淳新益 栗戰(zhàn)恒 鄭秀娟* 劉華茜 張 昀 劉 凱

1(四川大學(xué)電氣工程學(xué)院 四川 成都 610065)2(西安交通大學(xué)電子與信息工程學(xué)院 陜西 西安 710049)

0 引 言

用戶是安全系統(tǒng)的薄弱環(huán)節(jié)，許多安全問(wèn)題產(chǎn)生于人機(jī)交互環(huán)節(jié)。例如，基于生物特征識(shí)別的系統(tǒng)BBID(Biometrics-based Identification)是基于用戶自身屬性，不會(huì)丟失和遺忘，但是易被記錄或盜取，其存在的一個(gè)嚴(yán)重問(wèn)題是克隆。為了應(yīng)對(duì)人們對(duì)復(fù)雜文本密碼的記憶難題，近幾年有人開(kāi)始探索圖像密碼的認(rèn)證方案[1]。這種方案在解決密碼的記憶問(wèn)題方面表現(xiàn)良好，但是卻無(wú)法有效地抵御窺探攻擊。眼睛的運(yùn)動(dòng)直接體現(xiàn)了用戶視線的改變，與人們的關(guān)注目標(biāo)以及任務(wù)意圖有著非常密切的聯(lián)系，是一種高效、快捷的交互方式。眼動(dòng)數(shù)據(jù)由眼動(dòng)系統(tǒng)收集，眼睛特征難以被人類觀察者直接提取。因此，眼動(dòng)對(duì)窺探攻擊有高抵抗性，完全適合在認(rèn)證系統(tǒng)中使用。一些研究人員將圖像系統(tǒng)和眼球運(yùn)動(dòng)的優(yōu)勢(shì)結(jié)合在一起，嘗試開(kāi)發(fā)基于眼動(dòng)的圖形認(rèn)證系統(tǒng)[2]。 配備視線跟蹤技術(shù)的圖形密碼系統(tǒng)不僅可以解決安全問(wèn)題，而且可以提升用戶體驗(yàn)。Maeder等[3]和Hoanca等[4]都提出了基于用戶注視的圖形認(rèn)證系統(tǒng)。此外，Dunphy等[5]在Passfaces上配備了視線跟蹤設(shè)備并將其實(shí)施到ATM系統(tǒng)上。

本文提出一種基于視線交互的圖像密碼認(rèn)證系統(tǒng)。利用眼動(dòng)的優(yōu)點(diǎn)并與基于識(shí)別的圖像身份認(rèn)證系統(tǒng)相結(jié)合，系統(tǒng)基于注視的交互進(jìn)行設(shè)計(jì)，并通過(guò)用戶測(cè)試對(duì)該系統(tǒng)的可用性和有效性進(jìn)行驗(yàn)證。

1 系統(tǒng)設(shè)計(jì)

本文提出的圖像密碼認(rèn)證系統(tǒng)中使用圖像組合作為用戶名和密碼，并以眼動(dòng)儀代替鼠標(biāo)和鍵盤作為輸入設(shè)備。本研究有如下假設(shè)：1) 用戶在背景和尺寸不同的圖像上有不同的瀏覽時(shí)間(數(shù)據(jù)密度、展示介質(zhì)及壓力在視覺(jué)搜索性能上有不同的貢獻(xiàn)[6]，這里只考慮背景和尺寸的影響)；2) 用戶在感興趣區(qū)域AOI(Area of Interest)花費(fèi)的時(shí)間多于其他區(qū)域。

1.1 眼動(dòng)輸入方式

基于注視的交互和基于掃視的交互是使用視線跟蹤技術(shù)進(jìn)行人機(jī)交互的兩種可用模式，最常用的是基于注視的人機(jī)交互[7]。在基于注視的交互中，一個(gè)很重要的問(wèn)題是觸發(fā)方式的選擇，一般有基于眨眼和基于駐留兩種方式。在過(guò)去的研究中，基于注視駐留的方法被認(rèn)為是最佳的觸發(fā)方式。Hansen等[8]研究后發(fā)現(xiàn)：基于注視駐留的視線交互方法能夠建立一個(gè)比鼠標(biāo)點(diǎn)擊速度更快的眼控接口。本文采用基于注視駐留的交互方式設(shè)計(jì)圖像認(rèn)證系統(tǒng)。

1.2 系統(tǒng)圖像尺寸與背景

用實(shí)驗(yàn)測(cè)試不同背景、尺寸圖像組合對(duì)用戶視覺(jué)搜索性能的影響，圖像背景分別被設(shè)置為Round、Square、None 3種，尺寸被設(shè)置為tiny(95×95 pixels)、small(113×113 pixels)、medium(150×150 pixels)和large(188×188 pixels)4種，共組成12種組合。每種圖像組合包含9個(gè)相同尺寸圖像，圖1是尺寸為large時(shí)的三種組合。

圖1 尺寸為large時(shí)的三種圖像組合

實(shí)驗(yàn)共招募16名受試者用于驗(yàn)證假設(shè)1，通過(guò)實(shí)驗(yàn)選擇適合系統(tǒng)的最佳圖像尺寸和圖像背景。實(shí)驗(yàn)前，向受試者介紹整個(gè)實(shí)驗(yàn)，以確保他們熟悉實(shí)驗(yàn)流程。實(shí)驗(yàn)開(kāi)始時(shí)首先進(jìn)行9點(diǎn)視線標(biāo)定，大約用時(shí)1 min。之后，顯示器呈現(xiàn)以上12種圖像組合，每種組合隨機(jī)出現(xiàn)5次，每次呈現(xiàn)圖像位置隨機(jī)分布。受試者瀏覽每個(gè)圖像組合，并用鼠標(biāo)單擊他們最感興趣的一幅，之后呈現(xiàn)下一圖像組合，直至圖像組合呈現(xiàn)完畢(12×5共60次)。實(shí)驗(yàn)過(guò)程中使用眼動(dòng)儀獲取用戶的視線位置，同時(shí)記錄每個(gè)圖像組合中用戶所選中的圖像，即用戶最感興趣的圖像IOI(Image of Interest)。

對(duì)所有眼動(dòng)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析，排除一個(gè)采樣率過(guò)低受試者的實(shí)驗(yàn)數(shù)據(jù)，表1為其他15個(gè)受試者的實(shí)驗(yàn)數(shù)據(jù)統(tǒng)計(jì)。其中：Style是圖像組合樣式；SelectDur是用戶視線在IOI上的平均停留時(shí)間；BrowsDur是用戶視線在非IOI圖像上的最大停留時(shí)間的平均值；Acc是注視正確率，指視線估計(jì)點(diǎn)所在圖像與鼠標(biāo)點(diǎn)擊圖像一致的比例。

表1 每種圖像組合的統(tǒng)計(jì)結(jié)果

使用雙因素可重復(fù)方差分析(Two-wayANOVA)分析實(shí)驗(yàn)數(shù)據(jù)，如圖2(a)所示，圖像尺寸相同時(shí)隨著圖像背景從Round到None再到Square，受試者在IOI上的視線停留時(shí)間顯著減少(p<0.001,p為雙因素可重復(fù)方差分析中的一個(gè)重要參數(shù))；同樣尺寸下當(dāng)圖像背景為Square時(shí)，受試者搜索IOI所需的時(shí)間最短。如圖2(b)所示，當(dāng)圖像背景為IOI時(shí)，隨圖像尺寸增加受試者在IOI上的視線停留時(shí)間先增大后減小(p<0.05)。當(dāng)圖像尺寸為tiny與large時(shí)，受試者搜索IOI所需的時(shí)間較短。由表1結(jié)果可得，當(dāng)圖像尺寸很小時(shí)注視正確率一般低于90%，這可以由用戶的眼睛生理機(jī)制及眼動(dòng)數(shù)據(jù)準(zhǔn)確性來(lái)解釋。

圖2 不同圖像組合下IOI上注視時(shí)間的變化

實(shí)踐中圖像認(rèn)證系統(tǒng)的用戶界面大小一定，如果密碼圖像的尺寸無(wú)限大，系統(tǒng)將包含過(guò)少的圖像從而容易受到密碼猜測(cè)攻擊。因此，綜合以上因素我們選擇Square_large作為最佳圖像組合，并設(shè)置0.911 s作為用戶選中目標(biāo)圖像的時(shí)間閾值(根據(jù)表1)，設(shè)置0.676 s作為“清除”、“保存”等功能鍵的時(shí)間閾值(數(shù)據(jù)通過(guò)類似的實(shí)驗(yàn)獲得)。

1.3 系統(tǒng)實(shí)施

圖像認(rèn)證系統(tǒng)示意圖如圖3所示，Tobii EyeX固定在23英寸顯示器(分辨率為1 920×1 080 pixels)底部，受試者坐在離屏幕約65 cm的位置，保持坐姿舒適。系統(tǒng)中的圖像作為生成用戶名和密碼的個(gè)人識(shí)別圖像集PIIs(Personal Identification Images)，基于用戶識(shí)別進(jìn)行身份認(rèn)證，系統(tǒng)包括注冊(cè)和登錄兩個(gè)階段。

圖3 圖像認(rèn)證系統(tǒng)示意圖

圖4為系統(tǒng)注冊(cè)界面示意圖(登錄界面與注冊(cè)界面類似)，用戶界面左側(cè)為功能按鍵，右側(cè)以3×5的網(wǎng)格顯示15幅圖像作為PIIs，以避免圖像界面過(guò)大并降低窺探攻擊的風(fēng)險(xiǎn)，系統(tǒng)中密碼圖像和功能鍵依據(jù)之前的實(shí)驗(yàn)結(jié)果進(jìn)行設(shè)置。系統(tǒng)使用Tobii EyeX提取用戶的視線位置，將其作為像鼠標(biāo)一樣的輸入設(shè)備。通過(guò)注視目標(biāo)圖像0.911 s，用戶可以選中該圖像；通過(guò)注視功能鍵0.676 s，用戶可以激活對(duì)應(yīng)功能鍵，圖像或功能鍵被激活后會(huì)發(fā)出蜂鳴聲。在注冊(cè)階段，用戶可以分別選取2～6幅圖像作為用戶名或密碼，然后這些賬戶信息被加密并存儲(chǔ)在數(shù)據(jù)庫(kù)中。

圖4 系統(tǒng)注冊(cè)界面示意圖

用戶注冊(cè)過(guò)程如圖5所示(用戶密碼重置過(guò)程與注冊(cè)時(shí)類似)。在注冊(cè)階段，同一圖像可以被用戶選取多次，用戶只需要稍后選擇并再次激活它。然后，用戶在登錄階段識(shí)別并認(rèn)證他們預(yù)先選擇的PIIs，以便進(jìn)行身份驗(yàn)證。在每次登錄過(guò)程中，系統(tǒng)以3×5個(gè)網(wǎng)格顯示15幅圖像，圖像位置隨機(jī)分布，每5 s刷新一次，時(shí)間間隔定義為刷新幀。

圖5 賬戶注冊(cè)過(guò)程示意圖

本系統(tǒng)中，將使用的注視定義為AOI中一系列注視總持續(xù)時(shí)間的疊加與平均位置的結(jié)合。在注冊(cè)階段，用戶名圖像被選中時(shí)對(duì)應(yīng)圖像變?yōu)榧t色，密碼圖像被選中時(shí)對(duì)應(yīng)圖像變?yōu)辄S色；在登錄階段圖像被選中時(shí)無(wú)任何視覺(jué)反饋，通過(guò)發(fā)出“嘀”的聲音提醒用戶圖像被選中，以抵御用戶登錄時(shí)可能存在的窺探攻擊。

2 用戶測(cè)試及系統(tǒng)可用性評(píng)估

2.1 用戶測(cè)試實(shí)驗(yàn)

招募20名受試者進(jìn)行用戶測(cè)試研究(14名男性、6名女性)，受試者的年齡從23歲到26歲，平均為24.25歲。其中7名受試者視力正常，其余受試者通過(guò)戴眼鏡矯正至視力正常。所有受試者均沒(méi)有使用基于視線交互的圖像認(rèn)證系統(tǒng)的經(jīng)驗(yàn)。為了進(jìn)行有效評(píng)估，賬戶中用戶名和密碼的長(zhǎng)度都被設(shè)置為2。在簡(jiǎn)要介紹圖像認(rèn)證系統(tǒng)的使用流程之后，受試者開(kāi)始使用Tobii EyeX進(jìn)行視線標(biāo)定，然后依次完成注冊(cè)和登錄兩項(xiàng)任務(wù)。出于評(píng)估的目的，將兩個(gè)任務(wù)劃分為若干子任務(wù)，每個(gè)子任務(wù)在不同的用戶界面上進(jìn)行。對(duì)于每次測(cè)試，受試者被指示依次進(jìn)行如下任務(wù)：(1) 選取用戶名圖像；(2) 確認(rèn)用戶名；(3) 選取密碼圖像；(4) 確認(rèn)密碼并注冊(cè)；(5) 使用賬戶信息登錄；(6) 退出。

在實(shí)驗(yàn)期間，受試者可以重復(fù)嘗試、跳過(guò)或重新啟動(dòng)任務(wù)(重新創(chuàng)建用戶名或重新創(chuàng)建新密碼)。受試者重復(fù)測(cè)試直到他們成功進(jìn)行3次完整測(cè)試。每次測(cè)試間隔10分鐘，每個(gè)受試者要在2小時(shí)內(nèi)完成整個(gè)實(shí)驗(yàn)。記錄所有受試者的實(shí)驗(yàn)數(shù)據(jù)，并要求每位受試者填寫一份關(guān)于圖像認(rèn)證系統(tǒng)可用性的調(diào)查問(wèn)卷。

2.2 實(shí)驗(yàn)結(jié)果與分析

所有受試者的實(shí)驗(yàn)結(jié)果如表2所示。可以看出，只有1名受試者進(jìn)行了5次測(cè)試(最大測(cè)試次數(shù))，比例為5%；8名受試者進(jìn)行了4次，比例為40%；11名受試者進(jìn)行了3次，比例為55%。實(shí)驗(yàn)結(jié)果表明，受試者對(duì)任務(wù)幾乎沒(méi)有困難，他們可以成功完成測(cè)試，但是可能需要多次嘗試。受試者完成一個(gè)完整測(cè)試的總時(shí)間從40.35 s到152.66 s不等，注冊(cè)過(guò)程大約花費(fèi)了42.80%的時(shí)間，登錄過(guò)程與注冊(cè)過(guò)程相比花費(fèi)的時(shí)間更多，這是由于賬戶登錄過(guò)程中密碼圖像輸入時(shí)無(wú)視覺(jué)反饋，這增加了實(shí)驗(yàn)難度。

表2 每個(gè)受試者進(jìn)行的總測(cè)試次數(shù)

對(duì)所有受試者在各個(gè)階段花費(fèi)的時(shí)間進(jìn)行比較，結(jié)果如圖6所示?？梢钥闯鰡未螠y(cè)試花費(fèi)的時(shí)間隨著實(shí)驗(yàn)測(cè)試次數(shù)的增加逐漸下降，無(wú)論在哪個(gè)階段受試者第一次測(cè)試都花費(fèi)更多時(shí)間。當(dāng)受試者熟悉認(rèn)證系統(tǒng)時(shí)，實(shí)驗(yàn)花費(fèi)的時(shí)間會(huì)減少。這表明受試者在各階段花費(fèi)的時(shí)間與用戶對(duì)圖像認(rèn)證系統(tǒng)的熟悉程度高度相關(guān)。當(dāng)有錯(cuò)誤PII輸入時(shí)，用戶通常需要額外的時(shí)間來(lái)移除和修復(fù)，所以用戶在同一階段花費(fèi)的時(shí)間可能由于輸入錯(cuò)誤而具有大的標(biāo)準(zhǔn)偏差，這是圖6(b)中第三次登錄時(shí)標(biāo)準(zhǔn)偏差較大的原因。

圖6 受試者隨測(cè)試數(shù)增加在各個(gè)階段花費(fèi)時(shí)間的變化

實(shí)驗(yàn)中忘記確認(rèn)用戶名的現(xiàn)像出現(xiàn)了7次，這是由用戶習(xí)慣導(dǎo)致的(雖然在實(shí)驗(yàn)前已經(jīng)介紹并特別提醒)，這表明固有的生活習(xí)慣對(duì)人們的行為影響很大。實(shí)驗(yàn)失敗的主要原因是受試者在登錄時(shí)無(wú)法適應(yīng)密碼刷新頻率，占所有錯(cuò)誤的79.49%，緊接的錯(cuò)誤類型是忘記密碼、記錯(cuò)密碼、重新輸入密碼前未清零等。從調(diào)查問(wèn)卷可以看出，所有受試者都指出基于視線交互的方法比基于點(diǎn)擊的方法需要更多的操作時(shí)間。大部分的受試者表示愿意在將來(lái)使用基于視線交互的圖像認(rèn)證系統(tǒng)。

3 結(jié) 語(yǔ)

本文提出一種基于視線交互的圖像密碼認(rèn)證系統(tǒng)，并通過(guò)用戶測(cè)試研究驗(yàn)證了系統(tǒng)的可用性和有效性。視線跟蹤技術(shù)的引入增加系統(tǒng)的可靠性、可用性以及對(duì)窺探攻擊的抵抗能力。本文系統(tǒng)相比傳統(tǒng)的鼠標(biāo)或鍵盤輸入的密碼認(rèn)證更加安全，但是基于注視駐留的視線交互過(guò)于緩慢且存在一定出錯(cuò)的概率，同時(shí)激活圖像的時(shí)間閾值也需要進(jìn)一步研究，以改善交互體驗(yàn)。并且用戶測(cè)試也存在一定的局限性，無(wú)法對(duì)該認(rèn)證系統(tǒng)進(jìn)行全面評(píng)估。未來(lái)將進(jìn)一步探索基于注視的PII輸入策略，同時(shí)在系統(tǒng)設(shè)計(jì)時(shí)考慮用戶本身的固有習(xí)慣，以提高認(rèn)證系統(tǒng)的效率和可用性。