CN111343191B - 会话校验方法及装置、存储介质、电子装置 - Google Patents
会话校验方法及装置、存储介质、电子装置 Download PDFInfo
- Publication number
- CN111343191B CN111343191B CN202010149312.4A CN202010149312A CN111343191B CN 111343191 B CN111343191 B CN 111343191B CN 202010149312 A CN202010149312 A CN 202010149312A CN 111343191 B CN111343191 B CN 111343191B
- Authority
- CN
- China
- Prior art keywords
- authentication information
- target application
- session
- token
- sessionid
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 47
- 238000012795 verification Methods 0.000 claims abstract description 27
- 238000004590 computer program Methods 0.000 claims description 18
- 230000002159 abnormal effect Effects 0.000 claims description 16
- 230000008569 process Effects 0.000 abstract description 6
- 238000005516 engineering process Methods 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 235000014510 cooky Nutrition 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 230000001172 regenerating effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000006870 function Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000006872 improvement Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012800 visualization Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种会话校验方法及装置、存储介质、电子装置,该方法包括:校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录。通过本发明,解决相关技术中会话过程中的Session攻击的问题,达到防止固定Session攻击的效果。
Description
技术领域
本发明涉及通信领域,具体而言,涉及一种会话校验方法及装置、存储介质、电子装置。
背景技术
现有技术中在对会话进行校验时,主要是通过客户端组合验证鉴别Session是否被非授权用户利用,在客户端互联网协议(Internet Protocol,简称为IP)或User-Agent改变时及时销毁及清除Session信息并强制客户端重新认证登录以提高安全性。但是,针对Session Fixation攻击、CSRF攻击,该认证过程存在一定的安全隐患。
针对上述技术问题,相关技术中尚未提出有效的解决方案。
发明内容
本发明实施例提供了一种会话校验方法及装置、存储介质、电子装置,以至少解决相关技术中会话过程中的Session攻击的问题。
根据本发明的一个实施例,提供了一种会话校验方法,包括:校验目标应用在第N次登录时携带的第一认证信息,其中,上述第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,上述N是大于1的自然数;在对上述第一认证信息校验通过的情况下,向上述目标应用返回第二认证信息,其中,上述第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,上述第二认证信息用于校验上述目标应用在第N+1次的登录;其中,上述第一认证信息和上述第二认证信息均用于检测上述目标应用与目标设备之间的会话是否异常。
根据本发明的另一个实施例,提供了一种会话校验装置,包括:第一校验模块,用于校验目标应用在第N次登录时携带的第一认证信息,其中,上述第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,上述N是大于1的自然数;
第一返回模块,用于在对上述第一认证信息校验通过的情况下,向上述目标应用返回第二认证信息,其中,上述第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,上述第二认证信息用于校验上述目标应用在第N+1次的登录;
其中,上述第一认证信息和上述第二认证信息均用于检测上述目标应用与目标设备之间的会话是否异常。
可选地,上述装置还包括:
第二返回模块,用于在校验目标应用在第N次登录时携带的第一认证信息之前,在确定上述目标应用在第N-1次登录时未携带帐号和密码的情况下,向上述目标应用返回上述第一认证信息。
可选地,上述第一校验模块,包括:
第一获取单元,用于从上述第一认证信息中获取上述第一sessionID和第一tokenID;
第一生成单元,用于利用上述第一sessionID和目标设备上的属性信息生成第一摘要值;
第一比对模块,用于将上述第一摘要值与上述第一tokenID进行比对,以校验上述目标应用在第N次登录时携带的第一认证信息。
可选地,上述装置还包括以下之一:
第一确定模块,用于在上述第一摘要值与上述第一tokenID相同的情况下,确定通过对上述第一认证信息的校验,向上述目标应用返回上述第二认证信息;
第二确定模块,用于在上述第一摘要值与上述第一tokenID不相同的情况下,确定上述目标应用与上述目标设备之间的会话出现异常。
可选地,上述装置还包括:
第二校验模块,用于在对上述第一认证信息校验通过的情况下,向上述目标应用返回第二认证信息之后,对上述第二认证信息进行校验,其中,上述第二认证信息中还包括上述目标应用的帐号和密码。
可选地,上述第二校验模块,包括:
第一获取单元,用于从上述第二认证信息中获取上述第二sessionID和第二tokenID;
第二生成单元,用于利用上述第二sessionID和目标设备上的属性信息生成第二摘要值;
第二比对单元,用于将上述第二摘要值与上述第二tokenID进行比对,以校验上述第二认证信息。
可选地,上述装置还包括以下之一:
第二返回模块,用于在上述第二摘要值与上述第二tokenID相同的情况下,确定通过对上述第二认证信息的校验,向上述目标应用返回上述第二认证信息;
第三确定模块,用于在上述第二摘要值与上述第二tokenID不相同的情况下,确定上述目标应用与上述目标设备之间的会话出现异常。
根据本发明的又一个实施例,还提供了一种存储介质,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
根据本发明的又一个实施例,还提供了一种电子装置,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行上述任一项方法实施例中的步骤。
通过本发明,由于校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录;其中,第一认证信息和第二认证信息均用于检测目标应用与目标设备之间的会话是否异常。通过对Session、Token信息有效性检查及相互校验防止伪造RPC请求;通过在认证登录后重新产生一对Session、Token认证信息防止固定Session攻击。因此,可以解决相关技术中会话过程中的Session攻击的问题,达到防止固定Session攻击的效果。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中:
图1是本发明实施例的一种会话校验方法的移动终端的硬件结构框图;
图2是根据本发明实施例的会话校验方法的流程图;
图3是根据本发明实施例的登录到设备的流程图;
图4是根据本发明实施例会话校验的流程图;
图5是根据本发明实施例的会话校验装置的结构框图。
具体实施方式
下文中将参考附图并结合实施例来详细说明本发明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
本申请实施例一所提供的方法实施例可以在移动终端、计算机终端或者类似的运算装置中执行。以运行在移动终端上为例,图1是本发明实施例的一种会话校验方法的移动终端的硬件结构框图。如图1所示,移动终端10可以包括一个或多个(图1中仅示出一个)处理器102(处理器102可以包括但不限于微处理器MCU或可编程逻辑器件FPGA等的处理装置)和用于存储数据的存储器104,可选地,上述移动终端还可以包括用于通信功能的传输设备106以及输入输出设备108。本领域普通技术人员可以理解,图1所示的结构仅为示意,其并不对上述移动终端的结构造成限定。例如,移动终端10还可包括比图1中所示更多或者更少的组件,或者具有与图1所示不同的配置。
存储器104可用于存储计算机程序,例如,应用软件的软件程序以及模块,如本发明实施例中的会话校验方法对应的计算机程序,处理器102通过运行存储在存储器104内的计算机程序,从而执行各种功能应用以及数据处理,即实现上述的方法。存储器104可包括高速随机存储器,还可包括非易失性存储器,如一个或者多个磁性存储装置、闪存、或者其他非易失性固态存储器。在一些实例中,存储器104可进一步包括相对于处理器102远程设置的存储器,这些远程存储器可以通过网络连接至移动终端10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
传输装置106用于经由一个网络接收或者发送数据。上述的网络具体实例可包括移动终端10的通信供应商提供的无线网络。在一个实例中,传输装置106包括一个网络适配器(Network Interface Controller,简称为NIC),其可通过基站与其他网络设备相连从而可与互联网进行通讯。在一个实例中,传输装置106可以为射频(Radio Frequency,简称为RF)模块,其用于通过无线方式与互联网进行通讯。
在本实施例中提供了一种会话校验方法,图2是根据本发明实施例的会话校验方法的流程图,如图2所示,该流程包括如下步骤:
步骤S202,校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;
可选地,本实施例包括但不限于应用于网页Web应用系统SessionID攻击的识别场景中。目标应用包括但不限于是浏览器。例如,浏览器等客户端在认证登录到目标设备时,目标设备认证登录系统除了产生SessionID信息,同时产生Token信息,并分别存放于Cookie及请求报文中,且目标设备对SessionID、Token做校验。
可选地,目标设备包括但不限于是硬盘录像机(Digital Video Recorder,简称为DVR)、网络视频录像机(Network Video Recorder,简称为NVR)。
可选地,在本实施例中,第一认证信息中还包括目标应用的帐号和密码。
通过这种方法可以防止Session Fixation攻击、CSRF攻击、防止伪造服务请求而达到预防Session攻击提高系统安全性。
步骤S204,在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录;
其中,第一认证信息和第二认证信息均用于检测目标应用与目标设备之间的会话是否异常。
可选地,在本实施例中,第二认证信息中还包括目标应用的帐号和密码。
可选地,第二认证信息是更新后的第一认证信息,第一认证信息和第二认证信息并不相同。
可选地,上述步骤的执行主体可以为终端等,但不限于此。
通过上述步骤,由于校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录;其中,第一认证信息和第二认证信息均用于检测目标应用与目标设备之间的会话是否异常。通过对Session、Token信息有效性检查及相互校验防止伪造RPC请求;通过在认证登录后重新产生一对Session、Token认证信息防止固定Session攻击。因此,可以解决相关技术中会话过程中的Session攻击的问题,达到防止固定Session攻击的效果。
在一个可选的实施例中,在校验目标应用在第N次登录时携带的第一认证信息之前,方法还包括:
S1,在确定目标应用在第N-1次登录时未携带帐号和密码的情况下,向目标应用返回第一认证信息。
可选地,在本实施例中,第N-1次登录包括但不限于是目标设备第一次登录,并不需要使用帐号和密码。
可选地,例如,如图3所示,包括以下步骤:
S301:浏览器等客户端认证登录到DVR/NVR设备,客户端在第一次登录的情况下,并不需要使用帐号和密码;
S302:设备响应浏览器的第一次登录,设备发送包含临时Token信息的Cookie;)设备发送包含临时Session、Token信息的报文主体,分别保存于浏览器报文主体和存储在用户本地终端上的数据Cookie中;
S303:客户端第二次登录的情况下,使用帐号和密码认证登录,同时携带Session、Token信息;设备校验Session、Token有效性;设备校验帐号密码认证信息;在设备认证失败的情况下,转至S307;在设备认证通过的情况下,转至S304;
S304:设备第2次登录响应:更新Session、Token对;设备发送包含Token信息的Cookie;设备发送包含Session、Token信息的报文主体,这里设备在认证成功后产生一对新的sessionID+tokenID对可以防止固定session攻击;
S305:客户端服务请求,携带Session、Token信息;设备校验Session、Token信息的有效性,在设备认证失败的情况下,转至S307;在设备认证通过的情况下,转至S306;
S306:设备服务响应;
S307:结束。
通过本实施例,通过对Session、Token信息的认证,可以有效防止固定Session攻击。设备会对每次请求的sessionID、tokenID做认证信息校验,防止伪造及篡改认证信息。
在一个可选的实施例中,校验目标应用在第N次登录时携带的第一认证信息,包括:
S1,从第一认证信息中获取第一sessionID和第一tokenID;
S2,利用第一sessionID和目标设备上的属性信息生成第一摘要值;
S3,将第一摘要值与第一tokenID进行比对,以校验目标应用在第N次登录时携带的第一认证信息。
可选地,在本实施例中,例如,如图4所示,包括以下步骤:
S401:设备从客户端请求数据中获取第一sessionID和第一tokenID认证信息;
S402:设备上组合第一sessionID与设备指纹等信息生成第一摘要值;
S403:设备对生成的摘要值与客户端请求中TokenID比对及校验;设备比对校验失败的情况下,转至S405;设备比对校验成功的情况下,转至S404;
S404:设备服务响应;
S405:结束。
在一个可选的实施例中,方法还包括以下之一:
S1,在第一摘要值与第一tokenID相同的情况下,确定通过对第一认证信息的校验,向目标应用返回第二认证信息;
S2,在第一摘要值与第一tokenID不相同的情况下,确定目标应用与目标设备之间的会话出现异常。
可选地,在本实施例中,出现异常的情况下,结束对会话数据的处理。
在一个可选的实施例中,在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息之后,方法还包括:
S1,对第二认证信息进行校验,其中,第二认证信息中还包括目标应用的帐号和密码。
可选地,在本实施例中,对第二认证信息的校验,可以防止伪造RPC请求。
在一个可选的实施例中,对第二认证信息进行校验,包括:
S1,从第二认证信息中获取第二sessionID和第二tokenID;
S2,利用第二sessionID和目标设备上的属性信息生成第二摘要值;
S3,将第二摘要值与第二tokenID进行比对,以校验第二认证信息。
可选地,在本实施例中,第二摘要值的生成与第一摘要值的生成方式相同。
在一个可选的实施例中,方法还包括以下之一:
S1,在第二摘要值与第二tokenID相同的情况下,确定通过对第二认证信息的校验,向目标应用返回第二认证信息;
S2,在第二摘要值与第二tokenID不相同的情况下,确定目标应用与目标设备之间的会话出现异常。
综上所述,设备通过Session、Token组合使用及校验防止CSRF攻击、防止伪造或篡改服务请求;设备通过在认证登录后重新产生一对Session、Token认证信息防止固定Session攻击。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到根据上述实施例的方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
在本实施例中还提供了一种会话校验装置,该装置用于实现上述实施例及优选实施方式,已经进行过说明的不再赘述。如以下所使用的,术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现,但是硬件,或者软件和硬件的组合的实现也是可能并被构想的。
图5是根据本发明实施例的会话校验装置的结构框图,如图5所示,该装置包括:
第一校验模块52,用于校验目标应用在第N次登录时携带的第一认证信息,其中,上述第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,上述N是大于1的自然数;
第一返回模块54,用于在对上述第一认证信息校验通过的情况下,向上述目标应用返回第二认证信息,其中,上述第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,上述第二认证信息用于校验上述目标应用在第N+1次的登录;
其中,上述第一认证信息和上述第二认证信息均用于检测上述目标应用与目标设备之间的会话是否异常。
可选地,上述装置还包括:
第二返回模块,用于在校验目标应用在第N次登录时携带的第一认证信息之前,在确定上述目标应用在第N-1次登录时未携带帐号和密码的情况下,向上述目标应用返回上述第一认证信息。
可选地,上述第一校验模块,包括:
第一获取单元,用于从上述第一认证信息中获取上述第一sessionID和第一tokenID;
第一生成单元,用于利用上述第一sessionID和目标设备上的属性信息生成第一摘要值;
第一比对模块,用于将上述第一摘要值与上述第一tokenID进行比对,以校验上述目标应用在第N次登录时携带的第一认证信息。
可选地,上述装置还包括以下之一:
第一确定模块,用于在上述第一摘要值与上述第一tokenID相同的情况下,确定通过对上述第一认证信息的校验,向上述目标应用返回上述第二认证信息;
第二确定模块,用于在上述第一摘要值与上述第一tokenID不相同的情况下,确定上述目标应用与上述目标设备之间的会话出现异常。
可选地,上述装置还包括:
第二校验模块,用于在对上述第一认证信息校验通过的情况下,向上述目标应用返回第二认证信息之后,对上述第二认证信息进行校验,其中,上述第二认证信息中还包括上述目标应用的帐号和密码。
可选地,上述第二校验模块,包括:
第一获取单元,用于从上述第二认证信息中获取上述第二sessionID和第二tokenID;
第二生成单元,用于利用上述第二sessionID和目标设备上的属性信息生成第二摘要值;
第二比对单元,用于将上述第二摘要值与上述第二tokenID进行比对,以校验上述第二认证信息。
可选地,上述装置还包括以下之一:
第二返回模块,用于在上述第二摘要值与上述第二tokenID相同的情况下,确定通过对上述第二认证信息的校验,向上述目标应用返回上述第二认证信息;
第三确定模块,用于在上述第二摘要值与上述第二tokenID不相同的情况下,确定上述目标应用与上述目标设备之间的会话出现异常。
需要说明的是,上述各个模块是可以通过软件或硬件来实现的,对于后者,可以通过以下方式实现,但不限于此:上述模块均位于同一处理器中;或者,上述各个模块以任意组合的形式分别位于不同的处理器中。
本发明的实施例还提供了一种存储介质,该存储介质中存储有计算机程序,其中,该计算机程序被设置为运行时执行上述任一项方法实施例中的步骤。
可选地,在本实施例中,上述存储介质可以被设置为存储用于执行以下步骤的计算机程序:
S1,校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;
S2,在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录。
可选地,在本实施例中,上述存储介质可以包括但不限于:U盘、只读存储器(Read-Only Memory,简称为ROM)、随机存取存储器(Random Access Memory,简称为RAM)、移动硬盘、磁碟或者光盘等各种可以存储计算机程序的介质。
本发明的实施例还提供了一种电子装置,包括存储器和处理器,该存储器中存储有计算机程序,该处理器被设置为运行计算机程序以执行上述任一项方法实施例中的步骤。
可选地,上述电子装置还可以包括传输设备以及输入输出设备,其中,该传输设备和上述处理器连接,该输入输出设备和上述处理器连接。
可选地,在本实施例中,上述处理器可以被设置为通过计算机程序执行以下步骤:
S1,校验目标应用在第N次登录时携带的第一认证信息,其中,第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,N是大于1的自然数;
S2,在对第一认证信息校验通过的情况下,向目标应用返回第二认证信息,其中,第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,第二认证信息用于校验目标应用在第N+1次的登录。
可选地,本实施例中的具体示例可以参考上述实施例及可选实施方式中所描述的示例,本实施例在此不再赘述。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种会话校验方法,其特征在于,包括:
校验目标应用在第N次登录时携带的第一认证信息,其中,所述第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,所述N是大于1的自然数;
在对所述第一认证信息校验通过的情况下,向所述目标应用返回第二认证信息,其中,所述第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,所述第二认证信息用于校验所述目标应用在第N+1次的登录;
其中,所述第一认证信息和所述第二认证信息均用于检测所述目标应用与目标设备之间的会话是否异常。
2.根据权利要求1所述的方法,其特征在于,在校验目标应用在第N次登录时携带的第一认证信息之前,所述方法还包括:
在确定所述目标应用在第N-1次登录时未携带帐号和密码的情况下,向所述目标应用返回所述第一认证信息。
3.根据权利要求1所述的方法,其特征在于,校验目标应用在第N次登录时携带的第一认证信息,包括:
从所述第一认证信息中获取所述第一sessionID和第一tokenID;
利用所述第一sessionID和目标设备上的属性信息生成第一摘要值;
将所述第一摘要值与所述第一tokenID进行比对,以校验所述目标应用在第N次登录时携带的第一认证信息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括以下之一:
在所述第一摘要值与所述第一tokenID相同的情况下,确定通过对所述第一认证信息的校验,向所述目标应用返回所述第二认证信息;
在所述第一摘要值与所述第一tokenID不相同的情况下,确定所述目标应用与所述目标设备之间的会话出现异常。
5.根据权利要求1所述的方法,其特征在于,在对所述第一认证信息校验通过的情况下,向所述目标应用返回第二认证信息之后,所述方法还包括:
对所述第二认证信息进行校验,其中,所述第二认证信息中还包括所述目标应用的帐号和密码。
6.根据权利要求1所述的方法,其特征在于,对所述第二认证信息进行校验,包括:
从所述第二认证信息中获取所述第二sessionID和第二tokenID;
利用所述第二sessionID和目标设备上的属性信息生成第二摘要值;
将所述第二摘要值与所述第二tokenID进行比对,以校验所述第二认证信息。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括以下之一:
在所述第二摘要值与所述第二tokenID相同的情况下,确定通过对所述第二认证信息的校验,向所述目标应用返回所述第二认证信息;
在所述第二摘要值与所述第二tokenID不相同的情况下,确定所述目标应用与所述目标设备之间的会话出现异常。
8.一种会话校验装置,其特征在于,包括:
第一校验模块,用于校验目标应用在第N次登录时携带的第一认证信息,其中,所述第一认证信息中包括第一会话控制标识信息sessionID和第一令牌标识信息tokenID,所述N是大于1的自然数;
第一返回模块,用于在对所述第一认证信息校验通过的情况下,向所述目标应用返回第二认证信息,其中,所述第二认证信息中包括第二会话控制标识信息sessionID和第二令牌标识信息tokenID,所述第二认证信息用于校验所述目标应用在第N+1次的登录;
其中,所述第一认证信息和所述第二认证信息均用于检测所述目标应用与目标设备之间的会话是否异常。
9.一种存储介质,其特征在于,所述存储介质中存储有计算机程序,其中,所述计算机程序被设置为运行时执行所述权利要求1至7任一项中所述的方法。
10.一种电子装置,包括存储器和处理器,其特征在于,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以执行所述权利要求1至7任一项中所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010149312.4A CN111343191B (zh) | 2020-03-03 | 2020-03-03 | 会话校验方法及装置、存储介质、电子装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010149312.4A CN111343191B (zh) | 2020-03-03 | 2020-03-03 | 会话校验方法及装置、存储介质、电子装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111343191A CN111343191A (zh) | 2020-06-26 |
| CN111343191B true CN111343191B (zh) | 2022-08-16 |
Family
ID=71184265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010149312.4A Active CN111343191B (zh) | 2020-03-03 | 2020-03-03 | 会话校验方法及装置、存储介质、电子装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111343191B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112883345B (zh) * | 2021-02-04 | 2025-08-01 | 浙江大华技术股份有限公司 | 一种远程登录的控制方法及装置 |
| CN115442114B (zh) * | 2022-08-31 | 2025-07-15 | 长春吉大正元信息技术股份有限公司 | 一种锁屏登录方法、装置、电子设备和存储介质 |
| CN120390032B (zh) * | 2025-06-27 | 2025-09-05 | 宁波银行股份有限公司 | 企业手机银行故障解耦的会话处理方法及装置、存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
| CN107634967A (zh) * | 2017-10-19 | 2018-01-26 | 南京大学 | 一种CSRF攻击的CSRFToken防御系统和方法 |
| CN109379338A (zh) * | 2018-09-19 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种Web应用系统SessionID攻击的识别方法 |
| CN110177120A (zh) * | 2019-06-14 | 2019-08-27 | 北京首都在线科技股份有限公司 | 一种单点登录的方法、装置及计算机可读存储介质 |
| CN110232265A (zh) * | 2019-06-21 | 2019-09-13 | 杭州安恒信息技术股份有限公司 | 双重身份认证方法、装置及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102480490B (zh) * | 2010-11-30 | 2014-09-24 | 国际商业机器公司 | 一种用于防止csrf攻击的方法和设备 |
| CN103067385B (zh) * | 2012-12-27 | 2015-09-09 | 深圳市深信服电子科技有限公司 | 防御会话劫持攻击的方法和防火墙 |
| US10454672B2 (en) * | 2017-05-25 | 2019-10-22 | Facebook, Inc. | Systems and methods for preventing session fixation over a domain portal |
-
2020
- 2020-03-03 CN CN202010149312.4A patent/CN111343191B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106453352A (zh) * | 2016-10-25 | 2017-02-22 | 电子科技大学 | 一种单系统多平台身份验证方法 |
| CN107634967A (zh) * | 2017-10-19 | 2018-01-26 | 南京大学 | 一种CSRF攻击的CSRFToken防御系统和方法 |
| CN109379338A (zh) * | 2018-09-19 | 2019-02-22 | 杭州安恒信息技术股份有限公司 | 一种Web应用系统SessionID攻击的识别方法 |
| CN110177120A (zh) * | 2019-06-14 | 2019-08-27 | 北京首都在线科技股份有限公司 | 一种单点登录的方法、装置及计算机可读存储介质 |
| CN110232265A (zh) * | 2019-06-21 | 2019-09-13 | 杭州安恒信息技术股份有限公司 | 双重身份认证方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111343191A (zh) | 2020-06-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3574625B1 (de) | Verfahren zum durchführen einer authentifizierung | |
| CN102624720B (zh) | 一种身份认证的方法、装置和系统 | |
| CN111355713B (zh) | 一种代理访问方法、装置、代理网关及可读存储介质 | |
| CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
| CN114826754B (zh) | 一种不同网络间的通信方法及系统、存储介质、电子装置 | |
| US20170085567A1 (en) | System and method for processing task resources | |
| CN111343191B (zh) | 会话校验方法及装置、存储介质、电子装置 | |
| CN107579991A (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN111737681A (zh) | 资源的获取方法及装置、存储介质和电子装置 | |
| DE102008062984A1 (de) | Prozess zur Authentifizierung eines Nutzers durch ein Zertifikat unter Verwendung eines Ausserband-Nachrichtenaustausches | |
| CN106209727B (zh) | 一种会话访问方法和装置 | |
| CN112565293A (zh) | 信息安全管理方法、装置、计算机设备及可读存储介质 | |
| CN102045310B (zh) | 一种工业互联网入侵检测和防御方法及其装置 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 | |
| CN112448956A (zh) | 一种短信验证码的权限处理方法、装置和计算机设备 | |
| CN107682321A (zh) | 一种sdn控制器集群单点登录的方法及装置 | |
| CN108462671A (zh) | 一种基于反向代理的认证保护方法及系统 | |
| CN116996238A (zh) | 一种网络异常访问的处理方法以及相关装置 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN119520121A (zh) | 网站请求防篡改的方法、服务端、网页端及存储介质 | |
| CN117792785A (zh) | 微信小程序的访问控制方法、装置、设备及存储介质 | |
| CN112134705A (zh) | 数据鉴权的方法及装置、存储介质和电子装置 | |
| CN110830465B (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
| KR101331575B1 (ko) | 전화인증 우회 해킹 차단 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |