CN103763104B - 一种动态验证的方法及系统 - Google Patents
一种动态验证的方法及系统 Download PDFInfo
- Publication number
- CN103763104B CN103763104B CN201410002119.2A CN201410002119A CN103763104B CN 103763104 B CN103763104 B CN 103763104B CN 201410002119 A CN201410002119 A CN 201410002119A CN 103763104 B CN103763104 B CN 103763104B
- Authority
- CN
- China
- Prior art keywords
- information
- client
- random sequence
- encryption algorithm
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种动态验证的方法及系统,该方法包括以下步骤:S1、客户端在检测到按键提交登陆信息后,读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;所述客户端通过网页隐式参数传递将所述加密验证信息发送给所述服务器;S2、所述服务器将所述加密验证信息反解析后得到解密验证信息,判断所述解密验证信息是否符合要求,如果是,则通过验证,否则向所述客户端返回验证失败的信息。本发明的动态验证的方法及系统可以避免验证码被大多数暴力破解方案所采用的识别技术所识别且对用户使用影响小。
Description
技术领域
本发明涉及通信领域的数据验证技术,更具体的说,涉及一种动态验证的方法及系统。
背景技术
为了提高暴力破解用户的账号密码的难度同时防止恶意注册以保护网站安全,通常要求在登陆时输入验证码以增加破解的难度。现有技术中的验证码一般可以分为三类,即图片验证码、短信验证码及语言验证码。
1、图片验证码
A、数字和字母的组合
包括数字和字母的组合的验证码是最常使用的图片验证码,该种验证码具有以下三个特点:1)图片是静态的;2)长度一般在四位到六位之间;3)由阿拉伯数字和英文字母随机组合而成,常通过背景色、噪点噪线、字符旋转、扭曲、粘连、反色、字符位置随机及字符个数不确定等干扰方法增加计算机自动识别的难度。
B、人类语言文字
这种验证码使用人类语言文字作为其内容构成,人类语言文字可以是中文、韩文、日文等。因为人类语言文字的繁复多变,增加了计算机程序的识别难度,再辅助一定的干扰手段,计算机程序基本上无法识别。
C、动态图片
此种验证码本身为一张动画图片,其通过设置字母、数字、改变形状、大小、显示效果以及轨迹的动态变换以增加了破解的难度,其安全程度远高于前两种类型。
D、科学图片
此种验证码将数学公式等需要智力计算的内容引入到验证码领域,增加了识别难度,其安全性要远高于其他三种,但可推广性较差。
2、短信验证码
用户在页面上输入手机号后,点击验证码获取按钮,服务器将验证字符串发送到用户手机,然后用户将接收到的验证字符串输入到页面中才能进行验证。该方法的缺陷是需要用户另外配备一台手机,用于接收验证短信。
3、语音验证码
用户打开页面后,点击语音图标,收听一段语音的文字或数字,该文字或数字即是登陆所需的验证码信息。该方法的缺点是用户机器需要有专门的语音播放设备,例如flash播放器;此外,网络延迟等问题也会影响语音的播放。
随着人工智能的发展,多数验证码很容易被光学字符识别(简称为OCR)技术识别破解。鉴于验证码容易被OCR识别能够会产生严重的后果,各大网站的图片验证码有越来越复杂的趋势,对人们日常的使用照成了不小的影响。而至于短信验证码和语音验证码,因为需要用户提供额外的资源,影响用户的体验,故而采用不多。
发明内容
本发明要解决的技术问题在于,针对现有技术中的缺陷,提供一种可以避免验证码被大多数暴力破解方案所采用的识别技术所识别且对用户使用影响小的动态验证的方法及系统。
本发明解决其技术问题所采用的技术方案是:提供一种动态验证的方法,包括以下步骤:
S1、客户端在检测到按键提交登陆信息后,读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;所述客户端通过网页隐式参数传递将所述加密验证信息发送给所述服务器;
S2、所述服务器将所述加密验证信息反解析后得到解密验证信息,判断所述解密验证信息是否符合要求,如果是,则通过验证,否则向所述客户端返回验证失败的信息。
在本发明所述的动态验证的方法中,所述随机验证信息和随机加密算法分别包括所述服务器预先指示给所述客户端的第一随机序列和第一加密算法;
步骤S1具体包括以下分步骤:
S11、客户端在检测到按键提交登陆信息后,读取所述第一随机序列和第一加密算法,并通过所述第一加密算法对所述第一随机序列进行加密,得到加密验证序列;
S12、所述客户端将所述加密验证序列与所述登录信息一起发送给所述服务器;
步骤S2具体包括以下分步骤:
