徐國(guó)愚，苗許娜，張俊峰，姜濤，馬小飛

河南財(cái)經(jīng)政法大學(xué)計(jì)算機(jī)與信息工程學(xué)院，鄭州450002

面向移動(dòng)終端的隱式身份認(rèn)證機(jī)制綜述

徐國(guó)愚，苗許娜，張俊峰，姜濤，馬小飛

河南財(cái)經(jīng)政法大學(xué)計(jì)算機(jī)與信息工程學(xué)院，鄭州450002

1 引言

當(dāng)前，以智能手機(jī)、智能手表為代表的移動(dòng)終端已非常普及，移動(dòng)辦公、移動(dòng)支付等應(yīng)用也被廣泛使用。但是，由于移動(dòng)終端往往存儲(chǔ)有個(gè)人隱私或銀行賬戶信息，一旦丟失或者被盜，將會(huì)帶來(lái)巨大的安全風(fēng)險(xiǎn)。

身份認(rèn)證機(jī)制能夠讓移動(dòng)設(shè)備對(duì)使用者的身份進(jìn)行認(rèn)證，保證設(shè)備使用的安全性。常見(jiàn)的身份認(rèn)證機(jī)制包括口令、生物特征（指紋、人臉等）識(shí)別以及智能卡。但是，現(xiàn)有面向移動(dòng)終端的認(rèn)證機(jī)制存在著以下幾個(gè)問(wèn)題：首先，認(rèn)證頻繁。每次喚醒設(shè)備時(shí)都需要進(jìn)行認(rèn)證，用戶即使查看天氣預(yù)報(bào)也需要進(jìn)行認(rèn)證；其次，輸入不便。移動(dòng)設(shè)備輸入屏幕小，使得口令的輸入困難。上述問(wèn)題導(dǎo)致部分用戶不愿設(shè)置任何認(rèn)證機(jī)制，使得移動(dòng)設(shè)備處于風(fēng)險(xiǎn)之中[1]。因此，有必要設(shè)計(jì)一種兼顧安全與便捷的認(rèn)證方式，滿足移動(dòng)用戶的需求。

隱式身份認(rèn)證機(jī)制是指通過(guò)采集移動(dòng)終端傳感器以及用戶行為等信息，通過(guò)算法識(shí)別出當(dāng)前使用者的身份，可以避免頻繁使用口令、生物特征識(shí)別等顯式認(rèn)證方式，且能夠?qū)τ脩暨M(jìn)行持續(xù)不間斷的身份認(rèn)證，因此能夠兼顧用戶的體驗(yàn)度與設(shè)備的安全性[2]。

隱式身份認(rèn)證的目的一般可以分為兩種維度：一種是提供可用性，即不需要用戶頻繁輸入口令；另一種是提供額外的安全性，例如用戶在輸入口令時(shí)，不僅對(duì)用戶口令的正確性進(jìn)行驗(yàn)證，而且對(duì)用戶輸入時(shí)的行為動(dòng)作進(jìn)行驗(yàn)證，如果行為不一致則即使口令正確也不允許通過(guò)驗(yàn)證。

目前，隱式身份認(rèn)證得到了越來(lái)越多的關(guān)注，特別是在RSA 2017大會(huì)創(chuàng)新沙盒大賽中隱式身份認(rèn)證技術(shù)脫穎而出，獲得了第一名的成績(jī)[3]。RSA創(chuàng)新沙盒大賽被譽(yù)為“安全界的奧斯卡”，每屆大賽都聚集了眾多創(chuàng)造性尖端技術(shù)，因此奪得桂冠的隱式身份認(rèn)證技術(shù)具有重要的研究意義與應(yīng)用前景。

本文對(duì)現(xiàn)有隱式身份認(rèn)證技術(shù)的研究現(xiàn)狀進(jìn)行介紹，第2章給出隱式身份認(rèn)證的框架，第3章介紹設(shè)備數(shù)據(jù)采集的方式，第4、5章給出用戶分類(lèi)算法以及訪問(wèn)控制機(jī)制，第6章介紹機(jī)制所面臨的關(guān)鍵性安全問(wèn)題，第7章是總結(jié)與展望。另外，為了后續(xù)描述方便，在本文中將口令、生物特征識(shí)別等機(jī)制統(tǒng)稱(chēng)為顯式身份認(rèn)證。

2 隱式身份認(rèn)證框架

根據(jù)隱式身份認(rèn)證實(shí)施的網(wǎng)絡(luò)位置，框架可以分為基于本地和基于網(wǎng)絡(luò)兩大類(lèi)。下面對(duì)其分別進(jìn)行介紹。

2.1 基于本地的隱式身份認(rèn)證框架

文獻(xiàn)[4-6]等分別給出了基于本地的隱式身份認(rèn)證框架，本文將上述框架進(jìn)行綜合，給出了一個(gè)通用的框架，如圖1所示。

圖1 基于本地的隱式身份認(rèn)證框架

框架底層為數(shù)據(jù)采集模塊，其通過(guò)采集手機(jī)數(shù)據(jù)源信息為用戶身份的認(rèn)證提供原始數(shù)據(jù)輸入，并將收集到的數(shù)據(jù)發(fā)送給上一層認(rèn)證決策模塊。認(rèn)證決策模塊首先對(duì)數(shù)據(jù)進(jìn)行預(yù)處理，之后采用用戶分類(lèi)算法對(duì)數(shù)據(jù)進(jìn)行綜合分析，給出當(dāng)前設(shè)備使用者合法性的判斷。訪問(wèn)控制模塊根據(jù)認(rèn)證決策模塊的反饋結(jié)果對(duì)設(shè)備使用者的權(quán)限進(jìn)行控制，根據(jù)訪問(wèn)控制的粒度可以分為簡(jiǎn)單判斷型和分級(jí)授權(quán)型兩大類(lèi)。管理接口及策略配置模塊用于負(fù)責(zé)定義和管理安全策略，并且具有反饋機(jī)制，能夠幫助認(rèn)證決策模塊根據(jù)用戶行為和環(huán)境的改變做出調(diào)整。

