葉振

摘要：驗證碼是一種防止自動化腳本程序?qū)W(wǎng)站進行攻擊的重要技術。當前主流網(wǎng)站采用的驗證碼多是基于文本模式的，這種模式的驗證碼將一系列文本字符通過旋轉(zhuǎn)扭曲疊加的方式進行變形，然后再添加復雜干擾背景圖片等方式使自動化程序難以辨識。然而，這種文本驗證碼要么過于簡單，很容易被腳本采用光學字符識別（OCR）或者機器學習的方式所識別，要么由于過于復雜甚至連真正的用戶都難以正確的識別。觀察到文本驗證碼的這種安全性和可用性方面存在的矛盾，本文提出了一種基于物體識別的新型圖像驗證碼系統(tǒng)。該系統(tǒng)通過將若干物體圖片附加到隨機的背景圖片中并讓用戶識別的方式來辨別自動腳本和真正的用戶。

關鍵詞：驗證碼 物體識別 圖像驗證碼 驗證碼設計

中圖分類號：TP3 文獻標識碼：A 文章編號：1007-9416（2014）08-0185-02

1 簡介

為了提高系統(tǒng)的安全性以及區(qū)分客戶端請求是來自真實的用戶還是惡意的自動腳本，越來越多的網(wǎng)站和應用程序開始采用驗證碼技術。當前主流網(wǎng)站大多使用的都是文本驗證碼，文本驗證碼的主要思路是隨機產(chǎn)生一些文本或從字典中選取一個單詞，經(jīng)過扭曲，旋轉(zhuǎn)，粘連等變換，之后再添加噪音線和噪點的方式來產(chǎn)生一副保護驗證碼字符的圖片，通過讓用戶識別該圖片中的文字的方式來區(qū)分真實用戶和自動化的程序[1]。然而，使用該類驗證碼的系統(tǒng)往往在安全性和可用性方面存在矛盾。如果驗證碼設計的過于簡單，自動化程序可以利用各種光學字符識別或者機器學習算法來識別相應的文本[2]。相反，如果生成的驗證碼扭曲程度非常高或者背景特別復雜，則真實用戶往往也很難識別出正確的文本。

近期也有研究提出了一些基于圖像的驗證碼系統(tǒng)，這類系統(tǒng)通常都是通過讓用戶識別某張圖片中的特定元素或者不同圖片中物體之間的某種特定關系來區(qū)分真實用戶和自動腳本程序。[3]提出一種基于背景圖像和物體圖像疊加方式產(chǎn)生的驗證碼系統(tǒng)。在該驗證碼系統(tǒng)中，一張背景圖片上會疊加若干張背景透明的物體圖片，通過讓用戶回答圖片中各物體之間的關系問題來驗證用戶，為了增加安全性，每張物體圖像本身可以進行一系列的扭曲色彩等變化，同時背景圖片也可以進行進一步的變換及添加噪聲等處理。該驗證碼系統(tǒng)中物體之間的關系問題主要包括3大類：（1）相對位置關系的問題；（2）物體數(shù)量問題；（3）對象之間關聯(lián)度的問題。該驗證碼系統(tǒng)存在的主要缺點一是可用性及安全性依賴所問的問題，如果問題設計不合理正常用戶也難以正確回答，如：請選擇所有物體中與其它物體最不像的。二是如果物體圖像不夠多或者問題設計不合理，容易被隨機猜測所攻擊，如：選擇圖像中出現(xiàn)最多次數(shù)的物體名字，如果物體名字只有4個，那么隨機猜測有25%的概率猜對。相反，如果物體圖像太多則會影響驗證碼的生成速度以及用戶的識別準確率及速度。

觀察到文本驗證碼以及當前圖像驗證碼研究存在的這些不足，本文提出了一種新型的基于物體識別的圖像驗證碼系統(tǒng)。該系統(tǒng)通過將多張隨機選出的物體圖片附加到一張背景圖片中的不同位置，并讓用戶根據(jù)圖片中物體名字出現(xiàn)的順序輸出其對應物體標簽的方式來辨別請求是否來自真實的用戶。

2 新型圖像驗證碼系統(tǒng)

本文提出了一種新型的基于物體識別的圖像驗證碼系統(tǒng)。在該系統(tǒng)中，一張圖片中包含若干個物體，每個物體上有對應的字符標簽，如圖1所示。用戶在識別時，需要根據(jù)文字上顯示的順序，按照相同順序?qū)⒚謱奈矬w上的標簽依次輸入。用戶只有同時識別出驗證碼圖片中的物體，物體上的標簽以及物體名字和物體圖片語義上的對應關系才能得到正確的驗證碼信息，因此具有很高的安全性。同時，對于用戶來說，由于物體和其名字對應關系非常明顯，區(qū)分度和辨識度都很高，因此識別過程簡單直接迅速，無需很高的知識背景，因此也具有很好的可用性。

