信息处理方法、登录服务器的方法、装置、服务器及终端与流程

本发明涉及通信应用的技术领域，特别是指一种信息处理方法、登录服务器的方法、装置、服务器及终端。

背景技术：

所谓“暴力破解”是一种密码穷举技术，指攻击者利用各种已知账户号码，如默认账号、邮件账号、QQ用户账号、网上银行账号等，使用各种字符组合进行密码猜测的攻击行为。暴力破解是现有攻击最常见的一种，攻击者利用自动化攻击脚本频繁的尝试用户登录页面，猜测用户的账号及密码。

目前大多APP业务均存在用户登录功能，针对APP业务的登录功能存在暴力破解风险，现有主流防暴力破解技术有：

1.登录限制策略

通过编码程序设置访问控制，不允许无限制的登录尝试。用户多次登录错误时，锁定用户账号，用户必须通过邮箱或手机验证才能登录，或是在一定时间后，才能再次输入用户名和密码尝试登录，防止多次登录尝试引起的暴力破解行为。

2.图片验证码技术

防止暴力破解图片验证码技术是现在应用最广泛的一种，用户在输入账号和密码的同时，需要输入登录页面自动生成的图片验证码。服务端在收到用户登录请求时，首先验证图片验证码的正确性，验证通过后再校验用户名和密码，自动化的暴力攻击程序由于无法自动识别图片验证码，从而无法实现批量密码猜解。但是由于图片识别技术的发展，黑客们能在攻击中加入自动化识别技术辨别出图片验证码，就能频繁尝试登录，使得图片验证码也不断演进和发展。

图片验证码发展：

1)简单数字或字符：图片内容由等距的数字或字符组成。此类图片验证码 容易被自动化识别；

2)干扰和噪点：通过在图片背景中加入渐层背景或干扰噪点的方式让计算机程序辨识困难；

3)扭曲变形：在图片中加上一条增加切割符困难的曲线，增加计算机程序辨识的难度。

4)汉字或复杂文字：指扫描古书，找出计算机无法辨认出来的古字；或者复杂汉字使得程序较难识别；

5)生物智能：利用计算机没有固定模式的东西，选择图片中指定的物品、动物及文字。数学计算验证码：或者利用数学中加减乘除运算方法得到正确答案，输入验证框。

对于现有技术1登录限制策略，防止暴力破解的方法主要依靠设置复杂的密码或多次登录失败锁定技术，但是无法防止黑客们利用一个口令批量猜测账号的新型暴力破解攻击方式。

对于现有技术2图片验证码技术，随着图片识别技术的发展，图片验证码本身就存在破解风险，而越来越复杂的验证码在增加机器程序自动化识别难度的同时，也增加用户肉眼识别的难度，从而降低了用户体验。

技术实现要素：

本发明的目的在于提供一种信息处理方法、登录服务器的方法、装置、服务器及终端，用以解决现有APP业务登录验证时存在操作复杂，且容易被暴力破解的问题。

为了实现上述目的，本发明提供了一种信息处理方法，应用于服务器，包括：

获取终端发送的登录验证请求；

根据所述登录验证请求生成第一指令信息，并发送给所述终端；

获取所述终端根据所述第一指令信息返回的待验证信息，所述待验证信息包括：用户身份验证信息、所述终端根据所述第一指令信息生成的第二指令信息，及所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的验证码信息；

对所述待验证信息进行验证处理，并在验证成功后允许终端登录。

其中，所述根据所述登录验证请求生成第一指令信息还包括：

对所述第一指令信息进行加密处理。

其中，对所述待验证信息进行验证处理，并在验证成功后允许终端登录，包括：

根据预设算法、所述第一指令信息和所述第二指令信息，对所述验证码信息进行验证处理，其中，所述验证码信息是所述终端利用所述预设算法对所述第一指令信息和所述第二指令信息进行处理得到的信息；

若所述验证码信息验证成功，则对所述用户身份信息进行验证处理；

若所述用户身份信息验证成功，则允许终端登录。

其中，所述根据所述预设算法、所述第一指令信息和所述第二指令信息，对所述验证码信息进行验证处理，包括：

根据消息摘要算法对所述第一指令信息和所述第二指令信息进行处理，得到标准信息；

判断所述标准信息与所述验证码信息是否一致；

若所述标准信息与所述验证码信息一致，则确定所述验证码信息验证成功，否则，确定所述验证码信息验证失败。

本发明还提供了一种信息处理装置，应用于服务器，包括：

第一获取模块，用于获取终端发送的登录验证请求；

第一生成模块，用于根据所述登录验证请求生成第一指令信息，并发送给所述终端；

第二获取模块，用于获取所述终端根据所述第一指令信息返回的待验证信息，所述待验证信息包括：用户身份验证信息、所述终端根据所述第一指令信息生成的第二指令信息，及所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的验证码信息；

处理模块，用于对所述待验证信息进行验证处理，并在验证成功后允许终端登录。

其中，所述第一生成模块还包括：

加密单元，用于对所述第一指令信息进行加密处理。

其中，所述处理模块包括：

第一验证单元，用于根据预设算法、所述第一指令信息和所述第二指令信息，对所述验证码信息进行验证处理，其中，所述验证码信息是所述终端利用所述预设算法对所述第一指令信息和所述第二指令信息进行处理得到的信息；

第二验证单元，用于若所述验证码信息验证成功，则对所述用户身份信息进行验证处理；

登录单元，用于若所述用户身份信息验证成功，则允许终端登录。

其中，所述第一验证单元包括：

第一生成子单元，用于根据消息摘要算法对所述第一指令信息和所述第二指令信息进行处理，得到标准信息；

判断子单元，用于判断所述标准信息与所述验证码信息是否一致；

确定子单元，用于若所述标准信息与所述验证码信息一致，则确定所述验证码信息验证成功，否则，确定所述验证码信息验证失败。

本发明还提供了一种服务器，包括如上所述的信息处理装置。

本发明还提供了一种登录服务器的方法，应用于终端，包括：

向服务器发送登录验证请求；

获取所述服务器根据所述登录验证请求返回的第一指令信息；

根据所述第一指令信息，得到第二指令信息及验证码信息，所述第二指令信息是所述终端在接收到所述第一指令信息后生成的信息，所述验证码信息是所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的信息；

将所述第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，并在所述服务器验证成功后进行登录。

其中，所述终端在接收到所述第一指令信息后生成所述第二指令信息，包括：

在接收到所述第一指令信息后，触发所述终端生成一随机数信息。

其中，所述终端对所述第一指令信息和所述第二指令信息进行处理后得到所述验证码信息，包括：

所述终端根据预设算法对所述第一指令信息和所述第二指令信息进行处理，得到所述验证码信息。

其中，所述预设算法为预先保存在所述终端中、且经过加壳处理的消息摘要算法。

其中，所述将所述第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，包括：

对所述第二指令信息、验证码信息及用户身份验证信息进行加密处理，并将加密处理后的第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证。

本发明还提供了一种登录服务器的装置，应用于终端，包括：

第一发送模块，用于向服务器发送登录验证请求；

第三获取模块，用于获取所述服务器根据所述登录验证请求返回的第一指令信息；

第二生成模块，用于根据所述第一指令信息，得到第二指令信息及验证码信息，所述第二指令信息是所述终端在接收到所述第一指令信息后生成的信息，所述验证码信息是所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的信息；

第二发送模块，用于将所述第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，并在所述服务器验证成功后进行登录。

其中，所述第二生成模块包括：

第一生成单元，用于所述终端在接收到所述第一指令信息后，触发所述终端生成一随机数信息。

其中，所述第二生成模块包括：

第二生成单元，用于根据预设算法对所述第一指令信息和所述第二指令信息进行处理，得到所述验证码信息。

其中，所述预设算法为预先保存在所述终端中、且经过加壳处理的消息摘要算法。

其中，所述第二发送模块具体用于对所述第二指令信息、验证码信息及用户身份验证信息进行加密处理，并将加密处理后的第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证。

本发明还提供了一种终端，包括如上所述的登录服务器的装置。

本发明实施例具有以下有益效果：

本发明实施例的上述技术方案，服务器获取终端发送的登录验证请求；服务器根据登录验证请求生成第一指令信息，并发送给终端；终端根据第一指令信息向服务器返回待验证信息，该待验证信息包括：用户身份验证信息、终端根据第一指令信息生成的第二指令信息，及所述终端对第一指令信息和第二指令信息进行处理后得到的验证码信息；服务器对待验证信息进行验证处理，并在验证成功后允许终端登录。本发明实施例对服务器生成的第一指令信息和终端生成第二指令信息进行处理得到验证码信息，并将该验证码信息作为待验证信息的一部分，能够实现由数据包重放引起的暴力破解攻击，且本发明实施例易于操作，具有良好的防护效果，同时，能够在用户毫无感知的情况下完成验证过程，大大提高了用户体验。

附图说明

图1为本发明实施例的信息处理方法的第一工作流程图；

图2为本发明实施例的信息处理方法的第二工作流程图；

图3为本发明实施例的信息处理装置的结构示意图；

图4为本发明实施例的登录服务器的方法的工作流程图；

图5为本发明实施例中服务器与终端的交互流程图；

图6为本发明实施例的登录服务器的装置的结构示意图。

具体实施方式

为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合具体实施例及附图进行详细描述。

本发明的实施例提供了一种信息处理方法、登录服务器的方法、装置、服务器及终端，解决了现有APP业务登录验证时存在操作复杂，且容易被暴力破解的问题。

第一实施例：

如图1所示，本发明实施例的信息处理方法，应用于服务器，包括：

步骤11：获取终端发送的登录验证请求。

具体的，该登录验证请求为终端APP业务的登录验证请求，用户通过APP业务的登录页面发起上述登录验证请求。

步骤12：根据所述登录验证请求生成第一指令信息，并发送给所述终端。

这里，当服务器接收到终端发送的登录验证请求时，服务器端随机生成随机数token1并发送给终端。另外，在本发明的具体实施例的整个通信过程中需要进行加密处理，本发明实施例通过对上述随机数token1进行加密处理，能够有效防止会话中的token信息泄露。

步骤13：获取所述终端根据所述第一指令信息返回的待验证信息，所述待验证信息包括：用户身份验证信息、所述终端根据所述第一指令信息生成的第二指令信息，及所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的验证码信息。

在本发明的具体实施例中，上述第二指令信息可具体为终端在接收到服务器发送的随机数token1后，随机生成的随机数token2；终端利用预设算法对上述第一指令信息和上述第二指令信息进行处理后得到上述验证码信息。且上述用户身份验证信息可具体包括：用户登录名及登录密码。

步骤14：对待验证信息进行验证处理，并在验证成功后允许终端登录。

具体的，分别对上述验证码信息、用户登录名及登录密码进行验证，并在上述验证码信息、用户登录名及登录密码均验证成功后允许终端登录。

本发明实施例对服务器生成的第一指令信息和终端生成第二指令信息进行处理得到验证码信息，并将该验证码信息作为待验证信息的一部分，能够实现由数据包重放引起的暴力破解攻击，且本发明实施例易于操作，具有良好的防护效果，同时，能够在用户毫无感知的情况下完成验证过程，大大提高了用户体验。

第二实施例：

如图2所示，本发明实施例的信息处理方法，包括：

步骤21：获取终端发送的登录验证请求。

步骤22：根据所述登录验证请求生成第一指令信息，并发送给所述终端。

步骤23：获取所述终端根据所述第一指令信息返回的待验证信息，所述待验证信息包括：用户身份验证信息、所述终端根据所述第一指令信息生成的第 二指令信息，及所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的验证码信息。

步骤24：根据预设算法、所述第一指令信息和所述第二指令信息，对所述验证码信息进行验证处理，其中，所述验证码信息是所述终端利用所述预设算法对所述第一指令信息和所述第二指令信息进行处理得到的信息。

具体的，根据消息摘要算法，如消息-摘要算法5(Message-Digest Algorithm5，简称MD5)对所述第一指令信息和所述第二指令信息进行处理，得到标准信息；判断所述标准信息与所述验证码信息是否一致；若所述标准信息与所述验证码信息一致，则确定所述验证码信息验证成功，否则，确定所述验证码信息验证失败。当然，在本发明的具体实施例中，上述预设算法也可为其他摘要算法，在此不一一举例说明。

步骤25：若所述验证码信息验证成功，则对所述用户身份信息进行验证处理。

这里是指，在上述验证码信息验证成功后，分别对用户登录名和登录密码进行验证处理。

步骤26：若所述用户身份信息验证成功，则允许终端登录。

本发明实施例中，由服务器生成随机token1，通过安全通道传送给终端APP，终端APP同时也生成随机token2，并对两个token进行摘要后发送给服务端，服务端采用同样的摘要算法token进行摘要处理，并将两个摘要进行比对，从而实现由数据包重放引起的暴力破解攻击，整个过程用户无感知，达到良好的用户体验。同时，本发明实施例中的APP进行加壳处理，能够有效防止被攻击者逆向探测算法。

第三实施例：

如图3所示，本发明实施例还提供了一种信息处理装置，应用于服务器，包括：

第一获取模块31，用于获取终端发送的登录验证请求；

第一生成模块32，用于根据所述登录验证请求生成第一指令信息，并发送给所述终端；

第二获取模块33，用于获取所述终端根据所述第一指令信息返回的待验证 信息，所述待验证信息包括：用户身份验证信息、所述终端根据所述第一指令信息生成的第二指令信息，及所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的验证码信息；

处理模块34，用于对所述待验证信息进行验证处理，并在验证成功后允许终端登录。

进一步地，所述第一生成模块32还包括：

加密单元321，用于对所述第一指令信息进行加密处理。

进一步地，所述处理模块34包括：

第一验证单元341，用于根据预设算法、所述第一指令信息和所述第二指令信息，对所述验证码信息进行验证处理，其中，所述验证码信息是所述终端利用所述预设算法对所述第一指令信息和所述第二指令信息进行处理得到的信息；

第二验证单元342，用于若所述验证码信息验证成功，则对所述用户身份信息进行验证处理；

登录单元343，用于若所述用户身份信息验证成功，则允许终端登录。

进一步地，所述第一验证单元341包括：

第一生成子单元3411，用于根据消息摘要算法对所述第一指令信息和所述第二指令信息进行处理，得到标准信息；

判断子单元3412，用于判断所述标准信息与所述验证码信息是否一致；

确定子单元3413，用于若所述标准信息与所述验证码信息一致，则确定所述验证码信息验证成功，否则，确定所述验证码信息验证失败。

进一步地，本发明实施例还提供了一种服务器，包括如上所述的信息处理装置。

需要说明的是，该装置及服务器是与上述方法实施例对应的装置和服务器，上述方法实施例中所有实现方式均适用于该装置和服务器的实施例中，也能达到相同的技术效果。

第四实施例：

如图4所示，本发明实施例还提供了一种登录服务器的方法，应用于终端，包括：

步骤41：向服务器发送登录验证请求。

步骤42：获取所述服务器根据所述登录验证请求返回的第一指令信息。

该第一指令信息具体为终端在接收到登录验证请求后，随机生成的随机数token1。

步骤43：根据所述第一指令信息，得到第二指令信息及验证码信息，所述第二指令信息是所述终端在接收到所述第一指令信息后生成的信息，所述验证码信息是所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的信息。

具体的，在接收到所述第一指令信息后，触发所述终端生成一随机数信息，如随机数token2。所述终端根据预设算法对所述第一指令信息和所述第二指令信息进行处理，得到所述验证码信息，该预设算法可具体为预先保存在所述终端中、且经过加壳处理的消息摘要算法。

步骤44：将所述第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，并在所述服务器验证成功后进行登录。

具体的，对所述第二指令信息、验证码信息及用户身份验证信息进行加密处理，并将加密处理后的第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，通过对通信过程中的传输数据进行加密处理，能够有效防止会话过程中的数据泄露，提高传输的安全性。

下面具体说明上述方案中终端与服务器的交互流程。

如图5所示，包括：

步骤51：终端发起登录验证请求。

步骤52：服务器根据上述登录验证请求生成随机数token1并发送给终端。

步骤53：终端生成随机数token2，并利用MD5算法对token1和token2进行处理，得到A，并将A、用户登录名、登录密码及token2发送给服务器。

步骤54：服务器利用MD5算法对token1和token2进行处理，得到A2，并比较A1与A2是否一致。

步骤55：若服务器比较出A1和A2一致后，对用户登录名和登录密码进行验证。

步骤56：若用户登录名和登录密码验证成功，则允许终端登录。

本发明实施例中，由服务器生成随机token1，通过安全通道传送给终端APP， 终端APP同时也生成随机token2，并对两个token进行摘要后发送给服务端，服务端采用同样的摘要算法token进行摘要处理，并将两个摘要进行比对，从而实现由数据包重放引起的暴力破解攻击，整个过程用户无感知，达到良好的用户体验。同时，本发明实施例中的APP进行加壳处理，能够有效防止被攻击者逆向探测算法。

第五实施例：

如图6所示，本发明的实施例还提供了一种登录服务器的装置，应用于终端，包括：

第一发送模块61，用于向服务器发送登录验证请求；

第三获取模块62，用于获取所述服务器根据所述登录验证请求返回的第一指令信息；

第二生成模块63，用于根据所述第一指令信息，得到第二指令信息及验证码信息，所述第二指令信息是所述终端在接收到所述第一指令信息后生成的信息，所述验证码信息是所述终端对所述第一指令信息和所述第二指令信息进行处理后得到的信息；

第二发送模块64，用于将所述第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证，并在所述服务器验证成功后进行登录。

进一步地，所述第二生成模块63包括：

第一生成单元631，用于所述终端在接收到所述第一指令信息后，触发所述终端生成一随机数信息。

进一步地，所述第二生成模块63包括：

第二生成单元632，用于根据预设算法对所述第一指令信息和所述第二指令信息进行处理，得到所述验证码信息。

进一步地，所述预设算法为预先保存在所述终端中、且经过加壳处理的消息摘要算法。

进一步地，所述第二发送模块64具体用于对所述第二指令信息、验证码信息及用户身份验证信息进行加密处理，并将加密处理后的第二指令信息、验证码信息及用户身份验证信息发送给所述服务器进行验证。

进一步地，本发明的实施例还提供了一种终端，包括如上所述的登录服务 器的装置。

需要说明的是，该装置及终端是与上述方法实施例对应的装置和终端，上述方法实施例中所有实现方式均适用于该装置和终端的实施例中，也能达到相同的技术效果。

本发明实施例对服务器生成的第一指令信息和终端生成第二指令信息进行处理得到验证码信息，并将该验证码信息作为待验证信息的一部分，能够实现由数据包重放引起的暴力破解攻击，且本发明实施例易于操作，具有良好的防护效果，同时，能够在用户毫无感知的情况下完成验证过程，大大提高了用户体验。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。