一种验证方法、服务器,及系统的制作方法
【技术领域】
[0001]本发明涉及通信技术领域,特别涉及一种验证方法、服务器,及系统。
【背景技术】
[0002]全自动区分计算机和人类的图灵测试(Completely Automated Public Turingtest to tell Computers and Humans Apart, CAPTCHA),也称为验证码,是一种区分用户是计算机和人的公共全自动程序。在CAPTCHA测试中,作为服务器的计算机会自动生成一个问题由用户来解答。这个问题可以由计算机生成并评判,但是必须只有人类才能解答。由于计算机无法解答CAPTCHA的问题,所以回答出问题的用户就可以被认为是人类。
[0003]人工打码是利用人工大量输入验证码的意思。由于验证码图像生成技术无论成本和难度都要远远低于图像解码识别技术,最后解码技术从自动化逐渐转变成使用人工智能,即雇佣人去解码,而不是研发新的解码系统。专门从事打码的工作人员,我们称为码工。
[0004]基于以上介绍可知:验证码是一种区分用户是计算机和人的公共全自动程序。它可以有效防止坏人使用自动化程序进行暴力破解密码、刷票、论坛灌水等恶意行为。由于验证码自动化识别技术无论从成本还是难度上看都要远远高于验证码图像生成技术,现在验证码识别逐渐从自动化转变成使用人工打码方式。而传统的验证码对付自动机绰绰有余,但对付人工打码就显得无能为力。
[0005]目前最通用的验证码解决方案为所见即所得式验证码。
[0006]基本原理如下:服务器给出图像X ;该图像通常是服务器根据一定的规则自动生成的;用户观察图像X,寻找图像中的数字、英文字符或中文字符Y;用户将自己所理解的字符串Y提交给服务器;服务器将用户输入的Y与原始图像X对应的答案Y’进行对比,如果Y和Y’完全一致,则认定当前用户为人类用户,如果Y和Y’不一致,则认定当前用户为非人类用户。
[0007]针对以上方案,只要收集足够的样本,使用一些OCR技术进行学习和训练,就可以很快开发出可用的自动机程序来对传统的图像验证码进行识别。即使是改进的图像验证码,如果它的背景库不够庞大,依然也会被自动机识别。以字符验证码为例,如果是大小写字符和数字,最多只有62个。因此以上方案抗破解能力差。另外,对同一张验证码图片,所有人的输入结果都是一样的,根据用户的输入无法区分是真正的用户在输入还是码工在输入。因此,以上方案无法对抗人工打码。
[0008]目前也存在抗破解能力强并可以对抗人工打码的方案,例如:手机验证码。基本原理如下:首先需要用户提供一个可用的手机号,服务器端随机生成一串验证码通过短信或电话方式下发到该手机上,然后由用户将收到的验证码信息通过表单提交到服务器进行验证,验证成功后才能使用某项功能。目前大型网站尤其是购物网站,会提供有手机短信验证码功能,该方案可以比较准确和安全地保证安全性及验证用户的正确性。但是该方案存在明显的缺陷:首先,该方案需要用户提供一个可用的手机号码,而用户未必有手机或手机未必随身携带,这就导致了此类验证码的应用场景有限。其次,由于验证码是通过运营商渠道下发,服务器端的运营成本花费非常高。再次,如果要正确区分用户还是码工,则完成该验证的手机号码必须为用户事先已绑定好的可信手机,而非任意手机号码;这就要用户再使用该验证功能前还要完成手机绑定过程,增加了用户使用门槛和复杂度。
[0009]基于以上验证码的验证方案介绍可以发现,以上两个验证方案均不能实现技术门槛低并且安全高效地对抗人工打码。
【发明内容】
[0010]本发明实施例提供了一种验证方法、服务器,及系统,用于提供一种技术门槛低并且能够安全高效地对抗人工打码的验证方案。
[0011]一种验证方法,包括:
[0012]服务器接收来自终端的操作指令;
[0013]在确认需要对所述操作指令进行验证后,生成验证码问题,并发送给所述终端;所述验证码问题的答案是所述操作指令指向的对象的私有注册信息;
[0014]接收来自所述终端的验证信息,若所述验证信息与所述私有注册信息相同,则确认验证通过,否则确定验证失败。
[0015]一种服务器,包括:
[0016]指令接收单元,用于接收来自终端的操作指令;
[0017]验证码生成单元,用于在确认需要对所述操作指令进行验证后,生成验证码问题,所述验证码问题的答案是所述操作指令指向的对象的私有注册信息;
[0018]验证码发送单元,用于将所述验证码生成单元生成的验证码问题发送给所述终端;
[0019]信息接收单元,用于接收来自所述终端的验证信息;
[0020]验证单元,用于若所述信息接收单元接收的所述验证信息与所述私有注册信息相同,则确认验证通过,否则确定验证失败。
[0021]一种验证系统,包括:服务器和终端;所述服务器为本发明实施例提供的任意一项的服务器。
[0022]从以上技术方案可以看出,本发明实施例具有以下优点:通过生成验证码问题,并使验证码问题的答案是上述操作指令指向的对象的私有注册信息,这样,使验证码脱离了“所见即所得”式的局限,可以成功对抗人工打码;另外由于操作指令指向的对象的注册信息背景库是庞大的库,使得自动机无法识别。另外,该方案不需要使用手机绑定,可以避免需要绑定手机导致的应用场景限制、维护难费用高、技术门槛和复杂度高等各种问题。因此以上方案提供了一种技术门槛低并且能够安全高效地对抗人工打码的验证方案。
【附图说明】
[0023]为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0024]图1为本发明实施例方法流程示意图;
[0025]图2为本发明实施例验证码问题界面示意图;
[0026]图3为本发明实施例服务器结构示意图;
[0027]图4为本发明实施例服务器结构示意图;
[0028]图5为本发明实施例服务器结构示意图;
[0029]图6为本发明实施例验证系统结构示意图;
[0030]图7为本发明实施例验证系统结构示意图;
[0031]图8为本发明实施例方法流程示意图;
[0032]图9为本发明实施例服务器结构示意图;
[0033]图10为本发明实施例服务器结构示意图。
【具体实施方式】
[0034]为了使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部份实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
[0035]本发明实施例提供了一种验证方法,如图1所示,包括:
[0036]101:服务器接收来自终端的操作指令;
[0037]上述操作指令,可以是来自终端的任意的操作指令,比如查看空间信息的操作指令、首次发送信息的操作指令、首次登录的操作指令等等。具体的操作指令,可以是任意的可能需要进行验证的操作指令,本发明实施例对此不予限定。
[0038]102:在确认需要对上述操作指令进行验证后,生成验证码问题,并发送给上述终端;上述验证码问题的答案是上述操作指令指向的对象的私有注册信息;
[0039]在本发明实施例中,私有注册信息是操作指令指向的对象在服务器一侧保存的各种注册信息,其中有一些注册信息是上述对象私有的,例如:姓名、籍贯、故乡、所在地、手机号、甚至身份证号等等。这些信息虽然是上述对象私有的,但是基于特定的应用场景,一些信息应当是发送操作指令的用户应当知道的,例如:社交网络中,该对象的姓名、故乡或者所在地等信息。这些信息,都可以存放在提供相应应用服务的服务器一侧,生成验证码的过程中可以提取这些信息。由于私有注册信息,对于码工而言,是无法获知的,因此可以对抗人工打码。另外这些信息的数据库是庞大的,自动机也无法破解。
[0040]对于私有注册信息的验证码问题,可以直接对私有注册信息进行提问,也可以对私有注册信息进行处理得到缺省的私有注册信息,这样这个缺省的私有注册信息可以对发送操作指令的一方用户进行适当的提醒。例如在即时通讯相关应用中,假定好友(上述对象)的姓名是刘金星;直接对私有注册信息进行提问可以如下:请输入好友姓名;如果是缺省的私有注册信息,则可以一并发送刘?星给上述终端显示给用户,那么用户将会看到:请输入好友姓名,并且还有提示“刘?星”,具体方案如下:进一步地,上述方法,还包括:获取上述操作指令指向的对象的私有注册信息,并按照预定规则将上述私有注册信息生成缺省的私有注册信息;上述验证码问题包含上述缺