CN117811847B - 一种基于公网与内网结合的人机验证方法以及装置 - Google Patents
一种基于公网与内网结合的人机验证方法以及装置 Download PDFInfo
- Publication number
- CN117811847B CN117811847B CN202410232331.1A CN202410232331A CN117811847B CN 117811847 B CN117811847 B CN 117811847B CN 202410232331 A CN202410232331 A CN 202410232331A CN 117811847 B CN117811847 B CN 117811847B
- Authority
- CN
- China
- Prior art keywords
- client
- man
- machine verification
- workload
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012795 verification Methods 0.000 title claims abstract description 167
- 238000000034 method Methods 0.000 title claims abstract description 24
- 238000012545 processing Methods 0.000 claims description 6
- 230000002159 abnormal effect Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 abstract description 15
- 230000009286 beneficial effect Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 201000009032 substance abuse Diseases 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000013468 resource allocation Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供了一种基于公网与内网结合的人机验证方法以及装置,属于网络安全技术领域,方法包括:向内网的应用防火墙发起访问请求,以使应用防火墙对访问请求是否携带有令牌进行检验,在访问请求未携带有令牌的情况下,返回人机验证通知;根据人机验证通知,向公网的服务端发起人机验证请求,以使服务端对人机验证请求进行验证,在人机验证通过的情况下,返回工作量证明题目;对工作量证明题目进行计算;向服务端提交工作量证明计算结果,以使服务端对工作量证明计算结果进行检验,在工作量证明计算结果正确的情况下,返回令牌;向应用防火墙发起携带有令牌的访问请求,以使应用防火墙对令牌进行校验,当令牌校验成功时,放行访问请求。
Description
技术领域
本申请各实施例属于网络安全技术领域,具体涉及一种基于公网与内网结合的人机验证方法以及装置。
背景技术
人机验证作为一种“攻防对抗”的场景,无论是采用算术验证码、图片验证码、滑块验证码等形式,如果人机验证的规则一直保持不更新,那么攻击者早晚会破解现有的防护规则,使得人机验证的防护失效。
传统实现方案都是把人机验证规则内置在WAF(Web Application Firewall,应用防火墙)里面。但是,因为一般情况下WAF都是私有化部署在用内网,而且作为一个串联的流量设备,更新人机验证规则时往往会被业务流量产生影响,很难频繁对WAF进行升级,导致网络安全性降低。即使是单独升级WAF的人机验证规则,也存在影响后续业务的风险,这种情况下又需要人机验证具备可动态降级的能力。
发明内容
为了解决现有技术存在的更新人机验证规则时往往会被业务流量产生影响,很难频繁对WAF进行升级,导致网络安全性降低,即使是单独升级WAF的人机验证规则,也存在影响后续业务的风险的技术问题,本发明提供了一种基于公网与内网结合的人机验证方法及装置。
第一方面,本发明提供了一种基于公网与内网结合的人机验证方法,应用于客户端,包括:
向内网的应用防火墙发起访问请求,以使所述应用防火墙对所述访问请求是否携带有令牌进行检验,在所述访问请求未携带有令牌的情况下,返回人机验证通知;
根据所述人机验证通知,向公网的服务端发起人机验证请求,以使所述服务端对所述人机验证请求进行验证,在人机验证通过的情况下,返回工作量证明题目;
对所述工作量证明题目进行计算;
