JP6168645B2 - Reverse Turing test method and access authentication method - Google Patents
Reverse Turing test method and access authentication method Download PDFInfo
- Publication number
- JP6168645B2 JP6168645B2 JP2012167795A JP2012167795A JP6168645B2 JP 6168645 B2 JP6168645 B2 JP 6168645B2 JP 2012167795 A JP2012167795 A JP 2012167795A JP 2012167795 A JP2012167795 A JP 2012167795A JP 6168645 B2 JP6168645 B2 JP 6168645B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- input
- touch panel
- coordinates
- coordinate
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- User Interface Of Digital Computer (AREA)
Description
本発明は、タッチパネルを対象とした反転チューリングテスト方法に関し、特に、人間の視覚認識能力と機械による認識の違いにより、人間によるアクセスなのか、自動化されたアクセスなのかを見分けることができる反転チューリングテスト方法およびアクセス認証方法に関する。 The present invention relates to an inversion Turing test method for a touch panel, and in particular, an inversion Turing test capable of distinguishing between human access and automated access based on a difference between human visual recognition ability and machine recognition. The present invention relates to a method and an access authentication method.
反転チューリングテストは、機械が判定者として、機械が知性を持つかどうかを判定するテストである。反転チューリングテストとして、CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)と称される手法が広く普及している。
CAPTCHAは、攻撃プログラム(自動化プログラム)による不正なサービスの利用を限止するといったネットワークのアクセス管理に応用されている。
The inversion Turing test is a test for determining whether the machine has intelligence as the machine. As an inversion Turing test, a technique called CAPTCHA (Completly Automated Public testing to tell Computers and Humans Apart) is widely used.
CAPTCHA is applied to network access management that limits the use of unauthorized services by an attack program (automated program).
CAPTCHAを適用することで、たとえば、メールサービスにおいて大量のアカウン卜を取得し、そのアカウントを用いて大量のスパムメールを送信することを制限することができる。また、ブログサイトなどに大量のスパムコメントを書き込む攻撃プログラムのアクセスを制限することもできる。 By applying CAPTCHA, for example, it is possible to limit the acquisition of a large amount of account in a mail service and the transmission of a large amount of spam mail using the account. You can also restrict access to attack programs that write large numbers of spam comments on blog sites.
典型的には、CAPTCHAは歪められた文字を、操作者に入力させることで当該操作者が、人間である(すなわち、機械でない)ことを判定できる。
このCAPTCHA技術は人間と機械の文字認識能力の違いを用いた手法であり、機械がパターンマッチングなどのアルゴリズムを用いたとしても、簡単には認識できないように変形やノイズを加えた文字が利用される。
近年、タブレット端末やスマートフォン(本明細書では、「タッチパネル型端末」と言う)の高機能化、低価格化によりその普及が進んでおり、インターネットを介した情報サイトへのアクセス形態も多様化している。
クラウドコンピューティングが主流となる今後の計算機利用形態において、タッチパネル型端末の普及が加速されている。
Typically, CAPTCHA can determine that the operator is a human (ie, not a machine) by causing the operator to input distorted characters.
This CAPTCHA technology is a technique that uses the difference in human and machine character recognition capabilities, and even if the machine uses an algorithm such as pattern matching, characters with deformations and noise are added so that they cannot be easily recognized. The
In recent years, tablet terminals and smartphones (referred to as “touch panel type terminals” in this specification) have become increasingly popular due to higher functionality and lower prices, and access forms to information sites via the Internet have also diversified. Yes.
In the future computer usage form in which cloud computing becomes mainstream, the spread of touch panel type terminals is accelerated.
ところで、タッチパネル型端末は、キーボードを備えた計算機とは異なり、手書きによる文字入力や図形入力が可能であり、従来の計算機モデルと異なる点が多い。 By the way, unlike a computer equipped with a keyboard, a touch panel type terminal is capable of handwritten character input and graphic input, and is often different from a conventional computer model.
たとえば、サーバがCAPTCHAを実行する場合には、まず、タッチパネル型端末に手書き用の図形を送信し、当該図形はタッチパネルに表示される。
サーバは、タッチパネル型端末の操作者(被認証主体)に、手書き用の図形をトレースすることを促し、タッチパネル型端末の被認証主体は、当該手書き用の図形をタッチパネル上でトレースする。
サーバは、トレースにより生じた図形の情報をタッチパネル型端末から取得し、パターンマッチング処理を行う。
しかし、タッチパネル型端末に適用されるCAPTCHAでは、既存のパターンマッチング処理を行っている。
また、たとえばCAPTCHAの一種であるGIMPYは、歪められた文字を判定することが、計算機にとって難しいことを利用した防衛プログラムである。機械がGIMPYを攻撃する場合、単語の輪郭を抽出し、そこから単語を予測する場合もある。
このため、攻撃プログラムは、比較的容易にCAPTCHAを突破することが懸念される。
For example, when the server executes CAPTCHA, first, a handwritten graphic is transmitted to the touch panel type terminal, and the graphic is displayed on the touch panel.
The server prompts the operator (authenticated subject) of the touch panel type terminal to trace a handwritten figure, and the authenticated subject of the touch panel type terminal traces the handwritten figure on the touch panel.
The server acquires graphic information generated by tracing from the touch panel type terminal, and performs pattern matching processing.
However, CAPTCHA applied to a touch panel type terminal performs an existing pattern matching process.
For example, GIMPY, which is a kind of CAPTCHA, is a defense program that utilizes the fact that it is difficult for a computer to determine a distorted character. When a machine attacks GIMPY, the word outline may be extracted and the word predicted therefrom.
