CN104954343A - 验证信息处理方法、服务器及系统 - Google Patents
验证信息处理方法、服务器及系统 Download PDFInfo
- Publication number
- CN104954343A CN104954343A CN201410126272.6A CN201410126272A CN104954343A CN 104954343 A CN104954343 A CN 104954343A CN 201410126272 A CN201410126272 A CN 201410126272A CN 104954343 A CN104954343 A CN 104954343A
- Authority
- CN
- China
- Prior art keywords
- user
- client
- identifying code
- server
- behavioural characteristic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Telephonic Communication Services (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明涉及一种验证信息处理方法、服务器及系统,其方法包括:客户端接收用户的访问请求,向服务器发送验证码请求;服务器从验证码请求获取所述客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端提示用户输入验证码信息;客户端获取用户根据提示信息触发的行为特征,并将用户的行为特征上传至服务器;服务器验证用户的行为特征,将验证结果返回给客户端。本发明基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
Description
技术领域
本发明涉及互联网技术领域,尤其涉及一种基于移动终端设备传感器的验证信息处理方法、服务器及系统。
背景技术
在互联网中,以常见的帐号登录为例,用户在输入帐号后,一般需要输入验证码(CAPTCHA,Completely Automated Public Turing test to tellComputers and Humans Apart),验证码主要用来自动化区分计算机和人类,它被绝大多数互联网服务(如论坛、微博等)用来规避安全风险(主要是业务安全方面的风险,如恶意破解密码、刷票、论坛灌水等)。
目前,验证码主要分为两类:文字式验证码和图片式验证码。其中,文字式验证码是采用提问题的形式,让用户输入对应问题的正确答案,一般文字问题式的验证码会在验证码出现的地方给出适当的提示,甚至直接给出问题的答案;对于图片式验证码,则是将随机生成的一串数字或文字,生成一副图片,并在图片中加入干扰因素使之难以被自动机(自动机是指一类在计算机上运行自动识别验证码的软件)识别。
但是,一些互联网恶意用户通过自动机或招募大量码工,仍旧能够达到其破解图片或文字验证码的目的,对互联网服务的安全性造成极大挑战。
此外,用户在使用移动终端设备上网或者使用其他互联网服务需要输入验证码时,由于移动终端设备的键盘较小或触摸屏输入区域较小,输入字符时容易出现按键错误,而且输入特殊字符还需要进行输入法切换等操作,给用户操作带来不便。
发明内容
本发明实施例提供一种方便用户操作且可提高互联网服务安全性的验证信息处理方法、服务器及系统。
本发明实施例提出一种验证信息处理方法,包括:
客户端接收用户的访问请求,根据所述访问请求向服务器发送验证码请求;
所述服务器从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
所述客户端根据所述验证码指令,提示用户输入验证码信息;
所述客户端获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器;
所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端。
本发明实施例还提出一种验证信息处理系统,包括:客户端和与所述客户端通信连接的服务器,其中:
所述客户端,用于接收用户的访问请求,根据所述访问请求向服务器发送验证码请求;
所述服务器,用于从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
所述客户端,还用于根据所述验证码指令,提示用户输入验证码信息;以及获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器;
所述服务器,还用于验证所述用户的行为特征,并将验证结果返回给所述客户端。
本发明实施例还提出一种验证信息处理方法,包括:
服务器在用户请求服务时,接收客户端发送的验证码请求;
从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
验证所述用户的行为特征,并将验证结果返回给所述客户端。
本发明实施例还提出一种验证信息处理服务器,包括:
请求接收模块,用于在用户请求服务时,接收客户端发送的验证码请求;
验证码反馈模块,用于从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
行为特征获取模块,用于接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
验证模块,用于验证所述用户的行为特征,并将验证结果返回给所述客户端。
本发明实施例提出的一种验证信息处理方法、服务器及系统,移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
附图说明
图1是本发明验证信息处理系统较佳实施例的架构示意图;
图2是本发明实施例客户端与服务器的交互流程示意图;
图3是本发明实施例中移动终端上加速度传感器示意图;
图4a是本发明实施例中验证码操作界面示意图;
图4b是本发明实施例中验证码验证结果显示界面示意图;
图5是本发明实施例中一种验证信息处理系统架构实例示意图;
图6是本发明验证信息处理方法第一实施例的流程示意图;
图7是本发明验证信息处理方法第二实施例的流程示意图;
图8是本发明验证信息处理服务器较佳实施例的功能模块示意图;
图9是本发明验证信息处理服务器较佳实施例中验证码反馈模块的结构示意图;
图10是本发明实施例服务器的另一种结构示意图。
为了使本发明的技术方案更加清楚、明了,下面将结合附图作进一步详述。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明实施例的主要解决方案是:移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面方便用户进行验证码输入操作。
如图1所示,本发明较佳实施例提出一种验证信息处理系统,包括:客户端102和与所述客户端102通信连接的服务器101;其中:
所述客户端102,用于接收用户的访问请求,根据所述访问请求向服务器101发送验证码请求;
所述服务器101,用于从所述验证码请求获取所述客户端102的账号资料和设备参数信息,根据所述客户端102的账号资料和设备参数信息,以及预设验证策略,向所述客户端102返回验证码指令;
所述客户端102,还用于根据所述验证码指令,提示用户输入验证码信息;以及获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器101;
所述服务器101,还用于验证所述用户的行为特征,并将验证结果返回给所述客户端102。
具体地,本实施例客户端102可以为PC客户端,也可以为手机、平板电脑等具有行为特征获取功能的移动终端设备,该移动终端设备一般带有物理键盘或虚拟键盘等输入装置,以及显示屏等输出装置,还配备有检测方位、姿势等信息的额外传感器,比如加速度传感器、距离传感器以及摄像头等。本实施例尤其指具有加速度传感器和距离传感器的移动终端设备。
其中,加速度传感器是一种能够测量加速力的电子设备,常用于各种设备或终端中实现姿态检测、运动检测等。
距离传感器是通过发射短的光脉冲,通过测量此光脉冲从发射到被物体反射回来的时间,来计算与物体之间的距离。
由于现有的文字式验证码和图片式验证码易遭到一些互联网恶意用户通过自动机或招募大量码工来对其破解,对互联网服务的安全性造成极大挑战。而且对于移动终端设备,用户在使用移动终端设备上网或者使用其他互联网服务需要输入验证码时,由于移动终端设备的键盘较小或触摸屏输入区域较小,输入字符时容易出现按键错误,而且输入特殊字符还需要进行输入法切换等操作,给用户操作带来不便。本实施例方案为一种基于用户行为动作的验证码设计方案,这种验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面方便用户进行验证码输入操作。本实施例客户端102与服务器101的交互流程如图2所示。
相比传统的验证码设计方案要求用户使用键盘或触摸屏输入正确的数字或者字母,从而通过验证,本实施例方案将用户的某种动作作为特定的“数字”或“字母”,要求用户实现正确的行为动作来通过验证,而用户的行为可以通过移动终端设备上的加速度传感器和距离传感器来获得。
其中,通过加速度传感器可以检测用户手中的移动终端设备的上下颠倒状态,还可以计算出移动终端设备相对于水平面的倾斜角度,由此可以得知用户是否将移动终端设备直立、是否将移动终端设备左右倾斜及是否将移动终端设备前后倾斜等。
因此,通过分析动态加速度,可以分析出移动终端设备移动的方式,检测用户是否在晃动移动终端设备。如图3所示,X轴代表移动终端设备的左右移动,Y轴代表移动终端设备的上下移动,Z轴代表移动终端设备的前后移动,加速度传感器可以分别测量移动终端设备X、Y、Z三个轴上的加速度值,从而知道用户是否将移动终端设备在这三个方向上晃动。
当有物体(比如手)接近移动终端设备时,距离传感器可以测量获得物体与移动终端设备之间的距离。通过对距离的判断,可以知道移动终端设备是否有物体遮挡、物体是在靠近还是在远离、移动终端设备与物体的具体距离。以智能手机接打电话为例,人脸靠近屏幕,距离传感器检测到人脸接近,屏幕灯会熄灭,并自动锁屏;当人脸离开,屏幕灯会自动打开,并且自动解锁。
本实施例正是基于上述加速度传感器和距离传感器的特点,考虑将多样化的用户手势或动作作为验证码的输入进行验证。比如用户晃动一次设备、晃动两次设备、将设备顺时针旋转、用手挡住屏幕等等手势,都可以作为新型验证码的一种输入形式。
具体地,本实施例在移动终端设备上安装有客户端102应用软件。以互联网中常见的帐号登录为例,用户在移动终端设备输入帐号后,系统一般需要用户输入验证码进行验证,以确保互联网服务的安全性。
首先,客户端102接收用户的访问请求,该访问请求可能为正常用户的访问请求,也可能为恶意用户的访问请求。
客户端102接收到用户的访问请求后,根据所述访问请求向服务器101发送验证码请求。该验证码请求包括拉取验证码和校验验证码请求。在该验证码请求中携带有客户端102用户的账号资料和设备参数信息,其中,设备参数信息比如可以是:移动终端设备是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等。
服务器101接收到客户端102上报的验证码请求后,对所述验证码请求进行解析,从所述验证码请求获取所述客户端102的账号资料和设备参数信息。
在服务器101侧,针对不同的移动终端设备,预先根据用户习惯或用户自定义规则等,配置有相应的验证策略。比如,对于某移动终端设备,配置用户的验证码规则为“晃动设备三次”。
服务器101根据解析获取的客户端102用户的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;之后,将所述验证策略结果转义为验证码,比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”等。
服务器101将验证码生成验证码指令返回给客户端102。
客户端102接收到服务器101发来的验证码指令后,将验证码结果显示或播放出现,提示用户输入验证码信息。其验证码操作界面如图4a所示。
用户根据客户端102提示输入验证码信息。如前所述,本实施例方案为一种基于用户行为动作的验证码设计方案,因此,用户输入的验证码信息为用户触发的行为特征,比如晃动手机三下或设定的手势动作。
客户端102通过加速度传感器或距离传感器获取用户的行为特征,并将用户的行为特征上传至所述服务器101。
服务器101获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器101判断用户的行为特征符合用户预设行为规则,则验证通过,否则,验证未通过。
最后,服务器101将验证结果返回给所述客户端102,由客户端102将验证结果提示给用户,其验证结果显示界面如图4b所示。
进一步地,作为另一种实施方式,服务器101在验证用户的行为特征是否通过时,还可以采用如下方案:
首先,服务器101获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器101判断用户的行为特征符合用户预设行为规则时,服务器101还要判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;最后,服务器101将综合上述两种情形得到的验证结果返回给客户端102。
当然,上述服务器101判断用户的行为特征是否符合用户预设行为规则,以及判断用户的行为特征是否符合机器的行为特征的两个步骤可以不分先后执行,即可以同时进行。
本实施例通过上述方案,移动终端设备客户端102接收到用户的访问请求后,向服务器101发送验证码请求;服务器101从所述验证码请求获取客户端102的账号资料和设备参数信息,根据客户端102的账号资料和设备参数信息,以及预设验证策略,向客户端102返回验证码指令;客户端102根据所述验证码指令,提示用户输入验证码信息;客户端102利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器101;服务器101验证用户的行为特征,并将验证结果返回给客户端102。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
需要说明的是,本实施例中服务器101的功能可以根据需要由多个相关服务器101分别实现。比如可以包括:验证码服务器101、策略服务器101、用户手势习惯服务器101和防恶意攻击服务器101,如图5所示。
上述验证码服务器101、策略服务器101、用户手势习惯服务器101和防恶意攻击服务器101的功能如下:
首先,在移动终端设备上安装有客户端102应用软件,客户端102负责接收用户或者码工的访问请求,并向验证码服务拉取和校验验证码。
验证码服务器101负责处理来自客户端102应用软件的拉取验证码和校验验证码请求。
其中,验证码服务器101处理拉取请求包括:接收客户端102应用软件的拉取验证码请求和设备参数,上报设备参数到策略服务器101,获得验证码指令,返回验证码指令给客户端102应用软件。
验证码服务器101处理校验请求包括:校验用户输入的验证码是否正确,并向客户端102应用软件返回校验结果。
策略服务器101上配置有一些规则,根据验证码服务器101上报的客户端102应用软件的设备参数信息以及一些安全策略,返回验证码指令给验证码服务器101。
用户手势习惯服务器101上存储了用户的手势习惯,可鉴定当次的手势验证码是否符合该用户的平时习惯。
防恶意攻击服务器101负责鉴定当次的手势验证码是否为机器行为,防止自动机恶意破解验证码。
基于上述验证码服务器101、策略服务器101、用户手势习惯服务器101和防恶意攻击服务器101,实现基于用户行为特征的验证码设计原理如下:
如图5所示,首先,客户端102上报用户的帐号资料及设备的参数信息(比如是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等)到验证码服务器101。
然后,验证码服务器101上报用户资料及设备的参数信息到策略服务器101。
之后,策略服务器101根据上报的信息计算及判断,返回策略结果到验证码服务器101。比如该策略结果为“用户晃动移动终端设备三次”。
验证码服务器101将策略结果转义为验证码。比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”。验证码服务器101将验证码反馈给客户端102应用软件,由客户端102将验证码显示或播放出来。
用户根据客户端102的验证码的提示,晃动移动终端设备三次。客户端102获取传感器的信息,将用户的行为上传到验证码服务器101。
验证码服务器101将用户的行为记录转发至用户手势习惯服务器101、防恶意攻击服务器101。
用户手势习惯服务器101判定该次用户的行为记录是否符合其平时的行为习惯,并向验证码服务器101返回结果;防恶意攻击服务器101判定该次用户的行为记录是否符合机器的手势特征,并向验证码服务器101返回结果。
最后,验证码服务器101综合判断用户手势习惯服务器101及防恶意攻击服务器101的结果,决定用户的验证是否可以通过。
如图6所示,本发明第一实施例提出一种验证信息处理方法,包括:
步骤S201,客户端接收用户的访问请求,根据所述访问请求向服务器发送验证码请求;
本实施例客户端可以为PC客户端,也可以为手机、平板电脑等具有行为特征获取功能的移动终端设备,该移动终端设备一般带有物理键盘或虚拟键盘等输入装置,以及显示屏等输出装置,还配备有检测方位、姿势等信息的额外传感器,比如加速度传感器、距离传感器以及摄像头等。本实施例尤其指具有加速度传感器和距离传感器的移动终端设备。
其中,加速度传感器是一种能够测量加速力的电子设备,常用于各种设备或终端中实现姿态检测、运动检测等。
距离传感器是通过发射短的光脉冲,通过测量此光脉冲从发射到被物体反射回来的时间,来计算与物体之间的距离。
由于现有的文字式验证码和图片式验证码易遭到一些互联网恶意用户通过自动机或招募大量码工来对其破解,对互联网服务的安全性造成极大挑战。而且对于移动终端设备,用户在使用移动终端设备上网或者使用其他互联网服务需要输入验证码时,由于移动终端设备的键盘较小或触摸屏输入区域较小,输入字符时容易出现按键错误,而且输入特殊字符还需要进行输入法切换等操作,给用户操作带来不便。本实施例方案为一种基于用户行为动作的验证码设计方案,这种验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面方便用户进行验证码输入操作。
相比传统的验证码设计方案要求用户使用键盘或触摸屏输入正确的数字或者字母,从而通过验证,本实施例方案将用户的某种动作作为特定的“数字”或“字母”,要求用户实现正确的行为动作来通过验证,而用户的行为可以通过移动终端设备上的加速度传感器和距离传感器来获得。
其中,通过加速度传感器可以检测用户手中的移动终端设备的上下颠倒状态,还可以计算出移动终端设备相对于水平面的倾斜角度,由此可以得知用户是否将移动终端设备直立、是否将移动终端设备左右倾斜及是否将移动终端设备前后倾斜等。
因此,通过分析动态加速度,可以分析出移动终端设备移动的方式,检测用户是否在晃动移动终端设备。如图3所示,X轴代表移动终端设备的左右移动,Y轴代表移动终端设备的上下移动,Z轴代表移动终端设备的前后移动,加速度传感器可以分别测量移动终端设备X、Y、Z三个轴上的加速度值,从而知道用户是否将移动终端设备在这三个方向上晃动。
当有物体(比如手)接近移动终端设备时,距离传感器可以测量获得物体与移动终端设备之间的距离。通过对距离的判断,可以知道移动终端设备是否有物体遮挡、物体是在靠近还是在远离、移动终端设备与物体的具体距离。以智能手机接打电话为例,人脸靠近屏幕,距离传感器检测到人脸接近,屏幕灯会熄灭,并自动锁屏;当人脸离开,屏幕灯会自动打开,并且自动解锁。
本实施例正是基于上述加速度传感器和距离传感器的特点,考虑将多样化的用户手势或动作作为验证码的输入进行验证。比如用户晃动一次设备、晃动两次设备、将设备顺时针旋转、用手挡住屏幕等等手势,都可以作为新型验证码的一种输入形式。
具体地,本实施例在移动终端设备上安装有客户端应用软件。以互联网中常见的帐号登录为例,用户在移动终端设备输入帐号后,系统一般需要用户输入验证码进行验证,以确保互联网服务的安全性。
首先,客户端接收用户的访问请求,该访问请求可能为正常用户的访问请求,也可能为恶意用户的访问请求。
客户端接收到用户的访问请求后,根据所述访问请求向服务器发送验证码请求。该验证码请求包括拉取验证码和校验验证码请求。在该验证码请求中携带有客户端用户的账号资料和设备参数信息,其中,设备参数信息比如可以是:移动终端设备是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等。
步骤S202,所述服务器从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
服务器接收到客户端上报的验证码请求后,对所述验证码请求进行解析,从所述验证码请求获取所述客户端的账号资料和设备参数信息。
在服务器侧,针对不同的移动终端设备,预先根据用户习惯或用户自定义规则等,配置有相应的验证策略。比如,对于某移动终端设备,配置用户的验证码规则为“晃动设备三次”。
服务器根据解析获取的客户端用户的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;之后,将所述验证策略结果转义为验证码,比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”等。
服务器将验证码生成验证码指令返回给客户端。
步骤S203,所述客户端根据所述验证码指令,提示用户输入验证码信息;
客户端接收到服务器发来的验证码指令后,将验证码结果显示或播放出现,提示用户输入验证码信息。其验证码操作界面如图4a所示。
步骤S204,所述客户端获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器;
用户根据客户端提示输入验证码信息。如前所述,本实施例方案为一种基于用户行为动作的验证码设计方案,因此,用户输入的验证码信息为用户触发的行为特征,比如晃动手机三下或设定的手势动作。
客户端通过加速度传感器或距离传感器获取用户的行为特征,并将用户的行为特征上传至所述服务器。
步骤S205,所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端。
服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则,则验证通过,否则,验证未通过。
最后,服务器将验证结果返回给所述客户端,由客户端将验证结果提示给用户,其验证结果界面如图4b所示。
进一步地,作为另一种实施方式,服务器在验证用户的行为特征是否通过时,还可以采用如下方案:
首先,服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则时,服务器还要判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;最后,服务器将综合上述两种情形得到的验证结果返回给客户端。
当然,上述服务器判断用户的行为特征是否符合用户预设行为规则,以及判断用户的行为特征是否符合机器的行为特征的两个步骤可以不分先后执行,即可以同时进行。
本实施例通过上述方案,移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
需要说明的是,本实施例中服务器的功能可以根据需要由多个相关服务器分别实现。比如可以包括:验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,如图5所示。
上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器的功能如下:
首先,在移动终端设备上安装有客户端应用软件,客户端负责接收用户或者码工的访问请求,并向验证码服务拉取和校验验证码。
验证码服务器负责处理来自客户端应用软件的拉取验证码和校验验证码请求。
其中,验证码服务器处理拉取请求包括:接收客户端应用软件的拉取验证码请求和设备参数,上报设备参数到策略服务器,获得验证码指令,返回验证码指令给客户端应用软件。
验证码服务器处理校验请求包括:校验用户输入的验证码是否正确,并向客户端应用软件返回校验结果。
策略服务器上配置有一些规则,根据验证码服务器上报的客户端应用软件的设备参数信息以及一些安全策略,返回验证码指令给验证码服务器。
用户手势习惯服务器上存储了用户的手势习惯,可鉴定当次的手势验证码是否符合该用户的平时习惯。
防恶意攻击服务器负责鉴定当次的手势验证码是否为机器行为,防止自动机恶意破解验证码。
基于上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,实现基于用户行为特征的验证码设计原理如下:
如图5所示,首先,客户端上报用户的帐号资料及设备的参数信息(比如是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等)到验证码服务器。
然后,验证码服务器上报用户资料及设备的参数信息到策略服务器。
之后,策略服务器根据上报的信息计算及判断,返回策略结果到验证码服务器。比如该策略结果为“用户晃动移动终端设备三次”。
验证码服务器将策略结果转义为验证码。比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”。验证码服务器将验证码反馈给客户端应用软件,由客户端将验证码显示或播放出来。
用户根据客户端的验证码的提示,晃动移动终端设备三次。客户端获取传感器的信息,将用户的行为上传到验证码服务器。
验证码服务器将用户的行为记录转发至用户手势习惯服务器、防恶意攻击服务器。
用户手势习惯服务器判定该次用户的行为记录是否符合其平时的行为习惯,并向验证码服务器返回结果;防恶意攻击服务器判定该次用户的行为记录是否符合机器的手势特征,并向验证码服务器返回结果。
最后,验证码服务器综合判断用户手势习惯服务器及防恶意攻击服务器的结果,决定用户的验证是否可以通过。
如图7所示,本发明第二实施例提出一种验证信息处理方法,包括:
步骤S301,服务器在用户请求服务时,接收客户端发送的验证码请求;
本实施例客户端可以为PC客户端,也可以为手机、平板电脑等具有行为特征获取功能的移动终端设备,该移动终端设备一般带有物理键盘或虚拟键盘等输入装置,以及显示屏等输出装置,还配备有检测方位、姿势等信息的额外传感器,比如加速度传感器、距离传感器以及摄像头等。本实施例尤其指具有加速度传感器和距离传感器的移动终端设备。
其中,加速度传感器是一种能够测量加速力的电子设备,常用于各种设备或终端中实现姿态检测、运动检测等。
距离传感器是通过发射短的光脉冲,通过测量此光脉冲从发射到被物体反射回来的时间,来计算与物体之间的距离。
由于现有的文字式验证码和图片式验证码易遭到一些互联网恶意用户通过自动机或招募大量码工来对其破解,对互联网服务的安全性造成极大挑战。而且对于移动终端设备,用户在使用移动终端设备上网或者使用其他互联网服务需要输入验证码时,由于移动终端设备的键盘较小或触摸屏输入区域较小,输入字符时容易出现按键错误,而且输入特殊字符还需要进行输入法切换等操作,给用户操作带来不便。本实施例方案为一种基于用户行为动作的验证码设计方案,这种验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面方便用户进行验证码输入操作。
相比传统的验证码设计方案要求用户使用键盘或触摸屏输入正确的数字或者字母,从而通过验证,本实施例方案将用户的某种动作作为特定的“数字”或“字母”,要求用户实现正确的行为动作来通过验证,而用户的行为可以通过移动终端设备上的加速度传感器和距离传感器来获得。
其中,通过加速度传感器可以检测用户手中的移动终端设备的上下颠倒状态,还可以计算出移动终端设备相对于水平面的倾斜角度,由此可以得知用户是否将移动终端设备直立、是否将移动终端设备左右倾斜及是否将移动终端设备前后倾斜等。
因此,通过分析动态加速度,可以分析出移动终端设备移动的方式,检测用户是否在晃动移动终端设备。如图3所示,X轴代表移动终端设备的左右移动,Y轴代表移动终端设备的上下移动,Z轴代表移动终端设备的前后移动,加速度传感器可以分别测量移动终端设备X、Y、Z三个轴上的加速度值,从而知道用户是否将移动终端设备在这三个方向上晃动。
当有物体(比如手)接近移动终端设备时,距离传感器可以测量获得物体与移动终端设备之间的距离。通过对距离的判断,可以知道移动终端设备是否有物体遮挡、物体是在靠近还是在远离、移动终端设备与物体的具体距离。以智能手机接打电话为例,人脸靠近屏幕,距离传感器检测到人脸接近,屏幕灯会熄灭,并自动锁屏;当人脸离开,屏幕灯会自动打开,并且自动解锁。
本实施例正是基于上述加速度传感器和距离传感器的特点,考虑将多样化的用户手势或动作作为验证码的输入进行验证。比如用户晃动一次设备、晃动两次设备、将设备顺时针旋转、用手挡住屏幕等等手势,都可以作为新型验证码的一种输入形式。
具体地,本实施例在移动终端设备上安装有客户端应用软件。以互联网中常见的帐号登录为例,用户在移动终端设备输入帐号后,系统一般需要用户输入验证码进行验证,以确保互联网服务的安全性。
首先,客户端接收用户的访问请求,该访问请求可能为正常用户的访问请求,也可能为恶意用户的访问请求。
客户端接收到用户的访问请求后,根据所述访问请求向服务器发送验证码请求。该验证码请求包括拉取验证码和校验验证码请求。在该验证码请求中携带有客户端用户的账号资料和设备参数信息,其中,设备参数信息比如可以是:移动终端设备是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等。
步骤S302,从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
服务器接收到客户端上报的验证码请求后,对所述验证码请求进行解析,从所述验证码请求获取所述客户端的账号资料和设备参数信息。
在服务器侧,针对不同的移动终端设备,预先根据用户习惯或用户自定义规则等,配置有相应的验证策略。比如,对于某移动终端设备,配置用户的验证码规则为“晃动设备三次”。
服务器根据解析获取的客户端用户的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;之后,将所述验证策略结果转义为验证码,比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”等。
服务器将验证码生成验证码指令返回给客户端。
步骤S303,接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
客户端接收到服务器发来的验证码指令后,将验证码结果显示或播放出现,提示用户输入验证码信息。其验证码操作界面如图4a所示。
用户根据客户端提示输入验证码信息。如前所述,本实施例方案为一种基于用户行为动作的验证码设计方案,因此,用户输入的验证码信息为用户触发的行为特征,比如晃动手机三下或设定的手势动作。
客户端通过加速度传感器或距离传感器获取用户的行为特征,并将用户的行为特征上传至所述服务器。
步骤S304,验证所述用户的行为特征,并将验证结果返回给所述客户端。
服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则,则验证通过,否则,验证未通过。
最后,服务器将验证结果返回给所述客户端,由客户端将验证结果提示给用户,其验证结果界面如图4b所示。
进一步地,作为另一种实施方式,服务器在验证用户的行为特征是否通过时,还可以采用如下方案:
首先,服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则时,服务器还要判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;最后,服务器将综合上述两种情形得到的验证结果返回给客户端。
当然,上述服务器判断用户的行为特征是否符合用户预设行为规则,以及判断用户的行为特征是否符合机器的行为特征的两个步骤可以不分先后执行,即可以同时进行。
本实施例通过上述方案,移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
需要说明的是,本实施例中服务器的功能可以根据需要由多个相关服务器分别实现。比如可以包括:验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,如图5所示。
上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器的功能如下:
首先,在移动终端设备上安装有客户端应用软件,客户端负责接收用户或者码工的访问请求,并向验证码服务拉取和校验验证码。
验证码服务器负责处理来自客户端应用软件的拉取验证码和校验验证码请求。
其中,验证码服务器处理拉取请求包括:接收客户端应用软件的拉取验证码请求和设备参数,上报设备参数到策略服务器,获得验证码指令,返回验证码指令给客户端应用软件。
验证码服务器处理校验请求包括:校验用户输入的验证码是否正确,并向客户端应用软件返回校验结果。
策略服务器上配置有一些规则,根据验证码服务器上报的客户端应用软件的设备参数信息以及一些安全策略,返回验证码指令给验证码服务器。
用户手势习惯服务器上存储了用户的手势习惯,可鉴定当次的手势验证码是否符合该用户的平时习惯。
防恶意攻击服务器负责鉴定当次的手势验证码是否为机器行为,防止自动机恶意破解验证码。
基于上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,实现基于用户行为特征的验证码设计原理如下:
如图5所示,首先,客户端上报用户的帐号资料及设备的参数信息(比如是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等)到验证码服务器。
然后,验证码服务器上报用户资料及设备的参数信息到策略服务器。
之后,策略服务器根据上报的信息计算及判断,返回策略结果到验证码服务器。比如该策略结果为“用户晃动移动终端设备三次”。
验证码服务器将策略结果转义为验证码。比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”。验证码服务器将验证码反馈给客户端应用软件,由客户端将验证码显示或播放出来。
用户根据客户端的验证码的提示,晃动移动终端设备三次。客户端获取传感器的信息,将用户的行为上传到验证码服务器。
验证码服务器将用户的行为记录转发至用户手势习惯服务器、防恶意攻击服务器。
用户手势习惯服务器判定该次用户的行为记录是否符合其平时的行为习惯,并向验证码服务器返回结果;防恶意攻击服务器判定该次用户的行为记录是否符合机器的手势特征,并向验证码服务器返回结果。
最后,验证码服务器综合判断用户手势习惯服务器及防恶意攻击服务器的结果,决定用户的验证是否可以通过。
如图8所示,本发明较佳实施例提出一种验证信息处理服务器,包括:请求接收模块401、验证码反馈模块402、行为特征获取模块403以及验证模块404,其中:
请求接收模块401,用于在用户请求服务时,接收客户端发送的验证码请求;
验证码反馈模块402,用于从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
行为特征获取模块403,用于接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
验证模块404,用于验证所述用户的行为特征,并将验证结果返回给所述客户端。
具体地,如图9所示,所述验证码反馈模块402包括:解析单元4021、计算判断单元4022、转义单元4023,其中:
解析单元4021,用于解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;
计算判断单元4022,用于根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;
转义单元4023,用于将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
更为具体地,本实施例客户端可以为PC客户端,也可以为手机、平板电脑等具有行为特征获取功能的移动终端设备,该移动终端设备一般带有物理键盘或虚拟键盘等输入装置,以及显示屏等输出装置,还配备有检测方位、姿势等信息的额外传感器,比如加速度传感器、距离传感器以及摄像头等。本实施例尤其指具有加速度传感器和距离传感器的移动终端设备。
其中,加速度传感器是一种能够测量加速力的电子设备,常用于各种设备或终端中实现姿态检测、运动检测等。
距离传感器是通过发射短的光脉冲,通过测量此光脉冲从发射到被物体反射回来的时间,来计算与物体之间的距离。
由于现有的文字式验证码和图片式验证码易遭到一些互联网恶意用户通过自动机或招募大量码工来对其破解,对互联网服务的安全性造成极大挑战。而且对于移动终端设备,用户在使用移动终端设备上网或者使用其他互联网服务需要输入验证码时,由于移动终端设备的键盘较小或触摸屏输入区域较小,输入字符时容易出现按键错误,而且输入特殊字符还需要进行输入法切换等操作,给用户操作带来不便。本实施例方案为一种基于用户行为动作的验证码设计方案,这种验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面方便用户进行验证码输入操作。
相比传统的验证码设计方案要求用户使用键盘或触摸屏输入正确的数字或者字母,从而通过验证,本实施例方案将用户的某种动作作为特定的“数字”或“字母”,要求用户实现正确的行为动作来通过验证,而用户的行为可以通过移动终端设备上的加速度传感器和距离传感器来获得。
其中,通过加速度传感器可以检测用户手中的移动终端设备的上下颠倒状态,还可以计算出移动终端设备相对于水平面的倾斜角度,由此可以得知用户是否将移动终端设备直立、是否将移动终端设备左右倾斜及是否将移动终端设备前后倾斜等。
因此,通过分析动态加速度,可以分析出移动终端设备移动的方式,检测用户是否在晃动移动终端设备。如图3所示,X轴代表移动终端设备的左右移动,Y轴代表移动终端设备的上下移动,Z轴代表移动终端设备的前后移动,加速度传感器可以分别测量移动终端设备X、Y、Z三个轴上的加速度值,从而知道用户是否将移动终端设备在这三个方向上晃动。
当有物体(比如手)接近移动终端设备时,距离传感器可以测量获得物体与移动终端设备之间的距离。通过对距离的判断,可以知道移动终端设备是否有物体遮挡、物体是在靠近还是在远离、移动终端设备与物体的具体距离。以智能手机接打电话为例,人脸靠近屏幕,距离传感器检测到人脸接近,屏幕灯会熄灭,并自动锁屏;当人脸离开,屏幕灯会自动打开,并且自动解锁。
本实施例正是基于上述加速度传感器和距离传感器的特点,考虑将多样化的用户手势或动作作为验证码的输入进行验证。比如用户晃动一次设备、晃动两次设备、将设备顺时针旋转、用手挡住屏幕等等手势,都可以作为新型验证码的一种输入形式。
具体地,本实施例在移动终端设备上安装有客户端应用软件。以互联网中常见的帐号登录为例,用户在移动终端设备输入帐号后,系统一般需要用户输入验证码进行验证,以确保互联网服务的安全性。
首先,客户端接收用户的访问请求,该访问请求可能为正常用户的访问请求,也可能为恶意用户的访问请求。
客户端接收到用户的访问请求后,根据所述访问请求向服务器发送验证码请求。该验证码请求包括拉取验证码和校验验证码请求。在该验证码请求中携带有客户端用户的账号资料和设备参数信息,其中,设备参数信息比如可以是:移动终端设备是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等。
服务器接收到客户端上报的验证码请求后,对所述验证码请求进行解析,从所述验证码请求获取所述客户端的账号资料和设备参数信息。
在服务器侧,针对不同的移动终端设备,预先根据用户习惯或用户自定义规则等,配置有相应的验证策略。比如,对于某移动终端设备,配置用户的验证码规则为“晃动设备三次”。
服务器根据解析获取的客户端用户的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;之后,将所述验证策略结果转义为验证码,比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”等。
服务器将验证码生成验证码指令返回给客户端。
客户端接收到服务器发来的验证码指令后,将验证码结果显示或播放出现,提示用户输入验证码信息。其验证码操作界面如图4a所示。
用户根据客户端提示输入验证码信息。如前所述,本实施例方案为一种基于用户行为动作的验证码设计方案,因此,用户输入的验证码信息为用户触发的行为特征,比如晃动手机三下或设定的手势动作。
客户端通过加速度传感器或距离传感器获取用户的行为特征,并将用户的行为特征上传至所述服务器。
服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则,则验证通过,否则,验证未通过。
最后,服务器将验证结果返回给所述客户端,由客户端将验证结果提示给用户,其验证结果界面如图4b所示。
进一步地,作为另一种实施方式,服务器在验证用户的行为特征是否通过时,还可以采用如下方案:
首先,服务器获取到用户的行为特征后,根据用户习惯或用户自定义规则,对用户的行为特征进行验证,判断所述用户的行为特征是否符合用户预设行为规则,比如判断当前获取的用户行为特征是否符合用户平时的行为习惯,或者判断当前获取的用户行为特征是否符合用户自定义的规则。
若服务器判断用户的行为特征符合用户预设行为规则时,服务器还要判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;最后,服务器将综合上述两种情形得到的验证结果返回给客户端。
当然,上述服务器判断用户的行为特征是否符合用户预设行为规则,以及判断用户的行为特征是否符合机器的行为特征的两个步骤可以不分先后执行,即可以同时进行。
本实施例通过上述方案,移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
需要说明的是,本实施例中服务器的功能可以根据需要由多个相关服务器分别实现。比如可以包括:验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,如图5所示。
上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器的功能如下:
首先,在移动终端设备上安装有客户端应用软件,客户端负责接收用户或者码工的访问请求,并向验证码服务拉取和校验验证码。
验证码服务器负责处理来自客户端应用软件的拉取验证码和校验验证码请求。
其中,验证码服务器处理拉取请求包括:接收客户端应用软件的拉取验证码请求和设备参数,上报设备参数到策略服务器,获得验证码指令,返回验证码指令给客户端应用软件。
验证码服务器处理校验请求包括:校验用户输入的验证码是否正确,并向客户端应用软件返回校验结果。
策略服务器上配置有一些规则,根据验证码服务器上报的客户端应用软件的设备参数信息以及一些安全策略,返回验证码指令给验证码服务器。
用户手势习惯服务器上存储了用户的手势习惯,可鉴定当次的手势验证码是否符合该用户的平时习惯。
防恶意攻击服务器负责鉴定当次的手势验证码是否为机器行为,防止自动机恶意破解验证码。
基于上述验证码服务器、策略服务器、用户手势习惯服务器和防恶意攻击服务器,实现基于用户行为特征的验证码设计原理如下:
如图5所示,首先,客户端上报用户的帐号资料及设备的参数信息(比如是否有键盘或触控屏幕、是否有加速度传感器、是否有距离传感器等)到验证码服务器。
然后,验证码服务器上报用户资料及设备的参数信息到策略服务器。
之后,策略服务器根据上报的信息计算及判断,返回策略结果到验证码服务器。比如该策略结果为“用户晃动移动终端设备三次”。
验证码服务器将策略结果转义为验证码。比如验证码可以是一幅图片,图片中的文字为“请您晃动手机三下”;或者是一段语音,语音内容为“请您晃动手机三下”。验证码服务器将验证码反馈给客户端应用软件,由客户端将验证码显示或播放出来。
用户根据客户端的验证码的提示,晃动移动终端设备三次。客户端获取传感器的信息,将用户的行为上传到验证码服务器。
验证码服务器将用户的行为记录转发至用户手势习惯服务器、防恶意攻击服务器。
用户手势习惯服务器判定该次用户的行为记录是否符合其平时的行为习惯,并向验证码服务器返回结果;防恶意攻击服务器判定该次用户的行为记录是否符合机器的手势特征,并向验证码服务器返回结果。
最后,验证码服务器综合判断用户手势习惯服务器及防恶意攻击服务器的结果,决定用户的验证是否可以通过。
如图10所示,图10是本发明实施例提出的验证信息处理服务器的另一种结构示意图。
如图10所示,该服务器可以包括:处理器1001,例如CPU,网络接口1004,用户接口1003,存储器1005,通信总线1002。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如WI-FI接口)。存储器1005可以是高速RAM存储器,也可以是非不稳定的存储器(non-volatilememory),例如个磁盘存储器。存储器1005可选的还可以是个位于远离前述处理器1001的存储装置。如图10所示,作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及验证信息处理应用程序。
在图10所示的服务器中,网络接口1004主要用于连接客户端,与客户端进行数据通信;用户接口1003主要用于连接后台管理平台,与后台管理平台进行数据通信;而处理器1001可以用于调用存储器1005中存储的验证信息处理应用程序,并执行以下操作:
通过网络接口1004与客户端进行交互,在用户请求服务时,接收客户端发送的验证码请求;从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;验证所述用户的行为特征,并将验证结果返回给所述客户端。
在一个实施例中,处理器1001调用存储器1005中存储的验证信息处理应用程序可以执行以下操作:
解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
在一个实施例中,处理器1001调用存储器1005中存储的验证信息处理应用程序可以执行以下操作:
判断所述用户的行为特征是否符合用户预设行为规则,若是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
在一个实施例中,处理器1001调用存储器1005中存储的验证信息处理应用程序可以执行以下操作:
当所述服务器判断所述用户的行为特征符合用户预设行为规则时,所述服务器判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
本实施例通过上述方案,移动终端设备客户端接收到用户的访问请求后,向服务器发送验证码请求;服务器从所述验证码请求获取客户端的账号资料和设备参数信息,根据客户端的账号资料和设备参数信息,以及预设验证策略,向客户端返回验证码指令;客户端根据所述验证码指令,提示用户输入验证码信息;客户端利用移动终端设备上的加速度传感器及距离传感器的功能,获取用户根据提示信息触发的行为特征,上传至服务器;服务器验证用户的行为特征,并将验证结果返回给客户端。这种基于用户行为动作的验证码设计方案,一方面可以防止验证码被自动机及码工大量破解的问题,另一方面向用户提供了一种方便及具有个性化特点的验证码输入方式。
还需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或流程变换,或直接或间接运用在其它相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (18)
1.一种验证信息处理方法,其特征在于,包括:
客户端接收用户的访问请求,根据所述访问请求向服务器发送验证码请求;
所述服务器从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
所述客户端根据所述验证码指令,提示用户输入验证码信息;
所述客户端获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器;
所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端。
2.根据权利要求1所述的方法,其特征在于,所述服务器从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令的步骤包括:
所述服务器解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;
根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;
将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
3.根据权利要求1所述的方法,其特征在于,所述客户端获取用户根据提示信息触发的行为特征的步骤包括:
所述客户端通过加速度传感器和/或距离传感器获取用户的行为特征。
4.根据权利要求1、2或3所述的方法,其特征在于,所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端的步骤包括:
所述服务器判断所述用户的行为特征是否符合用户预设行为规则,若是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
5.根据权利要求4所述的方法,其特征在于,所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端的步骤进一步还包括:
当所述服务器判断所述用户的行为特征符合用户预设行为规则时,所述服务器判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
6.一种验证信息处理系统,其特征在于,包括:客户端和与所述客户端通信连接的服务器,其中:
所述客户端,用于接收用户的访问请求,根据所述访问请求向服务器发送验证码请求;
所述服务器,用于从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
所述客户端,还用于根据所述验证码指令,提示用户输入验证码信息;以及获取用户根据提示信息触发的行为特征,并将所述用户的行为特征上传至所述服务器;
所述服务器,还用于验证所述用户的行为特征,并将验证结果返回给所述客户端。
7.根据权利要求6所述的系统,其特征在于,
所述服务器,还用于解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
8.根据权利要求6所述的系统,其特征在于,
所述客户端,还用于通过加速度传感器和/或距离传感器获取用户的行为特征。
9.根据权利要求6、7或8所述的系统,其特征在于,
所述服务器,还用于判断所述用户的行为特征是否符合用户预设行为规则,若是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
10.根据权利要求9所述的系统,其特征在于,
所述服务器,还用于当判断所述用户的行为特征符合用户预设行为规则时,判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
11.一种验证信息处理方法,其特征在于,包括:
服务器在用户请求服务时,接收客户端发送的验证码请求;
从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
验证所述用户的行为特征,并将验证结果返回给所述客户端。
12.根据权利要求11所述的方法,其特征在于,所述服务器从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令的步骤包括:
所述服务器解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;
根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;
将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
13.根据权利要求11或12所述的方法,其特征在于,所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端的步骤包括:
所述服务器判断所述用户的行为特征是否符合用户预设行为规则,若是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
14.根据权利要求13所述的方法,其特征在于,所述服务器验证所述用户的行为特征,并将验证结果返回给所述客户端的步骤进一步还包括:
当所述服务器判断所述用户的行为特征符合用户预设行为规则时,所述服务器判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
15.一种验证信息处理服务器,其特征在于,包括:
请求接收模块,用于在用户请求服务时,接收客户端发送的验证码请求;
验证码反馈模块,用于从所述验证码请求获取所述客户端的账号资料和设备参数信息,根据所述客户端的账号资料和设备参数信息,以及预设验证策略,向所述客户端返回验证码指令;
行为特征获取模块,用于接收所述客户端根据所述验证码指令,提示用户输入验证码信息后获取并上传的用户的行为特征;
验证模块,用于验证所述用户的行为特征,并将验证结果返回给所述客户端。
16.根据权利要求15所述的服务器,其特征在于,所述验证码反馈模块包括:
解析单元,用于解析所述验证码请求,从所述验证码请求获取所述客户端的账号资料和设备参数信息;
计算判断单元,用于根据所述客户端的账号资料和设备参数信息以及预设验证策略,进行计算和判断,获取验证策略结果;
转义单元,用于将所述验证策略结果转义为验证码,并生成验证码指令返回给客户端。
17.根据权利要求15或16所述的服务器,其特征在于,
所述验证模块,还用于判断所述用户的行为特征是否符合用户预设行为规则,若是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
18.根据权利要求17所述的服务器,其特征在于,
所述验证模块,还用于当判断所述用户的行为特征符合用户预设行为规则时,判断所述用户的行为特征是否符合机器的行为特征,若不是,则验证通过,否则,验证未通过;并将验证结果返回给所述客户端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410126272.6A CN104954343B (zh) | 2014-03-31 | 2014-03-31 | 验证信息处理方法、服务器及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410126272.6A CN104954343B (zh) | 2014-03-31 | 2014-03-31 | 验证信息处理方法、服务器及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104954343A true CN104954343A (zh) | 2015-09-30 |
| CN104954343B CN104954343B (zh) | 2018-04-17 |
Family
ID=54168703
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410126272.6A Active CN104954343B (zh) | 2014-03-31 | 2014-03-31 | 验证信息处理方法、服务器及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104954343B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101125A (zh) * | 2016-07-01 | 2016-11-09 | 龙官波 | 验证处理方法、装置及系统 |
| CN106845209A (zh) * | 2017-02-20 | 2017-06-13 | 百度在线网络技术(北京)有限公司 | 安全验证方法和装置 |
| CN107342995A (zh) * | 2017-07-03 | 2017-11-10 | 深圳市全民合伙人科技有限公司 | 一种用户信息处理方法及系统 |
| CN110046647A (zh) * | 2019-03-08 | 2019-07-23 | 同盾控股有限公司 | 一种验证码机器行为识别方法及装置 |
| CN111177668A (zh) * | 2019-11-21 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种基于移动设备传感器的人机交互验证方法 |
| CN111556024A (zh) * | 2020-03-31 | 2020-08-18 | 中国航天系统科学与工程研究院 | 一种反向接入控制系统及方法 |
| CN112380510A (zh) * | 2020-11-20 | 2021-02-19 | 北京百度网讯科技有限公司 | 信息验证方法、装置、电子设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1522431A (zh) * | 2001-12-12 | 2004-08-18 | �Ҵ���˾ | 使用行为模型来进行无干扰的说话者验证的方法和系统 |
| CN102255913A (zh) * | 2011-07-14 | 2011-11-23 | 北京百度网讯科技有限公司 | 一种用于基于验证安全等级提供语音验证码的方法与设备 |
| CN102594811A (zh) * | 2012-01-15 | 2012-07-18 | 青岛印象派信息技术有限公司 | 视频验证码云技术 |
| CN103685195A (zh) * | 2012-09-21 | 2014-03-26 | 华为技术有限公司 | 用户验证处理方法、用户设备和服务器 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8528049B1 (en) * | 2010-12-21 | 2013-09-03 | Emc Corporation | Techniques of providing authentication from computer pointer interactions |
-
2014
- 2014-03-31 CN CN201410126272.6A patent/CN104954343B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1522431A (zh) * | 2001-12-12 | 2004-08-18 | �Ҵ���˾ | 使用行为模型来进行无干扰的说话者验证的方法和系统 |
| CN102255913A (zh) * | 2011-07-14 | 2011-11-23 | 北京百度网讯科技有限公司 | 一种用于基于验证安全等级提供语音验证码的方法与设备 |
| CN102594811A (zh) * | 2012-01-15 | 2012-07-18 | 青岛印象派信息技术有限公司 | 视频验证码云技术 |
| CN103685195A (zh) * | 2012-09-21 | 2014-03-26 | 华为技术有限公司 | 用户验证处理方法、用户设备和服务器 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106101125A (zh) * | 2016-07-01 | 2016-11-09 | 龙官波 | 验证处理方法、装置及系统 |
| CN106845209A (zh) * | 2017-02-20 | 2017-06-13 | 百度在线网络技术(北京)有限公司 | 安全验证方法和装置 |
| CN107342995A (zh) * | 2017-07-03 | 2017-11-10 | 深圳市全民合伙人科技有限公司 | 一种用户信息处理方法及系统 |
| CN110046647A (zh) * | 2019-03-08 | 2019-07-23 | 同盾控股有限公司 | 一种验证码机器行为识别方法及装置 |
| CN111177668A (zh) * | 2019-11-21 | 2020-05-19 | 武汉极意网络科技有限公司 | 一种基于移动设备传感器的人机交互验证方法 |
| CN111556024A (zh) * | 2020-03-31 | 2020-08-18 | 中国航天系统科学与工程研究院 | 一种反向接入控制系统及方法 |
| CN111556024B (zh) * | 2020-03-31 | 2022-07-05 | 中国航天系统科学与工程研究院 | 一种反向接入控制系统及方法 |
| CN112380510A (zh) * | 2020-11-20 | 2021-02-19 | 北京百度网讯科技有限公司 | 信息验证方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104954343B (zh) | 2018-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104954343A (zh) | 验证信息处理方法、服务器及系统 | |
| CN104092542B (zh) | 一种账号登录方法、装置及系统 | |
| CN107689936B (zh) | 登录账户的安全性验证系统、方法及装置 | |
| CN104902028B (zh) | 一种一键登录认证方法、装置及系统 | |
| CN108183924A (zh) | 一种登录验证方法及终端设备 | |
| KR101569753B1 (ko) | 보안 로그인 시스템, 방법 및 장치 | |
| KR102167602B1 (ko) | 신뢰된 단말기 검증 방법 및 장치 | |
| CN106656944B (zh) | 手持移动设备滑动验证的方法及装置 | |
| CN104348612A (zh) | 一种基于移动终端的第三方网站登录方法和移动终端 | |
| CN104901924B (zh) | 一种互联网账号的验证方法及装置 | |
| CN104348809A (zh) | 网络安全监控方法及系统 | |
| CN106453205A (zh) | 一种身份验证方法和装置 | |
| CN109376078A (zh) | 移动应用的测试方法、终端设备及介质 | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| CN107979467A (zh) | 验证方法及装置 | |
| US10192042B2 (en) | User verifying method, terminal device, server and storage medium | |
| CN107040518A (zh) | 一种私有云服务器登录方法及系统 | |
| CN104348617A (zh) | 验证码处理方法、装置、终端及服务器 | |
| CN103312664A (zh) | 表单验证方法、装置和系统 | |
| CN104954131A (zh) | 验证码的验证方法和系统 | |
| CN105577633A (zh) | 一种验证方法及终端 | |
| US10579781B2 (en) | Authentication apparatus, method, system and program, and server apparatus | |
| CN110324344A (zh) | 账号信息认证的方法及装置 | |
| CN107580002B (zh) | 双因子认证安全管理机登录系统及方法 | |
| CN103176987A (zh) | 一种数据库访问控制方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20190807 Address after: 518000 Nanshan District science and technology zone, Guangdong, Zhejiang Province, science and technology in the Tencent Building on the 1st floor of the 35 layer Co-patentee after: Tencent cloud computing (Beijing) limited liability company Patentee after: Tencent Technology (Shenzhen) Co., Ltd. Address before: Shenzhen Futian District City, Guangdong province 518044 Zhenxing Road, SEG Science Park 2 East Room 403 Patentee before: Tencent Technology (Shenzhen) Co., Ltd. |