CN108712376B - 一种用于服务器登录的验证方法及装置 - Google Patents

一种用于服务器登录的验证方法及装置 Download PDF

Info

Publication number
CN108712376B
CN108712376B CN201810301216.XA CN201810301216A CN108712376B CN 108712376 B CN108712376 B CN 108712376B CN 201810301216 A CN201810301216 A CN 201810301216A CN 108712376 B CN108712376 B CN 108712376B
Authority
CN
China
Prior art keywords
login
server
information
password
request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201810301216.XA
Other languages
English (en)
Other versions
CN108712376A (zh
Inventor
袁志明
孙诚
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Qihoo Technology Co Ltd
Original Assignee
Beijing Qihoo Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Qihoo Technology Co Ltd filed Critical Beijing Qihoo Technology Co Ltd
Priority to CN201810301216.XA priority Critical patent/CN108712376B/zh
Publication of CN108712376A publication Critical patent/CN108712376A/zh
Application granted granted Critical
Publication of CN108712376B publication Critical patent/CN108712376B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Information Transfer Between Computers (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明实施例提供一种用于服务器登录的验证方法及装置,应用于计算机技术领域,该方法包括:截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,服务器登录请求中携带有登录目标服务器所需的第一登录信息;响应于截获服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,确认按钮区域用于接受确定登录目标服务器的操作;如果检测到对确认按钮区域的操作,将截获的服务器登录请求发送至所述目标服务器,使得用户终端基于所述第一登录信息登录至目标服务器;否则,不发送截获的服务器登录请求至目标服务器。通过本发明解决了Windows服务器的安全性不高的技术问题。

Description

一种用于服务器登录的验证方法及装置
技术领域
本发明涉及计算机技术领域,尤其涉及一种用于服务器登录的验证方法及装置。
背景技术
随着信息化的发展以及计算机技术和互联网技术的普及,为了便于管理Windows服务器,用户是往往通过Windows远程桌面连接的方式来实现,而服务器由于无人值守,所以,一直是黑客攻击的重点。
目前,在现有的Windows远程桌面连接的登录机制中,用户通常是在Windows***中提供的远程桌面中输入想要登录的Windows服务器的地址,如IP地址、域名等来连接到对应的Windows服务器。在用户终端连接到该Windows服务器后,就会给用户显示一个登陆界面,用户就可以通过在登录界面输入用户名和密码,来登录到Windows服务器上。但是,由于仅仅通过用户名和密码就可以登录到Windows服务器上,黑客就很容易通过暴力破解工具,使用机器对弱口令字典中的弱口令进行扫描,向Windows服务器发送数据包,来自动破解弱口令,从而,登录到用户的Windows服务器上。
可见,现有的Windows服务器的远程登录方法无法阻挡黑客的弱口令攻击,导致Windows服务器的安全性不高。
发明内容
有鉴于此,本发明实施例提供一种用于服务器登录的验证方法及装置,主要目的在于有效提高登录服务器的安全性,减低在登录过程中被暴力破解的可能性。
第一方面,本发明实施例提供一种用于服务器登录的验证方法,包括:
截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器。
优选地,所述输出包括确认按钮区域的虚拟登录界面,包括:
生成包括登陆信息填写区域和所述确认按钮区域的空白虚拟登录界面;
在所述登陆信息填写区域内写入第二登陆信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
将在所述登陆信息填写区域写有所述第二登陆信息的所述虚拟登陆界面向发起所述服务器登录请求的用户终端输出。
优选地,所述空白虚拟登陆界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同。
优选地,所述第一登陆信息包括登陆所述目标服务器所需的用户名信息和密码信息,所述在所述登陆信息填写区域内写入第二登陆信息,包括:
从截获的所述服务器登录请求中获取所述第一登录信息;
从所述第一登陆信息中提取登陆所述目标服务器所需的用户名信息作为所述第二登陆信息中的用户名信息,写入至所述登陆信息填写区域内的用户名填写子区域;
生成与所述第一登陆信息中密码信息相关的密码,作为所述第二登陆信息中的密码信息,写入至所述登陆信息填写区域内的密码填写子区域。
优选地,所述生成与所述第一登陆信息中密码信息相关的密码,包括:
获得所述第一登陆信息中密码信息的密码位数;
生成与所述第一登陆信息中密码信息的密码位数相同的随机密码。
优选地,所述截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,包括:
获取所述用户终端的终端地址信息;
判断所述终端地址信息是否属于登陆验证范围;
如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
优选地,所述判断所述终端地址信息是否属于登陆验证范围,包括:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登陆验证范围。
优选地,所述获取所述用户终端的终端地址信息,包括:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登陆请求时,从所述服务器登陆请求中获取所述终端地址信息。
优选地,所述输出包括确认按钮区域的虚拟登录界面,包括:
监控所述目标服务器在当前时段内是否受到弱口令攻击;
如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
优选地,所述输出包括确认按钮区域的虚拟登录界面,包括:
获取所述服务器登录请求的访问源地址信息;
判断所述访问源地址信息是否属于攻击者IP列表;
如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
第二方面,本发明实施例提供一种用于服务器登录的验证装置,所述装置包括:
请求截获模块,用于截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
界面输出模块,用于响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
登陆请求处理模块,用于如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器。
优选地,所述界面输出模块,包括:
虚拟界面生成单元,用于生成包括登陆信息填写区域和所述确认按钮区域的空白虚拟登录界面;
信息填写单元,用于在所述登陆信息填写区域内写入第二登陆信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
虚拟界面输出单元,用于将在所述登陆信息填写区域写有所述第二登陆信息的所述虚拟登陆界面向发起所述服务器登录请求的用户终端输出。
优选地,所述空白虚拟登陆界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同。
优选地,所述第一登陆信息包括登陆所述目标服务器所需的用户名信息和密码信息,所述信息填写单元,包括:
信息获取子单元,用于从截获的所述服务器登录请求中获取所述第一登录信息;
用户名写入子单元,用于从所述第一登陆信息中提取登陆所述目标服务器所需的用户名信息作为所述第二登陆信息中的用户名信息,写入至所述登陆信息填写区域内的用户名填写子区域;
密码写入子单元,用于生成与所述第一登陆信息中密码信息相关的密码,作为所述第二登陆信息中的密码信息,写入至所述登陆信息填写区域内的密码填写子区域。
优选地,所述密码写入子单元,具体用于:
获得所述第一登陆信息中密码信息的密码位数;
生成与所述第一登陆信息中密码信息的密码位数相同的随机密码。
优选地,所述请求截获模块,包括:
地址获取单元,用于获取所述用户终端的终端地址信息;
判断单元,用于判断所述终端地址信息是否属于登陆验证范围;
执行截获单元,用于如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
优选地,所述判断单元,具体用于:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登陆验证范围。
优选地,所述地址获取单元,具体用于:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登陆请求时,从所述服务器登陆请求中获取所述终端地址信息。
优选地,所述界面输出模块,包括:
攻击监控单元,用于监控所述目标服务器在当前时段内是否受到弱口令攻击;
第一输出处理单元,用于如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
优选地,所述界面输出模块,包括:
地址获取单元,用于获取所述服务器登录请求的访问源地址信息;
地址判断单元,用于判断所述访问源地址信息是否属于攻击者IP列表;
第二输出处理单元,用于如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
第三方面,本发明实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现第一方面任一实现方式所述的步骤。
第四方面,本发明实施例提供一种用于服务器登录的验证设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现第一方面任一实现方式所述的步骤。
本发明实施例提供的一个或者多个技术方案,至少具有如下技术效果或者优点:
由于在登录到目标服务器之前截获了服务器登录请求,因此服务器登录请求不会直接发送到目标服务器,而是输出供用户执行确定登录操作的虚拟登录界面,只有在用户执行对虚拟登录界面上确认按钮区域的操作,才会将截获的服务器登录请求发送给服务器,而执行对虚拟登录界面上确认按钮区域的操作是扫码器的弱口令扫描无法完成的,从而,就可以在非法用户通过弱口令扫描攻击目标服务器时,目标服务器根本不会接收到该服务器登陆请求,使得非法用户无法登录到目标服务器上,因此,减低在登录过程中被暴力破解的可能性,以此能够提高服务器的安全性。
并且由于不需要服务器下发验证码,再输入验证码进行验证的过程,因此,在提高了服务器安全性的同时,不会增加验证复杂性,因此,提高了用户体验,减少了网络资源浪费。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1-1为本发明实施例提供的用于服务器登录的验证方法的流程图;
图1-2为本发明实施例中虚拟登陆界面的结构示意图;
图1-3本发明实施例中远程桌面连接的连接界面示意图;
图2为本发明实施例提供的用于服务器登录的验证装置的程序模块图;
图3为本发明实施例提供的用于服务器登录的验证设备的结构框图。
具体实施方式
本发明实施例提供一种用于服务器登录的验证方法,以解决服务器的安全性不高的技术问题。
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
本发明实施例提供的用于服务器登录的验证方法可以应用于各种需要远程登录至目标服务器的场合,如需要给目标服务器创建新的管理人员账户、需要管理目标服务器上的数据资源、下载目标服务器上的数据资源、需要向目标服务器上传数据资源等情况。优选的,可以是应用在搭载Windows***的用户终端,对应的,目标服务器为Windows服务器,用于服务器登录的验证方法应用在用户终端需要远程登录至Windows服务器的场合下。
图1-1为本发明实施例提供的用于服务器登录的验证方法的流程图,参考图1-1所示,该用于服务器登录的验证方法包括如下步骤:
执行步骤S101:截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,服务器登录请求中携带有登录所述目标服务器所需的第一登录信息。
步骤S101中,服务器登录请求由用户终端发起,具体的实现过程如下:
用户终端获取用户所输入的服务器地址信息,根据服务器地址信息向目标服务器发起服务器连接请求。目标服务器响应于接收到的服务器连接请求,使得用户终端连接至目标服务器。在用户终端连接至目标服务器之后,用户终端基于所述服务器地址信息向目标服务器发起服务器登陆请求。
具体的,用户终端上安装有远程桌面连接应用,远程桌面连接应用的连接界面130可以参考图1-3所示。目标服务器发起服务器连接请求的实现方式可以为:
获取用户在远程桌面连接应用的连接界面130中所输入的服务器地址信息,向用户所输入的服务器地址信息发起服务器连接请求,从而向目标服务器发起服务器连接请求。其中,服务器地址信息可以为目标服务器的IP(Internet Protocol)地址或域名。
具体的,用户终端基于服务器地址信息向目标服务器发起服务器登陆请求的实现方式具体可以为:用户终端输出用于给用户输入第一登陆信息的真实登录界面。获取用户在真实登陆界面输入的第一登陆信息,根据第一登陆信息生成服务器登陆请求,基于服务器地址信息向目标服务器发起服务器登陆请求。
在具体实施过程中,真实登录界面包括登陆信息输入区域和一个以上按钮控件区域,登陆信息输入区域用于给用户输入第一登陆信息。按钮控件区域包括用于给用户执行发起服务器登陆请求的操作的按钮、取消服务登陆请求的操作的按钮,等等。第一登陆信息包括用户名信息和密码信息。真实登陆界面的登陆信息输入区域可以包括用于输入第一登录信息中用户名信息的用户名输入区域和用于输入第一登录信息中用户密码的用户密码输入区域。
具体的,用户终端可以是PC终端、移动终端。在具体实施过程中,用户终端可以为搭载任一操作***的个人计算机、智能手机、平板电脑、医疗设备、车载设备、个人数字助手等等。
下面,以用户终端搭载Windows***为例进行说明。对应的,目标服务器为Windows服务器,对步骤S101的实施过程进行举例描述,本领域技术人员可以基于此描述知晓用户终端在搭载其他***时步骤S101的实现过程:
在本实施例中,远程桌面连接应用具体为Windows远程桌面连接应用。
用户在Windows***提供的Windows远程桌面连接应用的连接界面130中输入服务器地址信息,向用户所输入的服务器地址信息发起服务器连接请求,Windows服务器接收服务器连接请求,从而用户终端连接到该服务器地址信息对应的Windows服务器。在用户终端连接到该服务器地址信息对应的Windows服务器后,用户终端输出由Windows***所提供的真实登陆界面。基于用户输入至真实登陆界面的第一登陆信息生成服务器登陆请求。
参考图1-3所示,远程桌面连接应用的连接界面130包括服务器地址填写区域131和连接按钮区域132,在实际应用中,在用户终端需要远程登录到Windows服务器的情况下,用户终端调用所安装的远程桌面连接应用,向用户输出连接界面130。在连接界面130中的服务器地址填写区域131内输入所要连接的Windows服务器的服务器地址信息,点击连接按钮区域132,响应于对连接按钮区域132的点击操作,用户终端生成服务器连接请求,并根据地址填写区域131内的服务器地址信息,将该服务器连接请求发送至Windows服务器。这样,相应的Windows服务器就可以获得用户终端所发送的服务器连接请求。
在具体实施过程中,截获服务器登录请求的实施方式可以有多种,下面给出两种实施方式:
实施方式一:由同一设备发起服务器登陆请求的用户终端与截获服务器登陆请求。具体来讲,在用户终端上安装有用于截获服务器登录请求的截获应用插件,截获应用插件运行在用户终端上。在用户终端发起服务器登陆请求时,通过运行在用户终端上的截获应用插件截获服务器登陆请求。
实施方式二:发起服务器登陆请求的用户终端与截获服务器登陆请求的设备不属于同一设备。具体的,截获服务器登陆请求的设备为目标服务器与发起服务器登陆请求的用户终端之间的中间设备。用户终端通过中间设备向目标服务器发起服务器登陆请求,由中间设备截获用户终端。
实施方式三、在目标服务器所在设备上安装有用于截获服务器登录请求的截获应用插件,在用户终端发起服务器登陆请求时,通过运行在目标服务器所在设备上的截获应用插件截获服务器登陆请求。
在具体实施过程中,可以针对每一个用户终端发起的服务器登陆请求进行截获,然后执行步骤S102~S103,从而对每一个用户终端所发起的每一个服务器登陆请求均进行验证是否需要发送给目标服务器。通过这种实现方式能够绝对确保目标服务器的安全。
在具体实施过程中,为了提高服务器登陆的时效性。也可以设置截获服务器登陆请求的截获条件,在当前情况符合所设置的截获条件时,截获用户终端所发起的服务器登陆请求,否则直接放行用户终端发起的服务器登陆请求。
实施方式一、可以基于终端地址信息设置截获条件。具体的,截获条件为:用户终端的终端地址信息属于登陆验证范围,具体的实现过程如下:
获取用户终端的终端地址信息;判断用户终端的终端地址信息是否属于登陆验证范围;如果是,执行截获服务器登录请求的步骤,否则,直接放行服务器登录请求。
其中,登陆验证范围包括属于新的地址、特定地址段、预设地址黑名单中的一种以上情况。
判断用户终端的终端地址信息是否属于登陆验证范围,具体可以是:对用户终端的终端地址信息执行如下一种以上的判断:判断终端地址信息是否为新的地址、判断终端地址信息是否属于特定地址段、判断终端地址信息是否属于预设地址黑名单;如果对终端地址信息的判断满足一个以上判断结果为是,确定终端地址信息属于登陆验证范围。
在具体实施过程中,新的地址可以为对于目标服务器而言是新的地址,具体来讲,从第一次向目标服务器发起服务器登录用户的用户终端的终端地址信息为新的地址。从而,判断终端地址信息是否为新的地址,具体的实现过程为:
判断终端地址信息所对应的用户终端是否第一次向目标服务器发起服务器登陆请求,如果是,确定用户终端的终端地址信息为新的地址,否则,表明用户终端的终端地址信息不是新的地址。通过这种实现方式,能够实现只有用户终端是第一次向目标服务器发起服务器登陆请求时才截获服务器登录请求,同一用户终端再次向目标服务器发起服务器登陆请求时,则直接放行服务器登陆请求,使得用户终端在除了首次登陆目标服务器,之后的其他次登陆目标服务器均能够直接登陆至目标服务器,避免了步骤S102~S103,从而减少了用户再次登录目标服务器的时间,从而兼顾了远程登陆服务器的时效性和安全性。
在具体实施过程中,新的地址也可以为相对于截获服务器登陆请求事件而言是新的地址。具体来讲,第一次截获用户终端发起的服务器登陆请求,则所述用户终端的终端地址信息为新的地址。从而,判断终端地址信息是否为新的地址,具体的实现过程为:
判断用户终端是否第一次截获用户终端发起的服务器登陆请求,如果是,则确定用户终端的终端地址信息为新的地址,否则,表明用户终端的终端地址信息不是新的地址。通过这种实现方式,能够在用户终端第一次发起服务器登录请求会被截获服务器登录请求,同一用户终端再次发起服务器登陆请求,则直接放行服务器登陆请求,使得用户终端只有首次发起服务器登陆请求会被截获服务器登录请求,从而更加减少了截获服务器登陆请求的情况,进一步减少了正常用户登录服务器的时间。
在具体实施过程中,特定地址段可以根据实际需要进行设定,比如可以设定为海外IP地址段,也可以可以设定为国内某些地区的IP地址段,或者海外IP地址段域某内某些地区的IP地址段。
在具体实施过程中,预设地址黑名单可以是基于大数据收集获得的地址黑名单。
在步骤S101之后,接着执行步骤S102:响应于截获服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,确认按钮区域用于接受确定登录目标服务器的操作。
在具体实施过程中,为了在目标服务器在比较安全的情况下,简化登陆过程,减少登陆目标服务器的复杂度。因此,在步骤S102中,输出包括确认按钮区域的虚拟登录界面,具体可以存在如下多种实施方式,下面进行分别说明:
实施方式一:监控目标服务器在当前时段内是否受到弱口令攻击;
如果目标服务器在当前时段内受到弱口令攻击,则输出包括确认按钮区域的虚拟登录界面,否则,直接放行截获的服务器登录请求。
具体而言,当前时间段可以根据实际需求设置,比如,可以设置为当前时刻,或者设置为从当前时刻开始倒推计算的一天内、一周内等等。
针对应用于中间设备而言,以目标服务器为Windows服务器为例,由中间设备直接监控Windows服务器在当前时间段内是否受到弱口令攻击,如果Windows服务器在当前时段内受到弱口令攻击,则输出包括确认按钮区域的虚拟登录界面,否则,直接放行截获的服务器登录请求。
同样,针对应用于发起服务器登录请求的用户终端而言以目标服务器为Windows服务器为例,在该用户终端发起服务器登录请求时,接收Windows服务器下发的用于表征是否受到弱口令攻击的反馈消息。如果反馈消息表明Windows服务器在当前时段内受到弱口令攻击,则输出包括确认按钮区域的虚拟登录界面;否则,直接放行截获的服务器登录请求。
实施方式二:获取服务器登录请求的访问源地址信息;判断访问源地址信息是否属于攻击者IP列表;如果访问源地址信息是否属于攻击者IP列表,输出包括确认按钮区域的虚拟登录界面,否则,直接放行截获的服务器登录请求。
具体而言,攻击者IP列表可以为开发人员预先建立。攻击者IP列表中的各攻击者IP地址为根据目标服务器的弱口令攻击记录生成,也可以为根据包括目标服务器在内的大量服务器的弱口令攻击记录生成。
在具体实施过程中,还可以在生成攻击者IP列表之后,如果获得针对目标服务器的新的弱口令攻击事件,则将新的弱口令攻击事件中攻击者IP地址增加至攻击者IP列表中,以实现对攻击者IP列表的更新,以不断完善攻击者IP列表。
具体的,输出包括确认按钮区域的虚拟登录界面,实现过程如下:
首先,执行步骤S1021:生成包括登陆信息填写区域和确认按钮区域的空白虚拟登录界面。
需要说明的是,空白虚拟登陆界面的界面样式与用户终端上用于输入第一登录信息的真实登录界面的界面样式相同,从而避免给用户造成需要重新登录服务器的错觉,提高用户体验度。
具体而言,界面样式相同可以是:空白虚拟登陆界面的登陆信息填写区域与真实登陆界面的登陆信息输入区域的位置、尺寸、颜色等相同。空白虚拟登陆界面的按钮控件区域与真实登陆界面的确认按钮区域具有相同尺寸、出于相同位置、具有相同颜色。当然,在具体实施过程中,可以不限于上述指明的相同项。
在步骤S1021之后,接着执行步骤S1022:在登陆信息填写区域内写入第二登陆信息,获得虚拟登录界面。
第二登录信息与第一登录信息之间满足预设相似条件。具体的,在登陆信息填写区域内写入第二登陆信息的实现过程可以如下:
从截获的服务器登录请求中获取第一登录信息,根据第一登陆信息确定第二登录信息。在登录信息填写区域写入第二登录信息。
具体来讲,第一登陆信息可以包括登陆目标服务器所需的用户名信息和密码信息。当然,第一登录信息还可以包括其他信息,比如验证码信息。在具体实施过程中,用户名信息可以为邮箱、手机号、昵称等。密码信息可以为纯字母、纯数字、字母数字的组合等形式。
需要说明的是,第二登录信息与第一登录信息之间满足预设相似条件,具体可以为:第二登录信息与第一登录信息具有相同的用户名信息,还可以是在具有相同的用户名信息的同时,第二登录信息与第一登录信息具有相关的密码信息。
针对第一登陆信息包括登陆目标服务器所需的用户名信息和密码信息的情况下,登陆信息填写区域包括用户名填写子区域和密码填写子区域。在登陆信息填写区域内写入第二登陆信息,具体实现过程可以包括如下步骤1~3:
步骤1、从截获的服务器登录请求中获取第一登录信息。
步骤2、从第一登陆信息中提取登陆目标服务器所需的用户名信息作为第二登陆信息中的用户名信息写入至登陆信息填写区域内的用户名填写子区域。
具体而言,就是将从第二登录信息中提取的用户名信息直接写入至登录信息填写区域的用户名填写子区域。
步骤3、生成与第一登陆信息中密码信息相关的密码,作为第二登陆信息中的密码信息写入至登陆信息填写区域内的密码填写子区域。
具体而言,步骤3至少有如下多种实施方式:
实施方式一:适用于第一登陆信息中的密码信息不可知晓的情况下,
步骤31:获得第一登陆信息中密码信息的密码位数。在具体实施过程中,可以通过检测第一登陆信息中密码信息的所占字节长度,确定第一登陆信息中密码信息的密码位数。
步骤32:生成与第一登陆信息中密码信息的密码位数相同的随机密码。
在具体实施过程中,随机密码以密码不可见的形式表示。比如,以固定字符表示随机密码中的每一位。可以是字符星号字符“*”、,也可以是圆形字符“●”等等。
具体的,输出的虚拟登陆界面可以参考图1-2所示,在虚拟登陆界面120上的用户名填写子区域121填写有用户名信息,在虚拟登陆界面120上的密码填写子区域122填写有随机密码,虚拟登陆界面120上的确认按钮区域123用于接受用户的操作,比如接受用户的点击操作。
实施方式二:在第一登陆信息中的密码信息可以知晓的情况下,直接获取第一登陆信息中提取密码信息,并且将从第一登录信息中提取的密码信息,作为第二登录信息中的密码信息直接写入至登陆信息填写区域的密码填写子区域。
实施方式三:在第一登陆信息中的密码信息不可知晓的情况下,还可以生成与第一登陆信息中密码信息相关的密码图片,覆盖于登陆信息填写区域内的密码填写子区域。具体而言,所生成密码图片中的密码位数与第一登陆信息中密码信息的密码位数相同。
在步骤S1022之后,接着执行步骤S1023:将虚拟登陆界面向发起服务器登录请求的用户终端输出。
在步骤S1023中,是向用户终端的显示界面输出虚拟登陆界面,所输出的虚拟登陆界面上已经填写有第二登录信息。
在具体实施过程中,结合前述实施例,如果由安装在用户终端上截获应用插件的执行截获服务器登陆请求这一动作,则截获应用插件直接向用户终端的显示界面输出已经填写有第二登录信息的虚拟登陆界面。
如果发起服务器登陆请求与截获服务器登陆请求不在同一设备上,截获服务器登陆请求的中间设备向用户终端下发已经填写有第二登录信息的虚拟登陆界面,指示用户终端将已经填写有第二登录信息的虚拟登陆界面输出在用户终端的显示界面上。
在步骤S102之后,接着执行步骤S103:如果检测到对确认按钮区域的操作,将截获的服务器登录请求发送至目标服务器,使得用户终端基于第一登录信息登录至目标服务器;否则,不发送截获的服务器登录请求至目标服务器。
具体的,对确认按钮区域的操作为点击操作,如果检测到对确认按钮区域的点击操作,由执行截获服务器登陆请求的中间设备或者用户终端上运行截获应用插件,根据服务器地址信息将截获的服务器登录请求发送给目标服务器。
在具体实施过程中,为了验证发送登录请求的用户合法性,截获用户终端发起的服务器登录请求之后,检测是否存在对确认按钮区域的点击操作来判断服务器登录请求的合法性,从而判断该服务器登录请求是否会引起目标服务器的不安全。具体地,如果检测到对确认按钮区域的点击操作,则截获服务器登陆请求的中间设备或者截获应用插件会得到对应的点击操作信号,从而确定该服务器登录请求是由合法用户通过对应的用户终端发送的,对于目标服务器而言,发起该服务器登陆请求的用户终端登录至目标服务器是安全的。由于黑客通过弱口令攻击发送的服务器登陆请求是无法进行对确认按钮区域进行点击操作的。因此,如果检测不到对确认按钮区域的点击操作,就可以确定是所截获的服务器登录请求由非法用户发起的服务器登录请求,隐含不安全因素,也就是说,该服务器登录请求对于目标服务器而言是不安全的。
在实际应用中,由于非法用户,如黑客在进行暴力破解时,只是通过破解工具,由终端不断地自动地扫描弱口令字典中的弱口令,将弱口令即身份信息按照预设的协议,打包成数据包直接发送给服务器,也就是说,黑客是通过破解工具,自动控制终端直接向服务器发送带有身份信息的数据包来实现发送服务器登录请求的,该破解工具在进行扫描发送的时候,是无法进行对确认按钮区域的点击确定操作。因此,根据是否有对确认按钮区域的点击操作,就可以判断截获的服务器登陆请求是合法用户通过用户终端发来的,还是黑客通过弱口令方式从用户终端发来的,再以此确定是否向目标服务器发送所截获的服务器登陆请求,由此过滤掉非法用户所发起的服务器登陆请求。对于服务器而言,不需要作出任何改进,就可以提高其安全性。
在具体实施过程中,目标服务器的服务器地址可以通过如下方式获得:
方式一:在用户终端向目标服务器发起服务器连接请求时,从服务器连接请求中获取终端地址信息。
方式二:在用户终端向目标服务器发起服务器登陆请求时,从服务器登陆请求中获取终端地址信息。
基于步骤S101~S103可以不断对预设地址黑名单进行更新,具体实现过程如下:
在一实施方式中,在截获服务器登录请求之后,如果未检测到对虚拟登录界面中确认按钮区域的点击操作,则将发起服务器登陆请求的用户终端的终端地址信息加入预设地址黑名单中,从而实现对预设地址黑名单的不断更新。
基于同一发明构思,本发明实施例提供一种用于服务器登录的验证装置,该装置实施例与前述方法实施例对应,为便于阅读,本装置实施例不再对前述方法实施例中的细节内容进行逐一赘述,但应当明确,本实施例中的装置能够对应实现前述方法实施例中的全部内容。
图2为本发明实施例提供的用于服务器登录的验证装置的程序模块图参考图2所示,用于服务器登录的验证装置包括:
请求截获模块201,用于截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,服务器登录请求中携带有登录目标服务器所需的第一登录信息;
界面输出模块202,用于响应于截获服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,确认按钮区域用于接受确定登录目标服务器的操作;
登陆请求处理模块203,用于如果检测到对确认按钮区域的操作,将截获的服务器登录请求发送至目标服务器,使得用户终端基于第一登录信息登录至目标服务器;否则,不发送截获的服务器登录请求至目标服务器。
在本实施例提供的一实施方式中,界面输出模块202,包括:
虚拟界面生成单元,用于生成包括登陆信息填写区域和确认按钮区域的空白虚拟登录界面;
信息填写单元,用于在登陆信息填写区域内写入第二登陆信息,获得虚拟登录界面,其中,第二登录信息与第一登录信息之间满足预设相似条件;
虚拟界面输出单元,用于将在登陆信息填写区域写有第二登陆信息的虚拟登陆界面向发起服务器登录请求的用户终端输出。
在本实施例提供的一实施方式中,,空白虚拟登陆界面的界面样式与用户终端上用于输入第一登录信息的真实登录界面的界面样式相同。
在本实施例提供的一实施方式中,第一登陆信息包括登陆目标服务器所需的用户名信息和密码信息,信息填写单元,包括:
登陆信息获取子单元,用于从截获的服务器登录请求中获取第一登录信息;
信息提取子单元,用于从第一登陆信息中提取登陆目标服务器所需的用户名信息,作为第二登陆信息中的用户名信息;
密码生成子单元,用于生成与密码信息相关的密码,作为第二登陆信息中的密码输入信息;
用户名填写子单元,用于将用户名输入信息写入至登陆信息填写区域内的用户名填写子区域;
密码填写子单元,用于将密码输入信息写入至登陆信息填写区域内的密码填写子区域。
在本实施例提供的一实施方式中,,密码生成子单元,具体用于:
检测第一登陆信息中的密码信息的密码位数;
生成与密码信息具有相同密码位数的随机密码。
在本实施例提供的一实施方式中,请求截获模块201,包括:
地址获取单元,用于获取用户终端的终端地址信息;
判断单元,用于判断终端地址信息是否属于登陆验证范围;
执行截获单元,用于如果是,执行截获服务器登录请求的步骤,否则,直接放行服务器登录请求。
在本实施例提供的一实施方式中,判断单元,具体用于:
对终端地址信息执行如下一种以上的判断:判断终端地址信息是否为新的地址、判断终端地址信息是否属于特定地址段、判断终端地址信息是否属于预设地址黑名单;
如果对终端地址信息的判断满足一个以上判断结果为是,确定终端地址信息属于登陆验证范围。
在本实施例提供的一实施方式中,所述界面输出模块202,包括:
攻击监控单元,用于监控所述目标服务器在当前时段内是否受到弱口令攻击;
第一输出处理单元,用于如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
在本实施例提供的一实施方式中,所述界面输出模块202,包括:
地址获取单元,用于获取所述服务器登录请求的访问源地址信息;
地址判断单元,用于判断所述访问源地址信息是否属于攻击者IP列表;
第二输出处理单元,用于如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
在本实施例提供的一实施方式中,地址获取单元,具体用于:
在用户终端向目标服务器发起服务器连接请求时,从服务器连接请求中获取终端地址信息,或者;
在用户终端向目标服务器发起服务器登陆请求时,从服务器登陆请求中获取终端地址信息。
基于同一发明构思,作为对上述方法的实现,本发明实施例提供一种用于服务器登录的验证设备30,图3为本发明实施例三中的服务器登录设备的结构示意图,参见图3所示,该用于服务器登录的验证设备包括:存储器301、处理器302以及存储在存储器301上并可在处理器302上运行的计算机程序303,处理器执行程序303时实现以下步骤:
截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
响应于截获服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,确认按钮区域用于接受确定登录目标服务器的操作;
如果检测到对确认按钮区域的操作,将截获的服务器登录请求发送至目标服务器,使得用户终端基于第一登录信息登录至目标服务器;否则,不发送截获的服务器登录请求至目标服务器。
在本发明实施例中,上述处理器执行程序时还可实现以下步骤:
生成包括登陆信息填写区域和确认按钮区域的空白虚拟登录界面;
在登陆信息填写区域内写入第二登陆信息,获得虚拟登录界面,其中,第二登录信息与第一登录信息之间满足预设相似条件;
将在登陆信息填写区域写有第二登陆信息的虚拟登陆界面向发起服务器登录请求的用户终端输出。
如果第一登陆信息包括登陆目标服务器所需的用户名信息和密码信息,在本发明实施例中,上述处理器执行程序时还可实现以下步骤:从截获的服务器登录请求中获取第一登录信息;
从第一登陆信息中提取登陆目标服务器所需的用户名信息作为第二登陆信息中的用户名信息,写入至登陆信息填写区域内的用户名填写子区域;
生成与第一登陆信息中密码信息相关的密码,作为第二登陆信息中的密码信息,写入至登陆信息填写区域内的密码填写子区域。
在本发明实施例中,上述处理器执行程序时还可实现以下步骤:生成与第一登陆信息中密码信息相关的密码,包括:
获得第一登陆信息中密码信息的密码位数;
生成与第一登陆信息中密码信息的密码位数相同的随机密码。
优选地,截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,包括:
获取用户终端的终端地址信息;
判断终端地址信息是否属于登陆验证范围;
如果是,执行截获服务器登录请求的步骤,否则,直接放行服务器登录请求。
在本发明实施例中,上述处理器执行程序时还可实现以下步骤:对终端地址信息执行如下一种以上的判断:判断终端地址信息是否为新的地址、判断终端地址信息是否属于特定地址段、判断终端地址信息是否属于预设地址黑名单;
如果对终端地址信息的判断满足一个以上判断结果为是,确定终端地址信息属于登陆验证范围。
在本发明实施例中,上述处理器执行程序时还可实现以下步骤:在用户终端向目标服务器发起服务器连接请求时,从服务器连接请求中获取终端地址信息,或者;
在用户终端向目标服务器发起服务器登陆请求时,从服务器登陆请求中获取终端地址信息。
基于同一发明构思,本发明实施例提供一种计算机存储介质,其上存储有计算机程序,上述指令可由图3所示的验证设备30的处理器302执行以完成上述方法。所述计算机存储介质具体为非临时性计算机可读存储介质,具体可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本发明提供的上述实施例,至少实现了如下技术效果或者优点:
由于在登录到目标服务器之前截获了服务器登录请求,因此服务器登录请求不会直接发送到目标服务器,而是输出供用户执行确定登录操作的虚拟登录界面,只有在用户执行对虚拟登录界面上确认按钮区域的操作,才会将截获的服务器登录请求发送给服务器,而执行对虚拟登录界面上确认按钮区域的操作是扫码器的弱口令扫描无法完成的,从而,就可以在非法用户通过弱口令扫描攻击目标服务器时,目标服务器根本不会接收到该服务器登陆请求,使得非法用户无法登录到目标服务器上,因此,减低在登录过程中被暴力破解的可能性,以此能够提高服务器的安全性。
并且由于不需要服务器下发验证码,再输入验证码进行验证的过程,因此,在提高了服务器安全性的同时,不会增加验证复杂性,因此,提高了用户体验,减少了网络资源浪费。
在此提供的算法和显示不与任何特定计算机、虚拟***或者其它设备固有相关。各种通用***也可以与基于在此的示教一起使用。根据上面的各描述,构造这类***所要求的结构是显而易见的。此外,本发明也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本发明的内容,并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。
在此处所提供的说明书中,说明了大量具体细节。然而,能够理解,本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中,并未详细示出公知的方法、结构和技术,以便不模糊对本说明书的理解。
类似地,应当理解,为了精简本公开并帮助理解各个发明方面中的一个或多个,在上面对本发明的示例性实施例的描述中,本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而,并不应将该公开的方法解释成反映如下意图:即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说,如下面的权利要求书所反映的那样,发明方面在于少于前面公开的单个实施例的所有特征。因此,遵循具体实施方式的权利要求书由此明确地并入该具体实施方式,其中每个权利要求本身都作为本发明的单独实施例。
本领域那些技术人员可以理解,可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件,以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外,可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述,本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。
此外,本领域的技术人员能够理解,尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征,但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如,在下面的权利要求书中,所要求保护的实施例的任意之一都可以以任意的组合方式来使用。
本发明的各个部件实施例可以以硬件实现,或者以在一个或者多个处理器上运行的软件模块实现,或者以它们的组合实现。本领域的技术人员应当理解,可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本发明实施例的智能摄像***以及网络摄像头中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者***程序(如计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上,或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到,或者在载体信号上提供,或者以任何其他形式提供。
应该注意的是,上述各实施例对本发明进行说明而不是对本发明进行限制,并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中,不应该将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或者步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干***的单元权利要求中,这些***中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二以及第三等的使用不表示任何顺序。可将这些单词解释为名称。
本发明公开了A1、一种用于服务器登录的验证方法,包括:
截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器。
A2、如A1所述的用于服务器登录的验证方法,所述输出包括确认按钮区域的虚拟登录界面,包括:
生成包括登陆信息填写区域和所述确认按钮区域的空白虚拟登录界面;
在所述登陆信息填写区域内写入第二登陆信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
将在所述登陆信息填写区域写有所述第二登陆信息的所述虚拟登陆界面向发起所述服务器登录请求的用户终端输出。
A3、如A2所述的用于服务器登录的验证方法,所述空白虚拟登陆界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同。
A4、如A2所述的用于服务器登录的验证方法,所述第一登陆信息包括登陆所述目标服务器所需的用户名信息和密码信息,所述在所述登陆信息填写区域内写入第二登陆信息,包括:
从截获的所述服务器登录请求中获取所述第一登录信息;
从所述第一登陆信息中提取登陆所述目标服务器所需的用户名信息作为所述第二登陆信息中的用户名信息,写入至所述登陆信息填写区域内的用户名填写子区域;
生成与所述第一登陆信息中密码信息相关的密码,作为所述第二登陆信息中的密码信息,写入至所述登陆信息填写区域内的密码填写子区域。
A5、如A4所述的用于服务器登录的验证方法,所述生成与所述第一登陆信息中密码信息相关的密码,包括:
获得所述第一登陆信息中密码信息的密码位数;
生成与所述第一登陆信息中密码信息的密码位数相同的随机密码。
A6、如A1-A5中任一项所述的用于服务器登录的验证方法,所述截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,包括:
获取所述用户终端的终端地址信息;
判断所述终端地址信息是否属于登陆验证范围;
如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
A7、如A6所述的用于服务器登录的验证方法,所述判断所述终端地址信息是否属于登陆验证范围,包括:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登陆验证范围。
A8、如A6所述的用于服务器登录的验证方法,所述获取所述用户终端的终端地址信息,包括:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登陆请求时,从所述服务器登陆请求中获取所述终端地址信息。
A9、如A1-A5中任一项所述的用于服务器登录的验证方法,所述输出包括确认按钮区域的虚拟登录界面,包括:
监控所述目标服务器在当前时段内是否受到弱口令攻击;
如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
A10、如A1-A5中任一项所述的用于服务器登录的验证方法,所述输出包括确认按钮区域的虚拟登录界面,包括:
获取所述服务器登录请求的访问源地址信息;
判断所述访问源地址信息是否属于攻击者IP列表;
如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
本发明公开了B11、一种用于服务器登录的验证装置,所述装置包括:
请求截获模块,用于截获用户终端发起的用于请求登陆目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
界面输出模块,用于响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
登陆请求处理模块,用于如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器。
B12、如B11所述的用于服务器登录的验证装置,所述界面输出模块,包括:
虚拟界面生成单元,用于生成包括登陆信息填写区域和所述确认按钮区域的空白虚拟登录界面;
信息填写单元,用于在所述登陆信息填写区域内写入第二登陆信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
虚拟界面输出单元,用于将在所述登陆信息填写区域写有所述第二登陆信息的所述虚拟登陆界面向发起所述服务器登录请求的用户终端输出。
B13、如B12所述的用于服务器登录的验证装置,所述空白虚拟登陆界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同。
B14、如B12所述的用于服务器登录的验证装置,所述第一登陆信息包括登陆所述目标服务器所需的用户名信息和密码信息,所述信息填写单元,包括:
信息获取子单元,用于从截获的所述服务器登录请求中获取所述第一登录信息;
用户名写入子单元,用于从所述第一登陆信息中提取登陆所述目标服务器所需的用户名信息作为所述第二登陆信息中的用户名信息,写入至所述登陆信息填写区域内的用户名填写子区域;
密码写入子单元,用于生成与所述第一登陆信息中密码信息相关的密码,作为所述第二登陆信息中的密码信息,写入至所述登陆信息填写区域内的密码填写子区域。
B15、如B14所述的用于服务器登录的验证装置,所述密码写入子单元,具体用于:
获得所述第一登陆信息中密码信息的密码位数;
生成与所述第一登陆信息中密码信息的密码位数相同的随机密码。
B16、如B11-B15中任一项所述的用于服务器登录的验证装置,所述请求截获模块,包括:
地址获取单元,用于获取所述用户终端的终端地址信息;
判断单元,用于判断所述终端地址信息是否属于登陆验证范围;
执行截获单元,用于如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
B17、如B16所述的用于服务器登录的验证装置,所述判断单元,具体用于:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登陆验证范围。
B18、如B17所述的用于服务器登录的验证装置,所述地址获取单元,具体用于:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登陆请求时,从所述服务器登陆请求中获取所述终端地址信息。
B19、如B11-B15中任一项所述的用于服务器登录的验证装置,所述界面输出模块,包括:
攻击监控单元,用于监控所述目标服务器在当前时段内是否受到弱口令攻击;
第一输出处理单元,用于如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
B20、如权利要求B11-B15中任一项所述的用于服务器登录的验证装置,所述界面输出模块,包括:
地址获取单元,用于获取所述服务器登录请求的访问源地址信息;
地址判断单元,用于判断所述访问源地址信息是否属于攻击者IP列表;
第二输出处理单元,用于如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
本发明公开了,C21、一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现A1-A10中任一项所述的步骤。
本发明公开了,D22、一种用于服务器登录的验证设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现A1-A10中任一项所述的步骤。

Claims (16)

1.一种用于服务器登录的验证方法,其特征在于,包括:
截获用户终端发起的用于请求登录 目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器;
其中,所述输出包括确认按钮区域的虚拟登录界面,包括:
生成包括登录 信息填写区域和所述确认按钮区域的空白虚拟登录界面;
在所述登录 信息填写区域内写入第二登录 信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
将在所述登录 信息填写区域写有所述第二登录 信息的所述虚拟登录 界面向发起所述服务器登录请求的用户终端输出;
其中,所述空白虚拟登录 界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同;
其中,所述第一登录 信息包括登录 所述目标服务器所需的用户名信息和密码信息,所述在所述登录 信息填写区域内写入第二登录 信息,包括:
从截获的所述服务器登录请求中获取所述第一登录信息;
从所述第一登录 信息中提取登录 所述目标服务器所需的用户名信息作为所述第二登录 信息中的用户名信息,写入至所述登录 信息填写区域内的用户名填写子区域;
生成与所述第一登录 信息中密码信息相关的密码,作为所述第二登录 信息中的密码信息,写入至所述登录 信息填写区域内的密码填写子区域。
2.如权利要求1所述的用于服务器登录的验证方法,其特征在于,所述生成与所述第一登录 信息中密码信息相关的密码,包括:
获得所述第一登录 信息中密码信息的密码位数;
生成与所述第一登录 信息中密码信息的密码位数相同的随机密码。
3.如权利要求1或2所述的用于服务器登录的验证方法,其特征在于,所述截获用户终端发起的用于请求登录 目标服务器的服务器登录请求,包括:
获取所述用户终端的终端地址信息;
判断所述终端地址信息是否属于登录 验证范围;
如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
4.如权利要求3所述的用于服务器登录的验证方法,其特征在于,所述判断所述终端地址信息是否属于登录 验证范围,包括:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登录 验证范围。
5.如权利要求3所述的用于服务器登录的验证方法,其特征在于,所述获取所述用户终端的终端地址信息,包括:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登录 请求时,从所述服务器登录请求中获取所述终端地址信息。
6.如权利要求5所述的用于服务器登录的验证方法,其特征在于,所述输出包括确认按钮区域的虚拟登录界面,包括:
监控所述目标服务器在当前时段内是否受到弱口令攻击;
如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
7.如权利要求6所述的用于服务器登录的验证方法,其特征在于,所述输出包括确认按钮区域的虚拟登录界面,包括:
获取所述服务器登录请求的访问源地址信息;
判断所述访问源地址信息是否属于攻击者IP列表;
如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
8.一种用于服务器登录的验证装置,其特征在于,所述装置包括:
请求截获模块,用于截获用户终端发起的用于请求登录 目标服务器的服务器登录请求,所述服务器登录请求中携带有登录所述目标服务器所需的第一登录信息;
界面输出模块,用于响应于截获所述服务器登录请求的事件,输出包括确认按钮区域的虚拟登录界面,所述确认按钮区域用于接受确定登录所述目标服务器的操作;
登录 请求处理模块,用于如果检测到对所述确认按钮区域的操作,将截获的所述服务器登录请求发送至所述目标服务器,使得所述用户终端基于所述第一登录信息登录至所述目标服务器;否则,不发送截获的所述服务器登录请求至所述目标服务器;
其中,所述界面输出模块,包括:
虚拟界面生成单元,用于生成包括登录 信息填写区域和所述确认按钮区域的空白虚拟登录界面;
信息填写单元,用于在所述登录 信息填写区域内写入第二登录 信息,获得所述虚拟登录界面,其中,所述第二登录信息与所述第一登录信息之间满足预设相似条件;
虚拟界面输出单元,用于将在所述登录 信息填写区域写有所述第二登录 信息的所述虚拟登录 界面向发起所述服务器登录请求的用户终端输出;
其中,所述空白虚拟登录 界面的界面样式与所述用户终端上用于输入所述第一登录信息的真实登录界面的界面样式相同;
其中,所述第一登录 信息包括登录 所述目标服务器所需的用户名信息和密码信息,所述信息填写单元,包括:
信息获取子单元,用于从截获的所述服务器登录请求中获取所述第一登录信息;
用户名写入子单元,用于从所述第一登录 信息中提取登录 所述目标服务器所需的用户名信息作为所述第二登录 信息中的用户名信息,写入至所述登录 信息填写区域内的用户名填写子区域;
密码写入子单元,用于生成与所述第一登录 信息中密码信息相关的密码,作为所述第二登录 信息中的密码信息,写入至所述登录 信息填写区域内的密码填写子区域。
9.如权利要求8所述的用于服务器登录的验证装置,其特征在于,所述密码写入子单元,具体用于:
获得所述第一登录 信息中密码信息的密码位数;
生成与所述第一登录 信息中密码信息的密码位数相同的随机密码。
10.如权利要求7或8所述的用于服务器登录的验证装置,其特征在于,所述请求截获模块,包括:
地址获取单元,用于获取所述用户终端的终端地址信息;
判断单元,用于判断所述终端地址信息是否属于登录 验证范围;
执行截获单元,用于如果是,执行截获所述服务器登录请求的步骤,否则,直接放行所述服务器登录请求。
11.如权利要求10所述的用于服务器登录的验证装置,其特征在于,所述判断单元,具体用于:
对所述终端地址信息执行如下一种以上的判断:判断所述终端地址信息是否为新的地址、判断所述终端地址信息是否属于特定地址段、判断所述终端地址信息是否属于预设地址黑名单;
如果对所述终端地址信息的判断满足一个以上判断结果为是,确定所述终端地址信息属于所述登录 验证范围。
12.如权利要求11所述的用于服务器登录的验证装置,其特征在于,所述地址获取单元,具体用于:
在所述用户终端向所述目标服务器发起服务器连接请求时,从所述服务器连接请求中获取所述终端地址信息,或者;
在所述用户终端向所述目标服务器发起所述服务器登录 请求时,从所述服务器登录请求中获取所述终端地址信息。
13.如权利要求12所述的用于服务器登录的验证装置,其特征在于,所述界面输出模块,包括:
攻击监控单元,用于监控所述目标服务器在当前时段内是否受到弱口令攻击;
第一输出处理单元,用于如果所述目标服务器在所述当前时段内受到弱口令攻击,则输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
14.如权利要求13所述的用于服务器登录的验证装置,其特征在于,所述界面输出模块,包括:
地址获取单元,用于获取所述服务器登录请求的访问源地址信息;
地址判断单元,用于判断所述访问源地址信息是否属于攻击者IP列表;
第二输出处理单元,用于如果所述访问源地址信息是否属于攻击者IP列表,输出所述包括确认按钮区域的虚拟登录界面,否则,直接放行截获的所述服务器登录请求。
15.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现权利要求1-7中任一项所述的步骤。
16.一种用于服务器登录的验证设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-7中任一项所述的步骤。
CN201810301216.XA 2018-04-04 2018-04-04 一种用于服务器登录的验证方法及装置 Expired - Fee Related CN108712376B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810301216.XA CN108712376B (zh) 2018-04-04 2018-04-04 一种用于服务器登录的验证方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810301216.XA CN108712376B (zh) 2018-04-04 2018-04-04 一种用于服务器登录的验证方法及装置

Publications (2)

Publication Number Publication Date
CN108712376A CN108712376A (zh) 2018-10-26
CN108712376B true CN108712376B (zh) 2021-02-26

Family

ID=63867041

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810301216.XA Expired - Fee Related CN108712376B (zh) 2018-04-04 2018-04-04 一种用于服务器登录的验证方法及装置

Country Status (1)

Country Link
CN (1) CN108712376B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109840403B (zh) * 2019-01-14 2020-12-22 腾讯科技(深圳)有限公司 应用登录方法、装置、计算机可读存储介质和计算机设备
CN110035088B (zh) * 2019-04-26 2021-08-24 厦门商集网络科技有限责任公司 基于rpa远程控制操作***自动登录的方法及设备
CN112134780B (zh) * 2019-06-24 2022-09-13 腾讯科技(深圳)有限公司 信息获取方法和装置、存储介质及电子装置
CN112398792B (zh) * 2019-08-15 2022-07-05 奇安信安全技术(珠海)有限公司 登录的防护方法、客户端、中控管理设备及存储介质

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003256803A (ja) * 2002-03-04 2003-09-12 Fuji Photo Film Co Ltd 画像管理方法および装置並びにプログラム
CN102651739A (zh) * 2011-02-28 2012-08-29 阿里巴巴集团控股有限公司 登录验证方法、***及im服务器
CN104092542A (zh) * 2013-09-11 2014-10-08 腾讯科技(深圳)有限公司 一种账号登录方法、装置及***
CN106331758A (zh) * 2016-08-17 2017-01-11 陆阳 一种虚拟可复制触摸视频显示装置
CN107846415A (zh) * 2017-12-11 2018-03-27 北京奇虎科技有限公司 一种服务器登录方法及装置

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003256803A (ja) * 2002-03-04 2003-09-12 Fuji Photo Film Co Ltd 画像管理方法および装置並びにプログラム
CN102651739A (zh) * 2011-02-28 2012-08-29 阿里巴巴集团控股有限公司 登录验证方法、***及im服务器
CN104092542A (zh) * 2013-09-11 2014-10-08 腾讯科技(深圳)有限公司 一种账号登录方法、装置及***
CN106331758A (zh) * 2016-08-17 2017-01-11 陆阳 一种虚拟可复制触摸视频显示装置
CN107846415A (zh) * 2017-12-11 2018-03-27 北京奇虎科技有限公司 一种服务器登录方法及装置

Also Published As

Publication number Publication date
CN108712376A (zh) 2018-10-26

Similar Documents

Publication Publication Date Title
CN108712376B (zh) 一种用于服务器登录的验证方法及装置
EP3420677B1 (en) System and method for service assisted mobile pairing of password-less computer login
WO2016188256A1 (zh) 一种应用接入鉴权的方法、***、装置及终端
WO2016015436A1 (zh) 平台授权方法、平台服务端、应用客户端及***和存储介质
WO2015035895A1 (en) Methods, devices, and systems for account login
CN111064757B (zh) 应用访问方法、装置、电子设备以及存储介质
CN111062024B (zh) 一种应用登录方法和装置
US11658963B2 (en) Cooperative communication validation
CN105847245B (zh) 一种电子邮箱登录认证方法和装置
US11770385B2 (en) Systems and methods for malicious client detection through property analysis
US8595106B2 (en) System and method for detecting fraudulent financial transactions
CN109861973A (zh) 信息传输方法、装置、电子设备及计算机可读介质
CN113225351B (zh) 一种请求处理方法、装置、存储介质及电子设备
CN104463584B (zh) 实现移动端App安全支付的方法
CN111314381A (zh) 安全隔离网关
WO2022227311A1 (zh) 对终端进行远程控制的接入处理方法、设备和存储介质
CN111182537A (zh) 移动应用的网络接入方法、装置及***
CN106331003A (zh) 一种云桌面上应用门户***的访问方法及装置
CN109450990A (zh) 一种基于教育***的云存储实现方法及电子设备
CN106529216B (zh) 一种基于公共存储平台的软件授权***及软件授权方法
CN116170234B (zh) 一种基于虚拟账号认证的单点登录方法和***
CN114866247B (zh) 一种通信方法、装置、***、终端及服务器
CN110875903A (zh) 一种安全防御方法及设备
CN115664686A (zh) 一种登录方法、装置、计算机设备和存储介质
CN111193776B (zh) 云桌面环境下客户端自动登录方法、装置、设备和介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20210226

CF01 Termination of patent right due to non-payment of annual fee