102036758B1 (ko) * | 2014-09-30 | 2019-10-28 | 사이트릭스 시스템스, 인크. | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 |
| US9887848B2 (en) * | 2015-07-02 | 2018-02-06 | Gn Hearing A/S | Client device with certificate and related method |
| CN105119884A (zh) * | 2015-07-10 | 2015-12-02 | 深圳市美贝壳科技有限公司 | 用于网络通信用户权限的校验方法 |
| CN105337990B (zh) * | 2015-11-20 | 2019-06-21 | 北京奇虎科技有限公司 | 用户身份的校验方法及装置 |
| CN106131021B (zh) * | 2016-07-15 | 2020-11-10 | 北京元支点信息安全技术有限公司 | 一种请求认证方法及系统 |
-
2017
- 2017-05-16 CN CN201710346792.1A patent/CN108881130B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN108881130A (zh) | 2018-11-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Alaca et al. | Device fingerprinting for augmenting web authentication: classification and analysis of methods | |
| CN105939326B (zh) | 处理报文的方法及装置 | |
| CN107135073B (zh) | 接口调用方法和装置 | |
| EP3219068B1 (en) | Method of identifying and counteracting internet attacks | |
| US8375425B2 (en) | Password expiration based on vulnerability detection | |
| WO2016184216A1 (zh) | 一种防止盗链的方法、防止盗链的服务器及客户端 | |
| WO2011089788A1 (ja) | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム | |
| CN106302308B (zh) | 一种信任登录方法和装置 | |
| CN107566323B (zh) | 一种应用系统登录方法和装置 | |
| CN108259619B (zh) | 网络请求防护方法及网络通信系统 | |
| US9015817B2 (en) | Resilient and restorable dynamic device identification | |
| CN108881130B (zh) | 会话控制信息的安全控制方法和装置 | |
| CN107508822B (zh) | 访问控制方法及装置 | |
| WO2012117253A1 (en) | An authentication system | |
| CN105429943B (zh) | 一种信息处理方法及其终端 | |
| US9954853B2 (en) | Network security | |
| US20150328119A1 (en) | Method of treating hair | |
| CN112711759A (zh) | 一种防重放攻击漏洞安全防护的方法及系统 | |
| CN113341798A (zh) | 远程访问应用的方法、系统、装置、设备及存储介质 | |
| CN107819639B (zh) | 一种测试方法和装置 | |
| CN111294337A (zh) | 一种基于令牌的鉴权方法及装置 | |
| CN113938474A (zh) | 一种虚拟机访问方法、装置、电子设备和存储介质 | |
| CN112804222B (zh) | 基于云部署的数据传输方法、装置、设备及存储介质 | |
| Soria-Machado et al. | Detecting lateral movements in windows infrastructure | |
| CN112929388B (zh) | 网络身份跨设备应用快速认证方法和系统、用户代理设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |