本申請提供一種應對網絡攻擊的認證保護方法及系統，其中，所述方法包括：接收用戶發來的用于訪問預設頁面的頁面訪問請求，所述頁面訪問請求中攜帶所述用戶的認證令牌；當所述認證令牌不合法時，生成用于讓所述用戶提供算力的訪問驗證數據，并將所述訪問驗證數據下發給所述用戶；接收所述用戶反饋的對所述訪問驗證數據進行計算后的明文字符串，并驗證所述明文字符串經過至少一種哈希算法計算后是否命中目標哈希值；若命中，向所述用戶頒發用于訪問所述預設頁面的認證令牌。本申請提供的應對網絡攻擊的認證保護方法及系統，能夠有效地應對CC攻擊，以緩解后臺服務器的壓力。

技術領域

本申請涉及互聯網技術領域，特別涉及一種應對網絡攻擊的認證保護方法及系統。

背景技術

一般來說，用戶(通常是非正常的用戶)對某個系統的某些功能的短時間持續訪問會使得被訪問的系統出現較高的負載，如果這種行為頻繁和嚴重，通常會認為這種行為是一種攻擊，稱資源消耗型攻擊，常見于CC攻擊。

CC攻擊是一種以較低的成本消耗Web服務器大量運算資源的攻擊類型。在現有技術中，CC攻擊的防御方式往往是通過封禁用戶IP、要求用戶輸入驗證碼或者下發一些執行用戶腳本寫入標記等方式完整對攻擊流量與正常流量的清洗。

從實踐上看，封禁IP的方式會導致通過同一出口NAT訪問目標系統的其他正常訪客受到誤傷，影響業務正常使用；傳統驗證碼的方式在OCR或驗證碼識別技術的發展中逐漸出現對用戶不友好或機器識別率高的情況；執行腳本(通常是JavaScript)，事實上則是人為設置了一套通信雙方均能識別的“對稱”算法，攻擊者一旦將算法破解，則會導致防御措施全面失效。

應該注意，上面對技術背景的介紹只是為了方便對本申請的技術方案進行清楚、完整的說明，并方便本領域技術人員的理解而闡述的。不能僅僅因為這些方案在本申請的背景技術部分進行了闡述而認為上述技術方案為本領域技術人員所公知。

發明內容

本申請實施方式的目的在于提供一種應對網絡攻擊的認證保護方法及系統，能夠有效地應對CC攻擊，以緩解后臺服務器的壓力。

為實現上述目的，本申請一方面提供一種應對網絡攻擊的認證保護方法，所述方法包括：接收用戶發來的用于訪問預設頁面的頁面訪問請求，所述頁面訪問請求中攜帶所述用戶的認證令牌；當所述認證令牌不合法時，生成用于讓所述用戶提供算力的訪問驗證數據，并將所述訪問驗證數據下發給所述用戶；其中，所述訪問驗證數據中包括至少一種哈希算法、目標哈希值以及哈希前/后綴；接收所述用戶反饋的對所述訪問驗證數據進行計算后的明文字符串，并驗證所述明文字符串經過所述至少一種哈希算法計算后是否命中所述目標哈希值；若命中，向所述用戶頒發用于訪問所述預設頁面的認證令牌。

進一步地，所述方法還包括：當所述認證令牌合法時，將所述頁面訪問請求轉發至所述頁面訪問請求指向的后臺服務器；其中，所述后臺服務器針對所述頁面訪問請求，獲取與所述頁面訪問請求對應的頁面資源；將所述頁面資源轉發給所述用戶。

進一步地，所述認證令牌不合法包括以下至少一種：認證令牌處于有效期外；認證令牌不允許訪問所述后臺服務器；認證令牌出現登陸地區跳躍；認證令牌出現登陸設備跳躍。

進一步地，所述方法還包括：接收用戶提交的目標哈希值和哈希前/后綴，并判斷所述目標哈希值和哈希前/后綴是否被篡改以及是否被重復使用；若所述目標哈希值和哈希前/后綴沒有被篡改并且沒有被重復使用，驗證所述明文字符串經過所述至少一種哈希算法計算后是否命中所述目標哈希值。

進一步地，在向所述用戶頒發用于訪問所述預設頁面的認證令牌之后，所述方法還包括：將所述用戶的用戶信息以及頒發給所述用戶的認證令牌寫入數據庫單元中。

進一步地，所述方法還包括：無論所述認證令牌合法或者不合法，均將所述用戶發來的頁面訪問請求記錄至系統日志中。