向所述服务端提交工作量证明计算结果,以使所述服务端对所述工作量证明计算结果进行检验,在所述工作量证明计算结果正确的情况下,返回令牌;
向所述应用防火墙发起携带有所述令牌的访问请求,以使所述应用防火墙对所述令牌进行校验,当所述令牌校验成功时,所述应用防火墙放行所述访问请求。
第二方面,本发明提供了一种基于公网与内网结合的人机验证装置,应用于客户端,包括:
第一发起模块,用于向内网的应用防火墙发起访问请求,以使所述应用防火墙对所述访问请求是否携带有令牌进行检验,在所述访问请求未携带有令牌的情况下,返回人机验证通知;
第二发起模块,用于根据所述人机验证通知,向公网的服务端发起人机验证请求,以使所述服务端对所述人机验证请求进行验证,在人机验证通过的情况下,返回工作量证明题目;
计算模块,用于对所述工作量证明题目进行计算;
提交模块,用于向所述服务端提交工作量证明计算结果,以使所述服务端对所述工作量证明计算结果进行检验,在所述工作量证明计算结果正确的情况下,返回令牌;
第三发起模块,用于向所述应用防火墙发起携带有所述令牌的访问请求,以使所述应用防火墙对所述令牌进行校验,当所述令牌校验成功时,所述应用防火墙放行所述访问请求。
第三方面,本发明提供了一种基于公网与内网结合的人机验证方法,应用于服务端,包括:
接收客户端发起的人机验证请求;
对所述人机验证请求进行验证;
在人机验证通过的情况下,向所述客户端返回工作量证明题目,以使所述客户端对所述工作量证明题目进行计算;
接收所述客户端的工作量证明计算结果;
对所述工作量证明计算结果进行检验;
在所述工作量证明计算结果正确的情况下,向所述客户端返回令牌。
第四方面,本发明提供了一种基于公网与内网结合的人机验证装置,应用于服务端,包括:
第一接收模块,用于接收所述客户端发起的人机验证请求;
验证模块,用于对所述人机验证请求进行验证;
第一返回模块,用于在人机验证通过的情况下,向所述客户端返回工作量证明题目,以使所述客户端对所述工作量证明题目进行计算;
第二接收模块,用于接收所述客户端的工作量证明计算结果;
校验模块,用于对所述工作量证明计算结果进行检验;
第二返回模块,用于在所述工作量证明计算结果正确的情况下,向所述客户端返回令牌。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求,在公网更新人机验证规则时不会被内网的业务流量产生影响,也不会被后续业务产生影响,可以频繁地对人机验证规则进行更新,以提升网络安全性。
附图说明
图1是本发明提供的一种基于公网与内网结合的人机验证方法的流程示意图。
图2是本发明提供的一种基于公网与内网结合的人机验证装置的结构示意图。
图3是本发明提供的另一种基于公网与内网结合的人机验证方法的流程示意图。
图4是本发明提供的另一种基于公网与内网结合的人机验证装置的结构示意图。
此处所说明的附图用来提供对本申请的进一步理解,构成本申请的一部分,本申请的示意性实施例及其说明用于解释本申请,并不构成对本申请的不当限定。后文将参照附图以示例性而非限制性的方式详细描述本申请的一些具体实施例。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获取的所有其他实施例,都应当属于本申请保护的范围。
第一方面,参考说明书附图1,示出了本发明实施例提供的一种基于公网与内网结合的人机验证方法的流程示意图。
其中,公网是指连接全球各地的计算机网络,最著名的就是互联网。在公网上,信息可以通过全球范围内的设备进行传输和共享。
其中,内网是一个私有网络,通常是组织、公司或家庭内部的网络。它不直接连接到全球互联网,而是为了组织内部的通信和资源共享而设立的网络。
本发明提供了一种基于公网与内网结合的人机验证方法,应用于客户端,包括:
S101:向内网的应用防火墙发起访问请求,以使应用防火墙对访问请求是否携带有令牌进行检验,在访问请求未携带有令牌的情况下,返回人机验证通知。
其中,应用防火墙是一种网络安全设备,用于监控、过滤和控制网络流量,以确保应用程序在网络上的安全运行。与传统防火墙不同,应用防火墙关注的重点是应用层面的安全性,而不仅仅是网络层次。它可以检测和阻止对特定应用程序的恶意访问,保护网络不受各种网络攻击的侵害。
其中,在网络安全领域,令牌通常是一种用于验证身份的安全凭证。令牌可以包括各种形式,例如密码、数字证书、访问令牌等。在上述描述的人机验证方法中,令牌可能是一种用于验证客户端身份的机制,客户端需携带令牌以向内网的应用防火墙发起访问请求。
其中,人机验证是一种用于确认用户身份的安全措施,以防止自动化程序或机器人对系统进行恶意访问。典型的人机验证包括图形验证码、数字验证码、工作量证明(如图灵测试)等。在这种情况下,人机验证用于确认客户端是一个真实的人而不是自动程序。人机验证的目的是增加系统的安全性,防止恶意攻击和非法访问。
具体而言,令牌可以指示当前访问请求是否经过公网的服务端的人机验证服务的验证。内网的应用防火墙仅需校验令牌,即可确定是否需要放行访问请求。
在本发明中,公网服务端负责人机验证的逻辑,内网应用防火墙只需验证令牌即可,这使得在更新人机验证规则时不会对内网的业务流量产生影响。这种分离可以让网络管理员更灵活地调整和更新验证规则,提高网络安全性。
S102:根据人机验证通知,向公网的服务端发起人机验证请求,以使服务端对人机验证请求进行验证,在人机验证通过的情况下,返回工作量证明题目。
其中,工作量证明(Proof of Work,PoW)在密码学和计算机科学领域是一种用于防范滥用服务的机制。它通常要求用户或客户端进行一些计算工作,以证明其对系统的合法性和诚实性。
在本发明中,在人机验证通过的情况下,返回工作量证明题目给客户端进行计算,工作量证明的计算要求客户端进行一定的工作,使得自动化攻击更为困难,有助于提高系统的安全性、性能和可维护性。S103:对工作量证明题目进行计算。
在一种可能的实施方式中,S103具体包括:子步骤S1031至S1034:
S1031:获取服务端返回的一个随机的前缀字符串。
需要说明的是,在随机前缀字符串中引入了随机性,使得每次计算工作量证明的题目都是不同的,这使得攻击者难以预测下一个工作量证明题目的具体内容,提高了系统的安全性。
S1032:在前缀字符串之后补充字符,拼接形成新字符串。
S1033:计算拼接形成新字符串的sha256值。
S1034:当sha256值的前20位均为0时,将当前sha256值作为工作量证明题目的计算结果。
需要说明的是,要求SHA256值的前20位均为0,这是一个相当困难的条件。计算SHA256值并使其前20位为0需要进行多次尝试,即增加了计算的难度。这样的设计增加了攻击者成功猜测或暴力破解工作量证明的难度。
在本发明中,工作量证明的目的是要求客户端执行一定的计算工作,从而使得恶意行为变得更加困难。通过引入随机性和计算难度,可以有效提高系统的安全性,防止滥用和攻击。
S104:向服务端提交工作量证明计算结果,以使服务端对工作量证明计算结果进行检验,在工作量证明计算结果正确的情况下,返回令牌。
需要说明的是,通过要求客户端完成一定的计算工作并提交计算结果,服务端可以确保客户端是一个真实的、主动参与的实体,有助于防止自动化程序、机器人或其他恶意实体对系统进行滥用。同时,工作量证明要求客户端进行一定的计算工作,这增加了攻击者发起垃圾请求(例如DDoS攻击)的难度,攻击者需要投入更多的计算资源,使得滥用系统的成本变得更高。
在本发明中,通过要求客户端提交工作量证明计算结果,服务端可以确保访问者是真实的、愿意参与验证的实体,从而增加系统的安全性,减少滥用风险,提高整体的稳定性。
S105:向应用防火墙发起携带有令牌的访问请求,以使应用防火墙对令牌进行校验,当令牌校验成功时,应用防火墙放行访问请求。
进一步地,当令牌校验失败时,应用防火墙拦截访问请求。
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求。公网服务端负责人机验证的逻辑,内网应用防火墙只需验证令牌即可,这使得在更新人机验证规则时不会对内网的业务流量产生影响。这种分离可以让网络管理员更灵活地调整和更新验证规则,提高网络安全性。
在一种可能的实施方式中,应用防火墙对令牌进行校验,具体包括:
校验令牌是否为服务端签发。若是,进入下一步,否则,校验失败,和/或。
需要说明的是,校验令牌是否为服务端签发,可以确保令牌的合法性。这防止了攻击者使用伪造的令牌尝试访问系统。只有由合法的服务端签发的令牌才能通过验证,增加了系统的安全性。
校验发起访问请求的IP地址是否与令牌中的IP地址一致,若是,进入下一步,否则,校验失败,和/或。
需要说明的是,校验发起访问请求的IP地址是否与令牌中的IP地址一致,有助于防止令牌被转发到其他未经授权的设备上。这增加了对令牌的使用环境的控制,防范了一些可能的攻击手段。
校验当前时间是否处于令牌的有效期内,若是,校验成功,否则,校验失败。
需要说明的是,校验当前时间是否处于令牌的有效期内,有助于确保令牌在规定的时间内仍然有效。这防止了使用已过期的令牌进行访问,减少了安全漏洞的可能性。
在本发明中,通过综合校验服务端签发、IP地址一致性和有效期,应用防火墙建立了一个多层次的验证机制。这种综合性的验证提高了系统对令牌合法性的信任度,减少了被恶意访问的风险。
在一种可能的实施方式中,令牌的有效期计算方式为:其中,T i 表示经过i次验证后的令牌有效期,γ表示失效系数,i表示验证次数,T 0表示初始过期时间。
其中,。
其中,本领域技术人员可以根据实际情况设置失效系数γ的大小,本发明不做限定。
需要说明的是,通过引入验证次数i和失效系数γ,系统可以更灵活地调整令牌的有效期,以适应不同的使用场景和安全需求,提高了系统对令牌的安全管理能力,减少了被滥用的可能性。
在本发明中,令牌的有效期随着验证次数的增加而动态减少,令牌的有效期随着验证次数的增加而动态减少,降低了令牌被重放攻击的风险。攻击者在尝试使用已经获取的令牌进行重放攻击时,由于有效期的减少,攻击的成功概率会显著降低。同时,有效期的动态减少意味着攻击者只有在较短的时间窗口内能够成功滥用令牌。这降低了滥用的机会,因为攻击者必须在令牌有效期内频繁验证,否则令牌就会失效,提升了网络安全性。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求,在公网更新人机验证规则时不会被内网的业务流量产生影响,也不会被后续业务产生影响,可以频繁地对人机验证规则进行更新,以提升网络安全性。
第二方面,参考说明书附图2,示出了本发明实施例提供的一种基于公网与内网结合的人机验证装置的结构示意图。
本发明提供了一种基于公网与内网结合的人机验证装置20,应用于客户端,包括:
第一发起模块201,用于向内网的应用防火墙发起访问请求,以使所述应用防火墙对所述访问请求是否携带有令牌进行检验,在所述访问请求未携带有令牌的情况下,返回人机验证通知;
第二发起模块202,用于根据所述人机验证通知,向公网的服务端发起人机验证请求,以使所述服务端对所述人机验证请求进行验证,在人机验证通过的情况下,返回工作量证明题目;
计算模块203,用于对所述工作量证明题目进行计算;
提交模块204,用于向所述服务端提交工作量证明计算结果,以使所述服务端对所述工作量证明计算结果进行检验,在所述工作量证明计算结果正确的情况下,返回令牌;
第三发起模块205,用于向所述应用防火墙发起携带有所述令牌的访问请求,以使所述应用防火墙对所述令牌进行校验,当所述令牌校验成功时,所述应用防火墙放行所述访问请求。
在一种可能的实施方式中,所述计算模块203具体用于:
获取所述服务端返回的一个随机的前缀字符串;
在所述前缀字符串之后补充字符,拼接形成新字符串;
计算拼接形成新字符串的sha256值;
当sha256值的前20位均为0时,将当前sha256值作为工作量证明题目的计算结果。
在一种可能的实施方式中,所述应用防火墙对所述令牌进行校验,具体包括:
校验所述令牌是否为所述服务端签发;若是,进入下一步,否则,校验失败,和/或;
校验发起访问请求的IP地址是否与所述令牌中的IP地址一致,若是,进入下一步,否则,校验失败,和/或;
校验当前时间是否处于所述令牌的有效期内,若是,校验成功,否则,校验失败。
在一种可能的实施方式中,所述令牌的有效期计算方式为:其中,T i 表示经过i次验证后的令牌有效期,γ表示失效系数,i表示验证次数,T 0表示初始过期时间。
本发明提供的基于公网与内网结合的人机验证装置20能够实现上述第一方面的方法实施例中实现的各个过程,为避免重复,这里不再赘述。
本发明提供的虚拟装置可以是装置,也可以是终端中的部件、集成电路、或芯片。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求,在公网更新人机验证规则时不会被内网的业务流量产生影响,也不会被后续业务产生影响,可以频繁地对人机验证规则进行更新,以提升网络安全性。
第三方面,参考说明书附图3,示出了本发明实施例提供的另一种基于公网与内网结合的人机验证方法的流程示意图。
本发明提供了一种基于公网与内网结合的人机验证方法,应用于服务端,包括:
S301:接收客户端发起的人机验证请求。
S302:对人机验证请求进行验证。
在一种可能的实施方式中,S302具体包括:
S3021:获取客户端的优先级参数。
S3022:根据客户端的优先级参数由高到低的顺序,依次处理各个客户端的人机验证请求。
需要说明的是,通过获取客户端的优先级参数,系统可以根据客户端的重要性或其他指标来确定处理请求的优先级。这有助于系统优化资源分配,确保更关键或更高优先级的客户端能够更快速地完成人机验证,提高系统的效率。同时,通过按照客户端的优先级进行有序处理,系统可以更好地保证服务水平。对于具有较高优先级的客户端,系统可以更及时地响应其人机验证请求,确保其获得更高的服务水平。
在一种可能的实施方式中,客户端的优先级参数的计算方式为:其中,p表示优先级参数,I表示客户端的IP类型,当客户端的IP类型为预设区域范围内的IP地址类型时,/>,否则,/>,λ 1表示客户端的IP类型的权重系数,B表示客户端状态,当客户端请求中的User-Agent值为正常值时,/>,λ 2表示客户端状态的权重系数,当客户端请求User-Agent值为空或者为异常值时,/>,C表示验证次数,λ 3表示验证次数的权重系数。
