面向智能手機(jī)的自適應(yīng)觸屏持續(xù)認(rèn)證方案

姜 奇，文 悅，張瑞杰，魏福山，馬建峰

（1.西安電子科技大學(xué)網(wǎng)絡(luò)與信息安全學(xué)院,陜西西安 710126；2.河南省網(wǎng)絡(luò)密碼技術(shù)實(shí)驗(yàn)室，河南鄭州 450001；3.戰(zhàn)略支援部隊(duì)信息工程大學(xué)密碼工程學(xué)院，河南鄭州 450001；4.戰(zhàn)略支援部隊(duì)信息工程大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，河南鄭州 450001）

1 引言

智能手機(jī)的持續(xù)認(rèn)證方法日益受到關(guān)注［1～3］.由于觸屏操作的通用性和普遍性，以及用戶間在觸摸屏交互過(guò)程中的行為模式具有較高的獨(dú)特性，因此是作為持續(xù)認(rèn)證因子的最佳選擇之一.

目前，針對(duì)觸屏操作行為認(rèn)證的研究主要基于兩類傳感器行為：一種是觸屏?xí)r觸控傳感器行為［4，5］，其主要利用設(shè)備的觸摸屏獲取觸屏?xí)r手指壓力、指尖覆蓋面積和位置等信息.Frank 等［4］使用觸控?cái)?shù)據(jù)進(jìn)行持續(xù)身份認(rèn)證，達(dá)到了等錯(cuò)誤率（Equal Error Rate，EER）低于4%的效果.Fierrez等［5］分別使用支持向量機(jī)（Support Vector Machine，SVM）算法、高斯混合模型以及SVM 和高斯混合模型進(jìn)行了基準(zhǔn)測(cè)試，結(jié)果表明橫屏觸屏操作認(rèn)證性能好于豎屏觸屏操作以及水平滑動(dòng)認(rèn)證優(yōu)于垂直滑動(dòng)；另一種是觸屏?xí)r運(yùn)動(dòng)傳感器行為［6～9］，其主要利用設(shè)備內(nèi)置的運(yùn)動(dòng)傳感器捕獲觸屏操作引起的設(shè)備抖動(dòng)和方向變化.Lee 等［9］提出了基于多運(yùn)動(dòng)傳感器的方案實(shí)現(xiàn)對(duì)智能手機(jī)的持續(xù)身份認(rèn)證，其使用SVM 實(shí)現(xiàn)了高達(dá)90%的準(zhǔn)確率.Shen等［6］提取觸屏操作發(fā)生時(shí)加速度計(jì)、磁力計(jì)、陀螺儀和方向感應(yīng)計(jì)等運(yùn)動(dòng)傳感器數(shù)據(jù)的時(shí)域和頻域特征，實(shí)現(xiàn)了5.03%的錯(cuò)誤拒絕率（False Reject Rate，F(xiàn)RR）和3.98%的錯(cuò)誤接受率（False Accept Rate，F(xiàn)AR）.

但是，研究表明，單模態(tài)行為認(rèn)證本身易受環(huán)境和情緒等不可控因素的影響，導(dǎo)致認(rèn)證能力不穩(wěn)定［10］.此外，觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為被證明會(huì)遭受模仿［11］和統(tǒng)計(jì)攻擊［12］.而融合上述兩種行為的雙模態(tài)行為認(rèn)證預(yù)期可以克服單模態(tài)行為認(rèn)證的上述缺點(diǎn)［6，13］.具體而言，同時(shí)利用兩種行為對(duì)用戶進(jìn)行認(rèn)證，可以在一種行為認(rèn)證能力下降時(shí)使用另一種行為進(jìn)行彌補(bǔ)；而且雙模態(tài)認(rèn)證系統(tǒng)可以增加模仿攻擊和統(tǒng)計(jì)攻擊的難度.因此，雙模態(tài)融合能夠在增強(qiáng)認(rèn)證系統(tǒng)穩(wěn)定性的同時(shí)增加安全性.

然而，相對(duì)于單模態(tài)利用單一行為進(jìn)行認(rèn)證，雙模態(tài)認(rèn)證需要同時(shí)利用兩種行為進(jìn)行認(rèn)證，增加了系統(tǒng)的復(fù)雜性.此外，同時(shí)對(duì)多個(gè)來(lái)源的數(shù)據(jù)進(jìn)行監(jiān)控采集和處理，尤其是觸屏?xí)r運(yùn)動(dòng)傳感器行為需要監(jiān)控多個(gè)傳感器，包括加速度計(jì)、陀螺儀和磁力計(jì)，會(huì)帶來(lái)大量的中央處理器（Central Processing Unit，CPU）資源和電量消耗，勢(shì)必影響到用戶使用體驗(yàn).考慮到智能手機(jī)的私有性，即在大多數(shù)情況下設(shè)備的使用用戶是設(shè)備的擁有者.而每個(gè)用戶有自己的生活習(xí)慣和應(yīng)用程序使用習(xí)慣；此外用戶在使用不敏感的應(yīng)用程序時(shí)，比如天氣、計(jì)算器等，無(wú)需啟用高安全強(qiáng)度的持續(xù)認(rèn)證方式.因此，本文提出了根據(jù)上下文自適應(yīng)選擇適當(dāng)?shù)某掷m(xù)認(rèn)證機(jī)制，其可以提高認(rèn)證系統(tǒng)的可用性，更有利于促進(jìn)持續(xù)認(rèn)證系統(tǒng)的推廣應(yīng)用.實(shí)驗(yàn)表明，該方案可以提供足夠的安全性，且可以通過(guò)減少使用雙模態(tài)認(rèn)證來(lái)降低認(rèn)證系統(tǒng)復(fù)雜性的同時(shí)使能耗降低50%以上.

2 自適應(yīng)觸屏持續(xù)認(rèn)證方案

如圖1所示，本文提出一個(gè)自適應(yīng)觸屏持續(xù)認(rèn)證方案.當(dāng)用戶啟動(dòng)某個(gè)應(yīng)用程序時(shí)，該方案會(huì)利用自適應(yīng)模型根據(jù)當(dāng)前上下文參數(shù)進(jìn)行環(huán)境安全水平評(píng)估，進(jìn)而選擇觸屏認(rèn)證策略.方案支持兩種認(rèn)證策略，分別是單模態(tài)觸屏行為認(rèn)證和雙模態(tài)觸屏行為認(rèn)證.單模態(tài)認(rèn)證可以利用觸屏觸控傳感器行為或觸屏運(yùn)動(dòng)傳感器行為進(jìn)行認(rèn)證，雙模態(tài)認(rèn)證則融合上述兩種行為進(jìn)行認(rèn)證，本文采用分?jǐn)?shù)級(jí)融合.雙模態(tài)認(rèn)證的優(yōu)勢(shì)在于可提高認(rèn)證準(zhǔn)確性，但是其缺點(diǎn)在于系統(tǒng)復(fù)雜度及能量消耗高.為此，自適應(yīng)模型的作用是根據(jù)當(dāng)前用戶的上下文參數(shù)自適應(yīng)地選擇觸屏認(rèn)證策略，即在上下文安全水平較高時(shí)選擇單模態(tài)認(rèn)證，而在上下文安全性水平較低時(shí)使用融合觸控傳感器行為和運(yùn)動(dòng)傳感器行為的雙模態(tài)認(rèn)證，達(dá)到在保證安全性的同時(shí)降低認(rèn)證系統(tǒng)復(fù)雜度和能量消耗的目的.

圖1 自適應(yīng)觸屏持續(xù)認(rèn)證系統(tǒng)流程圖

2.1 觸屏持續(xù)認(rèn)證

當(dāng)用戶與智能手機(jī)正常交互時(shí)，觸屏操作就會(huì)發(fā)生，且用戶之間的觸屏方式具有獨(dú)特性.同時(shí)，當(dāng)用戶進(jìn)行觸屏操作時(shí)會(huì)引起手機(jī)抖動(dòng)，手機(jī)內(nèi)置的運(yùn)動(dòng)傳感器可以捕捉這類行為并提供手機(jī)旋轉(zhuǎn)和位移等信息.本節(jié)探討了以上兩種行為分別在單模態(tài)以及在融合兩種行為的雙模態(tài)下的認(rèn)證能力.

