面向移动终端的隐式身份认证机制通过监测移动终端环境以及用户行为等信息对用户进行透明且持续地认证，能够增强现有身份认证机制的可用性与安全性。该文对隐式身份认证技术的研究现状进行介绍。介绍了基于本地与基于网络的隐式身份认证框架；归纳总结出五类数据采集方式；对基于机器学习等多种用户分类算法进行了介绍，分析比较了各算法的正确率；归纳出两类访问控制机制，并对隐式身份认证所面临的模拟行为攻击以及用户隐私泄漏安全问题进行了讨论。
徐国愚,苗许娜,张俊峰,等:面向移动终端的隱式身份认证机制综述 2018,54(6)21 3.1数据采集类型 磁传感器等 数据采集的来源主要包括设备传感器应用软件以(3)系统使用数据。文献12,7认为通过用户对手 及网络,可以通过这些数据来识別用户身份。本文将其机系统的使用数据可以识别出非法用户,具体包括:通 归纳为以下五种类型。 话模式、短消息、网站访问记录、软件使用情况、当时使 ()设备位置数据。银多文献认为没备位置对于隐)用件列表等当相关数据发生显著改变时则说明设 式认证非常重要,相关机制通过设备当前位置数据来判备可能被非法使用。 断设备所处环境的安全性,从而采取相应的安全认证机 文献[2,14还通过收集接入网络的相关信息来识 制。例如:当没备位于家中时是低风险级别,可以不采别设备的身份,比如通过基站获取相关设备的呼叫模 用任何显式认证机制;当设备位于办公室时是中等风险式、语音数据接入时间等。 级别,可以采用中等显式认证机制:当设备处于户外或 (4)用户生理数据。文献[21利用于机中的加速计 者陌生环境时认为是高风险级别需要采用强显式认谁传感器通过识别川户步态来进行身份认证。文献2 机制 针对可穿戴设备的输入屏幕尺刂偏小,传统的认证方式 交献2,4,7,912通过GPS信息来识别用户当前位较难应用的问题,利用语音、指纹、心率、体温、血压等数 置以及移动路径。文献2,4,通过识别可信第三方设据来识别用户,其中心率、体湿、血压等特别适合在可穿 备的WFi信号、蓝牙信号等识别认证设备的当前位置,戴设备上应用。 这些信号可以作为GPS信号的补充。文献[2,4]利用日 (5)使用时间数据。文献[7]认为随着时间的流逝, 程安排钦件,通过预期用户的位置来判断环境的安全设备的可信度会下降,需要重新进行显式的认证。例如 性,例如设备在预期的时间内没有出现在预期的地点,长时间未用,则表明设备的安全风险加大,需要重新进 则说明设备可能处于高风险环境。文献[3]利用加速行显式认证;而短时间频繁使用设备,则设备的安全风 计、触摸屏、光感器、温度及湿度传感器检测设备是否握险较小,因此不需要进行显式认证。采集数据包括:最 在手中或者放在口袋里,若是则说明设备处于低风险环近·次认证成功时问、最近次认证失败时间、最近 境,不需要重新认证 次操作手机时间等。 上述数据采集的位置均位于本地。通过远程数据 在表1屮对数据采集进行了归纳 也能够获取设备位置特征,例如基础设施中的数据、云3.2数据采集面临的主要问题 数据等。文献[2,14通过收集接入网络的相关信息来 相关文献均根据自身机制的需要,釆集上述信息中 识别设飴的身份,可以实现远端网终对接入终端的身份的一种或者多种数据来进行隐式认证。但是在数据采 识别,包括设許接入基站的信息(粗略位置)、P地址等,集源的选择上还需考虑以下几个问题:(1)本地与远程 并且可通过云日程安排等数据预测设备的预期位置。数据采集派的选择问题。一方面,本地数据(如设备 (2)用户触摸行为数据。文献[1517认为用户在通GPS信号、用户触摸行为等)采集速度快、保密性好,但 过触摸屏输入口令、文宇以及浏览网站时,每个用户都是消耗资源较大;另一方面,远程数据(如接入基站、IP 用其独特的输入特征,通过采集这些数据可以识别合法地址、云日程安排等)可以实现跨设备联合认证,且消耗 用户,并且能够对用户进行持续认证。采集的数据包本地资源少,但存在着隐私泄露、采集信息不精确等问 括:击键模式、手指压力、触摸尺寸、触摸时间等。文题。(2)计算与能耗问题。移动终端的计算与电力资源 献[18-20]通过采集用户拿起手机、使用应用程序、放下有限,因此需要重点考虑计算与能耗问题3。首先,采 于机过程屮的相关操作行为数据来识別用户,数捃釆集集的数据种类越多,判断越准确,但是计算量与能耗也 来源包括运动和姿态传感器,如加速计、陀螺仪、定位及越大;其次,在同一类型数据收集屮,不同信号旳能量消 表1数据采集分类 别 采集信息 没备位置数据 GPS信息、wiFi信号、蓝牙信号、NFC信号、USB连接、本地日程安排软件、云日历应用 软件、加速计触摸屏、光感器、温度和湿度传感器、接入基站、IP地址、云日程安排 用户触摸行为数据 触摸屏操作:击键模式、于指压力、触摸尺寸、触摸时间等;运动和姿态传感器:加速计、 陀螺仪、定位及磁传盛器等 系统使用数据 逦话模式短消总、网站访问记录、软件使用记录、当前使用软件列表,基站呼叫模式 语音数据等 用户生理数据 脸部识、指纹、声敛、语音、心律、体温、血压、步态等 使用时间数据 最近一次认证成功时间、最近一次认证失败时间、最近一次操作手机时间等 22 208,54(6) Computer Engineering and Applications计算机工程与应用 耗也是不同的,比如GPS比Wii信号精确但能耗也更窗凵以及昇常反馈机制实现对用户身份的时监测,算 大;最后,数据采集频率越高则数据越精确,但能耗也法正确率达到9% 大,所以需要根据应用场景进行综合配置 2017年2月,在RSA2017大会创新沙盒大赛中 UniD公司的隐式身份认证系统夺得桂冠,成为万众 4用户分类算法 瞩目的焦点。 UnifyID系统采集100多种特征值,并综 用户分类算法( classifier)是认证决策模块的核心,合利用深度神经网络决策树、贝叶斯网络等机器学习 通过对多个认证源信息进行计算来划分用户、为用户身算法自动寻找各个特征值之间的关联来提高准确性,其 份合法性的判断提供决策信息。根据采用的种类,本文正确拒绝率可以达到99.9990。但是该系统目前仍处 将算法分为两类:(1)基于机器学习的用户分类算法;开发阶段,尚未发布商业产品。 (2)其他用户分类算法。 4.2(其他用户分类算法 4.1基于机器学习的用户分类算法 献[!5]利用动态时间规整算法( Dynamic Time 囯前部分隐式认证文献基于机器学习算法来进 Warping,DTW)来判断使用者输入开机图形口令时的 行用户分类 手势是否正确,能够与口令认证结合实现双因素认证。 文献[25邇过手指对屏幕的触摸移动来认证一个DTW算法起源于语音识別领域,其能够对两组基于时 用户,文献收集了手指触摸行为的41种特征值,分别使间序列的数据进行比较,计算两者的相似度。该文献利 用KNN以及SVM分类器来进行识别。实验表明,手指用DTW将当前用户的输入特征与合法用户样本特征进 滑动次数对于分类的正确性卡常重要,且在一些特定应行比较判断,但实验表明该方案的准确率仪为70%,错 用场景中,使用SVM算法比KNN算法的正确咯高约2%。误拉绝率( False rejection rate,FR)为19%,错误接受 文献[26]针对手指触摸以及于指点击操作等特征,率( alse Acceptance Rate,AR)为2% 使用SVM算法对用户输入口令时进行检测,并且采用 文献[20提出了一种加权的多维动态时间规整决 两样本K-S检验来选取区分明显的特征值,算法正确率策算法。文献采集用户从拿起手机到唤酲手机这·过 可以达到928%。文献[27]同样使川SⅥM算法,利川手程的加速计以及陀螺仪的6个维度数据,对各个维度数 指滑动特征对用户进行分类,算法的FAR为15%,FR据分别利用DTW算法进行计算,之后将结果进行加权 为10 求和,以提高决策的准确度。据文中显示,该方案的准 PRSM的分类算法可分为两层:在高层使用一种确率为963%,FAR为2.1%。 多视角贝叶斯网络模犁技术一 HARD-BN,综合利用多 文献[2]通过采集合法用户的历史系统使用数据, 种底层算法来识别用户环境及行为;在底层则针对用户利用概率密度函数建立用户行为模型,在用户行为模型 位置、动作、钦件使用等不同数据集采用不同算法来建的基础上根据用户近期行为来计算设斧信任值,当信任 模。例如针对用户位置特征识别, PRISM采用KNN算值低丁阈值时则需要重新进行显式认证。另外,信任值 法通过用户GPs、GSM数据来识別家或者工作单位等随时间流逝逐渐降低,降低的速率则跟时间段有关,例 粗粒度位置,采用决策树算法通过 WiFi BSSIL以及如下牛接打电话频繁则信任值下降速率快,而午夜时段 RSSI来识别室内细粒度位置。 接打电话少,则下降速率慢。 文献[22]针对可穿戴设备,采用轻量级的高效分类 文献[15通过采集用户手指输入口令时的手指点 器一随机猋林算法来进行分类,通过用户的身体动作进击操作特征,通过计算测试阶段与注册阶段各特征值间 行划分,识别出止确的用户。 的差异分数来判断用户的合法性,如果差异分数大于阈 文献28提出了 SmartYou系统,系统对用户的分类值则判定为非法用户,其中在计算差异分数将注卅阶段 分为两步:首先,系统利用随机森林算法对用户使用环各特征值的标准方差作为权重,保证变化幅度小的特征 境进行识别,系统将用户使用环境分为静态和动态两大权值人。在该机制中,即使非法用户输入合法的口令也 类,通过识别用户使用环境将有助于提高用户分类的能够拒绝其访问设备,从而实现双因素认证,弥补口令 正确性。其次,系统利用核岭回归算法( Kernel ridge认证的缺陷该方案的正确率为9635% Regressions,KRR)对用户进行分类,实验表明其准确 表2给出了各机制所使用的分类算法与实验结果, 率为981%,性能优于SVM、线性冋归和朴素贝叶斯算法ε其屮数据采集类型指该机制采用了本文3.1节中的那些 文献3利用一种人工神经树络算法一自适应神数据类型,n.a表示文献未给出该数据。 经模糊推理系统来进行身份认证,文献通过算法的自学4.3用户分类算法而临的主要问题 习能力来识别每个用户的独特行为特征,并且引入时间 根据表2中各文献的发表时间可以看出,在早期的 徐国愚,苗许娜,张俊峰,等:面向移动终端的隱式身份认证机制综述 2018,54(6) 23 表2分类算法总结 实验结果/% 方案 分类算法 实验人数数据采集类型 正确率 FRR FAR 文献[16],2012 W 70 文献「25],2012 NN、SVM 文献[26],2013 92.8 n. a n. a 文献[1512014利用标准方弟计算差异值 96.35na.n.3 文献[27],2015 SVM 200 2 文献[22],2016 随机森林 30 <1 文献[201,2017 加权多维DTW 文献3012017、自适应神经模糊推理系统 文献[28],20 随机森林、KRR 98.1 2.8 2文献31],2017深度神经网络决策树等 1,2,3,4 99.9 研究屮子学者使用的方法差别较大而近几年的文献多的问题,本章重点介绍机制所面临的两个关键性的安全 采用机器学习算法来实现,其中SVM、KNN以及决策树问题:模拟行为攻击以及用户隐私泄漏。 是使用最多的分类器32。但是上述机制还存在以6.1模拟行为攻击问题 下几个问题:(1)由于针对不同的数据集,各种机器学习 文献[38-39]通过实验发现现有的基于手指触屏行 算法的效果差异很大,所以单一采用某一种算法法适为的隐式认证系统无法有效抵御模拟行为攻击,具体包 应所有场合,因此需要针对不同的数据甚至是不同的应 括肩窥和离线训练攻击。在文献[25,40-41]中均假设攻 用软件釆用不同的算法,但是,采用多种箅法则对设备击者是外部人员,且根据身的手指触屏行为进行操 的资源提出了更高的要求,因此需要进行综合考虑。作,在这种情况下,攻击者的成功率均低于5%。但是上 (2)上述机制多在实验环境下进行测试,效果较理想。述文献并未考虑攻击者刻意练习并模拟攻山的情况,在 但是在真实坏境中使用,特别是随着时间推移,用户白该文中假设攻击者是用户身边的人,比如朋友、家人或 身行为发生改变时,如何保证认证的准确性还有待进 室友,攻击者可以通过肩窥的方式事先观看到用户触屏 步深入研究与验证 行为,之后模拟用户动作进行攻击。另外,攻击者还可 以通过各种方法(如恶意软件等)获取用户的原始触屏 5访问控制机制 行为数据,之后在其他机器上练习用户的行为后,伺机 上述决策算法给出当前用户身份合法性的判断后, 发起攻击。实验表明,肩窥攻击和离线训练攻击均具有 访问控制模块将采川访问控制机制对当前川户使川设 很高的成功率。因此,单一靠某一种类型的传感信息可 备的权限进行控制,可以将机制分为简单判断与分级授 能很难实现对用户的准确认证,还需要通过结合地理位 权两大类。 是简单判断类型。采用简单判断类型的系统有置等多种特征值来联合进行判断。 文献[2,7,15-16,25-26]。当系统发现用户处于非安全 上述攻击是针对基于本地的隐私身份认证机制的 环境(例如户外)或者发现用户行为异常则锁定系统,要 攻击,基于网络的隐式身份认证机制则面临更多的问 求用户输入山令解锁,对用户进行重新认证 题,例如,如何保证用户特征值在传输过程中安全性以 二是分级授权类型。文献[4,5,9,13,19,32,3637]及如何保证设备发送来的用户特征值的真实性等问题 等采用分级授权机制进行访问控制。系统根据设备所6.2川户隐私泄漏问题 处的环境以及当前使用软件的安全等级采用不同强度 隐式身份认证需要通过各种传感器以及软件获取 的访问控制机制,例如:音乐、导航程序的保密级別最用户的特征信息,这些信息包含了大量用户的隐私信 低,在任何环境下都不用输入凵令;通信录、短信、社交息。基丁本地的隐私认证机制可以通过加密等方法对 软件等应用的保密级别中等,在安全环境屮使用(如家本地信息进行存储,安全风险相对较低,但是在基于网 中)不需要进行认证,在非安全环境卜(如户外)则需要络的隐式认证机制中,需要将相关信息上传至网络,由 进行认证。金融攴付类等应用保密等级最高,不管在任数据采集代理或者认证代理进行处理,因此如何在基于 何环境下都需要进行认证。另外,根据不同的环境可以閃络的隐式认证机制中防止用户隐私泄漏是一个关健 要求用户进行简单口令认计或者复杂口令认证 性问题。 针对这一问题,文献[42提出了一种具有隐私保护 安全问题 的隐式认证机制。在该机制中,手机获取用户的多种特 隐式身份认证机制自身的安全性是一个非常重要征值,将特征值通过同态加密算法加密后上传至认证 24 208,54(6) Computer Engineering and Applications计算机工程与应用 代理,认证代理利用平均绝对离差 Average absolute in the clouds: A framework and its application to mobile Deviation,AAD)和具有保持次序特性的对称加密算法 users[C] ACM Cloud Computing Security Workshop Order Preserving Symmetric Encryption, OPSE)4it 算出川户特征值的总分数,据此来判断川户的合法性。81eW, ee R. mplicit smartphone user authentica 由于同态加密算法以及OPSF可以在数据加密的情况 tion with sensors and contextual machine learning[C]/ 下进行代数运算及排序操作,因此认证代理无法获得用 International Conference on Dependable Systems and 户的真实特征值,实现了隐私保护, Networks, 2017 但是,该机制的不足之处在于只能支持数值化的特 [9] Hayashi E, Das s, Amini S, et al.CASA: Context-aware scalable authentication C]/Symposium on Usable Privacy 征值,并且使用了两种加密算法,复杂性较高。针对该 o and Security, 2013: 3-7 问题,文献45利用集合交运算来支持非数值化的特征间0李品,周璟璐,陈静,等移动云计算中的上下文相关身份 值比较,并且只需要使用亠种加密算法:但是该算法仍认训U计算机应用与20139:969 [11] Buthpitiya S, Zhang Y, Dey A K, et al. n-Gram geo 何与机器学习等算法进行结合是个需要探讨的问题 trace modeling[ C]/International Conference on Perv sive Compuling,2011,6696(1):97-114 7结束语 [12] Eagle N, Pentland A S. Eigenbehaviors: Identifying struc 隐式身份认证机制能够避免用户频錾输入口令,并 ture in routine[ J]. Behavioral Ecology and Sociobiology 且能够持续监测用户的真实性,因此,可以在便捷性和 2009,63(7):1057-1066 安全性两个维度上増强现有显式认证机制。但是隐式 [13 Riva O, Qin C, Strauss K, et al. Progressive authentica 身份认证札制H前还处于试验阶段,还需要进一步增强 tion: Deciding when to authenticate on mobile phones[c]n 其识别的准确性利抗攻击性,尚未有成熟的产品能够使 Proceedings of Usenix Security Symposium, 2012 用。另外,隐式身份认讧机制由于能够实现设备对用户 [14]郭佳鑫,黄晓芳,徐蕾.基于移动终端的多属性决策隐式 身份认证方法[J西南科技大学学报,2016,31(4):73-7 身份的感知及识别,可以拓展应用到其他领域,如智慧 [15 Zheng N, Bai K, Huang H, et al. You are how you 城市、智能家居、预测移动计算等领域,能够为用户个性 touch: User verification on smartphones via tapping 化服务提供身份识别功能,因此具有广泛的应用前景。 behaviors[C]/IEEE Intemational Conference on Network Protocols. 2014. 221-232 参考文献: 16 Luca A D, Hang A, Brudy F, et al.Touch me once and [1] Siciliano R Keeping your mobile devices sale frun cyber I know it's you! Implicit authentication based on touch threats[eb/ol].(2017-01-12).Https://www.thebalance.com screen patterns[C]/Sigchi Conference on Human Fac- keeping-mobile-devices-safe-from-cyber-threats-4122471 tors in Computing Systems, 2012: 987-996 [2] Jakobsson M, Shi E, Golle P, et al. Implicit authentica- [17] Gurary J, Zhu Y, Alnahash N, et al. Implicit authentica tion for mobile devices[C]Proceedings of the 4th USE- tion for mobile devices using ty ping behavior C]//Inter NIX Conference on Hot Topics in Security, 2009: 9-19 national Conference on Human Aspects of Informalion [3]雷锋网RSA2017创新沙盒大贏家 UnifVID到底是何方神 Security, Privacy, and Trust. [S1.: Springer, 2016: 25-36 E2[eb/ol].(2017-02-15).hTtps: //baijiahao. baidu. com/s? id=[18 conti M, Zachia-zlatea I, Crispo B. Mind how you 1559388983765434&wfrspider& for=pc answer me!: Transparently authenticating the user ofa [4] Ramakrishnan A, Tombal J, Preuveneers D, et al. PRISM smartphone when answering or placing a call[C]//Pro Policy-driven risk-based implicit locking for improving ceedings of the th ACM Symposium on Information the security of mobile end-user devices[c]//International Computer and Communications Security, 2011: 249-259 Conference on Advances in Mobile Computing and Multi- [19] Zhu J, Wu P, Wang X, et al. Sen Sec: Mobile security media,2015:365-374. through passive sensinglC'International Conference on [5] Khan H, Atwater A, Hengartner U Itus: An implicit authen Computing, Networking and Communications, 2013 tication framework for android[ c]/nternational Confer 1128-1133 ence on Mobile Computing and Networking, 2014: 507-518. [20] Lee W H, liu X. Shen Y, et al. Secure pick up: Implicit [6]黄海平,徐宁,王汝传,等物联网环境下的智能移动设备 authentication when you start using the smartphone[C]// 隐式认证综述南京邮电大学学报:自然科学版,2016 Proceedings of the 22nd ACM on Symposium on 36(5):24-29 Access Contrul Models and Technologies. 2017:67-78 [7] Chow R, Jakobsson M, Masuoka R, et al. Authentication [21] Nickel C, Wirtl T, Busch C Authentication of smartphone 徐国愚,苗许娜,张俊峰,等:面向移动终端的隱式身份认证机制综述 2018,54(6)25 users based on the way they walk using KNN algo 34] Lee W.H, Lee R B Implicit authentication for smart rithm[C]/2012 Eighth International Conference on Intelli phone security[C]/International Conference on Informa- gent Information Hiding and Multimedia Signal Pro tion Systems Security and Privacy. Cham Springer, 2015 cessing,2012:16-20 160-176. [22 Zeng Y.Aclivily-based implicit authentication for wear [35 Amin R, Gaber T, Eltaweel G Implicit authentication able devices: Ph. D forum abstract[c /International Cof system for smartphones users based on touch data M!/ ference on Information Processing in Sensor Networks Intelligent Data Analysis and Applications [S 1 ]: Springer 2016:27 International Publishing, 2015 [23] Lee W H. Lee R B Multi-sensor authentication to improve [36] Burgbacher U, Hinrichs K An implicit author verifica smartphone securityl COnformation Systems Security ion system for text messages based on gesture typ and Privacy (ICISSP), 2015: 1-11 g biometrics C/Sigchi Conference on Human Fac 124 Fridman L, Weber $, Greenstadt R, et al. Active authenti Lurs in Computing Systems, 2014: 2951-2954 ion on mobile devices via stylometry, application [37 Atwater A, Khan H, Hengartner U Poster: When and ge, web browsing, and GPS location]IEEE Systems how to implicitly authenticate smartphone users[C]/ Journa,2017,11(2):513-521 ACM Sigsac Conference on Computer and Communi [25 Frank M, Biedert R, Ma E, et al. Touchalytics: On th cations Security. 2014 1415-1417 applicability of touchscreen input as a behavioral bio [38 Khan H, Hengartner U, Vogel D Targeted mimicry attacks metric for continuous authentication[J]IEEE Transac- on touch input based implicit authentication schemes[C]!/ tions on Information Forensics Security, 2012, 8(1) International Conference on Mobile Systems, Applica tions, and Services, 2016: 387-398 136-148 [39 Khan H. Evaluating the efficacy of implicit authentica 126 Li L, Zhao X, Xue G Unobservable re-authentication Lion under realistic operating scenarios]. Waterloo Uni for smartphones[J]. Ndss, 2013 versity. 2016 [27 Yang L, Guo Y, Ding X, et al. Unlocking smart phone 40 Bo C, Zhang L, Li X Y, et al. SilentSense: Silent user through handwaving biometrics[].IEEE Transactions on dentification via touch and movement behavioral bio Mobile Computing,2015,14(5):1044-1055 metrics[C]/International Conference on Mobile Com [28 Lee W H, Lee r B Implicit smartphone user authenti puting Networking, 2013: 187-190 cation with sensors and contextual machine learning[j] 41 Feng T, Yang J, Yan 7, et al.TIPS: Context-aware implicit ar Xiv preprint ar Xiv: 1708.09754, 2017 Iser identification using touch screen in uncontrolled [29 Suykens J A K, van Gestel T V, de brabanter J D, et al environments[C]iThe Workshop on Mobile CumpuLir Least squares support vector machines[J]. International Systems and Applications, 2014: 9 Journal of Circuit Theory Applications, 2002, 27(6) 42 Safa N A, Safavi-Naini R, Shahandashti S F Privacy- 605-615 preserving implicit authentication[M]/ICT Systems Security [30 Yao F, Yerima S Y, Kang B I, et al. Continuous implic- and Privacy Protection. Berlin Heidelberg Springer, 2014 it authentication for mobile devices based on adaptive 471-484 neuro-fuzzy inference system[CIInternational Confer-[43] Paillier P Public-key cryptosystems based on composite ence on Cyber Security and Protection of Digital Ser degree residuosity classes[C Eurocrypt, 1999, 99: 223-238 vices. 2017:1-7 [44 Boldyreva A. Chenette N, Lee Y, et al. Order-preserving [31 Cnifyid. How it works[eb/ol]-[2017-08-01].httPs: i/unify. id symmetric encryption[C] /Advances in Cryptology [32 Khan H, Hengartner UTowards application-centric implicit EUROCRYPT2009,2009:224-241 authentication on smartphones[C]//The Workshop on [45] Domingo-Ferrer J, Wu Q. Blanco-Justicia A Flexible and Mobile computing Systems and Applications, 2014: 10 racy-preserving implicit authentication[M]!/ [33]周璟璐、基于决策树的移动终端中身份验证硏究[].郑 ICT Systems Security and Privacy Protection. [S1.] 州:郑州大学,2013 Springer International Publishing, 2015: 18-34