基于视觉完形功能的隐藏文本识别CAPTCHA可用性与安全性评估

《IEEE Transactions on Human-Machine Systems》：Evaluating the usability and security of the text-based CAPTCHA that asks to recognize hidden text with the help of human visual completion function

【字体： 大 中 小 】 时间：2025年11月27日 来源：IEEE Transactions on Human-Machine Systems 4.4

　　

随着网络服务的普及，自动化程序（bots）进行的大规模欺诈活动日益猖獗，如何有效区分人类用户与机器程序成为网络安全领域的重要挑战。完全自动化公共图灵测试（CAPTCHA）作为主流人机验证机制，其核心在于设计人类易于识别而机器难以破解的任务。然而传统文本CAPTCHA往往通过扭曲字符、添加噪声等方式提升安全性，这些干扰措施在增加机器识别难度的同时，也降低了人类用户的识别效率，导致安全性与可用性难以兼顾。

日本宫崎大学研究团队在《IEICE Communications Express》发表的最新研究中，另辟蹊径地利用人类视觉系统的完形功能（Amodal Completion），开发出一种新型文本CAPTCHA方案。该方法呈现三个被黑色遮罩条隐藏中心部分的双汉字词汇，尽管字符关键特征被遮蔽，人类仍能通过视觉补全机制推断原文字，而机器学习算法则难以从残缺图像中提取有效特征。

研究团队通过系统实验验证了该方案的实用价值。在可用性评估中，14名工程专业学生完成15次挑战测试，当设置需正确识别2个词汇的阈值（T=2）时，成功率可达86.9%，平均答题时间18.25秒，较同类CAPTCHA缩短约2秒。系统可用性量表（SUS）得分达81.54，优于传统reCAPTCHA v2的78.51分。安全性测试采用卷积神经网络（CNN）攻击模型，结果显示当候选词汇量扩大至32,944个时，即使使用100个变体进行训练，识别准确率仍低于50%，证实方案对机器学习攻击具有显著抵抗力。

关键技术方法包括：1）采用旋转干扰（随机旋转α角度）与波形干扰（像素横向位移s(y)=[Asin(2πfy)]）组合方案；2）基于汉字字型重心确定旋转中心点；3）使用HinaMincho字体渲染字符；4）通过裁剪文本区域优化CNN输入数据。

研究结果分析显示：

可用性表现方面，阈值设置显著影响用户体验。当要求完全正确（T=3）时通过率仅46.9%，而放宽至T=1时可达98.5%。研究发现20%的词汇因识别率低于50%而不适用，提示需建立优化词库。

安全性测试结果表明，词汇库规模是防御效能的关键因素。当候选词数量（n）增至160时，即使每个词生成100个变体（v=100），CNN识别准确率仍低于0.2。训练时间随n值增加呈指数增长，n=160时需约150分钟，极大提高了攻击成本。

该研究创新性地将视觉完形机制应用于网络安全领域，实现了人机识别任务中安全性与可用性的协同优化。通过量化分析干扰参数与防御效能的关系，为文本CAPTCHA设计提供了新范式。未来研究方向包括建立标准化词库筛选标准，以及探索深度学习攻击下的自适应防御策略。