面向電子商務(wù)的新一代驗(yàn)證碼系統(tǒng)分析

任俊玲+王興芬+王承權(quán)

摘 要：驗(yàn)證碼是互聯(lián)網(wǎng)業(yè)務(wù)的安全基礎(chǔ)設(shè)施之一，也是目前保障電子商務(wù)業(yè)務(wù)安全的重要環(huán)節(jié)之一。論文從電子商務(wù)業(yè)務(wù)的驗(yàn)證碼安全訴求和傳統(tǒng)驗(yàn)證碼技術(shù)的特點(diǎn)出發(fā)，對(duì)電子商務(wù)業(yè)務(wù)新一代驗(yàn)證碼技術(shù)產(chǎn)生的必要性進(jìn)行了闡述；通過(guò)對(duì)新一代驗(yàn)證碼系統(tǒng)的具體實(shí)踐示例的分析，論述了電商業(yè)務(wù)中新一代驗(yàn)證碼技術(shù)的基本原理；最后，對(duì)新一代驗(yàn)證碼技術(shù)在電子商務(wù)中的價(jià)值進(jìn)行了分析。

關(guān)鍵詞：電子商務(wù)；驗(yàn)證碼；機(jī)器學(xué)習(xí)

中圖分類號(hào)： TP309 文獻(xiàn)標(biāo)識(shí)碼：A

Analysis of A New Generation CAPTCHA System Focused on E-Commerce

Ren Jun-ling1， Wang Xing-fen1， Wang Cheng-quan2

（1.School of Information Management， Beijing Information Science & Technology University， Beijing 100192；

2. Information Work Center， Political Work Department of Peoples Republic of China Central Military Commission， Beijing 100120）

Abstract： CAPTCHA technology is one of the security infrastructures of internet business， and it is one of the important steps to safeguard the e-commerce business security. The necessary of the new generation CAPTCHA technology related to e-commerce business is formulated from the beginning of e-commerce business appeal on CAPTCHA and the features of the traditional CAPTCHA technology. And the fundamental principle of the new generation CAPTCHA technology in e-commerce business is discussed by analyzing one of its practice examples. Finally， the value of the new generation CAPTCHA technology is analyzed.

Key words： E-Commerce； CAPTCHA； Machine Learning

1 引言

驗(yàn)證碼（CAPTCHA：Completely Automated Public Turing Test to Tell Computers and Humans Apart）指全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試，是一種區(qū)分用戶是計(jì)算機(jī)和人的公共全自動(dòng)程序[1]。安全的驗(yàn)證碼需要作為服務(wù)器的計(jì)算機(jī)自動(dòng)生成一個(gè)用于用戶回答的問(wèn)題，但該問(wèn)題只有人類才能解答，以此來(lái)防止用計(jì)算機(jī)生成的自動(dòng)程序進(jìn)行惡意攻擊，以達(dá)到進(jìn)行人機(jī)區(qū)分的目的。驗(yàn)證碼目前已被廣泛用作保護(hù)用戶賬號(hào)和密碼安全的一種技術(shù)，也成為各類互聯(lián)網(wǎng)業(yè)務(wù)的基礎(chǔ)安全設(shè)施之一。

電子商務(wù)（E-Commerce）主要指依托互聯(lián)網(wǎng)開(kāi)展的交易活動(dòng)，包括買賣實(shí)物、虛擬產(chǎn)品及服務(wù)。作為一種互聯(lián)網(wǎng)業(yè)務(wù)，驗(yàn)證碼技術(shù)也是其基礎(chǔ)安全設(shè)施之一；作為一種商務(wù)活動(dòng)，其安全訴求又有不同于其他互聯(lián)網(wǎng)業(yè)務(wù)的特點(diǎn)，因此對(duì)驗(yàn)證碼技術(shù)的要求也有其特殊之處。

基于上述研究背景，本文結(jié)合電子商務(wù)業(yè)務(wù)的安全訴求，以及傳統(tǒng)驗(yàn)證碼系統(tǒng)的特點(diǎn)，對(duì)新一代驗(yàn)證碼技術(shù)及其在電子商務(wù)中的具體應(yīng)用和價(jià)值進(jìn)行研究。

