CN117176375A

CN117176375A - 一种用户账号登录安全保护方法及系统

Info

Publication number: CN117176375A
Application number: CN202310328906.5A
Authority: CN
Inventors: 郑宏雄; 黄育成; 秦小成; 师杰; 申宽利; 蒋志彬
Original assignee: China Comservice Enrising Information Technology Co Ltd
Current assignee: China Comservice Enrising Information Technology Co Ltd
Priority date: 2023-03-30
Filing date: 2023-03-30
Publication date: 2023-12-05

Abstract

本发明公开了一种用户账号登录安全保护方法，服务端可以对登录请求进行鉴别，不允许客户端使用浏览器记忆的或非法获取的账号和密码信息进行登录，可以有效消除账号密码泄露带来的危害，提升应用系统的安全性。

Description

一种用户账号登录安全保护方法及系统

技术领域

本发明涉及网络信息技术领域，具体涉及一种用户账号登录安全保护方法及系统。

背景技术

随着信息技术的不断发展，使用计算机系统来进行业务管理和数据管理已经成为常态，大量的重要数据和信息都存储在计算机中成为最有价值的信息资产。在网络和信息安全领域，密码对保障信息安全所起到的作用也越来越大，要保证信息系统中的数据安全达到一定的安全防护水平，信息系统必须具备有效的身份鉴别手段和访问控制机制。身份鉴别是信息系统安全领域的基础内容，是信息系统的第一道安全防线，是访问控制等其他安全服务的基础。身份鉴别最常用方式是身份标识(账号)+密码(静态密码或动态密码)相结合的鉴别方式。随着信息技术和Web(World Wide Web)技术的不断发展，越来越多的应用系统都采用了B/S(Browser/Server即浏览器/服务器)架构。在安全性要求较高的信息系统中，对静态密码的长度、复杂度等都有严格的要求，通常要求静态密码是8位以上的字母大小写混合、数字、特殊字符的组合，这增加了依靠人脑记忆密码的难度。浏览器Browser都提供了记忆功能，使用者都会使用该功能来记住账号和密码，以避免每次都输入复杂的密码。让浏览器记住账号和密码，不需要每次使用系统都输入用户名和复杂的密码，为用户使用系统带来了便利，同时带来了严重的安全隐患：1、一旦计算机被人控制，可以查看浏览器记住的账号和密码信息，导致账号和密码信息泄露。2、任何人可以使用非法获得的账号、密码信息登录信息系统，导致敏感数据和信息泄露，甚至造成敏感数据的毁损。如何防止利用浏览器记忆的或者非法获取的账号和密码信息进行登录，是IT及软件开发相关技术领域亟待解决的问题。

发明内容

本发明提供了一种用户账号登录安全保护方法，服务端可以对登录请求进行鉴别，不允许客户端使用浏览器记忆的或非法获取的账号和密码信息进行登录，可以有效消除账号密码泄露带来的危害，提供应用系统的安全性。

本发明通过下述技术方案实现：

一种用户账号登录安全保护方法，包括步骤：

监听用户键盘按键操作，将用户每一次键入事件储存为一次键值组合序列；键入事件包括用户执行的按键操作与时间，其中，键盘上每一个按键均设有预设值，用户每一次按键操作，均会向键值组合序列进行赋值；

验证键值组合序列是否符合预设区间，对不符合预设区间的键值组合序列进行第一异常标记，并在客户端进行反馈；

对符合预设区间的每一个键值组合序列进行循环读取，当最后一个键入事件结束时，将其所有序列转化为可见字符，并将每一次键入事件的时间间隔时常进行记录，生成该用户的临时行为特征；

将键值组合序列与预设序列进行字符串比较，判断用户行为一致性；当不满足行为一致性时，进行第二异常标记，并在客户端进行反馈；若满足，生成一致性标志，并更新数据库中该用户临时行为特征；

与预设密码进行字符串比较，判断用户密码一致性；当不满足密码一致性时，生成第三异常标记，并在客户端进行反馈；若满足，生成密码一致性标志；

对具有密码一致性的标志的案件操作进行身份合法性检测，包括：读取用户账号密码后，在数据库中提取用户历史行为特征，对临时行为特征与历史行为特征进行差异性比较。

作为一种可选方式，键值组合序列的值包括辅助键、键值和时间的值，任一键值组合序列的监听事件结束标志为键值输入完成；任一键值组合序列的监听事件开始标志为程序初始化启动和/或上一个键值组合序列事件监听结束。

作为一种可选方式，键值组合序列中，按下辅助键的预设值为1，初始值为0；键值通过ASCII码进行缓存，且时间的取值范围为0-59。

作为一种可选方式，验证键值组合序列的步骤中，其预设区间包括：

任一键值组合序列的键值是否为空值和/或，是否位于ASCII码表中；

任一键值组合序列的时间是否为空值和/或，是否大于59。

作为一种可选方式，临时行为特征的记录包括：记录用户当前登录操作中每一次键入的操作的键值组合序列，在用户点击登录选项前对该次登录操作中每个键值组合序列循环读取，提取每一个序列中的时间的值，并按照输入顺序依次排列并记录。

作为一种可选方式，键值组合序列与预设序列进行字符串比较用于判断用户的键入特征是否存在逻辑异常，逻辑异常包括辅助键的值是否与键值的ASCII码存在正相关关联。

作为一种可选方式，在进行密码一致性检测前，将键值组合序列中的键值转化为可见字符，将可见字符与预设密码进行比较；其中，在转化过程中，如果可见字符为非预设键盘字符，则做丢弃处理。

作为一种可选方式，在进行密码一致性检测时，还检测用户键盘序列对应的客户端标识。

作为一种可选方式，身份合法性用于检测用户临时行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小与历史行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小的差值是否满足预设区间。

另一方面，本发明提供了一种用户账号登录安全保护系统，包括：

客户端键盘事件处理模块，客户端键盘事件处理模块用于采集并记录用户的登录操作与键入事件；

记录按键事件模块，记录按键事件检测模块用于验证键值组合序列是否符合预设区间并生成第一异常标记；

异常处理模块，异常处理模块用于在进行字符串比较时执行异常判断；

数据转换模块，数据转换模块用于将执行可见字符转换；

数据比较模块，数据比较模块用于判断用户行为一致性；

一致性检验模块，一致性检验模块用于判断可见字符与预设密码的文本一致性；

身份合法性检测模块，身份合法性检测模块用于对用户临时行为特征和用户历史行为特征进行差异化比较。

本发明与现有技术相比，具有如下的优点和有益效果：

1、将客户端的按键事件相关信息作为身份鉴别的前置条件，防止使用浏览器记忆数据或者非法获取的账号密码进行非本人登录。

2、服务端设定相应的按键事件解析规则，根据按键间隔时长特征信息推断客户端的行为特征，对可能存在的机器或脚本登录行为进行筛查，提高系统的安全性。

具体实施方式

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

本领域普通技术人员可以理解实现上述事实和方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成，涉及的程序或者所述的程序可以存储于一计算机所可读取存储介质中，该程序在执行时，包括如下步骤：此时引出相应的方法步骤，所述的存储介质可以是ROM/RAM、磁碟、光盘等等。

实施例1

本实施例提供了一种用户账号登录安全保护方法，包括用户终端(客户端)和服务端两大部分，用户终端可以包括如C/S(Client/Server)架构的Client、B/S(Browser/Server)架构的Browser。本实施例要求在客户端监听和记录密码输入框(任何内容都显示为星号*或其他指定的特殊字符)内发生的键盘事件信息，并将键盘事件信息传送到服务端，由服务端对键盘事件信息进行解析及键盘事件信息有效性判断，验证通过后才能进行身份鉴别。在具体实施中，键盘事件信息的发送可以采用一次性发送或者分批次发送。本实施例是这样实现的：

在客户端监听用户键盘按键操作，将用户每一次键入事件储存为一次键值组合序列；键入事件包括用户执行的按键操作与时间，其中，键盘上每一个按键均设有预设值，用户每一次按键操作，均会向键值组合序列进行赋值；

落实到本实施例中，键值组合序列的值包括辅助键、键值和时间的值，任一键值组合序列的监听事件结束标志为键值输入完成；任一键值组合序列的监听事件开始标志为程序初始化启动和/或上一个键值组合序列事件监听结束。可选的是，辅助键有“Alt”、“CapsLock”、“Ctrl”、“Shift”(也可以根据实际使用场景自行设置，本实施例不做限制)。辅助键的状态值定义0为未按下，1为按下。且，本实施例键值通过ASCII码进行缓存。因此，对于任一键值组合序列，本实施例采用特殊可见字符如花括号或引号进行标志开始和结束，其中包括辅助键的状态值、键值与时间的组合。例如，一个完整的键盘事件中，用户输入字符“A”，则键值组合序列表示为{0,1,0,0,65,00}。前四项分别对应辅助键的状态值，第五项为键入键值的ASCII码，第六项为间隔时间(单位：秒)。时间的取值范围为0-59(单位：秒)。

前端页面加载完成后，首先会清空历史数据，再进行接收上述的客户端传来的键盘事件信息。接收后首先判断该序列是否符合预设区间，所述预设区间是指，包括对键值组合序列的长度、序列值对应的字符ASCII值范围等。例如，一般的，只有能被解析成可见字符的键盘序列才是有效的。这样，当用户输入中文、乱码、非规范字符和字母时，就不会被参与验证。并且作为常规密码输入场景，任一字符之间的输入间隔也不应当输入超过1分钟，或者非首尾字符与上一位字符的时间间隔为0，这样不符合正常用户的输入习惯，可以判断其为复制输入，有影响用户的登录安全性。落实到本实施例中，所述第一异常标记用于提示用户输入正确的值，其可以在客户端弹窗表示为：“请输入字母、数值或特殊符号”来提示用户。

从另一个用户输入习惯的安全性考虑，本实施例采用了记录用户行为特征的方式来判断人工输入与机器、脚本输入。行为特征记录包括：记录用户当前登录操作中每一次键入的操作的键值组合序列，在用户点击登录选项前对该次登录操作中每个键值组合序列循环读取，提取每一个序列中的时间的值，并按照输入顺序依次排列并记录。即获取用户的输入习惯。之后便进行一致性检测，所述一致性检测为通过用户当前的输入习惯，即临时行为特征与数据库中的历史行为特征进行对比。该对比包括两方面，第一，辅助键的值是否与键值的ASCII码存在正相关关联。例如，当输入任意一个大写字母时，辅助键CapsLock的值应该为1，否则其无法在不使用辅助键的情况下输入大写字母，会判断其为复制输入。又例如，输入下划线“_”时，辅助键shift的键值应该为1，即为用户按下过的状态，且其为下划线的前一位。这样才能判定其为人工输入。在完成ASCII值的检验后，对于已注册的用户，还应检验用户该次的键值输入间隔是否匹配历史输入中的键值输入间隔，即对键值组合序列中的最后一位时间元素进行对比，判断其匹配度的差值是否超过综合用户的平均的差值或其个人的历史差值。所述第二异常标记用来提示用户的输入不符合人工输入习惯，可以在客户端进行弹窗提示：“请不要复制密码进行输入”。

当一致性检测完毕后，生成一致性标志保存到缓冲区，将用户当前的临时行为特征更新到数据库中并加入该用户的历史行为特征集合。开始进行字符转化。将每个键值序列中的ASCII值转化为机器可见字符，将其与数据库的密码进行字符串匹配，判断用户密码输入的准确度。在转化过程中，如果出现可见字符为非预设键盘字符，则应做丢弃处理。同时，在进行该步骤的检测时，还要判断用户的键盘序列对应的客户端标识，以区分字符的输入是否来自不同的用户终端。所述第三异常标记则是密码输入出错时，在客户端提醒用户重新输入。

完成密码验证后，还需要对用户的身份合法性进行检测，综合其行为特征与密码正确率判断其是否为脚本、机器登录。包括检测用户临时行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小与历史行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小的差值是否满足预设区间。

这样，通过本实施例所述的方法，可以有效防止用户提交浏览器记忆的密码信息或自动填入的密码信息进行身份认证，防止机器人的登录攻击行为，并且能够根据客户端键击事件时间特征可以及时对异常登录行为作出预判，防止非法登录。提高用户的登录安全。

实施例2

本实施例提供了一种用户账号登录安全保护系统，用于执行上述实施例1所述的一种用户账号登录安全保护方法，包括：客户端键盘事件处理模块，客户端键盘事件处理模块用于采集并记录用户的登录操作与键入事件；记录按键事件模块，记录按键事件检测模块用于验证键值组合序列是否符合预设区间并生成第一异常标记；异常处理模块，异常处理模块用于在进行字符串比较时执行异常判断；数据转换模块，数据转换模块用于将执行可见字符转换；数据比较模块，数据比较模块用于判断用户行为一致性；一致性检验模块，一致性检验模块用于判断可见字符与预设密码的文本一致性；身份合法性检测模块，身份合法性检测模块用于对用户临时行为特征和用户历史行为特征进行差异化比较。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种用户账号登录安全保护方法，其特征在于，包括步骤：

监听用户键盘按键操作，将用户每一次键入事件储存为一次键值组合序列；所述键入事件包括用户执行的按键操作与时间，其中，键盘上每一个按键均设有预设值，用户每一次按键操作，均会向所述键值组合序列进行赋值；

验证键值组合序列是否符合预设区间，对不符合预设区间的所述键值组合序列进行第一异常标记，并在客户端进行反馈；

对符合预设区间的每一个键值组合序列进行循环读取，当最后一个键入事件结束时，将其所有序列转化为可见字符，并将每一次键入事件的时间间隔时长进行记录，生成该用户的临时行为特征；

将所述键值组合序列与预设序列进行字符串比较，判断用户行为一致性；当不满足行为一致性时，进行第二异常标记，并在客户端进行反馈；若满足，生成一致性标志，并更新数据库中该用户临时行为特征；

对具有密码一致性的标志的按键操作进行身份合法性检测，包括：读取用户账号密码后，在数据库中提取用户历史行为特征，对临时行为特征与历史行为特征进行差异性比较。

2.根据权利要求1所述的一种用户账号登录安全保护方法，其特征在于，所述键值组合序列的值包括辅助键、键值和时间的值，任一所述键值组合序列的监听事件结束标志为所述键值输入完成；任一所述键值组合序列的监听事件开始标志为程序初始化启动和/或上一个所述键值组合序列事件监听结束。

3.根据权利要求2所述的一种用户账号登录安全保护方法，其特征在于，所述键值组合序列中，按下辅助键的预设值为1，初始值为0；所述键值通过ASCII码进行缓存，且所述时间的取值范围为0-59。

4.根据权利要求1所述的一种用户账号登录安全保护方法，其特征在于，验证键值组合序列的步骤中，其预设区间包括：

任一键值组合序列的时间是否为空值和/或，是否大于59。

5.根据权利要求1所述的一种用户账号登录安全保护方法，其特征在于，所述临时行为特征的记录包括：记录用户当前登录操作中每一次键入的操作的键值组合序列，在用户点击登录选项前对该次登录操作中每个键值组合序列循环读取，提取每一个序列中的时间的值，并按照输入顺序依次排列并记录。

6.根据权利要求3所述的一种用户账号登录安全保护方法，其特征在于，所述键值组合序列与预设序列进行字符串比较用于判断用户的键入特征是否存在逻辑异常，所述逻辑异常包括辅助键的值是否与键值的ASCII码存在正相关关联。

7.根据权利要求3所述的一种用户账号登录安全保护方法，其特征在于，在进行密码一致性检测前，将键值组合序列中的键值转化为可见字符，将可见字符与预设密码进行比较；其中，在转化过程中，如果可见字符为非预设键盘字符，则做丢弃处理。

8.根据权利要求7所述的一种用户账号登录安全保护方法，其特征在于，在进行密码一致性检测时，还检测用户键盘序列对应的客户端标识。

9.根据权利要求5所述的一种用户账号登录安全保护方法，其特征在于，所述身份合法性用于检测用户临时行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小与历史行为特征中第三异常标记的出现次数、每一次键值组合序列中的时间的值的大小的差值是否满足预设区间。

10.一种用户账号登录安全保护系统，其特征在于，包括：

客户端键盘事件处理模块，所述客户端键盘事件处理模块用于采集并记录用户的登录操作与键入事件；

记录按键事件模块，所述记录按键事件检测模块用于验证键值组合序列是否符合预设区间并生成第一异常标记；

异常处理模块，所述异常处理模块用于在进行字符串比较时执行异常判断；

数据转换模块，所述数据转换模块用于将执行可见字符转换；

数据比较模块，所述数据比较模块用于判断用户行为一致性；

一致性检验模块，所述一致性检验模块用于判断可见字符与预设密码的文本一致性；

身份合法性检测模块，所述身份合法性检测模块用于对用户临时行为特征和用户历史行为特征进行差异化比较。