基于用戶使用移動(dòng)設(shè)備習(xí)慣的隱式認(rèn)證初探

楊建強(qiáng) 方磊

摘要： 在移動(dòng)設(shè)備（特別是手機(jī)）上輸入密碼是非常麻煩的。隨著越來越多的人使用移動(dòng)設(shè)備訪問Internet服務(wù)，或者從事移動(dòng)商務(wù)活動(dòng)，人們希望能夠簡(jiǎn)化身份認(rèn)證操作。為此，提出一種新的身份認(rèn)證方法——隱式認(rèn)證，它直接利用用戶使用設(shè)備的習(xí)慣來認(rèn)證用戶，免除了用戶輸入密碼的麻煩；給出了可用于隱式認(rèn)證的數(shù)據(jù)及其來源，探討了可用于隱式認(rèn)證的具體方法和隱式認(rèn)證的系統(tǒng)體系結(jié)構(gòu)。所述技術(shù)對(duì)于隱式認(rèn)證的進(jìn)一步研究和應(yīng)用具有實(shí)際意義。

關(guān)鍵詞： 隱式認(rèn)證； 移動(dòng)設(shè)備； 多模態(tài)； 入侵檢測(cè)方法

中圖分類號(hào)：TP181文獻(xiàn)標(biāo)志碼：A文章編號(hào)：1006-8228（2012）03-07-03

Implicit authentication based on user habits of using mobile device

Yang Jianqiang, Fang Lei

（School of Mathematics and Computer Science， Xiangfan University, Xiangfan， Hubei 441053， China）

Abstract： It is very troublesome to enter the password on mobile devices (especially cell phones). As more people use mobile devices to access Internet services, or engage in mobile commerce, people want to simplify the authentication operation. The authors present in this paper an implicit authentication method, which authenticates the user based on the users habits of using their devices, and eliminates the trouble of entering password. In this paper, the data for implicit authentication and their sources are given, the specific methods for implicit authentication and the system architecture are discussed. This paper is significant for further research and practical applications of implicit authentication.

Key words： Implicit Authentication; Mobile Device; Multi-modal; Intrusion Detection Method

0 引言

隨著能夠訪問Internet的移動(dòng)設(shè)備（特別是智能手機(jī)）的大規(guī)模市場(chǎng)普及，越來越多的人開始使用移動(dòng)設(shè)備上網(wǎng)，訪問Internet上的各種服務(wù)，或者從事移動(dòng)商務(wù)活動(dòng)。Internet上的許多服務(wù)需要驗(yàn)證用戶的身份，比如訪問電子郵件、登錄博客/空間等。

Internet上目前最常見的認(rèn)證方法是驗(yàn)證用戶名/密碼對(duì)。這種方法存在著一些弱點(diǎn)，有時(shí)并不可靠。因此，在重要的電子商務(wù)中通常采用具有高可靠性的認(rèn)證方法，比如使用具有安全I(xiàn)D的設(shè)備并配合密碼進(jìn)行的雙要素認(rèn)證。這種認(rèn)證方法已經(jīng)成為業(yè)界標(biāo)準(zhǔn)。不管怎樣，目前得到廣泛采用的認(rèn)證方法通常都把密碼作為一個(gè)必要的因素。

我們知道，在桌面電腦上輸入密碼很容易，但是，在輸入界面受到限制的移動(dòng)設(shè)備上輸入密碼卻比較麻煩。根據(jù)國外一項(xiàng)對(duì)iPhone、BlackBerry手機(jī)用戶的市場(chǎng)調(diào)查，有40%的用戶平均每天輸入一次密碼，在10次密碼輸入中，有56%的用戶至少有一次輸入錯(cuò)誤。用戶發(fā)現(xiàn)在移動(dòng)設(shè)備上輸入密碼甚至比網(wǎng)絡(luò)覆蓋不足、設(shè)備屏幕過小以及較差的語音質(zhì)量更糟糕。因此，隨著訪問Internet的移動(dòng)設(shè)備的增多，人們希望有一種新的認(rèn)證方法，它不需要用戶的參與或者只需要用戶很少的參與就能夠完成認(rèn)證。

本文提出一種新的認(rèn)證方法，它不需要用戶輸入密碼，而是利用所觀察到的用戶行為來認(rèn)證用戶，或者說利用用戶使用移動(dòng)設(shè)備的習(xí)慣來認(rèn)證用戶，我們稱這種方法為隱式認(rèn)證。盡管隱式認(rèn)證能夠應(yīng)用到任何類型的計(jì)算機(jī)上，不過我們認(rèn)為它更適用于移動(dòng)設(shè)備—那些通常具有有限的文字輸入能力，卻能夠訪問豐富信息的計(jì)算機(jī)，比如智能手機(jī)。

我們認(rèn)為，成熟的隱式認(rèn)證技術(shù)將至少有如下三個(gè)方面的應(yīng)用：

⑴ 作為一種基本的認(rèn)證方法替代常見的密碼認(rèn)證，免除用戶輸入密碼的負(fù)擔(dān)。比如當(dāng)用戶通過移動(dòng)設(shè)備訪問在線郵件或登錄博客/空間/論壇時(shí)，服務(wù)器利用隱式認(rèn)證技術(shù)完成對(duì)用戶身份的確認(rèn)，用戶不再需要輸入用戶名和密碼等登錄信息。很明顯，隱式認(rèn)證使得在移動(dòng)設(shè)備上訪問這些服務(wù)更方便了。另外，隨著經(jīng)常使用的服務(wù)不斷增多，用戶需要記住很多的用戶名/密碼對(duì)，為了減輕記憶負(fù)擔(dān)，許多用戶可能在多個(gè)服務(wù)中使用相同的用戶名/密碼對(duì)，可能選擇容易記憶的密碼，有時(shí)候甚至把密碼隨便記在紙上。這會(huì)大大降低了密碼認(rèn)證的可靠性。因此，在這些場(chǎng)合下使用隱式認(rèn)證是非常合適的，它免除了用戶記憶密碼的負(fù)擔(dān)和輸入密碼的麻煩。另外，在那些使用密碼認(rèn)證的小額購物網(wǎng)站上也可以用隱式認(rèn)證來替代密碼認(rèn)證。

⑵ 隱式認(rèn)證可以作為常見的密碼認(rèn)證的補(bǔ)充，使得最終的認(rèn)證具有雙要素認(rèn)證的效果，更加安全可靠。無論用戶使用桌面電腦還是使用移動(dòng)設(shè)備訪問Internet上的某些需要認(rèn)證身份的服務(wù)，用戶按常規(guī)方式輸入登錄信息（用戶名/密碼等），服務(wù)器同時(shí)利用隱式認(rèn)證技術(shù)來進(jìn)一步確認(rèn)用戶的身份，這就使得用戶的身份認(rèn)證更加可靠。因此這種認(rèn)證方法，既可以在那些大額購物網(wǎng)站上采用，也可以在移動(dòng)商務(wù)服務(wù)，比如手機(jī)銀行、手機(jī)炒股、手機(jī)彩票、GPS位置服務(wù)、移動(dòng)OA等移動(dòng)商務(wù)服務(wù)上采用。

⑶ 為信用卡業(yè)務(wù)提供額外的擔(dān)保，防止欺詐事件的發(fā)生。對(duì)于信用卡詐騙或者信用卡丟失給用戶帶來損失的事件，如果用戶能夠利用信用卡隱式認(rèn)證作用戶身份認(rèn)證的補(bǔ)充，就可以在很大程度上減少用戶的損失。