2.2 基于網(wǎng)絡(luò)的隱式身份認(rèn)證框架

文獻(xiàn)[7-8]等提出了基于網(wǎng)絡(luò)的隱式身份認(rèn)證框架，在該框架中將用戶身份認(rèn)證功能從本地轉(zhuǎn)移至網(wǎng)絡(luò)中的認(rèn)證代理處實(shí)現(xiàn)，通過(guò)該方式可以有效降低本地認(rèn)證負(fù)擔(dān)，并通過(guò)多源信息收集提高認(rèn)證的精度。

在該框架中，包括四個(gè)參與方：移動(dòng)終端、應(yīng)用服務(wù)器、認(rèn)證代理和數(shù)據(jù)采集代理，如圖2所示。當(dāng)移動(dòng)終端需要向應(yīng)用服務(wù)器請(qǐng)求服務(wù)時(shí)需要首先向認(rèn)證代理進(jìn)行身份認(rèn)證，移動(dòng)終端將自身的環(huán)境和軟件操作數(shù)據(jù)發(fā)送給數(shù)據(jù)采集代理，數(shù)據(jù)采集代理還可以從第三方處獲取移動(dòng)終端信息（如在線日程應(yīng)用等）。認(rèn)證代理從數(shù)據(jù)采集代理獲取移動(dòng)終端環(huán)境信息，并基于策略對(duì)移動(dòng)終端進(jìn)行認(rèn)證。應(yīng)用服務(wù)器可以根據(jù)客戶請(qǐng)求的服務(wù)（網(wǎng)絡(luò)讀取或者支付服務(wù)）提供認(rèn)證策略給認(rèn)證代理，并最終根據(jù)認(rèn)證結(jié)果與移動(dòng)終端建立會(huì)話。

圖2 基于網(wǎng)絡(luò)的隱式身份認(rèn)證框架

2.3 兩種隱式身份認(rèn)證框架的比較

兩種框架各有其優(yōu)缺點(diǎn)?；诒镜氐碾[式身份認(rèn)證框架的優(yōu)點(diǎn)是：（1）不依賴網(wǎng)絡(luò)連通性，即使在沒(méi)有網(wǎng)絡(luò)連接的情況下也可以使用；（2）隱私性好，無(wú)需將用戶信息上傳至網(wǎng)絡(luò)。缺點(diǎn)是：對(duì)移動(dòng)終端的資源消耗大，因?yàn)樗杏?jì)算均在本地進(jìn)行。

基于網(wǎng)絡(luò)的隱式身份認(rèn)證框架的優(yōu)點(diǎn)是：對(duì)本地資源消耗較小，因?yàn)榭梢詫?fù)雜算法運(yùn)行在遠(yuǎn)端數(shù)據(jù)采集代理；缺點(diǎn)是存在隱私泄露問(wèn)題，因?yàn)樾枰獙⒂脩舻男畔⑸蟼髦吝h(yuǎn)端代理。

在具體方案實(shí)現(xiàn)中，可以根據(jù)應(yīng)用的環(huán)境與需求對(duì)上述兩種框架進(jìn)行選擇和取舍。

3 數(shù)據(jù)采集

為判斷當(dāng)前設(shè)備使用者是否為合法用戶，隱式身份認(rèn)證機(jī)制需要根據(jù)移動(dòng)終端當(dāng)前的物理環(huán)境以及用戶操作行為來(lái)進(jìn)行判斷，因此，第一步是利用數(shù)據(jù)采集模塊通過(guò)多種渠道采集信息。本章對(duì)數(shù)據(jù)采集類(lèi)型進(jìn)行了歸納，將其分為了五大類(lèi)，并對(duì)數(shù)據(jù)采集所面臨的主要問(wèn)題進(jìn)行了探討。

3.1 數(shù)據(jù)采集類(lèi)型

數(shù)據(jù)采集的來(lái)源主要包括設(shè)備傳感器、應(yīng)用軟件以及網(wǎng)絡(luò)，可以通過(guò)這些數(shù)據(jù)來(lái)識(shí)別用戶身份。本文將其歸納為以下五種類(lèi)型。

（1）設(shè)備位置數(shù)據(jù)。很多文獻(xiàn)認(rèn)為設(shè)備位置對(duì)于隱式認(rèn)證非常重要，相關(guān)機(jī)制通過(guò)設(shè)備當(dāng)前位置數(shù)據(jù)來(lái)判斷設(shè)備所處環(huán)境的安全性，從而采取相應(yīng)的安全認(rèn)證機(jī)制。例如：當(dāng)設(shè)備位于家中時(shí)是低風(fēng)險(xiǎn)級(jí)別，可以不采用任何顯式認(rèn)證機(jī)制；當(dāng)設(shè)備位于辦公室時(shí)是中等風(fēng)險(xiǎn)級(jí)別，可以采用中等顯式認(rèn)證機(jī)制；當(dāng)設(shè)備處于戶外或者陌生環(huán)境時(shí)認(rèn)為是高風(fēng)險(xiǎn)級(jí)別，需要采用強(qiáng)顯式認(rèn)證機(jī)制。

文獻(xiàn)[2，4，7，9-12]通過(guò)GPS信息來(lái)識(shí)別用戶當(dāng)前位置以及移動(dòng)路徑。文獻(xiàn)[2，4，9]通過(guò)識(shí)別可信第三方設(shè)備的WiFi信號(hào)、藍(lán)牙信號(hào)等識(shí)別認(rèn)證設(shè)備的當(dāng)前位置，這些信號(hào)可以作為GPS信號(hào)的補(bǔ)充。文獻(xiàn)[2，4]利用日程安排軟件，通過(guò)預(yù)期用戶的位置來(lái)判斷環(huán)境的安全性，例如設(shè)備在預(yù)期的時(shí)間內(nèi)沒(méi)有出現(xiàn)在預(yù)期的地點(diǎn)，則說(shuō)明設(shè)備可能處于高風(fēng)險(xiǎn)環(huán)境。文獻(xiàn)[13]利用加速計(jì)、觸摸屏、光感器、溫度及濕度傳感器檢測(cè)設(shè)備是否握在手中或者放在口袋里，若是則說(shuō)明設(shè)備處于低風(fēng)險(xiǎn)環(huán)境，不需要重新認(rèn)證。

上述數(shù)據(jù)采集的位置均位于本地。通過(guò)遠(yuǎn)程數(shù)據(jù)也能夠獲取設(shè)備位置特征，例如基礎(chǔ)設(shè)施中的數(shù)據(jù)、云數(shù)據(jù)等。文獻(xiàn)[2，14]通過(guò)收集接入網(wǎng)絡(luò)的相關(guān)信息來(lái)識(shí)別設(shè)備的身份，可以實(shí)現(xiàn)遠(yuǎn)端網(wǎng)絡(luò)對(duì)接入終端的身份識(shí)別，包括設(shè)備接入基站的信息（粗略位置）、IP地址等，并且可通過(guò)云日程安排等數(shù)據(jù)預(yù)測(cè)設(shè)備的預(yù)期位置。

（2）用戶觸摸行為數(shù)據(jù)。文獻(xiàn)[15-17]認(rèn)為用戶在通過(guò)觸摸屏輸入口令、文字以及瀏覽網(wǎng)站時(shí)，每個(gè)用戶都用其獨(dú)特的輸入特征，通過(guò)采集這些數(shù)據(jù)可以識(shí)別合法用戶，并且能夠?qū)τ脩暨M(jìn)行持續(xù)認(rèn)證。采集的數(shù)據(jù)包括：擊鍵模式、手指壓力、觸摸尺寸、觸摸時(shí)間等。文獻(xiàn)[18-20]通過(guò)采集用戶拿起手機(jī)、使用應(yīng)用程序、放下手機(jī)過(guò)程中的相關(guān)操作行為數(shù)據(jù)來(lái)識(shí)別用戶，數(shù)據(jù)采集來(lái)源包括運(yùn)動(dòng)和姿態(tài)傳感器，如加速計(jì)、陀螺儀、定位及磁傳感器等。

（3）系統(tǒng)使用數(shù)據(jù)。文獻(xiàn)[2，7]認(rèn)為通過(guò)用戶對(duì)手機(jī)系統(tǒng)的使用數(shù)據(jù)可以識(shí)別出非法用戶，具體包括：通話模式、短消息、網(wǎng)站訪問(wèn)記錄、軟件使用情況、當(dāng)時(shí)使用軟件列表等。當(dāng)相關(guān)數(shù)據(jù)發(fā)生顯著改變時(shí)，則說(shuō)明設(shè)備可能被非法使用。

文獻(xiàn)[2，14]還通過(guò)收集接入網(wǎng)絡(luò)的相關(guān)信息來(lái)識(shí)別設(shè)備的身份，比如通過(guò)基站獲取相關(guān)設(shè)備的呼叫模式、語(yǔ)音數(shù)據(jù)、接入時(shí)間等。

（4）用戶生理數(shù)據(jù)。文獻(xiàn)[21]利用手機(jī)中的加速計(jì)傳感器，通過(guò)識(shí)別用戶步態(tài)來(lái)進(jìn)行身份認(rèn)證。文獻(xiàn)[22]針對(duì)可穿戴設(shè)備的輸入屏幕尺寸偏小，傳統(tǒng)的認(rèn)證方式較難應(yīng)用的問(wèn)題，利用語(yǔ)音、指紋、心率、體溫、血壓等數(shù)據(jù)來(lái)識(shí)別用戶，其中心率、體溫、血壓等特別適合在可穿戴設(shè)備上應(yīng)用。

（5）使用時(shí)間數(shù)據(jù)。文獻(xiàn)[7]認(rèn)為隨著時(shí)間的流逝，設(shè)備的可信度會(huì)下降，需要重新進(jìn)行顯式的認(rèn)證。例如長(zhǎng)時(shí)間未用，則表明設(shè)備的安全風(fēng)險(xiǎn)加大，需要重新進(jìn)行顯式認(rèn)證；而短時(shí)間頻繁使用設(shè)備，則設(shè)備的安全風(fēng)險(xiǎn)較小，因此不需要進(jìn)行顯式認(rèn)證。采集數(shù)據(jù)包括：最近一次認(rèn)證成功時(shí)間、最近一次認(rèn)證失敗時(shí)間、最近一次操作手機(jī)時(shí)間等。

在表1中對(duì)數(shù)據(jù)采集進(jìn)行了歸納。

表1 數(shù)據(jù)采集分類(lèi)

3.2 數(shù)據(jù)采集面臨的主要問(wèn)題

相關(guān)文獻(xiàn)均根據(jù)自身機(jī)制的需要，采集上述信息中的一種或者多種數(shù)據(jù)來(lái)進(jìn)行隱式認(rèn)證。但是在數(shù)據(jù)采集源的選擇上還需考慮以下幾個(gè)問(wèn)題：（1）本地與遠(yuǎn)程數(shù)據(jù)采集源的選擇問(wèn)題。一方面，本地?cái)?shù)據(jù)（如設(shè)備GPS信號(hào)、用戶觸摸行為等）采集速度快、保密性好，但是消耗資源較大；另一方面，遠(yuǎn)程數(shù)據(jù)（如接入基站、IP地址、云日程安排等）可以實(shí)現(xiàn)跨設(shè)備聯(lián)合認(rèn)證，且消耗本地資源少，但存在著隱私泄露、采集信息不精確等問(wèn)題。（2）計(jì)算與能耗問(wèn)題。移動(dòng)終端的計(jì)算與電力資源有限，因此需要重點(diǎn)考慮計(jì)算與能耗問(wèn)題[23-24]。首先，采集的數(shù)據(jù)種類(lèi)越多，判斷越準(zhǔn)確，但是計(jì)算量與能耗也越大；其次，在同一類(lèi)型數(shù)據(jù)收集中，不同信號(hào)的能量消耗也是不同的，比如GPS比WiFi信號(hào)精確但能耗也更大；最后，數(shù)據(jù)采集頻率越高則數(shù)據(jù)越精確，但能耗也大，所以需要根據(jù)應(yīng)用場(chǎng)景進(jìn)行綜合配置。

4 用戶分類(lèi)算法

用戶分類(lèi)算法（classifier）是認(rèn)證決策模塊的核心，通過(guò)對(duì)多個(gè)認(rèn)證源信息進(jìn)行計(jì)算來(lái)劃分用戶，為用戶身份合法性的判斷提供決策信息。根據(jù)采用的種類(lèi)，本文將算法分為兩類(lèi)：（1）基于機(jī)器學(xué)習(xí)的用戶分類(lèi)算法；（2）其他用戶分類(lèi)算法。

4.1 基于機(jī)器學(xué)習(xí)的用戶分類(lèi)算法

目前，大部分隱式認(rèn)證文獻(xiàn)基于機(jī)器學(xué)習(xí)算法來(lái)進(jìn)行用戶分類(lèi)。

文獻(xiàn)[25]通過(guò)手指對(duì)屏幕的觸摸移動(dòng)來(lái)認(rèn)證一個(gè)用戶，文獻(xiàn)收集了手指觸摸行為的41種特征值，分別使用KNN以及SVM分類(lèi)器來(lái)進(jìn)行識(shí)別。實(shí)驗(yàn)表明，手指滑動(dòng)次數(shù)對(duì)于分類(lèi)的正確性非常重要，且在一些特定應(yīng)用場(chǎng)景中，使用SVM算法比KNN算法的正確率高約2%。

文獻(xiàn)[26]針對(duì)手指觸摸以及手指點(diǎn)擊操作等特征，使用SVM算法對(duì)用戶輸入口令時(shí)進(jìn)行檢測(cè)，并且采用兩樣本K-S檢驗(yàn)來(lái)選取區(qū)分明顯的特征值，算法正確率可以達(dá)到92.8%。文獻(xiàn)[27]同樣使用SVM算法，利用手指滑動(dòng)特征對(duì)用戶進(jìn)行分類(lèi)，算法的FAR為15%，F(xiàn)RR為10%。

PRISM[4]的分類(lèi)算法可分為兩層：在高層使用一種多視角貝葉斯網(wǎng)絡(luò)模型技術(shù)—HARD-BN，綜合利用多種底層算法來(lái)識(shí)別用戶環(huán)境及行為；在底層則針對(duì)用戶位置、動(dòng)作、軟件使用等不同數(shù)據(jù)集采用不同算法來(lái)建模。例如針對(duì)用戶位置特征識(shí)別，PRISM采用KNN算法通過(guò)用戶GPS、GSM數(shù)據(jù)來(lái)識(shí)別家或者工作單位等粗粒度位置，采用決策樹(shù)算法通過(guò)WiFi BSSID以及RSSI來(lái)識(shí)別室內(nèi)細(xì)粒度位置。

文獻(xiàn)[22]針對(duì)可穿戴設(shè)備，采用輕量級(jí)的高效分類(lèi)器—隨機(jī)森林算法來(lái)進(jìn)行分類(lèi)，通過(guò)用戶的身體動(dòng)作進(jìn)行劃分，識(shí)別出正確的用戶。

文獻(xiàn)[28]提出了SmartYou系統(tǒng)，系統(tǒng)對(duì)用戶的分類(lèi)分為兩步：首先，系統(tǒng)利用隨機(jī)森林算法對(duì)用戶使用環(huán)境進(jìn)行識(shí)別，系統(tǒng)將用戶使用環(huán)境分為靜態(tài)和動(dòng)態(tài)兩大類(lèi)，通過(guò)識(shí)別用戶使用環(huán)境將有助于提高用戶分類(lèi)的正確性。其次，系統(tǒng)利用核嶺回歸算法（Kernel Ridge Regressions，KRR）[29]對(duì)用戶進(jìn)行分類(lèi)，實(shí)驗(yàn)表明其準(zhǔn)確率為98.1%，性能優(yōu)于SVM、線性回歸和樸素貝葉斯算法。

文獻(xiàn)[30]利用一種人工神經(jīng)網(wǎng)絡(luò)算法—自適應(yīng)神經(jīng)模糊推理系統(tǒng)來(lái)進(jìn)行身份認(rèn)證，文獻(xiàn)通過(guò)算法的自學(xué)習(xí)能力來(lái)識(shí)別每個(gè)用戶的獨(dú)特行為特征，并且引入時(shí)間窗口以及異常反饋機(jī)制實(shí)現(xiàn)對(duì)用戶身份的實(shí)時(shí)監(jiān)測(cè)，算法正確率達(dá)到95%。

2017年2月，在RSA 2017大會(huì)創(chuàng)新沙盒大賽中，UnifyID公司的隱式身份認(rèn)證系統(tǒng)奪得桂冠，成為萬(wàn)眾矚目的焦點(diǎn)。UnifyID系統(tǒng)采集100多種特征值，并綜合利用深度神經(jīng)網(wǎng)絡(luò)、決策樹(shù)、貝葉斯網(wǎng)絡(luò)等機(jī)器學(xué)習(xí)算法自動(dòng)尋找各個(gè)特征值之間的關(guān)聯(lián)來(lái)提高準(zhǔn)確性，其正確拒絕率可以達(dá)到99.999%[31]。但是該系統(tǒng)目前仍處于開(kāi)發(fā)階段，尚未發(fā)布商業(yè)產(chǎn)品。

4.2 其他用戶分類(lèi)算法

文獻(xiàn)[16]利用動(dòng)態(tài)時(shí)間規(guī)整算法（Dynamic Time Warping，DTW）來(lái)判斷使用者輸入開(kāi)機(jī)圖形口令時(shí)的手勢(shì)是否正確，能夠與口令認(rèn)證結(jié)合實(shí)現(xiàn)雙因素認(rèn)證。DTW算法起源于語(yǔ)音識(shí)別領(lǐng)域，其能夠?qū)山M基于時(shí)間序列的數(shù)據(jù)進(jìn)行比較，計(jì)算兩者的相似度。該文獻(xiàn)利用DTW將當(dāng)前用戶的輸入特征與合法用戶樣本特征進(jìn)行比較判斷，但實(shí)驗(yàn)表明該方案的準(zhǔn)確率僅為70%，錯(cuò)誤拒絕率（False Rejection Rate，F(xiàn)RR）為19%，錯(cuò)誤接受率（False Acceptance Rate，F(xiàn)AR）為21%。

文獻(xiàn)[20]提出了一種加權(quán)的多維動(dòng)態(tài)時(shí)間規(guī)整決策算法。文獻(xiàn)采集用戶從拿起手機(jī)到喚醒手機(jī)這一過(guò)程的加速計(jì)以及陀螺儀的6個(gè)維度數(shù)據(jù)，對(duì)各個(gè)維度數(shù)據(jù)分別利用DTW算法進(jìn)行計(jì)算，之后將結(jié)果進(jìn)行加權(quán)求和，以提高決策的準(zhǔn)確度。據(jù)文中顯示，該方案的準(zhǔn)確率為96.3%，F(xiàn)AR為2.1%。

文獻(xiàn)[2]通過(guò)采集合法用戶的歷史系統(tǒng)使用數(shù)據(jù)，利用概率密度函數(shù)建立用戶行為模型，在用戶行為模型的基礎(chǔ)上根據(jù)用戶近期行為來(lái)計(jì)算設(shè)備信任值，當(dāng)信任值低于閾值時(shí)則需要重新進(jìn)行顯式認(rèn)證。另外，信任值隨時(shí)間流逝逐漸降低，降低的速率則跟時(shí)間段有關(guān)，例如下午接打電話頻繁則信任值下降速率快，而午夜時(shí)段接打電話少，則下降速率慢。

文獻(xiàn)[15]通過(guò)采集用戶手指輸入口令時(shí)的手指點(diǎn)擊操作特征，通過(guò)計(jì)算測(cè)試階段與注冊(cè)階段各特征值間的差異分?jǐn)?shù)來(lái)判斷用戶的合法性，如果差異分?jǐn)?shù)大于閾值則判定為非法用戶，其中在計(jì)算差異分?jǐn)?shù)將注冊(cè)階段各特征值的標(biāo)準(zhǔn)方差作為權(quán)重，保證變化幅度小的特征權(quán)值大。在該機(jī)制中，即使非法用戶輸入合法的口令也能夠拒絕其訪問(wèn)設(shè)備，從而實(shí)現(xiàn)雙因素認(rèn)證，彌補(bǔ)口令認(rèn)證的缺陷。該方案的正確率為96.35%。

表2給出了各機(jī)制所使用的分類(lèi)算法與實(shí)驗(yàn)結(jié)果，其中數(shù)據(jù)采集類(lèi)型指該機(jī)制采用了本文3.1節(jié)中的那些數(shù)據(jù)類(lèi)型，n.a.表示文獻(xiàn)未給出該數(shù)據(jù)。

4.3 用戶分類(lèi)算法面臨的主要問(wèn)題

根據(jù)表2中各文獻(xiàn)的發(fā)表時(shí)間可以看出，在早期的研究中各學(xué)者使用的方法差別較大，而近幾年的文獻(xiàn)多采用機(jī)器學(xué)習(xí)算法來(lái)實(shí)現(xiàn)，其中SVM、KNN以及決策樹(shù)是使用最多的分類(lèi)器[5，21，32-35]。但是上述機(jī)制還存在以下幾個(gè)問(wèn)題：（1）由于針對(duì)不同的數(shù)據(jù)集，各種機(jī)器學(xué)習(xí)算法的效果差異很大，所以單一采用某一種算法無(wú)法適應(yīng)所有場(chǎng)合，因此需要針對(duì)不同的數(shù)據(jù)甚至是不同的應(yīng)用軟件采用不同的算法，但是，采用多種算法則對(duì)設(shè)備的資源提出了更高的要求，因此需要進(jìn)行綜合考慮。（2）上述機(jī)制多在實(shí)驗(yàn)環(huán)境下進(jìn)行測(cè)試，效果較理想。但是在真實(shí)環(huán)境中使用，特別是隨著時(shí)間推移，用戶自身行為發(fā)生改變時(shí)，如何保證認(rèn)證的準(zhǔn)確性還有待進(jìn)一步深入研究與驗(yàn)證。

表2 分類(lèi)算法總結(jié)

5 訪問(wèn)控制機(jī)制

上述決策算法給出當(dāng)前用戶身份合法性的判斷后，訪問(wèn)控制模塊將采用訪問(wèn)控制機(jī)制對(duì)當(dāng)前用戶使用設(shè)備的權(quán)限進(jìn)行控制，可以將機(jī)制分為簡(jiǎn)單判斷與分級(jí)授權(quán)兩大類(lèi)。

一是簡(jiǎn)單判斷類(lèi)型。采用簡(jiǎn)單判斷類(lèi)型的系統(tǒng)有文獻(xiàn)[2，7，15-16，25-26]。當(dāng)系統(tǒng)發(fā)現(xiàn)用戶處于非安全環(huán)境（例如戶外）或者發(fā)現(xiàn)用戶行為異常則鎖定系統(tǒng)，要求用戶輸入口令解鎖，對(duì)用戶進(jìn)行重新認(rèn)證。

二是分級(jí)授權(quán)類(lèi)型。文獻(xiàn)[4，5，9，13，19，32，36-37]等采用分級(jí)授權(quán)機(jī)制進(jìn)行訪問(wèn)控制。系統(tǒng)根據(jù)設(shè)備所處的環(huán)境以及當(dāng)前使用軟件的安全等級(jí)采用不同強(qiáng)度的訪問(wèn)控制機(jī)制，例如：音樂(lè)、導(dǎo)航程序的保密級(jí)別最低，在任何環(huán)境下都不用輸入口令；通信錄、短信、社交軟件等應(yīng)用的保密級(jí)別中等，在安全環(huán)境中使用（如家中）不需要進(jìn)行認(rèn)證，在非安全環(huán)境下（如戶外）則需要進(jìn)行認(rèn)證。金融支付類(lèi)等應(yīng)用保密等級(jí)最高，不管在任何環(huán)境下都需要進(jìn)行認(rèn)證。另外，根據(jù)不同的環(huán)境可以要求用戶進(jìn)行簡(jiǎn)單口令認(rèn)證或者復(fù)雜口令認(rèn)證。

6 安全問(wèn)題

隱式身份認(rèn)證機(jī)制自身的安全性是一個(gè)非常重要的問(wèn)題，本章重點(diǎn)介紹機(jī)制所面臨的兩個(gè)關(guān)鍵性的安全問(wèn)題：模擬行為攻擊以及用戶隱私泄漏。

6.1 模擬行為攻擊問(wèn)題

文獻(xiàn)[38-39]通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)現(xiàn)有的基于手指觸屏行為的隱式認(rèn)證系統(tǒng)無(wú)法有效抵御模擬行為攻擊，具體包括肩窺和離線訓(xùn)練攻擊。在文獻(xiàn)[25，40-41]中均假設(shè)攻擊者是外部人員，且根據(jù)自身的手指觸屏行為進(jìn)行操作，在這種情況下，攻擊者的成功率均低于5%。但是上述文獻(xiàn)并未考慮攻擊者刻意練習(xí)并模擬攻擊的情況，在該文中假設(shè)攻擊者是用戶身邊的人，比如朋友、家人或室友，攻擊者可以通過(guò)肩窺的方式事先觀看到用戶觸屏行為，之后模擬用戶動(dòng)作進(jìn)行攻擊。另外，攻擊者還可以通過(guò)各種方法（如惡意軟件等）獲取用戶的原始觸屏行為數(shù)據(jù)，之后在其他機(jī)器上練習(xí)用戶的行為后，伺機(jī)發(fā)起攻擊。實(shí)驗(yàn)表明，肩窺攻擊和離線訓(xùn)練攻擊均具有很高的成功率。因此，單一靠某一種類(lèi)型的傳感信息可能很難實(shí)現(xiàn)對(duì)用戶的準(zhǔn)確認(rèn)證，還需要通過(guò)結(jié)合地理位置等多種特征值來(lái)聯(lián)合進(jìn)行判斷。

上述攻擊是針對(duì)基于本地的隱私身份認(rèn)證機(jī)制的攻擊，基于網(wǎng)絡(luò)的隱式身份認(rèn)證機(jī)制則面臨更多的問(wèn)題，例如，如何保證用戶特征值在傳輸過(guò)程中安全性以及如何保證設(shè)備發(fā)送來(lái)的用戶特征值的真實(shí)性等問(wèn)題。

6.2 用戶隱私泄漏問(wèn)題

隱式身份認(rèn)證需要通過(guò)各種傳感器以及軟件獲取用戶的特征信息，這些信息包含了大量用戶的隱私信息。基于本地的隱私認(rèn)證機(jī)制可以通過(guò)加密等方法對(duì)本地信息進(jìn)行存儲(chǔ)，安全風(fēng)險(xiǎn)相對(duì)較低，但是在基于網(wǎng)絡(luò)的隱式認(rèn)證機(jī)制中，需要將相關(guān)信息上傳至網(wǎng)絡(luò)，由數(shù)據(jù)采集代理或者認(rèn)證代理進(jìn)行處理，因此如何在基于網(wǎng)絡(luò)的隱式認(rèn)證機(jī)制中防止用戶隱私泄漏是一個(gè)關(guān)鍵性問(wèn)題。

針對(duì)這一問(wèn)題，文獻(xiàn)[42]提出了一種具有隱私保護(hù)的隱式認(rèn)證機(jī)制。在該機(jī)制中，手機(jī)獲取用戶的多種特征值，將特征值通過(guò)同態(tài)加密算法[43]加密后上傳至認(rèn)證代理，認(rèn)證代理利用平均絕對(duì)離差（Average Absolute Deviation，AAD）和具有保持次序特性的對(duì)稱(chēng)加密算法（Order Preserving Symmetric Encryption，OPSE）[44]計(jì)算出用戶特征值的總分?jǐn)?shù)，據(jù)此來(lái)判斷用戶的合法性。由于同態(tài)加密算法以及OPSE可以在數(shù)據(jù)加密的情況下進(jìn)行代數(shù)運(yùn)算及排序操作，因此認(rèn)證代理無(wú)法獲得用戶的真實(shí)特征值，實(shí)現(xiàn)了隱私保護(hù)。

但是，該機(jī)制的不足之處在于只能支持?jǐn)?shù)值化的特征值，并且使用了兩種加密算法，復(fù)雜性較高。針對(duì)該問(wèn)題，文獻(xiàn)[45]利用集合交運(yùn)算來(lái)支持非數(shù)值化的特征值比較，并且只需要使用一種加密算法。但是該算法仍然只能對(duì)各個(gè)加密特征值進(jìn)行簡(jiǎn)單的集合運(yùn)算比較，如何與機(jī)器學(xué)習(xí)等算法進(jìn)行結(jié)合是一個(gè)需要探討的問(wèn)題。

7 結(jié)束語(yǔ)

隱式身份認(rèn)證機(jī)制能夠避免用戶頻繁輸入口令，并且能夠持續(xù)監(jiān)測(cè)用戶的真實(shí)性，因此，可以在便捷性和安全性兩個(gè)維度上增強(qiáng)現(xiàn)有顯式認(rèn)證機(jī)制。但是隱式身份認(rèn)證機(jī)制目前還處于試驗(yàn)階段，還需要進(jìn)一步增強(qiáng)其識(shí)別的準(zhǔn)確性和抗攻擊性，尚未有成熟的產(chǎn)品能夠使用。另外，隱式身份認(rèn)證機(jī)制由于能夠?qū)崿F(xiàn)設(shè)備對(duì)用戶身份的感知及識(shí)別，可以拓展應(yīng)用到其他領(lǐng)域，如智慧城市、智能家居、預(yù)測(cè)移動(dòng)計(jì)算等領(lǐng)域，能夠?yàn)橛脩魝€(gè)性化服務(wù)提供身份識(shí)別功能，因此具有廣泛的應(yīng)用前景。

[1] Siciliano R.Keeping your mobile devices safe from cyber threats[EB/OL].（2017-01-12）.https：//www.thebalance.com/keeping-mobile-devices-safe-from-cyber-threats-4122471.

[2] Jakobsson M，Shi E，Golle P，et al.Implicit authentication for mobile devices[C]//Proceedings of the 4th USENIX Conference on Hot Topics in Security，2009：9-19.

[3] 雷鋒網(wǎng).RSA2017創(chuàng)新沙盒大贏家UnifyID到底是何方神圣?[EB/OL].（2017-02-15）.https：//baijiahao.baidu.com/s?id=1559388983765434&wfr=spider&for=pc.

[4] Ramakrishnan A，Tombal J，Preuveneers D，et al.PRISM：Policy-driven risk-based implicit locking for improving the security of mobile end-user devices[C]//International Conference on Advances in Mobile Computing and Multimedia，2015：365-374.

[5] Khan H，Atwater A，Hengartner U.Itus：An implicit authentication framework for android[C]//International Conference on Mobile Computing and Networking，2014：507-518.

[6] 黃海平，徐寧，王汝傳，等.物聯(lián)網(wǎng)環(huán)境下的智能移動(dòng)設(shè)備隱式認(rèn)證綜述[J].南京郵電大學(xué)學(xué)報(bào)：自然科學(xué)版，2016，36（5）：24-29.

[7] Chow R，Jakobsson M，Masuoka R，et al.Authentication in the clouds：A framework and its application to mobile users[C]//ACM Cloud Computing Security Workshop，2010：1-6.

[8] Lee W H，Lee R.Implicit smartphone user authentication with sensors and contextual machine learning[C]//International Conference on Dependable Systems and Networks，2017.

[9] Hayashi E，Das S，Amini S，et al.CASA：Context-aware scalable authentication[C]//Symposium on Usable Privacy and Security，2013：3-7.

[10] 李磊，周璟璐，陳靜，等.移動(dòng)云計(jì)算中的上下文相關(guān)身份認(rèn)證[J].計(jì)算機(jī)應(yīng)用與軟件，2013（9）：96-99.

[11] Buthpitiya S，Zhang Y，Dey A K，et al.n-Gram geotrace modeling[C]//International Conference on Pervasive Computing，2011，6696（1）：97-114.

[12] Eagle N，Pentland A S.Eigenbehaviors：Identifying structure in routine[J].Behavioral Ecology and Sociobiology，2009，63（7）：1057-1066.

[13] Riva O，Qin C，Strauss K，et al.Progressive authentication：Deciding when to authenticate on mobile phones[C]//Proceedings of Usenix Security Symposium，2012.

[14] 郭佳鑫，黃曉芳，徐蕾.基于移動(dòng)終端的多屬性決策隱式身份認(rèn)證方法[J].西南科技大學(xué)學(xué)報(bào)，2016，31（4）：73-77.

[15] Zheng N，Bai K，Huang H，et al.You are how you touch：User verification on smartphones via tapping behaviors[C]//IEEE International Conference on Network Protocols，2014：221-232.

[16] Luca A D，Hang A，Brudy F，et al.Touch me once and I know it’s you!：Implicit authentication based on touch screen patterns[C]//Sigchi Conference on Human Factors in Computing Systems，2012：987-996.

[17] Gurary J，Zhu Y，Alnahash N，et al.Implicit authentication for mobile devices using typing behavior[C]//International Conference on Human Aspects of Information Security，Privacy，and Trust.[S.l.]：Springer，2016：25-36.

[18] Conti M，Zachia-Zlatea I，Crispo B.Mind how you answer me!：Transparently authenticating the user of a smartphone when answering or placing a call[C]//Proceedings of the 6th ACM Symposium on Information，Computer and Communications Security，2011：249-259.

[19] Zhu J，Wu P，Wang X，et al.SenSec：Mobile security through passive sensing[C]//International Conference on Computing，Networking and Communications，2013：1128-1133.

[20] Lee W H，Liu X，Shen Y，et al.Secure pick up：Implicit authentication when you start using the smartphone[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies，2017：67-78.

[21] Nickel C，Wirtl T，Busch C.Authentication of smartphone users based on the way they walk using KNN algorithm[C]//2012 Eighth International Conference on Intelligent Information Hiding and Multimedia Signal Processing，2012：16-20.

[22] Zeng Y.Activity-based implicit authentication for wearable devices：Ph.D.forum abstract[C]//International Conference on Information Processing in Sensor Networks，2016：27.

[23] Lee W H，Lee R B.Multi-sensor authentication to improve smartphonesecurity[C]//InformationSystemsSecurity and Privacy（ICISSP），2015：1-11.

[24] Fridman L，Weber S，Greenstadt R，et al.Active authentication on mobile devices via stylometry，application usage，web browsing，and GPS location[J].IEEE Systems Journal，2017，11（2）：513-521.

[25] Frank M，Biedert R，Ma E，et al.Touchalytics：On the applicability of touchscreen input as a behavioral biometricforcontinuousauthentication[J].IEEE Transactions on Information Forensics&Security，2012，8（1）：136-148.

[26] Li L，Zhao X，Xue G.Unobservable re-authentication for smartphones[J].Ndss，2013.

[27] Yang L，Guo Y，Ding X，et al.Unlocking smart phone through handwaving biometrics[J].IEEE Transactions on Mobile Computing，2015，14（5）：1044-1055.

[28] Lee W H，Lee R B.Implicit smartphone user authentication with sensors and contextual machine learning[J].arXiv preprint arXiv：1708.09754，2017.

[29] Suykens J A K，van Gestel T V，de Brabanter J D，et al.Least squares support vector machines[J].International Journal of Circuit Theory&Applications，2002，27（6）：605-615.

[30] Yao F，Yerima S Y，Kang B J，et al.Continuous implicit authentication for mobile devices based on adaptive neuro-fuzzy inference system[C]//International Conference on Cyber Security and Protection of Digital Services，2017：1-7.

[31] Unifyid.How it works[EB/OL].[2017-08-01].https：//unify.id.

[32] Khan H，Hengartner U.Towards application-centric implicit authenticationonsmartphones[C]//TheWorkshopon Mobile Computing Systems and Applications，2014：10.

[33] 周璟璐.基于決策樹(shù)的移動(dòng)終端中身份驗(yàn)證研究[D].鄭州：鄭州大學(xué)，2013.

[34] Lee W H，Lee R B.Implicit authentication for smartphone security[C]//International Conference on Information Systems Security and Privacy.Cham：Springer，2015：160-176.

[35] Amin R，Gaber T，Eltaweel G.Implicit authentication system for smartphones users based on touch data[M]//Intelligent Data Analysis and Applications.[S.l.]：Springer International Publishing，2015.

[36] Burgbacher U，Hinrichs K.An implicit author verification system for text messages based on gesture typing biometrics[C]//Sigchi Conference on Human Factors in Computing Systems，2014：2951-2954.

[37] Atwater A，Khan H，Hengartner U.Poster：When and howtoimplicitlyauthenticatesmartphoneusers[C]//ACM Sigsac Conference on Computer and Communications Security，2014：1415-1417.

[38] Khan H，Hengartner U，Vogel D.Targeted mimicry attacks on touch input based implicit authentication schemes[C]//International Conference on Mobile Systems，Applications，and Services，2016：387-398.

[39] Khan H.Evaluating the efficacy of implicit authentication under realistic operating scenarios[D].Waterloo University，2016.

[40] Bo C，Zhang L，Li X Y，et al.SilentSense：Silent user identification via touch and movement behavioral biometrics[C]//InternationalConferenceonMobileComputing&Networking，2013：187-190.

[41] Feng T，Yang J，Yan Z，et al.TIPS：Context-aware implicit user identification using touch screen in uncontrolled environments[C]//The Workshop on Mobile Computing Systems and Applications，2014：9.

[42] Safa N A，Safavi-Naini R，Shahandashti S F.Privacypreserving implicit authentication[M]//ICT Systems Security and Privacy Protection.Berlin Heidelberg：Springer，2014：471-484.

[43] Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//Eurocrypt，1999，99：223-238.

[44] Boldyreva A，Chenette N，Lee Y，et al.Order-preserving symmetricencryption[C]//AdvancesinCryptology-EUROCRYPT 2009，2009：224-241.

[45] Domingo-Ferrer J，Wu Q，Blanco-Justicia A.Flexible and robust privacy-preserving implicit authentication[M]//ICT Systems Security and Privacy Protection.[S.l.]：Springer International Publishing，2015：18-34.

XU Guoyu,MIAO Xuna,ZHANG Junfeng,et al.Review of implicit authentication for mobile devices.Computer Engineering andApplications,2018,54（6）：19-25.

XU Guoyu,MIAO Xuna,ZHANG Junfeng,JIANG Tao,MAXiaofei

College of Computer and Information Engineering,Henan University of Economics and Law,Zhengzhou 450002,China

The implicit authentication for mobile devices transparently and continuously authenticates users by monitoring information such as mobile devices environment and user behavior,which can enhance the availability and security of existing authentication mechanisms.This paper introduces the research of implicit authentication schemes.Firstly,the local and network-based architecture is introduced.Secondly,five types of data collection methods are summarized.Thirdly,user identification classification algorithms are introduced,which based on machine learning and so on.The correctness of each algorithm is analyzed and compared.Finally,two types of access control mechanisms are summarized,and the mimicry attacks and privacy leaks of implicit authentication are discussed.

implicit authentication;mobile device;user behavior;access control;information security

面向移動(dòng)終端的隱式身份認(rèn)證機(jī)制通過(guò)監(jiān)測(cè)移動(dòng)終端環(huán)境以及用戶行為等信息對(duì)用戶進(jìn)行透明且持續(xù)地認(rèn)證，能夠增強(qiáng)現(xiàn)有身份認(rèn)證機(jī)制的可用性與安全性。該文對(duì)隱式身份認(rèn)證技術(shù)的研究現(xiàn)狀進(jìn)行介紹。介紹了基于本地與基于網(wǎng)絡(luò)的隱式身份認(rèn)證框架；歸納總結(jié)出五類(lèi)數(shù)據(jù)采集方式；對(duì)基于機(jī)器學(xué)習(xí)等多種用戶分類(lèi)算法進(jìn)行了介紹，分析比較了各算法的正確率；歸納出兩類(lèi)訪問(wèn)控制機(jī)制，并對(duì)隱式身份認(rèn)證所面臨的模擬行為攻擊以及用戶隱私泄漏安全問(wèn)題進(jìn)行了討論。

隱式身份認(rèn)證；移動(dòng)終端；用戶行為；訪問(wèn)控制；信息安全

2017-12-22

2018-02-08

1002-8331（2018）06-0019-07

A

TP309.2

10.3778/j.issn.1002-8331.1712-0323

國(guó)家自然科學(xué)基金（No.61602153，No.31700858，No.61702161，No.61309033）；河南省科技攻關(guān)項(xiàng)目（No.182102210020）；河南省高等學(xué)校重點(diǎn)科研項(xiàng)目（No.18B520003）。

徐國(guó)愚（1982—），男，博士，講師，主要研究方向：安全協(xié)議；苗許娜（1977—），女，博士，講師，主要研究方向：無(wú)線網(wǎng)絡(luò)優(yōu)化；張俊峰（1985—），男，博士，講師，主要研究方向：計(jì)算機(jī)科學(xué)與技術(shù)；姜濤（1983—），男，博士，講師，主要研究方向：數(shù)據(jù)管理；馬小飛（1981—），男，講師，主要研究方向：網(wǎng)絡(luò)安全。