一种网络访问方法、装置和系统转让专利
申请号 : CN201611162735.X
文献号 : CN107743114B
文献日 : 2020-03-17
发明人 : 宗旋 , 陈梦 , 刘飞飞 , 陈远斌 , 余传生 , 温彬民 , 田伟 , 李佳 , 张耀华
申请人 : 腾讯科技(深圳)有限公司
摘要 :
本发明实施例公开了一种网络访问方法、装置和系统;本发明实施例在接收到终端发送的网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;该方案可以有效地识别出恶意登录行为,大大提高信息的安全性。
权利要求 :
1.一种网络访问方法,其特征在于,包括:接收终端发送的网络访问请求;
根据所述网络访问请求进行身份验证;
在确定身份验证成功时,确定是否存在所述终端与本端的关键交互信息,所述关键交互信息包括终端与本端进行交互时所产生的业务数据或操作数据;
若存在,则通过所述网络访问请求;
若不存在,则拒绝所述网络访问请求。
2.根据权利要求1所述的方法,其特征在于,所述确定是否存在所述终端与本端的关键交互信息,包括:获取本端的交互行为日志;
确定所述交互行为日志中是否存在关于所述终端的记录;
若存在,则确定存在所述终端与本端的关键交互信息;
若不存在,则确定不存在所述终端与本端的关键交互信息。
3.根据权利要求2所述的方法,其特征在于,所述获取本端的交互行为日志,包括:获取本端与各个终端的交互关键路径;
在所述交互关键路径上,提取本端的交互行为日志。
4.根据权利要求2所述的方法,其特征在于,所述确定所述交互行为日志中是否存在关于所述终端的记录,包括:获取所述终端身份验证成功时的时间点;
对所述交互行为日志中,在所述时间点之后的记录进行查询;
若查询到所述终端的记录,则确定所述交互行为日志中存在关于所述终端的记录;
若未查询到所述终端的记录,则确定所述交互行为日志中不存在关于所述终端的记录。
5.根据权利要求1至4任一项所述的方法,其特征在于,所述根据所述网络访问请求进行身份验证,包括:从所述网络访问请求中提取所述终端的终端信息和/或用户信息;
根据所述终端信息和/或用户信息对所述终端进行身份验证。
6.根据权利要求1至4任一项所述的方法,其特征在于,所述拒绝所述网络访问请求之后,还包括:将所述终端列入黑名单。
7.根据权利要求6所述的方法,其特征在于,所述将所述终端列入黑名单包括:从所述网络访问请求中提取所述终端的终端信息和/或用户信息;
将所述终端信息和/或用户信息添加至预设的黑名单中。
8.一种网络访问装置,其特征在于,包括:接收单元,用于接收终端发送的网络访问请求;
验证单元,用于根据所述网络访问请求进行身份验证;
判断单元,用于在确定身份验证成功时,确定是否存在所述终端与本端的关键交互信息;若存在,则通过所述网络访问请求;若不存在,则拒绝所述网络访问请求,所述关键交互信息包括终端与本端进行交互时所产生的业务数据或操作数据。
9.根据权利要求8所述的装置,其特征在于,所述判断单元包括获取子单元和判断子单元;
所述获取子单元,用于获取本端的交互行为日志;
所述判断子单元,用于确定所述交互行为日志中是否存在关于所述终端的记录,若存在,则确定存在所述终端与本端的关键交互信息;若不存在,则确定不存在所述终端与本端的关键交互信息。
10.根据权利要求9所述的装置,其特征在于,所述获取子单元,具体用于获取本端与各个终端的交互关键路径,在所述交互关键路径上,提取本端的交互行为日志。
11.根据权利要求9所述的装置,其特征在于,所述判断子单元,具体用于:获取所述终端身份验证成功时的时间点;
对所述交互行为日志中,在所述时间点之后的记录进行查询;
若查询到所述终端的记录,则确定所述交互行为日志中存在关于所述终端的记录;
若未查询到所述终端的记录,则确定所述交互行为日志中不存在关于所述终端的记录。
12.根据权利要求8至11任一项所述的装置,其特征在于,所述验证单元,具体用于从所述网络访问请求中提取所述终端的终端信息和/或用户信息,根据所述终端信息和/或用户信息对所述终端进行身份验证。
13.根据权利要求8至11任一项所述的装置,其特征在于,还包括处理单元;
所述处理单元,用于从所述网络访问请求中提取所述终端的终端信息和/或用户信息,将所述终端信息和/或用户信息添加至预设的黑名单中。
14.一种网络访问系统,其特征在于,包括权利要求8至13任一项所述的网络访问装置。
15.一种存储介质,其内存储有处理器可执行指令,所述指令由一个或一个以上处理器加载,以执行如权利要求1至7中任一项所述的网络访问方法。
说明书 :
一种网络访问方法、装置和系统
技术领域
[0001] 本发明涉及通信技术领域,具体涉及一种网络访问方法、装置和系统。
背景技术
[0002] 随着通信技术的快速发展,各种网络数据与人们的关系也越来越为密切,如何保障网络访问的安全,以避免网络数据被非法入侵者盗取,也成为人们一直以来,所关注的问题。
[0003] 在现有技术中,一般可以通过对用户登录行为的检测来识别出恶意登录行为,并进行阻止。其中,所谓恶意登录行为,指的是撞库、暴力破解、或者晒号等行为。例如,以撞库为例,具体可以在接收到用户的网络访问请求后,对该网络访问请求进行解析,以确定其源网际协议(IP,Internet Protocol)地址、目的IP地址、登录属性信息及用户信息,然后,根据这些信息确定用户是否进行登录操作、以及统计用同一源IP地址和用户信息登录同一目的IP地址的次数,若登录次数超过阈值,则认为是撞库攻击行为,阻止其进行访问,从而达到保障用户账号安全,避免用户信息泄露的目的。
[0004] 在对现有技术的研究和实践过程中,本发明的发明人发现,现有方案的安全性存在一定漏洞,比如,如果非法入侵者使用大量的IP地址进行登录,则无法识别出;而且,现有方案对于未超出登录次数阈值的恶意登录行为,也无法识别出,总而言之,现有方案的识别效果和安全性均不够理想。
发明内容
[0005] 本发明实施例提供一种网络访问方法、装置和系统;可以有效地识别出恶意登录行为,大大提高信息的安全性。
[0006] 本发明实施例提供一种网络访问方法,包括:
[0007] 接收终端发送的网络访问请求;
[0008] 根据所述网络访问请求进行身份验证;
[0009] 在确定身份验证成功时,确定是否存在所述终端与本端的关键交互信息;
[0010] 若存在,则通过所述网络访问请求;
[0011] 若不存在,则拒绝所述网络访问请求。
[0012] 相应的,本发明实施例还提供一种网络访问装置,包括:
[0013] 接收单元,用于接收终端发送的网络访问请求;
[0014] 验证单元,用于根据所述网络访问请求进行身份验证;
[0015] 判断单元,用于在确定身份验证成功时,确定是否存在所述终端与本端的关键交互信息;若存在,则通过所述网络访问请求;若不存在,则拒绝所述网络访问请求。
[0016] 此外,本发明实施例还提供一种网络访问系统,包括本发明实施例所提供的任一种网络访问装置。
[0017] 本发明实施例在接收到终端发送的网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;由于一般的恶意登录行为在身份验证成功后,不会与本端作进一步的交互,因此,可以通过判断身份验证成功后,是否存在交互行为来确定该访问请求是否为恶意,该方案相对于现有通过检测登录次数来判断是否恶意的方案而言,可以大大增加非法入侵者进行恶意登录的成本和难度,有利于提高信息的安全性;此外,由于识别时无需受到登录次数阈值的限制,因此,可以更加有效地识别出恶意登录的行为,改善识别效果。
附图说明
[0018] 为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0019] 图1a是本发明实施例提供的网络访问方法的场景应用图;
[0020] 图1b是本发明实施例提供的网络访问方法的流程图;
[0021] 图2是本发明实施例提供的网络访问方法的另一流程图;
[0022] 图3a是本发明实施例提供的网络访问装置的结构示意图;
[0023] 图3b是本发明实施例提供的网络访问装置的另一结构示意图;
[0024] 图4是本发明实施例提供的服务器的结构示意图。
具体实施方式
[0025] 下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
[0026] 本发明实施例提供一种网络访问方法、装置和系统。
[0027] 其中,网络访问系统可以包括本发明实施例所提供的任一种网络访问装置,该网络访问装置具体可以集成在服务器等设备中;此外,该网络访问系统还可以包括其他的设备,比如终端,用于向该网络访问装置发送网络访问请求。
[0028] 例如,以该网络访问装置具体集成在服务器中为例,如图1a所示,当用户需要对网络进行访问,比如登录某个网站时,可以通过终端向服务器发送网络访问请求,服务器在接收到该网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本端(即服务器)的关键交互信息,若存在,则表明该访问为正常的用户行为,于是,可以通过该网络访问请求,比如向终端返回表示允许进行网络访问的响应;反之,若不存在关键交互信息,则表明该访问为恶意行为,拒绝该网络访问请求,比如向终端返回表示不允许进行网络访问的响应,等等。
[0029] 以下分别进行详细说明。需说明的是,以下实施例的序号不作为对实施例优选顺序的限定。
[0030] 实施例一、
[0031] 本发明实施例将从网络访问装置的角度进行描述,该网络访问装置具体可以集成在服务器中。
[0032] 一种网络访问方法,包括:接收终端发送的网络访问请求,根据该网络访问请求进行身份验证,在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,若存在,则通过该网络访问请求;若不存在,则拒绝该网络访问请求。
[0033] 如图1b,该网络访问方法的具体流程可以如下:
[0034] 101、接收终端发送的网络访问请求。
[0035] 其中,该网络访问请求可以携带终端信息和用户信息等信息。其中,终端信息可以包括终端标识,比如终端的移动设备国际识别码(IMEI,International Mobile Equipment Identity)、客户识别模块(SIM,Subscriber Identification Module)码、或集成电路卡识别码(ICCID,Integrate circuit card identity)等,此外,该终端信息还可以包括终端的其他一些信息,比如终端的IP地址、配置和/或性能等信息。用户信息可以包括用户帐号、以及验证信息等;用户账号具体可以为用户名、邮箱地址、即时通讯工具的帐号和/或用户的编号,等等;验证信息可以包括密码和/或验证码等。
[0036] 102、根据该网络访问请求进行身份验证。
[0037] 例如,可以从该网络访问请求中提取该终端的终端信息和/或用户信息,根据该终端信息和/或用户信息对该终端进行身份验证。
[0038] 比如,可以将该终端信息和/或用户信息与预设的校验信息进行匹配,若匹配,则确定身份验证成功,若不匹配,则确定身份验证失败。
[0039] 其中,匹配的方式可以有多种,比如,可以确定该终端信息和/或用户信息与预设的校验信息是否一致,若一致,且确定为匹配,反之,若不一致,则确定为不匹配。或者,也可以确定终端信息和/或用户信息与预设的校验信息之间的关系是否符合设定的关系,若是,则确定为匹配,若否,则确定为不匹配,等等。
[0040] 103、在确定身份验证成功时,确定是否存在该终端与本端(即该网络访问装置)的关键交互信息,若存在,则执行步骤104;若不存在,则执行步骤105。
[0041] 其中,终端与本端的关键交互信息指的是终端与本端进行交互时所产生的关键数据,比如一些业务数据或操作数据,等等。
[0042] 其中,确定是否存在该终端与本端的关键交互信息的方式可以有多种,例如,具体可以如下:
[0043] (1)获取本端的交互行为日志;
[0044] 比如,具体可以获取本端(即该网络访问装置)与各个终端的交互关键路径,在该交互关键路径上,提取本端的交互行为日志。
[0045] 其中,本端与各个终端的交互关键路径指的是本端与各个终端之间用户传输数据的路径。
[0046] (2)确定该交互行为日志中是否存在关于该终端的记录,若存在,则确定存在该终端与本端的关键交互信息;若不存在,则确定不存在该终端与本端的关键交互信息。
[0047] 由于该终端与本端的交互行为所发生的时间点实际上是在该终端身份验证成功之后,因此,可选的,为了提高处理效率,除了可以对该交互行为日志中的所有记录进行查询,以确定是否存在该终端的记录之外,还可以只查询该终端身份验证成功后所发生的记录,即步骤“确定该交互行为日志中是否存在关于该终端的记录”具体可以如下:
[0048] 获取该终端身份验证成功时的时间点,对该交互行为日志中,在该时间点之后的记录进行查询,若查询到该终端的记录,则确定该交互行为日志中存在关于该终端的记录,若未查询到该终端的记录,则确定该交互行为日志中不存在关于该终端的记录。
[0049] 需说明的是,若身份验证不成功,则可以直接拒绝该网络访问请求,在此不再赘述。
[0050] 104、若存在关键交互信息,则通过该网络访问请求。
[0051] 例如,具体可以返回表示身份验证成功的响应消息给终端,以允许该终端进行网络访问。
[0052] 105、若不存在关键交互信息,则拒绝该网络访问请求。
[0053] 例如,具体可以返回表示身份验证失败的响应消息给终端,以拒绝该终端进行网络访问。
[0054] 可选的,为了避免该终端继续进行访问,还可以在拒绝该网络访问请求之后,将该终端列入黑名单,比如,具体可以如下:
[0055] 从该网络访问请求中提取该终端的终端信息和/或用户信息,将该终端信息和用户信息添加至预设的黑名单中,等等。
[0056] 由上可知,本实施例在接收到终端发送的网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;由于一般的恶意登录行为在身份验证成功后,不会与本端作进一步的交互,因此,可以通过判断身份验证成功后,是否存在交互行为来确定该访问请求是否为恶意,该方案相对于现有通过检测登录次数来判断是否恶意的方案而言,可以大大增加非法入侵者进行恶意登录的成本和难度,有利于提高信息的安全性;此外,由于识别时无需受到登录次数阈值的限制,因此,可以更加有效地识别出恶意登录的行为,改善识别效果。
[0057] 实施例二、
[0058] 根据实施例一所描述的方法,以下将举例作进一步详细说明。
[0059] 在本实施例中,将以该网络访问装置具体集成在服务器中为例进行说明[0060] 如图2所示,一种网络访问方法,具体流程可以如下:
[0061] 201、终端向服务器发送网络访问请求。
[0062] 其中,该网络访问请求可以携带终端信息和用户信息等信息。该终端信息可以包括终端标识、以及终端的其他一些信息,比如终端的IP地址、配置和/或性能等。用户信息可以包括用户帐号和验证信息等,具体可参见实施例一,在此不再赘述。
[0063] 202、服务器在接收到该网络访问请求后,根据该网络访问请求进行身份验证,若验证成功,则执行步骤203,若验证失败,则执行步骤206。
[0064] 例如,服务器可以从该网络访问请求中提取该终端的终端信息和/或用户信息,将该终端信息和/或用户信息与预设的校验信息进行匹配,若匹配,则确定身份验证成功,于是执行步骤203,否则,若不匹配,则确定身份验证失败,执行步骤206。
[0065] 其中,匹配的方式可以有多种,比如,以“确定该终端信息和/或用户信息与预设的校验信息是否一致”的匹配方式,且登录网站K为例,具体可以如下:
[0066] 某用户通过终端向网站K所在的服务器发送网络访问请求,其中,该网络访问请求携带用户的登录帐户名“abcd”,以及密码“123456”,则服务器在接收到该网络访问请求后,可以从该网络访问请求中提取出帐户名“abcd”,以及密码“123456”,然后,将该帐户名“abcd”和密码“123456”与预设的校验信息进行比较,若与预设的校验信息一致,则确定为匹配,可以执行步骤203,否则,若与预设的校验信息不一致,则执行步骤206。
[0067] 203、服务器获取本服务器的交互行为日志。
[0068] 例如,服务器具体可以获取该服务器与各个终端的交互关键路径,在该交互关键路径上,提取该服务器的交互行为日志。
[0069] 比如,还是以登录网站K为例,若登录网站A的终端包括终端A、终端B、终端C、终端D和终端E,则此时,服务器可以获取本服务器与所有终端,即终端A、终端B、终端C、终端D和终端E的交互关键路径,在该交互关键路径上,提取该服务器的交互行为日志。
[0070] 204、服务器确定该交互行为日志中是否存在关于该终端的记录,若存在,则确定存在该终端与本服务器的关键交互信息,表明该终端的访问行为为正常的访问行为,可以执行步骤205;反之,若不存在,则确定不存在该终端与本服务器的关键交互信息,表明该终端的访问行为为恶意的访问行为,比如是撞库等行为,所以,此时可以执行步骤206。
[0071] 需说明的是,由于该终端与本服务器的交互行为所发生的时间点实际上是在该终端身份验证成功之后,因此,可选的,为了提高处理效率,除了可以对该交互行为日志中的所有记录进行查询,以确定是否存在该终端的记录之外,还可以只查询该终端身份验证成功后所发生的记录,即步骤“确定该交互行为日志中是否存在关于该终端的记录”具体可以如下:
[0072] 获取该终端身份验证成功时的时间点,对该交互行为日志中,在该时间点之后的记录进行查询,若查询到该终端的记录,则确定该交互行为日志中存在关于该终端的记录,若未查询到该终端的记录,则确定该交互行为日志中不存在关于该终端的记录。
[0073] 比如,以终端A身份验证成功的时间点为“2016年10月10日10:00”为例,则此时,可以只查询该交互行为日志中“2016年10月10日10:00”之后的记录,如果这些记录中存在终端A的记录,则确定存在终端A与本服务器的关键交互信息,执行步骤205;反之,若这些记录中不存在终端A的记录,则确定不存在终端A与本服务器的关键交互信息,此时,可以执行步骤206。
[0074] 205、在确定存在关键交互信息时,服务器通过该网络访问请求。
[0075] 例如,服务器具体可以返回表示身份验证成功的响应消息给终端,以允许该终端进行网络访问,比如,允许该终端进入相应的用户帐户中,以进一步的操作,等等。
[0076] 206、在确不存在关键交互信息时,服务器拒绝该网络访问请求。
[0077] 例如,服务器具体可以返回表示身份验证失败的响应消息给终端,以拒绝该终端进行网络访问。
[0078] 可选的,此时还可以提示用户身份验证失败的原因,比如,返回相应的验证失败提示信息等,在此不再赘述。
[0079] 可选的,为了避免该终端继续进行访问,还可以在拒绝该网络访问请求之后,将该终端列入黑名单,即还可以执行步骤207,如下:
[0080] 207、服务器将该终端信息和用户信息添加至预设的黑名单中,等等。
[0081] 需说明的是,如果在202中,服务器已经提取了终端信息和用户信息并进行保存,则此时,可以直接将保存的终端信息和用户信息添加至预设的黑名单中即可,而如果在步骤202中,服务器并没有保存该终端信息和用户信息,则此时,可以从网络访问请求中重新提取该终端信息和用户信息,然后,将提取的终端信息和用户信息添加至预设的黑名单中,等等,在此不再赘述。
[0082] 可选的,为了提高处理的灵活性,在执行步骤203之前,还可以获取该终端的网络环境信息,如果该网络环境信息不符合预设安全条件,才执行步骤203,否则,如果该网络环境信息符合预设安全条件,在身份验证成功之后,可以直接执行步骤205,即直接通过该网络访问请求。
[0083] 其中,该预设安全条件可以根据实际应用的需求而定,譬如,如果是在该终端的常用登录地址和/或网络中,如家里和/或办公地点,由于网络安全性较高,因此,在身份验证成功之后,可以直接通过该网络访问请求,而如果终端所采用的IP地址和/或网络是陌生的,则表明可能存在一定威胁,所以,在身份验证成功之后,还可以执行步骤203,以对其行为是否为恶意作进一步识别,以保护用户信息安全。
[0084] 由上可知,本实施例的服务器在接收到终端发送的网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本服务器的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;由于一般的恶意登录行为在身份验证成功后,不会与本端作进一步的交互,因此,可以通过判断身份验证成功后,是否存在交互行为来确定该访问请求是否为恶意,该方案相对于现有通过检测登录次数来判断是否恶意的方案而言,可以大大增加非法入侵者进行恶意登录的成本和难度,有利于提高信息的安全性;此外,由于识别时无需受到登录次数阈值的限制,因此,可以更加有效地识别出恶意登录的行为,改善识别效果。
[0085] 实施例三、
[0086] 为了更好地实施以上方法,本发明实施例还提供一种网络访问装置,如图3a所示,该网络访问装置包括接收单元301、验证单元302和判断单元303,如下:
[0087] (1)接收单元301;
[0088] 接收单元301,用于接收终端发送的网络访问请求。
[0089] 其中,该网络访问请求可以携带终端信息和用户信息等信息。该终端信息可以包括终端标识,比如终端的IMEI、SIM卡的号码、或ICCID等,此外,该终端信息还可以包括终端的其他一些信息,比如终端的IP地址、配置和/或性能等信息。用户信息可以包括用户帐号、以及验证信息等。
[0090] (2)验证单元302;
[0091] 验证单元302,用于根据该网络访问请求进行身份验证。
[0092] 例如,该验证单元302,具体可以用于从该网络访问请求中提取该终端的终端信息和/或用户信息,根据该终端信息和/或用户信息对该终端进行身份验证。
[0093] 比如,可以将该终端信息和/或用户信息与预设的校验信息进行匹配,若匹配,则确定身份验证成功,若不匹配,则确定身份验证失败。
[0094] 其中,匹配的方式可以有多种,比如,可以确定该终端信息和/或用户信息与预设的校验信息是否一致,若一致,且确定为匹配,反之,若不一致,则确定为不匹配。或者,也可以确定终端信息和/或用户信息与预设的校验信息之间的关系是否符合设定的关系,若是,则确定为匹配,若否,则确定为不匹配,等等。
[0095] (3)判断单元303;
[0096] 判断单元303,用于在验证单元302确定身份验证成功时,判断是否存在该终端与本端的关键交互信息;若存在,则通过该网络访问请求;若不存在,则拒绝该网络访问请求。
[0097] 其中,确定是否存在该终端与本端的关键交互信息的方式可以有多种,例如,该判断单元303可以包括获取子单元和判断子单元,如下:
[0098] 获取子单元,用于获取本端的交互行为日志。
[0099] 比如,该获取子单元,具体可以用于获取本端与各个终端的交互关键路径,在该交互关键路径上,提取本端的交互行为日志。
[0100] 判断子单元,用于确定该交互行为日志中是否存在关于该终端的记录,若存在,则确定存在该终端与本端的关键交互信息;若不存在,则确定不存在该终端与本端的关键交互信息。
[0101] 由于该终端与本端的交互行为所发生的时间点实际上是在该终端身份验证成功之后,因此,可选的,为了提高处理效率,除了可以对该交互行为日志中的所有记录进行查询,以确定是否存在该终端的记录之外,还可以只查询该终端身份验证成功后所发生的记录,即该判断子单元,具体可以用于:
[0102] 获取该终端身份验证成功时的时间点,对该交互行为日志中,在该时间点之后的记录进行查询,若查询到该终端的记录,则确定该交互行为日志中存在关于该终端的记录;若未查询到该终端的记录,则确定该交互行为日志中不存在关于该终端的记录。
[0103] 需说明的是,若身份验证不成功,则验证单元302可以直接拒绝该网络访问请求,在此不再赘述。
[0104] 可选的,为了避免该终端继续进行访问,还可以在拒绝该网络访问请求之后,将该终端列入黑名单,即如图3b所示,该网络访问装置还可以包括处理单元304,如下:
[0105] 该处理单元304,可以用于从该网络访问请求中提取该终端的终端信息和/或用户信息,将该终端信息和/或用户信息添加至预设的黑名单中。
[0106] 具体实施时,以上各个单元可以分别作为独立的实体来实现,也可以进行任意组合,作为同一或若干个实体来实现,以上各个单元的具体实施可参见前面的方法实施例,在此不再赘述。
[0107] 该网络访问装置具体可以集成在服务器,比如业务服务器或应用服务器等设备中。
[0108] 由上可知,本实施例的网络访问装置在接收到终端发送的网络访问请求后,可以由验证单元302根据该网络访问请求进行身份验证,并在确定身份验证成功时,由判断单元303确定是否存在该终端与本端的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;由于一般的恶意登录行为在身份验证成功后,不会与本端作进一步的交互,因此,可以通过判断身份验证成功后,是否存在交互行为来确定该访问请求是否为恶意,该方案相对于现有通过检测登录次数来判断是否恶意的方案而言,可以大大增加非法入侵者进行恶意登录的成本和难度,有利于提高信息的安全性;此外,由于识别时无需受到登录次数阈值的限制,因此,可以更加有效地识别出恶意登录的行为,改善识别效果。
[0109] 实施例四、
[0110] 相应的,本发明实施例还提供一种网络访问系统,可以包括本发明实施例所提供的任一种网络访问装置,具体可参见实施例三。
[0111] 其中,该网络访问装置具体可以集成在服务器等设备中,例如,具体可以如下:
[0112] 服务器,用于接收终端发送的网络访问请求,根据该网络访问请求进行身份验证,在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,若存在,则通过该网络访问请求;若不存在,则拒绝该网络访问请求。
[0113] 比如,该服务器,具体可以获取本端的交互行为日志,比如获取本端(即该服务器)与各个终端的交互关键路径,在该交互关键路径上,提取本端的交互行为日志等,然后,确定该交互行为日志中是否存在关于该终端的记录,若存在,则确定存在该终端与本端的关键交互信息;若不存在,则确定不存在该终端与本端的关键交互信息,等等。
[0114] 可选的,为了提高处理效率,除了可以对该交互行为日志中的所有记录进行查询,以确定是否存在该终端的记录之外,还可以只查询该终端身份验证成功后所发生的记录,即:
[0115] 该服务器,具体可以用于获取该终端身份验证成功时的时间点,对该交互行为日志中,在该时间点之后的记录进行查询,若查询到该终端的记录,则确定该交互行为日志中存在关于该终端的记录,若未查询到该终端的记录,则确定该交互行为日志中不存在关于该终端的记录。
[0116] 可选的,为了避免该终端继续进行访问,还可以在拒绝该网络访问请求之后,将该终端列入黑名单,即:
[0117] 该服务器,还可以用于从该网络访问请求中提取该终端的终端信息和/或用户信息,将该终端信息和用户信息添加至预设的黑名单中,等等。
[0118] 此外,该网络访问系统还可以包括其他的设备,比如,可以包括终端,如下:
[0119] 终端,用于向网络访问装置,比如向服务器发送网络访问请求。
[0120] 该终端,还可以用于接收网络访问装置,比如向服务器返回的响应,比如,返回的指示网络访问成功或失败的响应,等等。
[0121] 以上各个设备的具体实施可参见前面的实施例,在此不再赘述。
[0122] 由于该网络访问系统可以包括本发明实施例所提供的任一种网络访问装置,因此,可以实现本发明实施例所提供的任一种网络访问装置所能实现的有益效果,详见前面的实施例,在此不再赘述。
[0123] 实施例五、
[0124] 此外,本发明实施例还提供一种服务器,如图4所示,其示出了本发明实施例所涉及的服务器的结构示意图,具体来讲:
[0125] 该服务器可以包括一个或者一个以上处理核心的处理器401、一个或一个以上计算机可读存储介质的存储器402、射频(Radio Frequency,RF)电路403、电源404、输入单元405、以及显示单元406等部件。本领域技术人员可以理解,图4中示出的服务器结构并不构成对服务器的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。其中:
[0126] 处理器401是该服务器的控制中心,利用各种接口和线路连接整个服务器的各个部分,通过运行或执行存储在存储器402内的软件程序和/或模块,以及调用存储在存储器402内的数据,执行服务器的各种功能和处理数据,从而对服务器进行整体监控。可选的,处理器401可包括一个或多个处理核心;优选的,处理器401可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器401中。
[0127] 存储器402可用于存储软件程序以及模块,处理器401通过运行存储在存储器402的软件程序以及模块,从而执行各种功能应用以及数据处理。存储器402可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据服务器的使用所创建的数据等。此外,存储器402可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。相应地,存储器402还可以包括存储器控制器,以提供处理器401对存储器402的访问。
[0128] RF电路403可用于收发信息过程中,信号的接收和发送,特别地,将基站的下行信息接收后,交由一个或者一个以上处理器401处理;另外,将涉及上行的数据发送给基站。通常,RF电路403包括但不限于天线、至少一个放大器、调谐器、一个或多个振荡器、用户身份模块(SIM)卡、收发信机、耦合器、低噪声放大器(LNA,Low Noise Amplifier)、双工器等。此外,RF电路403还可以通过无线通信与网络和其他设备通信。所述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(GSM,Global System of Mobile communication)、通用分组无线服务(GPRS,General Packet Radio Service)、码分多址(CDMA,Code Division Multiple Access)、宽带码分多址(WCDMA,Wideband Code Division Multiple Access)、长期演进(LTE,Long Term Evolution)、电子邮件、短消息服务(SMS,Short Messaging Service)等。
[0129] 服务器还包括给各个部件供电的电源404(比如电池),优选的,电源404可以通过电源管理系统与处理器401逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。电源404还可以包括一个或一个以上的直流或交流电源、再充电系统、电源故障检测电路、电源转换器或者逆变器、电源状态指示器等任意组件。
[0130] 该服务器还可包括输入单元405,该输入单元405可用于接收输入的数字或字符信息,以及产生与用户设置以及功能控制有关的键盘、鼠标、操作杆、光学或者轨迹球信号输入。具体地,在一个具体的实施例中,输入单元405可包括触敏表面以及其他输入设备。触敏表面,也称为触摸显示屏或者触控板,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触敏表面上或在触敏表面附近的操作),并根据预先设定的程式驱动相应的连接装置。可选的,触敏表面可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器401,并能接收处理器401发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触敏表面。除了触敏表面,输入单元405还可以包括其他输入设备。具体地,其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
[0131] 该服务器还可包括显示单元406,该显示单元406可用于显示由用户输入的信息或提供给用户的信息以及服务器的各种图形用户接口,这些图形用户接口可以由图形、文本、图标、视频和其任意组合来构成。显示单元406可包括显示面板,可选的,可以采用液晶显示器(LCD,Liquid Crystal Display)、有机发光二极管(OLED,Organic Light-Emitting Diode)等形式来配置显示面板。进一步的,触敏表面可覆盖显示面板,当触敏表面检测到在其上或附近的触摸操作后,传送给处理器401以确定触摸事件的类型,随后处理器401根据触摸事件的类型在显示面板上提供相应的视觉输出。虽然在图4中,触敏表面与显示面板是作为两个独立的部件来实现输入和输入功能,但是在某些实施例中,可以将触敏表面与显示面板集成而实现输入和输出功能。
[0132] 尽管未示出,服务器还可以包括摄像头、蓝牙模块等,在此不再赘述。具体在本实施例中,服务器中的处理器401会按照如下的指令,将一个或一个以上的应用程序的进程对应的可执行文件加载到存储器402中,并由处理器401来运行存储在存储器402中的应用程序,从而实现各种功能,如下:
[0133] 接收终端发送的网络访问请求,根据该网络访问请求进行身份验证,在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,若存在,则通过该网络访问请求;若不存在,则拒绝该网络访问请求。
[0134] 例如,具体可以获取本端的交互行为日志,比如获取本端(即该服务器)与各个终端的交互关键路径,在该交互关键路径上,提取本端的交互行为日志等,然后,确定该交互行为日志中是否存在关于该终端的记录,若存在,则确定存在该终端与本端的关键交互信息;若不存在,则确定不存在该终端与本端的关键交互信息,等等。
[0135] 可选的,为了提高处理效率,除了可以对该交互行为日志中的所有记录进行查询,以确定是否存在该终端的记录之外,还可以只查询该终端身份验证成功后所发生的记录,即该存储在存储器402中的应用程序,还可以实现如下功能:
[0136] 获取该终端身份验证成功时的时间点,对该交互行为日志中,在该时间点之后的记录进行查询,若查询到该终端的记录,则确定该交互行为日志中存在关于该终端的记录,若未查询到该终端的记录,则确定该交互行为日志中不存在关于该终端的记录。
[0137] 可选的,为了避免该终端继续进行访问,还可以在拒绝该网络访问请求之后,将该终端列入黑名单,即该存储在存储器402中的应用程序,还可以实现如下功能:
[0138] 将该终端列入黑名单,比如,可以从该网络访问请求中提取该终端的终端信息和/或用户信息,将该终端信息和用户信息添加至预设的黑名单中,等等。
[0139] 以上各个操作的具体实施可参见前面的实施例,在此不再赘述。
[0140] 由上可知,本实施例的服务器在接收到终端发送的网络访问请求后,可以根据该网络访问请求进行身份验证,并在确定身份验证成功时,确定是否存在该终端与本端的关键交互信息,如果存在,则表明该访问为正常的访问行为,如果不存在,则确定为恶意行为,拒绝该网络访问请求;由于一般的恶意登录行为在身份验证成功后,不会与本端作进一步的交互,因此,可以通过判断身份验证成功后,是否存在交互行为来确定该访问请求是否为恶意,该方案相对于现有通过检测登录次数来判断是否恶意的方案而言,可以大大增加非法入侵者进行恶意登录的成本和难度,有利于提高信息的安全性;此外,由于识别时无需受到登录次数阈值的限制,因此,可以更加有效地识别出恶意登录的行为,改善识别效果。
[0141] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:只读存储器(ROM,Read Only Memory)、随机存取记忆体(RAM,Random Access Memory)、磁盘或光盘等。
[0142] 以上对本发明实施例所提供的一种网络访问方法、装置和系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。