一种身份验证方法和装置的制造方法
【技术领域】
[0001]本发明涉及计算机技术领域,特别涉及一种身份验证方法和装置。
【背景技术】
[0002]验证方法分为强弱两类,较强的验证如账户+密码类的验证,是为了验证用户身份。另外较弱的验证有时是为了避免恶意用户,例如外挂用户,或者恶意刷屏用户等,例如:使用验证码,是互联网行业的服务中普遍使用的,用于对抗自动机的一种附加校验手段。其主要应用于帐号注册、帐号登录、论坛发帖、微博发言等等场景。
[0003]自动机是使用各种图像算法,自动识别验证码图片的计算机程序。人工打码,是利用人工大量输入验证码的意思。由于验证码图像生成技术无论成本和难度都要远远低于图像解码识别技术,最后解码技术从自动化逐渐转变成使用人工,即雇佣人去解码,而不是研发新的自动机。相应的,专门从事打码的工作人员,称为码工。
[0004]目前恶意用户主要有两种方式来通过验证码的校验:
[0005]I)自动机。由于自动机开发门槛较高、识别率低、且具有针对性(自动机大多是定制化,只能识别某些特定的验证码),加之互联网公司不断改善优化验证码形式,此种方式使用得越来越少。
[0006]2)人工打码。传统的验证码,是一种所见即所得形式的图片,不管是谁,都只要按照图片上的字母/数字填写即可通过。因此码工可以轻易、稳定、高通过率的提交验证码答案。此方式逐渐成为主流。
[0007]传统的验证码需要用户通过键盘手动输入图片上的字符来校验。这种方式移植到手机终端,体验较不友好,对于正常用户而言容易操作错误,有效率低;而在安全系数上也不高,不仅而且容易出现图片被自动机暴力破解的情况,而且很轻易的被码工绕过。
【发明内容】
[0008]本发明实施例提供了一种身份验证方法和装置,用于在保证验证效果的前提下,提升友好度和安全性。
[0009]一种身份验证方法,包括:
[0010]依据预定的规则确定是否需要对用户进行身份验证;
[0011]若确定需要对用户进行身份验证,则向用户发出交互式验证任务;
[0012]接收用户对所述交互式验证任务的操作,若用户完成并通过所述交互式验证任务,则确认验证通过。
[0013]一种身份验证装置,包括:
[0014]规则确定单元,用于依据预定的规则确定是否需要对用户进行身份验证;
[0015]任务发送单元,用于若所述规则确定单元确定需要对用户进行身份验证,则向用户发出交互式验证任务;
[0016]操作接收单元,用于接收用户对所述交互式验证任务的操作;
[0017]验证单元,用于依若依据所述操作接收单元接收的操作确认用户完成并通过所述交互式验证任务,则确认验证通过。
[0018]从以上技术方案可以看出,本发明实施例具有以下优点:本发明实施例将交互式验证任务引入到对抗自动机和码工的过程中。让用户通过触摸完成简单游戏,即可通过验证。比起验证码的方式而言,不存在图片暴力破解的情况,而码工群体的效率也会大大降低。因此在确保安全性的基础上,体验更人性化,验证也更加便利有效。因此,本发明实施例方案,既保证了验证效果,又提升了友好度和安全性。
【附图说明】
[0019]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0020]图1为本发明实施例方法流程示意图;
[0021]图2为本发明实施例身份验证装置结构示意图;
[0022]图3为本发明实施例身份验证装置结构示意图;
[0023]图4为本发明实施例设备结构示意图;
[0024]图5为本发明实施例终端结构示意图。
【具体实施方式】
[0025]为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0026]本发明实施例提供了一种身份验证方法,如图1所示,包括:
[0027]101:依据预定的规则确定是否需要对用户进行身份验证;
[0028]上述预定的规则是用来确定是否需要进行身份验证的依据,本领域技术人员可以理解的是,基于不同的应用场景以及不同的应用需求是可以使用不同的规则来确定是否需要进行身份验证的,本发明实施例还提供了几个举例,具体如下:可选地,上述确定需要对用户进行身份验证包括:若用户登录过程中,或者,若用户操作频率达到预定值,或者,若用户操作符合预置规律,确定需要对用户进行身份认证。
[0029]本实施例中,用户登录过程中,使用身份验证可以防止类似于使用脚本、外挂等的批量登录等场景,来排除非用户的自动化登录行为。用户操作频率达到预定值,这是由于人的操作频率一般来说是速度是有限的,而对于外挂等自动软件来说,操作速度可以达到非常快,因此可以使用阈值来排除。用户操作的频率可以是一个经验值,也可以是基于上述通常的操作频率来动态确定的,对此本发明实施例不予限定。用户操作符合预置规律,也是用来排除自动化程序的,一般来说用户在使用软件或者各种应用的过程中,其操作会带有随机性的特征,而自动化程序则常常会具有明显的规律性,例如时间规律性,操作顺序规律性等,因此可以使用预置的规律对此类情况下的自动化程序进行排除。基于以上三个场景的需求,可以确定需要进行身份验证。本领域技术人员可以理解的是,基于不同的应用场景以及不同的应用需求是可以使用不同的规则来确定是否需要进行身份验证的,因此以上举例不应理解为对本发明实施例的限定。
[0030]进一步地,本发明实施例还在确定是否需要对用户进行身份验证之前增加了执行该步骤的前置条件,以减少不必要的交互式验证任务的发布,可选方案如下:在依据预定的规则确定是否需要对用户进行身份验证之前,还包括:
[0031]判断上述用户是否为权限管理列表中的白名单对象,若上述用户为白名单对象,则依据预定的规则确定是否需要对用户进行身份验证。
[0032]本发明实施例中为了进一步实现对验证的权限进行控制,在在依据预定的规则确定是否需要对用户进行身份验证之前,还需要判断发起访问请求的用户是否为权限管理列表中的白名单对象,若用户是白名单对象则向该用户发送交互式验证任务,若用户不是白名单对象则可以不再依据预定的规则确定是否需要对用户进行身份验证,以及发送交互式验证任务的步骤,直接拒绝用户的访问请求。其中权限管理列表中记录有允许请求访问网络资源的特定对象,白名单对象中的用户会优先被授予权限,只有白名单对象中的用户发起访问请求后才会接收到交互式验证任务。可以是:判断用户是否具有对应操作权限的用户群组。例如,QQ (—种即时通信软件)空间的主人可以设置分组好友中的“我的好友”、“发小”、“学长”为白名单对象中的用户,则若发起访问请求的用户不在主人的“我的好友”、“发小”、“学长”等白名单对象中,则不会向该用户发送交互式验证任务,直接拒绝该用户的访问请求,只有经过白名单对象审核的用户才能接收到交互式验证任务。
[0033]可见,本发明实施例中通过白名单对象的验证和交互式验证任务的执行完成作为是否授予用户访问权限的依据,不是白名单对象中的用户被拒绝访问,只有经过白名单审核的用户才能接收到交互式验证任务,只有同时通过白名单对象的验证和交互式验证任务的用户才能被认为验证通过,在可以保证网络资源的安全性前提下,可以对用户的访问带来趣味性,使得用户在被授予权限的过程中更有兴趣的等待验证,满足了用户的好奇心理,如果用户能够成功执行交互式验证任务就能够被授予权限,可以使用户更积极的参与网络资源的访问,提高用户的使用体验。
[0034]102:若确定需要对用户进行身份验证,则向用户发出交互式验证任务;
[0035]本发明实施例给出了交互式任务的几个举例,具体如下:上述交互式验证任务包括:拼图任务、扫雷任务、翻扑克任务、摇骰子任务、猜拳任务、弹钢琴任务、猜表情任务、推箱子任务中的任意一项。
[0036]以上举例说明只是可以给用户带来趣味性的任务设置方式的几种实现方式,根据本申请实施例的启示,还可以设置其它类型的交互式验证任务,此处不再穷举。以上通过对交互式验证任务的多种举例说明可知,使用交互式任务,这对于用户来说并不是单纯的等待验证授予权限,而对于用户来说通过执行交互式验证任务具有一定的趣味性,能够满足用户的好奇心理,能够更好的适应于用户的需要,提高用户的使用体验。
[0037]在本发明实施例中,在确认需要对用户身份进行验证时,可以采用交互式验证任务的加密方式,以实现对用户的权限控制。例如:在接收到用户发起的访问请求之后,可以根据上述用户发起的访问请求向该用户发送交互式验证任务,具体的,可以向用户所操作的终端来发送交互式验证任务,用户操作的终端在接收到该交互式验证任务后可以在终端屏幕上向用户显示该交互式验证