CN112364332B - 一种基于语义转换的安全图形验证码的实现方法 - Google Patents

Abstract

本发明公开了一种基于语义转换的安全图形验证码的实现方法，包括建立安全验证码语义转换矩阵的方法、基于语义转换的安全验证码使用方法以及对验证码平台安全进行增强的方法；本发明并非通过增加验证码的复杂度来增强验证码的可靠性，对用户友好，在没有大幅增加人工识别点选难度的同时，显著提高了机器识别、解析的难度，提高了图形验证码的安全性，针对验证码平台的安全进行了增强，有效降低了通过穷举方式进行破解的可能性。

Description

一种基于语义转换的安全图形验证码的实现方法

技术领域

本发明涉及安全验证码实现技术领域，具体涉及一种基于语义转换的安全图形验证码的实现方法。

背景技术

全自动区分计算机和人类的图灵测试(Completely Automated Public Turingtest to tell Computers and Humans Apart，简称CAPTCHA)，俗称验证码，是一种区分用户是计算机还是人的公共全自动程序_。通过使用验证码辨别登录操作是人还是机器人，能有效降低破解密码、批量注册用户、批量投放广告、发送垃圾邮件等恶意行为的通过率。

尽管目前已经有诸多可替代的用户身份验证方案，比如人脸认证、指纹认证和虹膜认证等，但是这些认证存在可部署性差、不可撤销且存在隐私泄露等风险。图形验证码由于便于辨识、操作简单、易于推广、维护成本低，仍然是一种被广泛使用的认证方式。

目前比较常见的验证码包括输入式验证码、滑动式验证码、点选式的图形验证码等。为了提升验证码的安全性，通常采用对文本进行变形、在图片中增加干扰项、增加图形的复杂性等技术手段。但是，验证码复杂度的提高，给真正的业务系统使用者也带来了不便。使用者往往出现辨别失误，验证环节耗时增加，业务系统的使用友好度降低。

相比较而言，点选式的图文验证码较前两者安全性更高，目前使用更为普遍。现有的点选式验证码通常要求用户根据提示文字，在验证码图片中寻找匹配内部按照顺序进行点选，发生漏点、错点或者顺序错误均会导致验证失败。随着图像识别、模式匹配、机器学习等新技术的发展，计算机有可能完成文字信息的识别，进而完成验证码的破解。

发明内容

针对现有技术存在的问题，本发明提供一种基于语义转换的点选式安全图形验证码的实现方法，如果图像验证码的提示内容(源信息)和点选内容(目标信息)不一致，人可以借助语义转换提示信息，通过理解语义，快速实现源与目标的匹配，完成点选操作；而计算机即使能识别出相关文字，也无法快速完成语义转换、无法完成源与目标的关联，也就无法完成点选操作。

为了达到上述目的，本发明采用如下技术方案：

一种基于语义转换的安全图形验证码的实现方法，包括建立安全验证码语义转换矩阵的方法、基于语义转换的安全验证码使用方法以及对验证码平台安全进行增强的方法；

所述建立安全验证码语义转换矩阵的方法，具体如下：

步骤1、建立验证码源表S_T；

验证码源表S_T用于存储大量的图形验证码M_i；

1)因为要便于用户识别并进行语义转换，所以验证码源表S_T中的图形验证码M_i内容以常用的字、词语或短句为主，避免采用生僻词语、生僻短句；

2)图形验证码M_i按照包含字数长度依次排列，长度约定为：M₁≤M₂≤M₃...≤M_n；

3)记录图形验证码M_i的类型即词性，便于进行分类检索。

步骤2、建立语义转换规则表R_n

序号	语义转换方式	符号表示	语义表述
				1	同义	R<sub>1</sub>	相同
2	反义	R<sub>2</sub>	相反
				3	上义	R<sub>3</sub>	包含
4	下义	R<sub>4</sub>	被包含
				5	总分	R<sub>5</sub>	组成
6	同属异类	R<sub>6</sub>	同类
				...	...	...	...
N	扩展规则	R<sub>n</sub>	...

其中，语义转换规则决定了源验证码和目标验证码的转换关联方式；语义转换的复杂度约定为：R₁≤R₂≤R₃...≤R_n。

步骤3、建立语义转换矩阵T_m

其中，M’_mn0～M’_mnn是基于语义转换规则表R_n对应源验证码M_m生成的目标验证码数组。

所述基于语义转换的安全验证码使用方法，具体如下：

步骤1、业务客户端请求连接，客户端的验证码插件向验证码平台发起一个连接请求；

步骤2、验证码平台响应并创建一个新的SessionID，根据随机选择算法A_r从验证码源表S_T中任意读取一个图形验证码M_i；同时，根据语义转换规则R_i选中M’_in0～M’_inn数组,再根据随机选择算法A_r选择其中一个元素M’_i。同时根据随机选择算法A_r选出与M_i类型不同的M_j对应M’_jn0～M’_jnn数组中的干扰项M’_j,由于M_i和M_j类型不同，确保M’_i与M’_j不会出现语义混淆。生成验证码元组{M_i，R_i，M’_i，M’_j}；

步骤3、验证码平台将验证码元组{M_i，R_i，M’_i，M’_j}合成验证码图片C_i，记录M’_i的位置信息L_i；

步骤4、验证码平台将验证码图片C_i和SessionID一并返回给客户端；

步骤5、客户端的验证码插件显示验证码图片C_i，用户通过语义转换规则R_i的提示信息在图片中找到M’_i，点击选择后将位置信息序列化并加密后得到二进制的验证信息S_i；

步骤6、客户端将用户名U_i、密码信息P_i发送至业务服务器，将{S_i，SessionID}发送至验证码平台；

步骤7、验证码平台解密二进制的验证信息S_i后与位置信息L_i进行比对，将比对结果返回给业务服务器进行后续的处理；

步骤8、业务服务器返回最终的登录结果给客户端。

所述对验证码平台安全进行增强的方法，具体如下：

步骤1、验证码平台设定连续验证错误次数上限E_max；

步骤2、验证码平台记录连续验证错误次数E_i，如果E_i≥E_max，选择长度更长的验证码M_i+1或选择复杂度更高的语义转换规则R_i+1，并记录客户端IP指纹信息；

步骤3、定期更新语义转换矩阵T_m内容，降低机器穷举破解的可能性。

总体而言，本发明所提供的技术方案与现有技术相比，具有以下优点：

1)不是通过增加验证码的复杂度来增强验证码的可靠性，对用户友好。

2)在没有大幅增加人工识别点选难度的同时，显著提高了机器识别、解析的难度，提高了图形验证码的安全性。

3)针对验证码平台的安全进行了增强，有效降低了通过穷举方式进行破解的可能性。

附图说明

图1为本发明提供的建立安全验证码语义转换矩阵的流程图。

图2为本发明提供的基于语义转换的安全验证码使用方法流程图。

图3为本发明提供的对验证码平台进行安全增强策略流程图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明提供了一种基于语义转换的安全图形验证码的实现方法，主要包括建立安全验证码语义转换矩阵的方法、基于语义转换的安全验证码使用方法以及对验证码平台安全进行增强的方法。

如图1所示，建立安全验证码语义转换矩阵方法如下：

S11、建立验证码源表S_T；

验证码源表S_T用于存储大量的图形验证码M_i；

1)因为要便于用户识别并进行语义转换，所以验证码源表S_T中的图形验证码M_i内容以常用的字、词语或短句为主，避免采用生僻词语、生僻短句；

2)图形验证码M_i按照包含字数长度依次排列，长度约定为：M₁≤M₂≤M₃...≤M_n；

3)记录图形验证码M_i的类型(名词、动词、形容词、副词等)，便于进行分类检索。

S12、建立语义转换规则表R_n

序号	语义转换方式	符号表示	语义表述
				1	同义	R<sub>1</sub>	相同
2	反义	R<sub>2</sub>	相反
				3	上义	R<sub>3</sub>	包含
4	下义	R<sub>4</sub>	被包含
				5	总分	R<sub>5</sub>	组成
6	同属异类	R<sub>6</sub>	同类
				...	...	...	...
N	扩展规则	R<sub>n</sub>	...

其中，语义转换规则决定了源验证码和目标验证码的转换关联方式；语义转换的复杂度约定为：R₁≤R₂≤R₃...≤R_n。

S13、建立语义转换矩阵T_m

其中，M’_mn0～M’_mnn是基于语义转换规则表R_n对应源验证码M_m生成的目标验证码数组。

如图2所示，所述基于语义转换的安全验证码使用方法包括以下实施步骤：

S21、业务客户端请求连接，客户端的验证码插件向验证码平台发起一个连接请求；

S22、验证码平台响应并创建一个新的SessionID，根据随机选择算法A_r从验证码源表S_T中任意读取一个图形验证码M_i；同时，根据语义转换规则R_i选中M’_in0～M’_inn数组,再根据随机选择算法A_r选择其中一个元素M’_i。同时根据随机选择算法A_r选出与M_i类型不同的M_j对应M’_jn0～M’_jnn数组中的干扰项M’_j,由于M_i和M_j类型不同，确保M’_i与M’_j不会出现语义混淆。生成验证码元组{M_i，R_i，M’_i，M’_j}；

S23、验证码平台将验证码元组{M_i，R_i，M’_i，M’_j}合成验证码图片C_i，记录M’_i的位置信息L_i；

S24、验证码平台将验证码图片C_i和SessionID一并返回给客户端；

S25、客户端的验证码插件显示验证码图片C_i，用户通过语义转换规则R_i的提示信息在图片中找到M’_i，点击选择后将位置信息序列化并加密后得到二进制的验证信息S_i；

S26、客户端将用户名U_i、密码信息P_i发送至业务服务器，将{S_i，SessionID}发送至验证码平台；

S27、验证码平台解密二进制的验证信息S_i后与位置信息L_i进行比对，将比对结果返回给业务服务器进行后续的处理；

S28、业务服务器返回最终的登录结果给客户端。

如图3所示，对验证码平台安全进行增强的方法包括如下步骤：

S31，验证码平台设定连续验证错误次数上限E_max；

S32，验证码平台记录连续验证错误次数E_i，如果E_i≥E_max，选择长度更长的验证码M_i+1或选择复杂度更高的语义转换规则R_i+1，并记录客户端IP指纹信息；

S33，定期更新语义转换矩阵T_m内容，降低机器穷举破解的可能性。

Claims (1)

1.一种基于语义转换的安全图形验证码的实现方法，其特征在于：包括建立安全验证码语义转换矩阵的方法、基于语义转换的安全验证码使用方法以及对验证码平台安全进行增强的方法；

所述建立安全验证码语义转换矩阵的方法，具体如下：

步骤1、建立验证码源表S_T；

验证码源表S_T用于存储大量的图形验证码M_i；

1)因为要便于用户识别并进行语义转换，所以验证码源表S_T中的图形验证码M_i内容以常用的字、词语或短句为主，避免采用生僻词语、生僻短句；

2)图形验证码M_i按照包含字数长度依次排列，长度约定为：M₀≤M₁≤M₂...≤M_m；

3)记录图形验证码M_i的类型即词性，便于进行分类检索；

步骤2、建立语义转换规则表

其中，语义转换规则决定了源验证码和目标验证码的转换关联方式；语义转换的复杂度约定为：R₁≤R₂≤R₃...≤R_n；

步骤3、建立语义转换矩阵T_m

其中，M’_mn0～M’_mnn是基于语义转换规则R_n对源验证码M_m生成的目标验证码数组；

所述基于语义转换的安全验证码使用方法，具体如下：

步骤1、业务客户端请求连接，客户端的验证码插件向验证码平台发起一个连接请求；

步骤2、验证码平台响应并创建一个新的SessionID，根据随机选择算法A_r从验证码源表S_T中任意读取一个图形验证码M_i；同时，根据语义转换规则R_i选中M’_ii0～M’_iin数组,再根据随机选择算法A_r选择其中一个元素M’_i,，同时根据随机选择算法A_r选出与M_i类型不同的M_j对应M’_ji0～M’_jin数组中的干扰项M’_j,由于M_i和M_j类型不同，确保M’_i与M’_j不会出现语义混淆，生成验证码元组{M_i，R_i，M’_i，M’_j}；

步骤3、验证码平台将验证码元组{M_i，R_i，M’_i，M’_j}合成验证码图片C_i，记录M’_i的位置信息L_i；

步骤4、验证码平台将验证码图片C_i和SessionID一并返回给客户端；

步骤5、客户端的验证码插件显示验证码图片C_i，用户通过语义转换规则R_i的提示信息在图片中找到M’_i，点击选择后将位置信息序列化并加密后得到二进制的验证信息S_i；

步骤6、客户端将用户名U_i、密码信息P_i发送至业务服务器，将{S_i，SessionID}发送至验证码平台；

步骤7、验证码平台解密二进制的验证信息S_i后与位置信息L_i进行比对，将比对结果返回给业务服务器进行后续的处理；

步骤8、业务服务器返回最终的登录结果给客户端；

所述对验证码平台安全进行增强的方法，具体如下：

步骤1、验证码平台设定连续验证错误次数上限E_max；

步骤2、验证码平台记录连续验证错误次数E_i，如果E_i≥E_max，选择长度更长的验证码M_i+1或选择复杂度更高的语义转换规则R_i+1，并记录客户端IP指纹信息；

步骤3、定期更新语义转换矩阵T_m内容，降低机器穷举破解的可能性。

Images