S21、所述服务器在接收到所述加密验证序列与登录信息后,将所述加密验证序列反解析得到解密序列;
S22、所述服务器对比所述解密序列与所述第一随机序列是否对应,如果是,则通过验证,否则向所述客户端返回验证失败的信息。
在本发明所述的动态验证的方法中,步骤S22中,当所述解密序列与第一随机序列不对应时,所述服务器指示第二随机序列和第二加密算法给所述客户端;所述客户端将所述第二随机序列和第二加密算法分别替代所述第一随机序列和第一加密算法。
在本发明所述的动态验证的方法中,所述动态验证的方法还包括以下步骤:
S3、在步骤S22通过验证后,所述服务器判断所述登陆信息是否正确,如果是,则返回登陆成功信息,否则返回登陆失败信息,且指示第三随机序列和第三加密算法给所述客户端;所述客户端将所述第三随机序列和第三加密算法分别替代所述第一随机序列和第一加密算法。
在本发明所述的动态验证的方法中,步骤S1之前还包括以下步骤:
S0、在所述客户端发送登陆页面打开请求后,所述服务器返回所述登陆页面,并将所述第一随机序列和第一加密算法指示给所述客户端。
本发明还提供一种动态验证的系统,包括相互通信连接的客户端和服务器:
所述客户端用于检测到登陆信息的按键提交,在检测到按键提交所述登陆信息后读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;所述客户端还用于通过网页隐式参数传递的方式将所述加密验证信息发送给所述服务器;
所述服务器用于将所述加密验证信息反解析后得到解密验证信息,判断所述解密验证信息是否符合要求,并在符合要求时通过验证,否则向所述客户端返回验证失败的信息。
在本发明所述的动态验证的系统中,所述随机验证信息和随机加密算法包括所述服务器预先指示给所述客户端的第一随机序列和第一加密算法;
所述客户端包括:
检测单元,用于检测登陆信息的按键提交;
存储单元,用于存储所述第一随机序列和第一加密算法;
加密单元,用于读取所述第一随机序列和第一加密算法,并通过所述第一加密算法对所述第一随机序列进行加密,得到加密验证序列;
第一通信单元,用于将所述加密验证序列与所述登录信息一起发送给所述服务器;
所述服务器包括:
第二通信单元,用于接收所述加密验证序列与登录信息,
验证信息生成单元,用于随机生成所述第一随机序列和第一加密算法;
解密单元,用于将所述加密验证序列反解析得到解密序列;
判断单元,用于对比所述解密序列与所述第一随机序列是否对应,并在对应时通过验证,否则通过所述第二通信单元向所述客户端返回验证失败的信息。
在本发明所述的动态验证的系统中,所述判断单元还用于在所述解密序列与第一随机序列不对应时指示所述验证信息生成单元随机生成第二随机序列和第二加密算法;所述验证信息生成单元通过所述第二通信单元指示所述第二随机序列和第二加密算法给所述客户端;
所述存储单元将所述第二随机序列和第二加密算法分别替代所述第一随机序列和第一加密算法。
在本发明所述的动态验证的系统中,所述服务器还包括:
登陆信息验证单元,用于在所述解密序列与第一随机序列不对应后判断所述登陆信息是否正确,并在正确时返回登陆成功信息,否则返回登陆失败信息,且指示所述验证信息生成单元随机生成第三随机序列和第三加密算法;所述验证信息生成单元通过所述第二通信单元指示所述第三随机序列和第三加密算法给所述客户端;
所述存储单元将所述第三随机序列和第三加密算法分别替代所述第一随机序列和第一加密算法。
在本发明所述的动态验证的系统中,所述客户端还用于通过所述第一通信单元向所述服务器发送登陆页面打开请求;
所述服务器还用于返回所述登陆页面,并将所述第一随机序列和第一加密算法通过网页隐式参数传递的方式指示给所述客户端。
本发明的动态验证的方法及系统具有有益效果:通过按键确认作为提交的指示信号,由于大多数暴力破解软件都是通过程序触发确认指令,在本发明中这些暴力破解软件将无法自动通过穷举法破解密码,同时本发明通过网页隐式参数的方式传输数据,而且验证信息及加密算法也是随机生成,破解软件难以获取符合要求的加密验证信息。本发明的验证信息不显示的页面中,并且与服务器之间的传输通过网页隐式参数传递的方式,无需用户填写任何验证信息,方便用户使用。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明动态验证的方法的流程图;
图2是本发明一个优选实施例的动态验证的方法的流程图;
图3是本发明一个优选实施例的动态验证的方法的流程图;
图4是本发明一个优选实施例的动态验证的方法的流程图;
图5是本发明一个优选实施例的动态验证的方法的流程图;
图6是本发明一个优选实施例的动态验证的系统的原理框图。
具体实施方式
为了解决现有技术中图片验证码容易被OCR技术识别而其他新的验证技术如短信验证及语言验证越来越占用用户的资源的缺陷,本发明的创新点在于:
由于验证信息及加密算法是随机生成,解决了现有技术中的验证码容易被识别的问题,同时破解软件难以获取符合要求的加密验证信息;而且通过按键确认作为提交的指示信号,由于大多数暴力破解软件都是通过程序触发确认指令,从而使这些暴力破解软件无法自动通过穷举法破解验证信息及密码。本发明的验证信息不显示的页面中,并且与服务器之间的传输通过网页隐式参数传递的方式,无需用户填写任何验证信息,方便用户使用。
图1示出了本发明的一种动态验证的方法,该方法包括以下步骤:
S1、客户端在检测到按键提交登陆信息后,读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;客户端通过网页隐式参数传递将加密验证信息发送给服务器;
S2、服务器将加密验证信息反解析后得到解密验证信息,判断解密验证信息是否符合要求,如果是,则通过验证,否则向客户端返回验证失败的信息。
本发明的按键提交包括通过鼠标点击页面的提交按键及通过键盘按键、如回车键确认等。
图2示出了本发明一个优选实施例提供的动态验证的方法,该实施例中的随机验证信息和随机加密算法分别包括服务器预先指示给客户端的第一随机序列和第一加密算法。其中,服务器指示随机验证信息及随机加密算法的方式可以是直接发送给客户端,也可以是指示客户端根据其存储或接收的信息动态生成,或者对登陆信息进行拼接、截取等方式生成。非直接发送的方式可以是直接在客户端预设加密算法库,在指示时只需发送相应算法的代号或序号即可。加密算法库可以是以js文件的格式预先设置在浏览器或相应登陆软件的安装文件中,或者再第一次请求登陆时返回给客户端。
该实施例的动态验证的方法包括以下步骤:
A1、客户端在检测到按键提交登陆信息后,读取第一随机序列和第一加密算法,并通过第一加密算法对第一随机序列进行加密,得到加密验证序列;
A2、客户端将加密验证序列与登录信息一起发送给服务器;
A3、服务器在接收到加密验证序列与登录信息后,将加密验证序列反解析得到解密序列;
A4、服务器对比解密序列与第一随机序列是否对应,如果是,则通过验证,否则向客户端返回验证失败的信息。
该实施例中的第一随机序列可以是数字字母组成的字符串,二进制字符串、十六进制字符串或其他形式的字符串,这些字符串是通过记载与文件中并与文件一同发送给客户端,如文本文件;也可以是作为某些文件的文件号并随该文件发送至客户端,如Cookie文件的CookieID;或也可以是通过服务器指定根据登陆信息的用户名、密码等拼接截取得到的字符串。该实施例的第一加密算法一般记载在js文件中,js文件即将Javascript脚本放入一个文件类并以js扩展名命名一种文本脚本。第一加密算法可以是对字符串某一位字符进行加减运算、将字符串与另一字符串相加减、字符串拼接截取或倒置、二进制字符取反或者上述可能的运算方式中几种的结合。
举例来说,第一随机序列为“a576f3”,第一加密算法是对字符串的ASCII码加上“130043”后将左边第2位减“4”,于是得到的加密验证序列则为“b476j6”,服务器通过逆运算得到解密序列为“a576f3”,与第一随机序列相同,则通过验证;此外,也可是第一随机序列为“101110”,第一加密算法为取反,则得到的加密验证序列为“010001”;再如,第一随机序列是用户名abcd和密码123456,第一加密算法为截取用户名第2-3位及密码3-5位,将用户名的两位字符分别穿插到密码的三个字符中,得到加密验证序列3b4c5,服务器反解析得到用户名对应的字符bc,密码对应的字符345,则认为验证通过。
反解析通过第一加密算法的逆运算得到解密序列,该解密序列与第一随机序列对应,则可以通过验证;而如果验证码是暴力破解软件直接生成的,则通过验证的可能性就会很低。这里的对应可以是解密序列与第一随机序列相同、与第一随机序列指定的字符串位数相同、或者由第一随机序列通过预定的算法得到等。
进一步的,如图3所示,步骤A4中,当解密序列与第一随机序列不对应时,服务器指示第二随机序列和第二加密算法给客户端。客户端将第二随机序列和第二加密算法分别替代第一随机序列和第一加密算法。
加密算法可以是每过一段时间做一次调整,也可以同随机序列一样随机生成,故第二加密算法可以与第一加密算法相同也可以与之不同,第二随机序列与第二加密算法替代第一随机序列和第一加密算法后作为随机验证信息,等待下一次按键提交时用以加密运算。
进一步的,如图4所示,该动态验证的方法还包括以下步骤:
A5、在步骤A4通过验证后,服务器判断登陆信息是否正确,如果是,则返回登陆成功信息,否则返回登陆失败信息,且指示第三随机序列和第三加密算法给客户端。客户端将第三随机序列和第三加密算法分别替代第一随机序列和第一加密算法。
登陆信息包括用户名、注册邮箱或注册序号等,以及相应的密码,服务器对上述信息进行验证,如果其中之一与预先存储于服务器的信息不同,则无法成功登陆。
根据前面的叙述,第三加密算法可以与第一加密算法相同也可以与之不同,第三随机序列与第三加密算法替代第一随机序列和第一加密算法后作为随机验证信息,等待下一次按键提交时用以加密运算。
本发明的第一随机序列与第一加密算法可以是前一次登陆错误时指示给客户端的,但如果前一次登陆成功,先前的验证信息可能被删除,此时就需要另行安排指示。
优选的,如图5所示,步骤A1之前还包括以下步骤:
A0、在客户端发送登陆页面打开请求后,服务器返回登陆页面,并将第一随机序列和第一加密算法指示给客户端。
这里的发送登陆页面打开请求包括在地址栏输入网页地址时的请求、在相应网页点击登陆时的请求及用户退出登陆时或重新登陆时的请求。当用户发出上述请求后,服务器将第一随机序列和第一加密算法指示给客户端,客户端将其保存并在下一次按键提交登陆信息时用于加密。
此外,本发明的验证信息除了上述实施例公开的随机序列,还可以是某些验证文件或图形标识,客户端对这些文件或图形进行加密以防止被黑客拦截并打开,于是对文件或图形本身加密。当服务器收到该加密后的文件或图形后,对其进行反解析,得到原来的图形。
进一步的,随机加密算法也可以从客户端生成,此时加密验证信息中将包含相应的算法信息以告知服务器其采用的算法,算法信息可以通过特定密钥加密的完整的算法,也可以是相应的算法序号。
当验证文件同样为随机序列及相应的加密算法时,服务器的解密算法也可以并非加密算法的逆运算,其解密序列可以与原随机序列不同,由于解密序列的理论值算法也已确定,故只需对比解密序列与理论上确定的序列是否对应即可。故,验证信息的处理方式可以是任意可行的方案,此处不再一一赘述。
本发明还提供了一种动态验证的系统,该系统包括相互通信连接的客户端和服务器。
其中,客户端用于检测到登陆信息的按键提交后,在检测到按键提交登陆信息后读取服务器预先发送给客户端的随机验证信息并进行加密得到加密验证信息;客户端还用于通过网页隐式参数传递的方式将加密验证信息发送给服务器。本发明的按键提交包括通过鼠标点击页面的提交按键及通过键盘按键、如回车键确认等。
服务器用于将加密验证信息反解析后得到解密验证信息,判断解密验证信息是否符合要求,并在符合要求时通过验证,否则向客户端返回验证失败的信息。
本发明的系统通过按键确认作为提交的指示信号,由于大多数暴力破解软件都是通过程序触发确认指令,在本发明中这些暴力破解软件将无法自动通过穷举法破解密码,同时本发明通过网页隐式参数的方式传输数据。网页隐式参数传递是指一个页面的参数传递给另一个页面时地址栏后面隐藏相关的参数。而且验证信息及加密算法也是随机生成,破解软件难以获取符合要求的加密验证信息。本发明的验证信息不显示的页面中,并且与服务器之间的传输通过网页隐式参数传递的方式,无需用户填写任何验证信息,方便用户使用。
本发明一个优选的实施例中,随机验证信息和随机加密算法分别包括服务器预先指示给客户端的第一随机序列和第一加密算法。其中,服务器指示随机验证信息及随机加密算法的方式可以是直接发送给客户端,也可以是指示客户端根据其存储或接收的信息动态生成,或者对登陆信息进行拼接、截取等方式生成。非直接发送的方式可以是直接在客户端预设加密算法库,在指示时只需发送相应算法的代号或序号即可。加密算法库可以是以js文件的格式预先设置在浏览器或相应登陆软件的安装文件中,或者再第一次请求登陆时返回给客户端。
如图6所示,客户端1包括:
检测单元101,用于检测登陆信息的按键提交;
存储单元102,用于存储第一随机序列和第一加密算法;
加密单元103,用于读取第一随机序列和第一加密算法,并通过第一加密算法对第一随机序列进行加密,得到加密验证序列;
第一通信单元104,用于将加密验证序列与登录信息一起发送给服务器2。
相应的,服务器2包括:
第二通信单元201,用于接收加密验证序列与登录信息,
验证信息生成单元202,用于随机生成第一随机序列和第一加密算法;
解密单元203,用于将加密验证序列反解析得到解密序列;
判断单元204,用于对比解密序列与第一随机序列是否对应,并在对应时通过验证,否则通过第二通信单元201向客户端返回验证失败的信息。
该实施例中的第一随机序列可以是数字字母组成的字符串,二进制字符串、十六进制字符串或其他形式的字符串,这些字符串是通过记载与文件中并与文件一同发送给客户端,如文本文件;也可以是作为某些文件的文件号并随该文件发送至客户端,如Cookie文件的CookieID;或也可以是通过服务器指定根据登陆信息的用户名、密码等拼接截取得到的字符串。该实施例的第一加密算法一般记载在js文件中,js文件即将Javascript脚本放入一个文件类并以js扩展名命名一种文本脚本。第一加密算法可以是对字符串某一位字符进行加减运算、将字符串与另一字符串相加减、字符串拼接截取或倒置、二进制字符取反或者上述可能的运算方式中几种的结合。
举例来说,第一随机序列为“a576f3”,第一加密算法是对字符串的ASCII码加上“130043”后将左边第2位减“4”,于是得到的加密验证序列则为“b476j6”;此外,也可是第一随机序列为“101110”,第一加密算法为取反,则得到的加密验证序列为“010001”;再如,第一随机序列是用户名abcd和密码123456,第一加密算法为截取用户名第2-3位及密码3-5位,将用户名的两位字符分别穿插到密码的三个字符中,得到加密验证序列3b4c5,服务器反解析得到用户名对应的字符bc,密码对应的字符345,则认为验证通过。
反解析通过第一加密算法的逆运算得到解密序列,该解密序列与第一随机序列对应,则可以通过验证;而如果验证码是暴力破解软件直接生成的,则通过验证的可能性就会很低。这里的对应可以是解密序列与第一随机序列相同、与第一随机序列指定的字符串位数相同、或者由第一随机序列通过预定的算法得到等。
进一步的,判断单元204还用于在解密序列与第一随机序列不对应时指示验证信息生成单元202随机生成第二随机序列和第二加密算法;验证信息生成单元202通过第二通信单元201指示第二随机序列和第二加密算法给客户端。
存储单元102将第二随机序列和第二加密算法分别替代第一随机序列和第一加密算法。
加密算法可以是每过一段时间做一次调整,也可以同随机序列一样随机生成,故第二加密算法可以与第一加密算法相同也可以与之不同,第二随机序列与第二加密算法替代第一随机序列和第一加密算法后作为随机验证信息,等待下一次按键提交时用以加密运算。
进一步地,服务器2还包括:
登陆信息验证单元205,用于在解密序列与第一随机序列不对应后判断登陆信息是否正确,并在正确时返回登陆成功信息,否则返回登陆失败信息,且指示验证信息生成单元随机生成第三随机序列和第三加密算法;验证信息生成单元通过第二通信单元201指示第三随机序列和第三加密算法给客户端1。
客户端1的存储单元102将第三随机序列和第三加密算法分别替代第一随机序列和第一加密算法。
登陆信息包括用户名、注册邮箱或注册序号等,以及相应的密码,服务器对上述信息进行验证,如果其中之一与预先存储于服务器的信息不同,则无法成功登陆。
根据前面的叙述,第三加密算法可以与第一加密算法相同也可以与之不同,第三随机序列与第三加密算法替代第一随机序列和第一加密算法后作为随机验证信息,等待下一次按键提交时用以加密运算。
本发明的第一随机序列与第一加密算法可以是前一次登陆错误时指示给客户端1的,但如果前一次登陆成功,先前的验证信息可能被删除,此时就需要另行安排指示。
优选的,客户端1还用于通过第一通信单元104向服务器2发送登陆页面打开请求。
服务器2还用于返回登陆页面,并将第一随机序列和第一加密算法通过网页隐式参数传递的方式指示给客户端1。
这里的发送登陆页面打开请求包括在地址栏输入网页地址时的请求、在相应网页点击登陆时的请求及用户退出登陆时或重新登陆时的请求。当用户发出上述请求后,服务器2将第一随机序列和第一加密算法指示给客户端1,客户端1将其保存并在下一次按键提交登陆信息时用于加密。
此外,本发明的验证信息除了上述实施例公开的随机序列,还可以是某些验证文件或图形标识,客户端1对这些文件或图形进行加密以防止被黑客拦截并打开,于是对文件或图形本身加密。当服务器2收到该加密后的文件或图形后,对其进行反解析,得到原来的图形。
进一步的,随机加密算法也可以从客户端生成,此时加密验证信息中将包含相应的算法信息以告知服务器其采用的算法,算法信息可以通过特定密钥加密的完整的算法,也可以是相应的算法序号。
当验证文件同样为随机序列及相应的加密算法时,服务器2的解密算法也可以并非加密算法的逆运算,其解密序列可以与原随机序列不同,由于解密序列的理论值算法也已确定,故只需对比解密序列与理论上确定的序列是否对应即可。故,验证信息的处理方式可以是任意可行的方案,此处不再一一赘述。
综上所述,本发明通过按键确认作为提交的指示信号,由于大多数暴力破解软件都是通过程序触发确认指令,在本发明中这些暴力破解软件将无法自动通过穷举法破解密码,同时本发明通过网页隐式参数的方式传输数据。网页隐式参数传递是指一个页面的参数传递给另一个页面时地址栏后面隐藏相关的参数。而且验证信息及加密算法也是随机生成,破解软件难以获取符合要求的加密验证信息。本发明的验证信息不显示的页面中,并且与服务器之间的传输通过网页隐式参数传递的方式,无需用户填写任何验证信息,方便用户使用。
Claims (10)
1.一种动态验证的方法,其特征在于,包括以下步骤:
S1、客户端在检测到按键提交登陆信息后,读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;所述客户端通过网页隐式参数传递将所述加密验证信息发送给服务器;所述按键提交包括:通过鼠标点击页面的提交按键或者通过键盘按键提交;所述登陆信息不包括任何验证信息;
S2、所述服务器将所述加密验证信息反解析后得到解密验证信息,判断所述解密验证信息是否符合要求,如果是,则通过验证,否则向所述客户端返回验证失败的信息。
2.根据权利要求1所述的动态验证的方法,其特征在于,所述随机验证信息和随机加密算法分别包括服务器预先指示给所述客户端的第一随机序列和第一加密算法;
步骤S1具体包括以下分步骤:
S11、客户端在检测到按键提交登陆信息后,读取所述第一随机序列和第一加密算法,并通过所述第一加密算法对所述第一随机序列进行加密,得到加密验证序列;
S12、所述客户端将所述加密验证序列与所述登陆 信息一起发送给所述服务器;
步骤S2具体包括以下分步骤:
S21、所述服务器在接收到所述加密验证序列与登陆 信息后,将所述加密验证序列反解析得到解密序列;
S22、所述服务器对比所述解密序列与所述第一随机序列是否对应,如果是,则通过验证,否则向所述客户端返回验证失败的信息。
3.根据权利要求2所述的动态验证的方法,其特征在于,步骤S22中,当所述解密序列与第一随机序列不对应时,所述服务器指示第二随机序列和第二加密算法给所述客户端;所述客户端将所述第二随机序列和第二加密算法分别替代所述第一随机序列和第一加密算法。
4.根据权利要求2所述的动态验证的方法,其特征在于,还包括以下步骤:
S3、在步骤S22通过验证后,所述服务器判断所述登陆信息是否正确,如果是,则返回登陆成功信息,否则返回登陆失败信息,且指示第三随机序列和第三加密算法给所述客户端;所述客户端将所述第三随机序列和第三加密算法分别替代所述第一随机序列和第一加密算法。
5.根据权利要求2所述的动态验证的方法,其特征在于,步骤S1之前还包括以下步骤:
S0、在所述客户端发送登陆页面打开请求后,所述服务器返回所述登陆页面,并将所述第一随机序列和第一加密算法指示给所述客户端。
6.一种动态验证的系统,其特征在于,包括相互通信连接的客户端(1)和服务器(2):
所述客户端(1)用于检测到登陆信息的按键提交,在检测到按键提交所述登陆信息后读取预设的随机验证信息并通过随机加密算法进行加密得到加密验证信息;所述客户端(1)还用于通过网页隐式参数传递的方式将所述加密验证信息发送给所述服务器(2);所述按键提交包括:通过鼠标点击页面的提交按键或者通过键盘按键提交;所述登陆信息不包括任何验证信息;
所述服务器(2)用于将所述加密验证信息反解析后得到解密验证信息,判断所述解密验证信息是否符合要求,并在符合要求时通过验证,否则向所述客户端(1)返回验证失败的信息。
7.根据权利要求6所述的动态验证的系统,其特征在于,所述随机验证信息和随机加密算法分别包括所述服务器(2)预先指示给所述客户端(1)的第一随机序列和第一加密算法;
所述客户端(1)包括:
检测单元(101),用于检测登陆信息的按键提交;
存储单元(102),用于存储所述第一随机序列和第一加密算法;
加密单元(103),用于读取所述第一随机序列和第一加密算法,并通过所述第一加密算法对所述第一随机序列进行加密,得到加密验证序列;
第一通信单元(104),用于将所述加密验证序列与所述登陆 信息一起发送给所述服务器;
所述服务器(2)包括:
第二通信单元(201),用于接收所述加密验证序列与登陆 信息,
验证信息生成单元(202),用于随机生成所述第一随机序列和第一加密算法;
解密单元(203),用于将所述加密验证序列反解析得到解密序列;
判断单元(204),用于对比所述解密序列与所述第一随机序列是否对应,并在一致时通过验证,否则通过所述第二通信单元(201)向所述客户端返回验证失败的信息。
8.根据权利要求7所述的动态验证的系统,其特征在于,所述判断单元(204)还用于在所述解密序列与第一随机序列不对应时指示所述验证信息生成单元(202)随机生成第二随机序列和第二加密算法;所述验证信息生成单元(202)通过所述第二通信单元(201)指示所述第二随机序列和第二加密算法给所述客户端(1);
所述存储单元(102)将所述第二随机序列和第二加密算法分别替代所述第一随机序列和第一加密算法。
9.根据权利要求7所述的动态验证的系统,其特征在于,所述服务器(2)还包括:
登陆信息验证单元(5),用于在所述解密序列与第一随机序列不对应后判断所述登陆信息是否正确,并在正确时返回登陆成功信息,否则返回登陆失败信息,且指示所述验证信息生成单元(202)随机生成第三随机序列和第三加密算法;所述验证信息生成单元(202)通过所述第二通信单元(201)指示所述第三随机序列和第三加密算法给所述客户端(1);
所述存储单元(102)将所述第三随机序列和第三加密算法分别替代所述第一随机序列和第一加密算法。
10.根据权利要求7所述的动态验证的系统,其特征在于,
所述客户端(1)还用于通过所述第一通信单元(104)向所述服务器(2)发送登陆页面打开请求;
所述服务器(2)还用于返回所述登陆页面,并将所述第一随机序列和第一加密算法通过网页隐式参数传递的方式指示给所述客户端(1)。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410002119.2A CN103763104B (zh) | 2014-01-02 | 2014-01-02 | 一种动态验证的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410002119.2A CN103763104B (zh) | 2014-01-02 | 2014-01-02 | 一种动态验证的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103763104A CN103763104A (zh) | 2014-04-30 |
| CN103763104B true CN103763104B (zh) | 2018-05-22 |
Family
ID=50530269
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410002119.2A Active CN103763104B (zh) | 2014-01-02 | 2014-01-02 | 一种动态验证的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103763104B (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104978542B (zh) * | 2015-06-11 | 2019-08-13 | 福建天晴数码有限公司 | 安全存储数据和访问数据的方法及系统 |
| CN105376264A (zh) * | 2015-12-24 | 2016-03-02 | 中国建设银行股份有限公司 | 认证方法及设备 |
| CN108305078B (zh) * | 2017-01-11 | 2021-11-02 | 北京京东尚科信息技术有限公司 | 程序刷单识别方法及设备 |
| CN107612915A (zh) * | 2017-09-21 | 2018-01-19 | 杭州安恒信息技术有限公司 | 基于验证码变换的双保密形式的防密码破解的方法和装置 |
| CN108616878B (zh) * | 2018-03-28 | 2021-03-26 | 努比亚技术有限公司 | 一种加密解密方法、设备和计算机存储介质 |
| CN109028503B (zh) * | 2018-07-04 | 2020-02-14 | 河南师范大学 | 使用电机控制参数进行权限动态验证的空气调节方法 |
| CN113761489B (zh) * | 2020-06-02 | 2024-01-26 | 共道网络科技有限公司 | 验证方法、装置及设备、存储介质 |
| CN111866885A (zh) * | 2020-06-09 | 2020-10-30 | 维沃移动通信有限公司 | 验证信息共享方法、装置及电子设备 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1814974A (zh) * | 2005-02-03 | 2006-08-09 | 上海长三角科技发展有限公司 | 公钥跳码安全系统及方法 |
| CN101316169A (zh) * | 2008-07-18 | 2008-12-03 | 张曌 | 基于互联网第三方生物特征验证的网络身份验证方法 |
| CN101719826A (zh) * | 2009-05-13 | 2010-06-02 | 北京宏基恒信科技有限责任公司 | 具有种子密钥更新功能的动态令牌及其种子密钥的更新方法 |
| CN102054140A (zh) * | 2010-11-24 | 2011-05-11 | 山东大学 | 一种通用密码变长加密验证方法 |
| CN102148683A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 基于hash芯片或加密芯片的双因素认证方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020095383A1 (en) * | 1999-09-17 | 2002-07-18 | International Business Machines Corporation | Method and apparatus for secure sale of electronic tickets |
-
2014
- 2014-01-02 CN CN201410002119.2A patent/CN103763104B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1814974A (zh) * | 2005-02-03 | 2006-08-09 | 上海长三角科技发展有限公司 | 公钥跳码安全系统及方法 |
| CN101316169A (zh) * | 2008-07-18 | 2008-12-03 | 张曌 | 基于互联网第三方生物特征验证的网络身份验证方法 |
| CN101719826A (zh) * | 2009-05-13 | 2010-06-02 | 北京宏基恒信科技有限责任公司 | 具有种子密钥更新功能的动态令牌及其种子密钥的更新方法 |
| CN102148683A (zh) * | 2010-02-04 | 2011-08-10 | 上海果壳电子有限公司 | 基于hash芯片或加密芯片的双因素认证方法 |
| CN102054140A (zh) * | 2010-11-24 | 2011-05-11 | 山东大学 | 一种通用密码变长加密验证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103763104A (zh) | 2014-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103763104B (zh) | 一种动态验证的方法及系统 | |
| USRE46158E1 (en) | Methods and systems to detect attacks on internet transactions | |
| CN104113549B (zh) | 一种平台授权方法、平台服务端及应用客户端和系统 | |
| US9923876B2 (en) | Secure randomized input | |
| US9736147B1 (en) | Artificial intelligence encryption model (AIEM) with device authorization and attack detection (DAAAD) | |
| JP4421892B2 (ja) | ランダム部分的パターン認識に基づく認証システム及びその方法 | |
| US8713677B2 (en) | Anti-phishing system and method | |
| KR101851686B1 (ko) | 거래 인증을 위하여 추출된 무작위 일회용 패스워드 | |
| CN101272237B (zh) | 一种用于自动生成和填写登录信息的方法和系统 | |
| CN104767613B (zh) | 签名验证方法、装置及系统 | |
| US7673135B2 (en) | Request authentication token | |
| EP2191610B1 (en) | Software based multi-channel polymorphic data obfuscation | |
| KR101351146B1 (ko) | 가상 사용자 인증 시스템 및 방법 | |
| CN108322461A (zh) | 应用程序自动登录的方法、系统、装置、设备和介质 | |
| CN108234519A (zh) | 检测和防止加密连接上的中间人攻击 | |
| CN106911684B (zh) | 一种鉴权方法及系统 | |
| CN104766001A (zh) | 检测和破坏captcha自动化脚本以及防止图像刮削 | |
| US20060174322A1 (en) | Techniques for presenting network identities at a human interface | |
| CN107872438B (zh) | 一种验证方法、装置及终端 | |
| CN106302453A (zh) | 数据的处理方法、装置及系统 | |
| CN107872447A (zh) | 电子装置、服务器、通信系统及通信方法 | |
| CN101286848A (zh) | 登录认证方法和登录签名程序 | |
| CN101291227A (zh) | 一种密码输入方法、装置和系统 | |
| KR101429304B1 (ko) | 신뢰되지 않는 기계에 기밀 정보를 입력하기 위한 컴퓨터 구현 방법 | |
| CN110166471A (zh) | 一种Portal认证方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 518048 Guangdong province Futian District Shenzhen City Binhe Road, No. 9023, building 11, 41 layers of the country through the Applicant after: Medium shift information technology Co., Ltd. Address before: 518048 Guangdong, Shenzhen Binhe Road, No. 9023 building, state building, floor, No. 14 Applicant before: China Mobile (Shenzhen) Co., Ltd. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200312 Address after: Room 1006, building 16, yard 16, Yingcai North Third Street, future science city, Changping District, Beijing 100000 Co-patentee after: CHINA MOBILE COMMUNICATIONS GROUP Co.,Ltd. Patentee after: China Mobile Information Technology Co., Ltd Address before: 518048, Guangdong Province, Futian District, Shenzhen Binhe Road, 9023 Tong Building, 11 and 41 Patentee before: Medium shift information technology Co., Ltd. |
|
| TR01 | Transfer of patent right |