For this reason, there is a concern that the attack program breaks through CAPTCHA relatively easily.
本発明の目的は、人間の視覚認識能力と機械による認識の違いにより、人間によるアクセスなのか、自動化されたアクセスなのかを見分けることができる反転チューリングテスト方法およびアクセス認証方法を提供することである。 An object of the present invention is to provide an inversion Turing test method and an access authentication method capable of discriminating between human access and automated access based on the difference between human visual recognition ability and machine recognition. .
本発明者は、人間の手書きによる線の描画には連続的に進められるという特徴があること、つまり、線全体が同時に描画されるのではなく、連続的に曲線が描画され、画素レベルでは描画される画素に順番が発生するという事実に着目した。
そこで、従来のテキストベースCAPTCHAが利用している人間による文字の認識能力と機械認識の違いではなく、人間が文字を書く際の入力データの特徴、すなわち、人間と機械の文字・記号等の書き方の違いを利用することで、新規のCAPTCHA技術を構築できるとの知見を得て、本発明をなすに至った。
The present inventor has the feature that drawing of a line by human handwriting is continuously advanced, that is, the entire line is not drawn at the same time, but a curve is drawn continuously, and drawing is performed at the pixel level. We focused on the fact that the order of the generated pixels occurs.
Therefore, not the difference between human character recognition ability and machine recognition used by conventional text-based CAPTCHA, but the characteristics of input data when humans write characters, that is, how to write characters and symbols between humans and machines By using the difference, the knowledge that a new CAPTCHA technology can be constructed was obtained, and the present invention was made.
(1)から(3)は、クラウドコンピューティングの実施において、タッチパネル型端末への応用に好適である。
(1)
サーバが、オブジェクト情報についてのオブジェクト画像を、タッチパネル型端末に送信し、当該タッチパネル型端末のタッチパネルに表示する表示ステップ、
前記タッチパネル型端末が、前記タッチパネルに表示された前記オブジェクト画像を操作主体が描画することで得られた入力情報を、前記サーバに送信する入力情報送信ステップ、
前記サーバが、前記オブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きにして生成された情報、または前記オブジェクト画像を下書きとせずに生成された情報である、
ことを特徴とする反転チューリングテスト方法。
(1) to (3) are suitable for application to a touch panel type terminal in the implementation of cloud computing.
(1)
A display step in which a server transmits an object image of object information to a touch panel type terminal and displays the object image on the touch panel of the touch panel type terminal;
An input information transmitting step in which the touch panel type terminal transmits input information obtained by an operating subject drawing the object image displayed on the touch panel to the server;
A validity determination step in which the server compares the object information with the input information and determines whether the input information is valid;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated by drafting the object image or information generated without drafting the object image. is there,
An inversion Turing test method characterized by that.
前述したように、GIMPYは、歪められた文字を判定することが、計算機にとって難しいことを利用している。機械がGIMPYを攻撃する場合、単語の輪郭を抽出し、そこから単語を予測している。
テストとして被認証主体に一筆で書くことができる文字・記号と共に一筆で記入するという条件を提示し、被認証主体が入力したデータが条件を満たしているかどうか検査して被認証主体が人間なのか機械であるのかを認定する。
本発明では、タッチパネルに入力されたデータをXY座標に変換するとともに、各XY座標と入力時刻を用いて判定を行っている。
As described above, GIMPY uses the fact that it is difficult for a computer to determine a distorted character. When the machine attacks GIMPY, it extracts the word outline and predicts the word from it.
As a test, present the conditions for writing with a single stroke along with characters / symbols that can be written with a single stroke to the authenticated subject, check whether the data entered by the certified subject satisfies the conditions, and whether the certified subject is a human being Authorize it as a machine.
In the present invention, data input to the touch panel is converted into XY coordinates, and determination is performed using each XY coordinate and input time.
(2)
さらに、前記サーバにおいて、複数のオブジェクト情報が記憶されたデータベースから、1つまたは2つ以上のオブジェクト情報を特定するオブジェクト情報特定ステップを有し、
当該オブジェクト情報特定ステップの後に、前記入力情報送信ステップに移行することを特徴とする(1)に記載の反転チューリングテスト方法。
(2)
The server further includes an object information specifying step of specifying one or more object information from a database in which a plurality of object information is stored,
The inversion Turing test method according to (1), wherein after the object information specifying step, the process proceeds to the input information transmitting step.
(3)
前記座標が入力座標の相対時刻を検出するための座標群と、
前記操作主体により描画された画像とオブジェクトとの一致を検出するための座標群とからなることを特徴とする(1)または(2)に記載の反転チューリングテスト方法。
(3)
A group of coordinates for detecting the relative time of the input coordinates as the coordinates;
The inversion Turing test method according to (1) or (2), comprising an image drawn by the operation subject and a coordinate group for detecting coincidence between objects.
(4)および(5)は、スタンドアローンのタッチパネル型端末への応用に好適である。
(4)
オブジェクト情報についてのオブジェクト画像をタッチパネルに表示する表示ステップ、
前記タッチパネルに表示された前記オブジェクト画像を操作主体が描画することで得られた入力情報を記憶装置に記憶する入力情報記憶ステップ、
前記サーバが、前記オブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きにして生成された情報、または前記オブジェクト画像を下書きとせずに生成された情報である、
ことを特徴とするアクセス認証方法。
(4) and (5) are suitable for application to a stand-alone touch panel type terminal.
(4)
A display step for displaying an object image of the object information on the touch panel;
An input information storage step of storing, in a storage device, input information obtained by the operating subject drawing the object image displayed on the touch panel;
A validity determination step in which the server compares the object information with the input information and determines whether the input information is valid;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated by drafting the object image or information generated without drafting the object image. is there,
An access authentication method characterized by the above.
(5)
前記座標が入力座標の相対時刻を検出するための座標群と、
前記操作主体により描画された画像とオブジェクトとの一致を検出するための座標群とからなることを特徴とする(4)に記載のアクセス認証方法。
(5)
A group of coordinates for detecting the relative time of the input coordinates as the coordinates;
(4) The access authentication method according to (4), comprising an image drawn by the operation subject and a coordinate group for detecting coincidence between objects.
(6),(7)は、オンライン接続されたタッチパネル型端末での手書きサイン認証またはスタンドアローンのタッチパネル端末での手書きサイン認証に好適である。
(6)
操作主体がタッチパネルに描画することで得られた入力情報をサーバに送信する入力情報送信ステップ、
前記サーバがデータベースに記憶しているオブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きとせずに生成された情報である、
ことを特徴とするアクセス認証方法。
(6) and (7) are suitable for handwritten signature authentication on a touch panel terminal connected online or handwritten signature authentication on a stand-alone touch panel terminal.
(6)
An input information transmission step in which the operation subject transmits input information obtained by drawing on the touch panel to the server;
A legitimacy determining step of comparing the object information stored in the database by the server with the input information and determining whether the input information is valid;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated without drafting the object image.
An access authentication method characterized by the above.
(7)
操作主体がタッチパネルに描画することで得られた、オブジェクト画像にかかる入力情報を記憶装置に記憶する入力情報記憶ステップ、
もともと記憶されているオブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きとせずに生成された情報である、
ことを特徴とするアクセス認証方法。
(7)
An input information storage step for storing in the storage device input information relating to the object image obtained by the operation subject drawing on the touch panel;
A legitimacy determination step of comparing the object information stored originally with the input information to determine whether the input information is valid;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated without drafting the object image.
An access authentication method characterized by the above.
人間が文字を書く際の入力データの特徴、具体的には、判断要素に複数の座標(タッチペンや指先の移動位置を示すタッチパネル上の複数の座標)および時刻を含むので、攻撃プログラム(自動化プログラム)からの攻撃をより強力に阻止することができる。
2ストローク以上で構成されるオブジェクト画像の場合には、1ストロークで構成されるオブジェクト画像のような座標の連続性がなくなる。
1ストロークで構成されるオブジェクト画像(一筆書き)の場合はもちろん、2ストローク以上で構成されるオブジェクト画像の場合にも書き順の要素を正当性の判断要素に採用できる。
Characteristic of input data when humans write characters, specifically, the judgment element includes multiple coordinates (multiple coordinates on the touch panel indicating the movement position of the touch pen and fingertip) and time, so an attack program (automated program) ) Can be blocked more powerfully.
In the case of an object image composed of two strokes or more, the continuity of coordinates is lost as in an object image composed of one stroke.
Of course, in the case of an object image composed of one stroke (one-stroke writing), an object image composed of two or more strokes can employ the element of the writing order as the element for determining the validity.
本発明の反転チューリング方法の一実施形態(CAPTCHAによる防衛方法)を、図1〜図4により説明する。
本実施形態では、1ストローク(一筆書き)のオブジェクトに適用される。
図1はタッチパネル型端末1の利用形態を示す図であり、タッチパネル型端末1はクラウド3を介してサーバ2に接続されている。
被認証主体(図示しない)が、タッチパネル型端末1からサーバ2へのアクセスを試みたとする。このとき、サーバ2は、タッチパネル型端末1から、反転チューリングテスト(Inverse Turing Test)の要求を受け取る(テスト要求の受け取り)。
サーバ2において、複数のトレースオブジェクト情報(本発明における「オブジェクト情報」)TOIが記憶されたデータベースDBから、1つまたは2つ以上のトレースオブジェクト情報TOIを特定する(トレースオブジェクト情報特定ステップ)。
トレースオブジェクト情報TOIは、複数の座標情報と、座標間の相対時間情報を含んでいる。
サーバ2は、トレースオブジェクト情報TOIについてのオブジェクト画像OG(本実施形態では、一筆書きの文字・記号等)を、タッチパネル型端末1に送信し、タッチパネル型端末1のタッチパネル11に表示する(表示ステップ,図2(A)も参照)。
被認証主体は、タッチパネル型端末1のタッチパネルに表示されたオブジェクト画像OGをトレースする。オブジェクト画像OGをトレースする際に、タッチベンを用いてもよいし、図2(A)に示すように指を用いてもよい。
タッチパネル型端末1は、トレースされることで得られたトレース入力情報TII(座標データおよび時刻データを含む)をサーバ2に送信する(トレース入力情報送信ステップ)。たとえば、トレース入力情報TIIは、図2(B)に示すように、テキストファイル形式で保存することができる。
サーバ2は、トレースオブジェクト情報TOIと、トレース入力情報TIIとを比較し、トレース入力情報TIIが正当であるか否かを判断する(正当性判断ステップ)。
サーバ2は、トレース入力情報TIIが正当であると判断したとき(テストに合格のとき)は、人間によるアクセスであると判断し、被認証主体にアクセスを許可する。
サーバ2は、トレース入力情報TIIが正当でない判断したとき(テストに不合格のとき)は、攻撃プログラムによるアクセスであると判断し、被認証主体にアクセスを許可しない。
One embodiment of the inversion Turing method of the present invention (defense method by CAPTCHA) will be described with reference to FIGS.
In the present embodiment, it is applied to an object of one stroke (one stroke writing).
FIG. 1 is a diagram showing a usage form of a touch panel type terminal 1, and the touch panel type terminal 1 is connected to a server 2 via a cloud 3.
Assume that an authenticated subject (not shown) attempts to access the server 2 from the touch panel type terminal 1. At this time, the server 2 receives a request for an inversion Turing test from the touch panel type terminal 1 (reception of a test request).
In the server 2, one or two or more pieces of trace object information TOI are specified from the database DB storing a plurality of pieces of trace object information (“object information” in the present invention) TOI (trace object information specifying step).
The trace object information TOI includes a plurality of coordinate information and relative time information between the coordinates.
The server 2 transmits an object image OG (in this embodiment, a one-stroke character / symbol etc.) about the trace object information TOI to the touch panel type terminal 1 and displays it on the touch panel 11 of the touch panel type terminal 1 (display step). , See also FIG. 2 (A)).
The subject to be authenticated traces the object image OG displayed on the touch panel of the touch panel type terminal 1. When tracing the object image OG, a touch ben may be used, or a finger may be used as shown in FIG.
Touch panel type terminal 1 transmits trace input information TII (including coordinate data and time data) obtained by tracing to server 2 (trace input information transmission step). For example, the trace input information TII can be saved in a text file format as shown in FIG.
The server 2 compares the trace object information TOI and the trace input information TII, and determines whether or not the trace input information TII is valid (validity determination step).
When the server 2 determines that the trace input information TII is valid (passes the test), the server 2 determines that the access is performed by a human and permits the authenticated subject to access.
When the server 2 determines that the trace input information TII is not valid (when the test fails), the server 2 determines that the access is by an attack program and does not permit access to the authenticated subject.
図3のフローチャートにより、上記した処理をさらに詳細に説明する。
まず、サーバ2が、反転チューリングテストの要求を待ち受けている(S101)。
サーバ2は、テストの要求があったときは、データベースDBから任意に選択したトレースオブジェクトTOをタッチパネル型端末1に送信してタッチパネルに表示する(S102)。
タッチパネル型端末1では、タッチがあるまで待機し(S103の「NO」)、タッチがあったときは(S103の「YES」)、レジスタの初期値kを0にセットし(S104)、タッチされたXY座標(xk,yk)および時刻(tk)を検出し、記憶する(S105,S106)。
次いで、kをインクリメントして(S108)、タッチが解除されない限り(S107の「NO」)、上記処理をくり返す(S105〜S108)。
タッチが解除されると(S107の「YES」)トレースオブジェクト情報TOIとトレース入力情報TIIとの比較が行われる(S109)。
トレースオブジェクト情報TOIとトレース入力情報TIIとの比較に際しては、トレース入力したタッチペンや指先が示す順次移動する座標群と、トレース入力情報TIIに含まれるオブジェクト画像の座標群との比較が行われ、合否判断が行われる(S110)。
その結果、合格のときはアクセスを許可する等の処理を行い(S111;合格処理)、不合格のときはアクセスを拒否する等の処理を行う(S112:不合格処理)。
The above process will be described in more detail with reference to the flowchart of FIG.
First, the server 2 waits for a reverse Turing test request (S101).
When there is a test request, the server 2 transmits the trace object TO arbitrarily selected from the database DB to the touch panel type terminal 1 and displays it on the touch panel (S102).
The touch panel type terminal 1 waits until touch is made (“NO” in S103), and when touched (“YES” in S103), the initial value k of the register is set to 0 (S104) and touched. The XY coordinates (x k , y k ) and time (t k ) are detected and stored (S105, S106).
Next, k is incremented (S108), and the above process is repeated (S105 to S108) unless the touch is released ("NO" in S107).
When the touch is released (“YES” in S107), the trace object information TOI and the trace input information TII are compared (S109).
When comparing the trace object information TOI and the trace input information TII, a comparison is made between a sequentially moving coordinate group indicated by the trace input touch pen and the fingertip and an object image coordinate group included in the trace input information TII. A determination is made (S110).
As a result, when it passes, processing such as permitting access is performed (S111; pass processing), and when it fails, processing such as denying access is performed (S112: failure processing).
ところで、攻撃プログラムは、タッチパネル型端末1に表示される画像を得ることができるが、タッチパネル上のどの座標がアクセス認証に利用される座標なのかを知ることはできない。
たとえば、攻撃プログラムは、座標を用いて攻撃するためには、まず始点となる第1ポイントを定め、第1ポイントの座標以外の座標が第2ポイントとなるパターンを考える。
次に、攻撃プログラムは、第1ポイントの座標および第2ポイントの座標を除いた全ての座標が第3ポイントとなるパターンを選択する。
以下、同様にして、攻撃プログラムは、第1ポイントの座標,第2ポイントの座標,・・・,第(m−1)ポイントの座標を除いた全ての座標が第mポイントとなるパターンを選択する(m=4,5,・・・)。
そして、攻撃プログラムは、選択するべき座標の組み合わせが存在しなくなるまで、または、アクセス認証に成功するまで、上記の操作をくり返す。
すなわち、攻撃プログラムは攻撃を行う場合には全座標を総当たりで試す必要がある。
防衛プログラム(CAPTCHA)は、認証回数に制限を設けることで、攻撃プログラムからの攻撃を防ぐことをできる。
By the way, although the attack program can obtain an image displayed on the touch panel type terminal 1, it cannot know which coordinates on the touch panel are used for access authentication.
For example, in order to attack using coordinates, an attack program first determines a first point as a starting point, and considers a pattern in which coordinates other than the coordinates of the first point are second points.
Next, the attack program selects a pattern in which all the coordinates excluding the coordinates of the first point and the coordinates of the second point become the third point.
Similarly, the attack program selects a pattern in which all coordinates except for the coordinates of the first point, the coordinates of the second point,..., The coordinates of the (m−1) th point are the mth point. (M = 4, 5,...)
Then, the attack program repeats the above operation until there is no combination of coordinates to be selected or until access authentication is successful.
In other words, the attack program must try all the coordinates in a brute force when making an attack.
The defense program (CAPTCHA) can prevent an attack from an attack program by limiting the number of authentications.
認証で用いる座標は、図4(A)に示すように2種類用意することができる。
1つ目の座標は「グレー丸」で示したように始点・終点または1度しか通らない座標などに設置されている。この座標は、一筆(one stroke)で書かれたかどうかを確かめるために用いられる。トレースしたラインは必ず「グレー丸」を通る必要がある。
もう1つの座標は「白丸」で示したように「グレー丸」以外の座標に設置されている。
「白丸」の座標は表示されたオブジェクト画像OG(文字・記号等)の形状把握に用いられる。
トレースに際して、「グレー丸」および「白丸」で表示されている座標を全て通過すればテストは合格である(図4(B))。
本実施形態では、「白丸」で表示されている座標を全て通過しなくても、テストに合格することができる(図4(C))。許容される通過しない点の個数は、たとえば、1個,2個等に設定した個数までである。
また、本実施形態では、認証に用いる座標(認証座標)はたとえば点(127,193)のようにピンポイントにするのではなく、図4(D)に示すように、X方向およびY座標それぞれについて幅を持たせることができる。すなわち、(X,Y)は、X,Y座標ともに・10〜20のように幅を持たせることができ、この幅を通過すれば認証に用いる座標を通過したことにしてある。
上述した点(127,193)の例を見ると、X座標は117〜137、Y座標は183〜203の範囲を通過すれば認証に用いる座標を通過したことになる。
実際の認証座標の幅は一律ではなく、文字の太さ等の影響によって変化する(図4(D)参照)。
人間が手書きで入力するデータには個人差があるため、あるしきい値までは誤差を許容する必要があるためである。
As shown in FIG. 4A, two types of coordinates used for authentication can be prepared.
The first coordinate is set at a start point / end point or a coordinate that passes only once, as indicated by “gray circle”. This coordinate is used to see if it was written with one stroke. The traced line must pass through the “gray circle”.
Another coordinate is set at a coordinate other than “gray circle” as shown by “white circle”.
The coordinates of “white circle” are used for grasping the shape of the displayed object image OG (characters, symbols, etc.).
In tracing, the test passes if all the coordinates indicated by “gray circle” and “white circle” are passed (FIG. 4B).
In the present embodiment, the test can be passed without passing all the coordinates indicated by “white circles” (FIG. 4C). The number of points that do not pass is, for example, up to the number set to one, two, etc.
In the present embodiment, the coordinates (authentication coordinates) used for authentication are not pinpoints such as the point (127, 193), but each of the X-direction and Y-coordinates as shown in FIG. Can have a width. That is, (X, Y) can be given a width such as 10 to 20 for both the X and Y coordinates, and if it passes through this width, the coordinates used for authentication are passed.
Looking at the example of the point (127, 193) described above, if the X coordinate passes the range of 117 to 137 and the Y coordinate passes the range of 183 to 203, the coordinate used for authentication has passed.
The actual width of the authentication coordinate is not uniform, but varies depending on the thickness of the character or the like (see FIG. 4D).
This is because there is an individual difference in the data input by human handwriting, and it is necessary to allow an error up to a certain threshold.
表示する文字自体にも(標準的なフォントではなく)歪み・変形を加えたものを利用することが攻撃に対し有効である。
画像の背景、文字・記号との色をグラデーションにしたことにより色の変化が起こりやすくなり単色の時ほど簡単に背景と文字・記号等を見分けることが難しくなる。
さらに、表示する文字をト音記号の様な複雑なものを用いることも攻撃に対してより有効である。
It is effective against attacks to use characters that are distorted and deformed (not a standard font) for the displayed characters themselves.
By changing the color of the background and characters / symbols of the image to a gradation, the color changes easily and it becomes difficult to distinguish the background from the characters / symbols as easily as in the case of a single color.
Furthermore, it is more effective against attacks to use complex characters such as treble clef as characters to be displayed.
本発明の反転チューリング方法(CAPTCHA)の他の実施形態を、図5および図6により説明する。本実施形態では、2ストロークのトレースオブジェクトに適用される。
図5のフローチャートにより、上記した処理をさらに詳細に説明する。
まず、サーバ2が反転チューリングテストの要求を待ち受けている(S201)。
サーバ2は、テストの要求があったときは、データベースDBから任意に選択したトレースオブジェクトTOを(本実施形態では文字「B」)をタッチパネル型端末1に送信してタッチパネル(タッチパネル)に表示する(S202)。
タッチパネル型端末1では、タッチがあるまで待機し(S203の「NO」)、タッチがあったときは(S203の「YES」)、レジスタの初期値kを0にセットし(S204)、タッチされたXY座標(xk,yk)および時刻(tk)を検出し、記憶する(S205,S206)。
次いで、kをインクリメントして(S208)、タッチが解除されない限り(S207の「NO」)、上記処理がくり返される(S205〜208)。
被認証主体が確定操作を行わず(S209の「NO」)、所定時間内に再度タッチがされたとき(S210の「YES」)は、処理はS204に戻され、レジスタがリセットされ(k=0)、S205〜S208の処理がくり返される。
タッチが解除され(S207の「YES」)、被認証主体が確定操作を行ったときは、トレース結果との比較(トレースオブジェクト情報TOIとトレース入力情報TIIとの比較)が行われる(S211)。
また、被認証主体が確定操作を行わない場合において(S209の「NO」)、所定時間内にタッチがされないとき(S210の「NO」)も、トレース結果との比較が行われ(S211)、合否判断が行われる(S212)。
その結果、合格のときはアクセスを許可する等の処理を行い(S213:合格処理)、不合格のときはアクセスを拒否する等の処理を行う(S214:不合格処理)。
図6(A)にタッチパネル型端末1に2ストロークからなる文字「B」が表示された例を示す。図6(B)に文字「B」の第1ストロークをトレースした様子を示し、図6(C)に文字「B」の第2ストロークをトレースした様子を示す。
Another embodiment of the inversion Turing method (CAPTCHA) of the present invention will be described with reference to FIGS. In the present embodiment, the present invention is applied to a two-stroke trace object.
The above processing will be described in more detail with reference to the flowchart of FIG.
First, the server 2 waits for a reverse Turing test request (S201).
When there is a test request, the server 2 transmits the trace object TO arbitrarily selected from the database DB (in this embodiment, the letter “B”) to the touch panel type terminal 1 and displays it on the touch panel (touch panel). (S202).
The touch panel type terminal 1 waits until a touch is made (“NO” in S203), and when touched (“YES” in S203), the initial value k of the register is set to 0 (S204) and touched. The XY coordinates (x k , y k ) and time (t k ) are detected and stored (S205, S206).
Next, k is incremented (S208), and the above process is repeated (S205 to 208) as long as the touch is not released (“NO” in S207).
If the subject to be authenticated does not perform a confirmation operation (“NO” in S209) and the touch is made again within a predetermined time (“YES” in S210), the process returns to S204, and the register is reset (k = 0), the processing of S205 to S208 is repeated.
When the touch is released (“YES” in S207) and the subject to be authenticated performs a confirmation operation, comparison with the trace result (comparison between the trace object information TOI and the trace input information TII) is performed (S211).
Further, when the subject to be authenticated does not perform the confirmation operation (“NO” in S209), even when the touch is not performed within a predetermined time (“NO” in S210), the comparison with the trace result is performed (S211). A pass / fail decision is made (S212).
As a result, when it passes, processing such as permitting access is performed (S213: pass processing), and when it fails, processing such as denying access is performed (S214: fail processing).
FIG. 6A shows an example in which the character “B” having two strokes is displayed on the touch panel type terminal 1. FIG. 6B shows a state where the first stroke of the character “B” is traced, and FIG. 6C shows a state where the second stroke of the character “B” is traced.
図7はタッチパネル型端末4に搭載されプログラムが反転チューリングテストを行う実施形態を示す図である。
タッチパネル型端末4は、ROMに攻撃阻止プログラム5が搭載されており、オブジェクト選択プログラム(51)、合否判断プログラム(52)を実行できる。
制御装置(CPU)6およびROMに書き込まれた上記の各プログラムにより攻撃阻止が実行される。
本実施形態の作用は、実質上、図3および図5で示したフローチャートに示されている。
FIG. 7 is a diagram showing an embodiment that is mounted on the touch panel type terminal 4 and in which a program performs an inversion Turing test.
The touch panel type terminal 4 has an attack prevention program 5 installed in a ROM, and can execute an object selection program (51) and a pass / fail judgment program (52).
Attack prevention is executed by the control device (CPU) 6 and each program written in the ROM.
The operation of this embodiment is substantially shown in the flowcharts shown in FIGS.
図1から図6に示した実施形態では、サーバ2がデータベースDBから任意に選択したトレースオブジェクトTOにかかる画像(オブジェクト画像OG)を、被認証主体がなぞるようにした。また、図7の実施形態でも攻撃阻止プログラム5がデータベースDBから任意に選択したトレースオブジェクトTOにかかる画像(オブジェクト画像OG)を、被認証主体がなぞるようにした。
図2のタッチパネル型端末1や図7のタッチパネル型端末4は、タッチパネルに、たとえばサムネイルサイズのオブジェクト画像OG_SNを表示し、当該オブジェクト画像OG_SNに相当する画像を、タッチパネル11のブランク領域に描画させるようにできる。
図8(A)に、タッチパネル11のブランク領域にオブジェクト画像OG_SNを表示した例を示し、図8(B)に、被認証主体がタッチパネル11のブランク領域にオブジェクト画像OG_SNに対応する絵を描画した例を示す。
テストにおける処理は、上記した実施形態におけるテストにおける処理と概ね同じであり、被認証主体(人間)により書き込まれた線と、オブジェクト画像OG_SNとは、相似関係の検出が行われる。このとき、両座標の対応位置での時刻の比較(ある検出座標と次の検出座標の相対時間の比較)の比較が行われる。
In the embodiment shown in FIG. 1 to FIG. 6, the subject to be authenticated traces the image (object image OG) concerning the trace object TO arbitrarily selected by the server 2 from the database DB. Also in the embodiment of FIG. 7, the subject to be authenticated traces the image (object image OG) relating to the trace object TO arbitrarily selected from the database DB by the attack prevention program 5.
The touch panel type terminal 1 of FIG. 2 and the touch panel type terminal 4 of FIG. Can be.
FIG. 8A illustrates an example in which the object image OG_SN is displayed in the blank area of the touch panel 11, and FIG. 8B illustrates that the authentication subject draws a picture corresponding to the object image OG_SN in the blank area of the touch panel 11 An example is shown.
The process in the test is substantially the same as the process in the test in the above-described embodiment, and the similarity relationship between the line written by the authentication subject (human) and the object image OG_SN is detected. At this time, the comparison of the time at the corresponding position of both coordinates (comparison of the relative time of one detected coordinate and the next detected coordinate) is performed.
図1から図6に示した実施形態では、サーバ2がデータベースDBから任意にトレースオブジェクトTOを選択した。また、図7の実施形態では攻撃阻止プログラム5がデータベースDBから任意にトレースオブジェクトTOを選択した。
図2のタッチパネル型端末1や図7のタッチパネル型端末4は、データベースDBにトレースオブジェクト情報として被認証主体のサイン(signature)の記憶装置を備えておくことができる。
In the embodiment shown in FIGS. 1 to 6, the server 2 arbitrarily selects the trace object TO from the database DB. In the embodiment of FIG. 7, the attack prevention program 5 arbitrarily selects the trace object TO from the database DB.
The touch panel type terminal 1 of FIG. 2 and the touch panel type terminal 4 of FIG. 7 can include a storage device for a signature of the subject to be authenticated as trace object information in the database DB.
この場合には、図9(A)〜(C)に示したような画像をもつ、多数の被認証主体(人間)のトレースオブジェクト情報TOIが、データベース(図1,図7のDB)に格納される。
トレースオブジェクト情報TOIは、複数の座標情報と座標間の相対時間情報を含む。また、被認証主体がトレースすることにより生成されたトレース入力情報TIIは、複数の入力座標情報と入力時刻情報とを含む。
テストにおける処理は、上記した実施形態におけるテストにおける処理と概ね同じである。
本実施形態では、オブジェクト画像(サイン)をタッチパネルに表示しなくてもよい。この場合は、図9(D)に示した被認証主体(人間)により書き込まれた線と、図9(A),(B),(C)に示したオブジェクト画像とは、相似関係の検出が行われる。このとき、両座標の対応位置での時刻の比較(ある検出座標と次の検出座標の相対時間の比較)が行われる。
In this case, the trace object information TOI of a large number of authentication subjects (humans) having images as shown in FIGS. 9A to 9C is stored in the database (DB in FIGS. 1 and 7). Is done.
The trace object information TOI includes a plurality of coordinate information and relative time information between the coordinates. Further, the trace input information TII generated by tracing the subject to be authenticated includes a plurality of input coordinate information and input time information.
The process in the test is almost the same as the process in the test in the above-described embodiment.
In the present embodiment, the object image (signature) may not be displayed on the touch panel. In this case, the line written by the subject to be authenticated (human) shown in FIG. 9D and the object image shown in FIGS. 9A, 9B, and 9C are detected as similarities. Is done. At this time, time comparison (comparison of relative time between one detection coordinate and the next detection coordinate) at the corresponding position of both coordinates is performed.
1,4 タッチパネル型端末
2 サーバ
3 クラウド
5 攻撃阻止プログラム
6 制御装置
11 タッチパネル
DB データベース
OG オブジェクト画像
TII トレース入力情報
TO トレースオブジェクト
TOI トレースオブジェクト情報
1, 4 Touch panel type terminal 2 Server 3 Cloud 5 Attack prevention program 6 Control device 11 Touch panel DB Database OG Object image TII Trace input information TO Trace object TOI Trace object information
Claims (4)
前記タッチパネル型端末が、前記タッチパネルに表示された前記オブジェクト画像を操作主体が描画することで得られた入力情報を、前記サーバに送信する入力情報送信ステップ、
前記サーバが、前記オブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きにして生成された情報、または前記オブジェクト画像を下書きとせずに生成された情報である、
ことを特徴とする反転チューリングテスト方法。 A display step in which a server transmits an object image of object information to a touch panel type terminal and displays the object image on the touch panel of the touch panel type terminal;
An input information transmitting step in which the touch panel type terminal transmits input information obtained by an operating subject drawing the object image displayed on the touch panel to the server;
A validity determination step in which the server compares the object information with the input information and determines whether the input information is valid;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated by drafting the object image or information generated without drafting the object image. is there,
An inversion Turing test method characterized by that.
当該オブジェクト情報特定ステップの後に、前記入力情報送信ステップに移行することを特徴とする請求項1に記載の反転チューリングテスト方法。 The server further includes an object information specifying step of specifying one or more object information from a database in which a plurality of object information is stored,
2. The inversion Turing test method according to claim 1, wherein the input information transmission step is followed by the object information identification step.
前記操作主体により描画された画像とオブジェクトとの一致を検出するための座標群とからなることを特徴とする請求項1または2に記載の反転チューリングテスト方法。 A group of coordinates for detecting the relative time of the input coordinates as the coordinates;
The inversion Turing test method according to claim 1 or 2, comprising an image drawn by the operation subject and a coordinate group for detecting coincidence between the objects.
前記タッチパネルに表示された前記オブジェクト画像を操作主体が描画することで得られた入力情報を記憶装置に記憶する入力情報記憶ステップ、
前記オブジェクト情報と、前記入力情報とを比較し、前記入力情報が正当であるか否かを判断する正当性判断ステップ、
を有し、
前記オブジェクト情報が複数の座標情報と、座標間の相対時間情報を含み、
前記入力情報が、複数の入力座標情報と入力時刻情報とを含み、かつ前記入力情報は、前記オブジェクト画像を下書きにして生成された情報、または前記オブジェクト画像を下書きとせずに生成された情報であり、
前記座標情報が入力座標の相対時刻を検出するための座標群と、
前記操作主体により描画された画像とオブジェクトとの一致を検出するための座標群とからなる、
ことを特徴とするアクセス認証方法。 A display step for displaying an object image of the object information on the touch panel;
An input information storage step of storing, in a storage device, input information obtained by the operating subject drawing the object image displayed on the touch panel;
A legitimacy determining step of comparing the object information with the input information and determining whether the input information is legitimate;
Have
The object information includes a plurality of coordinate information and relative time information between the coordinates,
The input information includes a plurality of input coordinate information and input time information, and the input information is information generated by drafting the object image or information generated without drafting the object image. Oh it is,
A group of coordinates for detecting the relative time of the input coordinates as the coordinate information;
Ing from the coordinate group for detecting coincidence between the rendered image and the object by the operation subject,
An access authentication method characterized by the above.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012167795A JP6168645B2 (en) | 2012-03-31 | 2012-07-27 | Reverse Turing test method and access authentication method |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012083396 | 2012-03-31 | ||
| JP2012083396 | 2012-03-31 | ||
| JP2012167795A JP6168645B2 (en) | 2012-03-31 | 2012-07-27 | Reverse Turing test method and access authentication method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013254468A JP2013254468A (en) | 2013-12-19 |
| JP6168645B2 true JP6168645B2 (en) | 2017-07-26 |
Family
ID=49951881
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012167795A Expired - Fee Related JP6168645B2 (en) | 2012-03-31 | 2012-07-27 | Reverse Turing test method and access authentication method |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP6168645B2 (en) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021015754A1 (en) * | 2019-07-24 | 2021-01-28 | Hewlett-Packard Development Company, L.P. | Edge models |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106155298B (en) * | 2015-04-21 | 2019-11-08 | 阿里巴巴集团控股有限公司 | The acquisition method and device of man-machine recognition methods and device, behavioural characteristic data |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7721107B2 (en) * | 2006-02-10 | 2010-05-18 | Palo Alto Research Center Incorporated | Physical token for supporting verification of human presence in an online environment |
| JP2008123390A (en) * | 2006-11-15 | 2008-05-29 | Seiko Epson Corp | Personal authentication device and personal authentication method |
| JP2009163482A (en) * | 2008-01-04 | 2009-07-23 | Sharp Corp | Authentication device, authentication method, program for making computer function as authentication device and recording medium |
| JP2009181218A (en) * | 2008-01-29 | 2009-08-13 | Canon Inc | Authentication device, authentication method and program |
| US8683582B2 (en) * | 2008-06-16 | 2014-03-25 | Qualcomm Incorporated | Method and system for graphical passcode security |
| JP2012048281A (en) * | 2010-08-24 | 2012-03-08 | Nomura Research Institute Ltd | Handwriting authentication system and handwriting authentication program |
-
2012
- 2012-07-27 JP JP2012167795A patent/JP6168645B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021015754A1 (en) * | 2019-07-24 | 2021-01-28 | Hewlett-Packard Development Company, L.P. | Edge models |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2013254468A (en) | 2013-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Yue et al. | Blind recognition of touched keys on mobile devices | |
| US10218506B1 (en) | Cross-device authentication | |
| Buschek et al. | Improving accuracy, applicability and usability of keystroke biometrics on mobile touchscreen devices | |
| US20170140138A1 (en) | Behavior based authentication for touch screen devices | |
| Starostenko et al. | Breaking text-based CAPTCHAs with variable word and character orientation | |
| JP4936513B2 (en) | Image processing apparatus, image processing method, sign registration program, and storage medium | |
| EP2585971B1 (en) | Automatic construction of human interaction proof engines | |
| US10572715B2 (en) | Segment block-based handwritten signature authentication system and method | |
| US10503960B2 (en) | Segment-based handwritten signature authentication system and method | |
| US9348510B2 (en) | Comparing users handwriting for detecting and remediating unauthorized shared access | |
| CN106778151B (en) | Handwriting-based user identity recognition method and device | |
| CN105718783B (en) | Verification code interaction method and device, client and server | |
| Van Nguyen et al. | Finger-drawn pin authentication on touch devices | |
| CN103413078A (en) | Double-layer online identification system and identification method based on user's mark and handwriting | |
| Galbally et al. | Accuracy evaluation of handwritten signature verification: Rethinking the random-skilled forgeries dichotomy | |
| Roshanbin et al. | ADAMAS: Interweaving unicode and color to enhance CAPTCHA security | |
| CN112528264A (en) | Behavior verification code generation and verification method for random position of random contour | |
| Dinh et al. | Recent advances of Captcha security analysis: a short literature review | |
| Khan et al. | Mimicry attacks on smartphone keystroke authentication | |
| JP6168645B2 (en) | Reverse Turing test method and access authentication method | |
| US8036433B1 (en) | Grid-based data input and authentication | |
| Sadovnik et al. | A visual dictionary attack on Picture Passwords | |
| Velten et al. | User identity verification based on touchscreen interaction analysis in web contexts | |
| CN113190310B (en) | Verification code design method based on random position object semantic recognition | |
| US20120023549A1 (en) | CAPTCHA AND reCAPTCHA WITH SINOGRAPHS |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20150727 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151127 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160420 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160614 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170110 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170310 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20170411 |
|
| R155 | Notification before disposition of declining of application |
Free format text: JAPANESE INTERMEDIATE CODE: R155 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20170623 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20170623 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6168645 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20170623 |
|
| LAPS | Cancellation because of no payment of annual fees |