1 隱式認(rèn)證的研究現(xiàn)狀

實(shí)際上，在桌面電腦以及其他一些強(qiáng)調(diào)安全的領(lǐng)域（如軍事、保密部門），已經(jīng)出現(xiàn)了一些類似“隱式認(rèn)證”的技術(shù)。比如一些采用生物特征識(shí)別技術(shù)的認(rèn)證方法，特別是基于擊鍵力度、節(jié)奏和打字模式的識(shí)別技術(shù)就更可以看成是隱式認(rèn)證技術(shù)[1]。因?yàn)檫@類技術(shù)是基于對(duì)用戶行為的持續(xù)觀察來認(rèn)證用戶身份的，這與我們提出的觀點(diǎn)一致。步態(tài)識(shí)別也屬于“隱式認(rèn)證”技術(shù)。步態(tài)識(shí)別是一種較新的生物特征識(shí)別技術(shù)，它根據(jù)人們的走路姿勢(shì)實(shí)現(xiàn)對(duì)個(gè)人身份的識(shí)別或生理、病理及心理特征的檢測(cè)[2]。在諸如軍事基地、停車場(chǎng)、機(jī)場(chǎng)、高檔社區(qū)等重要場(chǎng)所，步態(tài)識(shí)別不需要任何交互性接觸就可以實(shí)現(xiàn)遠(yuǎn)距離情況下的身份識(shí)別。有些學(xué)者嘗試綜合多種生物特征來識(shí)別用戶的身份，比如，一些研究工作嘗試結(jié)合多種生物特征識(shí)別結(jié)果以產(chǎn)生一個(gè)最終的認(rèn)證分?jǐn)?shù)，并根據(jù)認(rèn)證分?jǐn)?shù)來確定用戶身份的真實(shí)性程度[3]。所有這些基于生物特征識(shí)別技術(shù)的認(rèn)證方法都具有隱式認(rèn)證的特征—不需要用戶的參與或者只需要用戶很少的參與就能夠完成認(rèn)證。

并不是所有隱式認(rèn)證都與生物特征識(shí)別技術(shù)有關(guān)?；谟脩舻奈恢脕泶_定訪問權(quán)限的技術(shù)，很多公司或組織的系統(tǒng)采用了這樣的技術(shù)。如果員工在辦公室使用電腦，則允許其訪問公司內(nèi)部數(shù)據(jù)，而如果員工在家里使用電腦，則禁止訪問。這樣的系統(tǒng)顯然也具有隱式認(rèn)證的特征。

盡管上述“隱式”認(rèn)證技術(shù)目前在移動(dòng)設(shè)備領(lǐng)域比較少見，不過已經(jīng)有很多人開始嘗試把它們應(yīng)用到移動(dòng)領(lǐng)域。比如有學(xué)者嘗試基于移動(dòng)設(shè)備的位置（GPS）來確定用戶對(duì)特定資源的訪問權(quán)限；有學(xué)者研究利用步態(tài)識(shí)別來檢測(cè)設(shè)備是否正在被其主人使用[4]；還有學(xué)者提出了多模態(tài)認(rèn)證方法，這種方法結(jié)合許多不同的、低可信度的生物識(shí)別信息流來產(chǎn)生一個(gè)持續(xù)的、對(duì)當(dāng)前用戶身份的正面肯定[5]。對(duì)于本文提出的、利用用戶使用移動(dòng)設(shè)備的習(xí)慣來認(rèn)證用戶的隱式認(rèn)證方法，目前尚未有人研究。

2 基于用戶使用移動(dòng)設(shè)備習(xí)慣的隱式認(rèn)證的技術(shù)分析

要進(jìn)行隱式認(rèn)證，必須要有用于認(rèn)證的數(shù)據(jù)。智能手機(jī)是目前使用用戶最多的、可訪問Internet的移動(dòng)設(shè)備。對(duì)于智能手機(jī)來說，用于認(rèn)證的數(shù)據(jù)可以來自設(shè)備自身，也可以來自移動(dòng)網(wǎng)絡(luò)運(yùn)營商，甚至來自Internet。這些數(shù)據(jù)中，有些數(shù)據(jù)的來源可能有多個(gè)，而有些數(shù)據(jù)是設(shè)備特有的，依賴于特定的硬件類型和使用方式。

