一种基于公网与内网结合的人机验证方法以及装置与流程

本申请各实施例属于网络安全，具体涉及一种基于公网与内网结合的人机验证方法以及装置。

背景技术：

1、人机验证作为一种“攻防对抗”的场景，无论是采用算术验证码、图片验证码、滑块验证码等形式，如果人机验证的规则一直保持不更新，那么攻击者早晚会破解现有的防护规则，使得人机验证的防护失效。

2、传统实现方案都是把人机验证规则内置在waf（web application firewall，应用防火墙）里面。但是，因为一般情况下waf都是私有化部署在用内网，而且作为一个串联的流量设备，更新人机验证规则时往往会被业务流量产生影响，很难频繁对waf进行升级，导致网络安全性降低。即使是单独升级waf的人机验证规则，也存在影响后续业务的风险，这种情况下又需要人机验证具备可动态降级的能力。

技术实现思路

1、为了解决现有技术存在的更新人机验证规则时往往会被业务流量产生影响，很难频繁对waf进行升级，导致网络安全性降低，即使是单独升级waf的人机验证规则，也存在影响后续业务的风险的技术问题，本发明提供了一种基于公网与内网结合的人机验证方法及装置。

2、第一方面，本发明提供了一种基于公网与内网结合的人机验证方法，应用于客户端，包括：

3、向内网的应用防火墙发起访问请求，以使所述应用防火墙对所述访问请求是否携带有令牌进行检验，在所述访问请求未携带有令牌的情况下，返回人机验证通知；

4、根据所述人机验证通知，向公网的服务端发起人机验证请求，以使所述服务端对所述人机验证请求进行验证，在人机验证通过的情况下，返回工作量证明题目；

5、对所述工作量证明题目进行计算；

6、向所述服务端提交工作量证明计算结果，以使所述服务端对所述工作量证明计算结果进行检验，在所述工作量证明计算结果正确的情况下，返回令牌；

7、向所述应用防火墙发起携带有所述令牌的访问请求，以使所述应用防火墙对所述令牌进行校验，当所述令牌校验成功时，所述应用防火墙放行所述访问请求。

8、第二方面，本发明提供了一种基于公网与内网结合的人机验证装置，应用于客户端，包括：

9、第一发起模块，用于向内网的应用防火墙发起访问请求，以使所述应用防火墙对所述访问请求是否携带有令牌进行检验，在所述访问请求未携带有令牌的情况下，返回人机验证通知；

10、第二发起模块，用于根据所述人机验证通知，向公网的服务端发起人机验证请求，以使所述服务端对所述人机验证请求进行验证，在人机验证通过的情况下，返回工作量证明题目；

11、计算模块，用于对所述工作量证明题目进行计算；

12、提交模块，用于向所述服务端提交工作量证明计算结果，以使所述服务端对所述工作量证明计算结果进行检验，在所述工作量证明计算结果正确的情况下，返回令牌；

13、第三发起模块，用于向所述应用防火墙发起携带有所述令牌的访问请求，以使所述应用防火墙对所述令牌进行校验，当所述令牌校验成功时，所述应用防火墙放行所述访问请求。

14、第三方面，本发明提供了一种基于公网与内网结合的人机验证方法，应用于服务端，包括：

15、接收客户端发起的人机验证请求；

16、对所述人机验证请求进行验证；

17、在人机验证通过的情况下，向所述客户端返回工作量证明题目，以使所述客户端对所述工作量证明题目进行计算；

18、接收所述客户端的工作量证明计算结果；

19、对所述工作量证明计算结果进行检验；

20、在所述工作量证明计算结果正确的情况下，向所述客户端返回令牌。

21、第四方面，本发明提供了一种基于公网与内网结合的人机验证装置，应用于服务端，包括：

22、第一接收模块，用于接收所述客户端发起的人机验证请求；

23、验证模块，用于对所述人机验证请求进行验证；

24、第一返回模块，用于在人机验证通过的情况下，向所述客户端返回工作量证明题目，以使所述客户端对所述工作量证明题目进行计算；

25、第二接收模块，用于接收所述客户端的工作量证明计算结果；

26、校验模块，用于对所述工作量证明计算结果进行检验；

27、第二返回模块，用于在所述工作量证明计算结果正确的情况下，向所述客户端返回令牌。

28、与现有技术相比，本发明至少具有以下有益效果：

29、在本发明中，创新性地将公网与内网结合起来进行人机验证，将人机验证的核心逻辑放在公网的服务端，内网的应用防火墙仅需校验访问请求是否经过公网的服务端的人机验证服务验证，当校验成功时，应用防火墙放行访问请求，在公网更新人机验证规则时不会被内网的业务流量产生影响，也不会被后续业务产生影响，可以频繁地对人机验证规则进行更新，以提升网络安全性。

技术特征：

1.一种基于公网与内网结合的人机验证方法，应用于客户端，其特征在于，包括：

2.根据权利要求1所述的基于公网与内网结合的人机验证方法，其特征在于，所述对所述工作量证明题目进行计算，具体包括：

3.根据权利要求1所述的基于公网与内网结合的人机验证方法，其特征在于，所述应用防火墙对所述令牌进行校验，具体包括：

4.根据权利要求3所述的基于公网与内网结合的人机验证方法，其特征在于，所述令牌的有效期计算方式为：其中，ti表示经过i次验证后的令牌有效期，γ表示失效系数，i表示验证次数，t0表示初始过期时间。

5.一种基于公网与内网结合的人机验证装置，应用于客户端，其特征在于，包括：

6.一种基于公网与内网结合的人机验证方法，应用于服务端，其特征在于，包括：

7.根据权利要求6所述的基于公网与内网结合的人机验证方法，其特征在于，所述对所述人机验证请求进行验证，具体包括：

8.根据权利要求7所述的基于公网与内网结合的人机验证方法，其特征在于，所述客户端的优先级参数的计算方式为：其中，p表示优先级参数，i表示客户端的ip地址类型，当客户端的ip地址类型为预设区域范围内的ip地址类型时，，否则，，λ1表示客户端的ip类型的权重系数，b表示客户端状态，当客户端请求中的user-agent值为正常值时，，λ2表示客户端状态的权重系数，当客户端请求user-agent值为空或者为异常值时，，c表示验证次数，λ3表示验证次数的权重系数。

9.根据权利要求6所述的基于公网与内网结合的人机验证方法，其特征在于，所述向所述客户端返回工作量证明题目，具体包括：

10.根据权利要求9所述的基于公网与内网结合的人机验证方法，其特征在于，所述根据所述客户端的优先级参数以及服务端的负载情况，确定工作量证明题目的难度等级，具体包括：

技术总结
本申请实施例提供了一种基于公网与内网结合的人机验证方法以及装置，属于网络安全技术领域，方法包括：向内网的应用防火墙发起访问请求，以使应用防火墙对访问请求是否携带有令牌进行检验，在访问请求未携带有令牌的情况下，返回人机验证通知；根据人机验证通知，向公网的服务端发起人机验证请求，以使服务端对人机验证请求进行验证，在人机验证通过的情况下，返回工作量证明题目；对工作量证明题目进行计算；向服务端提交工作量证明计算结果，以使服务端对工作量证明计算结果进行检验，在工作量证明计算结果正确的情况下，返回令牌；向应用防火墙发起携带有令牌的访问请求，以使应用防火墙对令牌进行校验，当令牌校验成功时，放行访问请求。

技术研发人员：赵昶,朱文雷,崔勤
受保护的技术使用者：北京长亭科技有限公司
技术研发日：
技术公布日：2024/4/7