本發(fā)明公開了基于多圖層的圖形驗(yàn)證碼生成方法，針對B/S架構(gòu)WEB應(yīng)用系統(tǒng)中典型漏洞、流行的攻擊技術(shù)、AJAX的隱藏資源獲取、驗(yàn)證碼圖片識別等進(jìn)行研究，提出了一種新的面向WEB驗(yàn)證的驗(yàn)證碼，能夠較有效的防止識別驗(yàn)證碼；使隨機(jī)驗(yàn)證碼字符串和隨機(jī)干擾字符串分層顯示，從而大大增強(qiáng)圖形驗(yàn)證碼的安全性和有效性，能夠有效的提高網(wǎng)站的安全性，并且減少后端進(jìn)行額外的驗(yàn)證操作。

技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其涉及基于多圖層的圖形驗(yàn)證碼生成方法。

背景技術(shù)

驗(yàn)證碼(CAPTCHA)是一種區(qū)分用戶是計(jì)算機(jī)或人的公共全自動應(yīng)用程序。最早是在2002年由卡內(nèi)基梅隆大學(xué)的LuisvonAhn、ManuelBlum、NicholasJ.Hopper以及IBM的JohnLangford所提出的，其主要作用是利用人機(jī)自動區(qū)別的方法防止惡意程序自動注冊或登錄、惡意灌水、用特定程序暴力破解帳戶和密碼等網(wǎng)絡(luò)安全攻擊。由于驗(yàn)證碼技術(shù)簡單、易實(shí)現(xiàn)、傳輸數(shù)據(jù)較小，因此已被各大網(wǎng)絡(luò)系統(tǒng)特別是論壇性質(zhì)和需用戶登錄的網(wǎng)站廣泛使用，以防止論壇用戶惡意灌水、自動登錄等惡意行為發(fā)生，如國內(nèi)排名前100名的論壇中超過80％的論壇在注冊、登錄或發(fā)帖等功能模塊均采用了圖形驗(yàn)證碼技術(shù)。

惡意程序或真實(shí)用戶登錄具有圖像驗(yàn)證碼的網(wǎng)站系統(tǒng)時，應(yīng)用服務(wù)器通常會提供一幅具有驗(yàn)證碼字符串的圖片供用戶識別其中的驗(yàn)證碼信息，并將這些驗(yàn)證碼字符保存在Session中。真實(shí)用戶在驗(yàn)證碼信息輸入框中輸入驗(yàn)證碼字符串并通過Web應(yīng)用系統(tǒng)提交給應(yīng)用服務(wù)器，然后應(yīng)用服務(wù)器會自動驗(yàn)證用戶提交的驗(yàn)證碼和Session中保存的驗(yàn)證碼是否相同。若相同，應(yīng)用服務(wù)器就會響應(yīng)用戶的請求，否則會提示驗(yàn)證碼輸入錯誤并提供新的圖形驗(yàn)證碼以供用戶再次輸入驗(yàn)證碼信息。

然而，惡意程序一般利用圖像處理技術(shù)提取圖形驗(yàn)證碼中驗(yàn)證碼信息或者字符串遍歷的方法生成隨機(jī)字符串作為驗(yàn)證碼信息，然后偽造表單和識別的驗(yàn)證碼一起提交給服務(wù)器，其攻擊過程如圖1所示。網(wǎng)站系統(tǒng)中的圖形驗(yàn)證碼一般是一幅以圖片形式呈現(xiàn)的彩色圖像，惡意程序抓取圖形驗(yàn)證碼圖像之后，首先進(jìn)行圖像灰度變換，然后對其進(jìn)行二值化處理以去除干擾字符信息，最后通過圖像分割技術(shù)去除噪聲，把每個字符分割開來，識別驗(yàn)證碼中的驗(yàn)證碼信息并提交網(wǎng)站系統(tǒng)。然而，當(dāng)前大多數(shù)圖形驗(yàn)證碼只是利用隨機(jī)函數(shù)生成固定個數(shù)的驗(yàn)證字符，再對字符進(jìn)行扭曲或添加一些粘黏曲線，這些圖形驗(yàn)證碼雖然能夠很容易地被真實(shí)用戶區(qū)別，但同時也為惡意程序自動識別驗(yàn)證碼信息、攻擊網(wǎng)站系統(tǒng)提供了機(jī)會。

發(fā)明內(nèi)容

針對上述問題，本發(fā)明提出了基于多圖層的圖形驗(yàn)證碼生成方法，針對B/S架構(gòu)WEB應(yīng)用系統(tǒng)中典型漏洞、流行的攻擊技術(shù)、AJAX的隱藏資源獲取、驗(yàn)證碼圖片識別等進(jìn)行研究，提出了一種新的面向WEB驗(yàn)證的驗(yàn)證碼，能夠較有效的防止識別驗(yàn)證碼；使隨機(jī)驗(yàn)證碼字符串和隨機(jī)干擾字符串分層顯示，從而大大增強(qiáng)圖形驗(yàn)證碼的安全性和有效性。

本發(fā)明的基于多圖層的圖形驗(yàn)證碼由前景圖層和干擾圖層構(gòu)成，其中，前景層用于向用戶呈現(xiàn)系統(tǒng)產(chǎn)生的隨機(jī)長度和隨機(jī)位置的驗(yàn)證字符串，而干擾圖層用于混淆圖形驗(yàn)證碼中的驗(yàn)證字符串，其呈現(xiàn)的信息是系統(tǒng)隨機(jī)生成的隨機(jī)長度、隨機(jī)字體、隨機(jī)字符顏色、隨機(jī)字符大小的字符串，并且前景層和背景層的字符串取自于同一個候選數(shù)組，這樣更增加了前景層和背景層的相似度。為使背景圖層中的干擾信息呈現(xiàn)出來，需要對前景圖層設(shè)置一定的透明度，一般將其透明度設(shè)置為50％左右，以使惡意程序難以自動識別圖形驗(yàn)證碼中的驗(yàn)證字符串信息。