[发明专利]一种安全验证方法及装置

说明书

技术领域

本申请涉及信息安全技术领域，尤其涉及一种安全验证方法及装置。

背景技术

目前，验证码技术在互联网领域得到了广泛的应用，比如，用户在登录客户端时通常需要输入验证码，在向商户付款时也需要输入验证码，可见，验证码技术对保障用户安全起着非常重要的作用。

现有技术中，验证码通常都是由数字和字母组成，这类验证码往往通过添加干扰，比如底纹、线条等，来提高被程序识别的可能，但如果添加太多干扰因素则会增加用户识别验证码的难度，而且，由数字和字母组成的验证码目前已经可以被程序自动识别。

此外，还有一些验证要求比较高的验证技术，比如利用图片信息，或轨迹信息进行验证。具体地，如果利用图片进行验证，可以向用户提供一张不完整的图片，并提供几个候选图形，用户选中某个候选图形之后，拖动至图片中的空缺位置，如果可以与该图片拼成一个完整的图片，则验证通过。这种验证码技术虽然提高了验证要求，但也有可能被程序自动识别，因此，也不能很好地降低恶意访问的通过率。

可见，现有的验证码技术存在着容易被恶意程序自动识别，验证安全性低的问题。

发明内容

本申请实施例提供一种安全验证方法及装置，用以解决现有的验证码技术存在的容易被恶意程序自动识别，验证安全性低的问题。

本申请实施例提供的一种的安全验证方法，包括：

客户端向验证码平台发送安全验证请求；

接收验证码平台发送的验证题目；其中，验证题目用于指示用户完成指定动作；

采集用户的动作轨迹信息；

向业务服务器发送携带动作轨迹信息的业务请求，以使业务服务器将动作轨迹信息发送至验证码平台进行验证；

接收业务服务器基于验证码平台的验证结果返回的响应信息。

可选地，采集用户的动作轨迹信息，包括：

通过传感器采集用户的动作轨迹信息。

可选地，客户端向验证码平台发送安全验证请求之前，还包括：

获取用户的业务信息，并将该业务信息缓存在本地；

向业务服务器发送携带动作轨迹信息的业务请求，包括；

将缓存的业务信息以及动作轨迹信息携带在业务请求中，发送给业务服务器。

可选地，向业务服务器发送携带动作轨迹信息的业务请求之前，该方法还包括：

为动作轨迹信息添加时间戳；该时间戳为采集完用户的动作轨迹信息的时间，以使验证码平台根据该时间戳与发送验证题目时的时间之间的时间间隔，确认该动作轨迹信息的有效性。

可选地，向业务服务器发送携带动作轨迹信息的业务请求之前，该方法还包括：

对动作轨迹信息进行加密。

本申请实施例还提供一种安全验证方法，包括：

验证码平台接收客户端发送的安全验证请求；

为客户端生成验证题目，并将该验证题目发送给客户端；其中，验证题目用于指示用户完成指定动作；

接收业务服务器发送的客户端采集的用户的动作轨迹信息；

基于为客户端生成的验证题目，对用户的动作轨迹信息进行验证，并将验证结果发送给业务服务器。

可选地，动作轨迹信息中包含时间戳；

基于为客户端生成的验证题目，对用户的动作轨迹信息进行验证，包括：

确定动作轨迹信息中的时间戳与发送验证题目时的时间之间的时间间隔；

根据确定的时间间隔，确定动作轨迹信息的有效性。

可选地，基于为客户端生成的验证题目，对用户的动作轨迹信息进行验证，包括：

对动作轨迹信息进行解密，在解密成功后，对解密后的动作轨迹信息进行验证。

本申请实施例还提供一种安全验证方法，包括：

业务服务器接收客户端发送的业务请求，该业务请求中携带有用户的动作轨迹信息和业务信息，该动作轨迹信息为用户基于验证码平台返回的验证题目完成的指定动作的轨迹信息；

将用户的动作轨迹信息发送给验证码平台进行验证；

接收验证码平台返回的验证结果；

基于验证结果，向客户端发送响应信息。

可选地，基于验证结果，向客户端发送响应信息，包括：

若验证结果为验证成功，则对业务请求中的业务信息进行验证；

在对业务信息验证成功后，向客户端发送指示业务请求成功的响应信息，否则，向客户端发送指示业务请求失败的响应信息。

本申请实施例提供的一种的安全验证装置，包括：

验证请求发送模块，用于向验证码平台发送安全验证请求；