來自運(yùn)營商的數(shù)據(jù)有：用戶設(shè)備所選擇的基站、用戶呼出/呼入的電話號(hào)碼及通話模式（通話時(shí)間、時(shí)間間隔等）、用戶發(fā)送/接收的短消息號(hào)碼及模式（時(shí)間、頻度等）、甚至用戶的語音數(shù)據(jù)、用戶訪問Internet的模式（如果用戶通過移動(dòng)網(wǎng)絡(luò)訪問Internet，運(yùn)營商可以通過檢查他們的DNS請(qǐng)求和網(wǎng)絡(luò)報(bào)文來知道他們的訪問模式）。來自設(shè)備自身的數(shù)據(jù)有：用戶撥打/接收的電話號(hào)碼以及發(fā)送/收到的短消息號(hào)碼、鬧鈴設(shè)置時(shí)間、用戶操作電子郵件的習(xí)慣、來自GPS的定位數(shù)據(jù)（如果設(shè)備具有GPS功能）、WiFi/藍(lán)牙連接/配對(duì)或USB連接數(shù)據(jù)（如果設(shè)備具有這些功能）、在WiFi中對(duì)一個(gè)已知的訪問點(diǎn)的認(rèn)證數(shù)據(jù)、設(shè)備與某個(gè)已知PC的同步情況、應(yīng)用程序的使用數(shù)據(jù)（比如瀏覽模式和安裝的軟件）、鍵盤輸入模式或語音數(shù)據(jù)、觸摸屏，獲得用戶的指紋等等。來自網(wǎng)絡(luò)的數(shù)據(jù)有：用戶訪問網(wǎng)絡(luò)服務(wù)的各種相關(guān)數(shù)據(jù)。

理論上，上述數(shù)據(jù)都可以作為認(rèn)證的依據(jù)，但認(rèn)證中考慮所有數(shù)據(jù)顯然是不現(xiàn)實(shí)的。另外，設(shè)備/用戶不同，用戶使用設(shè)備的習(xí)慣、訪問網(wǎng)絡(luò)的行為方式等也會(huì)不同。所以，可以用于刻畫用戶行為特征的數(shù)據(jù)也不盡相同。因此，實(shí)際用于認(rèn)證的數(shù)據(jù)最好是帶有普遍性的數(shù)據(jù)，而不是設(shè)備或用戶或網(wǎng)絡(luò)所特有的。

隱式認(rèn)證中可采用的認(rèn)證方法，我們認(rèn)為可以從如下兩個(gè)方面考慮：一是借鑒已有的“隱式認(rèn)證”技術(shù)，比如前面提到的多模態(tài)認(rèn)證方法；二是借鑒入侵檢測(cè)技術(shù)。目前有很多入侵檢測(cè)方法，有些檢測(cè)方法比較適合用于隱式認(rèn)證中。下面我們逐一探討。

基于多模態(tài)認(rèn)證方法的研究結(jié)果，我們初步構(gòu)想了一個(gè)隱式認(rèn)證方法，它利用前面提到的相關(guān)數(shù)據(jù)，根據(jù)用戶最近的行為或活動(dòng)為每個(gè)用戶計(jì)算并維護(hù)一個(gè)認(rèn)證分?jǐn)?shù)。該方法根據(jù)事件（用戶行為）是正面的還是負(fù)面的來增加或減少用戶的認(rèn)證分?jǐn)?shù)。正面的事件如習(xí)慣性的行為，當(dāng)監(jiān)視到習(xí)慣性的事件的時(shí)候就增加認(rèn)證分?jǐn)?shù)；負(fù)面的事件指那些對(duì)于用戶來說并不常見的事件，或者與某種常見的攻擊行為相關(guān)聯(lián)的事件。當(dāng)認(rèn)證分?jǐn)?shù)下降超過了特定事件的閾值，該事件將不再被執(zhí)行，除非用戶顯式地、明確地認(rèn)證他自己，比如輸入密碼。正確的顯式認(rèn)證是一個(gè)正面事件，而失敗的顯式認(rèn)證是一個(gè)負(fù)面事件。圖1給出了這種方法中可以采用的機(jī)器學(xué)習(xí)算法框架。

[過去的

行為][學(xué)習(xí)算法] [評(píng)分算法][最近的

行為] [分?jǐn)?shù)] [用戶

類型]

圖1機(jī)器學(xué)習(xí)算法框架

圖1中，用戶模型是從用戶過去的行為獲得的，它能夠刻畫出用戶的個(gè)人行為模式。評(píng)分算法檢查用戶模型和用戶最近的行為，并輸出一個(gè)認(rèn)證分?jǐn)?shù)以指出用戶身份真實(shí)的可能性。方法中使用一個(gè)閾值對(duì)應(yīng)合法用戶分?jǐn)?shù)的最低值。閾值也可以因不同的應(yīng)用而有所不同，這取決于具體的應(yīng)用是否是安全敏感的。很明顯，此處用戶模型的正確創(chuàng)建和評(píng)分算法的合理設(shè)計(jì)是獲得準(zhǔn)確認(rèn)證分?jǐn)?shù)的關(guān)鍵，當(dāng)然也是準(zhǔn)確確定用戶身份是否合法的關(guān)鍵。

