[发明专利]一种防爆破攻击的安全防护方法及装置

说明书

本发明公开一种防爆破攻击的安全防护方法及装置，涉及软件安全防护技术领域。该方法包括以下步骤：设置在业务系统的客户端的防爆破攻击客户端安全组件将减少用户验证码输入的防爆破攻击安全参数添加到登录请求中，并发送至业务系统的服务端；设置在业务系统的服务端的防爆破攻击服务端安全组件在服务端收到所述登录请求后，对已添加减少用户验证码输入的防爆破攻击安全参数的所述登录请求进行减少用户验证码输入的防爆破攻击安全验证，并根据防爆破攻击安全验证结果，向所述客户端发送登录响应。采用本发明可以在减少用户验证码输入的同时，对爆破攻击实现更有效的安全防御。

技术领域

本发明涉及软件安全防护技术领域，尤其涉及一种防爆破攻击的安全防护工具。

背景技术

爆破攻击(BruteForceAttacks)是指利用大量猜测和穷举的方式来尝试获取用户口令(简称口令)的攻击方式或者发送一个目的主机已接收过的包，来达到欺骗系统的目的，其主要原理分别如下：

如图1a所示，攻击者主机A一直枚举用户口令，给服务器主机B发送数据请求，由于爆破成功和失败的响应数据包的内容是不一样的，因而攻击者主机A通过检测来自服务器主机B响应数据包可以很好的判断是否爆破成功。

如图1b所示，主机A要给服务器主机B发送数据请求，攻击者C利用网络监听等方式盗取主机A的数据请求，再将该数据请求重发给服务器。

目前防爆破攻击的解决方案一般有两种：

一种是验证码机制，通过设置验证码，确保验证码一次有效，每次发起请求时更新新的验证码。该方式适用于登录过程、修改密码过程及其他涉及口令的操作过程。优点是简单易实现，缺点是每次都需要用户输入验证码，影响用户使用。

一种是随机数机制(挑战与应答的机制)，客户端请求服务器时，服务器生成一个随机数返回给客户端，客户端携带所述随机数访问服务器，服务器比对生成的所述随机数和客户端携带的所述随机数，若相同则说明请求正常，不是爆破攻击。但是，该方案可通过如下方式进行爆破攻击：客户端将获取随机数的请求和正常数据请求放到请求集合中，并设置全局变量。客户端将服务器响应返回的随机数赋值给全局变量，然后再将全局变量的值赋值给数据请求，从而可保证每个请求均携带有效的随机数。通过重放该请求集合，达到爆破攻击的目的。因此该方案的缺点是不能有效防止爆破攻击。

发明内容

本发明实施例提供一种防爆破攻击的安全防护方法及装置，旨在解决已有爆破攻击解决方案中出现的验证码机制影响用户使用、随机数机制不能有效防护爆破攻击的问题。

本发明实施例提供了一种防爆破攻击的安全防护方法，所述方法包括以下步骤：设置在业务系统的客户端的防爆破攻击客户端安全组件将减少用户验证码输入的防爆破攻击安全参数添加到登录请求中，并发送至业务系统的服务端；设置在业务系统的服务端的防爆破攻击服务端安全组件在服务端收到所述登录请求后，对已添加减少用户验证码输入的防爆破攻击安全参数的所述登录请求进行减少用户验证码输入的防爆破攻击安全验证，并根据防爆破攻击安全验证结果，向所述客户端发送登录响应。

优选地，所述减少用户验证码输入的防爆破攻击安全参数包括：随机验证码code和加密验证码签名；所述防爆破攻击客户端安全组件将减少用户验证码输入的防爆破攻击安全参数添加到登录请求中，并发送至业务系统的服务端包括：所述防爆破攻击客户端安全组件在查询到本地有免验证码标识字符串code_key时，随机生成所述code；根据本地存储的随机字符串c_nonce，生成浏览器指纹；对用户发起所述登录请求时输入的口令进行加密，得到加密口令；利用所述code_key、所述code、所述浏览器指纹和所述加密口令，生成验证码签名并进行加密，得到加密验证码签名；将所述code和所述加密验证码签名拼接到所述登录请求中，从而与用户发起所述登录请求时输入的用户名、所述加密口令一并发送到所述业务系统的服务端。