一种云端安全访问系统及方法与流程

1.本发明涉及网络安全管理技术领域，具体是一种云端安全访问系统及方法。


背景技术：

2.随着计算机技术的发展，人们通过智能设备进行信息交流逐渐成为了主流的方式，随着网络技术的发展，上述信息交流的速度也越来越快，因此，有人提出，可以消除本地存储，统一存储文件，在需要的时候借助网络直接获取想要的内容，这便是云端的概念。
3.在网络传输数据的过程中，信息安全是需要注意的点，数据传输过程很容易被其它人截取，从而导致信息泄露，其中，以账户信息最为重要；现有的大众防护手段一般是借助较为成熟的安防软件来进行数据保护，保证交易在监控下进行；但是，提供这种服务的运营商本身受到的限制也较多，因此，会出现很多可以绕过安防方式的信息窃取手段。
4.现在存在这样一种信息窃取手段，在用户想要打开某项服务时，会有预先设置好的、与正常登陆界面极其相似的非法界面弹出，然后用户一时不察，很容易就将账户信息输入非法业面中了，可以想到，这肯定造成了信息泄露。因此，如何解决上述问题是本发明想要解决的技术问题。


技术实现要素：

5.本发明的目的在于提供一种云端安全访问系统及方法，以解决上述背景技术中提出的问题。
6.为实现上述目的，本发明提供如下技术方案：一种云端安全访问系统，所述系统包括：风险级别确定模块，用于接收访问请求，获取位置信息，根据所述位置信息确定风险级别；监测模块，用于当所述风险级别达到预设的级别阈值时，实时监测信息录入端口；图像信息获取模块，用于当监测到信息录入端口时，锁定信息录入端口，确定云端地址，获取信息录入界面的图像信息；比对验证模块，用于根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证；数据传输模块，用于当所述图像信息通过比对验证后，解锁信息录入端口，获取用户账户信息，并将所述用户账户信息向云端地址发送。
7.作为本发明技术方案进一步的限定：所述风险级别确定模块包括：请求发送单元，用于向定位服务器发送第一短信数据，所述第一短信数据包括定位请求；调整数据接收单元，用于接收第二短信数据并解析，所述第二短信数据由所述定位服务器根据卫星捕获辅助数据生成；修正单元，用于基于解析后的第二短信数据生成伪距测量数据，将所述伪距测量
数据转换为第三短信数据，并将所述第三短信数据向定位服务器发送；位置接收单元，用于接收第四短信数据，所述第四短信数据由所述定位服务器根据终端的位置信息生成，所述第四短信数据包括位置名称。
8.作为本发明技术方案进一步的限定：所述风险级别确定模块还包括：报表生成单元，用于生成访问报表，所述访问报表包括位置名称项与访问次数项；次数读取单元，用于基于所述位置名称遍历访问报表，当所述访问报表中包含所述位置名称时，读取与所述位置名称对应的访问次数；新建单元，用于当所述访问报表中不包含所述位置名称时，将所述位置名称插入所述访问报表，并将对应的访问次数赋值为一；第一执行单元，用于根据所述位置名称对应的访问次数确定风险级别。
9.作为本发明技术方案进一步的限定：所述图像信息获取模块包括：查询单元，用于基于所述信息录入端口定位脚本文件，根据预设的查询半径获取脚本文件中的非代码数据；内容识别单元，用于对所述非代码数据进行内容识别，确定云端地址；其中，所述非代码数据包括文本、图片、音频和视频。
10.作为本发明技术方案进一步的限定：比对验证模块包括：图像库获取单元，用于建立与云端地址的连接图像，获取基底图像库；尺寸调整单元，用于获取所述基底图像库中基底图像的图像尺寸，并基于所述图像尺寸缩放所述图像信息，得到与所述基底图像尺寸相同的目标图像；数量计算单元，用于依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量；第二执行单元，用于当所述与目标图像相似的基底图像的数量大于零时，解锁信息录入端口。
11.作为本发明技术方案进一步的限定：所述数量计算单元具体包括：比率计算子单元，用于分别提取所述基底图像和所述目标图像的特征值，基于目标图像的特征值计算特征值差值比率；标记子单元，用于当所述差值比率小于预设的比率阈值时，标记所述基底图像；筛选子单元，用于遍历所述目标图像的像素点，读取所述像素点的色值，基于所述色值筛选含有标记的基底图像；统计子单元，用于当所述目标图像的像素点遍历完成时，统计筛选后的含有标记的基底图像的数量。
12.作为本发明技术方案进一步的限定：所述数量计算单元还包括：警示子单元，用于当所述筛选后的含有标记的基底图像的数量为零时，停止遍历并生成警示信息。
13.本发明技术方案还提供了一种云端安全访问方法，所述方法包括：接收访问请求，获取位置信息，根据所述位置信息确定风险级别；当所述风险级别达到预设的级别阈值时，实时监测信息录入端口；当监测到信息录入端口时，锁定信息录入端口，确定云端地址，获取信息录入界面的图像信息；
根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证；当所述图像信息通过比对验证后，解锁信息录入端口，获取用户账户信息，并将所述用户账户信息向云端地址发送。
14.作为本发明技术方案进一步的限定：所述根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证的步骤具体包括：建立与云端地址的连接图像，获取基底图像库；获取所述基底图像库中基底图像的图像尺寸，并基于所述图像尺寸缩放所述图像信息，得到与所述基底图像尺寸相同的目标图像；依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量；当所述与目标图像相似的基底图像的数量大于零时，解锁信息录入端口。
15.作为本发明技术方案进一步的限定：所述依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量的步骤具体包括：分别提取所述基底图像和所述目标图像的特征值，基于目标图像的特征值计算特征值差值比率；当所述差值比率小于预设的比率阈值时，标记所述基底图像；遍历所述目标图像的像素点，读取所述像素点的色值，基于所述色值筛选含有标记的基底图像；当所述目标图像的像素点遍历完成时，统计筛选后的含有标记的基底图像的数量。
16.与现有技术相比，本发明的有益效果是：本发明通过对风险级别较高的访问请求进行监测信息录入端口的检测，进而获取信息录入界面的图像信息，并将所述图像信息与基底图像进行比对验证；本发明借助了计算机比对界面相似程度，比对效率极高且准确。
附图说明
17.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例。
18.图1示出了云端安全访问系统的组成结构框图。
19.图2示出了云端安全访问系统中风险级别确定模块的第一组成结构框图。
20.图3示出了云端安全访问系统中风险级别确定模块的第二组成结构框图。
21.图4示出了云端安全访问系统中图像信息获取模块的组成结构框图。
22.图5示出了云端安全访问系统中比对验证模块的组成结构框图。
23.图6示出了比对验证模块中数量计算单元的第一组成结构框图。
24.图7示出了比对验证模块中数量计算单元的第二组成结构框图。
25.图8示出了云端安全访问系统及方法的流程框图。
26.图9示出了云端安全访问系统及方法的第一子流程框图。
27.图10示出了云端安全访问系统及方法的第二子流程框图。
具体实施方式
28.为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
29.在本发明实施例中使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本发明。在本发明实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
30.应当理解，尽管在本发明实施例中可能采用术语第一、第二等来描述不同的模块/单元，但这些模块/单元不应限于这些术语。这些术语仅用来将同一类型的模块/单元彼此区分开。例如，在不脱离本发明实施例范围的情况下，第一执行单元也可以被称为第二执行单元，不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。类似地，第二执行单元也可以被称为第一执行单元。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。
31.实施例1图1示出了云端安全访问系统的组成结构框图，本发明实施例中，提供了一种云端安全访问系统，所述系统10包括：风险级别确定模块11，用于接收访问请求，获取位置信息，根据所述位置信息确定风险级别；监测模块12，用于当所述风险级别达到预设的级别阈值时，实时监测信息录入端口；图像信息获取模块13，用于当监测到信息录入端口时，锁定信息录入端口，确定云端地址，获取信息录入界面的图像信息；比对验证模块14，用于根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证；数据传输模块15，用于当所述图像信息通过比对验证后，解锁信息录入端口，获取用户账户信息，并将所述用户账户信息向云端地址发送。
