(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210643226.8 (22)申请日 2022.06.08 (71)申请人 中国电信股份有限公司 地址 100033 北京市西城区金融大街31号 (72)发明人 马稼明　姜齐　潘路平　杨梅　 朱吴威　李永骁　 (74)专利代理 机构 北京润泽恒知识产权代理有 限公司 1 1319 专利代理师 苏培华 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/32(2006.01) (54)发明名称 一种验证信息生成方法、 验证方法及装置 (57)摘要 本发明提供了一种验证信息生 成方法、 验证 方法及装置， 方法包括： 响应于客户端发送的验 证信息生成请求， 生成针对客户端的唯一识别 码， 并获取验证信息生成请求中携带的客户端的 通信地址； 生成验证图像， 以及用于反映验证图 像包含的验证信息的正确答案； 将唯一识别码、 通信地址拼接生成第一校验信息； 根据唯一识别 码、 通信地址、 正确答案和预设的全局密钥， 生成 第一签名信息， 并将第一签名信息、 第一校验信 息和验证图像发送给客户端。 本发 明整个校验 过 程对服务端本地缓存的依赖较小， 进而使得服务 端的缓存压力较小， 在高并发场景下， 能够便于 展开对缓存性能的拓展。 权利要求书3页 说明书13页 附图7页 CN 114978742 A 2022.08.30 CN 114978742 A 1.一种验证信息生成方法， 其特 征在于， 该 方法包括： 响应于客户端发送 的验证信息生成请求， 生成针对所述客户端的唯一识别码， 并获取 所述验证信息生成请求中携带的客户端的通信地址； 生成验证图像， 以及用于反映所述验证图像包 含的验证信息的正确答案； 将所述唯一识别码、 所述 通信地址拼接生成第一校验信息； 根据所述唯一识别码、 所述通信地址、 所述正确答案和预设的全局密钥， 生成第 一签名 信息， 并将所述第一签名信息、 所述第一校验信息和所述验证图像发送给 所述客户端。 2.根据权利要求1所述的方法， 其特征在于， 在所述将所述唯一识别码、 所述通信地址 拼接生成第一校验信息之前， 还 包括： 根据预设的验证 留存时长以及 响应于所述验证信 息生成请求 时的时刻， 确定验证过期 时刻。 3.根据权利要求2所述的方法， 其特征在于， 所述将所述唯一识别码、 所述通信地址拼 接生成第一校验信息， 包括： 将所述唯一识别码、 所述 通信地址和所述验证过期时刻拼接生成所述第一校验信息； 所述根据唯一识别码、 所述通信地址、 所述正确答案和预设的全局密钥， 生成第 一签名 信息， 包括： 根据所述唯一识别码、 所述通信地址、 所述正确答案、 所述验证过期时刻和预设的全局 密钥， 生成第一签名信息 。 4.根据权利要求1所述的方法， 其特征在于， 所述将所述第一签名信息、 所述第一校验 信息和所述验证图像发送给 所述客户端， 包括： 将所述第一校验信 息添加至验证令牌的有效载荷域， 以及将所述第 一签名信 息添加至 所述验证令牌的签名域； 将所述验证令牌和所述验证图像发送给 所述客户端。 5.一种验证方法， 其特 征在于， 该 方法包括： 响应于客户端发送 的校验请求， 所述校验请求包括： 用户针对验证图像在所述客户端 输入的验证输入内容、 第二签名信息、 第二校验信息， 以及所述 客户端的通信地址； 在确定预设的存储片区中未存储有所述第 二校验信 息中的唯一识别码的情况下， 提取 所述第二校验信息中的通信地址； 所述存储片区中存储有已验证通过的客户端的唯一识别 码； 在所述第二校验信息中的通信地址， 与所述客户端的通信地址一致的情况下， 基于预 设的全局密钥、 所述第二校验信息和所述验证输入内容， 生成第三签名信息； 在所述第三签名信 息和所述第 二签名信 息一致的情况下， 确定对所述客户端的验证通 过。 6.根据权利要求5所述的方法， 其特征在于， 所述第二校验信息中包含： 根据预设的验 证留存时长， 以及响应于客户端的验证信息生成请求时的时刻所确定的验证过期时刻； 所述在所述第二校验信息中的通信地址， 与所述客户端的通信地址一致的情况下， 基 于预设的全局密钥、 所述第二校验信息和所述验证输入内容， 生成第三签名信息， 包括： 在所述第二校验信息中的通信地址， 与所述客户端的通信地址一致的情况下， 比较响 应于所述校验请求的时刻和所述第二校验信息中的验证过期时刻， 获得比较结果；权　利　要　求　书 1/3 页 2 CN 114978742 A 2在所述比较结果为： 响应于所述校验请求的时刻早于所述第 二校验信 息中的验证过期 时刻的情况下， 基于预设的全局密钥、 所述第二校验信息和所述验证输入内容， 生成所述第 三签名信息； 在所述比较结果为： 响应于所述校验请求的时刻晚于所述第 二校验信 息中的验证过期 时刻的情况 下， 进行当前验证过期的第一预警通知。 7.根据权利要求5所述的方法， 其特征在于， 所述校验请求包括： 所述验证输入内容、 验 证令牌和所述客户端的通信地址； 所述验证令牌的签名域中包含所述第二签名信息、 所述 验证令牌的有效载荷域中包 含所述第二校验信息 。 8.根据权利要求5所述的方法， 其特 征在于， 还 包括： 在确定所述存储片区中存储有所述第 二校验信 息中的唯一识别码的情况下， 进行当前 存在重放 攻击的第二预警通知； 在所述第二校验信息中的通信地址， 与所述客户端的通信地址不一致的情况下， 进行 当前存在签名盗用的第三预警通知； 在所述第三签名信 息和所述第 二签名信 息不一致的情况下， 进行答案输入错误或当前 存在通信地址篡改的第四预警通知； 在确定对所述客户端的验证通过的情况下， 将所述客户端的唯一识别码存储在所述存 储片区。 9.一种验证信息生成装置， 其特 征在于， 该装置包括： 第一响应模块， 用于响应于客户端发送的验证信息生成请求， 生成针对所述客户端的 唯一识别码， 并获取 所述验证信息生成请求中携带的客户端的通信地址； 第一生成模块， 用于生成验证图像， 以及用于反映所述验证图像包含的验证信息的正 确答案； 第二生成模块， 用于将所述唯一识别码、 所述 通信地址拼接生成第一校验信息； 第三生成模块， 用于根据 所述唯一识别码、 所述通信地址、 所述正确答案和预设的全局 密钥， 生成第一签名信息， 并将所述第一签名信息、 所述第一校验信息和所述验证图像发送 给所述客户端。 10.一种验证装置， 其特 征在于， 该装置包括： 第二响应模块， 用于响应于客户端发送的校验请求， 所述校验请求包括： 用户针对验证 图像在所述客户端输入的验证输入内容、 第二签名信息、 第二校验信息， 以及所述客户端的 通信地址； 提取模块， 用于在确定预设的存储片区中未存储有所述第 二校验信 息中的唯一识别码 的情况下， 提取所述第二校验信息中的通信地址； 所述存储片区中存储有已验证通过的客 户端的唯一识别码； 第四生成模块， 用于在所述第二校验信息中的通信地址， 与所述客户端的通信地址一 致的情况下， 基于预设的全局密钥、 所述第二校验信息和所述验证输入内容， 生成第三签名 信息； 校验模块， 用于在所述第三签名信息和所述第二签名信息一致的情况下， 确定对所述 客户端的验证通过。 11.一种电子设备， 其特 征在于， 包括： 处 理器；权　利　要　求　书 2/3 页 3 CN 114978742 A 3