CN112398788A - 机器行为的双向校验方法及装置、***、存储介质、电子装置 - Google Patents
机器行为的双向校验方法及装置、***、存储介质、电子装置 Download PDFInfo
- Publication number
- CN112398788A CN112398788A CN201910755476.9A CN201910755476A CN112398788A CN 112398788 A CN112398788 A CN 112398788A CN 201910755476 A CN201910755476 A CN 201910755476A CN 112398788 A CN112398788 A CN 112398788A
- Authority
- CN
- China
- Prior art keywords
- behavior
- information
- request
- query request
- valid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012795 verification Methods 0.000 title claims abstract description 53
- 238000000034 method Methods 0.000 title claims abstract description 35
- 230000002457 bidirectional effect Effects 0.000 title abstract description 18
- 230000006399 behavior Effects 0.000 claims abstract description 283
- 238000004590 computer program Methods 0.000 claims description 18
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 5
- 238000007726 management method Methods 0.000 description 10
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 238000005422 blasting Methods 0.000 description 3
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 239000003999 initiator Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000003631 expected effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3297—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving time stamps, e.g. generation of time stamps
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种机器行为的双向校验方法及装置、***、存储介质、电子装置,其中,该方法包括:接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;判断所述行为凭证信息是否有效;在所述行为凭证信息有效时,保存所述行为凭证信息;在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。通过本发明,解决了相关技术中只能通过账号口令校验机器行为的技术问题。
Description
技术领域
本发明涉及网络安全领域,具体而言,涉及一种机器行为的双向校验方法及装置、***、存储介质、电子装置。
背景技术
相关技术中,业务***管理人员在对服务器或者远程设备进行管理时,通常都采用远程登录管理模式,并根据业务的不同采用不同的远程管理方法。比如:针对服务器Windows操作***的管理时,通常采用C/S模式,在终端通过Telnet(远程终端协议)客户端程序连接到被管理服务器端的Telnet服务端程序,进行管理。而针对网站、邮件、论坛、OA(办公自动化,Office Automation)***等Web服务***进行管理时,通常采用B/S模式,在终端使用浏览器通过相应Web服务提供的管理页面进行登录管理。
无论是哪一种远程管理模式,在安全防护方面几乎都是以“用户名+口令”的单端验证方式来进行安全校验,以解决非法登录问题。但就实际的安全效果来看,当前的安全防护手段并不能达到预期效果,通过弱口令猜测、***等手段拿到合法用户名与口令进行非法登录的案例,占到整体攻击成功案例的30%以上,相关技术中的登录方式存在严重的安全缺陷。
针对相关技术中存在的上述问题,目前尚未发现有效的解决方案。
发明内容
本发明实施例提供了一种机器行为的双向校验方法及装置、***、存储介质、电子装置。
根据本发明的一个实施例,提供了一种机器行为的双向校验方法,包括:接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;判断所述行为凭证信息是否有效;在所述行为凭证信息有效时,保存所述行为凭证信息;在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
可选的,所述行为凭证信息包括:所述第一设备的IP地址、所述第一设备的设备标识、第一时间戳,判断所述行为凭证信息是否有效包括:对所述行为凭证信息进行解密;在所述行为凭证信息解密失败时,确定所述行为凭证信息无效;在所述行为凭证信息解密成功时,根据所述第一时间戳判断所述行为凭证信息是否过期;在所述行为凭证信息未过期时,确定所述行为凭证信息有效;在所述行为凭证信息过期时,确定所述行为凭证信息无效。
可选的,根据所述行为凭证信息校验所述目标行为请求包括:接收所述第二设备的查询请求:判断所述查询请求是否有效;在所述查询请求有效时,根据所述查询请求向所述第二设备下发所述行为凭证信息,以使所述第二设备根据所述行为凭证信息校验所述目标行为请求。
可选的,所述查询请求包括第二时间戳,判断所述查询请求是否有效包括:对所述查询请求进行解密;在所述查询请求解密失败时,确定所述查询请求无效;在所述查询请求解密成功时,根据所述第二时间戳判断所述查询请求是否过期;在所述查询请求未过期时,确定所述查询请求有效;在所述查询请求过期时,确定所述查询请求无效。
可选的,根据所述行为凭证信息校验所述目标行为请求包括:接收所述第二设备上报的校验请求信息;根据所述校验请求信息校验所述行为凭证信息是否合法;在所述行为凭证信息合法时,向所述第二设备发送第一指示信息;在所述行为凭证信息不合法时,向所述第二设备发送第二指示信息,其中,所述第一指示信息用于指示在所述第二设备上允许所述目标行为请求,所述第二指示信息用于指示在所述第二设备上阻断或告警所述目标行为请求。
可选的,根据所述校验请求信息校验所述行为凭证信息是否合法包括:根据所述校验请求信息判断所述第一设备是否为所述第二设备允许的合法设备;在所述第一设备为所述第二设备允许的合法设备时,确定所述行为凭证信息合法;在所述第一设备不为所述第二设备允许的合法设备时,确定所述行为凭证信息不合法。
可选的,根据所述行为凭证信息校验所述目标行为请求包括以下之一:根据所述行为凭证信息校验web访问行为;根据所述行为凭证信息校验远程桌面协议RDP登录行为。
根据本发明的另一个实施例,提供了一种机器行为的双向校验装置,包括:接收模块,用于接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;判断模块,用于判断所述行为凭证信息是否有效;保存模块,用于在所述行为凭证信息有效时,保存所述行为凭证信息;校验模块,用于在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
可选的,所述行为凭证信息包括:所述第一设备的IP地址、所述第一设备的设备标识、第一时间戳,所述判断模块包括:解密单元,用于对所述行为凭证信息进行解密;处理单元,用于在所述行为凭证信息解密失败时,确定所述行为凭证信息无效;在所述行为凭证信息解密成功时,根据所述第一时间戳判断所述行为凭证信息是否过期;确定单元,用于在所述行为凭证信息未过期时,确定所述行为凭证信息有效;在所述行为凭证信息过期时,确定所述行为凭证信息无效。
可选的,所述校验模块包括:第一接收单元,用于接收所述第二设备的查询请求:判断单元,用于判断所述查询请求是否有效;下发单元,用于在所述查询请求有效时,根据所述查询请求向所述第二设备下发所述行为凭证信息,以使所述第二设备根据所述行为凭证信息校验所述目标行为请求。
可选的,所述查询请求包括第二时间戳,所述判断单元包括:解密子单元,用于对所述查询请求进行解密;处理子单元,用于在所述查询请求解密失败时,确定所述查询请求无效;在所述查询请求解密成功时,根据所述第二时间戳判断所述查询请求是否过期;确定子单元,用于在所述查询请求未过期时,确定所述查询请求有效;在所述查询请求过期时,确定所述查询请求无效。
可选的,所述校验模块包括:第二接收单元,用于接收所述第二设备上报的校验请求信息;第一校验单元,用于根据所述校验请求信息校验所述行为凭证信息是否合法;确定单元,用于在所述行为凭证信息合法时,向所述第二设备发送第一指示信息;在所述行为凭证信息不合法时,向所述第二设备发送第二指示信息,其中,所述第一指示信息用于指示在所述第二设备上允许所述目标行为请求,所述第二指示信息用于指示在所述第二设备上阻断或告警所述目标行为请求。
可选的,所述校验单元包括:判断子单元,用于根据所述校验请求信息判断所述第一设备是否为所述第二设备允许的合法设备;校验子单元,用于在所述第一设备为所述第二设备允许的合法设备时,确定所述行为凭证信息合法;在所述第一设备不为所述第二设备允许的合法设备时,确定所述行为凭证信息不合法。
可选的,所述校验单元包括以下之一:第二校验单元,用于根据所述行为凭证信息校验web访问行为;第三校验单元,用于根据所述行为凭证信息校验远程桌面协议RDP登录行为。
根据本发明的又一个实施例,提供了一种机器行为的双向校验***,包括:第一设备,第二设备,与所述第一设备和所述第二设备连接的中控服务器,其中,所述第一设备,用于向所述第二设备发起目标行为请求;所述第二设备,用于响应所述第一设备发起的目标行为请求;所述中控服务器,包括如上述实施例所述的装置。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,接收第一设备上报的行为凭证信息,然后判断行为凭证信息是否有效,在行为凭证信息有效时,保存行为凭证信息,最后在第二设备接收到目标行为请求时,根据行为凭证信息校验目标行为请求,通过双向关联校验来控制设备准入,解决了相关技术中只能通过账号口令校验机器行为的技术问题。可以避免利用弱口令、口令泄露或口令被***等创建的非法行为,提高了远程登录的安全性。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种机器行为的双向校验服务器的硬件结构框图;
图2是根据本发明实施例的一种机器行为的双向校验方法的流程图;
图3是本发明实施例接受打点上报的流程图;
图4是本发明实施例的中控服务器打点校验的流程图;
图5是根据本发明实施例的机器行为的双向校验装置的结构框图;
图6是根据本发明实施例的一种机器行为的双向校验***的结构框图。
具体实施方式
为了使本技术领域的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、***、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例1
本申请实施例一所提供的方法实施例可以在服务器、计算机、终端或者类似的运算装置中执行。以运行在服务器上为例,图1是本发明实施例的一种机器行为的双向校验服务器的硬件结构框图。如图1所示,服务器10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述服务器还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述服务器的结构造成限定。例如,服务器10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的一种机器行为的双向校验方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至服务器10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括服务器10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种机器行为的双向校验方法,图2是根据本发明实施例的一种机器行为的双向校验方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,接收第一设备上报的行为凭证信息,其中,行为凭证信息是第一设备向第二设备发起目标行为请求时生成的;
本实施例行为凭证信息是第一设备在发起目标行为请求时,上传到服务器的打点信息。
步骤S204,判断行为凭证信息是否有效;
步骤S206,在行为凭证信息有效时,保存行为凭证信息;
步骤S208,在第二设备接收到目标行为请求时,根据行为凭证信息校验目标行为请求。
通过上述步骤,接收第一设备上报的行为凭证信息,然后判断行为凭证信息是否有效,在行为凭证信息有效时,保存行为凭证信息,最后在第二设备接收到目标行为请求时,根据行为凭证信息校验目标行为请求,通过双向关联校验来控制设备准入,解决了相关技术中只能通过账号口令校验机器行为的技术问题。可以避免利用弱口令、口令泄露或口令被***等创建的非法行为,提高了远程登录的安全性。
本实施例的行为凭证信息可以包括动态行为信息和静态信息,其中,动态行为信息又可以包括行为链信息、进程链信息、登录窗口界面等,静态信息包括,设备的IP地址,统一资源定位符(Uniform Resource Locator,URL)地址、MAC地址,设备标识(如机器唯一标识码,MID)等。
在本实施例的方案可以应用在各种不同的登录、访问、连接等模式中,如C/S模式,B/S模式等,第一设备与第二设备的通讯方式也可以是中转或者直连的通讯方式,可以是C直连S、或S直连C(B/S类似)等任意的信息传输与数据交换方式,下面进行举例说明:
在C/S模式的场景中,针对服务器Windows操作***的管理时,可以采用C/S模式,在终端通过Telnet客户端程序连接到被管理服务器端的Telnet服务端程序,进行管理。
在B/S模式的场景中,在网站、邮件、论坛、OA等Web服务***进行管理时,通常采用B/S模式,在终端使用浏览器通过相应Web服务提供的管理页面进行登录管理。
在本实施例的一个实施方式中,行为凭证信息包括:第一设备的IP地址、第一设备的设备标识、第一时间戳,判断行为凭证信息是否有效包括:
S11,对行为凭证信息进行解密;
S12,在行为凭证信息解密失败时,确定行为凭证信息无效;在行为凭证信息解密成功时,根据第一时间戳判断行为凭证信息是否过期;
本实施例的第一时间戳是第一设备启动目标行为请求,或者是触发目标行为请求时的时间,或者是上传时间,可以根据中控服务器的***时间来判断第一时间戳是否过期,如果第一时间戳晚于***时间,或者是早于***时间过长,都属于过期。
S13,在行为凭证信息未过期时,确定行为凭证信息有效;在行为凭证信息过期时,确定行为凭证信息无效。
图3是本发明实施例接受打点上报的流程图,除了校验时间戳之外,还可以校验接口参数(接口参数是客户端的必要信息收集,包括远程登录的进程信息,web访问的url信息等,用于校验打点上报的设备是否合法),校验行为凭证信息中的字段是否符合预定规则(如,字段是否完整等),如校验通过,则保存在本地数据库,将key写入redis。
在本实施例中,可以在服务器侧,或者是在第二设备侧执行校验。下面进行举例说明:
在本实施例的一个示例中,根据行为凭证信息校验目标行为请求包括:
S21,接收第二设备的查询请求:
S22,判断查询请求是否有效;
可选的,查询请求包括第二时间戳,判断查询请求是否有效包括:对查询请求进行解密;在查询请求解密失败时,确定查询请求无效;在查询请求解密成功时,根据第二时间戳判断查询请求是否过期;在查询请求未过期时,确定查询请求有效;在查询请求过期时,确定查询请求无效。
S23,在查询请求有效时,根据查询请求向第二设备下发行为凭证信息,以使第二设备根据行为凭证信息校验目标行为请求。
第二设备本地配置一个合法的设备列表,行为凭证信息中携带第一设备的IP地址和设备标识,通过IP地址和设备标识判断第一设备是否在合法的设备列表中,可以实现准入控制。
在本实施例的另一个示例中,根据行为凭证信息校验目标行为请求包括:
S31,接收第二设备上报的校验请求信息;
S32,根据校验请求信息校验行为凭证信息是否合法;
S33,在行为凭证信息合法时,向第二设备发送第一指示信息;在行为凭证信息不合法时,向第二设备发送第二指示信息,其中,第一指示信息用于指示在第二设备上允许目标行为请求,第二指示信息用于指示在第二设备上阻断或告警目标行为请求。
图4是本发明实施例的中控服务器打点校验的流程图,除了校验时间戳之外,还可以校验接口参数,解密后的字段等,在校验成功后,向第二设备返回行为凭证信息携带的字段。
可选的,根据校验请求信息校验行为凭证信息是否合法包括:根据校验请求信息判断第一设备是否为第二设备允许的合法设备;在第一设备为第二设备允许的合法设备时,确定行为凭证信息合法;在第一设备不为第二设备允许的合法设备时,确定行为凭证信息不合法。
服务器侧为第二设备配置一个合法的设备列表,行为凭证信息中携带第一设备的IP地址和设备标识,通过IP地址和设备标识判断第一设备是否在合法的设备列表中,可以帮助第二设备实现准入控制。
可选的,本实施例的目标行为请求可以是各种机器间的行为请求,根据行为凭证信息校验目标行为请求可以但不限于为:根据行为凭证信息校验web访问行为;根据行为凭证信息校验远程桌面协议(RDP,Remote DesktopProtocol)登录行为。
下面通过本实施例的一个示例对本实施例的一个完整实施方案进行说明,流程包括:
S1、当客户端侦测到某些行为的发起(如web访问、RDP登录等),就将这些信息和客户端本身的固有信息(如发送端IP、发送端唯一标识等)整合起来,加密发送给中控
S2、中控收到如上信息之后,先根据自身的时间比较时间戳,如果时间戳相差过多则本次打点无效(防止重放攻击),如果时间戳有效则将本次打点根据不同的分类采取不同的形式存储在中控
S3、当服务端侦测到连入行为(如web访问、RDP登录等)时,根据行为的特征去中控查询该行为是否有打点发生,如果有,则根据打点信息比较发起方客户端是否在允许列表内,如果在允许列表内就放过,否则阻止行为的继续进行。
使用本实施例的打点机制,能够在客户端和服务端之间搭起一个有效的信任机制,使得发生在两端的行为能够对应起来,判断行为是否为一个合法行为。以windows远程连接为例,当客户端检测到有远程连接客户端时,将对应信息打点到中控,当服务端检测到连接时,去中控查询该连接是否在允许范围内,如果是则放过,不是则阻止,从而达到准入的效果。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
实施例2
在本实施例中还提供了一种机器行为的双向校验装置,***,用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的机器行为的双向校验装置的结构框图,如图5所示,该装置包括:接收模块50,判断模块52,保存模块54,校验模块56,其中,
接收模块50,用于接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;
判断模块52,用于判断所述行为凭证信息是否有效;
保存模块54,用于在所述行为凭证信息有效时,保存所述行为凭证信息;
校验模块56,用于在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
可选的,所述行为凭证信息包括:所述第一设备的IP地址、所述第一设备的设备标识、第一时间戳,所述判断模块包括:解密单元,用于对所述行为凭证信息进行解密;处理单元,用于在所述行为凭证信息解密失败时,确定所述行为凭证信息无效;在所述行为凭证信息解密成功时,根据所述第一时间戳判断所述行为凭证信息是否过期;确定单元,用于在所述行为凭证信息未过期时,确定所述行为凭证信息有效;在所述行为凭证信息过期时,确定所述行为凭证信息无效。
可选的,所述校验模块包括:第一接收单元,用于接收所述第二设备的查询请求:判断单元,用于判断所述查询请求是否有效;下发单元,用于在所述查询请求有效时,根据所述查询请求向所述第二设备下发所述行为凭证信息,以使所述第二设备根据所述行为凭证信息校验所述目标行为请求。
可选的,所述查询请求包括第二时间戳,所述判断单元包括:解密子单元,用于对所述查询请求进行解密;处理子单元,用于在所述查询请求解密失败时,确定所述查询请求无效;在所述查询请求解密成功时,根据所述第二时间戳判断所述查询请求是否过期;确定子单元,用于在所述查询请求未过期时,确定所述查询请求有效;在所述查询请求过期时,确定所述查询请求无效。
可选的,所述校验模块包括:第二接收单元,用于接收所述第二设备上报的校验请求信息;第一校验单元,用于根据所述校验请求信息校验所述行为凭证信息是否合法;确定单元,用于在所述行为凭证信息合法时,向所述第二设备发送第一指示信息;在所述行为凭证信息不合法时,向所述第二设备发送第二指示信息,其中,所述第一指示信息用于指示在所述第二设备上允许所述目标行为请求,所述第二指示信息用于指示在所述第二设备上阻断或告警所述目标行为请求。
可选的,所述校验单元包括:判断子单元,用于根据所述校验请求信息判断所述第一设备是否为所述第二设备允许的合法设备;校验子单元,用于在所述第一设备为所述第二设备允许的合法设备时,确定所述行为凭证信息合法;在所述第一设备不为所述第二设备允许的合法设备时,确定所述行为凭证信息不合法。
可选的,所述校验单元包括以下之一:第二校验单元,用于根据所述行为凭证信息校验web访问行为;第三校验单元,用于根据所述行为凭证信息校验远程桌面协议RDP登录行为。
图6是根据本发明实施例的一种机器行为的双向校验***的结构框图,如图6所示,该***包括:第一设备60,第二设备62,与所述第一设备和所述第二设备连接的中控服务器64,其中,所述第一设备60,用于向所述第二设备发起目标行为请求;所述第二设备62,用于响应所述第一设备发起的目标行为请求;所述中控服务器64,包括如上述实施例所述的装置。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
实施例3
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;
S2,判断所述行为凭证信息是否有效;
S3,在所述行为凭证信息有效时,保存所述行为凭证信息;
S4,在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;
S2,判断所述行为凭证信息是否有效;
S3,在所述行为凭证信息有效时,保存所述行为凭证信息;
S4,在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
在本申请的上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的技术内容,可通过其它的方式实现。其中,以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个***,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,单元或模块的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅是本申请的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种机器行为的双向校验方法,其特征在于,包括:
接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;
判断所述行为凭证信息是否有效;
在所述行为凭证信息有效时,保存所述行为凭证信息;
在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
2.根据权利要求1所述的方法,其特征在于,所述行为凭证信息包括:所述第一设备的IP地址、所述第一设备的设备标识、第一时间戳,判断所述行为凭证信息是否有效包括:
对所述行为凭证信息进行解密;
在所述行为凭证信息解密失败时,确定所述行为凭证信息无效;在所述行为凭证信息解密成功时,根据所述第一时间戳判断所述行为凭证信息是否过期;
在所述行为凭证信息未过期时,确定所述行为凭证信息有效;在所述行为凭证信息过期时,确定所述行为凭证信息无效。
3.根据权利要求1所述的方法,其特征在于,根据所述行为凭证信息校验所述目标行为请求包括:
接收所述第二设备的查询请求:
判断所述查询请求是否有效;
在所述查询请求有效时,根据所述查询请求向所述第二设备下发所述行为凭证信息,以使所述第二设备根据所述行为凭证信息校验所述目标行为请求。
4.根据权利要求3所述的方法,其特征在于,所述查询请求包括第二时间戳,判断所述查询请求是否有效包括:
对所述查询请求进行解密;
在所述查询请求解密失败时,确定所述查询请求无效;在所述查询请求解密成功时,根据所述第二时间戳判断所述查询请求是否过期;
在所述查询请求未过期时,确定所述查询请求有效;在所述查询请求过期时,确定所述查询请求无效。
5.根据权利要求1所述的方法,其特征在于,根据所述行为凭证信息校验所述目标行为请求包括:
接收所述第二设备上报的校验请求信息;
根据所述校验请求信息校验所述行为凭证信息是否合法;
在所述行为凭证信息合法时,向所述第二设备发送第一指示信息;在所述行为凭证信息不合法时,向所述第二设备发送第二指示信息,其中,所述第一指示信息用于指示在所述第二设备上允许所述目标行为请求,所述第二指示信息用于指示在所述第二设备上阻断或告警所述目标行为请求。
6.根据权利要求5所述的方法,其特征在于,根据所述校验请求信息校验所述行为凭证信息是否合法包括:
根据所述校验请求信息判断所述第一设备是否为所述第二设备允许的合法设备;
在所述第一设备为所述第二设备允许的合法设备时,确定所述行为凭证信息合法;在所述第一设备不为所述第二设备允许的合法设备时,确定所述行为凭证信息不合法。
7.一种机器行为的双向校验装置,其特征在于,包括:
接收模块,用于接收第一设备上报的行为凭证信息,其中,所述行为凭证信息是所述第一设备向第二设备发起目标行为请求时生成的;
判断模块,用于判断所述行为凭证信息是否有效;
保存模块,用于在所述行为凭证信息有效时,保存所述行为凭证信息;
校验模块,用于在所述第二设备接收到所述目标行为请求时,根据所述行为凭证信息校验所述目标行为请求。
8.一种机器行为的双向校验***,其特征在于,包括:第一设备,第二设备,与所述第一设备和所述第二设备连接的中控服务器,其中,
所述第一设备,用于向所述第二设备发起目标行为请求;
所述第二设备,用于响应所述第一设备发起的目标行为请求;
所述中控服务器,包括如权利要求8所述的装置。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行权利要求1至6任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行权利要求1至6任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755476.9A CN112398788A (zh) | 2019-08-15 | 2019-08-15 | 机器行为的双向校验方法及装置、***、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910755476.9A CN112398788A (zh) | 2019-08-15 | 2019-08-15 | 机器行为的双向校验方法及装置、***、存储介质、电子装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112398788A true CN112398788A (zh) | 2021-02-23 |
Family
ID=74601854
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910755476.9A Pending CN112398788A (zh) | 2019-08-15 | 2019-08-15 | 机器行为的双向校验方法及装置、***、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112398788A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915424A (zh) * | 2022-04-22 | 2022-08-16 | 京东城市(北京)数字科技有限公司 | 交互凭证生成方法、装置、电子设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100306547A1 (en) * | 2009-05-28 | 2010-12-02 | Fallows John R | System and methods for providing stateless security management for web applications using non-http communications protocols |
| CN106790183A (zh) * | 2016-12-30 | 2017-05-31 | 广州华多网络科技有限公司 | 登录凭证校验方法、装置 |
-
2019
- 2019-08-15 CN CN201910755476.9A patent/CN112398788A/zh active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100306547A1 (en) * | 2009-05-28 | 2010-12-02 | Fallows John R | System and methods for providing stateless security management for web applications using non-http communications protocols |
| CN106790183A (zh) * | 2016-12-30 | 2017-05-31 | 广州华多网络科技有限公司 | 登录凭证校验方法、装置 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114915424A (zh) * | 2022-04-22 | 2022-08-16 | 京东城市(北京)数字科技有限公司 | 交互凭证生成方法、装置、电子设备及存储介质 |
| CN114915424B (zh) * | 2022-04-22 | 2024-05-17 | 京东城市(北京)数字科技有限公司 | 交互凭证生成方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107534856B (zh) | 用于在无线通信***中管理终端的简档的方法和装置 | |
| CN103596173B (zh) | 无线网络认证方法、客户端及服务端无线网络认证装置 | |
| CN102801616B (zh) | 报文发送和接收的方法、装置和*** | |
| EP2879421B1 (en) | Terminal identity verification and service authentication method, system, and terminal | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN103856941A (zh) | 无线网络监控方法及相关装置 | |
| CN112640385B (zh) | 用于在si***中使用的非si设备和si设备以及相应的方法 | |
| CN108900484B (zh) | 一种访问权限信息的生成方法和装置 | |
| CN106304264B (zh) | 一种无线网络接入方法及装置 | |
| CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
| CN105262748A (zh) | 广域网中对用户终端进行身份认证的方法和*** | |
| CN109729000B (zh) | 一种即时通信方法及装置 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN104883255A (zh) | 一种密码重置方法和装置 | |
| CN105722072A (zh) | 一种业务授权方法、装置、***及路由器 | |
| CN111065090A (zh) | 一种建立网络连接的方法及无线路由设备 | |
| CN101090321B (zh) | 使用非周期精确测量发现仿真客户机的设备和方法 | |
| CN112398786B (zh) | 渗透攻击的识别方法及装置、***、存储介质、电子装置 | |
| US8887310B2 (en) | Secure consumer programming device | |
| CN112398788A (zh) | 机器行为的双向校验方法及装置、***、存储介质、电子装置 | |
| CN112395586A (zh) | 文件访问的控制方法及装置、***、存储介质、电子装置 | |
| CN114157438A (zh) | 网络设备管理方法、装置及计算机可读存储介质 | |
| CN114221822B (zh) | 配网方法、网关设备以及计算机可读存储介质 | |
| CN112887178B (zh) | LoRaWAN服务器的终端入网方法、装置、设备和存储介质 | |
| CN113812125B (zh) | 登录行为的校验方法及装置、***、存储介质、电子装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210223 |