2 傳統(tǒng)驗(yàn)證碼技術(shù)分析

根據(jù)學(xué)術(shù)界的分類，傳統(tǒng)驗(yàn)證碼生成技術(shù)通常有三種實(shí)現(xiàn)方案[2]：基于OCR（Optical Character Recognition，光學(xué)字符識(shí)別技術(shù)）的可視化方案、非OCR的可視化方案和非可視化方案。

2.1 基于 OCR 的可視化驗(yàn)證碼

基于 OCR 的可視化驗(yàn)證碼主要是文本圖像驗(yàn)證碼兩種，它們一般是把文字信息以扭曲、變形或加干擾處理后的圖像形式顯示給用戶，要求用戶判定出正確的文本作為驗(yàn)證碼的輸入[3]。這些驗(yàn)證碼是根據(jù) OCR技術(shù)難以識(shí)別扭曲和與背景交疊粘連的弱點(diǎn)設(shè)計(jì)的?；?OCR 的平面靜態(tài)可視化驗(yàn)證碼早期以其在安全性與易用性方面的優(yōu)勢(shì)，成為最常用的驗(yàn)證碼技術(shù)[4]。

2.2 非 OCR 可視化驗(yàn)證碼

由于許多基于OCR的字符圖像驗(yàn)證碼在近些年被攻破，研究人員提出了非OCR可視化驗(yàn)證碼。該類驗(yàn)證碼生成技術(shù)的研究結(jié)合了計(jì)算機(jī)圖形學(xué)、計(jì)算機(jī)視覺(jué)、圖像處理等許多學(xué)科的理論和成果，主要分為基于圖像庫(kù)的驗(yàn)證碼[5]和交互式驗(yàn)證碼[6]以及三層動(dòng)態(tài)驗(yàn)證碼[7]等。

2.3 非可視化的驗(yàn)證碼

非可視化的驗(yàn)證碼主要是語(yǔ)音驗(yàn)證碼[8-10]，該技術(shù)通過(guò)瀏覽器內(nèi)建了一個(gè)語(yǔ)音輸入API，用戶通過(guò)聽(tīng)力獲取驗(yàn)證碼的有效信息，將正確的信息反饋給服務(wù)器，以便通過(guò)測(cè)試。

在上述驗(yàn)證碼技術(shù)中，基于OCR的可視化驗(yàn)證碼很流行，但隨著OCR技術(shù)的發(fā)展以及該模式不斷被研究，它們中的大多數(shù)都已被攻破，使得該類驗(yàn)證碼幾乎不具有阻攔惡意攻擊的能力。同時(shí)，為了抵抗OCR識(shí)別，往往會(huì)加大驗(yàn)證碼的復(fù)雜度，從而也給人類的識(shí)別帶來(lái)空前的困難，大大降低了用戶體驗(yàn)。非OCR的可視化方案的實(shí)現(xiàn)雖然方式多樣，但一部分方法受到信息庫(kù)維護(hù)困難的限制，另一部分技術(shù)則最終還是要?dú)w結(jié)到OCR問(wèn)題，因此實(shí)用性不夠強(qiáng)，除了部分研究性的網(wǎng)站使用外，商業(yè)網(wǎng)站很少使用。非可視化的 CAPTCHA方案則主要是針對(duì)特殊場(chǎng)合和特殊使用群體進(jìn)行研究設(shè)計(jì)，其應(yīng)用范圍具有很大的限定性。因此，迫切需要一種應(yīng)用范圍廣，魯棒性高的驗(yàn)證碼。endprint

3 電子商務(wù)業(yè)務(wù)的驗(yàn)證碼安全訴求

3.1 賬戶體系安全訴求

賬戶體系安全保障需求既需要對(duì)電子商務(wù)中的賬戶進(jìn)行鑒別，同時(shí)又體現(xiàn)在防止惡意注冊(cè)和暴力破解兩方面。惡意注冊(cè)主要指通過(guò)程序產(chǎn)生大量無(wú)效用戶賬號(hào)，因?yàn)槭菣C(jī)器自動(dòng)化操作的，不是真正的用戶，所以這些賬號(hào)不能直接給電子商務(wù)交易平臺(tái)帶來(lái)收益卻在一定程度上提升運(yùn)營(yíng)成本，因此這類數(shù)據(jù)都是垃圾數(shù)據(jù)，為此需要防止機(jī)器自動(dòng)操作，從而起到防止惡意注冊(cè)的目的。在沒(méi)有安全措施的情況下，黑客很容易通過(guò)反復(fù)嘗試對(duì)密碼發(fā)起暴力破解，無(wú)論是哪種暴力破解方法，都將會(huì)增加服務(wù)器負(fù)擔(dān)，消耗系統(tǒng)資源，導(dǎo)致真正需要登錄的用戶登錄不暢。

3.2 交易體系安全訴求

交易體系安全訴求來(lái)自于電商實(shí)際交易場(chǎng)景下，由“羊毛黨”或問(wèn)題商家等利用交易體系中存在的漏洞，制造虛擬交易、進(jìn)行信息作弊及針對(duì)各類活動(dòng)場(chǎng)景發(fā)起攻擊而產(chǎn)生。

來(lái)自問(wèn)題商家的交易威脅常見(jiàn)的有刷單和刷排名等。刷單是業(yè)務(wù)數(shù)據(jù)造假的一種方式，通過(guò)虛假的交易來(lái)增大商家的交易量，進(jìn)而提升商家的可信度。刷排名，則為商家通過(guò)某些手段，保持其各類商品名目都排在銷量靠前位置，搜索推薦都是這類店鋪的行為，也是提升商家可信度的一種方法。

“羊毛黨”指那些專門(mén)選擇互聯(lián)網(wǎng)公司的營(yíng)銷活動(dòng)，以低成本甚至零成本換取高額獎(jiǎng)勵(lì)的人。他們往往會(huì)針對(duì)各種活動(dòng)場(chǎng)景進(jìn)行攻擊。如在電商類網(wǎng)站在“雙十一”之類的各種特殊節(jié)日，平臺(tái)或商家會(huì)推出大量類似送優(yōu)惠券的活動(dòng)，攻擊者可直接通過(guò)自動(dòng)模擬點(diǎn)擊刷活動(dòng)，從而減少正常消費(fèi)者獲取的活動(dòng)優(yōu)惠，對(duì)于一些免單活動(dòng)，還會(huì)直接導(dǎo)致商家銷售產(chǎn)品存在大量惡意退貨、退款，這些不僅使商家達(dá)不到推廣的目的，還降低了用戶對(duì)商家的信任度，對(duì)于商家投資成本帶來(lái)的回報(bào)與預(yù)期也有較大出入。

3.3 支付體系安全訴求

支付體系是電子商務(wù)交易過(guò)程業(yè)務(wù)安全最重要的環(huán)節(jié)。在支付過(guò)程中，驗(yàn)簽不嚴(yán)的情況下，極有可能產(chǎn)生數(shù)據(jù)篡改偽造，從而引起交易相關(guān)數(shù)據(jù)的變化，擾亂正常的商務(wù)活動(dòng)，使交易雙方蒙受損失或引起交易糾紛。同時(shí)在支付確認(rèn)階段，也需要相應(yīng)的安全機(jī)制幫助商家確定支付是否發(fā)生于賬戶真實(shí)主人。

3.4 電商評(píng)論安全訴求

在電子商務(wù)中，交易平臺(tái)允許用戶在網(wǎng)上對(duì)交易的各個(gè)方面發(fā)表評(píng)論，評(píng)論既是平臺(tái)對(duì)商家評(píng)級(jí)的重要來(lái)源，也是購(gòu)買者進(jìn)行購(gòu)買的主要參考，因此，保證評(píng)論的安全和真實(shí)也是電子商務(wù)中的主要訴求。這就需要對(duì)在電商網(wǎng)站存在的推送垃圾評(píng)論、廣告和釣魚(yú)鏈接的現(xiàn)象以及通過(guò)系統(tǒng)漏洞或機(jī)器自動(dòng)刷票產(chǎn)生的信息作弊等現(xiàn)象進(jìn)行防范。

