[发明专利]基于Ajax获取变长交互性验证码的方法

说明书

(一)技术领域

本发明涉及的是一种网络安全保护方法，具体地说是一种采用了验证码进行网络安全保护的方法。

(二)背景技术

随着技术的发展，网络给人们提供了一种方便的信息交流平台，同时也给黑客们提供了广阔的空间，在线破解对网络安全的威胁越来越大，为了确保诸如网站注册、用户登录与数据提交等的安全性，防止软件的暴力破解，如今越来越多的网站都采用了验证码技术。当前，验证码的形式日益丰富，从数字验证到图片验证，但其自身的安全性却为不太理想。

专利申请号为200510111302.7以及200510111902.3，名称为“图片验证码的实现方法”的专利申请文件中记载的技术方案，是通过简单图片的形式作为验证码，系统从服务器端大量已存在的图片列表中随机取出图片回送到客户端显示，这种回送过程是一次完成的，不存在交互过程，一次回送方便了OCR软件的自动识别，而且在服务器端存储大量已知图片的方式增加了穷举破解的可能性。

(三)发明内容

本发明的目的在于提供一种所产生的验证码总长度是在一个范围内随机的，根据用户的输入来产生下一位验证码的能增加网络的安全性能的基于Ajax获取变长交互性验证码的方法。

本发明的目的是这样实现的：

(1)用户访问需要填写验证码的页面；

(2)系统初始化验证码长度；

(3)用户填写其他信息；

(4)用户准备填写验证码时，系统产生两位验证码；

(5)用户每输入一位验证码，系统产生下一位验证码，将现有验证码左移一位，同时拼接上将新产生的验证码；

(6)用户将产生的验证码输入完毕提交页面。

本发明针对现今流行验证码的缺点，采用一种不同形式的验证码技术，提出基于Ajax的变长交互性验证码技术。“变长”是指每次请求需要填写验证码的页面时，所产生的验证码总长度是在一个范围内随机的，用户在不同时间访问页面时需要填写的验证码长度不同。“交互性”是指用验证码并不是一次性显示在页面上，而是根据用户的输入来产生下一位验证码，同时为了保证在交互过程达到无刷新数据获取的功能，采用了Ajax技术来改善用户体验。

本发明适用于各种需要验证码来控制用户行为的网站，如网站注册，用户登录，数据提交等。由于采用了Ajax的请求服务，使验证码由服务器分多次传送到客户端，加上变长验证码的特性，使防破解程序难以获知每次验证时的验证码长度，增加了验证码的防破解能力，保证了网站的安全。本方法验证码对用户的呈现形式可以是数字也可以是图片，图片形式的验证码再加上有效的干扰背景可以进一步发挥验证码的作用，解决了其它形式的验证码因防破解能力不够造成的用户信息泄漏，垃圾邮件，服务器SQL注入攻击等安全威胁。

用户请求需要填写验证码的Web页时，服务器产生一次会话，在会话中随机设置本次会话的验证码长度，用户在开始准备输入验证码时，Ajax请求服务器，生成两位验证码数字或图片的形式返回到客户端，客户端用户输入完一位验证码后，Ajax立即请求服务器，随机生成下一位验证码，拼接上前面生成的验证码，并左移一位返回到客户端，用户继续输入，Ajax继续请求，直到验证码长度达到本次会话验证码设置的长度。

采用了此验证方式后，增加了网站的安全性，增加了OCR软件的识别能力。

(1)由于验证码长度是随机的，增加了破解程序获知某次会话产生的验证码的长度的难度，同时增加了OCR识别软件确定将截获的图片分解成字符的难度。

(2)由于验证码是交互过程中产生，而不是一次产生，所以破解程序无法通过一次请求获取所有的验证码。要想获取所有的验证码OCR软件还需要分多次分析字符，每次的分析失败几率的累积可以导致整体识别失败几率的增大，从而达到增加破解难度的目的。

(3)由于验证码下一位的值依赖于上一位，所以上一位的OCR识别错误延但到下一位，同样增加了失败的几率。

(4)由于在新获取一位验证码后，原验证码需要左移一位，所以在整个交互过程中不会暴露这次总体会话中的完整验证码，所以OCR软件无法企图通过等到最后一位验证码到来时进行验证码识别，于是增加了破解的难度。

(四)附图说明

附图是本发明的流程框图。

(五)具体实施方式

下面结合附图举例对本发明做更详细地描述：

结合附图，本发明的具体实施步骤为：

(1)用户请求需要填写验证码的页面；

(2)服务器设置产生一次会话session；

(3)在session中存储本次会话中验证码的长度，一般在4到6位；