32.风险级别确定模块11用于对访问请求进行一个风险级别判断；其中，所述访问请求可以是不同软件的访问请求，可以通过专属app进行访问，也可以是通过网页进行访问，请求的发送发式具体不作限定，但是，同样的设备访问不同的软件，其安全性是不同的，因此，存在风险级别这一数据。
33.监测模块12的目的是监测信息录入端口，其中，风险级别达到级别阈值这一描述其实涵盖两层意思，当风险级别为倒序排列时，比如：1级是最高的，那么风险级别达到级别阈值就意味着，所述风险级别小于级别阈值，反之，当风险级别为升序排列时，及2级高于1级，那么风险级别达到级别阈值就意味着，所述风险级别大于级别阈值。值得一提的是，信
息录入端口有很多，最常见的一种方式便是传统的账户和密码获取框。
34.图像信息获取模块13的功能是本发明独有的功能，当监测到信息录入端口时，首先，要锁定信息录入端口，防止用户在安全验证之前输入个人信息，然后确定云端地址，所述云端地址就是用户想要访问的软件后台，然后，还要获取信息录入界面的图像信息；上述三个步骤是独立的，可同时进行，所述获取信息录入界面的图像信息可以借助现有的截图功能。
35.比对验证模块14建立与用户想要访问软件后台的连接通道，获取访问界面应有的样子，即，上述基底图像，然后将所述信息录入界面的图像信息与所述基底图像进行比对，根据比对结果判断是否为软件提供的登陆界面。
36.数据传输模块15是最终执行模块，当上述比对验证过程通过后，则解锁信息录入端口，进而获取用户账户信息，然后将所述用户账户信息向云端地址发送，借助云端对用户账户信息进行验证，其中，云端也代表着各软件的后台。
37.图2示出了云端安全访问系统中风险级别确定模块的第一组成结构框图，所述风险级别确定模块11包括：请求发送单元111，用于向定位服务器发送第一短信数据，所述第一短信数据包括定位请求；调整数据接收单元112，用于接收第二短信数据并解析，所述第二短信数据由所述定位服务器根据卫星捕获辅助数据生成；修正单元113，用于基于解析后的第二短信数据生成伪距测量数据，将所述伪距测量数据转换为第三短信数据，并将所述第三短信数据向定位服务器发送；位置接收单元114，用于接收第四短信数据，所述第四短信数据由所述定位服务器根据终端的位置信息生成，所述第四短信数据包括位置名称。
38.通过短信的方式进行定位请求，这种信号传输方式更加稳定，比无线网络传输信号更加稳定；所述第一短信数据包括定位请求，所述第一短信数据的目的就是发送请求，当然，可以辅助有其它信息，比如用户身份信息等，这些不做细述，只需达成发送请求的目的即可。
39.在定位服务器接收到第一短信数据后，向终端发送第二短信数据，所述第二短信数据由所述定位服务器根据卫星捕获辅助数据生成，这一步既是定位服务器发出的反馈信号，同时也是一种请求信号，定位服务器向终端发送请求，请求内容是获取伪距测量数据，使得定位过程更加准确，此步骤是定位服务中常见的步骤；最终，终端接收到第二短信数据，并对第二短信数据进行解析，即，对定位服务器发出的请求进行解析，确认定位服从器所需数据。
40.解析第二短信数据，获取定位服务器所需要的各项数据，然后基于这些数据生成伪距测量数据，这一过程属于常规的定位服务过程，步骤s23实际上是信号采集过程，采集定位服务器做出准确定位所需要的数据。
41.定位服务器接收到第三短信数据，然后基于第三短信数据生成第四短信数据，并向终端设备发送；所述第四短信数据由所述定位服务器根据终端的位置信息生成，所述第四短信数据包括位置名称，位置名称是必要的数据，其它数据则不是本发明不可或缺的数据。
42.图3示出了云端安全访问系统中风险级别确定模块的第二组成结构框图，所述风险级别确定模块11还包括：报表生成单元115，用于生成访问报表，所述访问报表包括位置名称项与访问次数项；次数读取单元116，用于基于所述位置名称遍历访问报表，当所述访问报表中包含所述位置名称时，读取与所述位置名称对应的访问次数；新建单元117，用于当所述访问报表中不包含所述位置名称时，将所述位置名称插入所述访问报表，并将对应的访问次数赋值为一；第一执行单元118，用于根据所述位置名称对应的访问次数确定风险级别。
43.上述内容是风险级别的具体确定过程，其中，判断核心在于访问次数，如果访问次数足够多，便可认为本发明所在的设备对于想要访问的云端是“友好”的，风险程度较低。
44.图4示出了云端安全访问系统中图像信息获取模块的组成结构框图，所述图像信息获取模块13包括：查询单元131，用于基于所述信息录入端口定位脚本文件，根据预设的查询半径获取脚本文件中的非代码数据；内容识别单元132，用于对所述非代码数据进行内容识别，确定云端地址；其中，所述非代码数据包括文本、图片、音频和视频。
45.上述内容是本发明的又一与众不同之处，也是本发明的一个小的创新点，提供了一种云端地址的确定方法，其功能是通过脚本文件实现的，我们知道，脚本文件是软件自身的一部分程序，根据信息录入端口位置，定位脚本文件，然后以其为中心，查询其它内容，所述查询半径的目的是防止脚本文件过大或查询过程中出错，以至于进行死循环，实际上，所述查询半径一般都比较大，可以涵盖大部分脚本文件。
46.所述非代码数据是一些注释或是调用信息，其本身不属于代码，但能够反应大部分信息，一般情况下，都会有开发商的信息。
47.值得一提的是，所述调用信息包括文本、图片、音频和视频，对于不同类型的调用信息，内容识别方法也不同，本发明不作具体限定。
48.图5示出了云端安全访问系统中比对验证模块的组成结构框图，比对验证模块14包括：图像库获取单元141，用于建立与云端地址的连接图像，获取基底图像库；尺寸调整单元142，用于获取所述基底图像库中基底图像的图像尺寸，并基于所述图像尺寸缩放所述图像信息，得到与所述基底图像尺寸相同的目标图像；数量计算单元143，用于依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量；第二执行单元144，用于当所述与目标图像相似的基底图像的数量大于零时，解锁信息录入端口。
49.在登陆界面中，往往有很多推送信息，这便意味着，基底图像是动态的，但从另一角度来说，它也是有限的，因此，基底图像往往是以图像库的形式存在于软件提供方后台；在比对过程中，需要完全比对，如果都没有与所述目标图像相同的基底文件，才能够说明用户打开的登陆界面是有问题的，存在信息泄漏的可能。
50.图6示出了比对验证模块中数量计算单元的第一组成结构框图，所述数量计算单元143具体包括：比率计算子单元1431，用于分别提取所述基底图像和所述目标图像的特征值，基于目标图像的特征值计算特征值差值比率；标记子单元1432，用于当所述差值比率小于预设的比率阈值时，标记所述基底图像；筛选子单元1433，用于遍历所述目标图像的像素点，读取所述像素点的色值，基于所述色值筛选含有标记的基底图像；统计子单元1434，用于当所述目标图像的像素点遍历完成时，统计筛选后的含有标记的基底图像的数量。
51.首先，比率计算子单元1431和标记子单元1432对所述基底图像进行一个预处理，其特征值可以是根据随机一些像素点生成的，也可是根据某些特定公式生成，如灰度公式，但它们均与图像的色值是相关的。
52.筛选子单元1433和统计子单元1434面对的对象是预处理后的基底图像，因此，也可以视为进一步的处理过程 ，其算法也较为简单，就是简单的基于像素点进行比对。
53.值得一提的是，上述筛选过程是一种减法过程，不断的根据像素点比对结果，剔除掉不符合条件的基底图像。所述条件就是像素点是否相同。
54.图7示出了比对验证模块中数量计算单元的第二组成结构框图，所述数量计算单元143还包括：警示子单元1435，用于当所述筛选后的含有标记的基底图像的数量为零时，停止遍历并生成警示信息。
55.警示子单元1435是一种特殊情况，只要符合条件的基底图像数据为零，就无须进行其它步骤了。
56.实施例2图8示出了云端安全访问系统及方法的流程框图，本发明实施例中，提供了一种云端安全访问方法，所述方法包括：步骤s100：接收访问请求，获取位置信息，根据所述位置信息确定风险级别；步骤s200：当所述风险级别达到预设的级别阈值时，实时监测信息录入端口；步骤s300：当监测到信息录入端口时，锁定信息录入端口，确定云端地址，获取信息录入界面的图像信息；步骤s400：根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证；步骤s500：当所述图像信息通过比对验证后，解锁信息录入端口，获取用户账户信息，并将所述用户账户信息向云端地址发送。
57.图9示出了云端安全访问系统及方法的第一子流程框图，所述根据所述云端地址获取基底图像，并基于所述基底图像对所述图像信息进行比对验证的步骤具体包括：步骤s401：建立与云端地址的连接图像，获取基底图像库；步骤s402：获取所述基底图像库中基底图像的图像尺寸，并基于所述图像尺寸缩放所述图像信息，得到与所述基底图像尺寸相同的目标图像；
步骤s403：依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量；步骤s404：当所述与目标图像相似的基底图像的数量大于零时，解锁信息录入端口。
58.图10示出了云端安全访问系统及方法的第二子流程框图，所述依次读取所述基底图像库中的基底图像，将所述基底图像与所述目标图像进行比对，得到与目标图像相似的基底图像的数量的步骤具体包括：步骤s4031：分别提取所述基底图像和所述目标图像的特征值，基于目标图像的特征值计算特征值差值比率；步骤s4032：当所述差值比率小于预设的比率阈值时，标记所述基底图像；步骤s4033：遍历所述目标图像的像素点，读取所述像素点的色值，基于所述色值筛选含有标记的基底图像；步骤s4034：当所述目标图像的像素点遍历完成时，统计筛选后的含有标记的基底图像的数量。
59.上述云端安全访问方法所能实现的功能均由计算机设备完成，所述计算机设备包括一个或多个处理器和一个或多个存储器，所述一个或多个存储器中存储有至少一条程序代码，所述程序代码由所述一个或多个处理器加载并执行以实现所述云端安全访问方法的功能。
60.处理器从存储器中逐条取出指令、分析指令，然后根据指令要求完成相应操作，产生一系列控制命令，使计算机各部分自动、连续并协调动作，成为一个有机的整体，实现程序的输入、数据的输入以及运算并输出结果，这一过程中产生的算术运算或逻辑运算均由运算器完成；所述存储器包括只读存储器(read
‑
only memory，rom)，所述只读存储器用于存储计算机程序，所述存储器外部设有保护装置。
61.示例性的，计算机程序可以被分割成一个或多个模块，一个或者多个模块被存储在存储器中，并由处理器执行，以完成本发明。一个或多个模块可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述计算机程序在终端设备中的执行过程。
62.本领域技术人员可以理解，上述服务设备的描述仅仅是示例，并不构成对终端设备的限定，可以包括比上述描述更多或更少的部件，或者组合某些部件，或者不同的部件，例如可以包括输入输出设备、网络接入设备、总线等。
63.所称处理器可以是中央处理单元(central processing unit，cpu)，还可以是其他通用处理器、数字信号处理器 (digital signal processor，dsp)、专用集成电路 (application specific integrated circuit，asic)、现成可编程门阵列 (field
‑
programmable gate array，fpga)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等，上述处理器是上述终端设备的控制中心，利用各种接口和线路连接整个用户终端的各个部分。
64.上述存储器可用于存储计算机程序和/或模块，上述处理器通过运行或执行存储在存储器内的计算机程序和/或模块，以及调用存储在存储器内的数据，实现上述终端设备的各种功能。存储器可主要包括存储程序区和存储数据区，其中，存储程序区可存储操作系
统、至少一个功能所需的应用程序（比如信息采集模板展示功能、产品信息发布功能等）等；存储数据区可存储根据泊位状态显示系统的使用所创建的数据（比如不同产品种类对应的产品信息采集模板、不同产品提供方需要发布的产品信息等）等。此外，存储器可以包括高速随机存取存储器，还可以包括非易失性存储器，例如硬盘、内存、插接式硬盘，智能存储卡（smart media card， smc），安全数字（secure digital， sd）卡，闪存卡（flash card）、至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
65.终端设备集成的模块/单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明实现上述实施例系统中的全部或部分模块/单元，也可以通过计算机程序来指令相关的硬件来完成，上述的计算机程序可存储于计算机可读存储介质中，该计算机程序在被处理器执行时，可实现上述各个系统实施例的功能。其中，计算机程序包括计算机程序代码，计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。计算机可读介质可以包括：能够携带计算机程序代码的任何实体或装置、记录介质、u盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器（rom，read
‑
only memory）、随机存取存储器（ram，random access memory）、电载波信号、电信信号以及软件分发介质等。
66.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
67.以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。