可見(jiàn)，電子商務(wù)中的驗(yàn)證碼安全訴求包含：（1）與傳統(tǒng)驗(yàn)證碼功能相同，對(duì)消費(fèi)者、商品經(jīng)營(yíng)者（商家）、支付和物流服務(wù)經(jīng)營(yíng)者等多類主體進(jìn)行身份驗(yàn)證；（2）防止自動(dòng)刷單、自動(dòng)刷票等行為，即在進(jìn)行人機(jī)識(shí)別的基礎(chǔ)上，更需要能夠判別出不同形式的機(jī)器多次自動(dòng)操作行為，因此，需要更強(qiáng)大的功能支持；（3）電子商務(wù)作為基于互聯(lián)網(wǎng)的商務(wù)活動(dòng)，用戶體驗(yàn)在整個(gè)過(guò)程中起很關(guān)鍵的作用，用戶體驗(yàn)差則可能直接導(dǎo)致用戶放棄購(gòu)買，而傳統(tǒng)的驗(yàn)證碼技術(shù)往往隨著人機(jī)識(shí)別能力的提高，用戶體驗(yàn)逐步變差。由此可見(jiàn)，電子商務(wù)也迫切需要功能強(qiáng)大、用戶體驗(yàn)好的新的驗(yàn)證碼技術(shù)。

4 基于人工智能的驗(yàn)證碼識(shí)別系統(tǒng)

2014年12月Google發(fā)表了一篇名為“Are you a robot？ Introducing ‘No CAPTCHA reCAPTCHA”的文章[11]，文章指出傳統(tǒng)驗(yàn)證碼的方式令“真正的人類”頭疼，且研究表明當(dāng)時(shí)的人工智能技術(shù)已經(jīng)能夠破解99.8%的驗(yàn)證碼，因此傳統(tǒng)的驗(yàn)證碼形式可能已不是一個(gè)可靠的方法。Google在文中提出了新的被稱作沒(méi)有驗(yàn)證碼的驗(yàn)證碼技術(shù)，即“No CAPTCHA reCAPTCHA”，如圖1（a）所示，用戶只需要在方框內(nèi)簡(jiǎn)單的打鉤，就可以確認(rèn)該用戶是真實(shí)用戶而非惡意機(jī)器人，操作非常簡(jiǎn)單。如果noCAPTCHA認(rèn)為你是真人，用戶則無(wú)需再輸入驗(yàn)證碼。如果noCAPTCHA認(rèn)為你不是真人操作，才會(huì)要求用戶填入傳統(tǒng)的CAPTCHA字符串或更先進(jìn)的字符串，如圖1（b）所示，以此對(duì)用戶進(jìn)行進(jìn)一步人機(jī)識(shí)別。

NoCAPTCHA在用戶勾選復(fù)選框時(shí)，利用服務(wù)器中的風(fēng)險(xiǎn)分析引擎進(jìn)行人機(jī)判定，其基本原理是通過(guò)收集用戶的操作行為特征與當(dāng)前設(shè)備的設(shè)備信息等，通過(guò)人工智能技術(shù)對(duì)用戶參與情況進(jìn)行分析，最終給出是否是真實(shí)人類的判定。對(duì)于真實(shí)人類，極大地提高了用戶體驗(yàn)，而人工智能技術(shù)和二級(jí)驗(yàn)證形式，為人機(jī)識(shí)別準(zhǔn)確度提供了保證。

5 面向電子商務(wù)的新一代驗(yàn)證碼系統(tǒng)分析——以滑動(dòng)驗(yàn)證碼服務(wù)系統(tǒng)為例

5.1 滑動(dòng)驗(yàn)證碼服務(wù)系統(tǒng)架構(gòu)

以阿里巴巴滑動(dòng)驗(yàn)證碼系統(tǒng)為例，系統(tǒng)界面如圖2所示[12]。該系統(tǒng)基于Google的No-Captcha技術(shù)，并且結(jié)合阿里云機(jī)器學(xué)習(xí)和人工智能的方式，突破傳統(tǒng)驗(yàn)證碼的最新人機(jī)識(shí)別產(chǎn)品，采用先進(jìn)的風(fēng)險(xiǎn)分析引擎來(lái)區(qū)分人類和機(jī)器人。其具體架構(gòu)和工作流程如圖3所示。

滑動(dòng)驗(yàn)證碼系統(tǒng)基本工作流程：用戶向服務(wù)器端提交滑動(dòng)行為，服務(wù)器則會(huì)采集客戶的相關(guān)信息，運(yùn)用所采集的信息通過(guò)服務(wù)器的風(fēng)險(xiǎn)評(píng)估系統(tǒng)對(duì)客戶行為進(jìn)行評(píng)估，將評(píng)估結(jié)果返回風(fēng)險(xiǎn)決策系統(tǒng)，生成決策信息，進(jìn)而返回給客戶端，作為對(duì)用戶滑動(dòng)行為的反饋。

5.2 客戶信息采集系統(tǒng)

客戶信息采集，主要指對(duì)用戶終端的可用信息進(jìn)行采集。常用的采集信息分為設(shè)備軟硬件信息、用戶環(huán)境信息、用戶交互行為數(shù)據(jù)、用戶歷史信息和用戶業(yè)務(wù)數(shù)據(jù)等幾類。

（1）設(shè)備軟硬件信息指用戶操作系統(tǒng)版本、CPU和瀏覽器版本、屏幕分辨率、屏幕尺寸、屏幕色彩等客戶端設(shè)備固有信息，用戶往往都在固定的設(shè)備上進(jìn)行業(yè)務(wù)操作，因此可以通過(guò)對(duì)采集的設(shè)備信息進(jìn)行加密，作為對(duì)用戶的唯一標(biāo)識(shí)符，即設(shè)備指紋，往往作為服務(wù)器標(biāo)識(shí)用戶行為的基礎(chǔ)。endprint

（2）用戶環(huán)境信息包括如瀏覽器安裝的插件、瀏覽器語(yǔ)言、瀏覽器支持的字體、用戶的IP信息、Cookie 信息、每個(gè)瀏覽器針對(duì)不同方法的處理特性等客戶端運(yùn)行環(huán)境的相關(guān)信息。這些信息與設(shè)備軟硬件信息相比有其靈活性，但與其他類信息相比又相對(duì)穩(wěn)定，可以作為服務(wù)器標(biāo)識(shí)用戶的輔助信息。

（3）用戶交互行為數(shù)據(jù)主要針對(duì)人與客戶端的交互數(shù)據(jù)，人的正常行為具有相對(duì)隨機(jī)性且難以預(yù)測(cè)，機(jī)器要模擬正常人非常困難。交互行為數(shù)據(jù)的采集主要采集正常人的動(dòng)作，如鼠標(biāo)移動(dòng)、鼠標(biāo)點(diǎn)擊、鼠標(biāo)釋放、觸摸板動(dòng)作、鍵盤(pán)操作等數(shù)據(jù)，比如采集鼠標(biāo)在某個(gè)區(qū)域內(nèi)的連續(xù)坐標(biāo)變化及時(shí)間點(diǎn)、鍵盤(pán)操作的時(shí)間點(diǎn)及鍵值等，與正常人的交互行為數(shù)據(jù)進(jìn)行比對(duì)。

（4）用戶歷史信息包括歷史行為信息，例如交易、支付、登錄等信息，可以作為對(duì)用戶進(jìn)行驗(yàn)證的輔助信息。

（5）用戶業(yè)務(wù)數(shù)據(jù)則視具體業(yè)務(wù)情況而定，比如針對(duì)用戶身份的CardID、手機(jī)號(hào)、電子信箱等。

5.3 風(fēng)險(xiǎn)評(píng)估系統(tǒng)

風(fēng)險(xiǎn)評(píng)估系統(tǒng)的核心是風(fēng)險(xiǎn)分析引擎。風(fēng)險(xiǎn)分析引擎是根據(jù)歷史采集的大量有標(biāo)注的樣本信息，建立用戶操作是人為操作或是機(jī)器操作的模型，從而形成人機(jī)鑒別的判定方法。

風(fēng)險(xiǎn)評(píng)估過(guò)程即將采集的用戶信息輸入風(fēng)險(xiǎn)分析引擎，由風(fēng)險(xiǎn)分析引擎進(jìn)行數(shù)據(jù)分析，對(duì)用戶的整體操作行為進(jìn)行人機(jī)屬性風(fēng)險(xiǎn)評(píng)估，往往通過(guò)風(fēng)險(xiǎn)值描述其人機(jī)判定的結(jié)果。比如風(fēng)險(xiǎn)評(píng)估系統(tǒng)對(duì)采集的各類信息逐次進(jìn)行判定，設(shè)備指紋與賬戶對(duì)應(yīng)情況，用戶環(huán)境變動(dòng)的情況，用戶的行為分析比如分析鼠標(biāo)移動(dòng)的頻繁、坐標(biāo)在某個(gè)區(qū)域或某個(gè)操作下的動(dòng)作速度、是否為直線等，結(jié)合用戶歷史行為的估值等，最終給出風(fēng)險(xiǎn)值或風(fēng)險(xiǎn)級(jí)別，作為后續(xù)風(fēng)險(xiǎn)決策的依據(jù)。

5.4 風(fēng)險(xiǎn)決策系統(tǒng)

風(fēng)險(xiǎn)決策系統(tǒng)根據(jù)風(fēng)險(xiǎn)評(píng)估系統(tǒng)給出的風(fēng)險(xiǎn)判定進(jìn)行后續(xù)操作控制的環(huán)節(jié)，后續(xù)操作包括認(rèn)可該操作，進(jìn)行二次判斷或直接阻斷等。

阿里巴巴滑動(dòng)驗(yàn)證碼系統(tǒng)給出三種決策機(jī)制。

（1）正常用戶：風(fēng)險(xiǎn)評(píng)估為低危級(jí)別，驗(yàn)證直接通過(guò)，如圖4所示，直接進(jìn)行業(yè)務(wù)操作。

（2）可疑用戶：風(fēng)險(xiǎn)評(píng)估為中危級(jí)別，滑動(dòng)后，會(huì)進(jìn)入二次驗(yàn)證，用戶Web端出現(xiàn)傳統(tǒng)驗(yàn)證碼形式，用戶輸入成功，才會(huì)通過(guò)驗(yàn)證，如圖5所示。

（3）風(fēng)險(xiǎn)用戶：風(fēng)險(xiǎn)評(píng)估為高危級(jí)別，滑動(dòng)后則被直接阻斷，無(wú)法進(jìn)入業(yè)務(wù)環(huán)境進(jìn)行操作，如圖6所示。

5.5 新一代驗(yàn)證碼技術(shù)價(jià)值分析

截至2016年Q2數(shù)據(jù)顯示，淘寶天貓共擁有近6億注冊(cè)用戶數(shù)，每天有超過(guò)8000萬(wàn)的固定訪客，同時(shí)每天的在線商品數(shù)已經(jīng)超過(guò)了10億件，平均每分鐘售出4.8萬(wàn)件商品。為服務(wù)好6億淘寶用戶，淘寶需要通過(guò)人機(jī)識(shí)別驗(yàn)證碼技術(shù)，防止300萬(wàn)惡意用戶注冊(cè)、每天承受2億次的密碼暴力破解。在2016年的“雙11”中，天貓全天交易額為912.17億元，最高峰時(shí)候的每秒訂單是14萬(wàn)筆/s。

在新一代人機(jī)識(shí)別驗(yàn)證碼的幫助下阿里集團(tuán)每年節(jié)省30億元營(yíng)銷費(fèi)用的支出；阿里電商每年“雙11”都會(huì)聯(lián)合1000萬(wàn)商家投入巨資進(jìn)行營(yíng)銷活動(dòng)，采用新一代人機(jī)識(shí)別的驗(yàn)證碼技術(shù)后，降低了30%以上活動(dòng)券的惡意領(lǐng)用；官方數(shù)據(jù)統(tǒng)計(jì)，在“雙11”這一天識(shí)別的惡意領(lǐng)用達(dá)數(shù)百萬(wàn)次；人機(jī)識(shí)別技術(shù)為阿里每年“雙11”降低了60%的營(yíng)銷推廣費(fèi)用，直接節(jié)約營(yíng)銷推廣費(fèi)用數(shù)十億元，如圖7所示?？梢?jiàn)，新一代驗(yàn)證碼技術(shù)發(fā)揮了重要作用，也滿足了電子商務(wù)行業(yè)對(duì)于驗(yàn)證碼技術(shù)的需求。

6 結(jié)束語(yǔ)

驗(yàn)證碼技術(shù)最早被作為解決門(mén)戶網(wǎng)站惡意用戶注冊(cè)的基本安全設(shè)施引入，之后逐步解決了不同時(shí)期業(yè)務(wù)安全和用戶體驗(yàn)均衡問(wèn)題。但隨著互聯(lián)網(wǎng)的發(fā)展，傳統(tǒng)的驗(yàn)證碼技術(shù)也無(wú)法滿足現(xiàn)有電子商務(wù)業(yè)務(wù)中用戶體驗(yàn)和安全性的要求，人工智能技術(shù)的成熟為傳統(tǒng)驗(yàn)證碼的改進(jìn)提供了解決方案，基于人工智能的驗(yàn)證碼技術(shù)應(yīng)運(yùn)而生。本文從新一代基于人工智能的驗(yàn)證碼系統(tǒng)的出現(xiàn)背景出發(fā)，對(duì)該技術(shù)的基本架構(gòu)和實(shí)現(xiàn)流程進(jìn)行闡述，并對(duì)其在電子商務(wù)中的已有價(jià)值進(jìn)行分析。

基金項(xiàng)目：

1.2014年度中共北京市委組織部?jī)?yōu)秀人才培養(yǎng)資助項(xiàng)目（項(xiàng)目編號(hào)：2014000020124G101，項(xiàng)目名稱：面向流程的圖像信息隱藏性能評(píng)價(jià)方法的研究）；

2.北京市教育委員會(huì)2014年度科技計(jì)劃重點(diǎn)項(xiàng)目（項(xiàng)目編號(hào)：KZ201411232036，項(xiàng)目名稱：電子商務(wù)平臺(tái)交易糾紛規(guī)避的若干支撐技術(shù)研究）；

3.2015年度國(guó)家自然科學(xué)基金面上項(xiàng)目（項(xiàng)目編號(hào)：71571021，項(xiàng)目名稱：網(wǎng)絡(luò)零售交易風(fēng)險(xiǎn)動(dòng)態(tài)評(píng)估及預(yù)警研究）。

參考文獻(xiàn)

[1] 王靜，熊育婷，鐘安鳴，付宇.面向工程實(shí)踐的計(jì)算機(jī)病毒課程教學(xué)方法研究[J].信息安全與技術(shù)， 2014，（6）：67-69.

[1] L.von Ahn， M.Blum， and J. Langford. Telling humans and computers apart automatically[J].Communications of the ACM， February 2004， 47（2）： 56–60.

[2] 李雪雁.反光學(xué)字符識(shí)別的可視化交互式驗(yàn)證碼生成機(jī)制研究[D].北京信息科技大學(xué)，2011.

[3] Mohammad Shirali-Shahreza， Sajad Shirali-Shahreza. CAPTCHA for Blind People[C].Signal Processing and Information Technology， 2007： 995～998.

[4] Ahn L， Blum M， Hopper N， et al. CAPTCHA：Using Hard AI Problems for Security[J].Lecture Notes in Computer Science， 2003， 2656 （9）： 294～311.endprint

[5] M. Shirali-Shahreza， S. Shirali-Shahreza， Motion CAPTCHA[C]， Conference on Human System Interactions， 2008， pp.1042-1044.

[6] Rich Gossweiler， Maryam Kamvar， Shumeet Baluja， Whats Up CAPTCHA？ A CAPTCHA Based on Image Orientation[C]， oceedings of WWW'2009， pp.841-850.

[7] JingSong Cui， WuZhou Zhang， A 3-layer Dynamic CAPTCHA Implementation[C]， Second International Workshop on Education Technology and Computer Science， 2010， pp.23-26.

[8] Luis von Ahn， Benjamin Maurer， Colin McMillen et al. ReCAPTCHA： Human-Based Character Recognition via Web Security Measures[C]， Science， 2008（321）， pp.1465-1468.

[9] Goole. reCAPTCHA[EB/OL]. http：//recaptcha.net/. Accessed in Feb 2010.

[10] Yannis Soupionis， Dimitris Gritzalis. Audio CAPTCHA： Existing solutions assessment and a new implementation for VoIP telephony [J]. Computers &Security， 2012（29）， pp.603-618.

[11] http：//googleonlinesecurity.blogspot.co.uk/2014/12/are-you-robot-introducing-no-captcha.html.

[12] https：//help.aliyun.com/document_detail/28310.html？spm=5176.7843120.6.539.NjmmIn.endprint