这个自动显示验证码记录的行为,视为当前操作者请求刷新验证码的行为,验证码刷新计数器Id将当前操作者请求刷新验证码的次数累加I次;如果当前操作者能正确选择验证码,则当前操作者进一步操作的流程能够进行下去,如果当前操作者不能正确选择验证码,则可以向验证码服务机构2请求刷新验证码,验证码刷新计数器Id将当前操作者请求刷新验证码的次数累加I次,验证码m次刷新器Ia判断当前操作者请求刷新验证码的次数在有效期内是否超过m次,
(bl)如果超过m次,则不再向验证码服务机构2请求新的随机验证码,当前操作者进一步操作的流程无法进行下去;
(b2)如果不超过m次,则验证码服务机构2再次随机提取一条验证码记录给当前操作者,如果当前操作者不能选择正确的验证码,则可以向验证码服务机构2请求刷新验证码,每次请求刷新验证码,验证码刷新计数器Id都将当前操作者请求刷新验证码的次数累加I次,验证码m次刷新器Ia都判断当前操作者请求刷新验证码的次数在有效期内是否超过m次,如果不超过m次,而且当前操作者某次选择了正确的验证码,则当前操作者进一步操作的流程能够进行下去。
[0009]在本实施例中涉及到的问答式验证码的应用场合,主要用于用户注册、用户登录场合以及不需要注册和登录的网络投票场合等。验证码m次刷新器Ia如何判断并且统计当前操作者刷新了几次验证码?即解决当前操作者的身份认证问题。一般说来,对于用户注册,可以把输入的用户名加密存入cookie中,如果当前操作者用cookie中记录的用户名注册,每次刷新验证码,验证码刷新计数器Id都将当前操作者请求刷新验证码的次数累加I次;对于用户登录,则可以在服务器数据库中根据登录的用户名找到该用户,查看当天刷新验证码的次数,如果没有超过指定的m次,验证码刷新计数器Id都将当前操作者请求刷新验证码的次数累加I次;对于网络投票,用户没有注册和登录,可以根据当前操作者所使用电脑的IP地址进行判定,如果当天在该电脑上投票时,刷新验证码的次数如果没有超过指定的m次,验证码刷新计数器Id都将当前操作者请求刷新验证码的次数累加I次。当然获取当前操作者的身份,还可以有其他方法。
[0010]对于验证码刷新的有效期,可以设置为一天,即当天,在当天刷新验证码的次数超过指定的m次,则不能刷新,这样,验证码破解者就需要用很长时间来提取数据库中存储的不同验证码记录,从而知难而退。
[0011]本发明中所述“对于这个自动显示验证码记录的行为,视为当前操作者请求刷新验证码的行为,验证码刷新计数器Id将当前操作者请求刷新验证码的次数累加I次”,是为了防止机器人在不同的电脑不断重复登录,从而瘫痪服务器或者攫取服务器(验证码服务机构2)中更多的验证码记录。
[0012]下面举一个更加形象化的例子来进一步描述本发明所述技术方案。
[0013]设想验证码服务机构2中有一个验证码记录表,通过验证码题目信息提示设置器2a、验证码答案选项设置器2b、正确验证码设置器2c和验证码记录η次重复器的相关操作,如果一条记录的重复记录是100条,添加2万条不同记录,添加的重复记录就有200万条,当前操作者验证码刷新的次数在有效期设置为I天,验证码刷新次数为5次,设想验证码暴力破解机构每天用100台电脑注册,那么每天可以获取500个验证码,但是大部分是重复的验证码,平均每天至多获取不重复验证码的个数为5个,要想获取所有不同的验证码,验证码暴力破解机构至少需要花费11年,而且还要针对每个验证码设置对应的应答答案,不仅花费时间长,而且工作量很大,最终使得验证码暴力破解机构放弃破解操作。
[0014]当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
【主权项】
1.一种维护问答式验证码安全的系统,包括验证码识别机构(I)和验证码服务机构(2),其特征在于:验证码识别机构(I)和验证码服务机构(2),二者双向连接,所述验证码服务机构(2)内有验证码题目信息提示设置器(2a)、验证码答案选项设置器(2b)、正确验证码设置器(2c)和验证码记录η次重复器(2d),验证码题目信息提示设置器(2a)用于设置一条验证码记录的信息提示内容部分,验证码答案选项设置器(2b)用于设置该验证码记录的多个答案选项内容部分,正确验证码设置器(2c)用于设置该验证码记录的正确答案内容部分,验证码记录η次重复器(2d)用于添加n+1条该验证码记录,即添加η条该验证码记录的重复记录;所述验证码识别机构(I)内有验证码m次刷新器(la)、验证码题目信息提示器(Ib)、验证码选择器(Ic)和验证码刷新计数器(Id),验证码m次刷新器(Ia)判断当前操作者验证码刷新的次数在有效期内是否达到m次或者m+1次,判断结果分两种情形处理: (a)如果当前操作者验证码刷新的次数在有效期内达到m次或者m+1次,则不显示验证码提示信息,当前操作者进一步操作的流程无法进行下去; (b)如果当前操作者验证码刷新的次数在有效期内没有达到m次,则验证码服务机构(2)随机提取一条验证码记录给在验证码识别机构(I)中进行操作的当前操作者,并在验证码题目信息提示器(Ib)中显示该验证码记录的提示信息,把验证码答案选项放入验证码选择器(Ic)中,让当前操作者选择验证码,对于这个自动显示验证码记录的行为,视为当前操作者请求刷新验证码的行为,验证码刷新计数器(Id)将当前操作者请求刷新验证码的次数累加I次;如果当前操作者能正确选择验证码,则当前操作者进一步操作的流程能够进行下去,如果当前操作者不能正确选择验证码,则可以向验证码服务机构(2)请求刷新验证码,验证码刷新计数器(Id)将当前操作者请求刷新验证码的次数累加I次,验证码m次刷新器(Ia)判断当前操作者请求刷新验证码的次数在有效期内是否超过m次, (bl)如果超过m次,则不再向验证码服务机构(2)请求新的随机验证码,当前操作者进一步操作的流程无法进行下去; (b2)如果不超过m次,则验证码服务机构(2)再次随机提取一条验证码记录给当前操作者,如果当前操作者不能选择正确的验证码,则可以向验证码服务机构(2)请求刷新验证码,每次请求刷新验证码,验证码刷新计数器(Id)都将当前操作者请求刷新验证码的次数累加I次,验证码m次刷新器(Ia)都判断当前操作者请求刷新验证码的次数在有效期内是否超过m次,如果不超过m次,而且当前操作者某次选择了正确的验证码,则当前操作者进一步操作的流程能够进行下去。
【专利摘要】本发明的目的在于克服现有技术中存在的不足,提供一种维护问答式验证码安全的系统,包括验证码识别机构和验证码服务机构,在验证码服务机构中可以有几万不同的验证码记录,上百万的重复验证码记录,在验证码识别机构中,限定当前操作者在有效期内刷新验证码的次数。使用本发明,极大降低在验证码服务机构中添加验证码记录的工作量,同时使得验证码暴力破解机构知难而退,让问答式验证码真正走向实用。
【IPC分类】G06F21-36, G06F21-46, H04L29-06
【公开号】CN104735083
【申请号】CN201510168712
【发明人】张仁平
【申请人】张仁平
【公开日】2015年6月24日
【申请日】2015年4月12日