身份認(rèn)證技術(shù) 課件 第五章 人機區(qū)分

第五章人機區(qū)分目錄CONTENTS01人機交互02驗證碼03短信驗證碼01人機交互1人機交互人機交互起源于計算機智能化的飛速發(fā)展，從人工智能到圖靈測試，再到人機交互證明，都是人機交互的重要關(guān)聯(lián)知識。研究使計算機模擬人的某些思維過程和智能行為的學(xué)科。具有模仿人類行為的各種計算方式，可以定義為智能。分為弱人工智能和強人工智能。人工智能由計算機科學(xué)和密碼學(xué)的先驅(qū)AlanTuring提出，目的是評估機器的智能水平與人類的智能水平有多接近。利用人和機器的差異性來測試機器是否具備人類智能。測試者通過被測試的人和機器對于所提問題的各種反應(yīng)來判斷是人還是機器。圖靈測試圖靈測試示意圖02驗證碼2驗證碼驗證碼，英文名稱為CAPTCHA（CompletelyAutomatedPublicTuringtesttotellComputersandHumansApart，全自動區(qū)分計算機和人類的圖靈測試），即用來區(qū)分機器和人類的全自動公共圖靈測試。驗證碼身份認(rèn)證流程安全性：安全性代表實用驗證碼保護(hù)網(wǎng)站免受任何未經(jīng)授權(quán)訪問的方式，包括使用復(fù)雜的編程元素，使得驗證碼更加安全，即驗證碼應(yīng)該以計算機幾乎無法解決的方式進(jìn)行設(shè)計編程?？捎眯裕嚎捎眯允菍τ脩艚鉀Q驗證碼難易程度的描述，它與人類用戶如何找到驗證碼難題的正確解決方案緊密相連。實用性：實用性代表了驗證碼編程實現(xiàn)的方式，需要保證用戶可以在計算機、平板電腦或者是智能移動手機上任何網(wǎng)絡(luò)瀏覽器都能夠輕松解讀驗證碼。2.1驗證碼特性2.1驗證碼特性在設(shè)計驗證碼時需要全面分析考慮驗證碼可用性和安全性的平衡：注意統(tǒng)計實驗的用戶數(shù)量足夠，統(tǒng)計應(yīng)該具有普遍性；追求安全性的同時，充分考慮到各種驗證碼方案形式，以盡可能改善用戶體驗。2.1驗證碼特性2.2驗證碼分類文本驗證碼圖像驗證碼語音驗證碼游戲驗證碼行為驗證碼其他驗證碼基于英文文本的2D驗證碼加入字符扭曲，重疊，殘缺等機制；加入干擾背景，干擾線，字符字體及顏色變換等安全機制?；谥形淖址?D驗證碼中文驗證碼與英文驗證碼類似，往往加入干擾背景，字符扭曲，字體變換等措施以提高其安全性。文本驗證碼基于人類對文本字符的識別能力設(shè)計新浪微博PayPal百度it168點選驗證碼部署在中文網(wǎng)站上的點選驗證碼通常要求用戶按順序點擊圖片中的中文字符。3D文本驗證碼基于人類可輕松識別3D物體，而計算機對3D物體的識別存在局限性這一事實設(shè)計。文本驗證碼基于人類對文本字符的識別能力設(shè)計ClickableCAPTCHAQQ安全中心小盾DotCHA文本驗證碼1.基本邏輯簡單，生成成本較低；2.從可用性角度來看，文本驗證碼依賴人類的視覺能力和對字符的識別能力，即使加入字符扭曲，干擾等安全機制，真實用戶依然可以快速、準(zhǔn)確的識別字符，通過測試所需步驟和時間較少，用戶可用性較高；3.沒有額外的記憶內(nèi)容和較高的硬件要求，資源需求量小，是最易廣泛部署的驗證碼類型。優(yōu)勢1.即使添加了各種安全機制，總體來說易受到OCR及機器學(xué)習(xí)的攻擊，安全性較差；2.無法滿足所有人群需求，如不適合有視力障礙的人群。缺陷向用戶提供多張候選圖片及一段提示語句，要求用戶按照提示語句選擇符合要求的圖片。完成此類驗證碼主要依賴人類的物體分類能力，即快速判斷圖像中物體所屬類別?；谖矬w分類物體分類給出一張圖片，要求用戶捕捉該圖片中細(xì)節(jié)內(nèi)容，并根據(jù)提示點擊圖像對應(yīng)位置，此類驗證碼主要依賴人類對圖像細(xì)節(jié)的感知能力?；诩?xì)節(jié)感知細(xì)節(jié)感知在一張驗證碼圖片中展示多個顏色、形狀、大小均不相同的物體，用戶需要根據(jù)提示在所有物體中選出符合描述的物體，提示中可能包含物體個體屬性和物體間抽象關(guān)系。基于視覺推理視覺推理按表現(xiàn)形式可分為圖片驗證碼和視頻驗證碼兩種，其中視頻驗證碼通?；谌祟悓D像內(nèi)容的語義提取能力實現(xiàn)。基于語義提取語義提取圖像驗證碼基于人類對圖像的感知及處理能力基于物體分類的圖像驗證碼AsirraGooglereCAPTCHAFR-CAPTCHATICS

要求用戶選擇與示例圖片和描述相同類別的圖像要求用戶根據(jù)提示選擇相應(yīng)圖像

要求用戶選擇出現(xiàn)兩次的人臉圖像，所有圖像添加了噪音干擾要求用戶根據(jù)描述點擊對應(yīng)圖像，全部圖像均為合成圖像基于細(xì)節(jié)感知的圖像驗證碼ImplicitCAPTCHASACaptcha網(wǎng)易

要求用戶根據(jù)提示點擊圖片中對應(yīng)位置要求用戶點擊提示對應(yīng)的形狀區(qū)域，圖片中存在變色區(qū)域塊要求用戶根據(jù)提示按序點擊前景圖像，前景圖像顏色有區(qū)別基于視覺推理的圖像驗證碼騰訊頂象網(wǎng)易

要求用戶根據(jù)提示點擊對應(yīng)物體要求用戶根據(jù)提示點擊對應(yīng)物體，存在2D與3D圖形要求用戶根據(jù)提示點擊對應(yīng)物體，答案物體多為字母或數(shù)字基于語義提取的圖像驗證碼MotionCAPTCHAKluever’sCAPTCHAAdvertisementCAPTCHA

要求用戶選擇可以描述視頻中人物運動的選項要求用戶觀看視頻，并提供三個最能描述視頻的詞匯要求用戶觀看廣告視頻并選擇廣告描述的產(chǎn)品語音驗證碼基于人類產(chǎn)生或識別語音的能力；要求用戶識別包含有背景噪音的音頻內(nèi)容，或根據(jù)提示產(chǎn)生可用于驗證的音頻。聲學(xué)驗證碼基于人類檢測和識別聲音事件的能力音頻驗證碼向用戶提供一段音頻，要求用戶識別音頻中的內(nèi)容并根據(jù)規(guī)定指令完成測試reCAPTCHA語音驗證碼Non-speechAudioCAPTCHAHIPUU音頻驗證碼對視障人士友好；以人類聽覺為出發(fā)點設(shè)計，用戶可用性較好；通過驗證碼所需時間和資源成本較小；對于計算機來說識別由噪音干擾的音頻存在困難，而對于人類可輕松排除噪音干擾。優(yōu)勢大多數(shù)語音驗證碼以英語為基礎(chǔ)語言開發(fā)，對理解英語困難的用戶并不友好；聽覺具有一定主觀性，相似的聲音和字母發(fā)音容易混淆用戶，導(dǎo)致真人用戶在音頻驗證碼上通過率也可能較低；當(dāng)下計算機聽覺技術(shù)的發(fā)展可在一定程度上模擬人類聽覺能力，計算機在音頻驗證碼上能以一定概率通過測試，并且隨著技術(shù)的發(fā)展，噪音干擾也無法抵抗計算機對音頻的準(zhǔn)確識別。缺陷游戲驗證碼游戲驗證碼讓用戶完成指定小游戲來實現(xiàn)驗證過程，試圖讓解決驗證碼的任務(wù)變得有趣。與傳統(tǒng)圖像驗證碼不同之處在于，游戲驗證碼不僅要求用戶的圖像處理能力，同時需要一定常識和行為動作能力，可以被視作圖像驗證碼的升級挑戰(zhàn)。游戲驗證碼1）趣味性強，對用戶來說體驗更好；2）人類可輕松理解游戲規(guī)則并完成，對計算機來說破解成本較高，因此游戲驗證碼整體安全性較高；3）形式多樣，很難產(chǎn)生通用性攻擊方法。優(yōu)勢1）設(shè)計步驟較復(fù)雜，生成代價大，難以廣泛部署；2）資源需求量大，具有較高的環(huán)境要求以加載游戲；3）相較于傳統(tǒng)驗證碼，用戶通過游戲驗證碼所需時間更長。缺陷滑動驗證碼要求用戶通過鼠標(biāo)滑動滑塊，以控制圖塊位置或圖形旋轉(zhuǎn)角度，最終完成圖塊復(fù)原或?qū)D形旋轉(zhuǎn)至指定角度?；诨瑒踊瑒域炞C碼拼圖驗證碼要求用戶通過拖放來交換圖塊位置或組合圖塊，最終形成完整圖像。基于拼圖拼圖驗證碼計算機在繪制圖案時遵循一定幾何原則，而真人用戶的鼠標(biāo)軌跡往往速度不定且充滿抖動等不定因素，拖拽驗證碼便是通過監(jiān)測用戶鼠標(biāo)軌跡的方式區(qū)分真人用戶和自動程序?；谕献献炞C碼行為驗證碼依據(jù)用戶解決圖像問題和根據(jù)指令完成規(guī)定動作的能力設(shè)計，通常向用戶提供驗證碼圖像和行為指令，用戶需要根據(jù)行為指令在驗證碼上進(jìn)行規(guī)定動作以完成驗證。騰訊數(shù)美百度頂象

滑動控制圖形碎片的滑塊完成拼圖除圖形碎片對應(yīng)的缺口外，圖片中還存在干擾缺口滑動滑塊直至將圖片旋轉(zhuǎn)至正向滑動滑塊直至將中心圖案還原至與背景契合的正確方向滑動驗證碼網(wǎng)易Gao’sCAPTCHACapyCAPTCHAHamid’sCAPTCHA

交換兩個圖片碎片，使圖片復(fù)原交換圖塊復(fù)原圖像，圖塊邊緣進(jìn)行了添加噪聲處理

將下方展示的拼圖拖動至圖片缺省處，復(fù)原圖像將左側(cè)四個圖塊復(fù)原成右側(cè)展示圖像拼圖驗證碼拖拽驗證碼VAPTCHAMotionCAPTCHA

觀察圖片中給出的軌跡，拖拽鼠標(biāo)繪制相同軌跡拖拽鼠標(biāo)繪制圖中給出的圖形行為驗證碼行為驗證碼不僅依賴用戶對圖像的感知和處理能力，并且依靠用戶使用鼠標(biāo)產(chǎn)生的行為動作對用戶身份進(jìn)行驗證，相較于圖像驗證碼而言，行為驗證碼具有更高的安全性；此外，行為驗證碼基于人的行為產(chǎn)生，不需要用戶具備額外知識，覆蓋人群更廣，易用性較好。優(yōu)勢行為驗證碼以圖像為媒介，某些行為驗證碼對視力障礙人群并不友好；并且，為了通過行為驗證碼，用戶需要使用鼠標(biāo)完成動作，而部分驗證碼為提高安全性設(shè)計出較為復(fù)雜的行為指令，需要用戶花費更多時間通過驗證碼；最后，行為驗證碼不僅需要提供圖像資源，同時需要分析用戶行為結(jié)果以進(jìn)行身份判定，這一過程要求更高的成本，因此較傳統(tǒng)驗證碼，行為驗證碼部署更加復(fù)雜。缺陷無感知驗證reCAPTCHA需要用戶點擊“進(jìn)行人機身份驗證”或“我不是機器人”的復(fù)選框，后臺系統(tǒng)會自動收集與用戶行為相關(guān)的信息，如鼠標(biāo)移動、點擊位置、在復(fù)選框上停留時間等，并根據(jù)這些信息對用戶身份進(jìn)行判定。其他驗證碼(a)NoCAPTCHAreCAPTCHA(b)InvisiblereCAPTCHA對抗驗證碼為了解決傳統(tǒng)驗證碼易被機器學(xué)習(xí)攻擊的問題，對抗驗證碼應(yīng)運而生；2017年，Osadchy等人首次將對抗樣本應(yīng)用于驗證碼設(shè)計，提出一種基于物體分類的對抗圖像驗證碼——DeepCAPTCHA。其他驗證碼DeepCAPTCHA對抗樣本2.3驗證碼安全性作為一種網(wǎng)絡(luò)系統(tǒng)安全保護(hù)機制，驗證碼本身具有與生俱來的安全屬性，與其他網(wǎng)絡(luò)安全機制一樣面臨被攻擊的安全風(fēng)險，并需要對如何有效防御的問題進(jìn)行研究。文本驗證碼安全性1)多步攻擊針對文本驗證碼自動破解的實際任務(wù)是識別圖像中的文字內(nèi)容，由于早期的光學(xué)字符識別技術(shù)難以同時應(yīng)對多個字符識別，早期的文本驗證碼破解，主要包含三個步驟。文本驗證碼分步破解流程2)端到端攻擊分步破解方法雖然能夠成功破解文本驗證碼，但是其步驟相對繁瑣，且每一步的結(jié)果會直接影響下一步的效果，導(dǎo)致最終整體的破解成功率非常不穩(wěn)定。能否對單張驗證碼所有文本進(jìn)行一次性端到端識別，成為了新的討論焦點。RNN和注意力機制的提出，解決了這個問題。傳統(tǒng)的CNN雖然無法對多個字符同步識別，但是引入長短期記憶LSTM、RNN之后的深度神經(jīng)網(wǎng)絡(luò)，能夠?qū)ψ址蛄羞M(jìn)行時序處理，從而達(dá)到完整識別的目的。文本驗證碼安全性①

CRNN將卷積神經(jīng)網(wǎng)絡(luò)（CNN）和循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）相結(jié)合，首先使用卷積神經(jīng)網(wǎng)絡(luò)進(jìn)行驗證碼圖像的特征提取工作，其次使用循環(huán)神經(jīng)網(wǎng)絡(luò)的不同存儲單元連接文本序列，計算每個字符的權(quán)重。文本驗證碼安全性CRNN考慮到自然場景下文本形式變化、光照、遮擋等因素；不需要人工對字符進(jìn)行逐個標(biāo)注，可以以序列標(biāo)注的方式進(jìn)行訓(xùn)練，大大降低了工作量；使用雙向LSTM循環(huán)網(wǎng)絡(luò)進(jìn)行時序訓(xùn)練，并引入CTC損失函數(shù)來實現(xiàn)端到端變長序列數(shù)據(jù)處理，是當(dāng)前文本識別領(lǐng)域最優(yōu)模型之一。②

注意力機制賴于循環(huán)神經(jīng)網(wǎng)絡(luò)在特征序列上產(chǎn)生注意力向量，然后按順序?qū)γ總€字符進(jìn)行分類，以實現(xiàn)特征提取到分類的一步操作。隨著圖像分辨率升高，神經(jīng)網(wǎng)絡(luò)處理圖像分類任務(wù)時計算量成線性增長，借鑒人類處理圖像時利用直覺注意力把握重點信息的思路，深度學(xué)習(xí)中提出提取關(guān)鍵信息，聯(lián)合構(gòu)建整體信息的Attention機制。文本驗證碼安全性Attention機制應(yīng)用于文本驗證碼一步破解③MaskR-CNN結(jié)合實例分割的深度對象檢測網(wǎng)絡(luò)也可以處理基于文本的驗證碼破解工作，如FasterRCNN網(wǎng)絡(luò)。該方法從檢測網(wǎng)絡(luò)輸出的物體邊界框和分類標(biāo)簽學(xué)習(xí)物體定位和分類，測試時即可完成字符定位到分類的一步實現(xiàn)。增加了用于提高分類精度的Mask分支，根據(jù)分類得到的物體種類選擇Mask產(chǎn)生二值掩模，最終分類取決于掩模預(yù)測。這樣避免了類間競爭，達(dá)到了比其他目標(biāo)檢測網(wǎng)絡(luò)更高的精確度。文本驗證碼安全性使用MaskR-CNN端到端破解文本驗證碼④

遷移學(xué)習(xí)基于深度學(xué)習(xí)的方法雖然高效，但是由于深度識別模型需要大量樣本集來完成訓(xùn)練，而在現(xiàn)實情況中，受到網(wǎng)頁多方限制，收集真實樣本并非易事，且對收集到的數(shù)據(jù)進(jìn)行標(biāo)簽標(biāo)注也需要耗費人力成本。如何解決模型對樣本的需求從而真正提高破解效率成為了新的破解瓶頸。遷移學(xué)習(xí)的應(yīng)用有效解決了這個難題。文本驗證碼安全性基于遷移學(xué)習(xí)的文本驗證碼破解圖像驗證碼安全性1）針對基于物體分類的圖像驗證碼破解基于物體分類的圖像驗證碼通常向用戶給出一系列圖像，要求用根據(jù)提示選出包含對應(yīng)物體的圖像以通過測試。實現(xiàn)這類驗證碼的破解面臨三個問題：驗證碼提示語句和圖像標(biāo)簽都難以直接運用到監(jiān)督學(xué)習(xí)中；沒有預(yù)訓(xùn)練的深度卷積神經(jīng)網(wǎng)絡(luò)可用于提示語句和圖像的識別；需要實現(xiàn)高效、實時的驗證碼破解。12306圖像驗證碼破解流程圖像驗證碼安全性2）針對基于細(xì)節(jié)感知的圖像驗證碼破解基于細(xì)節(jié)感知的驗證碼通常包含復(fù)雜的背景圖像，需要用戶根據(jù)提示仔細(xì)觀察圖像并提取細(xì)節(jié)信息，最終確定答案在圖像中的位置以通過測試。為了通過測試，用戶需要根據(jù)提示按順序點擊驗證碼圖像中的小圖標(biāo)以通過測試。針對此類驗證碼的破解可以分為兩個階段：預(yù)處理和求解。二階段破解基于點擊的細(xì)節(jié)感知圖像驗證碼基于點擊的細(xì)節(jié)感知圖像驗證碼圖像驗證碼安全性3）針對基于視覺推理的圖像驗證碼破解基于視覺推理的驗證碼可以使用模塊化和端到端方法破解。模塊化方法分別從驗證碼提示語句和驗證碼圖像出發(fā)，分為語義解析、物體檢測、物體分類、整合四個模塊。語義解析模塊負(fù)責(zé)推理完成任務(wù)所需的推理步驟，檢測和分類模塊定位前景對象并提取每個對象的顏色、形狀、大小、位置等信息，集成模塊參考語義解析模塊得到的推理過程綜合所有對象屬性得到最終預(yù)測答案。針對視覺推理驗證碼的模塊化攻擊針對視覺推理驗證碼的端到端攻擊圖像驗證碼安全性4）針對基于語義提取的圖像驗證碼破解基于語義提取的圖像驗證碼依靠人類對視頻的處理理解能力設(shè)計。2019年提出一種多模態(tài)語義注意網(wǎng)絡(luò)（MSAN），使用編碼-解碼器框架可實現(xiàn)對視頻的語義提取。視頻語義提取音頻驗證碼安全性自動語音識別是一種允許機器識別人類語音語義的技術(shù)，當(dāng)前各個平臺都有大量的自動語音識別（ASR）系統(tǒng)。典型傳統(tǒng)的自動語音識別系統(tǒng)主要包含基于預(yù)訓(xùn)練的模型的特征提取和解碼兩個部分。自動語音識別自動語音識別系統(tǒng)的體系結(jié)構(gòu)語音驗證碼破解流程攻擊主要包括三個部分：第一個部分負(fù)責(zé)瀏覽器自動化，處理所有與瀏覽器相關(guān)的操作，包括爬取網(wǎng)頁，提取音頻驗證碼，下載音頻等操作，并且避免被驗證碼服務(wù)當(dāng)中的機器人檢測到；第二個部分是將音頻記錄傳遞到語音識別服務(wù)進(jìn)行的一系列必要的預(yù)處理和配置操作；第三個部分是進(jìn)行音頻轉(zhuǎn)錄后的文本的后處理，準(zhǔn)備將轉(zhuǎn)錄文本提交給語音驗證碼服務(wù)。其他驗證碼安全性兩階段破解方法適用于大多數(shù)行為驗證碼破解：預(yù)處理進(jìn)行定位；模擬用戶行為完成測試。行為驗證碼兩階段破解行為驗證碼利用人類的推理能力和解決問題能力來構(gòu)建安全屏障以區(qū)分人機；對問題中的語義進(jìn)行解析后再對視覺內(nèi)容部分進(jìn)行檢測識別，結(jié)合人類行為模擬操作