另外，隱式認(rèn)證可以借鑒的是入侵檢測(cè)技術(shù)中的方法。入侵檢測(cè)采用的方法通?？梢苑譃閮深悾赫`用檢測(cè)和異常檢測(cè)。誤用檢測(cè)需要首先定義入侵行為特征，然后監(jiān)視系統(tǒng)中是否出現(xiàn)了這樣的行為特征，當(dāng)監(jiān)測(cè)的用戶或系統(tǒng)行為與某個(gè)已定義的入侵特征匹配時(shí)，就認(rèn)為發(fā)生了入侵；異常檢測(cè)需要首先定義正常行為特征，當(dāng)用戶活動(dòng)或系統(tǒng)行為與正常行為有重大偏離時(shí)即被認(rèn)為是入侵。很明顯，隱式認(rèn)證應(yīng)該采用誤用檢測(cè)方法，不同之處只是把定義入侵行為特征改成定義用戶的習(xí)慣行為特征。

常用的誤用檢測(cè)方法有基于條件概率的誤用入侵檢測(cè)、基于專家系統(tǒng)的誤用入侵檢測(cè)、基于狀態(tài)轉(zhuǎn)移的誤用入侵檢測(cè)、基于鍵盤監(jiān)控的誤用入侵檢測(cè)，以及基于模型的誤用入侵檢測(cè)等[6]幾種。以基于條件概率的誤用入侵檢測(cè)方法為例，該方法將入侵方式對(duì)應(yīng)于一個(gè)事件序列，然后通過觀測(cè)事件發(fā)生情況來推測(cè)入侵的出現(xiàn)。在隱式認(rèn)證中可以采用同樣的方法，把用戶的行為對(duì)應(yīng)于一個(gè)事件序列，然后通過觀測(cè)事件發(fā)生情況來推測(cè)用戶身份的真實(shí)性。這種方法的原理是利用外部事件序列，根據(jù)貝葉斯定理進(jìn)行推理判斷用戶身份的真實(shí)性。

令ES表示事件序列，先驗(yàn)概率為P(Authentication)，后驗(yàn)概率為P(ES|Authentication)，事件出現(xiàn)的概率為P(ES)，則

通?？梢越o出先驗(yàn)概率P(Authentication)，對(duì)用戶行為報(bào)告數(shù)據(jù)進(jìn)行統(tǒng)計(jì)處理得出P(ES|Authentication)和P(ES|-Authentication)，于是可以計(jì)算出：

因此，可以通過對(duì)事件序列的觀測(cè)推算出P(Authentication|ES)，它表示當(dāng)事件序列ES發(fā)生后用戶身份真實(shí)的可能性。當(dāng)然，其他誤用檢測(cè)方法也都有應(yīng)用到隱式認(rèn)證中的可能。

實(shí)際上，即使已有的“隱式認(rèn)證”技術(shù)也或多或少采用了與入侵檢測(cè)技術(shù)相似或相同的方法，所以我們剛才提到的兩類可以借鑒的技術(shù)并非截然不同，而是存在著重疊或交叉。