其中,本领域技术人员可以根据实际情况设置客户端的IP类型的权重系数λ 1、客户端状态的权重系数λ 2以及验证次数的权重系数λ 3的大小,本发明不做限定。
需要说明的是,考虑到客户端的IP类型,可以根据预设的区域范围对IP地址进行分类,从而确定其优先级,有助于提高系统对合法区域内的客户端的信任度,降低来自未知或非法区域的风险。
进一步地,可以将IP地址类型分为两类,一类为预设区域范围内的IP地址类型,另一类为非预设区域范围内的IP地址类型。
进一步地,根据客户端请求中的User-Agent值是否为正常值,系统可以对客户端的状态进行判断,有助于识别异常或潜在的恶意行为,从而在保证服务的前提下降低风险。
进一步地,考虑验证次数的权重,可以根据客户端的历史验证行为进行调整,有助于对反复验证的客户端进行合理的处理,确保系统资源的有效利用。
在本发明中,通过考虑客户端的IP地址类型、状态和验证次数,可以根据不同的因素定制客户端的优先级参数,从而提供个性化的服务。不同的客户端可以根据其特征获得不同的服务水平。
在一种可能的实施方式中,S302具体包括:
当客户端的IP地址在威胁IP数据库中时,拒绝人机验证请求。
在本发明中,拒绝来自威胁IP数据库中的客户端的人机验证请求有助于系统及时识别并防御潜在的威胁。威胁IP数据库通常包含已知的攻击来源、恶意行为等信息,通过拒绝这些IP地址的请求,系统能够有效地抵御来自这些威胁的攻击。
S303:在人机验证通过的情况下,向客户端返回工作量证明题目,以使客户端对工作量证明题目进行计算。
在一种可能的实施方式中,向客户端返回工作量证明题目,具体包括:
获取客户端的优先级参数以及服务端的负载情况。
根据客户端的优先级参数以及服务端的负载情况,确定工作量证明题目的难度等级。
向客户端返回对应难度等级的工作量证明题目。
在本发明中,根据服务端的负载情况,可以动态调整工作量证明题目的难度等级。在服务端负载较重时,可以降低难度以减轻计算负担,确保系统资源的有效利用。获取客户端的优先级参数,有助于为每个客户端提供个性化的工作量证明题目。高优先级的客户可能获得更简单或更快速的工作量,提高了服务的定制性。
在一种可能的实施方式中,根据客户端的优先级参数以及服务端的负载情况,确定工作量证明题目的难度等级,具体包括:
根据客户端的优先级参数以及服务端的负载情况,计算工作量证明题目的难度系数:其中,D表示工作量证明题目的难度系数,p表示客户端的优先级参数,β表示客户端的优先级参数的权重系数,R表示服务端的负载情况。
其中,本领域技术人员可以根据实际情况设置客户端的优先级参数的权重系数β的大小,本发明不做限定。
根据工作量证明题目的难度系数,确定工作量证明题目的难度等级。
在本发明中,通过引入客户端的优先级参数和服务端的负载情况,系统可以根据实际情况动态调整工作量证明题目的难度,有助于在不同的环境下提供适当难度的工作量,平衡安全性和用户体验。同时,动态调整工作量证明的难度系数可以增加系统的抵御攻击的难度。攻击者难以事先了解系统的工作量调整规则,增加了攻击的复杂性。
S304:接收客户端的工作量证明计算结果。
S305:对工作量证明计算结果进行检验。
S306:在工作量证明计算结果正确的情况下,向客户端返回令牌。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求,在公网更新人机验证规则时不会被内网的业务流量产生影响,也不会被后续业务产生影响,可以频繁地对人机验证规则进行更新,以提升网络安全性。
第四方面,参考说明书附图4,示出了本发明实施例提供的另一种基于公网与内网结合的人机验证装置的结构示意图。
本发明提供了一种基于公网与内网结合的人机验证装置40,应用于服务端,包括:
第一接收模块401,用于接收所述客户端发起的人机验证请求;
验证模块402,用于对所述人机验证请求进行验证;
第一返回模块403,用于在人机验证通过的情况下,向所述客户端返回工作量证明题目,以使所述客户端对所述工作量证明题目进行计算;
第二接收模块404,用于接收所述客户端的工作量证明计算结果;
校验模块405,用于对所述工作量证明计算结果进行检验;
第二返回模块406,用于在所述工作量证明计算结果正确的情况下,向所述客户端返回令牌。
在一种可能的实施方式中,所述验证模块402具体用于:
获取所述客户端的优先级参数;
根据所述客户端的优先级参数由高到低的顺序,依次处理各个客户端的人机验证请求。
