验证码研究入门必读（验证码是什么，有什么用，分类，设计，破解，未来发展）

       和实验室师姐们共同完成了一篇关于验证码的英文综述，在写综述的过程中看了很多验证码方面的论文，在本博客中我将以偏科普的方式介绍一下验证码，希望能够使对该领域有兴趣的同学对于验证码有进一步的了解。由于毕设也是和验证码相关，所以本文中的部分段落直接复制自我的毕设论文。感谢师姐们，感谢小组，感谢实验室，感谢导师~~

（5和6待更，如果这篇博客反响不错，可以考虑再写几篇细说一下各类验证码，部分破解可以出教程，再把相关的文献资料放到CSDN资源下载区里面。希望大家看后多多评论，催我更博呀，嘿嘿~~~）

大纲：

1.验证码是什么？         2.验证码有什么用？

3.验证码的分类？         4.验证码的设计？

5.验证码的破解？         6.验证码的未来发展方向？

1.验证码是什么？

       人们日常生活中使用的如在线订票系统、收发电子邮件、注册或登录账号、在论坛上发帖评论等等网络服务，经常被怀有不良企图的人利用计算机程序滥用，例如注册免费email账户大量发送垃圾邮件，往各种博客上贴垃圾广告信息，黄牛党购买大量紧缺票等。这些滥用行为使用户的网络体验受到影响，造成了网络资源的占用，威胁到网络服务的安全。在这样的情况下，一种能够降低自动攻击风险却又不影响合法用户正常使用的安全机制被迫切需要。

       验证码，简称CAPTCHA，就是这样一种能自动区分计算机和人类用户的公开图灵测试（Completely AutomatedPublic Turing test to tell Computers and Humans Apart, CAPTCHA）^[1]。它的生成和评测都不需要人的干预，底层数据库和算法公开，人类很容易通过但计算机程序几乎不能通过。    

2.验证码有什么用？

    验证码作为人机区分的手段，在计算机安全领域发挥着不可小觑的作用。

    在网站安全方面，它防止程序进行垃圾注册滥用资源，防止恶意登录和账号盗用，为用户的账号安全提供保障。

    在数据安全方面，验证码作为阻挡数据爬取、防止数据被破坏的一道屏障起了重要作用。

    在运营安全方面，它阻碍恶意刷单现象、防止虚假秒杀、虚假评论，保障投票结果的真实性。

    在交易安全方面，它阻挡虚假交易、恶意套现、盗卡支付等行为，为交易支付保驾护航。

    从设计者的研究角度讲，对于验证码设计机制的研究是一种防御性研究，通过机制的设计增强验证码的抗攻击能力从而提升它保护网络安全的能力。从破解者的研究角度讲，对于验证码的破解研究是一种攻击性研究，通过攻击验证码，寻找安全漏洞，来寻求验证码的改进，进而提升验证码的安全性。设计与破解是验证码机制的盾和矛，验证码机制在相互的攻防之中，不断升级。无论是研究验证码的设计机制还是破解方法，都将促进验证码的发展，提升网络安全。因此，验证码的研究是极其必要的。

3.验证码的分类？

    1996年M Naor等人第一次提出使用图灵测试来做人机区分的想法^[3]，此时他们还未给出一个具体的形式。许多研究者纷纷将目光聚焦于此。随后不久， Alta Vista提出的基于随机字符的人机交互验证机制在抵御恶意程序滥用URL时达到显著的成效^[4]，至Luis von Ahn等人设计了Gimpy机制用于防范雅虎聊天室的垃圾广告信息，这才首次提出了验证码概念^[1]。

    目前主流的验证码分为三类：文本验证码、图像验证码、音视频验证码。

3.1文本验证码

    文本验证码是一种使用最广泛，历史最悠久的验证码，它展示一张含有多个字符的图片，要求用户正确识别并在输入框中输入对应的字符，输入全部正确即认证成功。这些字符多为大小写英文字母、数字或它们的组合，伴随着噪线、扭曲、多字体、空心、复杂背景等机制来提升安全性。目前也已经有大量中文文本验证码投入了线上使用。

    早期的文本验证码字符集小，虽然简单明了但很容易被破解。为了提升文本验证码的安全性，设计者们向验证码中加入了一些安全机制来抵抗程序攻击，这些安全机制多是对抗分割和对抗识别的。对抗分割的安全机制增加了程序分割出单个字符的难度，比如用字符粘连（Crowding Characters Together , CCT）抵抗分割，用空心线来描绘字符轮廓（由于粘连机制使得可用性较差，因此许多网站引入空心机制增加用户友好性，使得字符在