CN115174187A - 一种用户安全登录方法、系统及装置 - Google Patents
一种用户安全登录方法、系统及装置 Download PDFInfo
- Publication number
- CN115174187A CN115174187A CN202210760914.2A CN202210760914A CN115174187A CN 115174187 A CN115174187 A CN 115174187A CN 202210760914 A CN202210760914 A CN 202210760914A CN 115174187 A CN115174187 A CN 115174187A
- Authority
- CN
- China
- Prior art keywords
- user
- key
- login request
- login
- user name
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 61
- 238000012795 verification Methods 0.000 claims description 100
- 238000003860 storage Methods 0.000 claims description 19
- 238000004590 computer program Methods 0.000 claims description 6
- 230000005540 biological transmission Effects 0.000 description 9
- 230000008569 process Effects 0.000 description 7
- 230000002085 persistent effect Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 238000009825 accumulation Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000009467 reduction Effects 0.000 description 3
- 238000005242 forging Methods 0.000 description 2
- 230000001965 increasing effect Effects 0.000 description 2
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 description 2
- 238000005422 blasting Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000004880 explosion Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本申请公开了一种用户安全登录方法、系统及装置,该方案应用于用户登录技术领域。接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码;通过第二密钥对登录请求进行解码并在解码成功后进行验证;若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息。首先通过加密传输登录信息和返回信息,提高了用户登录信息的安全性,其次,无论是用户名不存在,还是用户名正确但密码不正确均统一返回用户名或密码错误信息,即便返回信息被拦截也无法确定用户名是否为真实存在的用户名,防止攻击者根据真实存在的用户名进行多次错误登录使用户被锁定,提高系统的用户使用量,减少损失。
Description
技术领域
本发明涉及用户登录技术领域,特别是涉及一种用户安全登录方法、系统及装置。
背景技术
现有技术中,在用户登录系统时通常存在至少三个登录条件:用户名、密码和验证码。用户在进行登录的时候会对验证码、用户和密码进行校验,一般先进行验证码校验,待验证码校验通过后再进行用户名和密码校验,如果用户名存在但是密码输入错误就会收到相应的返回信息并提示例如“用户名或密码错误,若连续输入超过20次用户将被锁定”,存在用户名猜疑的风险,即攻击者通过劫持上述登录请求和返回信息,就可获取真实存在的用户名,之后就可以利用真实存在的用户名发出登录请求,并连续多次输入错误密码,导致该用户名所属用户被锁定。若大批量的用户被锁定无法正常使用系统,则会引起用户恐慌,降低了系统的用户使用量,造成不可估计的损失。
发明内容
本申请的目的是提供一种用户安全登录方法、系统及装置,该方案应用于用户登录技术领域。首先通过加密传输登录信息和返回信息,提高了用户登录信息的安全性,其次,无论是用户名不存在,还是用户名正确但密码不正确均统一返回用户名或密码错误信息,即便返回信息被拦截也无法确定用户名是否为真实存在的用户名,防止攻击者根据真实存在的用户名进行多次错误登录使用户被锁定,提高系统的用户使用量,减少损失。
为解决上述技术问题,本申请提供了一种用户安全登录方法,包括:
接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码;
通过第二密钥对所述登录请求进行解码;
对成功解码后的所述登录请求进行验证;
若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息;
若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息。
优选的,对成功解码后的所述登录请求进行验证之后,还包括:
若所述验证码验证失败,则向所述用户端返回通过所述第三密钥加密后的验证码错误信息。
优选的,所述第一密钥为预设公钥,所述第二密钥为预设私钥,所述预设公钥和所述预设私钥对应。
优选的,所述预设公钥中包含防识别字符。
优选的,若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息之后,还包括:
对所述登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块;
相应的,接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码之后,还包括:
判断所述登录请求所属的IP地址的验证失败次数是否大于或等于第一预设次数;
若是,向所述用户端返回通过所述第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对所述登录请求进行解码的步骤;
若否,进入通过第二密钥对所述登录请求进行解码的步骤。
优选的,若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息之后,还包括:
将所述登录请求所属的IP地址的验证失败次数设置为0并保存至所述存储模块。
优选的,向所述用户端返回通过所述第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对所述登录请求进行解码的步骤之后,还包括:
将所述登录请求所属的IP地址的验证失败次数设置为0并保存至所述存储模块。
优选的,对所述登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块之后,还包括:
在判定所述登录请求所属的IP地址的验证失败次数大于或等于所述第一预设次数时,对所述登录请求所属的IP地址的锁定次数进行累加并保存至所述存储模块;
在所述锁定次数达到第二预设次数时,控制告警模块进行告警。
为解决上述技术问题,本申请还提供了一种用户安全登录系统,包括:
接收单元,用于接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码;
解码单元,用于通过第二密钥对所述登录请求进行解码;
验证单元,用于对成功解码后的所述登录请求进行验证;
失败返回单元,用于若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息;
成功返回单元,用于若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息。
为解决上述技术问题,本申请还提供了一种用户安全登录装置,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现所述用户安全登录方法的步骤。
本申请提供了一种用户安全登录方法、系统及装置,该方案应用于用户登录技术领域。接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码;通过第二密钥对登录请求进行解码并在解码成功后进行验证;若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息。首先通过加密传输登录信息和返回信息,提高了用户登录信息的安全性,其次,无论是用户名不存在,还是用户名正确但密码不正确均统一返回用户名或密码错误信息,即便返回信息被拦截也无法确定用户名是否为真实存在的用户名,防止攻击者根据真实存在的用户名进行多次错误登录使用户被锁定,提高系统的用户使用量,减少损失。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对现有技术和实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请提供的一种用户安全登录方法的流程示意图;
图2为本申请提供的另一种用户安全登录方法的流程示意图;
图3为本申请提供的一种用户安全登录系统的结构示意图;
图4为本申请提供的一种用户安全登录装置的结构示意图。
具体实施方式
本申请的核心是提供一种用户安全登录方法、系统及装置,该方案应用于用户登录技术领域。首先通过加密传输登录信息和返回信息,提高了用户登录信息的安全性,其次,无论是用户名不存在,还是用户名正确但密码不正确均统一返回用户名或密码错误信息,即便返回信息被拦截也无法确定用户名是否为真实存在的用户名,防止攻击者根据真实存在的用户名进行多次错误登录使用户被锁定,提高系统的用户使用量,减少损失。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
图1为本申请提供的一种用户安全登录方法的流程示意图,包括:
S11:接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码;
S12:通过第二密钥对登录请求进行解码;
S13:对成功解码后的登录请求进行验证;
S14:若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息;
S15:若验证码、用户名和密码均验证成功,则向用户端返回通过第三密钥加密后的登录成功信息。
现有技术中,在用户登录系统时通常存在至少三个登录条件:用户名、密码和验证码。用户在进行登录的时候会对验证码、用户和密码进行校验,一般先进行验证码校验,待验证码校验通过后再进行用户名和密码校验,如果用户名存在但是密码输入错误就会收到相应的返回信息并提示例如“用户名或密码错误,若连续输入超过20次用户将被锁定”,返回信息的细致划分虽然提高了用户的易用性,但是也存在诸多风险,例如用户名猜疑的风险,即攻击者通过劫持上述登录请求和返回信息,就可获取真实存在的用户名,之后就可以利用真实存在的用户名发出登录请求,并连续多次输入错误密码,导致该用户名所属用户被锁定。若大批量的用户被锁定无法正常使用系统,则会引起用户恐慌,降低了系统的用户使用量,造成不可估计的损失。
为解决上述技术问题,本申请提出了一种用户安全登录方法,分为两部分,一是加密传输登录请求和返回信息,提高信息传输的安全性,使攻击者即使劫持了登录请求和返回信息,也难以解码获取;二是,对于引起用户名猜疑风险的用户名存在但是密码输入错误的返回信息,将其与用户名不存在的返回信息,统一为用户名或密码错误信息。这样,即使攻击者劫持登录请求和返回信息并解码后,也难以判断获取的用户名是不存在还是存在,也就避免了通过真实存在的用户名进行多次错误登录而导致的用户锁定。
具体的,S11中,登录请求包括验证码、用户名和密码,具体的用户登录流程可以为:1)输入登录请求后点击登录按钮,发送加密后的登录请求到后台,解码后首先校验验证码,如果校验成功就会进入第二步的用户名校验,验证码的作用是保护网站安全,一般网站都要通过验证码来防止机器大规模注册登录,机器暴力破解数据密码等危害;2)验证码校验完毕后会对用户名进行校验,若用户不存在,返回加密后的用户名或密码输入错误的信息,例如提示“用户名或密码错误”;若用户名存在则进入第三步的密码校验;3)通过用户的用户名和密码作为整体信息去验证,若验证成功则登录成功进入首页;若验证失败则返回加密后的用户名或密码输入错误的信息,例如“用户名或密码错误”。针对上述登录流程,不存在用户名和已存在用户名保持一致的错误提示信息、一致的报文信息,防止攻击者劫持登录请求返回的报文信息,进而猜测出真实存在的用户名,解决用户名猜疑。
S12中,对登录请求进行加密的第一密钥和对加密后的登录请求进行解密的第二密钥相对应,为预先设置好的用户端和登录端已知的密钥,通过加密和解密的过程增加了信息的安全性。
S13中,对于能够成功解密的登录请求进行验证,而对于不能成功解密的登录请求可以进行登录失败的提示,该提示信息也可通过第三密钥加密后再返回给用户端。
S14中,一方面,向用户端发送的返回信息进行加密,提高安全性,减小用户名猜疑的风险;另一方面,用户名和密码任一验证失败,包括了用户名不存在、用户名存在但密码错误的两种情况,这两种情况采用统一的返回信息,即用户名或密码错误信息,保证了即使返回信心被截取并解码也无法获知用户名是否存在。
具体的,对成功解码后的登录请求进行验证后,向用户端发送返回信息,提示是否登录成功,以及失败原因。将错误信息统一归纳为用户名或密码错误,而不是更形象的提示“用户名不存在”或者“密码错误”,并且将返回信息整体加密,向用户端发送加密的字符串,用户端解密后才能获取到返回信息。优点在于,攻击者无法通过直接拦截的方式获取到明确的返回信息,而是只能看到一串加密的字符串,无法解密,保证了返回信息的安全。
S15中,当验证码、用户名和密码均验证成功,则可完成登录。
通过上述步骤,避免攻击者去猜疑真实用户数据从而导致真实用户被锁定无法操作系统,提高用户账号的安全级别,提升系统的安全性能,避免活跃用户数大批量下降的造成才成损失的风险产生,极大的保障了用户的权益、系统的安全。
综上,本申请提供了一种用户安全登录方法,该方案应用于用户登录技术领域。接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码;通过第二密钥对登录请求进行解码并在解码成功后进行验证;若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息。首先通过加密传输登录信息和返回信息,提高了用户登录信息的安全性,其次,无论是用户名不存在,还是用户名正确但密码不正确均统一返回用户名或密码错误信息,即便返回信息被拦截也无法确定用户名是否为真实存在的用户名,防止攻击者根据真实存在的用户名进行多次错误登录使用户被锁定,提高系统的用户使用量,减少损失。
在上述实施例的基础上:
作为一种优选的实施例,对成功解码后的登录请求进行验证之后,还包括:
若验证码验证失败,则向用户端返回通过第三密钥加密后的验证码错误信息。
本实施例中,对成功解码后的登录请求进行验证时,可以首先验证验证码的正确性,若验证失败,则向用户端返回通过第三密钥加密后的验证码错误信息,验证码的作用是保护网站安全,防止机器大规模注册登录,机器暴力破解数据密码等危害。
同时,通过第一密钥和对应的第二密钥进行登录请求的加密传输,通过第三密钥和其对应的第四密钥(用户端可以通过第四密钥对返回信息进行解密)可以进行返回信息的加密传输,其中登录请求和返回信息可以采用相同的加密密钥,即第二密钥与第三密钥相同、第一密钥与第四密钥相同,但是考虑到信息的安全性,采用全新的(即不同于第一密钥和第二密钥)第三密钥和第四密钥为最佳方案。
作为一种优选的实施例,第一密钥为预设公钥,第二密钥为预设私钥,预设公钥和预设私钥对应。
本实施例中,登录请求采用非对称加密,即用户端对登录请求(即前端报文)进行加密的第一密钥,以及登录端对加密后的登录请求进行解密的第二密钥,不相同。具体的,第一密钥为预设公钥,所有的登录请求都通过同一预设公钥进行加密,第二密钥为预设私钥,只有登录端已知,非法使用者无法根据公开的预设公钥推算出预设私钥,加强了信息保护的力度。
作为一种优选的实施例,预设公钥中包含防识别字符。
本实施例中,预设公钥中添加了防识别字符,比如预设公钥为“abc”,增加防识别字符后为“a.bcd”,在使用预设公钥的时候需要逐层去除多余字符,才能获取到真正的预设公钥。防止攻击者多次进行登录请求访问,实现爆破攻击。
具体的,对于登录信息的发送,为了避免攻击者拦截用户的登录信息以及加强信息传输安全,同时也为了防止攻击者伪造登录请求去大量发起请求,在本申请中,对于登录请求的报文数据进行整体非对称加密,对于预设公钥添加防识别字符,然后在使用的时候再逐层去除多余字符,获取到真正的预设公钥,可以避免攻击者直接伪造登录请求进行大批量攻击。
可以将用户名、密码和验证码组成的json字符串整体通过预设公钥进行加密,生成加密字符串,传输加密字符串给后台,后台再通过预设私钥进行解码,并进行登录验证。攻击者如果拦截到登录请求,也无法识别到登录请求中的信息,如果攻击者伪造数据将会直接解密失败,不会继续进行登录验证。
综上,通过防识别字符进一步增强了登录信息传输的安全性,降低了用户名猜疑的风险。
作为一种优选的实施例,若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息之后,还包括:
对登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块;
相应的,接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码之后,还包括:
判断登录请求所属的IP地址的验证失败次数是否大于或等于第一预设次数;
若是,向用户端返回通过第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对登录请求进行解码的步骤;
若否,进入通过第二密钥对登录请求进行解码的步骤。
考虑到当登录请求所属的IP地址的验证失败次数过多时,此IP地址存在攻击风险,因此对其进行IP锁定,等待预设时间段后(例如20分钟)才能继续登录,向用户端返回IP锁定信息时,可以进行“该用户已被锁定,请在20分钟后再次尝试或者联系管理员解决”的提示。
具体的,在登录端可以添加IP黑名单,记录验证失败次数,第一预设次数可以为20次。设置规则可以为接收登录请求后,若其所属的IP地址的验证失败次数超过20次,锁定IP,将该IP加入黑名单,30分钟不允许该IP进行任何操作。登录成功和超过30分钟后,清除记录的验证失败次数。防止暴力攻击,导致持久化记录的数据暴增。
还需要说明的是,对于用户名猜疑产生攻击的手段,现有技术中很多采用用户锁,将验证失败次数超过20次的用户账号锁定,对于不存在的用户也会加一个伪锁机制,产生假锁定的现象。这种会避免同一个用户暴力破解,但是攻击者可以更换用户名持续进行攻击,在大数量的攻击下,创建的持久化数据库需要去保存记录大量不存在用户,使大量攻击数据被持久化,危害服务器。因此,考虑采用IP黑名单,也即IP锁,锁定用户的IP地址,如果IP地址的验证失败次数超过20次,将该IP地址锁定,无论中间是否持续切换用户,只要验证失败次数超过20次就将可以用户所属的IP地址锁定30分钟,可以减少攻击者的攻击频率。在限制期间内,被锁定的IP地址无法进行登录操作。
采用IP地址锁定而不是用户锁定,避免同一个IP地址持续发起攻击,而采取用户锁定对于攻击者来说换一个用户就可以达到持续攻击的目的,IP地址锁定则会有效降低攻击频率,避免持久层数据库写入大量攻击数据(例如用户锁定时,写入大量用户信息)的风险。
综上,通过验证失败次数可以对不存在用户名所属的IP地址进行相应记录,在达到第一预设次数时进行IP地址锁定,并在等待预设时间段后解除锁定。
作为一种优选的实施例,若验证码、用户名和密码均验证成功,则向用户端返回通过第三密钥加密后的登录成功信息之后,还包括:
将登录请求所属的IP地址的验证失败次数设置为0并保存至存储模块。
考虑到用户个人原因所导致的验证失败,一旦登录请求中验证码、用户名和密码均验证成功,即登录成功,即可将该登录请求所属的IP地址的攻击嫌疑排除,即将该IP地址的验证失败次数重置为0,正常传输登录请求,保证根据IP地址的验证失败次数进行IP地址锁定的准确性。
作为一种优选的实施例,向用户端返回通过第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对登录请求进行解码的步骤之后,还包括:
将登录请求所属的IP地址的验证失败次数设置为0并保存至存储模块。
考虑到用户个人原因所导致的验证失败多次而IP地址被锁定的情况,在等待预设时间段后对IP地址进行解锁,并将其验证失败次数重置为0,防止其继续因为大于或等于第一预设次数的验证失败次数而被锁定,能够正常传输登录请求,保证根据IP地址的验证失败次数进行IP地址锁定的准确性。
作为一种优选的实施例,对登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块之后,还包括:
在判定登录请求所属的IP地址的验证失败次数大于或等于第一预设次数时,对登录请求所属的IP地址的锁定次数进行累加并保存至存储模块;
在锁定次数达到第二预设次数时,控制告警模块进行告警。
本实施例中,在登录请求验证失败,其所属的IP地址的验证失败次数进行累加之后,还可以判断该IP地址的验证失败次数是否大于或等于第一预设次数,若是则对该IP地址的锁定次数进行累加,在该IP地址被锁定多次后进行告警。
具体的,假如登录信息和返回信息的加密被破解,攻击者获取了真实存在的用户名并发起大量攻击,攻击者发起攻击的IP地址被锁定多次,在其达到第二预设次数时,进行告警。在告警之后,可以加上管理员的人工干预手段,由管理员用户决定是否延长该IP地址的锁定时长,或者是封禁该IP地址,拒绝该IP地址的任何请求,从而降低攻击频率,进而降低大批量真实用户的被锁定风险。IP地址锁定给攻击者仍然留有攻击的可能性,而对IP地址的锁定次数的监控和管理员的人为处理就会极大的降低这个可能性。
综上,通过对IP地址的锁定次数进行监控,大幅降低攻击频率,进而降低大批量真实用户的被锁定风险。
此外,结合上述所有实施例,本申请主要通过加密传输登录请求、加密传输返回信息(返回信息统一)、IP地址锁定以及多次锁定后进行告警,人工干预降低风险,进行用户的安全登录。具体的,请求报文和返回报文加密,即使被拦截后,也无法识别出请求报文中的用户名和密码以及返回报文中的返回信息,避免攻击者分辨出是否为真实存在的用户,同时将错误信息统一归纳为用户名或密码错误,而不是更形象的提示“用户名不存在”或者“密码错误”,并加密传输给用户端,用户端通过解密才能获取到返回信息,统一归纳的返回信息也对用户名进行了遮盖,使攻击者无法识别真实存在的用户名;IP地址锁定而不是用户锁定,可以避免同一个IP持续发起攻击,用户锁定对于攻击者来说换一个用户就可以达到持续攻击的目的,而IP锁定会降低攻击频率,避免持久层数据库写入大量攻击数据的风险;多次锁定后进行告警,人工干预降低风险,可以对锁定次数过多的IP地址进行限制,加大等待时间或者禁止访问,更详细的流程可以参照图2。图2中,请求报文中包含了登录请求,将请求报文以加密字符串的形式进行传输,响应报文中包含了返回信息。
通过上述方法,从用户端、登录端以及客户电脑层面加强了安全性,既可以使攻击者难以获取和分辨出不存在用户和真实存在用户,还可以降低用户猜疑带来的大批量真实用户被锁定的风险,以及大批量不存在用户数据被持久化的风险,提高用户账号的安全级别,提升系统的安全性能,避免活跃用户数大批量下降而造成的损失,极大的保障了用户的权益和系统的安全。
请参照图3,图3为本申请提供的一种用户安全登录系统的结构示意图,包括:
接收单元21,用于接收用户端发送的通过第一密钥加密后的登录请求,登录请求包括验证码、用户名和密码;
解码单元22,用于通过第二密钥对登录请求进行解码;
验证单元23,用于对成功解码后的登录请求进行验证;
失败返回单元24,用于若用户名和密码任一验证失败,则向用户端返回通过第三密钥加密后的用户名或密码错误信息;
成功返回单元25,用于若验证码、用户名和密码均验证成功,则向用户端返回通过第三密钥加密后的登录成功信息。
对于本申请提供的一种用户安全登录系统的介绍,请参照上述实施例,本申请此处不再赘述。
作为一种优选的实施例,还包括:
验证码验证失败单元,用于在验证单元23之后,若验证码验证失败,则向用户端返回通过第三密钥加密后的验证码错误信息。
作为一种优选的实施例,第一密钥为预设公钥,第二密钥为预设私钥,预设公钥和预设私钥对应。
作为一种优选的实施例,预设公钥中包含防识别字符。
作为一种优选的实施例,还包括:
验证失败次数累加单元,用于在失败返回单元24之后,对登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块;
相应的,还包括:
验证失败次数判断单元,用于在接收单元21之后,判断登录请求所属的IP地址的验证失败次数是否大于或等于第一预设次数,若是触发锁定单元,若否返回解码单元22;
锁定单元,用于向用户端返回通过第三密钥加密后的IP锁定信息,并在等待预设时间段后返回解码单元22。
作为一种优选的实施例,还包括:
验证失败次数第一重置单元,用于在成功返回单元25之后,将登录请求所属的IP地址的验证失败次数设置为0并保存至存储模块。
作为一种优选的实施例,还包括:
验证失败次数第二重置单元,用于在锁定单元之后,将登录请求所属的IP地址的验证失败次数设置为0并保存至存储模块。
作为一种优选的实施例,还包括:
锁定次数累加单元,用于在验证失败次数累加单元之后,在判定登录请求所属的IP地址的验证失败次数大于或等于第一预设次数时,对登录请求所属的IP地址的锁定次数进行累加并保存至存储模块;
告警单元,用于在锁定次数达到第二预设次数时,控制告警模块进行告警。
请参照图4,图4为本申请提供的一种用户安全登录装置的结构示意图,包括:
存储器31,用于存储计算机程序;
处理器32,用于执行计算机程序以实现用户安全登录方法的步骤。
对于本申请提供的一种用户安全登录装置的介绍,请参照上述实施例,本申请此处不再赘述。
其中,处理器通过加密传输登录请求、加密传输返回信息(返回信息统一)、IP地址锁定以及多次锁定后进行告警,人工干预降低风险,进行用户的安全登录。同样具有以下优点:1)请求报文和返回报文加密,即使被拦截后,也无法识别出请求报文中的用户名和密码以及返回报文中的返回信息,避免攻击者分辨出是否为真实存在的用户,同时将错误信息统一归纳为用户名或密码错误,而不是更形象的提示“用户名不存在”或者“密码错误”,并加密传输给用户端,用户端通过解密才能获取到返回信息,统一归纳的返回信息也对用户名进行了遮盖,使攻击者无法识别真实存在的用户名;2)采用IP地址锁定而不是用户锁定,避免同一个IP地址持续发起攻击,而采取用户锁定对于攻击者来说换一个用户就可以达到持续攻击的目的,IP地址锁定则会有效降低攻击频率,避免持久层数据库写入大量攻击数据(例如用户锁定时,写入大量用户信息)的风险。3)多次锁定后进行告警,人工干预降低风险,可以对锁定次数过多的IP地址进行限制,由管理员用户决定是否延长该IP地址的锁定时长,或者是封禁该IP地址,拒绝该IP地址的任何请求,从而降低攻击频率,进而降低大批量真实用户的被锁定风险。IP地址锁定给攻击者仍然留有攻击的可能性,而对IP地址的锁定次数的监控和管理员的人为处理就会极大的降低这个可能性。
从用户端、登录端以及客户电脑层面加强了安全性,既可以使攻击者难以获取和分辨出不存在用户和真实存在用户,还可以降低用户猜疑带来的大批量真实用户被锁定的风险,以及大批量不存在用户数据被持久化的风险,提高用户账号的安全级别,提升系统的安全性能,避免活跃用户数大批量下降而造成的损失,极大的保障了用户的权益和系统的安全。
需要说明的是,在本说明书中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其他实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (10)
1.一种用户安全登录方法,其特征在于,包括:
接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码;
通过第二密钥对所述登录请求进行解码;
对成功解码后的所述登录请求进行验证;
若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息;
若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息。
2.如权利要求1所述的用户安全登录方法,其特征在于,对成功解码后的所述登录请求进行验证之后,还包括:
若所述验证码验证失败,则向所述用户端返回通过所述第三密钥加密后的验证码错误信息。
3.如权利要求1所述的用户安全登录方法,其特征在于,所述第一密钥为预设公钥,所述第二密钥为预设私钥,所述预设公钥和所述预设私钥对应。
4.如权利要求3所述的用户安全登录方法,其特征在于,所述预设公钥中包含防识别字符。
5.如权利要求1至4任一项所述的用户安全登录方法,其特征在于,若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息之后,还包括:
对所述登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块;
相应的,接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码之后,还包括:
判断所述登录请求所属的IP地址的验证失败次数是否大于或等于第一预设次数;
若是,向所述用户端返回通过所述第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对所述登录请求进行解码的步骤;
若否,进入通过第二密钥对所述登录请求进行解码的步骤。
6.如权利要求5所述的用户安全登录方法,其特征在于,若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息之后,还包括:
将所述登录请求所属的IP地址的验证失败次数设置为0并保存至所述存储模块。
7.如权利要求5所述的用户安全登录方法,其特征在于,向所述用户端返回通过所述第三密钥加密后的IP锁定信息,并在等待预设时间段后进入通过第二密钥对所述登录请求进行解码的步骤之后,还包括:
将所述登录请求所属的IP地址的验证失败次数设置为0并保存至所述存储模块。
8.如权利要求5所述的用户安全登录方法,其特征在于,对所述登录请求所属的IP地址的验证失败次数进行累加并保存至存储模块之后,还包括:
在判定所述登录请求所属的IP地址的验证失败次数大于或等于所述第一预设次数时,对所述登录请求所属的IP地址的锁定次数进行累加并保存至所述存储模块;
在所述锁定次数达到第二预设次数时,控制告警模块进行告警。
9.一种用户安全登录系统,其特征在于,包括:
接收单元,用于接收用户端发送的通过第一密钥加密后的登录请求,所述登录请求包括验证码、用户名和密码;
解码单元,用于通过第二密钥对所述登录请求进行解码;
验证单元,用于对成功解码后的所述登录请求进行验证;
失败返回单元,用于若所述用户名和所述密码任一验证失败,则向所述用户端返回通过第三密钥加密后的用户名或密码错误信息;
成功返回单元,用于若所述验证码、所述用户名和所述密码均验证成功,则向所述用户端返回通过所述第三密钥加密后的登录成功信息。
10.一种用户安全登录装置,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序以实现如权利要求1至8任一项所述用户安全登录方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210760914.2A CN115174187A (zh) | 2022-06-30 | 2022-06-30 | 一种用户安全登录方法、系统及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210760914.2A CN115174187A (zh) | 2022-06-30 | 2022-06-30 | 一种用户安全登录方法、系统及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115174187A true CN115174187A (zh) | 2022-10-11 |
Family
ID=83488885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210760914.2A Pending CN115174187A (zh) | 2022-06-30 | 2022-06-30 | 一种用户安全登录方法、系统及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115174187A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116760638A (zh) * | 2023-08-17 | 2023-09-15 | 建信金融科技有限责任公司 | 信息处理方法、系统、电子设备及存储介质 |
| CN117455315A (zh) * | 2023-12-20 | 2024-01-26 | 合肥创诚科技信息技术有限公司 | 一种用于中小企业研发的项目数据管理系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040010710A1 (en) * | 2002-07-10 | 2004-01-15 | Wen-Hao Hsu | Method and system for filtering requests to a web site |
| CN104219228A (zh) * | 2014-08-18 | 2014-12-17 | 四川长虹电器股份有限公司 | 一种用户注册、用户识别方法及系统 |
| WO2015062398A1 (zh) * | 2013-10-28 | 2015-05-07 | 韩子天 | 信息系统访问认证方法及装置 |
| CN106302493A (zh) * | 2016-08-23 | 2017-01-04 | 王志强 | 通过多重验证实现笔录通信的方法、系统及设备 |
| CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
| CN108076054A (zh) * | 2017-11-30 | 2018-05-25 | 郑州云海信息技术有限公司 | 一种增强协议安全的方法和系统 |
| WO2019137193A1 (zh) * | 2018-01-10 | 2019-07-18 | 飞天诚信科技股份有限公司 | 硬件登录windows10以上系统的实现方法及装置 |
-
2022
- 2022-06-30 CN CN202210760914.2A patent/CN115174187A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040010710A1 (en) * | 2002-07-10 | 2004-01-15 | Wen-Hao Hsu | Method and system for filtering requests to a web site |
| WO2015062398A1 (zh) * | 2013-10-28 | 2015-05-07 | 韩子天 | 信息系统访问认证方法及装置 |
| CN104219228A (zh) * | 2014-08-18 | 2014-12-17 | 四川长虹电器股份有限公司 | 一种用户注册、用户识别方法及系统 |
| CN106302493A (zh) * | 2016-08-23 | 2017-01-04 | 王志强 | 通过多重验证实现笔录通信的方法、系统及设备 |
| CN107231346A (zh) * | 2017-05-03 | 2017-10-03 | 北京海顿中科技术有限公司 | 一种云平台身份识别的方法 |
| CN108076054A (zh) * | 2017-11-30 | 2018-05-25 | 郑州云海信息技术有限公司 | 一种增强协议安全的方法和系统 |
| WO2019137193A1 (zh) * | 2018-01-10 | 2019-07-18 | 飞天诚信科技股份有限公司 | 硬件登录windows10以上系统的实现方法及装置 |
Non-Patent Citations (2)
| Title |
|---|
| 宋云;李剑;沈冲;: "基于一次性密码的数据安全认证机制", 信息网络安全, no. 06, pages 71 - 73 * |
| 杨茜玲;刘志成;彭勇;: "谈网站中用户登录模块的安全性", 科技创新导报, no. 28, pages 13 * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116760638A (zh) * | 2023-08-17 | 2023-09-15 | 建信金融科技有限责任公司 | 信息处理方法、系统、电子设备及存储介质 |
| CN116760638B (zh) * | 2023-08-17 | 2023-10-27 | 建信金融科技有限责任公司 | 信息处理方法、系统、电子设备及存储介质 |
| CN117455315A (zh) * | 2023-12-20 | 2024-01-26 | 合肥创诚科技信息技术有限公司 | 一种用于中小企业研发的项目数据管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR102307665B1 (ko) | 신원 인증 | |
| US20190149536A1 (en) | Secure authentication systems and methods | |
| US7093291B2 (en) | Method and system for detecting and preventing an intrusion in multiple platform computing environments | |
| Kontaxis et al. | Sauth: Protecting user accounts from password database leaks | |
| CN115174187A (zh) | 一种用户安全登录方法、系统及装置 | |
| US8578173B2 (en) | Apparatus and method for providing secure communication on a network | |
| EP3726406B1 (en) | Preventing account lockout through request throttling | |
| US9660981B2 (en) | Strong authentication method | |
| US10277405B2 (en) | Method for updating seed data in dynamic token | |
| CN111182547B (zh) | 登录保护方法、装置及系统 | |
| US9954853B2 (en) | Network security | |
| EP2775658A2 (en) | A password based security method, systems and devices | |
| Kirushnaamoni | Defenses to curb online password guessing attacks | |
| US11616774B2 (en) | Methods and systems for detecting unauthorized access by sending a request to one or more peer contacts | |
| CN111835782A (zh) | 网络设备的登录防护方法、装置、存储介质和处理器 | |
| JP6842951B2 (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| Papaspirou et al. | Security Revisited: Honeytokens meet Google Authenticator | |
| Nagpal et al. | Preventive measures for securing web applications using broken authentication and session management attacks: A study | |
| CN117221019B (zh) | 访问控制方法、装置、电子设备及存储介质 | |
| JP2021082342A (ja) | 不正アクセス検出装置、プログラム及び方法 | |
| CN112615879A (zh) | 一种网络请求的处理方法及装置 | |
| CN116664124A (zh) | 联机授权方法、装置、电子设备和存储介质 | |
| CN117792743A (zh) | 认证方法、登录方法、登录认证方法和认证装置 | |
| KR20210126625A (ko) | 안전한 거래를 위한 방법 및 시스템 | |
| CN111787003A (zh) | 一种支持多因素认证的接口协议的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |