CN112202730A - 一种基于黑名单的访问控制方法、系统、终端及存储介质 - Google Patents
一种基于黑名单的访问控制方法、系统、终端及存储介质 Download PDFInfo
- Publication number
- CN112202730A CN112202730A CN202010956040.9A CN202010956040A CN112202730A CN 112202730 A CN112202730 A CN 112202730A CN 202010956040 A CN202010956040 A CN 202010956040A CN 112202730 A CN112202730 A CN 112202730A
- Authority
- CN
- China
- Prior art keywords
- blacklist
- total number
- login
- failure
- total
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 30
- 238000012795 verification Methods 0.000 claims abstract description 21
- 238000012545 processing Methods 0.000 claims description 23
- 238000004590 computer program Methods 0.000 claims description 2
- 238000012423 maintenance Methods 0.000 abstract description 5
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 3
- 238000006467 substitution reaction Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种基于黑名单的访问控制方法、系统、终端及存储介质,均包括:用户登录时,记录用户的IP、用户名和密码;判断所述IP当前是否被禁止登录:若否,则验证用户名、密码是否匹配;若验证不匹配,则统计第一、第二和第三失败总数;判断第一、第二和第三失败总数是否达到各自对应阈值:若判定第一失败总数达到其对应阈值并判定第二和第三失败总数中至少有一个未达到对应阈值,则在t1内禁止所述用户名登录;若判定第二和第三失败总数均达到各自对应的阈值,则判断IP是否在一级黑名单中:若判定IP在一级黑名单中,则将IP加入二级黑名单;若判定IP不在一级黑名单中,则将IP加入一级黑名单。本发明用于在进行访问控制时降低黑名单的维护成本。
Description
技术领域
本发明涉及计算机领域,具体涉及一种基于黑名单的访问控制方法、系统、终端及存储介质。
背景技术
越来越多的用户对访问控制开始重视,访问控制策略能很好地控制被访问系统的人、IP、时间等等,可提高系统的安全性可用性等,降低系统被攻击的风险。
目前,公司内部所用访问控制策略多数使用的是黑名单方式。然而目前,多数的黑名单系统都需手动进行更新,此种方式维护成本较高,就导致部分用户使用黑名单系统进行访问控制时,如出差或者更换网络后都需更新黑名单,此种情况导致黑名单的维护成本相对较高。
为此,本发明提供一种基于黑名单的访问控制方法、系统、终端及存储介质,用于解决上述问题。
发明内容
针对现有技术的上述不足,本发明提供一种基于黑名单的访问控制方法、系统、终端及存储介质,用于在进行访问控制时降低黑名单的维护成本。
第一方面,本发明提供一种基于黑名单的访问控制方法,包括步骤:
用户登录时,记录用户的IP、用户名和密码;
判断所述IP当前是否被禁止登录:若是,则禁止所述IP登录并提示;若否,则验证用户的用户名、密码是否匹配;
若验证结果是用户的用户名、密码匹配,则控制用户登录成功;
若验证结果是用户的用户名、密码不匹配,则统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值:
若判定第一失败总数达到所述第一次数阈值,且判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值,则在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
若判定第二失败总数和第三失败总数均达到其各自对应的阈值,则判断所述IP是否在一级黑名单中:若判定所述IP在一级黑名单中,则将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;若判定所述IP不在一级黑名单中,则将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
进一步地,该基于黑名单的访问控制方法还包括步骤:
实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
将一级黑名单和二级黑名单中,属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
进一步地,t1取值范围为5分钟
10分钟;
t2的取值按小时的倍数进行设置;
t3取值范围为1分钟
5分钟;
t4的取值按小时的倍数进行设置;
t5的取值按小时的倍数进行设置;
t6的取值按小时设置或者按天设置。
第二方面,本发明提供一种基于黑名单的访问控制系统,包括:
第一记录模块,用于用户登录时,记录用户的IP、用户名和密码;
第一判断模块,用于判断所述IP当前是否被禁止登录;
IP禁止登录模块,用于在判定所述IP当前被禁止登录时,禁止所述IP登录并提示;
登录验证模块,用于在第一判断模块判定所述IP当前未被禁止登录时验证所述用户的用户名、密码是否匹配,并用于在验证结果为匹配时,控制所述用户登录成功;
第二记录模块,用于在登录验证模块验证结果为不匹配时,统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断模块,用于判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值;
第一处理模块,用于在判断模块判定第一失败总数达到所述第一次数阈值并判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值时,在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
第二处理模块,用于在判断模块判定第二失败总数和第三失败总数均达到其各自对应的阈值时,判断所述IP是否在一级黑名单中;
第三处理模块,用于在第二处理模块判定所述IP在一级黑名单中时,将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;
第四处理模块,用于在第二处理模块判定所述IP不在一级黑名单中时,将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
进一步地,该基于黑名单的访问控制系统还包括:
第三记录模块,用于实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
第五处理模块,用于将一级黑名单和二级黑名单中属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
进一步地,t1取值范围为5分钟
10分钟;
t2的取值按小时的倍数进行设置;
t3取值范围为1分钟
5分钟;
t4的取值按小时的倍数进行设置;
t5的取值按小时的倍数进行设置;
t6的取值按小时设置或者按天设置。
第三方面,本发明提供一种终端,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行如上各方面所述的方法。
第四方面,本发明提供一种存储有计算机程序的计算机可读存储介质,该程序被处理器执行时实现如上各方面所述的方法。
本发明的有益效果在于,
本发明提供的基于黑名单的访问控制方法、系统、终端及存储介质,能够对登录中出现的异常操作,获取异常操作的IP及用户名等,通过处理逻辑自动将符合条件的IP或者用户名加入黑名单,一定程度上有助于降低黑名单维护成本,且本发明采用分级的黑名单,一定程度上有助于实现对登录的有效访问控制。
此外,本发明设计原理可靠,结构简单,具有非常广泛的应用前景。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明一个实施例的方法的示意性流程图。
图2是本发明一个实施例的系统的示意性框图。
图3为本发明实施例提供的一种终端的结构示意图。
图4为本发明实施例提供的一种计算机可读存储介质的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明中的技术方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
图1是本发明一个实施例的方法的示意性流程图。
如图1所示,该方法包括:
用户登录时,记录用户的IP、用户名和密码;
判断所述IP当前是否被禁止登录:若是,则禁止所述IP登录并提示;若否,则验证用户的用户名、密码是否匹配;
若验证结果是用户的用户名、密码匹配,则控制用户登录成功;
若验证结果是用户的用户名、密码不匹配,则统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值:
若判定第一失败总数达到所述第一次数阈值,且判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值,则在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
若判定第二失败总数和第三失败总数均达到其各自对应的阈值,则判断所述IP是否在一级黑名单中:若判定所述IP在一级黑名单中,则将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;若判定所述IP不在一级黑名单中,则将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
可选地,作为本发明的一个实施例,该基于黑名单的访问控制方法还包括步骤:
实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
将一级黑名单和二级黑名单中,属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
可选地,作为本发明的一个实施例,t1取值范围为5分钟
10分钟;t2的取值按小时的倍数进行设置;t3取值范围为1分钟
5分钟;t4的取值按小时的倍数进行设置;t5的取值按小时的倍数进行设置;t6的取值按小时设置或者按天设置。
为了便于对本发明的理解,下面以本发明基于黑名单的访问控制方法的原理,结合实施例中对用户访问进行控制的过程,对本发明提供的基于黑名单的访问控制方法做进一步的描述。
具体的,所述基于黑名单的访问控制方法包括步骤:
(1)用户登录时,记录用户的IP、用户名和密码。
具体地,用户A登录时,记录用户A的IP、用户名和密码。
之后执行步骤(2)。
(2)判断所述IP当前是否被禁止登录。
具体地,若判定所述IP当前处于被禁止登录,则禁止所述IP登录并提示所述IP当前被禁止登录;若判定所述IP当前未被禁止登录,则验证用户A的用户名、密码是否匹配。
若验证结果是用户A的用户名、密码匹配,则控制用户登录成功。若验证结果是用户A的用户名、密码不匹配,则继续执行步骤(3)。
(3)统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数。
具体地,可预先设置第三预设时间长度t3、第四预设时间长度t4和第五预设时间长度t5,依次为1.5分钟、1h(小时)和1h,则该步骤(3)为:
统计所述用户名在自当前统计时刻起往前1.5分钟内登录失败的总次数;
统计所述IP在自当前统计时刻起往前1h内登录失败的总次数;
以及统计自当前统计时刻起往前1h内使用所述IP登录且登录失败的用户名的总个数。
相对应地,上述统计的所述用户名在自当前统计时刻起往前1.5分钟内登录失败的总次数、统计的所述IP在自当前统计时刻起往前1h内登录失败的总次数以及统计的自当前统计时刻起往前1h内使用所述IP登录且登录失败的用户名的总个数,依次为所述的第一失败总数、第二失败总数和第三失败总数。
之后执行步骤(4)。
(4)判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值。
若判定第一失败总数达到所述第一次数阈值,且判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值,则执行步骤(5)。
若判定第二失败总数和第三失败总数各自达到各自对应的阈值,则执行步骤(6)。
其中,第一次数阈值、第二次数阈值和数量阈值的具体取值,可由本领域技术人员依据实际需要进行设定,比如可设定第一次数阈值、第二次数阈值和数量阈值依次为6、5和6。
(5)在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录。
具体地,第一预设时间长度t1可设为5分钟。
该步骤(5)中的当前时刻,是指步骤(4)中判定第一失败总数达到所述第一次数阈值并判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值同时成立的时刻。
其中,第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值,是指第二失败总数未达到预先设定的第二次数阈值以及第三失败总数未达到预先设定的数量阈值中至少有一个成立。
(6)判断所述IP是否在一级黑名单中。
具体地,若判定所述IP在一级黑名单中,则执行步骤(7);若判定所述IP不在一级黑名单中,则执行步骤(8)。
(7)将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录。
具体地,对于已加入二级黑名单中的IP地址,该IP地址则被从第一黑名单中删除,任何用户无法再使用该IP地址进行登录。
(8)将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
具体地,加入一级黑名单中的IP,该IP自被加入一级黑名单的时刻起往后第二预设时间长度t2内被禁止登录;在该IP自被加入一级黑名单的时刻起往后第二预设时间长度t2内,任何用户无法再使用该IP地址进行登录。待该IP自被加入一级黑名单的时刻起往后第二预设时间长度t2结束后,允许用户使用该IP地址进行登录。
在执行上述步骤(1)~(8)的过程中,该方法还包括以下步骤:
实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
将一级黑名单和二级黑名单中,属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
比如:实时统计一级黑名单和二级黑名单中属于相同IP段的IP的总数,假定统计有:一级黑名单和二级黑名单中属于某一个IP段(下文简称为“IP段1”)的IP的总数为N1;一级黑名单和二级黑名单中属于另一个IP段(下文简称为“IP段2”)的IP的总数为N2;并且N1的值超过了预先设定的IP段IP总数阈值(比如设为5)、N2未超过预先设定的IP段IP总数阈值;则将一级黑名单和二级黑名单中属于IP段1的所有的IP地址均加入所述的IP段黑名单;并且,一级黑名单和二级黑名单中属于IP段1的所有的IP地址,均在加入IP段黑名单后自其加入IP段黑名单起往后第六预设时间长度t6内禁止登录。一级黑名单和二级黑名单中属于IP段2的所有的IP地址均不加入所述的IP段黑名单。具体实现时,第六预设时间长度t6可设为36h。
图2为本发明所述基于黑名单的访问控制系统的一个实施例。
该访问控制系统200包括:
第一记录模块201,用于用户登录时,记录用户的IP、用户名和密码;
第一判断模块202,用于判断所述IP当前是否被禁止登录;
IP禁止登录模块203,用于在判定所述IP当前被禁止登录时,禁止所述IP登录并提示;
登录验证模块204,用于在第一判断模块202判定所述IP当前未被禁止登录时验证所述用户的用户名、密码是否匹配,并用于在验证结果为匹配时,控制所述用户登录成功;
第二记录模块205,用于在登录验证模块204验证结果为不匹配时,统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断模块206,用于判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值;
第一处理模块207,用于在判断模块206判定第一失败总数达到所述第一次数阈值并判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值时,在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
第二处理模块208,用于在判断模块206判定第二失败总数和第三失败总数均达到其各自对应的阈值时,判断所述IP是否在一级黑名单中;
第三处理模块209,用于在第二处理模块208判定所述IP在一级黑名单中时,将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;
第四处理模块210,用于在第二处理模块208判定所述IP不在一级黑名单中时,将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
可选地,作为本发明的一个实施例,该基于黑名单的访问控制系统还包括:
第三记录模块,用于实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
第五处理模块,用于将一级黑名单和二级黑名单中属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
可选地,作为本发明的一个实施例,t1取值范围为5分钟
10分钟;t2的取值按小时的倍数进行设置;t3取值范围为1分钟
5分钟;t4的取值按小时的倍数进行设置;t5的取值按小时的倍数进行设置;t6的取值按小时设置或者按天设置。
图3为本发明实施例提供的一种终端300的结构示意图,该终端300可以用于执行本发明实施例提供的基于黑名单的访问控制方法。
其中,该终端300可以包括:处理器310、存储器320及通信单元330。这些组件通过一条或多条总线进行通信,本领域技术人员可以理解,图中示出的服务器的结构并不构成对本发明的限定,它既可以是总线形结构,也可以是星型结构,还可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
其中,该存储器320可以用于存储处理器310的执行指令,存储器320可以由任何类型的易失性或非易失性存储终端或者它们的组合实现,如静态随机存取存储器(SRAM),电可擦除可编程只读存储器(EEPROM),可擦除可编程只读存储器(EPROM),可编程只读存储器(PROM),只读存储器(ROM),磁存储器,快闪存储器,磁盘或光盘。当存储器320中的执行指令由处理器310执行时,使得终端300能够执行以下上述方法实施例中的部分或全部步骤。
处理器310为存储终端的控制中心,利用各种接口和线路连接整个电子终端的各个部分,通过运行或执行存储在存储器320内的软件程序和/或模块,以及调用存储在存储器内的数据,以执行电子终端的各种功能和/或处理数据。所述处理器可以由集成电路(Integrated Circuit,简称IC)组成,例如可以由单颗封装的IC所组成,也可以由连接多颗相同功能或不同功能的封装IC而组成。举例来说,处理器310可以仅包括中央处理器(Central Processing Unit,简称CPU)。在本发明实施方式中,CPU可以是单运算核心,也可以包括多运算核心。
通信单元330,用于建立通信信道,从而使所述存储终端可以与其它终端进行通信。接收其他终端发送的用户数据或者向其他终端发送用户数据。
图4为本发明提供的一种计算机存储介质的实施例,其中,该计算机存储介质400可存储有程序410,该程序410执行时可包括本发明提供的各实施例中的部分或全部步骤。所述的存储介质可为磁碟、光盘、只读存储记忆体(英文:read-only memory,简称:ROM)或随机存储记忆体(英文:random access memory,简称:RAM)等。
本说明书中各个实施例之间相同相似的部分互相参见即可。尤其,对于系统、终端实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例中的说明即可。
尽管通过参考附图并结合优选实施例的方式对本发明进行了详细描述,但本发明并不限于此。在不脱离本发明的精神和实质的前提下,本领域普通技术人员可以对本发明的实施例进行各种等效的修改或替换,而这些修改或替换都应在本发明的涵盖范围内/任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
Claims (8)
1.一种基于黑名单的访问控制方法,其特征在于,包括步骤:
用户登录时,记录用户的IP、用户名和密码;
判断所述IP当前是否被禁止登录:若是,则禁止所述IP登录并提示;若否,则验证用户的用户名、密码是否匹配;
若验证结果是用户的用户名、密码匹配,则控制用户登录成功;
若验证结果是用户的用户名、密码不匹配,则统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值:
若判定第一失败总数达到所述第一次数阈值,且判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值,则在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
若判定第二失败总数和第三失败总数均达到其各自对应的阈值,则判断所述IP是否在一级黑名单中:若判定所述IP在一级黑名单中,则将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;若判定所述IP不在一级黑名单中,则将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
2.根据权利要求1所述的基于黑名单的访问控制方法,其特征在于,该基于黑名单的访问控制方法还包括步骤:
实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
将一级黑名单和二级黑名单中,属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
3.根据权利要求2所述的基于黑名单的访问控制方法,其特征在于,
t1取值范围为
t2的取值按小时的倍数进行设置;
t3取值范围为
t4的取值按小时的倍数进行设置;
t5的取值按小时的倍数进行设置;
t6的取值按小时设置或者按天设置。
4.一种基于黑名单的访问控制系统,其特征在于,包括:
第一记录模块,用于用户登录时,记录用户的IP、用户名和密码;
第一判断模块,用于判断所述IP当前是否被禁止登录;
IP禁止登录模块,用于在判定所述IP当前被禁止登录时,禁止所述IP登录并提示;
登录验证模块,用于在第一判断模块判定所述IP当前未被禁止登录时验证所述用户的用户名、密码是否匹配,并用于在验证结果为匹配时,控制所述用户登录成功;
第二记录模块,用于在登录验证模块验证结果为不匹配时,统计所述用户名在自当前统计时刻往前第三预设时间长度t3内登录失败的总次数、统计所述IP在自当前统计时刻往前第四预设时间长度t4内登录失败的总次数,以及统计自当前统计时刻往前第五预设时间长度t5内使用所述IP登录且登录失败的用户名的总个数,并依次记为第一失败总数、第二失败总数和第三失败总数;
判断模块,用于判断所述第一失败总数是否达到预先设定的第一次数阈值、判断所述第二失败总数是否达到预先设定的第二次数阈值,以及判断所述第三失败总数是否达到预先设定的数量阈值;
第一处理模块,用于在判断模块判定第一失败总数达到所述第一次数阈值并判定第二失败总数和第三失败总数中至少有一个未达到其各自对应的阈值时,在自当前时刻起往后第一预设时间长度t1内禁止所述用户名登录;
第二处理模块,用于在判断模块判定第二失败总数和第三失败总数均达到其各自对应的阈值时,判断所述IP是否在一级黑名单中;
第三处理模块,用于在第二处理模块判定所述IP在一级黑名单中时,将所述IP加入二级黑名单,并删除一级黑名单中与所述IP相关的数据,并永久禁止所述IP登录;
第四处理模块,用于在第二处理模块判定所述IP不在一级黑名单中时,将所述IP加入一级黑名单,并在自当前时刻起往后第二预设时间长度t2内禁止所述IP登录。
5.根据权利要求4所述的基于黑名单的访问控制系统,其特征在于,该基于黑名单的访问控制系统还包括:
第三记录模块,用于实时并且对应统计所述一级黑名单和所述二级黑名单中属于相同IP段的IP的总数;
第五处理模块,用于将一级黑名单和二级黑名单中属于所统计的总数超过预先设定的IP段IP总数阈值的IP段的所有的IP,加入IP段黑名单并在自加入IP段黑名单起往后第六预设时间长度t6内禁止登录。
6.根据权利要求5所述的基于黑名单的访问控制系统,其特征在于,
t1取值范围为
t2的取值按小时的倍数进行设置;
t3取值范围为
t4的取值按小时的倍数进行设置;
t5的取值按小时的倍数进行设置;
t6的取值按小时设置或者按天设置。
7.一种终端,其特征在于,包括:
处理器;
用于存储处理器的执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-3中任一项所述的方法。
8.一种存储有计算机程序的计算机可读存储介质,其特征在于,该程序被处理器执行时实现如权利要求1-3中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010956040.9A CN112202730B (zh) | 2020-09-11 | 2020-09-11 | 一种基于黑名单的访问控制方法、系统、终端及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010956040.9A CN112202730B (zh) | 2020-09-11 | 2020-09-11 | 一种基于黑名单的访问控制方法、系统、终端及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112202730A true CN112202730A (zh) | 2021-01-08 |
| CN112202730B CN112202730B (zh) | 2022-05-13 |
Family
ID=74014788
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010956040.9A Active CN112202730B (zh) | 2020-09-11 | 2020-09-11 | 一种基于黑名单的访问控制方法、系统、终端及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112202730B (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631331A (zh) * | 2009-08-10 | 2010-01-20 | 华为技术有限公司 | 一种终端管理方法和设备 |
| CN105939326A (zh) * | 2016-01-18 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN108763889A (zh) * | 2018-05-31 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种登录验证方法、装置、设备及可读存储介质 |
| CN111490973A (zh) * | 2020-03-08 | 2020-08-04 | 苏州浪潮智能科技有限公司 | 一种网络账号安全保护方法及装置 |
-
2020
- 2020-09-11 CN CN202010956040.9A patent/CN112202730B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101631331A (zh) * | 2009-08-10 | 2010-01-20 | 华为技术有限公司 | 一种终端管理方法和设备 |
| CN105939326A (zh) * | 2016-01-18 | 2016-09-14 | 杭州迪普科技有限公司 | 处理报文的方法及装置 |
| CN108763889A (zh) * | 2018-05-31 | 2018-11-06 | 郑州云海信息技术有限公司 | 一种登录验证方法、装置、设备及可读存储介质 |
| CN111490973A (zh) * | 2020-03-08 | 2020-08-04 | 苏州浪潮智能科技有限公司 | 一种网络账号安全保护方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112202730B (zh) | 2022-05-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109802941A (zh) | 一种登录验证方法、装置、存储介质和服务器 | |
| CN108989263A (zh) | 短信验证码攻击防护方法、服务器和计算机可读存储介质 | |
| CN109784031B (zh) | 一种账户身份验证处理方法及装置 | |
| CN102130918A (zh) | 一种进行网络登录认证的帐号绑定系统 | |
| CN113726683A (zh) | 访问限流方法、装置、设备、存储介质及计算机程序产品 | |
| BR112019009331A2 (pt) | método para gerar as regras de acesso, e, sistema computador. | |
| CN110247857B (zh) | 限流方法及装置 | |
| CN112653679B (zh) | 一种动态身份认证方法、装置、服务器及存储介质 | |
| CN109502435A (zh) | 派梯方法、装置、计算机设备和存储介质 | |
| CN110049028A (zh) | 监控域控管理员的方法、装置、计算机设备及存储介质 | |
| CN107872446B (zh) | 一种通信帐号的管理方法、装置及服务器 | |
| KR102213460B1 (ko) | 머신러닝을 이용한 소프트웨어 화이트리스트 생성 시스템 및 방법 | |
| CN111935030A (zh) | 一种多维度的流量控制方法及系统 | |
| CN109547427A (zh) | 黑名单用户识别方法、装置、计算机设备及存储介质 | |
| CN107872428A (zh) | 应用程序的登录方法及装置 | |
| CN112202730B (zh) | 一种基于黑名单的访问控制方法、系统、终端及存储介质 | |
| CN113905031A (zh) | 一种多功能http服务请求预处理系统及方法 | |
| CN109815091B (zh) | 一种aep高温告警灵敏度测试方法、装置、终端及存储介质 | |
| CN114978651B (zh) | 一种隐私计算存证方法、装置、电子设备及存储介质 | |
| CN110955884B (zh) | 密码试错的上限次数的确定方法和装置 | |
| CN111291380A (zh) | 一种命令行加固方法、系统、终端及存储介质 | |
| CN115150449B (zh) | 网络共享拒绝异常连接的方法、系统、终端及存储介质 | |
| CN113489726B (zh) | 流量限制方法及设备 | |
| CN111131198A (zh) | 网络安全策略配置的更新方法及装置 | |
| CN110543459A (zh) | 一种nfs下文件锁状态获取方法、系统、终端及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |