一种验证方法及系统的制作方法

一种验证方法及系统的制作方法
【专利摘要】本发明提供了一种验证方法及系统，所述方法包括以下步骤：a)接收来自用户的web访问请求及附带的用户信息；b)根据接收的用户信息确定提供给该用户的验证码等级，其中所述验证码等级根据用户体验度等级及是否加入机器破解难度等级来确定；c)根据所述确定的验证码等级，获取与该验证码等级相对应的验证码，并将所述验证码发送给用户；d)接收用户根据所述验证码输入的验证码反馈并进行验证；以及e)将验证的结果返回用户。根据本发明的基于用户友好度和机器破解难度来确定验证码等级，既可以防止恶意破解密码、刷票、论坛灌水等网络不安全、不公平行为，又可以使得普通用户具有良好的用户体验。
【专利说明】一种验证方法及系统
【技术领域】
[0001]本发明涉及一种互联网访问的用户验证方法，特别涉及一种基于用户体验度等级和机器破解难度等级的验证方法及系统。
【背景技术】
[0002]目前，随着计算机技术的发展，互联网技术已越来越成熟。互联网中存在着形式各异的验证码，验证码的目的是为了区别人和机器。现在各大网站验证码都在使用同一形式的验证码，但是往往数据库有一定的限度，如果被破解了就会整体更换成另一种类型的验证码。虽然各大网站不断在开发最新的技术以在验证码破解难度上有所加强，但是验证难度的增大反过来对于用户体验度来说并不是很好，因为对于普通用户来说简单的验证码就可以了，加大破解难度只会让用户体验度更糟糕。
[0003]目前生成验证码的方法分为以下5步:
[0004]1.将验证码存入验证码库；
[0005]2.获取用户在访问页面的验证请求；
[0006]3.向用户发送验证码；
[0007]4.用户填写验证反馈并上传至网站服务器；
[0008]5.对用户填写的验证答案与相应的验证码答案进行匹配核对来进行验证。
[0009]如果验证码被破解，则网站通常的做法是更新验证码库，将其中存储的验证码替换成一种难度较大的验证码，然后再重复以上2-4步。在有一部分违规操作者(如网络黑客)存在的情况下，如果直接增大验证难度会让大量普通用户也体验高难度的验证码，这样极大降低了普通用户的用户体验度，甚至可能会造成用户流失。而且有些验证码是根据不同域名采用不同验证码，这样的话也会有同样的问题，访问同一域名的用户既有破解者也有普通用户，不能所有用户都采用相同的验证码。
[0010]因此，需要一种能有效的方法及系统来解决上述问题，既可以保证验证码不易被攻破，也可以确保不伤害到用户体验。

【发明内容】

[0011]本发明的目的在于提供一种验证方法，所述方法包括以下步骤:a)接收来自用户的web访问请求及附带的用户信息；b)根据接收的用户信息确定提供给该用户的验证码等级，其中所述验证码等级根据用户体验度等级及是否加入机器破解难度等级来确定；c)根据所述确定的验证码等级，获取与该验证码等级相对应的验证码，并将所述验证码发送给用户；d)接收用户根据所述验证码输入的验证码反馈并进行验证；以及e)将验证的结果返回用户。
[0012]优选地，中所述步骤b包括如下子步骤:bl)根据所接收的用户信息更新用户的积分，其中所述积分表示用户之前的web访问行为特征；b2)根据所述用户的积分确定用户的体验度等级并据此确定用户的验证码等级山3)判断是否需要增加机器破解难度来改变用户的验证码等级，若需要则根据机器破解难度来确定用户的对应验证码等级。
[0013]优选地，所述步骤b3中根据用户信息中违规操作记录的程度或用户的操作页面的类型来确定是否需要加入机器破解难度。
[0014]根据本发明的另一方面，提供了一种验证系统，包括web服务器、验证码服务器以及验证码库，其中，所述web服务器用于接收来自客户端的用户访问请求及附带的用户信息，根据接收的用户信息确定提供给该用户的验证码等级，发送所述请求以及确定的验证码等级至所述验证码服务器，获取与该验证码等级相对应的验证码并发送给所述用户，接收来自客户端的用户输入的验证码反馈，并发送至所述验证码服务器；所述验证码服务器根据接收到的验证码等级在所述验证码库中获取相对应的验证码，并将所述验证码发送回所述web服务器，接收用户输入的验证码反馈进行验证码验证，并根据验证结果触发进一步的操作；验证码库设置为具有多个区域存储不同等级的验证码；其中，所述验证码等级是根据用户体验度等级及是否加入机器破解难度等级来确定的。
[0015]优选地，所述用户信息选自用户上一次登录的积分、用户访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项，其中所述积分表示用户之前的web访问行为特征。
[0016]优选地，确定所述验证码等级包括如下步骤:a)根据所接收的用户信息更新用户的积分，其中所述积分表示用户之前的web访问行为特征；b)根据所述用户的积分确定用户的体验度等级并据此确定用户的验证码等级；c)判断是否需要增加机器破解难度来改变用户的验证码等级；若需要则根据机器破解难度来确定用户的对应验证码等级。
[0017]优选地，所述积分对于用户是隐藏不可见的。
[0018]优选地，所述积分根据用户的上一次登录的积分、上一次的访问信息以及本次访问的信息进行累积计算的。
[0019]优选地，所述本次访问信息中的每项因素包含各自的权重因子。
[0020]优选地，根据用户信息中违规操作记录的程度或用户的操作页面的类型来确定是否需要加入机器破解难度。
[0021]根据本发明的基于用户友好度和机器破解难度来确定验证码等级，既可以防止恶意破解密码、刷票、论坛灌水等网络不安全、不公平行为，又可以使得普通用户具有良好的用户体验。
[0022]应当理解，前述大体的描述和后续详尽的描述均为示例性说明和解释，并不应当用作对本发明所要求保护内容的限制。
【专利附图】

【附图说明】
[0023]参考随附的附图，本发明更多的目的、功能和优点将通过本发明实施方式的如下描述得以阐明，其中:
[0024]图1是根据本发明一实施方式的基于用户体验度等级和机器破解难度的验证系统的示意性框图；
[0025]图2是根据本发明一实施方式的基于用户体验度等级和机器破解难度的验证方法的示意性流程图；
[0026]图3是根据本发明另一实施方式的基于用户体验度等级和机器破解难度的验证方法的示意性流程图；
[0027]图4示出了根据本发明一个实施例的验证码等级的确定方法的示意性流程图。【具体实施方式】
[0028]通过参考示范性实施例，本发明的目的和功能以及用于实现这些目的和功能的方法将得以阐明。然而，本发明并不受限于以下所公开的示范性实施例；可以通过不同形式来对其加以实现。说明书的实质仅仅是帮助相关领域技术人员综合理解本发明的具体细节。
[0029]在下文中，将参考附图描述本发明的实施例。在附图中，相同的附图标记代表相同或类似的部件，或者相同或类似的步骤。
[0030]本发明中所涉及的验证码包括提供至用户的用于验证的任何信息，其中包括但不限于:告知用户输入何种内容的提示问题或者提示语、提示用户输入何种内容的选项等等。本发明所涉及的验证码答案为与验证码相对应的信息，其中包括但不限于:提示问题或者提示语的正确答案或者预设答案。本发明所涉及的验证码反馈，为用户根据验证码所输入的信息。
[0031]图1示出了基于用户体验度等级和机器破解难度的验证系统的示意性框图。如图1所示，根据本发明的验证系统包括客户端110，web服务器120、验证码服务器130以及验证码库140。图1 (a)示出了验证码服务器130和验证码库140为分开的实体的情况，图1 (b)示出了验证码服务器130和验证码库140为一体的情况。
[0032]客户端110用于为用户提供访问web服务器120的接口，用于在访问web页面时接收来自web服务器120的要求验证的提示，将用户访问页面的验证请求发送至web服务器120，并将用户信息连同验证请求发送至web服务器120，并为用户提供输入验证码反馈的接口。所述用户信息包括但不限于用户访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项。客户端110接收针对用户输入的验证码反馈的验证结果，在本发明另一实施方式中，该验证结果通过web服务器120发送至客户端110,在本发明另一实施方式中，客户端110从验证码服务器130获取验证结果。如用户发送的验证码反馈与对应的验证码答案一致，则验证成功，在一实施方式中，用户将被允许进行后续操作，如允许用户访问服务器、允许用户浏览所请求的信息、允许用户获取查询结果等，在另一实施方式中，用户将收到验证成功的提示；如用户发送的验证码反馈与对应的验证码答案不一致，则验证失败，在一实施方式中，用户将收到验证失败的提示，在另一实施方式中，用户将停留在当前页面。当用户发送的验证码反馈与验证码库不一致时，客户端110可以再次发送验证请求，或者被web服务器120拒绝访问。用户信息可以将被更新。
[0033]优选地，所述客户端110例如是台式计算机、膝上型计算机、智能电话、个人数字助理(PDA)、平板电脑、游戏机、多功能移动终端或者包括计算功能和数据通信能力的任何其他设备。客户端110优选通过网络来访问web服务器120，所述网络选自有线网络、WiF1、Zigbee、WLAN、GPRS、蜂窝网络、GSM网络、3G网络、LTE网络或CDMA网络、蓝牙、NFC、红外线、超声波、Wireless USB、RFID中的至少一种。
[0034]Web服务器120接收来自客户端110发送的页面访问请求和验证请求以及客户端110发来的用户信息，并记录该用户信息。web服务器120可根据收集到的用户信息确定用户当前的用户体验度等级和机器破解难度等级，并根据用户当前的用户体验度等级和机器破解难度等级确定验证码等级。在本发明一实施方式中，web服务器120还可用于将客户端110发来的验证码请求以及据此所确定的验证码等级发送至验证码服务器130进行验证。在本发明一实施方式中，web服务器120还可接收来自验证码服务器130返回的验证结果，将该结果再返回至客户端110。例如，若收到来自验证码服务器130返回验证成功的结果，则web服务器120返回给客户端110，用户将被允许进行接下来的操作，如登录web服务器、浏览信息、浏览查询结果等；如收到来自验证码服务器130返回验证不一致的结果，则web服务器120用户返回给客户端110验证失败的提示。在验证失败的情况下，web服务器120可返回给客户端110提示用户再次验证，或者返回拒绝客户端110访问的提示。当允许客户端110再次验证的情况下，web服务器120还记录用户再次验证的操作信息(如验证次数等)，加入到用户的操作记录中。
[0035]验证码服务器130用于将验证码存入验证码库140，在所述验证码库中获取相对应的验证码，并将所述验证码发送回所述web服务器，接收用户输入的验证码反馈进行验证码验证，并根据验证结果触发进一步的操作。根据本发明的一个实施例，验证码服务器130将验证码划分为不同等级，依据验证码的等级为验证码附上相应的等级标识。优选地，验证码库140被划分为多个区域，分别存储不同等级的验证码。验证码服务器130根据从web服务器120接收到的验证码等级在验证码库140中获取相应等级的验证码，例如可根据等级标识或者根据存储位置获取。验证码服务器130将获取的验证码发送回至web服务器120，再由web服务器120将获取的验证码发送至客户端110。优选地，验证码服务器130将对应于该验证码的标识同时发送至web服务器120。验证码的标识由web服务器120发送至客户端110，并优选地写入客户端110的cookies中。验证码服务器130还对web服务器120转发的由用户输入的验证码反馈进行验证码验证，并根据验证结果触发进一步的操作。所述进一步的操作例如允许用户访问web服务器，返回至客户端110验证成功的提示，允许用户登录等等，或者提示用户验证失败并重新发送验证码等操作。例如，在本发明另一实施方式中，客户端110从验证码服务器130获取验证结果。
[0036]验证码库140用于存储验证码。由于根据本发明的验证码分为多个等级，因此验证码库140被划分为多个区域，分别存储不同等级的验证码。验证码库140可以位于验证码服务器130内部，或为单独存在的实体。根据本发明的一个实施例，验证码库140存储的内容可以包括验证码和验证码答案，验证码用于当用户通过客户端发出验证请求时发送给用户，验证码答案用于当用户通过客户端输入验证码反馈时与该验证码答案反馈进行匹配以进行验证。在一实施方式中，验证码与其对应的验证码答案以相同的标识(例如key)标记。
[0037]图2是根据本发明一实施方式的基于用户体验度等级和机器破解难度的验证方法的示意性流程图。如图2所示，根据本发明的该实施方式的验证方法200在包括以下步骤:
[0038]在步骤205，用户通过客户端110发出访问web服务器120的请求，所述请求例如登陆访问页面，查询信息等。用户的访问请求附带有用户信息。所述用户信息包括但不限于用户上一次登录的积分信息、用户访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项等。[0039]在步骤210，web服务器120接收了客户端110发送的访问请求以及用户信息，根据用户信息确定提供给该用户的验证码等级。根据本发明的优选实施例，web服务器120根据用户信息来确定用户体验度等级以及判断是否加入机器破解难度等级，然后根据用户体验度等级及机器破解难度确定用户的验证码等级。用户体验度等级和机器破解难度确定验证码等级的方法将在下面通过图4详细说明。
[0040]在步骤215，web服务器120将访问请求以及确定的验证码等级发送至验证码服务器130，以获取与该验证码等级相对应的验证码。
[0041]在步骤220中，验证码服务器130根据接收到的验证码等级在验证码库中获取相对应的验证码。其中，验证码服务器130将验证码库中的验证码划分为不同等级，依据验证码的等级为验证码附上相应的等级标识，优选地将验证码库划分为多个区域，分别存储不同等级的验证码。
[0042]在步骤225中，验证码服务器130将获取的验证码发送回web服务器120。优选地，验证码服务器130将对应于该验证码的标识(如key)发送至web服务器120。
[0043]在步骤230中，web服务器120将获得的验证码发送至客户端110以便用户输入验证码反馈以进行验证。优选地，web服务器120将对应于该验证码的标识发送至客户端110,优选地验证码的标识将写入客户端110的cookies中。
[0044]在步骤235中，验证码显示在用户通过客户端110访问的验证码页面上，用户根据验证码输入验证码反馈进行验证。
[0045]在步骤240中，客户端110将用户输入的验证码反馈发送至web服务器120。
[0046]在步骤245中，web服务器120将用户输入的验证码反馈转发至验证码服务器130进行验证。
[0047]在步骤250中，验证码服务器130对用户输入的验证码反馈进行验证。具体地，验证码服务器130将接收的验证码反馈与之前发送给用户的验证码进行匹配，从而进行验证。在本发明一实施方式中，验证码服务器130在验证码库中获取相对应该验证码的验证码答案，将所接收的验证码反馈与该相对应的验证码答案进行比较，如二者相同，则匹配成功，验证成功，如二者不相同，则匹配失败，验证失败。
[0048]在步骤255中，验证码服务器130将验证的结果发送回至web服务器120。
[0049]在步骤260中，web服务器120将验证的结果发送回至客户端110。
[0050]图3所示为根据本发明另一实施方式的基于用户体验度等级和机器破解难度的验证方法的示意性流程图。该实施方式的验证方法与图2所示的验证方法的主要区别在于，在步骤350后，在步骤355中验证码服务器130将验证的结果发送回客户端110，而不需经过web服务器120。
[0051]根据本发明公开的实施方式，如验证成功，例如用户发送的验证码反馈与验证码答案一致，则将触发后续操作，例如允许用户访问服务器，允许用户浏览所请求的信息、允许用户获取查询结果、允许用户登录、或客户端显示验证成功的提示，等等，如验证失败，例如用户发送的验证码反馈与验证码答案不一致，则提示用户验证失败或者用户将停留在当前页面。用户信息将被更新。客户端110可以再次发送验证请求，或者被web服务器120拒绝访问。
[0052]如图4所示，示出了根据本发明一个实施例的确定验证码等级的方法的示意性流程图。根据本发明实施例的验证码等级的确定方法400包括以下步骤:
[0053]在步骤410中，收集发出访问请求的用户的信息。用户信息可以包括但不限于用户最近一次登录的信息、积分、访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项等。
[0054]在步骤420中，根据用户信息更新用户的积分。根据本发明的实施例，每次用户访问web服务器时，优选以用户积分的方式来实现用户等级的划分，也就是将用户web访问的行为特征计算为特定的分数来表示用户当前的特征。更优选地，该用户积分对于用户是隐藏不可见的。
[0055]根据本发明的一个实施例，在用户首次访问web服务器时，为用户创建一个初始积分，当用户进行操作或再次访问时，在次初始积分的基础上不断进行更新。如上所示的例子为用户的积分随着用户的异常操作行为而不断减少的情况，也可以采用随着用户的正常操作行为而不断增加积分的情况。
[0056]根据本发明的一个实施例，用户的积分可以进行累积计算的，即可以根据用户的上一次登录的积分、上一次的访问信息以及本次访问的信息，如访问域名、用户IP地址、用户的账户信息、用户的历史操作记录、连续错误验证码输入次数等更新用户的本次登录的积分。根据一个实施例，可以按如下公式进行用户积分的计算:
[0057]用户当前积分=用户前一次访问积分-B1X用户IP地址得分_a2X验证码输入得分
[0058]其中，用户IP地址得分例如通过判断用户的登录与上次访问是否为同一城市，是则为0，否则为I。验证码输入得分例如为本次验证码之前连续输入错误次数是否超过一定数目，例如当连续输入次数超过三次时则为1，否则为O。更优选地，还可以为本次访问信息中的每项因素加入权重因子％、a2，对应于不同的考虑因素为其赋予不同的权重值。
[0059]根据本发明的一个实施例，例如，一个新用户的初始积分可以设定O分，当用户进行正常规范的操作，一次操作完成后就可以增加相应的积分，如发一篇贴加5分，回复加I分，在线时长累计2小时加3分等等。优选地，为了防止恶意用户在短时间内提高积分以提高权限，可以设定每天每个用户增加的积分上限，例如最多增加30分。当用户进行恶意或不规范操作时，可以减少相应的用户积分。例如用户灌水、连续错误输入验证码、连续更换验证码等不规范、不安全行为，或用户连续输入错误验证码，用户发帖被举报并被核实、用户恶意举报他人等情况。可以设定相应的规则对不同的恶意行为扣除不同的分数。例如，当用户操作记录被认定为通过机器程序手段恶意破解验证码，则可以加大分数扣除程度，如机器灌水一次减300分等。若用户发布的信息涉及到违法信息则也可以将用户的积分扣减更多甚至清零。
[0060]在步骤430，根据用户的积分确定用户的体验度等级并据此确定用户的验证码等级。
[0061]优选地，可以按用户的积分划分多个区间，将不同的积分区间对应于不同的用户体验度等级。例如，用户体验度等级可分为三个等级，高等级、中等级以及低等级，分别对应于不同分数区间的积分，例如低等级对应于0-300分，中等级对应于300-1000，高等级对应于1000-1500分等等。用户体验度等级还可划分为更多个等级，而不限于三个等级。用户体验度等级与之后的验证码等级相匹配，等级越高可以对应于用户在进行验证码验证时的体验度越好。例如，不同的验证码等级对应于不同的体验度等级:
[0062]用户体验度等级为高等级时，对应的验证码等级为第I等级，在此等级下，用户的体验度最好，例如验证码可以以直观的方式呈献给用户，用户可以不用思考直接看出验证信息；
[0063]用户体验度等级为中等级时，对应的验证码等级为第2等级，在此等级下，用户的体验度中等，例如用户需要通过简单计算给出正确的验证信息，如提示给用户的验证码为3+2，用户需要输入5才能通过验证；
[0064]用户体验度等级为低等级时，对应的验证码等级为第3等级，在此等级下，用户的体验度较差，例如用户需要进行一些逻辑思考才可以给出正确的验证信息。
[0065]根据上述步骤420的描述，用户的积分是随着每次登录进行的不同操作而变化的，当用户积分达到一定值时，用户对应的用户体验度等级会提高，此后该用户的验证码匹配变为用户体验度高等级。更优选地，当用户积分达到一定阈值后，还可以设定为不需要验证码。
[0066]根据本发明的一个实施例，由于用户每次登录时其用户信息都会被记录，并重新计算其积分，因此当用户再次登录输入验证码的时候，验证码的等级就会对应于积分的改变而改变，这会在用户本次登陆重新获得验证码的时候即发生改变。但是对于用户进行的例如灌水或其他需要人工核定的操作行为，在确定之后，当用户在下一次操作时对应于的体验度的验证码级别就会改变。例如用户下一次发贴时可能就因为验证码级别的提高而变为更为简单的验证码形式。如果人工确定时间较长，在确定用户的体验度级别变化的时候，用户已经退出登陆，则用户在下一次登陆时才会改变验证码等级。对用户积分的调整优选由web服务器实现。在用户访问特定的域名时，例如访问安全性敏感的页面时，一定时间内超过一定数量的验证码输入会导致验证码锁定，即在一定时间内用户无法获得验证码从而导致用户在这一段时间内无法进行操作。
[0067]优选地，用户如果有规范安全的操作、良好的其他用户评价、长时间的登陆时间，则可以增加用户隐藏积分从而提升等级，而违规的操作和连续多次错误输入验证码会降低积分从而降低验证码等级。根据本发明的一个优选实施例，积分在web服务器上以区间划分的形式存在，而并不直接显示出等级，只用相应的验证码等级来匹配。
[0068]在步骤440中，判断是否需要为用户增加机器破解难度来改变用户的验证码等级。如果不需要则直接进入步骤460，若需要则进入步骤450。根据本发明的优选实施例，当用户有过违规操作行为时，web服务器会记录用户的违规操作行为，当用户下次需要输入验证码时，系统会增加额外的验证程序以提高访问的安全性。所述违规行为例如用户的恶意发帖行为、短时间内连续刷新验证码等行为。Web服务器会收集用户的信息来判断其中是否有违规操作记录，从而通过额外加入机器破解难度来确定用户的验证码等级。也可以通过用户的操作页面的类型来确定是否需要加入机器破解难度，例如当用户登录对安全级别要求较高的页面进行操作，如改密码或者交易页面。
[0069]在步骤450，当确定了需要额外加入机器破解难度来确定用户的验证码等级时，根据加入的机器破解难度来确定用户的对应验证码等级。根据本发明的一个实施例，加入了机器破解难度的验证码等级可分为如下三个等级:
[0070]高用户体验度的机器破解难度，对应的验证码等级为第4等级，在此等级下，验证码可为简单的短信验证码，例如向用户发送数字形式的验证码；
[0071]中用户体验度的机器破解难度，对应的验证码等级为第5等级，在此等级下，验证码可为带有四则运算的短信验证码，例如向用户发送数字，让用户进行简单四则运算，以正确的运算结果作为验证码；
[0072]低用户体验度的机器破解难度，对应的验证码等级为第6等级，在此等级下，验证码可为带有逻辑问题的短信验证码，例如向用户发送一些简单常识的问题，以正确答案或者正确答案选项作为验证码。
[0073]机器破解难度的等级划分类似于上面步骤430中的方法，即可以根据用户的积分确定用户的体验度等级并据此确定用户的验证码等级。优选地，可以按用户的积分划分多个区间，将不同的积分区间对应于不同的用户体验度等级。例如，用户体验度等级可分为三个等级，高等级、中等级以及低等级，分别对应于不同分数区间的积分，例如低等级对应于0-300分，中等级对应于300-1000，高等级对应于1000-1500分等等。用户体验度等级还可划分为更多个等级，而不限于三个等级。用户体验度等级与之后的验证码等级相匹配，等级越高可以对应于用户在进行验证码验证时的体验度越好。
[0074]当确定了需要额外加入机器破解难度来确定用户的验证码等级时，用户进入验证界面后，不会直接在用户终端上显示验证码，而是通过其他渠道显示验证码，例如显示为用户输入手机号或邮箱地址等其他渠道接收验证码，进行验证码的验证。
[0075]如果用户没有违规记录，那么分配给用户的验证码只会在不带有机器破解难度的验证码等级中选择(例如验证码第1-3等级)。如果用户有违规记录，那么分配给他的验证码就会在带有机器破解难度的验证码等级中选择(例如验证码第4-6等级)。如果在有违规记录之后，用户操作记录转为良好，那么分配给他的验证码将会转而回到验证码等级1-3中选择。
[0076]根据本发明的用户友好度等级和机器破解难度确定验证码等级，根据所述验证码等级匹配相应的验证码，同一等级也可以有多种验证码类型并可以随机生成。验证码例如可以包括，传统图片验证码的字体变换、阴影区域干扰、颜色填充干扰、字体重合干扰或者照片形式的图片验证码、图片运算式或者照片运算式，两个数之间运算或者三个数之间运算；带逻辑的验证码，例如比较几张图片，找出不同的一个或者找出位置方向正确的一个等类似需要逻辑思考的问题；短信或邮件验证码，例如发送数字验证码。带有四则运算的短信验证码，向用户发送数字，让用户进行简单四则运算得到结果作为验证码，带有逻辑问题的短信验证码，向用户发送一些简单常识的问题，正确答案或者正确答案选项作为验证码等
坐寸ο
[0077]根据本发明的基于用户体验度等级和机器破解难度的验证方法及系统，可以根据用户友好度和机器破解难度来确定验证码等级。这样既可以防止恶意破解密码、刷票、论坛灌水等网络不安全、不公平行为，又可以使得普通用户具有良好的用户体验。
[0078]结合这里披露的本发明的说明和实践，本发明的其他实施例对于本领域技术人员都是易于想到和理解的。说明和实施例仅被认为是示例性的，本发明的真正范围和主旨均由权利要求所限定。
【权利要求】
1.一种验证方法，包括以下步骤: a)接收来自用户的web访问请求及附带的用户信息； b)根据接收的用户信息确定提供给该用户的验证码等级，其中所述验证码等级根据用户体验度等级及是否加入机器破解难度等级来确定； c)根据所述确定的验证码等级，获取与该验证码等级相对应的验证码，并将所述验证码发送给用户； d)接收用户根据所述验证码输入的验证码反馈并进行验证；以及 e)将验证的结果返回用户。
2.如权利要求1所述的验证方法，其中所述用户信息选自用户上一次登录的积分、用户访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项，其中所述积分表示用户之前的web访问行为特征。
3.如权利要求1所述的验证方法，其中所述步骤b包括如下子步骤: bl)根据所接收的用户信息更新用户的积分，其中所述积分表示用户之前的web访问行为特征； b2)根据所述 用户的积分确定用户的体验度等级并据此确定用户的验证码等级； b3)判断是否需要增加机器破解难度来改变用户的验证码等级，若需要则根据机器破解难度来确定用户的对应验证码等级。
4.如权利要求2或3所述的验证方法，其中所述积分对于用户是隐藏不可见的。
5.如权利要求3所述的验证方法，其中所述积分根据用户的上一次登录的积分、上一次的访问信息以及本次访问的信息进行累积计算的。
6.如权利要求5所述的验证方法，其中所述本次访问信息中的每项因素包含各自的权重因子。
7.如权利要求3所述的验证方法，其中所述步骤b3中根据用户信息中违规操作记录的程度或用户的操作页面的类型来确定是否需要加入机器破解难度。
8.一种验证系统，包括web服务器、验证码服务器以及验证码库，其中， 所述web服务器用于接收来自客户端的用户访问请求及附带的用户信息，根据接收的用户信息确定提供给该用户的验证码等级，发送所述请求以及确定的验证码等级至所述验证码服务器，获取与该验证码等级相对应的验证码并发送给所述用户，接收来自客户端的用户输入的验证码反馈，并发送至所述验证码服务器； 所述验证码服务器根据接收到的验证码等级在所述验证码库中获取相对应的验证码，并将所述验证码发送回所述web服务器，接收用户输入的验证码反馈进行验证码验证，并根据验证结果触发进一步的操作； 验证码库设置为具有多个区域存储不同等级的验证码； 其中，所述验证码等级是根据用户体验度等级及是否加入机器破解难度等级来确定的。
9.如权利要求8所述的验证系统，其中所述用户信息选自用户上一次登录的积分、用户访问的域名、用户在该类页面下的操作记录、发帖记录、用户的违规操作记录、连续错误输入验证码次数、连续更换验证码次数中的一项或多项，其中所述积分表示用户之前的web访问行为特征。
10.如权利要求8所述的验证系统，其中确定所述验证码等级包括如下步骤: a)根据所接收的用户信息更新用户的积分，其中所述积分表示用户之前的web访问行为特征； b)根据所述用户的积分确定用户的体验度等级并据此确定用户的验证码等级； c)判断是否需要增加机器破解难度来改变用户的验证码等级；若需要则根据机器破解难度来确定用户的对应验证码等级。
11.如权利要求10所述的验证系统，其中所述积分对于用户是隐藏不可见的。
12.如权利要求10所述的验证系统，其中所述积分根据用户的上一次登录的积分、上一次的访问信息以及本次访问的信息进行累积计算的。
13.如权利要求10所述的验证系统，其中所述本次访问信息中的每项因素包含各自的权重因子。
14.如权利要求10所述的验证系统，其中根据用户信息中违规操作记录的程度或用户的操作页面的类型来确 定是否需要加入机器破解难度。
【文档编号】H04L9/32GK104038346SQ201410286470
【公开日】2014年9月10日 申请日期:2014年6月24日 优先权日:2014年6月24日
【发明者】张硕, 廖禄平, 赵剑飞, 何松, 张爱华 申请人:五八同城信息技术有限公司