一种网站登录认证方法和装置的制造方法
【技术领域】
[0001]本发明的实施方式涉及互联网技术领域,更具体地,本发明的实施方式涉及一种网站登录认证方法和装置。
【背景技术】
[0002]本部分旨在为权利要求书中陈述的本发明的实施方式提供背景或上下文。此处的描述不因为包括在本部分中就承认是现有技术。
[0003]随着互联网技术的不断发展,网络所能提供的服务也越来越多,如用于提供信息分享、传播和获取的微博,提供便利购物方式的网上购物,提供便利银行用户名管理的网银等服务,而用户获得这些服务的第一个步骤就是通过输入认证信息,登录提供相应服务的网站。
[0004]图1为现有技术中的网站登录流程,具体包括以下步骤:
[0005]S11、客户端接收网站服务器推送的登录页面。
[0006]其中,客户端可以为网页的浏览器,也可以为安装于移动终端,如手机,平板电脑等中的客户端。该网站可以为微博网站、购物网站、网银网站等需要用户输入认证信息才能登录的网站。
[0007]S12、将用户在该登录页面中输入的认证信息返回给网站服务器进行认证。
[0008]用户在登录页面的相应位置输入认证信息后,可以通过点击“登录”按钮,指示客户端将输入的认证信息发送给网站服务器进行认证,其中,认证信息可以为用户名和密码。
[0009]S13、客户端接收网站服务器在认证通过后返回的认证通过提示信息,并登录网站。
[0010]网站服务器接收到认证信息后,对该认证信息进行认证,在认证通过时,向客户端返回认证通过提示信息,允许用户登录网站。
[0011]由于网站服务器中还可能存储一些重要的用户数据,例如,网银网站服务器中可能存储有用户银行账户相关数据,而购物网站服务器中可能存储有用户账户余额,购买记录等用户数据。但非法攻击者可以通过暴力破解或者撞库等方式冒充用户登录网站服务器,从而降低了网站服务器中存储的用户数据的安全。为了解决这个问题,在现有的网站登录流程中,通常采用基于IPdnternet Protocol,互联网协议)或者用户名的统计方法识别机器人自动的暴力破解或者撞库攻击等行为,即如果单位时间内同一 IP或者同一用户名请求登录网站的次数大于预设阈值,则可以判断为机器人行为,不允许用户的登录请求,并将相应IP或者用户名锁定一定的时间。
[0012]现有技术中还可以通过各类CAPTCHA(CompletelyAutomated Public TuringTest to Tell Computers and Humans Apart,全自动区分计算机和人类的图灵测试)验证码系统进行验证,如果通过CAPTCHA验证的,则判断为人类行为,否则判断为机器人行为。
【发明内容】
[0013]但是,大量的代理IP的存在,使得攻击者很容易通过变化IP或者变化用户名等方式绕过第一种识别方法;而对于第二种识别方法,由于针对验证码系统的0CR(0pticalCharacter Recognit1n,光学字符识别)技术日益成熟,使得对验证码的破解率越来越高;另外,当下出现的各类人工打码平台(即由自动软件将验证码图像输送到客户端并等待输入,打码人通过识别验证码图像,输入正确的验证码,从而帮助自动软件完成识别验证码的操作)也降低了验证码识别方法的安全性。
[0014]为此,非常需要一种改进的网站登录认证方法,以能够准确识别用户合法的网站登录行为,提高网站服务器中存储的用户数据的安全性。
[0015]在本上下文中,本发明的实施方式期望提供一种网站登录认证方法和装置。
[0016]在本发明实施方式的第一方面中,提供了一种网站登录认证方法,包括:
[0017]在用户登录网站服务器时,获取用户输入认证信息中至少一对相邻字符之间的时间间隔得到第一时间间隔向量;
[0018]判断获取的第一时间间隔向量与预先存储的第二时间间隔向量是否匹配,其中所述第二时间间隔向量包括所述用户在注册时输入所述认证信息中至少一对相邻字符之间的时间间隔;
[0019]根据判断结果,向所述用户返回响应消息。
[0020]在本发明实施方式的第二方面中,提供了一种网站登录认证装置,包括:
[0021]获取单元,用于在用户登录网站服务器时,获取用户输入认证信息中至少一对相邻字符之间的时间间隔得到第一时间间隔向量;
[0022]第一判断单元,用于判断获取的第一时间间隔向量与预先存储的第二时间间隔向量是否匹配,其中所述第二时间间隔向量包括所述用户在注册时输入所述认证信息中至少一对相邻字符之间的时间间隔;
[0023]响应单元,用于根据所述第一判断单元的判断结果,向所述用户返回响应消息。
[0024]在本发明实施方式的第三方面中,提供了一种网站登录认证装置,例如,可以包括存储器和处理器,其中,处理器可以用于读取存储器中的程序,执行下列过程:在用户登录网站服务器时,获取用户输入认证信息中至少一对相邻字符之间的时间间隔得到第一时间间隔向量;判断获取的第一时间间隔向量与预先存储的第二时间间隔向量是否匹配,其中所述第二时间间隔向量包括所述用户在注册时输入所述认证信息中至少一对相邻字符之间的时间间隔;根据判断结果,向所述用户返回响应消息。
[0025]在本发明实施方式的第四方面中,提供了一种程序产品,其包括程序代码,当所述程序产品运行时,所述程序代码用于执行以下过程:在用户登录网站服务器时,获取用户输入认证信息中至少一对相邻字符之间的时间间隔得到第一时间间隔向量;判断获取的第一时间间隔向量与预先存储的第二时间间隔向量是否匹配,其中所述第二时间间隔向量包括所述用户在注册时输入所述认证信息中至少一对相邻字符之间的时间间隔;根据判断结果,向所述用户返回响应消息。
[0026]根据本发明实施方式的网站登录认证方法和装置,在需要进行网站登录认证时可以根据用户在登录网站服务器时根据用户输入认证信息中相邻字符间的时间间隔对请求登录用户进行认证,由于不同用户其输入认证信息时的时间间隔通常具有其自身的特点规律,攻击者无法模拟该过程以非法登录网站服务器,从而提高了网站登录认证的安全性,保证了网站服务器存储的用户数据的安全;而且该认证过程用户并不感知,为用户带来了更好的体验。
【附图说明】
[0027]通过参考附图阅读下文的详细描述,本发明示例性实施方式的上述以及其他目的、特征和优点将变得易于理解。在附图中,以示例性而非限制性的方式示出了本发明的若干实施方式,其中:
[0028]图1示出了现有技术中的网站登录流程示意图;
[0029]图2示意性地示出了根据本发明实施方式的应用场景示意图;
[0030]图3示意性地示出了根据本发明实施方式的网站登录认证方法的实施流程示意图;
[0031 ]图4示意性地示出了根据本发明实施方式的认证信息表结构示意图;
[0032]图5示意性地示出了根据本发明另一实施例的网站登录认证装置的结构示意图;
[0033]在附图中,相同或对应的标号表不相同或对应的部分。
【具体实施方式】
[0034]下面将参考若干示例性实施方式来描述本发明的原理和精神。应当理解,给出这些实施方式仅仅是为了使本领域技术人员能够更好地理解进而实现本发明,而并非以任何方式限制本发明的范围。相反,提供这些实施方式是为了使本公开更加透彻和完整,并且能够将本公开的范围完整地传达给本领域的技术人员。
[0035]本领域技术人员知道,本发明的实施方式可以实现为一种系统、装置、设备、方法或计算机程序产品。因此,本公开可以具体实现为以下形式,即:完全的硬件、完全的软件(包括固件、驻留软件、微代码等),或者硬件和软件结合的形式。
[0036]根据本发明的实施方式,提出了一种网站登录认证方法和装置。
[0037]在本文中,需要理解的是,所涉及的术语中:
[0038]暴力破解,或称为穷举法,是一种密码分析的方法,即将密码进行逐个推算直到找出真正的密码为止。例如一个已知是四位并且全部由数字组成的密码,其可能共有10000种组合,因此最多尝试10000次就能找到正确的密码;
[0039]撞库是指攻击者通过收集互联网已泄露的用户认证信息,生成对应的字典表,尝试批量登录其他网站后,得到一系列可以登录不同网站的用户认证信息。为了便于记忆,很多用户在不同网站使用的是相同的用户名和密码,因此攻击者可以通过获取用户在A网站的认证信息从而尝试登录B网站,该行