在一种可能的实施方式中,所述客户端的优先级参数的计算方式为:其中,p表示优先级参数,IP表示客户端的IP类型,当客户端的IP类型为预设区域范围内的IP地址类型时,/>,否则,/>,λ 1表示客户端的IP类型的权重系数,B表示客户端状态,当客户端请求中的User-Agent值为正常值时,/>,λ 2表示客户端状态的权重系数,当客户端请求User-Agent值为空或者为异常值时,/>,C表示验证次数,λ 3表示验证次数的权重系数。
在一种可能的实施方式中,所述验证模块402具体用于:
当所述客户端的IP地址在威胁IP数据库中时,拒绝所述人机验证请求。
在一种可能的实施方式中,第一返回模块403具体用于:
获取所述客户端的优先级参数以及服务端的负载情况;
根据所述客户端的优先级参数以及服务端的负载情况,确定工作量证明题目的难度等级;
向所述客户端返回对应难度等级的工作量证明题目。
在一种可能的实施方式中,第一返回模块403具体用于:
根据所述客户端的优先级参数以及服务端的负载情况,计算工作量证明题目的难度系数:其中,D表示工作量证明题目的难度系数,p表示客户端的优先级参数,β表示客户端的优先级参数的权重系数,R表示服务端的负载情况;
根据工作量证明题目的难度系数,确定工作量证明题目的难度等级。
本发明提供的基于公网与内网结合的人机验证装置40能够实现上述第三方面的方法实施例中实现的各个过程,为避免重复,这里不再赘述。
本发明提供的虚拟装置可以是装置,也可以是终端中的部件、集成电路、或芯片。
与现有技术相比,本发明至少具有以下有益效果:
在本发明中,创新性地将公网与内网结合起来进行人机验证,将人机验证的核心逻辑放在公网的服务端,内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证,当校验成功时,应用防火墙放行访问请求,在公网更新人机验证规则时不会被内网的业务流量产生影响,也不会被后续业务产生影响,可以频繁地对人机验证规则进行更新,以提升网络安全性。
最后应说明的是:以上各实施例仅用以说明本申请的技术方案,而非对其限制;尽管参照前述各实施例对本申请进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本申请各实施例技术方案的范围。
Claims (4)
1.一种基于公网与内网结合的人机验证方法,应用于服务端,其特征在于,包括:
接收客户端发起的人机验证请求;
对所述人机验证请求进行验证;
在人机验证通过的情况下,向所述客户端返回工作量证明题目,以使所述客户端对所述工作量证明题目进行计算;
接收所述客户端的工作量证明计算结果;
对所述工作量证明计算结果进行检验;
在所述工作量证明计算结果正确的情况下,向所述客户端返回令牌;
所述对所述人机验证请求进行验证,具体包括:
获取所述客户端的优先级参数;
根据所述客户端的优先级参数由高到低的顺序,依次处理各个客户端的人机验证请求;
所述客户端的优先级参数的计算方式为:
其中,p表示优先级参数,I表示客户端的IP地址类型,当客户端的IP地址类型为预设区域范围内的IP地址类型时,I=1,否则,I=0,λ1表示客户端的IP类型的权重系数,B表示客户端状态,当客户端请求中的User-Agent值为正常值时,B=1,λ2表示客户端状态的权重系数,当客户端请求User-Agent值为空或者为异常值时,B=0,C表示验证次数,λ3表示验证次数的权重系数。
2.根据权利要求1所述的基于公网与内网结合的人机验证方法,其特征在于,所述向所述客户端返回工作量证明题目,具体包括:
获取所述客户端的优先级参数以及服务端的负载情况;
根据所述客户端的优先级参数以及服务端的负载情况,确定工作量证明题目的难度等级;
向所述客户端返回对应难度等级的工作量证明题目。
3.根据权利要求2所述的基于公网与内网结合的人机验证方法,其特征在于,所述根据所述客户端的优先级参数以及服务端的负载情况,确定工作量证明题目的难度等级,具体包括:
根据所述客户端的优先级参数以及服务端的负载情况,计算工作量证明题目的难度系数:
其中,D表示工作量证明题目的难度系数,p表示客户端的优先级参数,β表示客户端的优先级参数的权重系数,R表示服务端的负载情况;
根据工作量证明题目的难度系数,确定工作量证明题目的难度等级。
4.一种基于公网与内网结合的人机验证装置,应用于服务端,其特征在于,包括:
第一接收模块,用于接收客户端发起的人机验证请求;
验证模块,用于对所述人机验证请求进行验证;
第一返回模块,用于在人机验证通过的情况下,向所述客户端返回工作量证明题目,以使所述客户端对所述工作量证明题目进行计算;
第二接收模块,用于接收所述客户端的工作量证明计算结果;
校验模块,用于对所述工作量证明计算结果进行检验;
第二返回模块,用于在所述工作量证明计算结果正确的情况下,向所述客户端返回令牌;
所述对所述人机验证请求进行验证,具体包括:
获取所述客户端的优先级参数;
根据所述客户端的优先级参数由高到低的顺序,依次处理各个客户端的人机验证请求;
所述客户端的优先级参数的计算方式为:
其中,p表示优先级参数,I表示客户端的IP地址类型,当客户端的IP地址类型为预设区域范围内的IP地址类型时,I=1,否则,I=0,λ1表示客户端的IP类型的权重系数,B表示客户端状态,当客户端请求中的User-Agent值为正常值时,B=1,λ2表示客户端状态的权重系数,当客户端请求User-Agent值为空或者为异常值时,B=0,C表示验证次数,λ3表示验证次数的权重系数。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410232331.1A CN117811847B (zh) | 2024-03-01 | 2024-03-01 | 一种基于公网与内网结合的人机验证方法以及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410232331.1A CN117811847B (zh) | 2024-03-01 | 2024-03-01 | 一种基于公网与内网结合的人机验证方法以及装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117811847A CN117811847A (zh) | 2024-04-02 |
CN117811847B true CN117811847B (zh) | 2024-05-28 |
Family
ID=90428403
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410232331.1A Active CN117811847B (zh) | 2024-03-01 | 2024-03-01 | 一种基于公网与内网结合的人机验证方法以及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117811847B (zh) |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209522A (zh) * | 2015-04-30 | 2016-12-07 | 东莞市星东升实业有限公司 | 基于令牌协议的令牌组网构建方法 |
CN110417849A (zh) * | 2019-06-05 | 2019-11-05 | 浙江工业大学 | 介入式工业设备边缘计算系统 |
CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
CN115051809A (zh) * | 2022-06-15 | 2022-09-13 | 道和邦(广州)电子信息科技有限公司 | SMG-wscomm-Msession-ECToken一种基于加密CookieToken免登录认证动态令牌技术 |
WO2023029138A1 (zh) * | 2021-08-31 | 2023-03-09 | 网宿科技股份有限公司 | 登录方法、电子设备及计算机可读存储介质 |
WO2024032660A1 (zh) * | 2022-08-10 | 2024-02-15 | 深圳竹云科技股份有限公司 | 账户数据的更改方法、装置、计算机设备和存储介质 |
-
2024
- 2024-03-01 CN CN202410232331.1A patent/CN117811847B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106209522A (zh) * | 2015-04-30 | 2016-12-07 | 东莞市星东升实业有限公司 | 基于令牌协议的令牌组网构建方法 |
CN110417849A (zh) * | 2019-06-05 | 2019-11-05 | 浙江工业大学 | 介入式工业设备边缘计算系统 |
WO2023029138A1 (zh) * | 2021-08-31 | 2023-03-09 | 网宿科技股份有限公司 | 登录方法、电子设备及计算机可读存储介质 |
CN113676336A (zh) * | 2021-10-22 | 2021-11-19 | 深圳市明源云采购科技有限公司 | 微服务访问代理方法、设备及存储介质 |
CN115051809A (zh) * | 2022-06-15 | 2022-09-13 | 道和邦(广州)电子信息科技有限公司 | SMG-wscomm-Msession-ECToken一种基于加密CookieToken免登录认证动态令牌技术 |
WO2024032660A1 (zh) * | 2022-08-10 | 2024-02-15 | 深圳竹云科技股份有限公司 | 账户数据的更改方法、装置、计算机设备和存储介质 |
Non-Patent Citations (2)
Title |
---|
使用NAT46+DNS46实现IPv4单栈内网用户访问IPv6公网资源;许偲;;信息通信;20200415(第04期);全文 * |
基于防火墙的园区网设计与仿真;杨礼;刘静;古丽孜热・艾尼外;;新疆师范大学学报(自然科学版);20201010(第02期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN117811847A (zh) | 2024-04-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9807092B1 (en) | Systems and methods for classification of internet devices as hostile or benign | |
US8713672B2 (en) | Method and apparatus for token-based context caching | |
CN111917714B (zh) | 一种零信任架构系统及其使用方法 | |
US8566918B2 (en) | Method and apparatus for token-based container chaining | |
US20120216244A1 (en) | System and method for application attestation | |
CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
US9137203B2 (en) | Centralized secure offload of cryptographic security services for distributed security enforcement points | |
WO2014004412A1 (en) | Identity risk score generation and implementation | |
US8458781B2 (en) | Method and apparatus for token-based attribute aggregation | |
CN114553540B (zh) | 基于零信任的物联网系统、数据访问方法、装置及介质 | |
US8726361B2 (en) | Method and apparatus for token-based attribute abstraction | |
CN111953635B (zh) | 接口请求处理方法及计算机可读存储介质 | |
CN115065564B (zh) | 一种基于零信任机制的访问控制方法 | |
US9361443B2 (en) | Method and apparatus for token-based combining of authentication methods | |
JP2009003559A (ja) | シングルサインオンサーバ用コンピュータシステム及びプログラム | |
US8752143B2 (en) | Method and apparatus for token-based reassignment of privileges | |
CN114124556A (zh) | 一种网络访问控制方法、装置、设备及存储介质 | |
CN113972992A (zh) | 用于sdp控制器的访问方法及装置、计算机可存储介质 | |
CN117811847B (zh) | 一种基于公网与内网结合的人机验证方法以及装置 | |
CN116996305A (zh) | 一种多层次安全认证方法、系统、设备、存储介质及入口网关 | |
US8789143B2 (en) | Method and apparatus for token-based conditioning | |
CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
CN117254918A (zh) | 零信任动态授权方法、装置、电子设备及可读存储介质 | |
CN112532617A (zh) | 一种针对HTTP Flood攻击的检测方法、装置、设备及介质 | |
CN117240621B (zh) | 网络请求的处理方法、装置、计算机可读介质及电子设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |