身份认证技术-第五章 人机区分

目录CONTENTS01人机交互02验证码03短信验证码XidianUniversity01人机交互XidianUniversity1人机交互人机交互起源于计算机智能化的飞速发展，从人工智能到图灵测试，再到人机交互证明，都是人机交互的重要关联知识。XidianUniversity研究使计算机模拟人的某些思维过程和智能行为的学科。具有模仿人类行为的各种计算方式，可以定义为智能。分为弱人工智能和强人工智能。人工智能由计算机科学和密码学的先驱AlanTuring提出，目的是评估机器的智能水平与人类的智能水平有多接近。利用人和机器的差异性来测试机器是否具备人类智能。测试者通过被测试的人和机器对于所提问题的各种反应来判断是人还是机器。图灵测试图灵测试示意图02验证码XidianUniversity2验证码验证码，英文名称为CAPTCHA（CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自动区分计算机和人类的图灵测试），即用来区分机器和人类的全自动公共图灵测试。XidianUniversity验证码身份认证流程安全性：安全性代表实用验证码保护网站免受任何未经授权访问的方式，包括使用复杂的编程元素，使得验证码更加安全，即验证码应该以计算机几乎无法解决的方式进行设计编程。可用性：可用性是对用户解决验证码难易程度的描述，它与人类用户如何找到验证码难题的正确解决方案紧密相连。实用性：实用性代表了验证码编程实现的方式，需要保证用户可以在计算机、平板电脑或者是智能移动手机上任何网络浏览器都能够轻松解读验证码。XidianUniversity2.1验证码特性XidianUniversity2.1验证码特性XidianUniversity在设计验证码时需要全面分析考虑验证码可用性和安全性的平衡：注意统计实验的用户数量足够，统计应该具有普遍性；追求安全性的同时，充分考虑到各种验证码方案形式，以尽可能改善用户体验。2.1验证码特性XidianUniversity2.2验证码分类文本验证码图像验证码语音验证码游戏验证码行为验证码其他验证码基于英文文本的2D验证码加入字符扭曲，重叠，残缺等机制；加入干扰背景，干扰线，字符字体及颜色变换等安全机制。基于中文字符的2D验证码中文验证码与英文验证码类似，往往加入干扰背景，字符扭曲，字体变换等措施以提高其安全性。XidianUniversity文本验证码基于人类对文本字符的识别能力设计新浪微博PayPal百度it168点选验证码部署在中文网站上的点选验证码通常要求用户按顺序点击图片中的中文字符。3D文本验证码基于人类可轻松识别3D物体，而计算机对3D物体的识别存在局限性这一事实设计。XidianUniversity文本验证码基于人类对文本字符的识别能力设计ClickableCAPTCHAQQ安全中心小盾DotCHAXidianUniversity文本验证码1.基本逻辑简单，生成成本较低；2.从可用性角度来看，文本验证码依赖人类的视觉能力和对字符的识别能力，即使加入字符扭曲，干扰等安全机制，真实用户依然可以快速、准确的识别字符，通过测试所需步骤和时间较少，用户可用性较高；3.没有额外的记忆内容和较高的硬件要求，资源需求量小，是最易广泛部署的验证码类型。优势1.即使添加了各种安全机制，总体来说易受到OCR及机器学习的攻击，安全性较差；2.无法满足所有人群需求，如不适合有视力障碍的人群。缺陷向用户提供多张候选图片及一段提示语句，要求用户按照提示语句选择符合要求的图片。完成此类验证码主要依赖人类的物体分类能力，即快速判断图像中物体所属类别。基于物体分类物体分类给出一张图片，要求用户捕捉该图片中细节内容，并根据提示点击图像对应位置，此类验证码主要依赖人类对图像细节的感知能力。基于细节感知细节感知在一张验证码图片中展示多个颜色、形状、大小均不相同的物体，用户需要根据提示在所有物体中选出符合描述的物体，提示中可能包含物体个体属性和物体间抽象关系。基于视觉推理视觉推理按表现形式可分为图片验证码和视频验证码两种，其中视频验证码通常基于人类对图像内容的语义提取能力实现。基于语义提取语义提取XidianUniversity图像验证码基于人类对图像的感知及处理能力XidianUniversity基于物体分类的图像验证码AsirraGooglereCAPTCHAFR-CAPTCHATICS

要求用户选择与示例图片和描述相同类别的图像要求用户根据提示选择相应图像

要求用户选择出现两次的人脸图像，所有图像添加了噪音干扰要求用户根据描述点击对应图像，全部图像均为合成图像XidianUniversity基于细节感知的图像验证码ImplicitCAPTCHASACaptcha网易

要求用户根据提示点击图片中对应位置要求用户点击提示对应的形状区域，图片中存在变色区域块要求用户根据提示按序点击前景图像，前景图像颜色有区别XidianUniversity基于视觉推理的图像验证码腾讯顶象网易

要求用户根据提示点击对应物体要求用户根据提示点击对应物体，存在2D与3D图形要求用户根据提示点击对应物体，答案物体多为字母或数字XidianUniversity基于语义提取的图像验证码MotionCAPTCHAKluever’sCAPTCHAAdvertisementCAPTCHA

要求用户选择可以描述视频中人物运动的选项要求用户观看视频，并提供三个最能描述视频的词汇要求用户观看广告视频并选择广告描述的产品语音验证码基于人类产生或识别语音的能力；要求用户识别包含有背景噪音的音频内容，或根据提示产生可用于验证的音频。声学验证码基于人类检测和识别声音事件的能力XidianUniversity音频验证码向用户提供一段音频，要求用户识别音频中的内容并根据规定指令完成测试reCAPTCHA语音验证码Non-speechAudioCAPTCHAHIPUUXidianUniversity音频验证码对视障人士友好；以人类听觉为出发点设计，用户可用性较好；通过验证码所需时间和资源成本较小；对于计算机来说识别由噪音干扰的音频存在困难，而对于人类可轻松排除噪音干扰。优势大多数语音验证码以英语为基础语言开发，对理解英语困难的用户并不友好；听觉具有一定主观性，相似的声音和字母发音容易混淆用户，导致真人用户在音频验证码上通过率也可能较低；当下计算机听觉技术的发展可在一定程度上模拟人类听觉能力，计算机在音频验证码上能以一定概率通过测试，并且随着技术的发展，噪音干扰也无法抵抗计算机对音频的准确识别。缺陷XidianUniversity游戏验证码游戏验证码让用户完成指定小游戏来实现验证过程，试图让解决验证码的任务变得有趣。与传统图像验证码不同之处在于，游戏验证码不仅要求用户的图像处理能力，同时需要一定常识和行为动作能力，可以被视作图像验证码的升级挑战。XidianUniversity游戏验证码1）趣味性强，对用户来说体验更好；2）人类可轻松理解游戏规则并完成，对计算机来说破解成本较高，因此游戏验证码整体安全性较高；3）形式多样，很难产生通用性攻击方法。优势1）设计步骤较复杂，生成代价大，难以广泛部署；2）资源需求量大，具有较高的环境要求以加载游戏；3）相较于传统验证码，用户通过游戏验证码所需时间更长。缺陷滑动验证码要求用户通过鼠标滑动滑块，以控制图块位置或图形旋转角度，最终完成图块复原或将图形旋转至指定角度。基于滑动滑动验证码拼图验证码要求用户通过拖放来交换图块位置或组合图块，最终形成完整图像。基于拼图拼图验证码计算机在绘制图案时遵循一定几何原则，而真人用户的鼠标轨迹往往速度不定且充满抖动等不定因素，拖拽验证码便是通过监测用户鼠标轨迹的方式区分真人用户和自动程序。基于拖拽拖拽验证码XidianUniversity行为验证码依据用户解决图像问题和根据指令完成规定动作的能力设计，通常向用户提供验证码图像和行为指令，用户需要根据行为指令在验证码上进行规定动作以完成验证。腾讯数美百度顶象

滑动控制图形碎片的滑块完成拼图除图形碎片对应的缺口外，图片中还存在干扰缺口滑动滑块直至将图片旋转至正向滑动滑块直至将中心图案还原至与背景契合的正确方向XidianUniversity滑动验证码网易Gao’sCAPTCHACapyCAPTCHAHamid’sCAPTCHA

交换两个图片碎片，使图片复原交换图块复原图像，图块边缘进行了添加噪声处理

将下方展示的拼图拖动至图片缺省处，复原图像将左侧四个图块复原成右侧展示图像XidianUniversity拼图验证码XidianUniversity拖拽验证码VAPTCHAMotionCAPTCHA

观察图片中给出的轨迹，拖拽鼠标绘制相同轨迹拖拽鼠标绘制图中给出的图形XidianUniversity行为验证码行为验证码不仅依赖用户对图像的感知和处理能力，并且依靠用户使用鼠标产生的行为动作对用户身份进行验证，相较于图像验证码而言，行为验证码具有更高的安全性；此外，行为验证码基于人的行为产生，不需要用户具备额外知识，覆盖人群更广，易用性较好。优势行为验证码以图像为媒介，某些行为验证码对视力障碍人群并不友好；并且，为了通过行为验证码，用户需要使用鼠标完成动作，而部分验证码为提高安全性设计出较为复杂的行为指令，需要用户花费更多时间通过验证码；最后，行为验证码不仅需要提供图像资源，同时需要分析用户行为结果以进行身份判定，这一过程要求更高的成本，因此较传统验证码，行为验证码部署更加复杂。缺陷无感知验证reCAPTCHA需要用户点击“进行人机身份验证”或“我不是机器人”的复选框，后台系统会自动收集与用户行为相关的信息，如鼠标移动、点击位置、在复选框上停留时间等，并根据这些信息对用户身份进行判定。XidianUniversity其他验证码(a)NoCAPTCHAreCAPTCHA(b)InvisiblereCAPTCHA对抗验证码为了解决传统验证码易被机器学习攻击的问题，对抗验证码应运而生；2017年，Osadchy等人首次将对抗样本应用于验证码设计，提出一种基于物体分类的对抗图像验证码——DeepCAPTCHA。XidianUniversity其他验证码DeepCAPTCHA对抗样本XidianUniversity2.3验证码安全性作为一种网络系统安全保护机制，验证码本身具有与生俱来的安全属性，与其他网络安全机制一样面临被攻击的安全风险，并需要对如何有效防御的问题进行研究。文本验证码安全性1)多步攻击针对文本验证码自动破解的实际任务是识别图像中的文字内容，由于早期的光学字符识别技术难以同时应对多个字符识别，早期的文本验证码破解，主要包含三个步骤。文本验证码分步破解流程XidianUniversity2)端到端攻击分步破解方法虽然能够成功破解文本验证码，但是其步骤相对繁琐，且每一步的结果会直接影响下一步的效果，导致最终整体的破解成功率非常不稳定。能否对单张验证码所有文本进行一次性端到端识别，成为了新的讨论焦点。RNN和注意力机制的提出，解决了这个问题。传统的CNN虽然无法对多个字符同步识别，但是引入长短期记忆LSTM、RNN之后的深度神经网络，能够对字符序列进行时序处理，从而达到完整识别的目的。文本验证码安全性XidianUniversity①

CRNN将卷积神经网络（CNN）和循环神经网络（RNN）相结合，首先使用卷积神经网络进行验证码图像的特征提取工作，其次使用循环神经网络的不同存储单元连接文本序列，计算每个字符的权重。文本验证码安全性CRNN考虑到自然场景下文本形式变化、光照、遮挡等因素；不需要人工对字符进行逐个标注，可以以序列标注的方式进行训练，大大降低了工作量；使用双向LSTM循环网络进行时序训练，并引入CTC损失函数来实现端到端变长序列数据处理，是当前文本识别领域最优模型之一。XidianUniversity②

注意力机制赖于循环神经网络在特征序列上产生注意力向量，然后按顺序对每个字符进行分类，以实现特征提取到分类的一步操作。随着图像分辨率升高，神经网络处理图像分类任务时计算量成线性增长，借鉴人类处理图像时利用直觉注意力把握重点信息的思路，深度学习中提出提取关键信息，联合构建整体信息的Attention机制。文本验证码安全性Attention机制应用于文本验证码一步破解XidianUniversity③MaskR-CNN结合实例分割的深度对象检测网络也可以处理基于文本的验证码破解工作，如FasterRCNN网络。该方法从检测网络输出的物体边界框和分类标签学习物体定位和分类，测试时即可完成字符定位到分类的一步实现。增加了用于提高分类精度的Mask分支，根据分类得到的物体种类选择Mask产生二值掩模，最终分类取决于掩模预测。这样避免了类间竞争，达到了比其他目标检测网络更高的精确度。文本验证码安全性使用MaskR-CNN端到端破解文本验证码XidianUniversity④

迁移学习基于深度学习的方法虽然高效，但是由于深度识别模型需要大量样本集来完成训练，而在现实情况中，受到网页多方限制，收集真实样本并非易事，且对收集到的数据进行标签标注也需要耗费人力成本。如何解决模型对样本的需求从而真正提高破解效率成为了新的破解瓶颈。迁移学习的应用有效解决了这个难题。文本验证码安全性基于迁移学习的文本验证码破解XidianUniversity图像验证码安全性1）针对基于物体分类的图像验证码破解基于物体分类的图像验证码通常向用户给出一系列图像，要求用根据提示选出包含对应物体的图像以通过测试。实现这类验证码的破解面临三个问题：验证码提示语句和图像标签都难以直接运用到监督学习中；没有预训练的深度卷积神经网络可用于提示语句和图像的识别；需要实现高效、实时的验证码破解。12306图像验证码破解流程XidianUniversity图像验证码安全性2）针对基于细节感知的图像验证码破解基于细节感知的验证码通常包含复杂的背景图像，需要用户根据提示仔细观察图像并提取细节信息，最终确定答案在图像中的位置以通过测试。为了通过测试，用户需要根据提示按顺序点击验证码图像中的小图标以通过测试。针对此类验证码的破解可以分为两个阶段：预处理和求解。二阶段破解基于点击的细节感知图像验证码基于点击的细节感知图像验证码XidianUniversity图像验证码安全性3）针对基于视觉推理的图像验证码破解基于视觉推理的验证码可以使用模块化和端到端方法破解。模块化方法分别从验证码提示语句和验证码图像出发，分为语义解析、物体检测、物体分类、整合四个模块。语义解析模块负责推理完成任务所需的推理步骤，检测和分类模块定位前景对象并提取每个对象的颜色、形状、大小、位置等信息，集成模块参考语义解析模块得到的推理过程综合所有对象属性得到最终预测答案。针对视觉推理验证码的模块化攻击针对视觉推理验证码的端到端攻击XidianUniversity图像验证码安全性4）针对基于语义提取的图像验证码破解基于语义提取的图像验证码依靠人类对视频的处理理解能力设计。2019年提出一种多模态语义注意网络（MSAN），使用编码-解码器框架可实现对视频的语义提取。视频语义提取XidianUniversity音频验证码安全性自动语音识别是一种允许机器识别人类语音语义的技术，当前各个平台都有大量的自动语音识别（ASR）系统。典型传统的自动语音识别系统主要包含基于预训练的模型的特征提取和解码两个部分。自动语音识别自动语音识别系统的体系结构语音验证码破解流程攻击主要包括三个部分：第一个部分负责浏览器自动化，处理所有与浏览器相关的操作，包括爬取网页，提取音频验证码，下载音频等操作，并且避免被验证码服务当中的机器人检测到；第二个部分是将音频记录传递到语音识别服务进行的一系列必要的预处理和配置操作；第三个部分是进行音频转录后的文本的后处理，准备将转录文本提交给语音验证码服务。XidianUniversity其他验证码安全性两阶段破解方法适用于大多数行为验证码破解：预处理进行定位；模拟用户行为完成测试。行为验证码两阶段破解行为验证码利用人类的推理能力和解决问题能力来构建安全屏障以区分人机；对问题中的语义进行解析后再对