CN114938313A - 一种基于动态令牌的人机识别方法及装置 - Google Patents

一种基于动态令牌的人机识别方法及装置 Download PDF

Info

Publication number
CN114938313A
CN114938313A CN202210881628.1A CN202210881628A CN114938313A CN 114938313 A CN114938313 A CN 114938313A CN 202210881628 A CN202210881628 A CN 202210881628A CN 114938313 A CN114938313 A CN 114938313A
Authority
CN
China
Prior art keywords
client
dynamic token
request information
verification code
verification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202210881628.1A
Other languages
English (en)
Other versions
CN114938313B (zh
Inventor
程明海
刘晓辉
刘高
权鹏飞
张旋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Webray Tech Beijing Co ltd
Beijing Shengbang Saiyun Technology Co Ltd
Original Assignee
Webray Tech Beijing Co ltd
Beijing Shengbang Saiyun Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Webray Tech Beijing Co ltd, Beijing Shengbang Saiyun Technology Co Ltd filed Critical Webray Tech Beijing Co ltd
Priority to CN202210881628.1A priority Critical patent/CN114938313B/zh
Publication of CN114938313A publication Critical patent/CN114938313A/zh
Application granted granted Critical
Publication of CN114938313B publication Critical patent/CN114938313B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0838Network architectures or network communication protocols for network security for authentication of entities using passwords using one-time-passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3226Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Power Engineering (AREA)
  • Storage Device Security (AREA)
  • Debugging And Monitoring (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明提供一种基于动态令牌的人机识别方法及装置,方法包括:获取客户端URL请求信息,并判断客户端URL请求信息是否包括验证码和动态令牌;如果客户端URL请求信息中包括验证码和动态令牌,解密动态令牌,从动态令牌中获取客户端标识和验证码,校验动态令牌中的验证码和客户端URL请求信息中的验证码是否一致,同时校验动态令牌中的客户端标识和客户端URL请求信息中的客户端标识是否一致;如果校验不一致,则记录校验失败一次;如果校验失败次数达到第一阈值,则判定客户端URL请求信息为非正常请求。本发明将验证码和动态令牌结合使用,同时采用限速,提高了人机识别的准确率和效率,极大地提升了网站的安全性。

Description

一种基于动态令牌的人机识别方法及装置
技术领域
本发明涉及涉及互联网技术领域,尤其涉及一种基于动态令牌的人机识别方法及装置。
背景技术
在互联网安全领域,攻击者常用的攻击方式是采用工具对服务器发起各种请求,包括爬取服务器网页、攻击甚至攻破服务器等。常用的防护方法包括特征规则的匹配、语法语义等方式,但对于爬虫、扫描、DDoS等工具发起的请求,包括撞库、薅羊毛、灌水刷评论等行为却无能为力。
全局分析上述行为,我们可以认为这些操作都是恶意且应被阻断的,然而单独来看每一个操作又是合法且正常的,没有任何攻击特征,传统的防护方式如特征规则匹配、语法语义分析都不能有效识别并防护这些恶意行为。
发明内容
本发明的目的是提供一种基于动态令牌的人机识别方法、装置、电子设备与存储介质,用以解决现有网络技术中攻击者采用工具对服务器恶意访问的问题,通过将验证码和动态令牌结合使用,同时采用限速的手段,极大提高了人机识别的准确率和效率,进而提升了网站的安全性。
本发明提供一种基于动态令牌的人机识别方法,包括:
获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
本发明提供一种基于动态令牌的人机识别方法,在所述记录校验失败一次之后,还包括:
向客户端发送URL重定向信息;
接收客户端基于所述URL重定向信息发送的客户端URL请求信息,所述客户端URL请求信息包括验证码和动态令牌;
解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次。
本发明提供一种基于动态令牌的人机识别方法,还包括:
如果客户端URL请求信息中不包括验证码或动态令牌,则基于接收到的客户端URL请求信息,获取客户端标识,并随机生成验证码,将所述验证码及所述客户端标识加密封装成动态令牌;
将验证码和动态令牌发送给客户端,同时刷新验证码界面,记录获取验证码一次。
本发明提供一种基于动态令牌的人机识别方法,还包括:
如果预定周期内,获取验证码次数超过第二阈值,则判定所述客户端URL请求信息为非正常请求。
本发明提供一种基于动态令牌的人机识别方法,还包括:
所述客户端标识包括源IP。
本发明还提供一种基于动态令牌的人机识别装置,包括:
请求信息获取模块,用于获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
请求信息校验模块,用于如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
校验结果记录模块,用于如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
请求信息判定模块,用于如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
本发明还提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现任一项所述基于动态令牌的人机识别方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现任一项所述基于动态令牌的人机识别方法的步骤。
本发明提供一种基于动态令牌的人机识别方法及装置,通过获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。本发明将验证码和动态令牌结合使用,同时采用限速即限制校验失败次数的方式,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的基于动态令牌的人机识别方法的流程示意图;
图2是本发明提供的基于动态令牌的人机识别装置的结构示意图;
图3是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图3描述本发明的基于动态令牌的人机识别方法、装置、电子设备与存储介质。
图1为本发明提供的基于动态令牌的人机识别方法的流程图,如图1所示,本发明提供的基于动态令牌的人机识别方法包括:
步骤110、获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
在本实施例中,URL(uniform resource locator)即统一资源定位系统,是指因特网的万维网服务程序上用于指定信息位置的表示方法,其中,指定信息可以是网页中的一个图片、一段文字或其他指定信息。验证码即CAPTCHA,是“Completely Automated PublicTuring test to tell Computers and Humans Apart(全自动区分计算机和人类的图灵测试)”的缩写,是一种区分用户是计算机还是人的公共全自动程序。动态令牌即动态口令系统,用于根据专门的算法生成一个不可预测的随机数字组合且该随机数字组合使用一次有效。客户端标识是指可以唯一标识客户端的信息。
在本实施例中,客户端从Cookie(储存在用户本地终端上的数据)中获取动态令牌,用户手动输入验证码以后,以客户端URL请求信息的方式向目标服务器统一发送。Web应用防火墙WAF先一步获取客户端向目标服务器发送的客户端URL请求信息并对客户端URL请求信息进行校验,基于获取的客户端URL请求信息,Web应用防火墙WAF对客户端URL请求信息进行解析,判断客户端URL请求信息中是否包括验证码和动态令牌。
另外,动态令牌封装信息包括但不限于客户端标识和验证码,还可以包括时间戳。
步骤120、如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
接上述实施例,在本实施例中,Web应用防火墙WAF对客户端URL请求信息解析得到客户端URL请求信息中自带的客户端标识信息和用户输入的验证码信息,并对客户端URL请求信息中的动态令牌进一步解密得到提前封装在动态令牌中的客户端标识信息和验证码信息。然后,Web应用防火墙WAF对动态令牌中的验证码和客户端URL请求信息中的验证码进行校验,判断二者的验证码信息是否一致;同时Web应用防火墙WAF对动态令牌中的客户端标识和客户端URL请求信息中的客户端标识进行校验,判断二者的客户端标识是否一致。需要说明的是,客户端URL请求信息包括POST方法和GET方法,客户端URL请求信息采用POST方法时,只有动态令牌的校验及动态令牌的错误次数的校验,也就是说,只有对动态令牌中客户端标识信息的校验。
步骤130、如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
接上述实施例,在本实施例中,Web应用防火墙WAF对动态令牌中的验证码和客户端URL请求信息中的验证码进行校验,校验结果显示二者的验证码信息不一致;或者Web应用防火墙WAF对动态令牌中的客户端标识和客户端URL请求信息中的客户端标识进行校验,校验结果显示二者的客户端标识不一致,则Web应用防火墙WAF记录校验失败次数累计增加了一次。
另外,验证码校验通过且客户端标识一致,则校验通过,Web应用防火墙WAF向客户端发送302重定向信息,客户端基于接收的302重定向信息,再次向目标服务器发送客户端URL请求信息,再次发送的客户端URL请求信息通过Web应用防火墙WAF,成功到达目标服务器。需要说明的是,并不是每次访问都需要校验验证码,验证码校验通过后在一段预设的时间段内都有效,即可以无需验证直接访问。
步骤140、如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
接上述实施例,在本实施例中,如果Web应用防火墙WAF记录的校验失败次数在预设周期内累计达到了第一阈值,则判定客户端URL请求信息为非正常请求,即判定客户端URL请求信息是工具发起的请求,此时对发起非正常请求的客户端采取阻断或封禁源IP的方式进行拦截。
另外,如果Web应用防火墙WAF记录的校验失败次数在预设周期内累计没有达到第一阈值,则允许客户端继续再次发起校验请求。
进一步,预设周期和第一阈值都可以根据实际需要进行具体设定,比如可以设定预设周期为一分钟,第一阈值为20次。在本申请中不再具体限定。
本发明提供一种基于动态令牌的人机识别方法,通过校验动态令牌中的验证码和客户端URL请求信息中的验证码是否一致,以及同时校验动态令牌中的客户端标识和客户端URL请求信息中的客户端标识是否一致;在校验验证码不一致或者客户端标识不一致时则记录校验失败一次;如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。本发明将验证码和动态令牌结合使用,同时采用限速包括限制校验失败次数的方式,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别方法,在所述记录校验失败一次之后,还包括:
向客户端发送URL重定向信息;
接收客户端基于所述URL重定向信息发送的客户端URL请求信息,所述客户端URL请求信息包括验证码和动态令牌;
解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次。
在本实施例中,重定向(Redirect)就是通过各种方法将各种网络请求重新定个方向转到其它位置。URL重定向信息就是Web应用防火墙WAF向客户端发送的定位到原始URL的重定向信息。
在本实施例中,Web应用防火墙WAF在校验失败后,向客户端发送URL重定向信息,客户端基于URL重定向信息向目标服务器再次发送客户端URL请求信息。Web应用防火墙WAF接收并解析客户端URL请求信息中自带的客户端标识信息和用户输入的验证码信息,并对客户端URL请求信息中的动态令牌进一步解密得到提前封装在动态令牌中的客户端标识信息和验证码信息。然后,Web应用防火墙WAF对动态令牌中的验证码和客户端URL请求信息中的验证码进行校验,判断二者的验证码信息是否一致;同时Web应用防火墙WAF对动态令牌中的客户端标识和客户端URL请求信息中的客户端标识进行校验,判断二者的客户端标识是否一致。如果校验结果显示,二者的验证码不一致或者客户端标识不一致,则记录校验失败次数累计增加一次。
本发明提供一种基于动态令牌的人机识别方法,通过向客户端发送URL重定向信息,二次校验动态令牌中的验证码和客户端URL请求信息中的验证码是否一致,以及同时二次校验动态令牌中的客户端标识和客户端URL请求信息中的客户端标识是否一致;在校验验证码不一致或者客户端标识不一致时则记录校验失败次数累计增加一次,有力的支持了限速包括限制校验失败次数的人机识别手段,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别方法,还包括:
如果客户端URL请求信息中不包括验证码或动态令牌,则基于接收到的客户端URL请求信息,获取客户端标识,并随机生成验证码,将所述验证码及所述客户端标识加密封装成动态令牌;
将验证码和动态令牌发送给客户端,同时刷新验证码界面,记录获取验证码一次。
在本实施例中,客户端首次发送客户端URL请求信息时,客户端Cookie(储存在用户本地终端上的数据)中并没有与发送的客户端URL请求信息对应的验证码和动态令牌。Web应用防火墙WAF首次接收到客户端URL请求信息,确认客户端URL请求信息中并不存在对应的验证码和动态令牌,则解析客户端URL请求信息,得到客户端URL请求信息中自带的客户端标识,然后,随机生成验证码并对随机生成的验证码及解析得到的客户端标识加密,封装成动态令牌。Web应用防火墙WAF将生成的验证码和动态令牌发送给客户端,同时在客户端刷新验证码界面,在Web应用防火墙WAF中记录获取验证码次数累计增加一次。
本发明提供一种基于动态令牌的人机识别方法,在客户端URL请求信息中不包括验证码或动态令牌时,基于接收到的客户端URL请求信息,获取客户端标识,并随机生成验证码,将验证码及客户端标识加密封装成动态令牌;将验证码和动态令牌发送给客户端,同时刷新验证码界面,记录获取验证码一次,具体阐明了客户端首次访问时和Web应用防火墙WAF的交互情况,有力的支持了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别方法,还包括:
如果预定周期内,获取验证码次数超过第二阈值,则判定所述客户端URL请求信息为非正常请求。
在本实施例中,基于一般情况下客户正常访问不会频繁获取验证码,而工具访问(如回放pcap包)则容易频繁获取验证码的强假设。客户端采用持续刷新验证码图片、持续刷新验证码网页或者采用其他持续重新获取验证码的GET请求的方式时,在预定周期内,如果客户端获取验证码次数超过第二阈值,则Web应用防火墙WAF判定客户端URL请求信息为非正常请求,即判定客户端URL请求信息是工具发起的请求,此时对发起非正常请求的客户端采取阻断或封禁源IP的方式进行拦截。
另外,如果客户端获取验证码次数没有超过第二阈值,则可以持续向客户端返回新的验证码,以便用户输入验证码重新进入验证码校验流程。
进一步,预设周期和第二阈值都可以根据实际需要进行具体设定,比如可以设定预设周期为一分钟,第二阈值为20次。在本申请中不再具体限定。
本发明提供一种基于动态令牌的人机识别方法,通过如果预定周期内,获取验证码次数超过第二阈值,则判定客户端URL请求信息为非正常请求,有力的支持了限速包括限制验证码获取次数的人机识别手段,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别方法,还包括:
所述客户端标识包括源IP。
在本实施例中,源IP是指往外发送数据的电脑的IP地址。客户端标识是指可以证明客户端身份真实性即客户端前后一致的信息,包括客户端源IP。
本发明提供一种基于动态令牌的人机识别方法,通过具体阐明客户端标识包括的具体信息,有力的支持了提高人机识别的准确率和效率,极大地提升了网站的安全性。
下面对本发明提供的一种基于动态令牌的人机识别装置进行描述,下文描述的基于动态令牌的人机识别装置与上文描述的基于动态令牌的人机识别方法可以相互对应参照。
图2为本发明提供的基于动态令牌的人机识别装置的结构图,如图2所示,本发明提供的基于动态令牌的人机识别装置,包括:
请求信息获取模块210,用于获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
请求信息校验模块220,用于如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
校验结果记录模块230,用于如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
请求信息判定模块240,用于如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
本发明提供一种基于动态令牌的人机识别装置,通过设置请求信息获取模块、请求信息校验模块、校验结果记录模块和请求信息判定模块,将验证码和动态令牌结合使用,同时采用限速包括限制校验失败次数的方式,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,校验结果记录模块230包括:
重定向单元,用于向客户端发送URL重定向信息;
相应的,客户端基于接收到的从Web应用防火墙WAF发送的URL重定向信息,再次向Web应用防火墙WAF发送客户端URL请求信息;Web应用防火墙WAF通过请求信息获取模块210、请求信息校验模块220和校验结果记录模块230对再次接收的客户端URL请求信息进行校验。
本发明提供一种基于动态令牌的人机识别装置,通过在校验结果记录模块中设置重定向单元,与请求信息获取模块、请求信息校验模块和校验结果记录模块配合对再次接收的客户端URL请求信息进行校验,有力的支持了限速包括限制校验失败次数的人机识别手段,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别装置,装置还包括:
验证码刷新模块,用于如果客户端URL请求信息中不包括验证码或动态令牌,则基于接收到的客户端URL请求信息,获取客户端标识,并随机生成验证码,将所述验证码及所述客户端标识加密封装成动态令牌;将验证码和动态令牌发送给客户端,同时刷新验证码界面,记录获取验证码一次。
本发明提供一种基于动态令牌的人机识别装置,通过设置验证码刷新模块,具体阐明了客户端首次访问时和Web应用防火墙WAF的交互情况,有力的支持了人机识别的准确率和效率,极大地提升了网站的安全性。
基于上述任一实施例,在本实施例中,本发明提供一种基于动态令牌的人机识别装置,请求信息判定模块240还包括:
验证码获取次数记录单元,用于如果预定周期内,获取验证码次数超过第二阈值,则判定所述客户端URL请求信息为非正常请求。
本发明提供一种基于动态令牌的人机识别装置,通过设置验证码获取次数记录单元,有力的支持了限速包括限制验证码获取次数的人机识别手段,提高了人机识别的准确率和效率,极大地提升了网站的安全性。
另一方面,本发明还提供一种电子设备,图3示例了一种电子设备的实体结构示意图,如图3所示,该电子设备可以包括处理器310、通信总线340、存储器330、通信接口320以及存储在所述存储器330上并可在所述处理器310上运行的计算机程序,其中,处理器310、通信接口320、存储器330通过通信总线340完成相互间的通信,处理器310可以调用存储器330中的逻辑指令,以执行基于动态令牌的人机识别方法,该方法包括:
获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
最后,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,当所述计算机程序被处理器执行时,可以实现基于动态令牌的人机识别方法,该方法包括:
获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种基于动态令牌的人机识别方法,其特征在于,包括:
获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
2.根据权利要求1所述的基于动态令牌的人机识别方法,其特征在于,在所述记录校验失败一次之后,还包括:
向客户端发送URL重定向信息;
接收客户端基于所述URL重定向信息发送的客户端URL请求信息,所述客户端URL请求信息包括验证码和动态令牌;
解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次。
3.根据权利要求1所述的基于动态令牌的人机识别方法,其特征在于,还包括:
如果客户端URL请求信息中不包括验证码或动态令牌,则基于接收到的客户端URL请求信息,获取客户端标识,并随机生成验证码,将所述验证码及所述客户端标识加密封装成动态令牌;
将验证码和动态令牌发送给客户端,同时刷新验证码界面,记录获取验证码一次。
4.根据权利要求3所述的基于动态令牌的人机识别方法,其特征在于,还包括:
如果预定周期内,获取验证码次数超过第二阈值,则判定所述客户端URL请求信息为非正常请求。
5.根据权利要求1所述的基于动态令牌的人机识别方法,其特征在于,还包括:
所述客户端标识包括源IP。
6.一种基于动态令牌的人机识别装置,其特征在于,包括:
请求信息获取模块,用于获取客户端URL请求信息,并判断所述客户端URL请求信息是否包括验证码和动态令牌,其中,所述动态令牌包括客户端标识和验证码;
请求信息校验模块,用于如果所述客户端URL请求信息中包括验证码和动态令牌,解密所述动态令牌,从所述动态令牌中获取客户端标识和验证码,校验所述动态令牌中的验证码和所述客户端URL请求信息中的验证码是否一致,同时校验所述动态令牌中的客户端标识和所述客户端URL请求信息中的客户端标识是否一致;
校验结果记录模块,用于如果校验验证码不一致或者客户端标识不一致,则记录校验失败一次;
请求信息判定模块,用于如果校验失败次数达到第一阈值,则判定所述客户端URL请求信息为非正常请求。
7.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述基于动态令牌的人机识别方法的步骤。
8.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述基于动态令牌的人机识别方法的步骤。
CN202210881628.1A 2022-07-26 2022-07-26 一种基于动态令牌的人机识别方法及装置 Active CN114938313B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210881628.1A CN114938313B (zh) 2022-07-26 2022-07-26 一种基于动态令牌的人机识别方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210881628.1A CN114938313B (zh) 2022-07-26 2022-07-26 一种基于动态令牌的人机识别方法及装置

Publications (2)

Publication Number Publication Date
CN114938313A true CN114938313A (zh) 2022-08-23
CN114938313B CN114938313B (zh) 2022-10-04

Family

ID=82869232

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210881628.1A Active CN114938313B (zh) 2022-07-26 2022-07-26 一种基于动态令牌的人机识别方法及装置

Country Status (1)

Country Link
CN (1) CN114938313B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115688948A (zh) * 2022-10-24 2023-02-03 深圳市宁远科技股份有限公司 互联网预约挂号平台限制抢号牟利行为的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
CN105450641A (zh) * 2015-11-13 2016-03-30 中国建设银行股份有限公司 验证方法、设备及系统
US20170195311A1 (en) * 2015-04-21 2017-07-06 Tencent Technology (Shenzhen) Company Limited Login method, server, and login system
CN110493258A (zh) * 2019-09-09 2019-11-22 平安普惠企业管理有限公司 基于token令牌的身份校验方法及相关设备
CN112688773A (zh) * 2019-10-17 2021-04-20 浙江大搜车软件技术有限公司 一种令牌的生成和校验方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103188229A (zh) * 2011-12-30 2013-07-03 上海贝尔股份有限公司 用于安全内容访问的方法和设备
US20170195311A1 (en) * 2015-04-21 2017-07-06 Tencent Technology (Shenzhen) Company Limited Login method, server, and login system
CN105450641A (zh) * 2015-11-13 2016-03-30 中国建设银行股份有限公司 验证方法、设备及系统
CN110493258A (zh) * 2019-09-09 2019-11-22 平安普惠企业管理有限公司 基于token令牌的身份校验方法及相关设备
CN112688773A (zh) * 2019-10-17 2021-04-20 浙江大搜车软件技术有限公司 一种令牌的生成和校验方法及装置

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115688948A (zh) * 2022-10-24 2023-02-03 深圳市宁远科技股份有限公司 互联网预约挂号平台限制抢号牟利行为的方法

Also Published As

Publication number Publication date
CN114938313B (zh) 2022-10-04

Similar Documents

Publication Publication Date Title
US11924234B2 (en) Analyzing client application behavior to detect anomalies and prevent access
CN107770171B (zh) 服务器反爬虫的验证方法及系统
CN107135073B (zh) 接口调用方法和装置
US10419431B2 (en) Preventing cross-site request forgery using environment fingerprints of a client device
CN107046544B (zh) 一种识别对网站的非法访问请求的方法和装置
CN106998335B (zh) 一种漏洞检测方法、网关设备、浏览器及系统
CN114900338A (zh) 一种加密解密方法、装置、设备和介质
WO2014153959A1 (zh) 用于防止跨站点请求伪造的方法、相关装置及系统
CN114938313B (zh) 一种基于动态令牌的人机识别方法及装置
CN108235067B (zh) 一种视频流地址的鉴权方法及装置
CN111371811A (zh) 一种资源调用方法、资源调用装置、客户端及业务服务器
CN109428869B (zh) 钓鱼攻击防御方法和授权服务器
KR101334771B1 (ko) 고유식별자 기반 인증 관제 시스템 및 방법
CN113992353B (zh) 登录凭证的处理方法、装置、电子设备及存储介质
CN111064731B (zh) 一种浏览器请求的访问权限的识别方法、识别装置及终端
US9781158B1 (en) Integrated paronymous network address detection
CN113496024A (zh) 一种Web页面的登录方法、装置、存储介质及电子设备
CN108156144B (zh) 一种访问认证方法及对应装置
CN111049794A (zh) 一种页面反爬的方法、装置、存储介质和网关设备
CN111193708A (zh) 一种基于企业浏览器实现的扫码登录方法和装置
Ellahi et al. Analyzing 2FA Phishing Attacks and Their Prevention Techniques
CN113783824B (zh) 防止跨站请求伪造的方法、装置、客户端、系统及介质
US11356415B2 (en) Filter for suspicious network activity attempting to mimic a web browser
JP2009048545A (ja) アカウント情報漏洩防止サービスシステム
CN117792785A (zh) 微信小程序的访问控制方法、装置、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant