CN110619071A - 一种帐号的访问安全监测和处理方法及装置 - Google Patents
一种帐号的访问安全监测和处理方法及装置 Download PDFInfo
- Publication number
- CN110619071A CN110619071A CN201910723020.4A CN201910723020A CN110619071A CN 110619071 A CN110619071 A CN 110619071A CN 201910723020 A CN201910723020 A CN 201910723020A CN 110619071 A CN110619071 A CN 110619071A
- Authority
- CN
- China
- Prior art keywords
- account
- browser
- access request
- address information
- http
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例提供帐号的访问安全监测和处理方法及装置,所述方法应用于设置有HTTP及Https两种协议连接的网站,所述方法包括:获取帐号以HTTP方式进行的当前访问请求的IP地址信息;将所述当前访问请求的IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;若对比结果不满足设定条件,则吊销该帐号的帐号标记码Cookie2并提示重新输入帐号密码进行验证登录。本技术方案综合考虑了Https协议的安全性以及网站全部升级带来的资源压力和访问速度的影响,通过一定的分层逻辑处理,即在一定程度上保障用户帐号安全,减少Cookie劫持情况的发生,又要控制和减少网站服务的人力和机器资源成本,也在最大程度上保障用户访问网站的速度与体验。
Description
技术领域
本发明属于互联网安全领域,具体涉及一种帐号的访问安全监测和处理方法及装置。
背景技术
现有技术中,针对网站所有的功能页面,全面升级为安全超文本传输协议HTTPS协议传输。这样可以保证从用户的浏览器到网站服务器的所有请求都是加密方式连接,进而防止通信过程中帐号标记码Cookie信息被劫持的情况出现,保障用户身份凭证信息不被盗用。
对于HTTPS协议传输全面升级,一方面,相同网络环境下,HTTPS协议会使页面的加载时间延长近50%,增加10%到20%的耗电。此外,HTTPS协议还会影响缓存,增加数据开销和功耗。SSL的专业证书需要购买,HTTPS连接服务器端资源占用高较高多,相同负载下会增加带宽和服务器投入的资金成本也比较高。另外一方面,对于一些大型网站建立时间比较早,存在大量的功能页面,全部升级涉及的改造工作非常庞大,在很长时间内都很难彻底完成。
另一现有技术中,使用数据分析的手段监测Cookie信息被劫持的情况,主要途径为基于用户的历史IP信息设置用户的常用地区,当网站服务器发现用户客户端请求来源的IP信息不是用户的常用地区,则认为是用户帐号对应的Cookie信息被劫持。从而服务器注销用户帐号的Cookie信息,不再验证通过。
对于该种情况,日常生活中,用户因为出差、运营商分配IP资源部规范等原因,不可避免会有地区信息移动,基于地理位置的判断存在误伤。这种情况下,网站服务器频繁吊销用户Cookie信息,需要用户重新输入帐号和密码进行登录,带来很大的体验问题。此外,黑客攻击者也可以很容易通过购买特定地区的IP代理来规避系统的打击,给安全系统的监测带来很大的挑战。
发明内容
本发明实施例提供一种帐号的访问安全监测和处理方法及装置,综合考虑了Https协议的安全性以及网站全部升级带来的资源压力和访问速度的影响,通过一定的分层逻辑处理,即在一定程度上保障用户帐号安全,减少Cookie劫持情况的发生,又要控制和减少网站服务的人力和机器资源成本,也在最大程度上保障用户访问网站的速度与体验。
为实现上述目的,一方面,本发明实施例提供了一种帐号的访问安全监测和处理方法,所述方法应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接方式的网站,所述方法包括:
获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
若所述该账号当前访问请求携带的帐号标记码Cookie2验证通过,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
若所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件,则吊销该帐号的帐号标记码Cookie2并提示重新输入帐号密码进行验证登录。
另一方面,本发明实施例提供了一种帐号的访问安全监测和处理装置,所述装置应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接方式的网站,所述装置包括:
地址信息获取单元,用于获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
地址信息对比单元,用于判定所述该账号当前访问请求携带的帐号标记码Cookie2验证通过时,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
帐号处理单元,用于当判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件时,吊销该帐号的帐号标记码Cookie2并提示重新输入帐号密码进行验证登录。
上述技术方案具有如下有益效果:
本发明技术方案在安全性上,借助https协议的优势,保障网站重要及核心功能页面的安全性,避免发生Cookie劫持情况的发生。
但同时,也充分考虑了企业的运营成本和改造的技术难度,利用浏览器支持多个Cookie信息以及针对不同Cookie的Secure进行不同的设置,利用数据分析对比的方式,只需要监控非核心功能页面http协议连接下的劫持情况,且在这个过程中,也充分利用参考对比https协议连接的IP信息一致性,相比以前依靠历史常用IP地址信息对比,数据记录成本变低,准确度变高。
在处理逻辑上,也有了一定的优势,只需要处理被劫持的Cookie信息,而另外一个专用在https协议连接传输的Cookie信息不受影响。也在一定程度上对用户的访问网站的体验更友好。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一种帐号的访问安全监测和处理方法的流程图;
图2是本发明实施例一种帐号的访问安全监测和处理方法的实现流程图;
图3是本发明实施例一种帐号的标记码下发流程图;
图4是本发明实施例一种帐号的访问安全监测和处理装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明技术方案中红涉及的部分缩略语和关键术语定义如下:
1、帐号:俗称的网络身份证,是数字时代的代表,它是一种互联网身份认证协议,其具有唯一性和信息不可否认性。有了帐号,网站可以记录用户的资料,提供用户更好的个性化服务。通常用户使用网站服务,需要输入帐号和密码的方式进行登录。
2、Http超文本传输协议:HTTP是客户端浏览器或其他程序与Web服务器之间的应用层通信协议。在Internet上的网站服务器上存放的都是超文本信息,浏览器需要通过HTTP协议传输所要访问的超文本信息。HTTP包含命令和传输信息,不仅可用于网站服务器的访问,也可以用于其他因特网/内联网应用系统之间的通信。在使用http协议方式访问请求过程中,浏览器对应的IP地址信息(互联网协议地址)也会发送到网站服务器。
3、Https安全超文本传输协议:是以安全为目标的HTTP通道,简单讲是HTTP的安全版。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息。而HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。在使用http协议方式访问请求过程中,浏览器对应的IP地址信息(互联网协议地址)也会发送到网站服务器。
4、Cookie:帐号标记码,由网站服务器发送出来以存储在用户的浏览器上,对于大部分的网站,用户在第一次访问使用网站服务时,是需要输入帐号和密码,网站服务器验证成功。则会下发用来标记账户信息的Cookie信息。之后每次从浏览器发起Http请求访问网站服务器时,均会在带有该Cookie信息作为身份凭证信息,网站服务器会进行相应信息的合法与否的验证。正常来说,一个网站可以在一个浏览器下发多个Cookie。
5、Cookie劫持:因为在用户的浏览器到网站服务器每次请求都带有Cookie信息,黑客攻击者可以通过网络监听从网络请求中获取。只要是未使用Https加密的网站都可以抓包分析,其中就包含了Cookie信息。
6、Cookie的Secure属性:当Secure属性设置为true时,Cookie只有在Https协议连接下才能发送到网站服务器,而在Http协议连接下是无法发送到网站服务器。因为这种情况下,不会发送Cookie信息,从而可以防止被网络监听从网络请求中获取到Cookie信息。
本技术方案中采用分级监测处理的逻辑依据为:只升级网站核心重要的功能页面为https协议连接,剩下的网站功能页面使用http协议连接。同时,在用户第一次登录时,网站服务器下发两个Cookie信息到用户的浏览器,其中一个Cookie的Secure设置了Secure=true,那么这个Cookie只能用https协议连接从用户浏览器发送给网站服务器,因为http协议连接的请求就无法将该Cookie信息从用户浏览器发送给网站服务器,网站服务器在收到用户浏览器https协议方式访问核心重要功能页面,必须验证该Cookie信息。
浏览器访问网站服务器过程:用户使用帐号+密码登录成功,网站服务器下发两个Cookie信息到用户的浏览器。当用户访问核心重要的功能页面(微博网站的登录、发博、转发、评论、赞、关注),这部分的连接是已经升级为https协议方式,每次请求会带上两个Cookie信息,Cookie 1、Cookie 2信息(网站服务器进行验证)。而对于其它功能页面,用户访问的连接方式为http协议,每次请求,只会带上Cookie 2信息(Cookie 2的Secure未设置Secure=true)(网站服务器进行验证)。如果网络传输阶段存在网络监听,导致Cookie劫持,只可能其中的Cookie 2信息。
监测Cookie劫持逻辑:网站服务器通过记录对比一定时间内,带有Cookie 1、Cookie 2信息使用https协议方式、只带有Cookie 2信息使用http协议方式的网络请求连接对应的浏览器IP信息。当网站服务器收到浏览器发起的http协议方式的一次网络请求(带有Cookie 2信息)。
如图1、2所示,是本发明实施例一种帐号的访问安全监测和处理方法的流程图,所述方法应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接方式的网站,所述方法包括:
S101:获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
S102:若所述该账号当前访问请求携带的帐号标记码Cookie2验证通过,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
S103:若所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件,则吊销该帐号的帐号标记码Cookie2并提示重新输入帐号密码进行验证登录。
优选地,如图3所示,所述方法还包括:
在通过帐号与密码首次成功登录网站时,为该帐号下发帐号标记码Cookie1和Cookie2;其中,所述Cookie1的Secure属性设置为Secure=true,所述Cookie2的Secure属性未设置Secure=true。
优选地,所述该帐号以Https方式进行的历史访问请求的浏览器IP地址信息,包括:
在设定历史时间段内,获取的该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合;例如,将获取在当前访问请求前10分钟内存在https协议方式的网络请求记录,将该前10分钟浏览器使用https协议方式访问网站服务器其对应的IP地址信息作为一个IP地址信息集合。
若在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求,则获取该帐号最近一次的以Https方式进行的访问请求对应的浏览器IP地址对应的地理区域,该浏览器IP地址对应的地理区域即为该帐号最近一次的以Https方式进行的访问请求对应的浏览器IP地址信息;例如,如果在之前的10分钟内不存在https协议方式的网络请求记录,则查询其最后一次https协议方式的网络请求对应的IP地址信息对应的地区省市。
优选地,所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件,包括:
当前访问请求的浏览器IP地址信息不在所述设定历史时间段内该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合中;例如,当前将http协议方式请求的浏览器IP地址信息,与前10分钟浏览器使用https协议方式访问网站服务器其对应的IP地址信息为一个IP地址信息集合,进行对比,如果前者不在后者的IP地址信息集合中。则认为存在Cookie被劫持的情况。网站服务器会对该Cookie 2信息做吊销处理,需要用户重新输入帐号和密码进行重新登录,当重新输入帐号密码进行验证登录成功后,服务器重新下发一个新的Cookie 2信息(原Cookie 2删除失效),这个过程Cookie 1信息不变。
或者,在所述设定历史时间段内不存在该帐号的以安全超文本传输协议Https方式进行的历史访问请求时,当前访问请求的浏览器IP地址信息中IP地址对应的地理区域与该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域不一致;例如,如果当前http协议方式请求的浏览器IP地址信息对应的地区省市,与后一次https协议方式的网络请求对应的IP地址信息对应的地区省市不一致。则认为存在Cookie被劫持的情况。网站服务器会对该Cookie 2信息做吊销处理,需要用户重新输入帐号和密码进行重新登录,当重新输入帐号密码进行验证登录成功后,服务器重新下发一个新的账号标记码Cookie 2信息(原Cookie 2删除失效),这个过程Cookie 1信息不变。
如图4所示,是本发明实施例一种帐号的访问安全监测和处理装置的结构示意图,所述装置应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接的网站,所述装置包括:
地址信息获取单元21,用于获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
地址信息对比单元22,用于判定所述该账号当前访问请求携带的帐号标记码Cookie2验证通过时,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
帐号处理单元23,用于当判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件时,吊销该帐号的帐号标记码Cookie2并提示重新输入帐号密码进行验证登录。
优选地,所述装置还包括帐号标记码下发单元,用于:
在通过帐号与密码首次成功登录时,为该帐号下发帐号标记码Cookie1和Cookie2;
其中,所述Cookie1的Secure属性设置为Secure=true,所述Cookie2的Secure属性未设置Secure=true。
优选地,所述地址信息对比单元,具体用于:
获取在设定历史时间段内,该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合,作为所述该帐号以Https方式进行的历史访问请求的浏览器IP地址信息;
判定当在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求时,获取该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域,将该浏览器IP地址对应的地理区域作为该帐号最近一次以Https方式进行的访问请求对应的浏览器IP地址信息。
优选地,所述帐号处理单元包括判断模块,所述判断模块用于:
当前访问请求的浏览器IP地址信息不在所述设定历史时间段内该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合中时,判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件;
或者,在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求时,若当前访问请求的浏览器IP地址信息中IP地址对应的地理区域与该帐号最近一次以Https方式进行的访问请求对应的浏览器IP地址对应的地理区域不一致,则判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件。
优选地,所述装置还包括帐号标记码重新下发单元,用于:
当重新输入帐号密码进行验证登录成功后,为该帐号重新下发一个新的账号标记码Cookie2。
具体地,本发明的一具体实施例如下:
以用户使用网络帐号A访问微博网站过程为例,
a.用户使用浏览器访问微博网站,输入帐号和密码登录。
b.网站服务器验证帐号密码正确,下发两个Cookie信息到用户的浏览器Cookie1、Cookie 2,其中Cookie 1的Secure设置Secure=true。
c.2019年1月1日上午9:00:00和9:00:10,用户访问微博网站的发微博功能页面,该页面为https协议方式连接,此时访问微博网站服务器带有的Cookie信息为Cookie 1、Cookie 2,用户的浏览器IP地址信息分别为61.135.152.135、61.135.152.136。微博服务器效验Cookie1信息正确,访问成功。
此时,有黑客攻击监听了用户浏览器到微博网站服务器的网络通信,但是这种情况下,黑客攻击者无法网络监听从网络请求中获取Cooke 1、Cookie 2。
d.2019年1月1日上午9:09:01,用户访问微博网站的微博搜索功能页面,该页面为http协议方式连接,此时访问微博网站服务器带有的Cookie信息为Cookie 2,用户的浏览器IP地址信息为61.135.152.136。因为是http访问,除去效验Cookie2信息是否正确外。同时需要对比IP信息61.135.152.136在之前https访问的IP集合(61.135.152.135、61.135.152.136),此次访问成功。
此时,仍然有黑客攻击监听了用户浏览器到微博网站服务器的网络通信,但是这种情况下,黑客攻击者可以网络监听方式从网络请求中获取Cookie 2。
e.2019年1月1日上午9:10:02,黑客攻击者使用Cookie 2访问微博网站搜索功能页面,黑客使用的浏览器IP地址信息为182.42.171.87。此IP不在(61.135.152.135、61.135.152.136)。
则认为2019年1月1日上午9:10:02这次访问存在Cookie 2劫持的情况。网站服务器网站服务器会对该Cookie 2信息做吊销处理,页面提示重新输入帐号密码进行验证登录,黑客攻击者没有用户帐号密码,则此次访问最终未成功。
应该明白,公开的过程中的步骤的特定顺序或层次是示例性方法的实例。基于设计偏好,应该理解,过程中的步骤的特定顺序或层次可以在不脱离本公开的保护范围的情况下得到重新安排。所附的方法权利要求以示例性的顺序给出了各种步骤的要素,并且不是要限于所述的特定顺序或层次。
在上述的详细描述中,各种特征一起组合在单个的实施方案中,以简化本公开。不应该将这种公开方法解释为反映了这样的意图,即,所要求保护的主题的实施方案需要比清楚地在每个权利要求中所陈述的特征更多的特征。相反,如所附的权利要求书所反映的那样,本发明处于比所公开的单个实施方案的全部特征少的状态。因此,所附的权利要求书特此清楚地被并入详细描述中,其中每项权利要求独自作为本发明单独的优选实施方案。
为使本领域内的任何技术人员能够实现或者使用本发明,上面对所公开实施例进行了描述。对于本领域技术人员来说;这些实施例的各种修改方式都是显而易见的,并且本文定义的一般原理也可以在不脱离本公开的精神和保护范围的基础上适用于其它实施例。因此,本公开并不限于本文给出的实施例,而是与本申请公开的原理和新颖性特征的最广范围相一致。
上文的描述包括一个或多个实施例的举例。当然,为了描述上述实施例而描述部件或方法的所有可能的结合是不可能的,但是本领域普通技术人员应该认识到,各个实施例可以做进一步的组合和排列。因此,本文中描述的实施例旨在涵盖落入所附权利要求书的保护范围内的所有这样的改变、修改和变型。此外,就说明书或权利要求书中使用的术语“包含”,该词的涵盖方式类似于术语“包括”,就如同“包括,”在权利要求中用作衔接词所解释的那样。此外,使用在权利要求书的说明书中的任何一个术语“或者”是要表示“非排它性的或者”。
本领域技术人员还可以了解到本发明实施例列出的各种说明性逻辑块(illustrative logical block),单元,和步骤可以通过电子硬件、电脑软件,或两者的结合进行实现。为清楚展示硬件和软件的可替换性(interchangeability),上述的各种说明性部件(illustrative components),单元和步骤已经通用地描述了它们的功能。这样的功能是通过硬件还是软件来实现取决于特定的应用和整个系统的设计要求。本领域技术人员可以对于每种特定的应用,可以使用各种方法实现所述的功能,但这种实现不应被理解为超出本发明实施例保护的范围。
本发明实施例中所描述的各种说明性的逻辑块,或单元都可以通过通用处理器,数字信号处理器,专用集成电路(ASIC),现场可编程门阵列或其它可编程逻辑装置,离散门或晶体管逻辑,离散硬件部件,或上述任何组合的设计来实现或操作所描述的功能。通用处理器可以为微处理器,可选地,该通用处理器也可以为任何传统的处理器、控制器、微控制器或状态机。处理器也可以通过计算装置的组合来实现,例如数字信号处理器和微处理器,多个微处理器,一个或多个微处理器联合一个数字信号处理器核,或任何其它类似的配置来实现。
本发明实施例中所描述的方法或算法的步骤可以直接嵌入硬件、处理器执行的软件模块、或者这两者的结合。软件模块可以存储于RAM存储器、闪存、ROM存储器、EPROM存储器、EEPROM存储器、寄存器、硬盘、可移动磁盘、CD-ROM或本领域中其它任意形式的存储媒介中。示例性地,存储媒介可以与处理器连接,以使得处理器可以从存储媒介中读取信息,并可以向存储媒介存写信息。可选地,存储媒介还可以集成到处理器中。处理器和存储媒介可以设置于ASIC中,ASIC可以设置于用户终端中。可选地,处理器和存储媒介也可以设置于用户终端中的不同的部件中。
在一个或多个示例性的设计中,本发明实施例所描述的上述功能可以在硬件、软件、固件或这三者的任意组合来实现。如果在软件中实现,这些功能可以存储与电脑可读的媒介上,或以一个或多个指令或代码形式传输于电脑可读的媒介上。电脑可读媒介包括电脑存储媒介和便于使得让电脑程序从一个地方转移到其它地方的通信媒介。存储媒介可以是任何通用或特殊电脑可以接入访问的可用媒体。例如,这样的电脑可读媒体可以包括但不限于RAM、ROM、EEPROM、CD-ROM或其它光盘存储、磁盘存储或其它磁性存储装置,或其它任何可以用于承载或存储以指令或数据结构和其它可被通用或特殊电脑、或通用或特殊处理器读取形式的程序代码的媒介。此外,任何连接都可以被适当地定义为电脑可读媒介,例如,如果软件是从一个网站站点、服务器或其它远程资源通过一个同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或以例如红外、无线和微波等无线方式传输的也被包含在所定义的电脑可读媒介中。所述的碟片(disk)和磁盘(disc)包括压缩磁盘、镭射盘、光盘、DVD、软盘和蓝光光盘,磁盘通常以磁性复制数据,而碟片通常以激光进行光学复制数据。上述的组合也可以包含在电脑可读媒介中。
以上所述的具体实施方式,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施方式而已,并不用于限定本发明的保护范围,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种帐号的访问安全监测和处理方法,所述方法应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接方式的网站,其特征在于,所述方法包括:
获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
若所述该账号当前访问请求携带的帐号标记码Cookie2验证通过,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
若所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件,则吊销该帐号的帐号标记码Cookie2并提示重新输入帐号与密码进行验证登录。
2.如权利要求1所述的帐号的访问安全监测和处理方法,其特征在于,所述方法还包括:
在通过帐号与密码首次成功登录网站时,为该帐号下发帐号标记码Cookie1和Cookie2;
其中,所述Cookie1的Secure属性设置为Secure=true,所述Cookie2的Secure属性未设置Secure=true。
3.如权利要求2所述的帐号的访问安全监测和处理方法,其特征在于,所述该帐号以Https方式进行的历史访问请求的浏览器IP地址信息,包括:
在设定历史时间段内,获取的该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合;
若在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求,则获取该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域,该浏览器IP地址对应的地理区域即为该帐号最近一次以Https方式进行的访问请求对应的浏览器IP地址信息。
4.如权利要求3所述的帐号的访问安全监测和处理方法,其特征在于,所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件,包括:
当前访问请求的浏览器IP地址信息不在所述设定历史时间段内该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合中;
或者,在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求时,当前访问请求的浏览器IP地址信息中IP地址对应的地理区域与该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域不一致。
5.如权利要求1-4之一所述的帐号的访问安全监测和处理方法,其特征在于,所述方法还包括;
当重新输入帐号与密码进行验证登录成功后,为该帐号重新下发一个新的帐号标记码Cookie2。
6.如权利要求1所述的帐号的访问安全监测和处理装置,所述装置应用于设置有超文本传输协议HTTP及安全超文本传输协议Https两种协议连接的网站,其特征在于,所述装置包括:
地址信息获取单元,用于获取帐号以HTTP方式进行的当前访问请求的浏览器IP地址信息;
地址信息对比单元,用于判定所述该账号当前访问请求携带的帐号标记码Cookie2验证通过时,将所述当前访问请求的浏览器IP地址信息与该帐号以Https方式进行的历史访问请求的浏览器IP地址信息对比;
帐号处理单元,用于当判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件时,吊销该帐号的帐号标记码Cookie2并提示重新输入帐号与密码进行验证登录。
7.如权利要求6所述的帐号的访问安全监测和处理装置,其特征在于,所述装置还包括帐号标记码下发单元,用于:
在通过帐号与密码首次成功登录网站时,为该帐号下发帐号标记码Cookie1和Cookie2;
其中,所述Cookie1的Secure属性设置为Secure=true,所述Cookie2的Secure属性未设置Secure=true。
8.如权利要求7所述的帐号的访问安全监测和处理装置,其特征在于,所述地址信息对比单元,具体用于:
获取在设定历史时间段内,该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合,作为所述该帐号以Https方式进行的历史访问请求的浏览器IP地址信息;
判定当在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求时,获取该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域,将该浏览器IP地址对应的地理区域作为该帐号最近一次以Https方式进行的访问请求对应的浏览器IP地址信息。
9.如权利要求8所述的帐号的访问安全监测和处理装置,其特征在于,所述帐号处理单元包括判断模块,所述判断模块用于:
当前访问请求的浏览器IP地址信息不在所述设定历史时间段内该帐号以Https方式进行的历史访问请求的浏览器IP地址信息的集合中时,判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件;
或者,在所述设定历史时间段内不存在该帐号以Https方式进行的历史访问请求时,若当前访问请求的浏览器IP地址信息中IP地址对应的地理区域与该帐号最近一次以Https方式进行的访问请求的浏览器IP地址对应的地理区域不一致,则判定所述当前访问请求的浏览器IP地址信息与所述历史访问请求的浏览器IP地址信息不满足设定条件。
10.如权利要求6-9之一所述的帐号的访问安全监测和处理装置,其特征在于,所述装置还包括帐号标记码重新下发单元,用于:
当重新输入帐号与密码进行验证登录成功后,为该帐号重新下发一个新的Cookie2。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910723020.4A CN110619071B (zh) | 2019-08-06 | 2019-08-06 | 一种帐号的访问安全监测和处理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910723020.4A CN110619071B (zh) | 2019-08-06 | 2019-08-06 | 一种帐号的访问安全监测和处理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110619071A true CN110619071A (zh) | 2019-12-27 |
| CN110619071B CN110619071B (zh) | 2022-08-05 |
Family
ID=68921496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910723020.4A Active CN110619071B (zh) | 2019-08-06 | 2019-08-06 | 一种帐号的访问安全监测和处理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110619071B (zh) |
Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1478348A (zh) * | 2000-11-30 | 2004-02-25 | �Ҵ���˾ | Web站点的安全会话管理和认证 |
| CN101517979A (zh) * | 2006-09-26 | 2009-08-26 | 微软公司 | 通过https连接的安全隧道 |
| CN103139147A (zh) * | 2011-11-25 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 数据传输时进行安全性验证的方法及系统 |
| CN103154895A (zh) * | 2010-08-05 | 2013-06-12 | 思杰系统有限公司 | 用于在多核系统中的核上管理cookie代理的系统和方法 |
| US20160191522A1 (en) * | 2013-08-02 | 2016-06-30 | Uc Mobile Co., Ltd. | Method and apparatus for accessing website |
| CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
| CN107438058A (zh) * | 2016-05-27 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 用户请求的过滤方法和过滤系统 |
| US20170353488A1 (en) * | 2016-06-07 | 2017-12-07 | Sony Corporation | Custom security browser |
| CN109257373A (zh) * | 2018-10-31 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
| CN109787951A (zh) * | 2018-11-22 | 2019-05-21 | 北京奇艺世纪科技有限公司 | 一种网络数据访问方法、装置及电子设备 |
-
2019
- 2019-08-06 CN CN201910723020.4A patent/CN110619071B/zh active Active
Patent Citations (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1478348A (zh) * | 2000-11-30 | 2004-02-25 | �Ҵ���˾ | Web站点的安全会话管理和认证 |
| CN101517979A (zh) * | 2006-09-26 | 2009-08-26 | 微软公司 | 通过https连接的安全隧道 |
| CN103154895A (zh) * | 2010-08-05 | 2013-06-12 | 思杰系统有限公司 | 用于在多核系统中的核上管理cookie代理的系统和方法 |
| CN103139147A (zh) * | 2011-11-25 | 2013-06-05 | 腾讯科技(深圳)有限公司 | 数据传输时进行安全性验证的方法及系统 |
| US20160191522A1 (en) * | 2013-08-02 | 2016-06-30 | Uc Mobile Co., Ltd. | Method and apparatus for accessing website |
| CN106027520A (zh) * | 2016-05-19 | 2016-10-12 | 微梦创科网络科技(中国)有限公司 | 一种检测处理盗取网站帐号的方法及装置 |
| CN107438058A (zh) * | 2016-05-27 | 2017-12-05 | 北京京东尚科信息技术有限公司 | 用户请求的过滤方法和过滤系统 |
| US20170353488A1 (en) * | 2016-06-07 | 2017-12-07 | Sony Corporation | Custom security browser |
| CN109257373A (zh) * | 2018-10-31 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 一种域名劫持识别方法、装置及系统 |
| CN109787951A (zh) * | 2018-11-22 | 2019-05-21 | 北京奇艺世纪科技有限公司 | 一种网络数据访问方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 叶升路 等: ""提高Web应用程序的安全性"", 《计算机安全》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110619071B (zh) | 2022-08-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20240080311A1 (en) | Managing security credentials | |
| CN108475312B (zh) | 用于装置安全外壳的单点登录方法 | |
| US20240048560A1 (en) | Systems and methods for endpoint management | |
| US11509537B2 (en) | Internet of things device discovery and deployment | |
| US10223549B2 (en) | Techniques for facilitating secure, credential-free user access to resources | |
| US9794227B2 (en) | Automatic detection of authentication methods by a gateway | |
| CN105007280B (zh) | 一种应用登录方法和装置 | |
| US9282098B1 (en) | Proxy server-based network site account management | |
| CN111416822B (zh) | 访问控制的方法、电子设备和存储介质 | |
| US8572268B2 (en) | Managing secure sessions | |
| US8910254B2 (en) | System and methods for profiling client devices | |
| CN112597472A (zh) | 单点登录方法、装置及存储介质 | |
| US20130007856A1 (en) | Renewal of user identification information | |
| US10298579B2 (en) | Integrated hosted directory | |
| EP2622534B1 (en) | Trustworthy device claims as a service | |
| CN115118444A (zh) | 信息处理装置以及存储介质 | |
| US11784994B2 (en) | Management device, management system, and non-transitory computer readable medium | |
| CN111988262B (zh) | 认证方法、装置及服务器、存储介质 | |
| JP2022151806A (ja) | ユーザを認証するコンピュータ実装方法、ユーザを認証するコンピュータプログラム及びユーザを認証するコンピュータシステム(ユーザ認証にリスク評価をインジェクトすること) | |
| US9027107B2 (en) | Information processing system, control method thereof, and storage medium thereof | |
| US20210409406A1 (en) | Integrated hosted directory | |
| CN105656856A (zh) | 资源管理方法和装置 | |
| EP2648362B1 (en) | Authorization information verification device and authorization information verification program, and authorization information verification system and authorization information verification method | |
| CN110619071B (zh) | 一种帐号的访问安全监测和处理方法及装置 | |
| CN110383761B (zh) | 数字证书颁发和监视 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |