賬號單點登錄保護方法及裝置制造方法
【專利摘要】本發(fā)明公開一種賬號單點登錄保護方法及裝置，其方法包括：在進程啟動時，獲取進程的可執(zhí)行文件信息；根據(jù)可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中；當進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取進程訪問的目標URL；當目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對進程進行攔截和/或向用戶提示風(fēng)險。本發(fā)明可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提高系統(tǒng)安全。
【專利說明】賬號單點登錄保護方法及裝置
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及計算機安全【技術(shù)領(lǐng)域】，尤其涉及一種賬號單點登錄保護方法及裝置?！颈尘凹夹g(shù)】
[0002]在單點登錄技術(shù)(Single Sign On)中，當用戶第一次訪問某一應(yīng)用系統(tǒng)時，因為還沒有登錄，會被引導(dǎo)到認證系統(tǒng)中進行登錄；根據(jù)用戶提供的登錄信息，認證系統(tǒng)對登錄用戶進行身份效驗，如果通過效驗，則返回給用戶一個認證的憑據(jù)——ticket ;當用戶再訪問其他應(yīng)用系統(tǒng)時，會將此ticket帶上，作為自己認證的憑據(jù)，其他應(yīng)用系統(tǒng)接受到用戶的訪問請求后，會將用戶提供的ticket送到認證系統(tǒng)進行效驗，以檢查ticket的合法性。如果通過效驗，用戶則可以在不用再次登錄的情況下訪問其他應(yīng)用系統(tǒng)。
[0003]單點登錄帳號體系存在客戶端登錄，比如即時通信客戶端QQ，在用戶訪問特定網(wǎng)頁時，為了便捷快速的登錄，網(wǎng)頁腳本會檢測目前已經(jīng)登錄的客戶端帳號，利用目前登錄的客戶端帳號，不需要密碼認證而實現(xiàn)一鍵快速登錄，登錄后獲得當前客戶端帳號的部分或者所有權(quán)限。
[0004]隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)個人信息，網(wǎng)絡(luò)帳號以及虛擬財產(chǎn)已經(jīng)成為用戶私有資產(chǎn)，這部分私有資產(chǎn)能夠直接轉(zhuǎn)化為經(jīng)濟利益。而有些不法分子一直企圖盜竊或者利用用戶的網(wǎng)絡(luò)“私有資產(chǎn)”來獲得經(jīng)濟利益，嚴重影響了用戶的網(wǎng)絡(luò)虛擬財產(chǎn)安全。
[0005]基于單點登錄技術(shù)的特點，快捷的單點登錄方式使得惡意攻擊成為可能。惡意程序能夠解析快速登錄協(xié)議，在用戶不知情的情況下，模擬用戶通過網(wǎng)頁快捷登錄的方式，讓服務(wù)器誤認為用戶已進行了正常的登錄，從而惡意獲取用戶信息，盜取用戶虛擬財產(chǎn)，或者進行一些惡意推廣，給用戶造成損失。

【發(fā)明內(nèi)容】

[0006]本發(fā)明的主要目的在于提供一種賬號單點登錄保護方法及裝置，旨在提高用戶帳號體系單點登錄的安全性。
[0007]為了達到上述目的，本發(fā)明提出一種賬號單點登錄保護方法，包括:
[0008]在進程啟動時，獲取所述進程的可執(zhí)行文件信息；
[0009]根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中；
[0010]當所述進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取所述進程訪問的目標 URL ；
[0011]當所述目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程進行攔截和/或向用戶提示風(fēng)險。
[0012]本發(fā)明還提出一種賬號單點登錄保護裝置，包括:
[0013]文件信息獲取模塊，用于在進程啟動時，獲取所述進程的可執(zhí)行文件信息；
[0014]判斷模塊，用于根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中；
[0015]目標URL獲取模塊，用于當所述進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取所述進程訪問的目標URL ；
[0016]處理模塊，用于當所述目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程進行攔截和/或向用戶提示風(fēng)險。
[0017]本發(fā)明提出的一種賬號單點登錄保護方法及裝置，通過預(yù)先建立的白名單庫和一個認證服務(wù)器的URL登錄庫，當不在白名單庫的程序訪問認證服務(wù)器的URL登錄庫所包含的URL時，對所述進程進行攔截或向用戶提示風(fēng)險，由此可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提聞系統(tǒng)安全。
【專利附圖】

【附圖說明】
[0018]圖1是本發(fā)明賬號單點登錄保護方法第一實施例的流程示意圖；
[0019]圖2是本發(fā)明賬號單點登錄保護方法第一實施例中獲取所述進程訪問的目標URL的流程示意圖；
[0020]圖3是本發(fā)明賬號單點登錄保護方法第二實施例的流程示意圖；
[0021]圖4是本發(fā)明賬號單點登錄保護裝置第一實施例的結(jié)構(gòu)示意圖；
[0022]圖5是本發(fā)明賬號單點登錄保護裝置第一實施例中目標URL獲取模塊的結(jié)構(gòu)示意圖。
[0023]為了使本發(fā)明的技術(shù)方案更加清楚、明了，下面將結(jié)合附圖作進一步詳述。
【具體實施方式】
[0024]本發(fā)明實施例的解決方案主要是:通過預(yù)先建立的白名單庫和一個認證服務(wù)器的URL (統(tǒng)一資源定位符,Uniform/Universal Resource Locator)登錄庫，當不在白名單庫的程序訪問認證服務(wù)器的URL登錄庫所包含的URL時，對所述進程進行攔截或向用戶提示風(fēng)險，以保護用戶帳號體系單點登錄的安全。
[0025]如圖1所示，本發(fā)明第一實施例提出一種賬號單點登錄保護方法，包括:
[0026]步驟S101，在進程啟動時，獲取所述進程的可執(zhí)行文件信息；
[0027]本實施例通過注入的手段，注入啟動的任何賬號單點登錄進程，獲得進程的可執(zhí)行文件信息，該可執(zhí)行文件信息包括進程的可執(zhí)行文件的名稱等。
[0028]步驟S102，根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中；若是，則進入步驟S106 ;若否，則進入步驟S103 ；
[0029]步驟S103，獲取所述進程訪問的目標URL ;進入步驟S104 ；
[0030]步驟S104，判斷所述目標URL是否屬于認證服務(wù)器中預(yù)先建立的登錄URL庫；若是，則進入步驟S105 ;否則，進入步驟S106 ；
[0031]步驟S105，對所述進程進行攔截和/或向用戶提示風(fēng)險。
[0032]步驟S106，對所述進程放行。
[0033]上述步驟S102至步驟S106中，當獲取到所述進程的可執(zhí)行文件信息后，根據(jù)該進程的可執(zhí)行文件信息，查詢預(yù)先建立的白名單庫，判斷該進程是否在預(yù)先建立的白名單中，如果在白名單中，則對此進程放行，如果不在白名單中，則在進程中加入一個過濾層，通過該過濾層攔截該進程的HTTP (HyperText Transfer Protocol,超文本傳輸協(xié)議)訪問請求，解析該訪問HTTP請求，提取出HTTP協(xié)議中的URL，得到所述進程訪問的目標URL，根據(jù)此目標URL到認證服務(wù)器的登錄URL庫中進行查詢，該認證服務(wù)器的登錄URL庫中存放有已知的知名帳號自動登錄URL，比如，騰訊的自動登錄URL，該登錄URL庫是經(jīng)鑒別過的賬戶登錄URL的數(shù)據(jù)庫。
[0034]如果上述目標URL是認證服務(wù)器的登錄URL庫中用于某類賬戶單點登錄的URL請求，則給用戶進行相應(yīng)的風(fēng)險提示，或者對所述進程進行攔截；如果該目標URL不屬于認證服務(wù)器的登錄URL庫中，則對此進程放行。
[0035]具體地,如圖2所示,上述步驟S103可以包括:
[0036]步驟S1031，在所述進程中加入過濾層；
[0037]其中，所述過濾層可以為用戶態(tài)的socket函數(shù)hook，或者為系統(tǒng)內(nèi)核的網(wǎng)絡(luò)過濾驅(qū)動，對本進程的網(wǎng)絡(luò)訪問行為進行過濾操作。
[0038]步驟S1032，通過所述過濾層攔截所述進程的HTTP訪問請求；
[0039]步驟S1033，解析所述HTTP訪問請求，從中提取出HTTP協(xié)議中的URL，得到所述進程訪問的目標URL。
[0040]本實施例通過上述方案，可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提高系統(tǒng)安全。
[0041]如圖3所示，本發(fā)明第二實施例提出一種賬號單點登錄保護方法，在上述第一實施例的基礎(chǔ)上，在上述步驟SlOl之前還包括:
[0042]步驟S100，建立所述白名單庫以及認證服務(wù)器中的登錄URL庫。
[0043]本實施例與上述第一實施例的區(qū)別在于，本實施例還包括建立所述白名單庫以及認證服務(wù)器中的登錄URL庫的步驟，其他與第一實施例相同。
[0044]本實施例通過建立的白名單庫和一個認證服務(wù)器的URL登錄庫，當不在白名單庫的程序訪問認證服務(wù)器的URL登錄庫所包含的URL時，對所述進程進行攔截或向用戶提示風(fēng)險，由此可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提高系統(tǒng)安全。
[0045]如圖4所示，本發(fā)明第一實施例提出一種賬號單點登錄保護裝置，包括:文件信息獲取模塊401、判斷模塊402、目標URL獲取模塊403以及處理模塊404，其中:
[0046]文件信息獲取模塊401，用于在進程啟動時，獲取所述進程的可執(zhí)行文件信息；
[0047]判斷模塊402，用于根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中；
[0048]目標URL獲取模塊403，用于當所述進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取所述進程訪問的目標URL ；
[0049]處理模塊404，用于當所述目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程進行攔截和/或向用戶提示風(fēng)險；還用于當所述進程的可執(zhí)行文件在預(yù)先建立的白名單庫中時，對所述進程放行；以及當所述目標URL不屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程放行。[0050]本實施例通過注入的手段，注入啟動的任何賬號單點登錄進程，通過文件信息獲取模塊401獲得進程的可執(zhí)行文件信息，該可執(zhí)行文件信息包括進程的可執(zhí)行文件的名稱
坐寸ο
[0051]當獲取到所述進程的可執(zhí)行文件信息后，判斷模塊402，根據(jù)該進程的可執(zhí)行文件信息，查詢預(yù)先建立的白名單庫，判斷該進程是否在預(yù)先建立的白名單中，如果在白名單中，則對此進程放行，如果不在白名單中，則目標URL獲取模塊403在進程中加入一個過濾層，通過該過濾層攔截該進程的HTTP訪問請求，解析該訪問HTTP請求，提取出HTTP協(xié)議中的URL，得到所述進程訪問的目標URL，根據(jù)此目標URL到認證服務(wù)器的登錄URL庫中進行查詢，該認證服務(wù)器的登錄URL庫中存放有已知的知名帳號自動登錄URL，比如，騰訊的自動登錄URL，該登錄URL庫是經(jīng)鑒別過的賬戶登錄URL的數(shù)據(jù)庫。
[0052]如果上述目標URL是認證服務(wù)器的登錄URL庫中用于某類賬戶單點登錄的URL請求，處理模塊404則給用戶進行相應(yīng)的風(fēng)險提示，或者對所述進程進行攔截；如果該目標URL不屬于認證服務(wù)器的登錄URL庫中，則對此進程放行。
[0053]具體地,如圖5所示,所述目標URL獲取模塊403包括:加入單元4031、攔截單元4032以及解析獲取單元4033，其中:
[0054]加入單元4031，用于在所述進程中加入過濾層；
[0055]攔截單元4032，用于通過所述過濾層攔截所述進程的HTTP訪問請求；
[0056]解析獲取單元4033，用于解析所述HTTP訪問請求，從中提取出HTTP協(xié)議中的URL,得到所述進程訪問的目標URL。
[0057]本實施例通過上述方案，可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提高系統(tǒng)安全。
[0058]本發(fā)明第二實施例提出一種賬號單點登錄保護裝置，在上述第一實施例的基礎(chǔ)上還包括:
[0059]建立模塊，用于建立所述白名單庫以及認證服務(wù)器中的登錄URL庫。
[0060]本實施例與上述第一實施例的區(qū)別在于，本實施例還包括建立所述白名單庫以及認證服務(wù)器中的登錄URL庫的步驟，其他與第一實施例相同。
[0061]本實施例通過建立的白名單庫和一個認證服務(wù)器的URL登錄庫，當不在白名單庫的程序訪問認證服務(wù)器的URL登錄庫所包含的URL時，對所述進程進行攔截或向用戶提示風(fēng)險，由此可以針對惡意模擬單點登錄的行為進行有效攔截，進而保護用戶的個人信息以及虛擬財產(chǎn)等，并可監(jiān)視到某些新型木馬的特殊行為，提高系統(tǒng)安全。
[0062]以上所述僅為本發(fā)明的優(yōu)選實施例，并非因此限制本發(fā)明的專利范圍，凡是利用本發(fā)明說明書及附圖內(nèi)容所作的等效結(jié)構(gòu)或流程變換，或直接或間接運用在其它相關(guān)的【技術(shù)領(lǐng)域】，均同理包括在本發(fā)明的專利保護范圍內(nèi)。
【權(quán)利要求】
1.一種賬號單點登錄保護方法，其特征在于，包括: 在進程啟動時，獲取所述進程的可執(zhí)行文件信息； 根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中； 當所述進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取所述進程訪問的目標統(tǒng)一資源定位符URL ； 當所述目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程進行攔截和/或向用戶提示風(fēng)險。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述獲取進程訪問的目標URL的步驟包括: 在所述進程中加入過濾層； 通過所述過濾層攔截所述進程的超文本傳輸協(xié)議HTTP訪問請求； 解析所述HTTP訪問請求，從中提取出HTTP協(xié)議中的URL，得到所述進程訪問的目標URL。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述過濾層為用戶態(tài)的socket函數(shù)hook,或者為系統(tǒng)內(nèi)核的網(wǎng)絡(luò)過濾驅(qū)動。`
4.根據(jù)權(quán)利要求1、2或3所述的方法，其特征在于，還包括: 建立所述白名單庫以及認證服務(wù)器中的登錄URL庫。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于，還包括: 當所述進程的可執(zhí)行文件在預(yù)先建立的白名單庫中時，對所述進程放行。
6.根據(jù)權(quán)利要求1所述的方法，其特征在于，還包括: 當所述目標URL不屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程放行。
7.一種賬號單點登錄保護裝置，其特征在于，包括: 文件信息獲取模塊，用于在進程啟動時，獲取所述進程的可執(zhí)行文件信息； 判斷模塊，用于根據(jù)所述可執(zhí)行文件信息判斷所述進程的可執(zhí)行文件是否在預(yù)先建立的白名單庫中； 目標URL獲取模塊，用于當所述進程的可執(zhí)行文件不在預(yù)先建立的白名單庫中時，獲取所述進程訪問的目標URL; 處理模塊，用于當所述目標URL屬于認證服務(wù)器中預(yù)先建立的登錄URL庫時，對所述進程進行攔截和/或向用戶提示風(fēng)險。
8.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述目標URL獲取模塊包括: 加入單元，用于在所述進程中加入過濾層； 攔截單元，用于通過所述過濾層攔截所述進程的HTTP訪問請求； 解析獲取單元，用于解析所述HTTP訪問請求，從中提取出HTTP協(xié)議中的URL，得到所述進程訪問的目標URL。
9.根據(jù)權(quán)利要求8所述的裝置，其特征在于，所述過濾層為用戶態(tài)的socket函數(shù)hook,或者為系統(tǒng)內(nèi)核的網(wǎng)絡(luò)過濾驅(qū)動。
10.根據(jù)權(quán)利要求8或9所述的裝置，其特征在于，還包括: 建立模塊，用于建立所述白名單庫以及認證服務(wù)器中的登錄URL庫。
11.根據(jù)權(quán)利要求7所述的裝置，其特征在于，所述處理模塊還用于當所述進程的可執(zhí)行文件在預(yù)先建立的白名單庫中時，對所述進程放行；以及當所述目標URL不屬于認證服務(wù)器中預(yù)先建立的 登錄URL庫時，對所述進程放行。
【文檔編號】H04L29/08GK103685151SQ201210321782
【公開日】2014年3月26日 申請日期:2012年9月3日 優(yōu)先權(quán)日:2012年9月3日
【發(fā)明者】龍海, 梅銀明 申請人:騰訊科技（深圳）有限公司