一種對抗程序自動(dòng)化批量非法行為的方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明屬于網(wǎng)絡(luò)安全技術(shù)領(lǐng)域�����,具體涉及一種對抗程序自動(dòng)化批量非法行為的方 法����。
【背景技術(shù)】
[0002] 隨著互聯(lián)網(wǎng)的快速發(fā)展,越來越多的網(wǎng)上交易平臺��、論壇��、技術(shù)網(wǎng)站等蓬勃興起���, 同時(shí)也面臨著各式各樣的惡意攻擊����,其中就包括機(jī)器暴力破解密碼����、批量自動(dòng)注冊與登陸、 論壇灌水��、刷頁�、刷票、大規(guī)模匿名發(fā)帖���、垃圾廣告�、垃圾郵件等自動(dòng)化的非法行為��。這些惡 意的攻擊者為了達(dá)到某一目的��,同時(shí)發(fā)起海量的請求��,嚴(yán)重時(shí)�����,能致使服務(wù)器因?yàn)樘幚泶罅?請求而使資源耗盡��、崩潰����,無法正常處理合法用戶的請求。
[0003] 當(dāng)前一般使用Captcha技術(shù)來有效抵制這樣的攻擊。Captcha技術(shù)的原理是設(shè)計(jì) 一種程序來區(qū)分人和機(jī)器��,使得人能夠很容易地通過驗(yàn)證��,而機(jī)器卻不能輕而易舉地通過 驗(yàn)證�����,最有代表性的例子就是驗(yàn)證碼��,它能有效防止黑客采用暴力破解方式進(jìn)行不斷的嘗 試����,也是現(xiàn)在很多網(wǎng)站通行的方式。
[0004] 研究發(fā)現(xiàn)����,現(xiàn)有的圖片驗(yàn)證碼,正常人通過驗(yàn)證的概率為80%?90%�,而機(jī)器能 通過驗(yàn)證的概率大約30 %左右。如果存在攻擊者�,進(jìn)行大量非法的暴力破解,是能通過驗(yàn)證 的�����,同時(shí)頻繁的暴力破解,也加大了服務(wù)器驗(yàn)證的成本��,從而加大了服務(wù)器的負(fù)擔(dān)��。從理論 上來說����,機(jī)器能完成人所能做的事情�,我們無法區(qū)別機(jī)器和人。此外���,除了暴力破解��,OCR識 別以及分布式人工打碼等方式都可以破解驗(yàn)證碼���。另外還有一點(diǎn)就是,Captcha帶來的用 戶體驗(yàn)并不好����,用戶需要人工進(jìn)行驗(yàn)證,對于復(fù)雜的驗(yàn)證碼��,可能正常用戶都無法通過�。
【發(fā)明內(nèi)容】
[0005] 本發(fā)明的目的是提供一種基于密碼學(xué)的網(wǎng)站通行的對抗程序自動(dòng)化批量非法行 為的方法�,可以有效地控制各種自動(dòng)化非法請求��,包括批量注冊與登錄��、論壇灌水����、垃圾郵 件和刷票等行為,并且能從一定程度上緩解和拒絕服務(wù)攻擊����,增強(qiáng)了網(wǎng)絡(luò)公平性,減小了網(wǎng) 站服務(wù)器壓力���。
[0006] 在本發(fā)明中����,采用了完全與驗(yàn)證碼相悖的思想��,不去刻意區(qū)分人或者機(jī)器�,而是通 過某種計(jì)算或者驗(yàn)證,來抑制客戶自動(dòng)化操作����,使得同一時(shí)刻客戶端無法發(fā)起批量請求���,從 而降低服務(wù)器的壓力。
[0007] 具體來說����,本發(fā)明采用的技術(shù)方案如下:
[0008] -種對抗程序自動(dòng)化批量非法行為的方法���,在客戶端(用戶)和服務(wù)器進(jìn)行請求 服務(wù)與提供服務(wù)的過程中�,采用K速度不公平加解密算法進(jìn)行加密和解密�,使客戶端進(jìn)行 加密計(jì)算的時(shí)間成本是服務(wù)器端進(jìn)行解密計(jì)算的時(shí)間成本的K倍,其中K>1�。
[0009] 進(jìn)一步地,上述方法具體包括如下步驟:
[0010] 1)客戶端發(fā)起查詢請求,隨機(jī)生成一個(gè)數(shù)X�����,并將這個(gè)數(shù)和自己的ID數(shù)Α�����,即 〈Α��,X〉發(fā)送給服務(wù)器��;
[0011] 2)服務(wù)器內(nèi)包含用于進(jìn)行密鑰的生成、管理及存儲(chǔ)的密鑰生成分配與管理模塊�, 服務(wù)器收到客戶端的請求之后,從該密鑰生成分配與管理模塊中獲取密鑰e和d����,其中e是 用來加密,d用來解密����,用e進(jìn)行加密計(jì)算的時(shí)間成本是用d進(jìn)行解密計(jì)算的時(shí)間成本的K 倍,K>1 ;并同時(shí)構(gòu)造查詢需要的憑證<T��,Y>���,其中T是當(dāng)前時(shí)間��,Y是服務(wù)器生成的隨機(jī)數(shù)����; 服務(wù)器將該憑證連同客戶端發(fā)來的請求〈Α���,X�,e��,Τ,Υ> -起發(fā)送至客戶端��;
[0012] 3)客戶端收到服務(wù)器的憑證后����,從中提取X,判斷是否由自己發(fā)出����,如果是由自己 發(fā)出則產(chǎn)生查詢條件Q����,構(gòu)成明文M = <Q,Α> ;如果不是由自己發(fā)出則不產(chǎn)生查詢條件Q ;
[0013] 4)客戶端使用e對明文M進(jìn)行加密���,計(jì)算得到密文C�,將<C����,Τ,Υ>發(fā)送給服務(wù)器����;
[0014] 5)服務(wù)器獲得<C�,Τ���,Υ>之后先判斷<Τ�����,Υ>的合法性:如果<Τ�,Υ>不是自己發(fā)出��, 則忽視該請求�;如果<τ,Υ>是自己發(fā)出����,則判斷<Τ,Υ>在過去一段時(shí)間是否出現(xiàn)了多次��,如 果出現(xiàn)多次就認(rèn)為該<τ���,Υ>也不合法���;如果合法則提取密文C ;
[0015] 6)獲得密文C之后,用密鑰d進(jìn)行解密,得到明文Μ��,即<Q���,Α> ;執(zhí)行查詢條件Q��,獲 得查詢結(jié)果R���,將結(jié)果發(fā)送回客戶端;
[0016] 7)客戶端獲得查詢條件Q對應(yīng)的查詢結(jié)果R�����,請求服務(wù)完成����。
[0017] 進(jìn)一步地����,上述步驟4)和步驟6)采用基于Multi-Prime RSA的K速度不公平加解 密算法進(jìn)行加密和解密,采用對等的公鑰和私鑰����,并用中國剩余定理(Chinese Remainder Theorem, CRT)加速解密過程;或者��,上述步驟4)和步驟6)采用基于RSA Time-Lock的K速 度不公平加解密算法進(jìn)行加密和解密。
[0018] 本發(fā)明設(shè)計(jì)了一種基于公鑰密碼體制的K速度不公平加解密算法和一種基于K速 度不公平加解密算法的網(wǎng)站通行協(xié)議�����,不僅解決了現(xiàn)有Captcha技術(shù)里面的理論缺陷��,也 將驗(yàn)證過程完全透明化�。客戶端想要獲得服務(wù)����,需要進(jìn)行一定的計(jì)算量。這種系統(tǒng)有個(gè)顯 著的特點(diǎn)就是不對稱性:服務(wù)請求方必須付出一定的工作量�����,而服務(wù)提供方可以簡單進(jìn)行 驗(yàn)證���,不同于Captcha�,不是像驗(yàn)證碼那樣去區(qū)分人和機(jī)器����,而是通過計(jì)算與驗(yàn)證的方式完 成服務(wù)請求與提供。
