CN115632859A - 票据真伪鉴定方法、装置、设备及介质 - Google Patents

票据真伪鉴定方法、装置、设备及介质 Download PDF

Info

Publication number
CN115632859A
CN115632859A CN202211293062.7A CN202211293062A CN115632859A CN 115632859 A CN115632859 A CN 115632859A CN 202211293062 A CN202211293062 A CN 202211293062A CN 115632859 A CN115632859 A CN 115632859A
Authority
CN
China
Prior art keywords
bill
detected
grade
encryption
preset
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211293062.7A
Other languages
English (en)
Inventor
陈虹舟
王欣
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202211293062.7A priority Critical patent/CN115632859A/zh
Publication of CN115632859A publication Critical patent/CN115632859A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Power Engineering (AREA)
  • Inspection Of Paper Currency And Valuable Securities (AREA)

Abstract

本申请公开了一种票据真伪鉴定方法、装置、设备及介质,涉及计算机技术领域,该方法包括:获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。通过上述方案,不依赖于黑客工具或安全日志,基于有效期起始时间、续订时间、有效期结束时间、待检测属性和加密等级来进行鉴定,可以更加准确、全面的鉴定票据的真伪。

Description

票据真伪鉴定方法、装置、设备及介质
技术领域
本发明涉及计算机技术领域,特别涉及票据真伪鉴定方法、装置、设备及介质。
背景技术
Kerberos身份验证协议是Windows在基于域的环境中使用的首选身份验证机制,并与其他操作系统支持的Kerberos实现互操作,Kerberos协议依赖于密钥来保护身份验证。github的开源工具Mimikatz是安全研究人员用于渗透测试和研究目的的工具。因为它是公开可用的,所以也可能被恶意使用。在攻击者入侵系统并获得完全管理员权限后,该工具可以从内存中转储Windows凭据,如NT哈希和Kerberos票证,并执行散列传递和票证传递攻击Mimikatz包含一个名为Golden Ticket的功能。如果攻击者能够获得Windows域控制器上的完全管理员权限,则此功能允许攻击者伪造具有以下属性的特殊Kerberos TGT(Ticket Granting Ticket)票据:黄金票据,是一种为目标域的任何用户任意生成Kerberos TGT票据的方法,进而使得攻击者可以通过离线伪造黄金票据来冒充任何人包括域管理员帐户。一旦创建,这将允许攻击者访问模拟用户可用的其他资源,无需特权访问即可重播和使用黄金票据;并且重置被冒充账户的密码不会使伪造的黄金票据失效。
传统的EDR(Endpoint Detection&Response,即端点检测与响应)或者安全设备无法准确鉴定黄金票据是不是伪造的,大多数是利用现有的黑客工具中自带的黄金票据攻击的命令参数进行检测,或者是使用windows自带的安全日志来检测,如果存在黑客工具或安全日志以外的伪造方法可能就无法鉴定出真伪,因此这样的检测方式并不准确全面。
综上可见,如何更加准确、全面的鉴定票据的真伪是本领域有待解决的问题。
发明内容
有鉴于此,本发明的目的在于提供一种票据真伪鉴定方法、装置、设备及介质,能够更加准确、全面的鉴定票据的真伪。其具体方案如下:
第一方面,本申请公开了一种票据真伪鉴定方法,包括:
获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
可选的,所述获取待检测票据的有效期起始时间、续订时间和有效期结束时间,包括:
通过终端侧利用身份验证交互函数和查询参数获取待检测票据的有效期起始时间、续订时间和有效期结束时间;
相应的,所述检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级,包括:
利用klist获取所述待检测票据进行域控交互后返回的票据,并判断该票据中密钥分发中心设置的属性信息是否为空,若为空则确定所述待检测票据的加密类型等级和预设加密等级。
可选的,所述检查所述待检测票据的待检测属性是否满足预设条件,包括:
判断所述终端侧的目标系统是否已调用所述身份验证交互函数和提交参数进行票据注入,若是则检查所述待检测票据的待检测属性是否满足预设条件;
相应的,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
查询所述目标系统中历史票据的预设加密类型和所述待检测票据的加密类型,并确定出所述预设加密类型的预设加密等级以及所述加密类型的加密类型等级。
可选的,所述获取待检测票据的有效期起始时间、续订时间和有效期结束时间,包括:
通过流量侧对kerberos流量进行解密处理,以得到所述待检测票据的所述有效期起始时间、所述续订时间和所述有效期结束时间。
可选的,所述检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级,包括:
检查所述待检测票据的特权属性证书中域内用户域名信息属性结构是否为空,若为空则判断所述特权属性证书中登录信息属性值是否为无限大,若是则确定所述待检测票据的加密类型等级和预设加密等级。
可选的,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
获取所述特权属性证书中用户名和用户唯一标识,并判断所述用户名和所述用户唯一标识是否匹配,若不匹配则确定所述待检测票据的加密类型等级和预设加密等级。
可选的,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
获取所述特权属性证书中UserRID500的请求源地址,并判断所述请求源地址是否在预设白名单中,若否,则确定所述待检测票据的加密类型等级以及与所述待检测票据对应的服务请求票据的预设加密等级。
第二方面,本申请公开了一种票据真伪鉴定装置,包括:
检测模块,用于获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
加密等级确定模块,用于若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断模块,用于判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
第三方面,本申请公开了一种电子设备,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现前述公开的票据真伪鉴定方法的步骤。
第四方面,本申请公开了一种计算机可读存储介质,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现前述公开的票据真伪鉴定方法的步骤。
可见,本申请获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。由此可见,本申请首先基于待检测票据的有效期起始时间、续订时间和有效期结束时间是否满足预设匹配条件,即可以检测待检测票据的待检测票据的有效期起始时间、续订时间和有效期结束时间是否存在异常情况,然后再查看待检测属性是否异常,如果异常则检查待检测票据的加密类型等级小于所述预设加密等级,如果也小于则说明待检测票据是伪造票据,因此本申请无需依赖黑客工具、安全日志进行检测,而是从伪造票据的过程具体分析,更加直接全面、准确。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请公开的一种票据真伪鉴定方法流程图;
图2为本申请公开的一种具体的票据真伪鉴定方法流程图;
图3为本申请公开的一种具体的票据真伪鉴定方法流程图;
图4为本申请公开的一种票据真伪鉴定装置结构示意图;
图5为本申请公开的一种电子设备结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
Kerberos身份验证协议是Windows在基于域的环境中使用的首选身份验证机制,并与其他操作系统支持的Kerberos实现互操作,Kerberos协议依赖于密钥来保护身份验证。github的开源工具Mimikatz是安全研究人员用于渗透测试和研究目的的工具。因为它是公开可用的,所以也可能被恶意使用。在攻击者入侵系统并获得完全管理员权限后,该工具可以从内存中转储Windows凭据,如NT哈希和Kerberos票证,并执行散列传递和票证传递攻击Mimikatz包含一个名为Golden Ticket的功能。如果攻击者能够获得Windows域控制器上的完全管理员权限,则此功能允许攻击者伪造具有以下属性的特殊Kerberos TGT票据:黄金票据,是一种为目标域的任何用户任意生成Kerberos TGT票据的方法,进而使得攻击者可以通过离线伪造黄金票据来冒充任何人包括域管理员帐户。一旦创建,这将允许攻击者访问模拟用户可用的其他资源,无需特权访问即可重播和使用黄金票据;并且重置被冒充账户的密码不会使伪造的黄金票据失效。
传统的EDR或者安全设备无法准确鉴定黄金票据是不是伪造的,大多数是利用现有的黑客工具中自带的黄金票据攻击的命令参数进行检测,或者是使用windows自带的安全日志来检测,如果存在黑客工具或安全日志以外的伪造方法可能就无法鉴定出真伪,因此这样的检测方式并不准确全面。
为此本申请相应的提供了一种票据真伪鉴定方案,能够更加准确、全面的鉴定票据的真伪。
参见图1所示,本申请实施例公开了一种票据真伪鉴定方法,包括:
步骤S11:获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件。
本实施例中,如果需要获取相应的资源时,存在有效的Kerberos客户端黄金票据(TGT),则利用该黄金票据去申请服务请求票据(ST),应用程序服务器验证服务请求票据,如果验证成功,则允许获取资源,进而导致攻击者可以利用伪造的黄金票据获取合法的服务请求票据,因此如何鉴定黄金票据时伪造的还是合法的就非常重要。现有技术中,检测出存在申请黄金票据的请求日志来判定待检测票据不是为伪造票据,如果不存在则为伪造票据,但是如果待检测票据是合法且在有效期内,那么合法申请资源时,也不会去重新申请黄金票据,进而也就不存在申请黄金票据的请求日志,由此可知现有技术过于绝对,准确度低。本实施例通过在伪造黄金票据时的方法和设置的相关参数,反推出具体的检测方法,更加准确。
本实施例中,在鉴定黄金票据真伪时,可以通过终端侧或者流量侧进行检测。如果通过终端侧则可以直接获取待检测票据的有效期起始时间、续订时间和有效期结束时间,而如果通过流量侧则需要对流量进行解密,流量侧例如为防火墙,流量即为交互时产生的数据,由于大部分交互过程为了提高安全性,多数都进行加密,所以如果需要获取有效期起始时间、续订时间和有效期结束时间,则需要解密,才能获取有效期起始时间、续订时间和有效期结束时间。
可以理解的是,因为票据的有效起始时间与有效结束时间之间的间隔应该为8至10个小时,续订时间应该为有效结束时间的7天后,所以可以利用这一匹配关系来检测待检测票据是否满足预设匹配条件。
步骤S12:若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级。
本实施例中,如果不满足预设匹配条件,有很大概率待检测票据是伪造的,但是由于合法管理员也可以修改相关时间,所以为了更加准确的鉴定真伪,可以通过终端侧或者流量侧检查待检测票据的待检测属性,如果从终端侧检查,则检查密钥分发中心设置的属性信息是否为空,如果是从流量侧检查则检查特权属性证书中域内用户名信息属性结构是否为空以及登录信息属性值是否为无限大。
步骤S13:判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
本实施例中,检测加密类型等级是否不小于预设加密等级也可以有两种,一种是从终端侧检测加密类型等级是否不小于预设加密等级,另一种是从流量侧检测加密类型等级是否不小于预设加密等级,因为设置了预设加密等级,合法的黄金票据的加密类型等级均与预设加密等级相匹配,而伪造的黄金票据可能会由于不知道预设加密等级或者无法支持与预设加密等级相匹配的加密方法,因此导致伪造的黄金票据的加密类型等级与预设加密等级不匹配。
参见图2所示,本申请实施例公开了一种具体的票据真伪鉴定方法,包括:
步骤S21:通过终端侧利用身份验证交互函数和查询参数获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件。
本实施例中,票据的有效起始时间与有效结束时间之间的间隔应该为8至10个小时,续订时间应该为有效结束时间的7天后,所以可以在终端侧检测利用这一匹配关系来检测待检测票据是否满足预设匹配条件,可以理解的是,身份验证交互函数可以为lsacallauthenticationpackage函数,查询参数可以为KerbQueryTicketCacheEx3Message参数。
步骤S22:若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则利用klist获取所述待检测票据进行域控交互后返回的票据,并判断该票据中密钥分发中心设置的属性信息是否为空,若为空则确定所述待检测票据的加密类型等级和预设加密等级。
本实施例中,例如利用身份验证交互函数和查询参数获取待检测票据的有效期起始时间为2022年8月22日,有效期结束时间是2032年8月19日,续订时间也是2032年8月19日,因此可以得出待检测票据并不满足于是匹配关系,但是也存在者着是合法管理员修改了相关时间,导致了这一现象,因此还可以进一步检查相关属性信息。当票据注入到内存中之后,可以通过klist查询待检测票据进行域控交互后返回的票据,合法的黄金票据会与域控交互,而伪造的黄金票据则不会,因此票据中密钥分发中心设置的KDC属性信息为空。
本实施例中,所述检查所述待检测票据的待检测属性是否满足预设条件,具体包括:判断所述终端侧的目标系统是否已调用所述身份验证交互函数和提交参数进行票据注入,若是则检查所述待检测票据的待检测属性是否满足预设条件。由于伪造出来的票据必须注入到lsass的缓存票据中才能使用,要注入票据必须使用身份验证交互函数,并且同时需要提交参数才能将指定票据注入内存中,而这种函数通常只会被系统进程调用,因此可以监控该函数的调用,如果是第三方工具调用身份验证交互函数和提交参数,可以确定是票据注入攻击,也即待检测票据是伪造的。其中,提交参数可以为kerbsubmitticketmessage参数。
本实施例中,查询所述目标系统中历史票据的预设加密类型和所述待检测票据的加密类型,并确定出所述预设加密类型的预设加密等级以及所述加密类型的加密类型等级。若是从终端侧鉴定待检测票据是否为伪造票据,那么可以查看历史黄金票据的加密类型等级,也即预设加密等级。
步骤S23:判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
本实施例中,因为攻击者是可以制定票据以及会话密钥的加密类型,默认支持AES(Advanced Encryption Standard,高级加密标准)-256、AES-128、RC(Rivest Cipher)-4、DES(Data Encryption Standard,即数据加密标准)-4种加密方式,默认制作是RC-4加密的票据,因为高版本系统不支持AES加密。例如历史黄金票据的预设加密类型都是AES-256,而伪造的黄金票据是RC4-HMAC,系统默认都会使用相同的支持的加密等级最高的加密方式进行加密,而这里存在一个低版本的RC4加密类型属于异常现象。可以通过lsacallauthenticationpackage函数传入KerbQueryTicketCacheEx3Message参数用来检测待检测票据是否存在异常加密类型的情况。
由此可见,本申请可以在终端侧全方位的鉴定待检测黄金票据中可能存在异常情况,进而更加全面、准确,无需依赖黑客工具、安全日志,利用伪造票据方法合理鉴定可能出现的异常点。
参见图3所示,本申请实施例公开了一种具体的票据真伪鉴定方法,包括:
步骤S31:通过流量侧对kerberos流量进行解密处理,以得到所述待检测票据的所述有效期起始时间、所述续订时间和所述有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件。
步骤S32:若不满足,则检查所述待检测票据的特权属性证书中域内用户域名信息属性结构是否为空,若为空则判断所述特权属性证书中登录信息属性值是否为无限大,若是则确定所述待检测票据的加密类型等级和预设加密等级。
可以理解的是,如果黄金票据是伪造的,那么TGT票据中存在特权属性证书(Privilege Attribute Certificate,即PAC)属性工具中代码填充PAC结构时并未填充域内用户域名信息(UPN DNS info)属性结构,而真实的TGT票据中的PAC属性结构是存在的。PAC中的登录信息(Logon info)属性,合法的logon info属性值是为相应的数值,由于攻击者伪造票据时是在没有做域内信息收集之前,是无法知道pwd last set以及pwd canchange属性值的,所以登录信息属性值只能填充为infinity(无限大),例如相应的属性值都填充为0x7fffffffffffffff,即无限大。
本实施例中,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:获取所述特权属性证书中用户名和用户唯一标识,并判断所述用户名和所述用户唯一标识是否匹配,若不匹配则确定所述待检测票据的加密类型等级和预设加密等级。TGT票据的PAC结构体中会存储待检测票据的用户名以及RID(用户唯一标识)值,域管用户的RID为500,因此可以解密流量后查看acct name是否跟RID匹配,若test1的RID为1107,没有与500匹配,进而可以确定为伪造的域管权限的票据,即伪造的黄金票据。
本实施例中,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:获取所述特权属性证书中UserRID500的请求源地址,并判断所述请求源地址是否在预设白名单中,若否,则确定所述待检测票据的加密类型等级以及与所述待检测票据对应的服务请求票据的预设加密等级。查看域管用户是否在非白名单的IP(Internet Protocol,即网际互连协议)登录过的行为来确定是否有攻击行为,这里不通过用户名来确定是否是域管用户,因为攻击者可以使用黄金票据伪造任意拥有域管权限的域用户,这里我们使用PAC结构体里面的UserRID500来确定是否是域管用户,通过UserRID500的请求的源IP地址是否在白名单中来确定有没有攻击行为发生。
步骤S33:判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
本实施例中,例如可以从tgs-req看到padata携带的ticket加密类型以及authorization加密类型都是17,但是etype支持5种加密类型包括256,一般来说协商加密类型以双方支持的最高的加密类型为准,从tgs-rep的回包中可以看到返回的ST票据是18,那说明一开始双方就支持18加密,那么req请求中携带17的TGT票据就不正常,同时enc-part是使用的会话密钥加密我们知道mimikatz代码中将票据加密类型与会话密钥加密类型设置的都是一样的,所以这里也是17这里面也保存了下一阶段的会话密钥,也即待检测票据的加密类型等级为17,小于预设加密等级18,所以可以判定待检测票据是伪造票据。
由此可见,本实施例从流量侧出发,基于伪造票据的过程,反推出可能存在异常的鉴定点,可以基于鉴定点是否存在异常,推理出待检测票据是否为伪造票据,更加准确、全面。
参见图4所示,本申请实施例公开了一种票据真伪鉴定装置,包括:
检测模块11,用于获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
加密等级确定模块12,用于若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断模块13,用于判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
可见,本申请获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。由此可见,本申请首先基于待检测票据的有效期起始时间、续订时间和有效期结束时间是否满足预设匹配条件,即可以检测待检测票据的待检测票据的有效期起始时间、续订时间和有效期结束时间是否存在异常情况,然后再查看待检测属性是否异常,如果异常则检查待检测票据的加密类型等级小于所述预设加密等级,如果也小于则说明待检测票据是伪造票据,因此本申请无需依赖黑客工具、安全日志进行检测,而是从伪造票据的过程具体分析,更加直接全面、准确。
进一步的,本申请实施例还提供了一种电子设备。图5是根据一示例性实施例示出的电子设备20结构图,图中的内容不能认为是对本申请的使用范围的任何限制。
图5为本申请实施例提供的一种电子设备的结构示意图。具体可以包括:至少一个处理器21、至少一个存储器22、电源23、通信接口24、输入输出接口25和通信总线26。其中,所述存储器22用于存储计算机程序,所述计算机程序由所述处理器21加载并执行,以实现以下步骤:
获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,具体可以实现以下步骤:
通过终端侧利用身份验证交互函数和查询参数获取待检测票据的有效期起始时间、续订时间和有效期结束时间;
相应的,所述检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级,包括:
利用klist获取所述待检测票据进行域控交互后返回的票据,并判断该票据中密钥分发中心设置的属性信息是否为空,若为空则确定所述待检测票据的加密类型等级和预设加密等级。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,具体可以实现以下步骤:
判断所述终端侧的目标系统是否已调用所述身份验证交互函数和提交参数进行票据注入,若是则检查所述待检测票据的待检测属性是否满足预设条件;
相应的,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
查询所述目标系统中历史票据的预设加密类型和所述待检测票据的加密类型,并确定出所述预设加密类型的预设加密等级以及所述加密类型的加密类型等级。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,具体可以实现以下步骤:
通过流量侧对kerberos流量进行解密处理,以得到所述待检测票据的所述有效期起始时间、所述续订时间和所述有效期结束时间。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,具体可以实现以下步骤:
检查所述待检测票据的特权属性证书中域内用户域名信息属性结构是否为空,若为空则判断所述特权属性证书中登录信息属性值是否为无限大,若是则确定所述待检测票据的加密类型等级和预设加密等级。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,具体可以实现以下步骤:
获取所述特权属性证书中用户名和用户唯一标识,并判断所述用户名和所述用户唯一标识是否匹配,若不匹配则确定所述待检测票据的加密类型等级和预设加密等级。
在一些具体实施方式中,所述处理器通过执行所述存储器中保存的计算机程序,还可以进一步包括以下步骤:
获取所述特权属性证书中UserRID500的请求源地址,并判断所述请求源地址是否在预设白名单中,若否,则确定所述待检测票据的加密类型等级以及与所述待检测票据对应的服务请求票据的预设加密等级。
本实施例中,电源23用于为电子设备上的各硬件设备提供工作电压;通信接口24能够为电子设备创建与外界设备之间的数据传输通道,其所遵循的通信协议是能够适用于本申请技术方案的任意通信协议,在此不对其进行具体限定;输入输出接口25,用于获取外界输入数据或向外界输出数据,其具体的接口类型可以根据具体应用需要进行选取,在此不进行具体限定。
其中,处理器21可以包括一个或多个处理核心,比如4核心处理器、8核心处理器等。处理器21可以采用DSP(Digital Signal Processing,数字信号处理)、FPGA(Field-Programmable Gate Array,现场可编程门阵列)、PLA(Programmable Logic Array,可编程逻辑阵列)中的至少一种硬件形式来实现。处理器21也可以包括主处理器和协处理器,主处理器是用于对在唤醒状态下的数据进行处理的处理器,也称CPU(Central ProcessingUnit,中央处理器);协处理器是用于对在待机状态下的数据进行处理的低功耗处理器。在一些实施例中,处理器21可以在集成有GPU(Graphics Processing Unit,图像处理器),GPU用于负责显示屏所需要显示的内容的渲染和绘制。一些实施例中,处理器21还可以包括AI(Artificial Intelligence,人工智能)处理器,该AI处理器用于处理有关机器学习的计算操作。
另外,存储器22作为资源存储的载体,可以是只读存储器、随机存储器、磁盘或者光盘等,其上所存储的资源包括操作系统221、计算机程序222及数据223等,存储方式可以是短暂存储或者永久存储。
其中,操作系统221用于管理与控制电子设备上的各硬件设备以及计算机程序222,以实现处理器21对存储器22中海量数据223的运算与处理,其可以是Windows、Unix、Linux等。计算机程序222除了包括能够用于完成前述任一实施例公开的由电子设备执行的票据真伪鉴定方法的计算机程序之外,还可以进一步包括能够用于完成其他特定工作的计算机程序。数据223除了可以包括电子设备接收到的由外部设备传输进来的数据,也可以包括由自身输入输出接口25采集到的数据等。
进一步的,本申请实施例还公开了一种计算机可读存储介质,所述存储介质中存储有计算机程序,所述计算机程序被处理器加载并执行时,实现前述任一实施例公开的由票据真伪鉴定过程中执行的方法步骤。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上对本发明所提供的一种票据真伪鉴定方法、装置、设备及介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。

Claims (10)

1.一种票据真伪鉴定方法,其特征在于,包括:
获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
2.根据权利要求1所述的票据真伪鉴定方法,其特征在于,所述获取待检测票据的有效期起始时间、续订时间和有效期结束时间,包括:
通过终端侧利用身份验证交互函数和查询参数获取待检测票据的有效期起始时间、续订时间和有效期结束时间;
相应的,所述检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级,包括:
利用klist获取所述待检测票据进行域控交互后返回的票据,并判断该票据中密钥分发中心设置的属性信息是否为空,若为空则确定所述待检测票据的加密类型等级和预设加密等级。
3.根据权利要求2所述的票据真伪鉴定方法,其特征在于,所述检查所述待检测票据的待检测属性是否满足预设条件,包括:
判断所述终端侧的目标系统是否已调用所述身份验证交互函数和提交参数进行票据注入,若是则检查所述待检测票据的待检测属性是否满足预设条件;
相应的,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
查询所述目标系统中历史票据的预设加密类型和所述待检测票据的加密类型,并确定出所述预设加密类型的预设加密等级以及所述加密类型的加密类型等级。
4.根据权利要求1所述的票据真伪鉴定方法,其特征在于,所述获取待检测票据的有效期起始时间、续订时间和有效期结束时间,包括:
通过流量侧对kerberos流量进行解密处理,以得到所述待检测票据的所述有效期起始时间、所述续订时间和所述有效期结束时间。
5.根据权利要求4所述的票据真伪鉴定方法,其特征在于,所述检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级,包括:
检查所述待检测票据的特权属性证书中域内用户域名信息属性结构是否为空,若为空则判断所述特权属性证书中登录信息属性值是否为无限大,若是则确定所述待检测票据的加密类型等级和预设加密等级。
6.根据权利要求5所述的票据真伪鉴定方法,其特征在于,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
获取所述特权属性证书中用户名和用户唯一标识,并判断所述用户名和所述用户唯一标识是否匹配,若不匹配则确定所述待检测票据的加密类型等级和预设加密等级。
7.根据权利要求5所述的票据真伪鉴定方法,其特征在于,所述确定所述待检测票据的加密类型等级和预设加密等级,包括:
获取所述特权属性证书中UserRID500的请求源地址,并判断所述请求源地址是否在预设白名单中,若否,则确定所述待检测票据的加密类型等级以及与所述待检测票据对应的服务请求票据的预设加密等级。
8.一种票据真伪鉴定装置,其特征在于,包括:
检测模块,用于获取待检测票据的有效期起始时间、续订时间和有效期结束时间,并检测所述有效期起始时间、所述续订时间和所述有效期结束时间之间是否满足预设匹配条件;
加密等级确定模块,用于若不满足,则检查所述待检测票据的待检测属性是否满足预设条件,若不满足则确定所述待检测票据的加密类型等级和预设加密等级;
判断模块,用于判断所述加密类型等级是否不小于所述预设加密等级,若否则判定所述待检测票据为伪造票据。
9.一种电子设备,其特征在于,包括:
存储器,用于保存计算机程序;
处理器,用于执行所述计算机程序,以实现如权利要求1至7任一项所述的票据真伪鉴定方法的步骤。
10.一种计算机可读存储介质,其特征在于,用于存储计算机程序;其中,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的票据真伪鉴定方法的步骤。
CN202211293062.7A 2022-10-21 2022-10-21 票据真伪鉴定方法、装置、设备及介质 Pending CN115632859A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211293062.7A CN115632859A (zh) 2022-10-21 2022-10-21 票据真伪鉴定方法、装置、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211293062.7A CN115632859A (zh) 2022-10-21 2022-10-21 票据真伪鉴定方法、装置、设备及介质

Publications (1)

Publication Number Publication Date
CN115632859A true CN115632859A (zh) 2023-01-20

Family

ID=84906842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211293062.7A Pending CN115632859A (zh) 2022-10-21 2022-10-21 票据真伪鉴定方法、装置、设备及介质

Country Status (1)

Country Link
CN (1) CN115632859A (zh)

Similar Documents

Publication Publication Date Title
CN109522726B (zh) 小程序的鉴权方法、服务器及计算机可读存储介质
CN111708991B (zh) 服务的授权方法、装置、计算机设备和存储介质
US6510523B1 (en) Method and system for providing limited access privileges with an untrusted terminal
CN109787988A (zh) 一种身份加强认证和鉴权方法及装置
CN112000951B (zh) 一种访问方法、装置、系统、电子设备及存储介质
US8953805B2 (en) Authentication information generating system, authentication information generating method, client apparatus, and authentication information generating program for implementing the method
US9767262B1 (en) Managing security credentials
CN107483495B (zh) 一种大数据集群主机管理方法、管理系统及服务端
CN106302606B (zh) 一种跨应用访问方法及装置
CN110175466B (zh) 开放平台的安全管理方法、装置、计算机设备及存储介质
CN112187931A (zh) 会话管理方法、装置、计算机设备和存储介质
US11444936B2 (en) Managing security credentials
WO2021137769A1 (en) Method and apparatus for sending and verifying request, and device thereof
CN112653671A (zh) 一种客户端与服务端的网络通信方法、装置、设备及介质
CN116108416A (zh) 一种应用程序接口安全防护方法及系统
US9158938B1 (en) Secure data entry based on a request in an electronic document
CN108900595B (zh) 访问云存储服务器数据的方法、装置、设备及计算介质
CN112953720A (zh) 一种网络请求处理方法、装置、设备及存储介质
CN111611620A (zh) 一种访问平台的访问请求处理方法及相关装置
CN115632859A (zh) 票据真伪鉴定方法、装置、设备及介质
CN114640524A (zh) 用于处理交易重放攻击的方法、装置、设备及介质
CN113468591A (zh) 数据访问方法、系统、电子设备及计算机可读存储介质
CN114024682A (zh) 跨域单点登录方法、服务设备及认证设备
CN108289102B (zh) 一种微服务接口安全调用装置
CN112926101A (zh) 磁盘分区加密方法、系统、设备,以及计算机可读介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination