CN104980400A - 一种登录接入控制方法和服务器 - Google Patents
一种登录接入控制方法和服务器 Download PDFInfo
- Publication number
- CN104980400A CN104980400A CN201410138757.7A CN201410138757A CN104980400A CN 104980400 A CN104980400 A CN 104980400A CN 201410138757 A CN201410138757 A CN 201410138757A CN 104980400 A CN104980400 A CN 104980400A
- Authority
- CN
- China
- Prior art keywords
- login
- user terminal
- log
- message
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明实施例公开了一种登录接入控制方法,包括:获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息;获取预设时间段内与所述登录信息相关的登录记录;根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险;若所述用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息;若在预设时间内未获取到所述用户终端根据所述身份挑战信息返回的验证信息,或对用户终端根据身份挑战信息返回的验证信息进行的身份认证失败,则对用户终端进行登录接入控制。本发明实施例还公开了一种登录接入控制服务器。采用本发明,可对登录接入进行安全控制,降低登录信息被泄露或盗用的风险。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种登录接入控制方法和服务器。
背景技术
随着互联网技术的飞速发展,人们在越来越多的使用互联网技术给生活带来便利的同时,互联网安全风险也日益成为用户担心的问题。例如在公司员工在家里或者出差中存在账号交叉登录、使用场景多变的情况,这时极易导致登录信息泄露或被盗用的情况产生,这无疑给用户个人私密信息以及公司网络信息造成了极大的安全隐患。
发明内容
有鉴于此,本发明实施例提供了一种登录接入控制方法和服务器,可在发现用户登录信息存在安全风险时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息,从而对登录接入进行安全控制。
为了解决上述技术问题,本发明实施例提供了一种登录接入控制方法,包括:
获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息;
获取预设时间段内与所述登录信息相关的登录记录;
根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险;
若所述用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息;
若在预设时间内未获取到所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
相应地,本发明实施例还提供了一种登录接入控制服务器,包括:
登录信息采集模块,用于获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息;
登录记录管理模块,用于获取预设时间段内与所述登录信息相关的登录记录;
安全策略模块,用于根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险;
接入控制模块,用于若所述安全策略模块判断用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息,并且若在预设时间内未获取所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
实施本发明实施例,具有如下有益效果:本发明实施例通过根据用户终端登录记录判断用户终端当次登录信息是否存在安全风险,在发现当次登录信息存在安全风险时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息的方法,实现对登录接入进行安全控制,降低登录信息被泄露或盗用的风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例中的一种登录接入控制方法的流程示意图;
图2是本发明另一实施例中的登录接入控制方法的流程示意图;
图3是本发明另一实施例中的登录接入控制方法的流程示意图;
图4是本发明实施例中的一种登录接入控制服务器的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明实施例提供的服务器可包括用户信息采集服务器、用户信息匹配计算服务器以及策略服务器等。用户信息采集服务器通过局域网或互联网与用户终端的上行端口相连,可获取用户终端上传的数据,用户信息匹配计算服务器与用户信息采集服务器相连,可对用户信息采集服务器获取的上传的数据进行计算分析,策略服务器通过局域网或互联网与用户终端的下行端口相连,可向用户终端推送策略性提示信息。
图1是本发明实施例中的一种登录接入控制方法的流程示意图。本发明实施例的登录接入控制方法可由服务器来执行。如图所示本实施例中的登录接入控制方法的流程可以包括:
S101,获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息。
所述用户终端,可以包括个人电脑、平板电脑、智能手机、电子阅读器以及车载终端等互联网设备,能通过浏览器或运行的客户端向服务器提交登录信息。其中,所述登录信息包括当次登录的登录帐号和终端标识信息。登录账号为一种用户ID(Identity,身份标识),例如企业网账号、网络平台账号、通讯账号或SNS(Social Networking Services,社会性网络服务)账号等;终端标识信息可以为所述用户终端的MAC(Media Access Control,网络介质控制)地址、IMEI(International Mobile Equipment Identity,国际移动设备身份码)或ICCID(Integrate circuit card identity,集成电路卡识别码)等唯一标识终端的识别信息。
具体的,在用户终端对登录账号执行登录操作时,或登录账号已通过用户终端登录且仍处于在线状态的某一预设时刻,服务器获取该用户终端当次登录的登录账号和终端标识信息。
S102,获取预设时间段内与所述登录信息相关的登录记录。
具体的,服务器根据获取到的登录信息,在预设时间段内查询该登录信息相关的登录记录。其中,所述预设时间段内与所述登录信息相关的登录记录包括在预设时间段内携带登录帐号的登录信息或在预设时间段内携带终端标识信息的登录信息。例如:以最近两周为预设时间段,当登录账号a在用户终端A(即终端标识信息为A)上登录时,服务器将查询登录账号a在最近两周内每次登录的时间和登录所用的用户终端的终端标识信息,同时,服务器还会查询在两周内通过用户终端A(即终端标识信息为A)登录过的登录账号及其登录时间。
S103,根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险。
具体实现过程中,若出现以下任意一种情况,服务器将判断当次登录的登录信息存在安全风险:
其一,服务器根据在预设时间段内携带登录帐号的登录信息,确定用户终端不是登录帐号对应的常用终端。例如,以最近两周为预设时间段,服务器通过查询登录记录得知最近两周内登录账号a在用户终端B(即终端标识信息为B)上登录了1次,小于预设阈值10次,从而可确知用户终端B不是登录账号a的常用终端。
其二,服务器根据在预设时间段内携带登录帐号的登录信息,确定登录帐号通过不同终端的登录频率高于预设频率阈值。例如,以最近的一分钟为预设时间段,服务器通过查询登录记录得知最近一分钟内登录账号a在不同的用户终端上登录了7次,若预设频率阈值为5次/分钟,则可确知登录账号通过不同终端的登录频率高于预设频率阈值。
其三,服务器根据在预设时间段内携带终端标识信息的登录信息,确定登录帐号不是用户终端的常用帐号。例如,以最近两周为预设时间段,服务器通过查询登录记录得知最近两周内通过用户终端A(即终端标识信息为A)登录的所有登录账号中,登录账号a有12次记录,大于预设阈值10次,登录账号b有2次记录,小于预设阈值10次,若当次登录账号b使用了应用终端A来登录,则可确知当次登录账号不是用户终端的常用账号。
其四,服务器根据在预设时间段内携带终端标识信息的登录信息,确定用户终端使用不同登录帐号的登录频率高于预设频率阈值。例如,以最近的一分钟为预设时间段,服务器通过查询登录记录得知最近一分钟内用户终端A使用登录账号a、登录账号b以及登陆账号c分别登录了3次、2次以及5次,若预设频率阈值为5次/分钟,则可确知用户终端使用不同的登录账号的登录频率高于预设阈值。
需要指出的是,以上四种情况只是本发明实施例例举的常见情况,本发明实施例中当次登录的登录信息是否存在安全风险的判断包括但不仅限于以上情况。
还需特别指出的是,一个用户可能拥有属于自己的多个登录账号或多个用户终端,因此每个登录账号可有多个对应的用户终端或每个用户终端(即终端标识信息)可有多个对应的登录账号。例如,账号a和账号b同为某用户的登录账号,且用户终端A(即终端标识信息为A)也属于该用户,因而会出现登录账号a和登录账号b在用户终端A上多次登录的情况,为了避免上述示例引发的安全误判,服务器可设定:多个登录账号可对应同一个常用终端,或多个应用终端可对应同一个常用账号。
S104,向所述用户终端发送身份挑战信息。
具体的,所述身份挑战信息可以是用户针对登录账号设置的安全验证信息,服务器向当次登录的用户终端发送该安全验证信息以核实用户身份。例如:服务器向用户终端发送“请输入您的工号”或“请填写尾号为‘1238’的手机接收到的短信验证信息”或“请回答以下问题:‘xxx’”等安全验证信息。
S105,若在预设时间内未获取到所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
例如,在预设的5分钟内,服务器未获取到用户终端根据身份挑战信息返回的验证信息,或获取到的验证信息与服务器方的安全验证信息不匹配,即身份认证失败,服务器将对用户终端进行登录接入控制。
具体实现中,可以根据用户预设的账号安全等级或登录信息具体的风险等级,采用不用的措施进行登录接入控制。若判断登录信息存在低危等级风险,例如确知当次登录的用户终端不是登录账号的常用终端且身份认证失败,则服务器可对登录账号进行登录下线处理。若判断登录信息存在高危等级风险,例如检测到用户终端使用不同的登录账号的登录频率高于预设阈值且身份认证失败,则服务器可对登录账号执行下线处理并拒绝携带该用户终端的终端标识信息的登录请求,或拒绝携带该登录帐号的登录请求。
可选的,若对用户终端根据身份挑战信息返回的验证信息进行的身份认证成功,则服务器向用户终端发送登录场景采集请求。例如,服务器提供“私人用户终端”、“公用用户终端”、“可信赖用户终端”或“不可信赖用户终端”等场景选项给用户终端。
进一步的,服务器获取用户终端根据登录场景采集请求返回的登录场景信息。需要指出的是,获取的登录场景信息有助于服务器分析当次登录账号与终端标识信息间的相关性以制定后续措施。例如,若登录场景信息为“可信赖用户终端”,则当该账号下次再次使用该用户终端登录时,将不再判断为存在安全风险。
本发明实施例通过根据用户终端登录记录判断用户终端当次登录信息是否存在安全风险,在发现当次登录信息存在安全风险时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息的方法,实现对登录接入进行安全控制,提高登录的安全性,降低登录信息被泄露或盗用的风险。
图2是本发明另一实施例中的登录接入控制方法的流程示意图。如图所示本实施例中的登录接入控制方法的流程可以包括:
S201,获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录账号和终端标识信息。
具体的,登录账号已通过用户终端登录且仍处于在线状态的某一预设时刻,服务器获取该用户终端当次登录的登录账号和终端标识信息。
S202,获取预设时间段内与所述登录信息相关的登录记录。
具体的,服务器根据获取到的登录信息,在预设时间段内查询该登录信息相关的登录记录。其中,所述预设时间段内与所述登录信息相关的登录记录包括在预设时间段内携带登录帐号的登录信息或在预设时间段内携带终端标识信息的登录信息。例如:以最近两周为预设时间段,当登录账号a在用户终端A(即终端标识信息为A)上登录时,服务器将查询登录账号a在最近两周内每次登录的时间和登录所用的用户终端的终端标识信息,同时,服务器还会查询在两周内通过用户终端A(即终端标识信息为A)登录过的登录账号及其登录时间。
S203,根据在预设时间段内携带所述登录账号的登录信息,确定所述用户终端不是所述登录账号对应的常用终端。
具体实现过程可以是:以最近两周为预设时间段,服务器通过查询登录记录得知最近两周内登录账号a在用户终端B(即终端标识信息为B)上登录了1次,小于预设阈值10次,从而可确知用户终端B不是登录账号a的常用终端。
S204,向所述用户终端发送身份挑战信息。
具体的,所述身份挑战信息可以是用户针对登录账号设置的安全验证信息,服务器向当次登录的用户终端发送该安全验证信息以核实用户身份。例如:服务器向用户终端发送“请输入您的工号”或“请填写尾号为‘1238’的手机接收到的短信验证信息”或“请回答以下问题:‘xxx’”等安全验证信息。
S205,是否在预设时间内获取到所述用户终端根据所述身份挑战信息返回的验证信息,并身份认证成功。
若是,则执行步骤S206,若否则执行步骤S207。例如,在预设的5分钟内,服务器未获取到用户终端根据身份挑战信息返回的验证信息,则执行步骤S206,又如,服务器在预设时间内获取到的验证信息与服务器方的安全验证信息匹配,即身份认证成功,则执行步骤S207。
S206,向所述用户终端发送登录场景采集请求。
具体的,服务器向用户终端发送登录场景采集请求,并获取用户终端根据登录场景采集请求返回的登录场景信息。例如,服务器提供“私人用户终端”、“公用用户终端”、“可信赖用户终端”或“不可信赖用户终端”等场景选项给用户终端,用户在用户终端上选择“可信赖用户终端”,服务器得到的登录场景信息即为“可信赖用户终端”。需要指出的是,获取的登录场景信息有助于服务器分析当次登录账号与终端标识信息间的相关性以制定后续措施。例如,若登录场景信息为“可信赖用户终端”,则当该登录账号下次再次使用该用户终端登录时,将不再判断为存在安全风险。
S207,对所述用户终端进行登录下线处理。
具体的,服务器将在用户终端上登录的登录账号强行下线,使其处于离线状态。在可选实施例中,用户终端不是所述登录账号对应的常用终端且身份认证失败,属于风险等级较低的行为,故服务器只用对登录账号执行强行下线的措施即可。
本发明实施例根据用户终端登录记录判断当次用户终端是否是所述登录账号对应的常用终端,在发现当次用户终端不是所述登录账号对应的常用终端时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息,若身份验证成功,则向用户终端获取登陆场景信息,反之对用户终端进行登录下线处理,从而提高登录的安全性,降低登录信息被泄露或盗用的风险。
图3是本发明又一实施例中的登录接入控制方法的流程示意图。如图所示本实施例中的登录接入控制方法的流程可以包括:
S301,获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录账号和终端标识信息。
具体的,在用户终端对登录账号执行登录操作时,服务器获取该用户终端当次登录的登录账号和终端标识信息。
S302,获取预设时间段内与所述登录信息相关的登录记录。
具体的,服务器根据获取到的登录信息,在预设时间段内查询该登录信息相关的登录记录。其中,所述预设时间段内与所述登录信息相关的登录记录包括在预设时间段内携带登录帐号的登录信息或在预设时间段内携带终端标识信息的登录信息。例如:以最近两周为预设时间段,当登录账号a在用户终端A(即终端标识信息为A)上登录时,服务器将查询登录账号a在最近两周内每次登录的时间和登录所用的用户终端的终端标识信息,同时,服务器还会查询在两周内通过用户终端A(即终端标识信息为A)登录过的登录账号及其登录时间。
S303,根据在预设时间段内携带终端标识信息的登录信息,确定用户终端使用不同登录帐号的登录频率高于预设频率阈值。
具体实现过程可以是:以最近的一分钟为预设时间段,服务器通过查询登录记录得知最近一分钟内用户终端A使用登录账号a、登录账号b以及登陆账号c分别登录了3次、2次以及5次,若预设频率阈值为5次/分钟,则可确知用户终端使用不同的登录账号的登录频率高于预设阈值。
S304,向所述用户终端发送身份挑战信息。
具体的,所述身份挑战信息可以是用户针对登录账号设置的安全验证信息,服务器向当次登录的用户终端发送该安全验证信息以核实用户身份。例如:服务器向用户终端发送“请输入您的工号”或“请填写尾号为‘1238’的手机接收到的短信验证信息”或“请回答以下问题:‘xxx’”等安全验证信息。
S305,是否在预设时间内获取到所述用户终端根据所述身份挑战信息返回的验证信息,并身份认证成功。
若是,则执行步骤S306,若否则执行步骤S307。例如,在预设的5分钟内,服务器未获取到用户终端根据身份挑战信息返回的验证信息,则执行步骤S306,又如,服务器在预设时间内获取到的验证信息与服务器方的安全验证信息匹配,即身份认证成功,则执行步骤S307。
S306,向所述用户终端发送登录场景采集请求。
具体的,服务器向用户终端发送登录场景采集请求,并获取用户终端根据登录场景采集请求返回的登录场景信息。例如,服务器提供“私人用户终端”、“公用用户终端”、“可信赖用户终端”或“不可信赖用户终端”等场景选项给用户终端,用户在用户终端上选择“可信赖用户终端”,服务器得到的登录场景信息即为“可信赖用户终端”。需要指出的是,获取的登录场景信息有助于服务器分析当次登录账号与终端标识信息间的相关性以制定后续措施。例如,若登录场景信息为“可信赖用户终端”,则当该登录账号下次再次使用该用户终端登录时,将不再判断为存在安全风险。
S307,对所述用户终端进行登录下线处理,并拒绝携带所述终端标识信息的登录请求。
具体的,服务器将在用户终端上登录的登录账号强行下线,使其处于离线状态。需要指出的是,用户终端使用不同登录帐号的登录频率高于预设频率阈值且身份验证失败,根据网络安全经验,此行为可能属于风险等级较高的行为,因此服务器除了对用户终端进行登录下线处理之外,还会拒绝携带所述终端标识信息的登录请求。例如:将身份验证失败的用户终端的终端标识信息加入黑名单,在24小时内不再接受该用户终端提出的登录请求,阻止其再次登录。
本发明实施例根据用户终端登录记录判断用户终端使用不同登录帐号的登录频率是否高于预设频率阈值,在发现该登录频率高于预设频率阈值时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息,若身份验证成功,则向用户终端获取登陆场景信息,反之对用户终端进行登录下线处理,并拒绝携带所述终端标识信息的登录请求,从而提高登录的安全性,降低登录信息被泄露或盗用的风险。
图4是本发明实施例中的一种登录接入控制服务器的结构示意图。如图所示本发明实施例中的登录接入控制服务器至少可以包括登录信息采集模块410、登录记录管理模块420、安全策略模块430以及接入控制模块440,其中:
登录信息采集模块410,用于获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息。
所述用户终端,可以包括个人电脑、平板电脑、智能手机、电子阅读器以及车载终端等互联网设备,能通过浏览器或运行的客户端向服务器提交登录信息。其中,所述登录信息包括当次登录的登录帐号和终端标识信息。登录账号为一种用户ID(Identity,身份标识),例如企业网账号、网络平台账号、通讯账号或SNS(Social Networking Services,社会性网络服务)账号等;终端标识信息可以为所述用户终端的MAC(Media Access Control,网络介质控制)地址、IMEI(International Mobile Equipment Identity,国际移动设备身份码)或ICCID(Integrate circuit card identity,集成电路卡识别码)等唯一标识终端的识别信息。
具体的,在用户终端对登录账号执行登录操作时,或登录账号已通过用户终端登录且仍处于在线状态的某一预设时刻,登录信息采集模块410获取该用户终端当次登录的登录账号和终端标识信息。
登录记录管理模块420,用于获取预设时间段内与所述登录信息相关的登录记录。
具体的,登录记录管理模块420根据获取到的登录信息,在预设时间段内查询该登录信息相关的登录记录。其中,所述预设时间段内与所述登录信息相关的登录记录包括在预设时间段内携带登录帐号的登录信息或在预设时间段内携带终端标识信息的登录信息。例如:以最近两周为预设时间段,当登录账号a在用户终端A(即终端标识信息为A)上登录时,登录记录管理模块420将查询登录账号a在最近两周内每次登录的时间和登录所用的用户终端的终端标识信息,同时,登录记录管理模块420还会查询在两周内通过用户终端A(即终端标识信息为A)登录过的登录账号及其登录时间。
安全策略模块430,用于根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险。
具体实现过程中,若出现以下任意一种情况,安全策略模块430将判断当次登录的登录信息存在安全风险:
其一,安全策略模块430根据在预设时间段内携带登录帐号的登录信息,确定用户终端不是登录帐号对应的常用终端。例如,以最近两周为预设时间段,安全策略模块430通过查询登录记录得知最近两周内登录账号a在用户终端B(即终端标识信息为B)上登录了1次,小于预设阈值10次,从而可确知用户终端B不是登录账号a的常用终端。
其二,安全策略模块430根据在预设时间段内携带登录帐号的登录信息,确定登录帐号通过不同终端的登录频率高于预设频率阈值。例如,以最近的一分钟为预设时间段,安全策略模块430通过查询登录记录得知最近一分钟内登录账号a在不同的用户终端上登录了7次,若预设频率阈值为5次/分钟,则可确知登录账号通过不同终端的登录频率高于预设频率阈值。
其三,安全策略模块430根据在预设时间段内携带终端标识信息的登录信息,确定登录帐号不是用户终端的常用帐号。例如,以最近两周为预设时间段,安全策略模块430通过查询登录记录得知最近两周内通过用户终端A(即终端标识信息为A)登录的所有登录账号中,登录账号a有12次记录,大于预设阈值10次,登录账号b有2次记录,小于预设阈值10次,若当次登录账号b使用了应用终端A来登录,则可确知当次登录账号不是用户终端的常用账号。
其四,安全策略模块430根据在预设时间段内携带终端标识信息的登录信息,确定用户终端使用不同登录帐号的登录频率高于预设频率阈值。例如,最近的一分钟为预设时间段,安全策略模块430通过查询登录记录得知最近一分钟内用户终端A使用登录账号a、登录账号b以及登陆账号c分别登录了3次、2次以及5次,若预设频率阈值为5次/分钟,则可确知用户终端使用不同的登录账号的登录频率高于预设阈值。
需要指出的是,以上四种情况只是本发明实施例例举的常见情况,本发明实施例中当次登录的登录信息是否存在安全风险的判断包括但不仅限于以上情况。
还需特别指出的是,一个用户可能拥有属于自己的多个登录账号或多个用户终端,因此每个登录账号可有多个对应的用户终端或每个用户终端(即终端标识信息)可有多个对应的登录账号。例如,账号a和账号b同为某用户的登录账号,且用户终端A(即终端标识信息为A)也属于该用户,因而会出现登录账号a和登录账号b在用户终端A上多次登录的情况,为了避免上述示例引发的安全误判,服务器可设定:多个登录账号可对应同一个常用终端,或多个应用终端可对应同一个常用账号。
接入控制模块440,用于若所述安全策略模块判断用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息,并且若在预设时间内未获取所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
具体的,所述身份挑战信息可以是用户针对登录账号设置的安全验证信息,接入控制模块440向当次登录的用户终端发送该安全验证信息以核实用户身份。例如:接入控制模块440向用户终端发送“请输入您的工号”或“请填写尾号为‘1238’的手机接收到的短信验证信息”或“请回答以下问题:‘xxx’”等安全验证信息。进一步的,例如,在预设的5分钟内,接入控制模块440未获取到用户终端根据身份挑战信息返回的验证信息,或获取到的验证信息与服务器方的安全验证信息不匹配,即身份认证失败,接入控制模块440将对用户终端进行登录接入控制。具体实现中,可以根据用户预设的账号安全等级或登录信息具体的风险等级,采用不用的措施进行登录接入控制。若判断登录信息存在低危等级风险,例如确知当次登录的用户终端不是登录账号的常用终端且身份认证失败,则接入控制模块440可对登录账号进行登录下线处理。若判断登录信息存在高危等级风险,例如检测到用户终端使用不同的登录账号的登录频率高于预设阈值且身份认证失败,则接入控制模块440可对登录账号执行下线处理并拒绝携带该用户终端的终端标识信息的登录请求,或拒绝携带该登录帐号的登录请求。
请参阅图4,如图所示本发明实施例中的登录接入控制服务器还包括:
登录场景采集模块450,用于在所述接入控制模块对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证成功时,向所述用户终端发送登录场景采集请求,并获取用户终端根据所述登录场景采集请求返回的登录场景信息。
具体的,登录场景采集模块450向用户终端发送登录场景采集请求,并获取用户终端根据登录场景采集请求返回的登录场景信息。例如,登录场景采集模块450提供“私人用户终端”、“公用用户终端”、“可信赖用户终端”或“不可信赖用户终端”等场景选项给用户终端,用户在用户终端上选择“可信赖用户终端”,登录场景采集模块450得到的登录场景信息即为“可信赖用户终端”。需要指出的是,获取的登录场景信息有助于服务器分析当次登录账号与终端标识信息间的相关性以制定后续措施。例如,若登录场景信息为“可信赖用户终端”,则当该账号下次再次使用该用户终端登录时,将不再判断为存在安全风险。
本发明实施例通过根据用户终端登录记录判断用户终端当次登录信息是否存在安全风险,在发现当次登录信息存在安全风险时通过向已登录用户发起用户身份挑战的方式获取用户的验证信息的方法,实现对登录接入进行安全控制,提高登录的安全性,降低登录信息被泄露或盗用的风险。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random Access Memory,RAM)等。
以上所揭露的仅为本发明较佳实施例而已,当然不能以此来限定本发明之权利范围,因此依本发明权利要求所作的等同变化,仍属本发明所涵盖的范围。
Claims (12)
1.一种登录接入控制方法,其特征在于,所述方法包括:
获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息;
获取预设时间段内与所述登录信息相关的登录记录;
根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险;
若所述用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息;
若在预设时间内未获取到所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
2.如权利要求1所述的方法,其特征在于,所述预设时间段内与所述登录信息相关的登录记录包括:
在预设时间段内携带所述登录帐号的登录信息;或
在预设时间段内携带所述终端标识信息的登录信息。
3.如权利要求2所述的方法,其特征在于,所述用户终端当次登录的登录信息存在安全风险包括以下任意一种情况:
根据在预设时间段内携带所述登录帐号的登录信息,确定所述用户终端不是所述登录帐号对应的常用终端;
根据在预设时间段内携带所述登录帐号的登录信息,确定所述登录帐号通过不同终端的登录频率高于预设频率阈值;
根据在预设时间段内携带所述终端标识信息的登录信息,确定所述登录帐号不是所述用户终端的常用帐号;
根据在预设时间段内携带所述终端标识信息的登录信息,确定所述用户终端使用不同登录帐号的登录频率高于预设频率阈值。
4.如权利要求1所述的方法,其特征在于,所述登录接入控制包括:
对所述用户终端进行登录下线处理。
5.如权利要求1所述的方法,其特征在于,所述登录接入控制包括:
拒绝携带所述终端标识信息的登录请求;或
拒绝携带所述登录帐号的登录请求。
6.如权利要求1~5中任一项所述的方法,其特征在于,所述方法还包括:
若对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证成功,则向所述用户终端发送登录场景采集请求;
获取用户终端根据所述登录场景采集请求返回的登录场景信息。
7.一种登录接入控制服务器,其特征在于,包括:
登录信息采集模块,用于获取用户终端当次登录的登录信息,所述登录信息包括当次登录的登录帐号和终端标识信息;
登录记录管理模块,用于获取预设时间段内与所述登录信息相关的登录记录;
安全策略模块,用于根据所述登录记录判断所述用户终端当次登录的登录信息是否存在安全风险;
接入控制模块,用于若所述安全策略模块判断用户终端当次登录的登录信息存在安全风险,则向所述用户终端发送身份挑战信息,并且若在预设时间内未获取所述用户终端根据所述身份挑战信息返回的验证信息,或对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证失败,则对所述用户终端进行登录接入控制。
8.如权利要求7所述的登录接入控制服务器,其特征在于,所述预设时间段内与所述登录信息相关的登录记录包括:
在预设时间段内携带所述登录帐号的登录信息;或
在预设时间段内携带所述终端标识信息的登录信息。
9.如权利要求8所述的登录接入控制服务器,其特征在于,所述用户终端当次登录的登录信息存在安全风险包括以下任意一种情况:
根据在预设时间段内携带所述登录帐号的登录信息,确定所述用户终端不是所述登录帐号对应的常用终端;
根据在预设时间段内携带所述登录帐号的登录信息,确定所述登录帐号通过不同终端的登录频率高于预设频率阈值;
根据在预设时间段内携带所述终端标识信息的登录信息,确定所述登录帐号不是所述用户终端的常用帐号;
根据在预设时间段内携带所述终端标识信息的登录信息,确定所述用户终端使用不同登录帐号的登录频率高于预设频率阈值。
10.如权利要求7所述的登录接入控制服务器,其特征在于,所述接入控制模块对所述用户终端进行登录接入控制包括:
对所述用户终端进行登录下线处理。
11.如权利要求7所述的登录接入控制服务器,其特征在于,所述接入控制模块对所述用户终端进行登录接入控制包括:
拒绝携带所述终端标识信息的登录请求;或
拒绝携带所述登录帐号的登录请求。
12.如权利要求7~11中任一项所述的登录接入控制服务器,其特征在于,还包括:
登录场景采集模块,用于在所述接入控制模块对所述用户终端根据所述身份挑战信息返回的验证信息进行的身份认证成功时,向所述用户终端发送登录场景采集请求,并获取用户终端根据所述登录场景采集请求返回的登录场景信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410138757.7A CN104980400A (zh) | 2014-04-08 | 2014-04-08 | 一种登录接入控制方法和服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410138757.7A CN104980400A (zh) | 2014-04-08 | 2014-04-08 | 一种登录接入控制方法和服务器 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104980400A true CN104980400A (zh) | 2015-10-14 |
Family
ID=54276510
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410138757.7A Pending CN104980400A (zh) | 2014-04-08 | 2014-04-08 | 一种登录接入控制方法和服务器 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104980400A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107689936A (zh) * | 2016-08-03 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 登录账户的安全性验证***、方法及装置 |
| CN108108866A (zh) * | 2016-11-24 | 2018-06-01 | 阿里巴巴集团控股有限公司 | 一种风险控制的方法及装置 |
| CN108574658A (zh) * | 2017-03-07 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 一种应用登录方法及其设备 |
| CN109257321A (zh) * | 2017-07-13 | 2019-01-22 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN109862004A (zh) * | 2019-01-28 | 2019-06-07 | 杭州数梦工场科技有限公司 | 一种账号使用行为检测方法及装置 |
| CN109981528A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种保护用户信息安全的方法 |
| CN110839003A (zh) * | 2018-08-16 | 2020-02-25 | 北京嘀嘀无限科技发展有限公司 | 盗号行为识别方法、装置、计算机设备和存储介质 |
| CN112333129A (zh) * | 2019-08-05 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 设备类型的确定方法、装置、设备以及存储介质 |
| CN112511563A (zh) * | 2020-12-22 | 2021-03-16 | 四川长虹电器股份有限公司 | 一种云端用户在终端设备登录的方法 |
| CN114374545A (zh) * | 2021-12-21 | 2022-04-19 | 北京北信源软件股份有限公司 | 防止消息泄露的方法、服务器、装置和电子设备 |
| CN116257840A (zh) * | 2022-12-28 | 2023-06-13 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于大数据的登录信息查询管理***及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| WO2013184705A1 (en) * | 2012-06-05 | 2013-12-12 | Alibaba Group Holding Limited | Method, apparatus and system of controlling remote login |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN103685311A (zh) * | 2013-12-27 | 2014-03-26 | 网易(杭州)网络有限公司 | 一种登录验证方法及设备 |
-
2014
- 2014-04-08 CN CN201410138757.7A patent/CN104980400A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102664877A (zh) * | 2012-03-30 | 2012-09-12 | 北京千橡网景科技发展有限公司 | 登录过程中的异常处理方法和设备 |
| WO2013184705A1 (en) * | 2012-06-05 | 2013-12-12 | Alibaba Group Holding Limited | Method, apparatus and system of controlling remote login |
| CN103001826A (zh) * | 2012-11-29 | 2013-03-27 | 北京奇虎科技有限公司 | 用于监测用户登录的设备和方法 |
| CN103532797A (zh) * | 2013-11-06 | 2014-01-22 | 网之易信息技术(北京)有限公司 | 一种用户登录异常监测方法和装置 |
| CN103685311A (zh) * | 2013-12-27 | 2014-03-26 | 网易(杭州)网络有限公司 | 一种登录验证方法及设备 |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107689936A (zh) * | 2016-08-03 | 2018-02-13 | 阿里巴巴集团控股有限公司 | 登录账户的安全性验证***、方法及装置 |
| CN108108866A (zh) * | 2016-11-24 | 2018-06-01 | 阿里巴巴集团控股有限公司 | 一种风险控制的方法及装置 |
| CN108574658A (zh) * | 2017-03-07 | 2018-09-25 | 腾讯科技(深圳)有限公司 | 一种应用登录方法及其设备 |
| CN108574658B (zh) * | 2017-03-07 | 2022-04-22 | 腾讯科技(深圳)有限公司 | 一种应用登录方法及其设备 |
| CN109257321B (zh) * | 2017-07-13 | 2021-12-03 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN109257321A (zh) * | 2017-07-13 | 2019-01-22 | 北京京东尚科信息技术有限公司 | 安全登录方法和装置 |
| CN109981528A (zh) * | 2017-12-27 | 2019-07-05 | 航天信息股份有限公司 | 一种保护用户信息安全的方法 |
| CN110839003A (zh) * | 2018-08-16 | 2020-02-25 | 北京嘀嘀无限科技发展有限公司 | 盗号行为识别方法、装置、计算机设备和存储介质 |
| CN109862004A (zh) * | 2019-01-28 | 2019-06-07 | 杭州数梦工场科技有限公司 | 一种账号使用行为检测方法及装置 |
| CN109862004B (zh) * | 2019-01-28 | 2021-08-24 | 杭州数梦工场科技有限公司 | 一种账号使用行为检测方法及装置 |
| CN112333129A (zh) * | 2019-08-05 | 2021-02-05 | 腾讯科技(深圳)有限公司 | 设备类型的确定方法、装置、设备以及存储介质 |
| CN112333129B (zh) * | 2019-08-05 | 2022-06-14 | 腾讯科技(深圳)有限公司 | 设备类型的确定方法、装置、设备以及存储介质 |
| CN112511563A (zh) * | 2020-12-22 | 2021-03-16 | 四川长虹电器股份有限公司 | 一种云端用户在终端设备登录的方法 |
| CN114374545A (zh) * | 2021-12-21 | 2022-04-19 | 北京北信源软件股份有限公司 | 防止消息泄露的方法、服务器、装置和电子设备 |
| CN114374545B (zh) * | 2021-12-21 | 2024-05-14 | 北京北信源软件股份有限公司 | 防止消息泄露的方法、服务器、装置和电子设备 |
| CN116257840A (zh) * | 2022-12-28 | 2023-06-13 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于大数据的登录信息查询管理***及方法 |
| CN116257840B (zh) * | 2022-12-28 | 2023-10-20 | 南京邮电大学盐城大数据研究院有限公司 | 一种基于大数据的登录信息查询管理***及方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104980400A (zh) | 一种登录接入控制方法和服务器 | |
| CN102932785B (zh) | 一种无线局域网的快速认证方法、***和设备 | |
| CN103400067A (zh) | 权限管理方法、***及服务器 | |
| CN104917716A (zh) | 一种页面安全管理方法和装置 | |
| CN102664877A (zh) | 登录过程中的异常处理方法和设备 | |
| CN105246073A (zh) | 无线网络的接入认证方法及服务器 | |
| CN105357382B (zh) | 一种远程解锁方法、装置和计算机可读存储介质 | |
| CN103888418B (zh) | 策略认证方法及*** | |
| CN104753894A (zh) | 一种数据处理方法、装置及*** | |
| CN103905399A (zh) | 一种帐号登录管理的方法和装置 | |
| CN103905194A (zh) | 身份溯源认证方法及*** | |
| CN104735027A (zh) | 一种安全认证方法及鉴权认证服务器 | |
| CN107528712A (zh) | 访问权限的确定、页面的访问方法及装置 | |
| CN100499900C (zh) | 一种无线通信终端接入鉴权方法 | |
| CN101072139A (zh) | 一种WiMAX通信***中实现退网的方法 | |
| CN104702647B (zh) | 信息请求方法和*** | |
| CN107659999A (zh) | Wifi连接方法及设备 | |
| CN104105092A (zh) | 一种无线网络安全监控方法 | |
| CN104469772A (zh) | 一种网点设备认证方法、装置及认证*** | |
| CN105142141A (zh) | 移动办公身份验证的终端设备、认证服务器、***及方法 | |
| CN104601578A (zh) | 一种攻击报文识别方法、装置及核心设备 | |
| CN107147661A (zh) | 一种基于动态口令增强ftp协议安全***和方法 | |
| CN101909056B (zh) | 客户端状态识别方法、装置及网络设备 | |
| CN105391720A (zh) | 用户终端登录方法及装置 | |
| CN110602111A (zh) | 一种基于长连接的接口防刷方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20151014 |