CN108989263A - 短信验证码攻击防护方法、服务器和计算机可读存储介质 - Google Patents
短信验证码攻击防护方法、服务器和计算机可读存储介质 Download PDFInfo
- Publication number
- CN108989263A CN108989263A CN201710399583.3A CN201710399583A CN108989263A CN 108989263 A CN108989263 A CN 108989263A CN 201710399583 A CN201710399583 A CN 201710399583A CN 108989263 A CN108989263 A CN 108989263A
- Authority
- CN
- China
- Prior art keywords
- short message
- verification code
- message verification
- request
- code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 496
- 238000000034 method Methods 0.000 title claims abstract description 37
- 230000002265 prevention Effects 0.000 claims abstract description 5
- 230000015654 memory Effects 0.000 claims description 35
- 230000006399 behavior Effects 0.000 description 14
- 230000002159 abnormal effect Effects 0.000 description 12
- 238000004891 communication Methods 0.000 description 11
- 238000013515 script Methods 0.000 description 9
- 238000004590 computer program Methods 0.000 description 8
- 230000004044 response Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 235000014510 cooky Nutrition 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000005336 cracking Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0838—Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/12—Messaging; Mailboxes; Announcements
- H04W4/14—Short messaging services, e.g. short message services [SMS] or unstructured supplementary service data [USSD]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种短信验证码攻击防护方法,包括:接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。同时,本发明还公开了一种服务器和计算机可读存储介质。
Description
技术领域
本发明涉及通信领域,尤其涉及一种短信验证码攻击防护方法、服务器和计算机可读存储介质。
背景技术
近年来,由于在在线支付、网站登录、App用户注册等很多应用场景中需要对用户身份或手机号码真实性进行校验,此时通常需要用户通过输入手机号码以获取短信验证码而完成校验操作。例如,用户先在应用页面中选择“短信验证码”选项,然后点击“获取”按钮,从而获取短信验证码。因此,短信验证码的重要性与作用不容忽视。但与此同时,为了非法获取他人信息进行牟利等原因,针对短信验证码的攻击越来越多,使得短信验证码攻击的问题日趋严重。例如,攻击者通过程序调用短信发送接口向后台发送短信以获取短信验证码,这是因为http、https等接口暴露在公网下,脚本的代码都可以被黑客抓取到,而且参数都很透明,使得黑客比较容易就可以模拟浏览器给后台发送获取短信验证码请求。其中,短信验证码攻击中常用手段是暴力破解。例如,黑客通过脚本程序调用后台接口自动发送短信,以此来达到短信轰炸的目的;针对一个手机号码发送大量的验证码进行验证,并在验证成功后非法获取他人信息。
现有技术中,应对短信验证码攻击的主要技术方案是每隔一定时间如每隔1~2分钟发送一次短信验证码,且该短信验证码在一段时间内如5~10分钟内有效,以拖延用户的攻击次数。但是,现有技术的缺点在于不能解决短信炸弹问题,因为攻击者通过程序等自动调用短信验证码,每隔一定时间给用户发送短信验证码,不但会给用户带来大量垃圾短信,而且也有一定的验证成功率。
发明内容
有鉴于此,本发明实施例期望提供一种短信验证码攻击防护方法、服务器和计算机可读存储介质,能够有效阻止短信验证码攻击行为。
为达到上述目的,本发明的技术方案是这样实现的:
本发明实施例提供了一种短信验证码攻击防护方法,所述方法包括:
接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;
确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
上述方案中,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
上述方案中,所述方法还包括:
拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
上述方案中,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
上述方案中,所述方法还包括:
确定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
上述方案中,当所述短信验证码请求为短信验证码校验请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;
确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行上述短信验证码攻击防护方法中的各个步骤。
本发明实施例还提供了一种服务器,所述服务器包括:存储器;一个或多个处理器;以及一个或多个模块;所述一个或多个模块被存储在所述存储器中并被配置成由所述一个或多个处理器执行,所述一个或多个模块包括用于执行上述短信验证码攻击防护方法中各步骤的指令。
本发明实施例提供的短信验证码攻击防护方法、服务器和计算机可读存储介质,接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求;可见,本发明实施例提供的短信验证码攻击防护方法、服务器和计算机可读存储介质根据接收到的短信验证码请求所携带的应用场景信息,利用与所述应用场景信息匹配的短信验证码防护策略判断是否响应所述短信验证码请求,当所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求,能够有效阻止短信验证码攻击行为;并且,还能够有效减少因短信轰炸给用户带来的垃圾短信。
附图说明
图1为本发明实施例一短信验证码攻击防护方法的实现流程示意图;
图2为本发明实施例一服务器的组成结构示意图;
图3为本发明实施例二服务器的组成结构示意图。
具体实施方式
下面结合附图及具体实施例对本发明再作进一步详细的说明。
实施例一
图1为本发明实施例一短信验证码攻击防护方法的实现流程示意图,该方法包括以下步骤:
步骤101:接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
具体地,服务器、后台管理平台等短信验证码管理系统或短信验证码管理设备接收短信验证码请求;其中,所述短信验证码请求中至少携带有用户标识、应用场景信息。
这里,所述短信验证码请求可以是通过触发终端中的应用程序生成的,也可以是通过触发后台接口、应用程序接口等生成的;所述短信验证码请求包括短信验证码获取请求或短信验证码校验请求;当所述短信验证码请求为短信验证码获取请求时,终端向短信验证码管理系统或短信验证码管理设备发送短信验证码获取请求的目的是:请求短信验证码管理系统或短信验证码管理设备对所述短信验证码获取请求进行响应以生成短信验证码;当所述短信验证码请求为短信验证码校验请求时,所述短信验证码校验请求中携带有待校验短信验证码,终端向短信验证码管理系统或短信验证码管理设备发送短信验证码校验请求的目的是:请求短信验证码管理系统或短信验证码管理设备对待校验短信验证码进行校验。
这里,所述终端可以是移动终端或固定终端;所述移动终端可以是移动电话、智能电话、笔记本电脑、平板电脑等;所述固定终端可以是数字电视机、台式计算机等;所述终端上可安装应用程序,终端通过有线网络或无线网络可与应用程序的提供方或管理方建立数据通信连接,也可理解为终端通过有线网络或无线网络可与应用程序的服务器、后台管理平台等进行数据传输。
这里,所述用户标识用于指示短信验证码请求的发起方或短信验证码请求的响应结果的接收方;所述用户标识可以是用户手机号码、国际移动用户识别码、国际移动设备身份码、互联网协议地址(IP,Internet Protocol Address)等标识中的一种或多种;当然,所述用户标识也可以是用户名、密码等用户登录终端或应用程序的信息;例如,当用户通过手机向指定服务器发送短信验证码获取请求时,所述用户标识可以是用户的手机号码;当用户通过台式计算机向指定服务器发送短信验证码获取请求时,所述用户标识可以是该台式计算机的IP。
这里,所述应用场景信息用于指示发送短信验证码请求的场景;其中,终端或接口发送短信验证码请求可以包括下述三种应用场景:
场景一、用户在应用程序用户界面或网页界面中选择“短信验证码”选项后,再点击“获取”按钮,以获取短信验证码;
场景二、攻击者通过程序调用短信发送接口发送短信而请求获取短信验证码;因为http接口、https接口暴露在公网下,使得脚本的代码都可以被攻击者比如黑客抓取到,而且参数都很透明,这样黑客比较容易就可以模拟浏览器给后台发送短信验证码获取请求;
场景三、黑客的脚本攻击;黑客通过脚本程序调用后台接口自动发送短信验证码请求,以此来达到短信轰炸的目的。
步骤102:基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;
这里,所述短信验证码防护策略库是预先设置的,用于存储针对不同应用场景的短信验证码防护策略,每一个短信验证码防护策略可以根据应用场景进行设置与更新。短信验证码防护策略可以是短信验证码单次有效即验证一次后自动失效、或同一手机号码发送短信验证码获取请求的频率过高即在X分钟内发送短信验证码获取请求的次数超过Y次,则在Z分钟内拒绝响应该手机号码发送的短信验证码获取请求等。例如,当所述应用场景信息为场景一所示的用户通过应用程序用户界面或网页界面请求获取短信验证码时,则在短信验证码防护策略库中获取与场景一匹配的短信验证码防护策略。
步骤103:确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
具体地,基于步骤102中确定的所述短信验证码防护策略,判断所述短信验证码请求是否符合所述短信验证码防护策略,确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
这里,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
这里,所述第一预设时间段可以指一个具体的时间范围,包括以接收到所述短信验证码获取请求的当前时间为起点、且在所述当前时间之前的第一时间阈值范围;例如,当所述第一时间阈值为10分钟时,则第一预设时间段为在当前时间之前且包括当前时间在内的10分钟。
这里,所述第一预设阈值可根据实际情况进行设置和调整;若在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量大于第一预设阈值,说明请求获取短信验证码的次数达到了一定频率,所述短信验证码获取请求可能是短信验证码攻击行为,则拒绝处理所述短信验证码获取请求,即不为所述短信验证码获取请求生成相应的短信验证码,从而限制短信发送次数,并阻止非正常用户获取短信验证码,有效解决短信验证码攻击行为。例如,当同一个手机号码在15分钟内请求获取短信验证码的次数超过8次,则根据用户使用习惯和制定的规则,可以将该手机号码对应的用户视为非正常用户,从而对该手机号码发送的短信验证码获取请求不予以响应。
本实施例中,通过短信验证码防护策略限制短信验证码发送次数,阻止非正常用户获取短信验证码,能够有效解决或阻止短信验证码攻击行为;并且,还能够有效减少因短信轰炸给用户带来的垃圾短信。
进一步地,该方法还可包括:
拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
这里,所述第二预设时间段可以指一个具体的时间范围,包括以接收到所述短信验证码获取请求的当前时间为起点、且在所述当前时间之后的第二时间阈值范围;例如,当所述第二时间阈值为20分钟时,则第二预设时间段为从当前时间开始的20分钟内。
这里,由于所述用户标识对应的用户可能是非正常用户,则通过拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求,能够有效限制短信发送次数,并阻止非正常用户获取短信验证码,有效解决短信验证码攻击行为。例如,当同一个手机号码在15分钟内请求获取短信验证码的次数超过8次,则根据用户使用习惯和制定的规则,可以将该手机号码对应的用户视为非正常用户,从而对该手机号码在以后300分钟内发送的短信验证码获取请求都不予以响应,并且还可给相应的业务系统发送提示消息。
进一步地,该方法还可包括:
确定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
这里,所述状态标志位用于指示短信验证码是否未被用于执行校验操作或已经被用于执行校验操作,也可以用于指示短信验证码是否还可被用于执行校验操作;所述状态标志位可以被设置为有效状态或无效状态;在实际应用中,有效状态可用“1”表示,无效状态可用“0”表示;当短信验证码的状态标志位为有效状态时,说明该短信验证码还可被用于执行校验操作;当短信验证码的状态标志位为无效状态时,说明该短信验证码不可被用于执行校验操作。此外,依据现有的数据库或设置一个新数据库来存储短信验证码的状态标志位;当根据接收到的短信验证码获取请求生成一个新短信验证码时,该新短信验证码的状态标志位初始为有效状态。
这里,可设置一个次数阈值,用于指示短信验证码被用于执行校验操作的最大次数;当任意一个短信验证码被用于执行校验操作的次数小于所述次数阈值时,将该短信验证码的状态标志位设置为有效状态;而当任意一个短信验证码被用于执行校验操作的次数大于或等于所述次数阈值时,将该短信验证码的状态标志位设置为无效状态。例如,当一个短信验证码已经被用于执行一次校验操作时,则可将该短信验证码的状态标志位设置为无效状态。
如此,只有确认短信验证码获取请求符合相应的短信验证码防护策略时,才对短信验证码请求进行响应以生成短信验证码,能够有效减少发送给用户的垃圾短信,并更好的实现短信验证码的服务。
进一步地,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
这里,可以预先通过在应用程序或网页界面中设置校验参数,并在生成短信验证码获取请求时写入校验参数,以标识所述短信验证码获取请求是正常用户发送的;所述校验参数可以是用户名、密码等。例如,可以在打开网页界面时在浏览器端写入一些cookie作为预设校验参数,以使通过浏览器端发出的短信验证码获取请求中携带所述预设校验参数,使得黑客等攻击者无法直接用脚本模拟发送短信验证码获取请求,从而最大化的阻止黑客的攻击行为。
这里,当所述短信验证码获取请求携带有预设校验参数时,还可判断所述预设校验参数是否与存储的参数一致,进而决定是否响应所述短信验证码获取请求,即还要判断出所述预设校验参数与存储的参数一致时,才允许响应所述短信验证码获取请求。
如此,能够使得黑客等攻击者无法直接用脚本模拟发送短信验证码获取请求,从而最大化的阻止黑客的攻击行为。
进一步地,当所述短信验证码请求为短信验证码校验请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;
确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
具体地,基于短信验证码校验请求中携带的用户标识,在数据库中进行匹配查找;当在数据库中查找到所述用户标识时,获取与所述用户标识对应的短信验证码的状态标志位;确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
这里,当确定所述短信验证码的状态标志位为无效状态时,说明所述短信验证码不可被用于执行校验操作,因此拒绝响应所述短信验证码校验请求。
这里,当确定所述短信验证码的状态标志位为有效状态时,响应所述短信验证码校验请求,即将所述短信验证码与所述短信验证码校验请求中携带的待校验短信验证码进行比对,判断两者是否一致,若一致,则说明对所述短信验证码校验请求的校验通过;若不一致,则说明对所述短信验证码校验请求的校验不通过;然后,可将所述短信验证码的状态标志位设置为无效状态。
假设,设置短信验证码单次有效,即短信验证码只可被用于执行一次校验操作,并在执行一次校验操作后自动失效,不可继续用于执行校验操作;因此,如果对用户第一次输入的待校验短信验证码的验证失败,则用户后续输入的待校验短信验证码是正确的短信验证码,也是校验不通过的。
这样,通过限定短信验证码被用于执行校验操作的次数,能够提高用户手机短信验证码的安全性。
为实现上述方法,本发明实施例还提供了一种服务器,图2为本发明实施例服务器的组成结构示意图,该服务器包括通信接口11和处理器12;其中,
所述通信接口11,用于接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
所述处理器12,用于基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
这里,所述短信验证码请求可以是通过触发终端中的应用程序生成的,也可以是通过触发后台接口、应用程序接口等生成的;所述短信验证码请求包括短信验证码获取请求或短信验证码校验请求;当所述短信验证码请求为短信验证码获取请求时,终端向所述通信接口11发送短信验证码获取请求的目的是:请求对所述短信验证码获取请求进行响应以生成短信验证码;当所述短信验证码请求为短信验证码校验请求时,所述短信验证码校验请求中携带有待校验短信验证码,终端向所述通信接口11发送短信验证码校验请求的目的是:请求对待校验短信验证码进行校验。
这里,所述终端可以是移动终端或固定终端;所述移动终端可以是移动电话、智能电话、笔记本电脑、平板电脑等;所述固定终端可以是数字电视机、台式计算机等;所述终端上可安装应用程序,终端通过有线网络或无线网络可与应用程序的提供方或管理方建立数据通信连接,也可理解为终端通过有线网络或无线网络可与应用程序的服务器、后台管理平台等进行数据传输。
这里,所述用户标识用于指示短信验证码请求的发起方或短信验证码请求的响应结果的接收方;所述用户标识可以是用户手机号码、国际移动用户识别码、国际移动设备身份码、IP等标识中的一种或多种;当然,所述用户标识也可以是用户名、密码等用户登录终端或应用程序的信息;例如,当用户通过手机向指定服务器发送短信验证码获取请求时,所述用户标识可以是用户的手机号码;当用户通过台式计算机向指定服务器发送短信验证码获取请求时,所述用户标识可以是该台式计算机的IP。
这里,所述应用场景信息用于指示发送短信验证码请求的场景;其中,终端或接口发送短信验证码请求可以包括下述三种应用场景:
场景一、用户在应用程序用户界面或网页界面中选择“短信验证码”选项后,再点击“获取”按钮,以获取短信验证码;
场景二、攻击者通过程序调用短信发送接口发送短信而请求获取短信验证码;因为http接口、https接口暴露在公网下,使得脚本的代码都可以被攻击者比如黑客抓取到,而且参数都很透明,这样黑客比较容易就可以模拟浏览器给后台发送短信验证码获取请求;
场景三、黑客的脚本攻击;黑客通过脚本程序调用后台接口自动发送短信验证码请求,以此来达到短信轰炸的目的。
这里,所述短信验证码防护策略库是预先设置的,用于存储针对不同应用场景的短信验证码防护策略,每一个短信验证码防护策略可以根据应用场景进行设置与更新。短信验证码防护策略可以是短信验证码单次有效即验证一次后自动失效、或同一手机号码发送短信验证码获取请求的频率过高即在X分钟内发送短信验证码获取请求的次数超过Y次,则在Z分钟内拒绝响应该手机号码发送的短信验证码获取请求等。例如,当所述应用场景信息为场景一所示的用户通过应用程序用户界面或网页界面请求获取短信验证码时,则所述处理器12在短信验证码防护策略库中获取与场景一匹配的短信验证码防护策略。
所述处理器12,具体用于:基于所述短信验证码防护策略,判断所述短信验证码请求是否符合所述短信验证码防护策略,确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
这里,当所述短信验证码请求为短信验证码获取请求时,所述处理器12确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
这里,所述第一预设时间段可以指一个具体的时间范围,包括以接收到所述短信验证码获取请求的当前时间为起点、且在所述当前时间之前的第一时间阈值范围;例如,当所述第一时间阈值为10分钟时,则第一预设时间段为在当前时间之前且包括当前时间在内的10分钟。
这里,所述第一预设阈值可根据实际情况进行设置和调整;若在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量大于第一预设阈值,说明请求获取短信验证码的次数达到了一定频率,所述短信验证码获取请求可能是短信验证码攻击行为,则拒绝处理所述短信验证码获取请求,即不为所述短信验证码获取请求生成相应的短信验证码,从而限制短信发送次数,并阻止非正常用户获取短信验证码,有效解决短信验证码攻击行为。例如,当同一个手机号码在15分钟内请求获取短信验证码的次数超过8次,则根据用户使用习惯和制定的规则,可以将该手机号码对应的用户视为非正常用户,从而对该手机号码发送的短信验证码获取请求不予以响应。
本发明实施例提供的服务器通过短信验证码防护策略限制短信验证码发送次数,阻止非正常用户获取短信验证码,能够有效解决或阻止短信验证码攻击行为;并且,还能够有效减少因短信轰炸给用户带来的垃圾短信。
进一步地,所述处理器12,还用于拒绝响应通信接口11在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
这里,所述第二预设时间段可以指一个具体的时间范围,包括以接收到所述短信验证码获取请求的当前时间为起点、且在所述当前时间之后的第二时间阈值范围;例如,当所述第二时间阈值为20分钟时,则第二预设时间段为从当前时间开始的20分钟内。
这里,由于所述用户标识对应的用户可能是非正常用户,则所述处理器12通过拒绝响应通信接口11在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求,能够有效限制短信发送次数,并阻止非正常用户获取短信验证码,有效解决短信验证码攻击行为。例如,当同一个手机号码在15分钟内请求获取短信验证码的次数超过8次,则根据用户使用习惯和制定的规则,可以将该手机号码对应的用户视为非正常用户,从而对该手机号码在以后300分钟内发送的短信验证码获取请求都不予以响应,并且还可给相应的业务系统发送提示消息。
进一步地,所述处理器12,还用于定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
这里,所述状态标志位用于指示短信验证码是否未被用于执行校验操作或已经被用于执行校验操作,也可以用于指示短信验证码是否还可被用于执行校验操作;所述状态标志位可以被设置为有效状态或无效状态;在实际应用中,有效状态可用“1”表示,无效状态可用“0”表示;当短信验证码的状态标志位为有效状态时,说明该短信验证码还可被用于执行校验操作;当短信验证码的状态标志位为无效状态时,说明该短信验证码不可被用于执行校验操作。此外,依据现有的数据库或设置一个新数据库来存储短信验证码的状态标志位;当根据接收到的短信验证码获取请求生成一个新短信验证码时,该新短信验证码的状态标志位初始为有效状态。
这里,可设置一个次数阈值,用于指示短信验证码被用于执行校验操作的最大次数;当任意一个短信验证码被用于执行校验操作的次数小于所述次数阈值时,将该短信验证码的状态标志位设置为有效状态;而当任意一个短信验证码被用于执行校验操作的次数大于或等于所述次数阈值时,将该短信验证码的状态标志位设置为无效状态。例如,当一个短信验证码已经被用于执行一次校验操作时,则可将该短信验证码的状态标志位设置为无效状态。
如此,只有确认短信验证码获取请求符合相应的短信验证码防护策略时,才对短信验证码请求进行响应以生成短信验证码,能够有效减少发送给用户的垃圾短信,并更好的实现短信验证码的服务。
进一步地,当所述短信验证码请求为短信验证码获取请求时,所述处理器12,具体用于:确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
这里,可以预先通过在应用程序或网页界面中设置校验参数,并在生成短信验证码获取请求时写入校验参数,以标识所述短信验证码获取请求是正常用户发送的;所述校验参数可以是用户名、密码等。例如,可以在打开网页界面时在浏览器端写入一些cookie作为预设校验参数,以使通过浏览器端发出的短信验证码获取请求中携带所述预设校验参数,使得黑客等攻击者无法直接用脚本模拟发送短信验证码获取请求,从而最大化的阻止黑客的攻击行为。
这里,当所述短信验证码获取请求携带有预设校验参数时,还可判断所述预设校验参数是否与存储的参数一致,进而决定是否响应所述短信验证码获取请求,即还要判断出所述预设校验参数与存储的参数一致时,才允许响应所述短信验证码获取请求。
如此,能够使得黑客等攻击者无法直接用脚本模拟发送短信验证码获取请求,从而最大化的阻止黑客的攻击行为。
进一步地,当所述短信验证码请求为短信验证码校验请求时,
所述处理器12,还用于基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
具体地,所述处理器12基于短信验证码校验请求中携带的用户标识,在数据库中进行匹配查找;当在数据库中查找到所述用户标识时,所述处理器12获取与所述用户标识对应的短信验证码的状态标志位;所述处理器12确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
这里,当确定所述短信验证码的状态标志位为无效状态时,说明所述短信验证码不可被用于执行校验操作,因此所述处理器12拒绝响应所述短信验证码校验请求。
这里,当所述处理器12确定所述短信验证码的状态标志位为有效状态时,响应所述短信验证码校验请求,即将所述短信验证码与所述短信验证码校验请求中携带的待校验短信验证码进行比对,判断两者是否一致,若一致,则说明对所述短信验证码校验请求的校验通过;若不一致,则说明对所述短信验证码校验请求的校验不通过;然后,可将所述短信验证码的状态标志位设置为无效状态。
假设,设置短信验证码单次有效,即短信验证码只可被用于执行一次校验操作,并在执行一次校验操作后自动失效,不可继续用于执行校验操作;因此,如果对用户第一次输入的待校验短信验证码的验证失败,则用户后续输入的待校验短信验证码是正确的短信验证码,也是校验不通过的。
这样,通过限定短信验证码被用于执行校验操作的次数,能够提高用户手机短信验证码的安全性。
上述实施例提供的服务器在进行短信验证码攻击防护时,仅以上述划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的处理器完成,即将装置的内部结构划分成不同的处理器,以完成以上描述的全部或者部分处理。另外,上述实施例提供的服务器与短信验证码攻击防护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
实施例二
本发明实施例提供了一种服务器,图3为本发明实施例服务器的组成结构示意图,该服务器200包括:一个或多个处理器201、存储器202、以及一个或多个模块;其中,图3中示意的处理器201并非用于指代处理器的个数为一个,而是仅用于指代处理器相对其他器件的位置关系,在实际应用中,处理器的个数可以为一个或多个;同样,图3中示意的存储器202也是同样的含义,即:仅用于指代存储器相对其他器件的位置关系,在实际应用中,存储器的个数可以为一个或多个。
所述一个或多个模块被存储在所述存储器202中并被配置成由所述一个或多个处理器201执行,所述一个或多个模块用于执行如下步骤:
接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;
确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
在本发明实施例一实施方式中,所述一个或多个模块还用于执行如下步骤:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
在本发明实施例一实施方式中,所述一个或多个模块还用于执行如下步骤:拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
在本发明实施例一实施方式中,所述一个或多个模块还用于执行如下步骤:
确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
在本发明实施例一实施方式中,所述一个或多个模块还用于执行如下步骤:
确定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
在本发明实施例一实施方式中,所述一个或多个模块还用于执行如下步骤:
基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;
确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
这里,服务器200还可包括通信模组203;服务器200中的各个组件通过总线系统204耦合在一起。可理解,总线系统204用于实现这些组件之间的连接通信。总线系统204除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图3中将各种总线都标为总线系统204。
其中,存储器202可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本发明实施例描述的存储器102旨在包括但不限于这些和任意其它适合类型的存储器。
本发明实施例中的存储器202用于存储各种类型的数据以支持服务器200的操作。这些数据的示例包括:用于在服务器200上操作的任何计算机程序,如操作系统和应用程序;联系人数据;电话簿数据;消息;图片;视频等。其中,操作系统包含各种系统程序,例如框架层、核心库层、驱动层等,用于实现各种基础业务以及处理基于硬件的任务。应用程序可以包含各种应用程序,例如媒体播放器(Media Player)、浏览器(Browser)等,用于实现各种应用业务。这里,实现本发明实施例方法的程序可以包含在应用程序中。
上述本发明实施例揭示的方法可以应用于处理器201中,或者由处理器201实现。处理器201可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器201中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器201可以是通用处理器、数字信号处理器(DSP,Digital Signal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器201可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本发明实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器202,处理器201读取存储器202中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,本发明实施例还提供了一种计算机可读存储介质,例如包括计算机程序的存储器202,上述计算机程序可由服务器200中的处理器201执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器;也可以是包括上述存储器之一或任意组合的各种设备,如移动电话、计算机、平板设备、个人数字助理等。
一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机程序,所述计算机程序被处理器运行时,执行如下步骤:
接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;
确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
在本发明实施例一实施方式中,所述计算机程序被处理器运行时,还执行如下步骤:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
在本发明实施例一实施方式中,所述计算机程序被处理器运行时,还执行如下步骤:
拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
在本发明实施例一实施方式中,所述计算机程序被处理器运行时,还执行如下步骤:
确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
在本发明实施例一实施方式中,所述计算机程序被处理器运行时,还执行如下步骤:
确定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
在本发明实施例一实施方式中,所述计算机程序被处理器运行时,还执行如下步骤:
基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;
确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和范围之内所作的任何修改、等同替换和改进等,均包含在本发明的保护范围之内。
Claims (8)
1.一种短信验证码攻击防护方法,其特征在于,所述方法包括:
接收短信验证码请求;所述短信验证码请求携带有用户标识、应用场景信息;
基于所述应用场景信息,在短信验证码防护策略库中进行匹配查找,获取与所述应用场景信息匹配的短信验证码防护策略;
确定所述短信验证码请求不符合所述短信验证码防护策略时,拒绝响应所述短信验证码请求。
2.根据权利要求1所述的方法,其特征在于,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
统计在第一预设时间段内接收到携带有所述用户标识的短信验证码获取请求的数量;
当所述数量大于第一预设阈值时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
拒绝响应在第二预设时间段内接收到的、且携带有所述用户标识的短信验证码获取请求。
4.根据权利要求1所述的方法,其特征在于,当所述短信验证码请求为短信验证码获取请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
确定所述短信验证码获取请求未携带有预设校验参数时,判定所述短信验证码获取请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码获取请求。
5.根据权利要求2所述的方法,其特征在于,所述方法还包括:
确定所述短信验证码获取请求符合所述短信验证码防护策略时,响应所述短信验证码请求以生成短信验证码,并将数据库中所述短信验证码的状态标志位初始为有效状态。
6.根据权利要求1所述的方法,其特征在于,当所述短信验证码请求为短信验证码校验请求时,所述确定所述短信验证码请求不符合所述短信验证码防护策略,拒绝响应所述短信验证码请求,包括:
基于所述用户标识,在数据库中进行匹配查找,获取与所述用户标识对应的短信验证码的状态标志位;
确定所述短信验证码的状态标志位为无效状态时,拒绝响应所述短信验证码校验请求。
7.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令用于执行权利要求1至6任一项所述的短信验证码攻击防护方法中的各个步骤。
8.一种服务器,其特征在于,所述服务器包括:存储器;一个或多个处理器;以及一个或多个模块;所述一个或多个模块被存储在所述存储器中并被配置成由所述一个或多个处理器执行,所述一个或多个模块包括用于执行权利要求1至6任一项所述短信验证码攻击防护方法中各步骤的指令。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710399583.3A CN108989263B (zh) | 2017-05-31 | 2017-05-31 | 短信验证码攻击防护方法、服务器和计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710399583.3A CN108989263B (zh) | 2017-05-31 | 2017-05-31 | 短信验证码攻击防护方法、服务器和计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108989263A true CN108989263A (zh) | 2018-12-11 |
CN108989263B CN108989263B (zh) | 2020-12-01 |
Family
ID=64501381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710399583.3A Active CN108989263B (zh) | 2017-05-31 | 2017-05-31 | 短信验证码攻击防护方法、服务器和计算机可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108989263B (zh) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109379704A (zh) * | 2018-12-21 | 2019-02-22 | 珠海市小源科技有限公司 | 短信的区域信息校正方法、装置、设备及存储介质 |
CN109618349A (zh) * | 2019-01-08 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种数据传输方法和服务器 |
CN110113758A (zh) * | 2019-05-21 | 2019-08-09 | 深圳壹账通智能科技有限公司 | 一种基于手机号码发送验证消息的控制方法及相关装置 |
CN110944300A (zh) * | 2019-12-23 | 2020-03-31 | 四川虹美智能科技有限公司 | 短信服务系统、转发接口装置及防御服务器 |
CN111132171A (zh) * | 2019-12-26 | 2020-05-08 | 深圳前海环融联易信息科技服务有限公司 | 基于历史短信发送量的限制访问方法、装置及计算机设备 |
CN111417122A (zh) * | 2020-03-25 | 2020-07-14 | 杭州迪普科技股份有限公司 | 一种防范攻击方法及装置 |
CN111478923A (zh) * | 2020-04-28 | 2020-07-31 | 华为技术有限公司 | 访问请求的响应方法、装置和电子设备 |
CN112448956A (zh) * | 2020-11-25 | 2021-03-05 | 平安普惠企业管理有限公司 | 一种短信验证码的权限处理方法、装置和计算机设备 |
CN112566121A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 一种防止攻击的方法及服务器、电子设备、存储介质 |
CN113438202A (zh) * | 2021-05-18 | 2021-09-24 | 北京达佳互联信息技术有限公司 | 验证码请求的处理方法、装置、电子设备及存储介质 |
CN113468515A (zh) * | 2021-07-13 | 2021-10-01 | 富途网络科技(深圳)有限公司 | 用户身份验证方法、装置、电子设备以及存储介质 |
CN113672894A (zh) * | 2021-07-30 | 2021-11-19 | 北京达佳互联信息技术有限公司 | 针对验证码请求的数据处理方法、装置、设备及存储介质 |
CN114095936A (zh) * | 2020-07-30 | 2022-02-25 | 博泰车联网科技(上海)股份有限公司 | 短信验证码请求方法、攻击防御方法、装置、介质及设备 |
CN114390457A (zh) * | 2022-01-17 | 2022-04-22 | 百果园技术(新加坡)有限公司 | 一种短信验证方法、装置、设备及存储介质 |
CN114598550A (zh) * | 2022-03-28 | 2022-06-07 | 中国银行股份有限公司 | 短信验证码攻击防护方法及装置 |
CN114912991A (zh) * | 2021-02-07 | 2022-08-16 | 北京同邦卓益科技有限公司 | 安全认证方法、装置、电子设备及存储介质 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103002415A (zh) * | 2011-09-15 | 2013-03-27 | 阿里巴巴集团控股有限公司 | 一种通过短信发送验证码的方法和装置 |
CN103906058A (zh) * | 2012-12-27 | 2014-07-02 | 纽海信息技术(上海)有限公司 | 网站管理系统、获取验证码方法及系统 |
CN104202345A (zh) * | 2014-09-28 | 2014-12-10 | 北京奇虎科技有限公司 | 验证码生成方法、装置及系统 |
CN104318166A (zh) * | 2014-11-14 | 2015-01-28 | 深圳市中兴移动通信有限公司 | 安全防护的方法及装置 |
US20160087962A1 (en) * | 2013-06-24 | 2016-03-24 | Alibaba Group Holding Limited | Method and system for authenticating user identity |
CN105871899A (zh) * | 2016-05-24 | 2016-08-17 | 北京京东尚科信息技术有限公司 | 验证码的验证方法和系统 |
CN106713241A (zh) * | 2015-11-16 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种身份验证方法、装置和系统 |
-
2017
- 2017-05-31 CN CN201710399583.3A patent/CN108989263B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103002415A (zh) * | 2011-09-15 | 2013-03-27 | 阿里巴巴集团控股有限公司 | 一种通过短信发送验证码的方法和装置 |
CN103906058A (zh) * | 2012-12-27 | 2014-07-02 | 纽海信息技术(上海)有限公司 | 网站管理系统、获取验证码方法及系统 |
US20160087962A1 (en) * | 2013-06-24 | 2016-03-24 | Alibaba Group Holding Limited | Method and system for authenticating user identity |
CN104202345A (zh) * | 2014-09-28 | 2014-12-10 | 北京奇虎科技有限公司 | 验证码生成方法、装置及系统 |
CN104318166A (zh) * | 2014-11-14 | 2015-01-28 | 深圳市中兴移动通信有限公司 | 安全防护的方法及装置 |
CN106713241A (zh) * | 2015-11-16 | 2017-05-24 | 腾讯科技(深圳)有限公司 | 一种身份验证方法、装置和系统 |
CN105871899A (zh) * | 2016-05-24 | 2016-08-17 | 北京京东尚科信息技术有限公司 | 验证码的验证方法和系统 |
Cited By (22)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109379704A (zh) * | 2018-12-21 | 2019-02-22 | 珠海市小源科技有限公司 | 短信的区域信息校正方法、装置、设备及存储介质 |
CN109618349A (zh) * | 2019-01-08 | 2019-04-12 | 中国联合网络通信集团有限公司 | 一种数据传输方法和服务器 |
CN110113758A (zh) * | 2019-05-21 | 2019-08-09 | 深圳壹账通智能科技有限公司 | 一种基于手机号码发送验证消息的控制方法及相关装置 |
CN110944300B (zh) * | 2019-12-23 | 2022-06-24 | 四川虹美智能科技有限公司 | 短信服务系统、转发接口装置及防御服务器 |
CN110944300A (zh) * | 2019-12-23 | 2020-03-31 | 四川虹美智能科技有限公司 | 短信服务系统、转发接口装置及防御服务器 |
CN111132171A (zh) * | 2019-12-26 | 2020-05-08 | 深圳前海环融联易信息科技服务有限公司 | 基于历史短信发送量的限制访问方法、装置及计算机设备 |
CN111417122A (zh) * | 2020-03-25 | 2020-07-14 | 杭州迪普科技股份有限公司 | 一种防范攻击方法及装置 |
CN111417122B (zh) * | 2020-03-25 | 2024-03-01 | 杭州迪普科技股份有限公司 | 一种防范攻击方法及装置 |
CN111478923A (zh) * | 2020-04-28 | 2020-07-31 | 华为技术有限公司 | 访问请求的响应方法、装置和电子设备 |
CN114095936A (zh) * | 2020-07-30 | 2022-02-25 | 博泰车联网科技(上海)股份有限公司 | 短信验证码请求方法、攻击防御方法、装置、介质及设备 |
CN112448956A (zh) * | 2020-11-25 | 2021-03-05 | 平安普惠企业管理有限公司 | 一种短信验证码的权限处理方法、装置和计算机设备 |
CN112448956B (zh) * | 2020-11-25 | 2022-10-04 | 平安普惠企业管理有限公司 | 一种短信验证码的权限处理方法、装置和计算机设备 |
CN112566121A (zh) * | 2020-12-09 | 2021-03-26 | 北京深思数盾科技股份有限公司 | 一种防止攻击的方法及服务器、电子设备、存储介质 |
CN114912991A (zh) * | 2021-02-07 | 2022-08-16 | 北京同邦卓益科技有限公司 | 安全认证方法、装置、电子设备及存储介质 |
CN113438202A (zh) * | 2021-05-18 | 2021-09-24 | 北京达佳互联信息技术有限公司 | 验证码请求的处理方法、装置、电子设备及存储介质 |
CN113438202B (zh) * | 2021-05-18 | 2023-06-02 | 北京达佳互联信息技术有限公司 | 验证码请求的处理方法、装置、电子设备及存储介质 |
CN113468515A (zh) * | 2021-07-13 | 2021-10-01 | 富途网络科技(深圳)有限公司 | 用户身份验证方法、装置、电子设备以及存储介质 |
CN113672894A (zh) * | 2021-07-30 | 2021-11-19 | 北京达佳互联信息技术有限公司 | 针对验证码请求的数据处理方法、装置、设备及存储介质 |
CN113672894B (zh) * | 2021-07-30 | 2024-07-12 | 北京达佳互联信息技术有限公司 | 针对验证码请求的数据处理方法、装置、设备及存储介质 |
CN114390457A (zh) * | 2022-01-17 | 2022-04-22 | 百果园技术(新加坡)有限公司 | 一种短信验证方法、装置、设备及存储介质 |
CN114390457B (zh) * | 2022-01-17 | 2023-11-07 | 百果园技术(新加坡)有限公司 | 一种短信验证方法、装置、设备及存储介质 |
CN114598550A (zh) * | 2022-03-28 | 2022-06-07 | 中国银行股份有限公司 | 短信验证码攻击防护方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN108989263B (zh) | 2020-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108989263B (zh) | 短信验证码攻击防护方法、服务器和计算机可读存储介质 | |
US10419425B2 (en) | Method, device, and system for access control of a cloud hosting service | |
EP3345087B1 (en) | Method, device, and system for access control of a cloud hosting service | |
US10419431B2 (en) | Preventing cross-site request forgery using environment fingerprints of a client device | |
US9450939B2 (en) | Method and apparatus for service login based on third party's information | |
US8839397B2 (en) | End point context and trust level determination | |
CN111030812A (zh) | 令牌验证方法、装置、存储介质及服务器 | |
CN106878250B (zh) | 跨应用的单态登录方法及装置 | |
US9635017B2 (en) | Computer network security management system and method | |
CN107872445B (zh) | 接入认证方法、设备和认证系统 | |
US20210203668A1 (en) | Systems and methods for malicious client detection through property analysis | |
CN110430167B (zh) | 临时账户的管理方法、电子设备、管理终端及存储介质 | |
CN105577619B (zh) | 一种客户端登录方法、客户端以及系统 | |
CN109218506A (zh) | 一种保护隐私信息的方法、装置及移动终端 | |
TW201928750A (zh) | 比對伺服器、比對方法及電腦程式 | |
CN113194353A (zh) | 一种无线投屏方法、设备、介质及产品 | |
CN111132305A (zh) | 5g用户终端接入5g网络的方法、用户终端设备及介质 | |
US11677765B1 (en) | Distributed denial of service attack mitigation | |
CN109948333A (zh) | 一种账户攻击的安全防御方法及装置 | |
CN109379344B (zh) | 访问请求的鉴权方法及鉴权服务器 | |
CN110417615B (zh) | 校验开关控制方法、装置、设备及计算机可读存储介质 | |
EP3313039A1 (en) | Home gateway, communication management method and communication system thereof | |
CN109981611A (zh) | 一种多平台账户的安全防御方法及装置 | |
US20210021596A1 (en) | Method, device and storage medium for forwarding messages | |
CN112995098B (zh) | 鉴权的方法、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
TA01 | Transfer of patent application right | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20200318 Address after: Room 1006, building 16, yard 16, Yingcai North Third Street, future science city, Changping District, Beijing 100032 Applicant after: China Mobile Information Technology Co., Ltd Applicant after: CHINA MOBILE COMMUNICATIONS GROUP Co.,Ltd. Address before: 100032 Beijing Finance Street, No. 29, Xicheng District Applicant before: China Mobile Communications Corp. |
|
GR01 | Patent grant | ||
GR01 | Patent grant |