示在验证码输入框内执行滑动操作后,用户设备收集用户设备信息、网络信息以及指定操作行为信息。
[0043]其中,用户设备信息包含以下信息的一项或多项:用户设备平台类型、用户设备屏幕大小及分辨率、用户设备型号、以及用户设备CPU数量。网络信息包含以下信息的一项或多项:IP地址、MAC地址、浏览器类型、以及浏览器版本号。指定操作行为信息包含以下信息的一项或多项:操作切入角度、操作轨迹、以及操作时间。其中,操作切入角度是指操作开始点和操作切入预设操作路径的操作切入点所在的直线与预设操作轨迹所在的直线之间所成的夹角。预设操作路径为指定操作中预设的供用户进行操作的路径。由于用户在操作时,供用户操作的鼠标、或者触控笔或者用户的手指通常不会直接精确地进入到预设操作路径的起始点,因此操作轨迹中可以包括进入预设操作路径之前的轨迹和在预设操作路径上按照指定操作进行操作的轨迹,或者还可以包括预设操作路径被操作完之后的轨迹。因此,便会存在操作的切入角度,同理,还可以存在操作移出角度,操作移出角度是指操作结束点和操作移出预设操作路径的操作移出点所在的直线与预设操作轨迹所在的直线之间所成的夹角。操作轨迹至少包含用户操作过程中主要途经点的像素坐标和时间,根据像素坐标和时间可计算用户操作的速度和加速度等用户操作速率信息。
[0044]可选地,用户设备还可以收集用户设备软件信息,该用户设备软件信息包含:操作系统版本号和/或所安装的应用程序信息。
[0045]步骤S102,将收集到的用户设备信息、网络信息以及滑动操作行为信息发送给服务器侧,以供服务器根据用户设备信息、网络信息以及滑动操作行为信息进行验证得到验证结果。
[0046]用户设备可对采集的信息进行配置,用户设备通过将这些信息发送至服务器侧,由服务器侧的风险分析引擎统计分析出此次用户操作的风险状况,并且完成机器人识别功能,得到验证结果。
[0047]步骤S103,接收服务器返回的验证结果。
[0048]根据本发明实施例提供的基于交互操作的验证方法,用户不用再费时费力的去识另IJ、输入验证码内容,也不用选择难以分辨的同类图片、旋转扭曲的图片、拖动缺失的图片等,只需轻轻滑动鼠标或手指,即可完成验证,从而一定程度上节省了时间,提高了操作效率,极大地提升了用户体验。
[0049]进一步的,在上述步骤SlOl之前,方法还可包括:步骤S100,获取服务器为指定操作生成的唯一的标识令牌。具体地,用户设备对指定操作进行初始化,从服务器处获取此次验证操作的唯一标识令牌,该标识令牌唯一的标识了本次用户进行验证的事件。该标识令牌供单次使用、单次验证、单次查询,过期将失效,完全杜绝现有的验证方式中存在的一次验证永久使用的问题。
[0050]对应地,在步骤S102中:将标识令牌和收集到的用户设备信息、网络信息以及指定操作行为信息一同发送给服务器侧,以供服务器对标识令牌进行验证。
[0051]图2示出了本发明提供的基于交互操作的验证方法的实施例二的流程图。本实施例是从服务器侧角度描述的方法,如图2所示,本方法包括如下步骤:
[0052]步骤S201,接收用户设备在获取到用户执行的指定操作之后收集并发送的用户设备信息、网络信息以及指定操作行为信息。
[0053]步骤S203,根据用户设备信息、网络信息以及指定操作行为信息进行验证得到验证结果。
[0054]步骤S205,将验证结果反馈给用户设备。
[0055]进一步的,在上述步骤S201之前,本方法还可包括:步骤S200,接收用户设备发送的验证请求,为指定操作生成唯一的标识令牌,将标识令牌返回给用户设备。
[0056]在上述步骤S203之前,本方法还包括:步骤S202,查询标识令牌是否有效,若是,则执行步骤S203;若否,则判定指定操作为无效操作,即得到指定操作为无效操作的验证结果,随后跳转到步骤S205,具体为将判定为无效操作的验证结果返回给用户设备。
[0057]本发明服务器侧配置有风险分析引擎,该风险分析引擎与数据库相连,数据库用来进行信息存储、查询、处理等操作,数据库中存储的信息包括但不仅限于:有效设备的多项参数信息(如某一用户设备平台类型和用户设备型号对应的用户设备屏幕大小及分辨率、用户设备CHJ数量等参数信息)、设备ID、IP地址和/或MAC地址黑名单等,除此之外,还包括:用户近N次的指定操作轨迹、操作切入角度、操作频率、操作行为发生的地理位置(可根据IP地址来确定)。对于合法有效设备,指定操作轨迹至少包括用户操作过程中主要途经点的像素坐标和时间,根据像素坐标和时间可计算用户操作的速度和加速度等用户操作速率信息。风险分析引擎对用户设备发送过来的收集信息进行分析处理,得到验证结果,并将验证结果返回给客户端。其中,设备ID是根据用户设备采集到的用户设备信息和网络信息计算出来的,给每一个采集到的参数信息以一定的权重预设,然后根据参数和参数权重按照某一算法计算出一个值,使该值唯一标识该用户设备,即设备ID唯一的标识一个用户设备。
[0058]在上述步骤S203中,服务器可以验证用户设备是否为有效设备,还可以验证用户操作是否为有效操作。具体而言,如图3所示,步骤S203可以包括如下子步骤:
[0059]步骤S300,判断用户设备信息和/或网络信息是否为空,若是,则执行步骤S304;否贝1J,执行步骤S301。
[0060]若用户设备信息和/或网络信息中的某些必需信息无法采集到,即为空的话,则判定此用户设备为无效设备。
[0061]步骤S301,将用户设备信息与数据库内存储的相同用户设备平台类型的信息进行匹配,判断是否匹配一致,若是,则执行步骤S302;若否,则执行步骤S304。
[0062]将采集到的参数信息与数据库中存储的同一用户设备平台类型的信息进行匹配,例如匹配用户设备屏幕大小及分辨率,用户设备CPU数量等参数信息是否一致,若存在不一致的情况则判定此用户设备为无效设备。
[0063]步骤S302,判断IP地址和/或MAC地址是否属于数据库中的IP地址黑名单和/SMAC地址黑名单,若是,则执行步骤S304;若否,则执行步骤S303。
[0064]将采集到的IP地址和/或MAC地址与数据库中的IP地址黑名单和/或MAC地址黑名单作对比,判断此用户设备是否使用代理IP,是否为VPN(Virtual Private Network,虚拟专用网络)访问,是否为模拟器/虚拟机,若采集到的IP地址和/或MAC地址在对应的黑名单内,那么判定此用户设备为无效设备。
[0065]步骤S303,得到用户设备为有效设备的验证结果。
[0066]步骤S304,得到用户设备为无效设备的验证结果。
[0067]进一步的,如果以上步骤S300至步骤S302都没有将用户设备判定为无效设备,那么接下来风险分析引擎将继续验证用户操作是否为有效操作,即在步骤S303之后,步骤S203还包括:
[0068]步骤S305,判断操作切入角度相对于数据库中记录的相同设备ID的多次用户操作的操作切入角度来说是否为固定不变的,若是,则执行步骤S310;否则,执行步骤S306。
[0069]由于数据库内记录有用户近N次的操作切入角度,根据设备ID查询到多次用户操作的操作切入角度,判断操作切入角度是否为固定不变的,若是,则判定此次操作为脚本操作,即用户操作为无效操作。
[0070]步骤305之前还可以包括判断指定操作行为信息中是否包括操作切入角度;若存在,继续执行步骤S305;否则判定此次操作为脚本操作,即用户操作为无效操作。
[0071]由于脚本操作的时候,操作开始点可能会与预设操作路径的起点重合,操作不用切入便直接进入预设操作路径,此时可以认为不存在操作切入角度,可以直接判定该操作为无效操作。当操作开始点与预设操作路径的起点不重合,此时可以认为是存在操作切入角度。当存在操作切入角度的时候,进一步执行步骤305。该方案尤其适用于网页版的场景中,网页版中,若为用户的有效操作,指定操作之前鼠标停留的位置为操作开始点,而该操作开始点在进行指定操作之前,与预设操作路径的起点不可能精确重合,因此用户的有效操作,务必存在操作切入角度。
[0072]步骤S306,将操作轨迹进行分段,分别计算各个分段的用户操作速率信息,判断各个分段的用户操作速率信息是否保持一致,若是,则执行步骤S310;否则,执行步骤S307。
[0073]若此次用户执行滑动操作速率保持一致,没有明显起始、结束速度变化,则认为此次操作行为不安全,为无效操作。
[0074]步骤S307,判断操作轨迹与数据库中记录的相同设备ID的多次用户操作的操作轨迹是否为相同的,若是,则执行步骤S310;否则,执行步骤S308。
[0075]由于数据库内记录有用户近N次的指定操作轨迹,将此次操作轨迹与数据库中已有的轨迹数据进行对比,如果同一其他属性下(同一IP、同一设备ID)出现多个相同的操作轨迹则判定此次用户操作为不安全行为,为无效操作。
[0076]步骤S308,结合设备ID,查询数据库中记录的相同设备ID的出现频率和/或操作行为发生的地理位置,分析用户设备的行为风险程度,判断行为风险程度是否高于设定阈值,若是,则执行步骤S310;否则,执行步骤S309。
[0077]当通过以上几个步骤都没有发现用户操作有不安全性的问题时,本方法还可进一步分析行为风险程度,进而确定验证结果。具体地,结合设备ID,根据该用