[0019] 本發(fā)明的技術(shù)關(guān)鍵點(diǎn)在于:1、網(wǎng)站通行請求與服務(wù)協(xié)議�;2、采用K速度不公 平加解密算法滿足這種網(wǎng)站通行協(xié)議���;3��、基于RSA的4倍不公平加解密算法����;4��、基于 Multi-Prime RSA的K速度不公平加解密算法���;5�、基于RSA Time-Lock的K速度不公平加 解密算法��。本發(fā)明設(shè)計(jì)的網(wǎng)站通行請求與服務(wù)協(xié)議以及K速度不公平的非對稱加密算法��, 兩者結(jié)合在一起構(gòu)成了新的網(wǎng)站通行方式����,能對抗批量非法行為����,具體表現(xiàn)在以下幾個(gè)方 面:
[0020] 1.網(wǎng)站通行請求與服務(wù)協(xié)議中客戶端隨機(jī)數(shù)X���,服務(wù)端隨機(jī)數(shù)Y,可以防止重復(fù)性 攻擊�����;
[0021] 2.由于服務(wù)器解密成本遠(yuǎn)遠(yuǎn)低于客戶端加密成本�����,有效降低服務(wù)端成本��,有效抵 御大量客戶端分布式攻擊��;
[0022] 3.因?yàn)楦甙旱募用苡?jì)算成本��,客戶端無法大量的發(fā)送查詢請求���,從而避免單機(jī)發(fā) 送海量請求�,形成批量非法請求與行為���,比如惡意破解密碼�����、刷票��、論壇灌水等�����;
[0023] 此外����,除了能對抗批量非法行為以外,本發(fā)明還具有如下特點(diǎn):
[0024] 4. K是可控的����,意味著可以根據(jù)需求設(shè)置加密和解密之間的時(shí)間比值K。比如���,某 段特殊時(shí)期�����,需要設(shè)置加密和解密的時(shí)間比是1〇〇〇〇:1 ;平常時(shí)間��,設(shè)置加密和解密時(shí)間比 是100:1��,或者其它數(shù)值���;
[0025] 5.服務(wù)端時(shí)間T的控制,以及K速度不公平的非對稱加密算法指數(shù)一樣可以保證 客戶端是被公平服務(wù)的�。
[0026] 本發(fā)明將RSA應(yīng)用推向了一個(gè)新的領(lǐng)域,與現(xiàn)有驗(yàn)證碼網(wǎng)站通行方式相比���,本發(fā) 明還有如下優(yōu)勢:
[0027] 1.對用戶而言�����,在驗(yàn)證碼情況下�����,用戶必須手動(dòng)輸入結(jié)果����,用戶體驗(yàn)不佳�。本發(fā)明 通過讓協(xié)議雙方執(zhí)行一定的計(jì)算來抑制同一時(shí)間發(fā)起大量請求,這個(gè)計(jì)算過程對用戶而言 是透明的���。相比于用戶通過人工輸入驗(yàn)證碼��,本發(fā)明不僅使得用戶體驗(yàn)得到了提升�����,而且人 工操作比機(jī)器計(jì)算更耗時(shí)��;
[0028] 2.對客戶端而言���,在驗(yàn)證碼方案的情況下�����,合法的客戶會(huì)由于攻擊者頻繁的非法 行為�,導(dǎo)致服務(wù)器不能及時(shí)處理合法用戶的請求��;在本發(fā)明中���,只有計(jì)算機(jī)配置是相同的��, 那么所有客戶是被公平服務(wù)的��;
[0029] 3.對服務(wù)器而言���,如果對傳統(tǒng)驗(yàn)證碼技術(shù)不斷發(fā)起驗(yàn)證���,那么服務(wù)器將會(huì)為了驗(yàn) 證是否正確而消耗大量資源��。本發(fā)明由于抑制了發(fā)起請求的速度�,同一時(shí)刻,不會(huì)出現(xiàn)大量 驗(yàn)證請求����,服務(wù)器也無需進(jìn)行大量驗(yàn)證工作,而且���,對服務(wù)器而言�����,驗(yàn)證的代價(jià)低于驗(yàn)證請 求�����,這樣就保證了服務(wù)器不會(huì)被大量非法行為而消耗資源的情況��;
[0030] 4.對攻擊