本文的驗證碼系統(tǒng)由兩部分組成：1.圖片數(shù)據(jù)庫；2.生產(chǎn)驗證碼圖片的算法。其中圖片數(shù)據(jù)庫包含背景圖片數(shù)據(jù)庫以及物體圖片數(shù)據(jù)庫。

背景圖片數(shù)據(jù)庫的作用是為驗證碼系統(tǒng)提供一系列的背景圖片，以提高利用自動腳本進行物體識別和文本識別的難度，因此需要選取的每張圖片內(nèi)容要豐富多樣，不能太過單一，由只是作為背景，其數(shù)量可以相對較少。物體圖片數(shù)據(jù)庫中的圖片要便于用戶辨識，因此要選取特點鮮明，日常生活能接觸或了解到的人人都能識別的物體作為候選。

驗證碼的生成過程并不復雜，首先從物體圖像數(shù)據(jù)庫中隨機選出n張物體圖片。接著，選擇n個合適的標簽字符用以標識不同的物體。然后，從背景圖像數(shù)據(jù)庫中隨機選取一張圖片作為背景。最后，算法將標簽字符附加到物體圖片中，并將物體圖片，物體名字添加到背景圖片中生成一張驗證碼圖片。

對于用戶來說，使用該驗證碼非常容易。首先，找到各個物體名稱對應的物體；然后，識別出各物體上的標簽字符；最后按順序在驗證碼輸入框內(nèi)輸入各個字符。圖1所示的驗證碼的正確輸入應為：BDCA。

3 安全性分析

對于基于圖像的驗證碼系統(tǒng)來說，自動腳本程序主要有2種方式進行自動識別。一是通過隨機猜測需要輸入的字符的方式進行自動識別；二是利用機器學習和計算機視覺等算法進行在線自動識別。

3.1 隨機猜測識別

由于本文的驗證碼是以比較輸入的標簽字符是否和生成的一致來區(qū)分用戶和自動腳本，因此理論上是可以通過隨機猜測輸入的標簽字符來進行自動識別。物體上的標簽并非固定不變的，例如本次可以使用英文字母，下次可以換為使用阿拉伯數(shù)字，因此隨機猜測攻擊的前提是自動腳本程序能識別物體上的標簽字符，然而這在復雜背景圖像上并非易事。即使程序識別正確所有的物體標簽，由于這些標簽得按順序輸入，所以隨機猜測攻擊的正確率為1/（1*2*…*n），其中n為物體的個數(shù)。也即，當物體數(shù)量n為4時，正確率為1/24約為4.17%，而n為5時，正確率為1/120。由此可見，對于采用隨機猜測的方式進行自動識別，本文的驗證碼具有很強的抵抗能力。endprint

3.2 利用機器學習和計算機視覺進行自動識別

通過機器學習和計算機視覺技術進行自動識別的原理是通過相應的技術在線識別出驗證碼圖片中的物體及文字。對于本文的驗證碼，需要識別的對象包括所有的物體以及物體上的標簽字符。復雜場景中的物體識別以及字符識別一直以來都是研究難點[4]，其正確率并不是很高，而在本文中，只有同時能正確識別出所有的對象，才有可能識別出驗證碼的內(nèi)容，因此難度非常高。

更為重要的是，即使腳本能正確識別出所有的對象，如何將物體的名字和物體本身進行關聯(lián)對應在本文中更是自動腳本無法完成的任務。然而這種對應關系在人類眼中卻非常自然，比如只受過非常基礎教育的小孩也能將圖1中的文字“雪人”和標簽“D”所在的物體關聯(lián)起來，而現(xiàn)有程序根本無法進行這種語義級別的自動關聯(lián)。

4 結(jié)語

本文提出了一種基于物體識別的新型圖像驗證碼系統(tǒng)，系統(tǒng)中的驗證碼圖像由物體圖片，標識物體的標簽字符合成到背景圖片上而成，只有同時識別出物體及上面的標簽并且理解物體名字和物體圖像的語義對應關系才能破解此驗證碼，因此安全性非常高。同時，由于此識別過程和語義對應關系對于真實用戶來說非常直觀，因此對于不同年齡和文化程度的用戶來說其可用性都非常高。

參考文獻

[1]Luis A.，Benjamin M.，et al.reCAPTCHA： Human-Based Character Recognition via Web Security Measures.Science Magazine.2008.321（5895）：1465-1468

[2]Ahmad A.，Jeff Y.，and Mohamad T. The Robustness of Google CAPTCHAs.Computing Science Technical Report CS-TR-1278. 2011.

[3]Peter M.，CliffZ.Scene tagging：image-based CAPTCHA using image composition and object relationships.？ACM Conference on Computer and Communications Security.2010.

[4]Pawar N.，Sanjay T.An Investigation of Significant Object Recognition Techniques. S International Journal of Computer Science and Network Security.2009.9（5）.endprint

3.2 利用機器學習和計算機視覺進行自動識別

通過機器學習和計算機視覺技術進行自動識別的原理是通過相應的技術在線識別出驗證碼圖片中的物體及文字。對于本文的驗證碼，需要識別的對象包括所有的物體以及物體上的標簽字符。復雜場景中的物體識別以及字符識別一直以來都是研究難點[4]，其正確率并不是很高，而在本文中，只有同時能正確識別出所有的對象，才有可能識別出驗證碼的內(nèi)容，因此難度非常高。

更為重要的是，即使腳本能正確識別出所有的對象，如何將物體的名字和物體本身進行關聯(lián)對應在本文中更是自動腳本無法完成的任務。然而這種對應關系在人類眼中卻非常自然，比如只受過非?；A教育的小孩也能將圖1中的文字“雪人”和標簽“D”所在的物體關聯(lián)起來，而現(xiàn)有程序根本無法進行這種語義級別的自動關聯(lián)。

4 結(jié)語

本文提出了一種基于物體識別的新型圖像驗證碼系統(tǒng)，系統(tǒng)中的驗證碼圖像由物體圖片，標識物體的標簽字符合成到背景圖片上而成，只有同時識別出物體及上面的標簽并且理解物體名字和物體圖像的語義對應關系才能破解此驗證碼，因此安全性非常高。同時，由于此識別過程和語義對應關系對于真實用戶來說非常直觀，因此對于不同年齡和文化程度的用戶來說其可用性都非常高。

參考文獻

[1]Luis A.，Benjamin M.，et al.reCAPTCHA： Human-Based Character Recognition via Web Security Measures.Science Magazine.2008.321（5895）：1465-1468

[2]Ahmad A.，Jeff Y.，and Mohamad T. The Robustness of Google CAPTCHAs.Computing Science Technical Report CS-TR-1278. 2011.

[3]Peter M.，CliffZ.Scene tagging：image-based CAPTCHA using image composition and object relationships.？ACM Conference on Computer and Communications Security.2010.

[4]Pawar N.，Sanjay T.An Investigation of Significant Object Recognition Techniques. S International Journal of Computer Science and Network Security.2009.9（5）.endprint

3.2 利用機器學習和計算機視覺進行自動識別

通過機器學習和計算機視覺技術進行自動識別的原理是通過相應的技術在線識別出驗證碼圖片中的物體及文字。對于本文的驗證碼，需要識別的對象包括所有的物體以及物體上的標簽字符。復雜場景中的物體識別以及字符識別一直以來都是研究難點[4]，其正確率并不是很高，而在本文中，只有同時能正確識別出所有的對象，才有可能識別出驗證碼的內(nèi)容，因此難度非常高。

更為重要的是，即使腳本能正確識別出所有的對象，如何將物體的名字和物體本身進行關聯(lián)對應在本文中更是自動腳本無法完成的任務。然而這種對應關系在人類眼中卻非常自然，比如只受過非常基礎教育的小孩也能將圖1中的文字“雪人”和標簽“D”所在的物體關聯(lián)起來，而現(xiàn)有程序根本無法進行這種語義級別的自動關聯(lián)。

4 結(jié)語

本文提出了一種基于物體識別的新型圖像驗證碼系統(tǒng)，系統(tǒng)中的驗證碼圖像由物體圖片，標識物體的標簽字符合成到背景圖片上而成，只有同時識別出物體及上面的標簽并且理解物體名字和物體圖像的語義對應關系才能破解此驗證碼，因此安全性非常高。同時，由于此識別過程和語義對應關系對于真實用戶來說非常直觀，因此對于不同年齡和文化程度的用戶來說其可用性都非常高。

參考文獻

[1]Luis A.，Benjamin M.，et al.reCAPTCHA： Human-Based Character Recognition via Web Security Measures.Science Magazine.2008.321（5895）：1465-1468

[2]Ahmad A.，Jeff Y.，and Mohamad T. The Robustness of Google CAPTCHAs.Computing Science Technical Report CS-TR-1278. 2011.

[3]Peter M.，CliffZ.Scene tagging：image-based CAPTCHA using image composition and object relationships.？ACM Conference on Computer and Communications Security.2010.

[4]Pawar N.，Sanjay T.An Investigation of Significant Object Recognition Techniques. S International Journal of Computer Science and Network Security.2009.9（5）.endprint