3 隱式認(rèn)證系統(tǒng)體系結(jié)構(gòu)分析

認(rèn)證包括認(rèn)證結(jié)果的產(chǎn)生（認(rèn)證決斷）和認(rèn)證結(jié)果的使用（認(rèn)證消費(fèi)）兩個(gè)方面。對(duì)于我們提出的隱式認(rèn)證，認(rèn)證的決斷者可以是設(shè)備本身，也可以是運(yùn)營商或者其他可信的第三方。這通常與認(rèn)證所依賴的數(shù)據(jù)來源有關(guān)，另外，也可能與認(rèn)證結(jié)果的使用者和所采用的特定的隱式認(rèn)證方法有關(guān)。認(rèn)證的消費(fèi)者包括：⑴ 移動(dòng)設(shè)備（比如，設(shè)備可能需要首先確認(rèn)用戶的身份合法才允許使用某些特定的應(yīng)用）；⑵ 希望認(rèn)證用戶的服務(wù)提供者（這是很顯然的，如前面提到的電子郵件服務(wù)、博客/空間、論壇以及在線銀行站點(diǎn)）。如果認(rèn)證的決斷者是設(shè)備自身，保障認(rèn)證結(jié)果的完整性是很重要的，特別是當(dāng)認(rèn)證的消費(fèi)者不是設(shè)備本身的時(shí)候，比如是Internet上的服務(wù)。此時(shí)，可以借助設(shè)備的SIM卡對(duì)認(rèn)證結(jié)果簽名，隨后把簽名后的數(shù)據(jù)發(fā)送到希望認(rèn)證用戶身份的服務(wù)提供者那里。這種方法既保護(hù)了用戶的隱私，又能夠防止對(duì)服務(wù)器的欺騙。不過，這種方法不能防止設(shè)備被盜時(shí)非法用戶以合法的方式使用該設(shè)備。也就是說，如果設(shè)備被盜，存儲(chǔ)在設(shè)備中的數(shù)據(jù)以及用戶的行為模式信息也可能被盜。非法用戶可能利用這些信息來模仿合法用戶。

鑒于運(yùn)營商和移動(dòng)用戶之間的信任關(guān)系以及自然的通信能力，運(yùn)營商很適合作為認(rèn)證的決斷者，給出認(rèn)證結(jié)果。運(yùn)營商也可能簡(jiǎn)單地把數(shù)據(jù)提供給可信的第三方，委托第三方分析數(shù)據(jù)并做出認(rèn)證結(jié)論，此時(shí)第三方就是認(rèn)證決斷者。如果采用把數(shù)據(jù)報(bào)告給可信的第三方的方法，用戶的隱私將是一個(gè)需要關(guān)注的問題。解決這個(gè)問題的方法有：⑴從報(bào)告的數(shù)據(jù)中刪除可以辨識(shí)用戶身份的信息及重要數(shù)據(jù)；⑵使用別名替代真實(shí)的稱謂，比如，“電話號(hào)碼A，位置B，區(qū)號(hào)D”；⑶采用粗粒度數(shù)據(jù)或匯總數(shù)據(jù)，而非詳細(xì)精確的描述。

無論如何，隱式認(rèn)證的系統(tǒng)體系結(jié)構(gòu)是靈活的，這也決定了隱式認(rèn)證的應(yīng)用將是廣泛的。

4 結(jié)束語

在移動(dòng)設(shè)備上使用隱式認(rèn)證，可以免除用戶記憶密碼的負(fù)擔(dān)和輸入密碼的麻煩，從而使用戶可更方便地訪問Internet上的服務(wù)。隱式認(rèn)證還可以和常見的密碼認(rèn)證一起使用，使得最終的認(rèn)證具有雙要素認(rèn)證的效果。隱式認(rèn)證甚至可以為信用卡業(yè)務(wù)提供額外的擔(dān)保。因此，對(duì)隱式認(rèn)證的研究是非常有意義的。本文提出了隱式認(rèn)證的概念，探討了可用于隱式認(rèn)證的具體方法和隱式認(rèn)證系統(tǒng)的體系結(jié)構(gòu)。目前，對(duì)隱式認(rèn)證的研究也只是剛開始，期待本文能起到拋磚引玉的作用。

參考文獻(xiàn)：

[1] 田啟川,張潤生.生物特征識(shí)別綜述[J].計(jì)算機(jī)應(yīng)用研究,2009.26

(12):4401~4406

[2] 王科俊,侯本博.步態(tài)識(shí)別綜述[J].中國圖象圖形學(xué)報(bào),2007.12(7):1157~1160

[3] J. Bigun, J. Fierrez-Aguilar, J. Ortega-Garcia, and J.

Gonzalez-Rodriguez. Combining biometric evidence for person authentication[J]. Advanced Studies in Biometrics, 2005.

[4] D. Gafurov, K. Helkala, and T. S?ndrol. Biometric gait authenti cation using accelerometer sensor. JCP, 1(7):51~59,2006.

[5] R. Greenstadt and J. Beal. Cognitive security for personal devices[C].The First ACM Workshop on AISec,2008.

[6] 段云所,魏仕民,唐禮勇等.信息安全概論[M].高等教育出版社,2003.