2.1.1 數(shù)據(jù)收集和特征提取

（1）觸屏?xí)r觸控傳感器行為

通過(guò)智能手機(jī)操作系統(tǒng)的應(yīng)用程序編程接口（Application Programming Interface，API）可獲得觸控點(diǎn)坐標(biāo)、手指覆蓋面積及壓力等原始觸摸點(diǎn)數(shù)據(jù)，然后可提取出區(qū)分用戶行為模式的特征，從而準(zhǔn)確的識(shí)別用戶.對(duì)于每次的觸控傳感器行為，我們從中提取了25 個(gè)不同的特征，包括：觸屏滑動(dòng)的開始和結(jié)束觸摸點(diǎn)坐標(biāo)、觸屏滑動(dòng)端到端的直線距離和和滑動(dòng)軌跡的長(zhǎng)度及它們之間的比值、端到端成對(duì)相鄰觸摸點(diǎn)速度和加速度的平均值和標(biāo)準(zhǔn)偏差及其20%，50%，80%的百分位數(shù)、端到端成對(duì)相鄰觸摸點(diǎn)標(biāo)準(zhǔn)偏差的最大值，標(biāo)準(zhǔn)偏差，及其20%，50%，80%的百分位數(shù)、觸屏滑動(dòng)時(shí)間和指尖壓力大小和面積等.

（2）觸屏?xí)r運(yùn)動(dòng)傳感器行為

通過(guò)加速度計(jì)，磁力計(jì)和陀螺儀等3種運(yùn)動(dòng)傳感器獲取的三維數(shù)據(jù)序列刻畫觸屏操作引起的行為變化.對(duì)原始傳感器數(shù)據(jù)的處理如下：首先，對(duì)原始數(shù)據(jù)序列進(jìn)行數(shù)據(jù)內(nèi)插和去噪等預(yù)處理操作，處理前后的數(shù)據(jù)變化如圖2 所示.其次，從三個(gè)傳感器的X，Y，Z以及幅度M軸提取時(shí)域特征，其中M=與手機(jī)設(shè)備以及觸屏的方向無(wú)關(guān)，表示觸屏?xí)r振動(dòng)的幅度.最后，為了降低提取的特征維度，依據(jù)每個(gè)特征的fisher score 進(jìn)行特征選擇.表1 列出了提取的時(shí)域特征以及三個(gè)傳感器四個(gè)緯度的fisher score 情況.我們選擇了所有fisher score大于0.1的特征進(jìn)行后續(xù)的操作.

表1 針對(duì)每一次觸屏操作，運(yùn)動(dòng)傳感器行為提取的特征以及相應(yīng)的fisher score值

圖2 手機(jī)加速度計(jì)x軸預(yù)處理前后數(shù)據(jù)變化

2.1.2 模型訓(xùn)練和用戶認(rèn)證

該系統(tǒng)支持兩種認(rèn)證策略，分別是單模態(tài)觸屏行為認(rèn)證和雙模態(tài)觸屏行為認(rèn)證.單模態(tài)認(rèn)證分別利用觸屏觸控傳感器行為、觸屏運(yùn)動(dòng)傳感器行為進(jìn)行認(rèn)證，雙模態(tài)認(rèn)證融合上述兩種行為進(jìn)行認(rèn)證.

在模型訓(xùn)練階段，我們利用五種常見的監(jiān)督式學(xué)習(xí)算法分別根據(jù)上述兩種行為提取的特征進(jìn)行認(rèn)證模型的訓(xùn)練，包括SVM、K 近鄰算法（K Nearest Neighbor，KNN）、多層感知機(jī)（Multi-Layer Perceptron，MLP）、隨機(jī)森林（Random Forest，RF）以及極端梯度提升算法（Extreme Gradient Boosting，XGBoost）.

在認(rèn)證階段，系統(tǒng)根據(jù)所選擇的認(rèn)證策略，在用戶使用設(shè)備期間持續(xù)收集對(duì)應(yīng)的行為數(shù)據(jù)，在提取特征后，使用訓(xùn)練的認(rèn)證模型對(duì)用戶進(jìn)行認(rèn)證.如認(rèn)證成功，則用戶正常使用智能手機(jī)；反之，認(rèn)證失敗則需要進(jìn)行顯示的用戶認(rèn)證，如用戶手動(dòng)輸入口令或者短信驗(yàn)證碼等方式.

在使用上述單模態(tài)認(rèn)證的基礎(chǔ)上，我們選擇相應(yīng)性能最好的分類器對(duì)兩種行為進(jìn)行融合認(rèn)證.由于分?jǐn)?shù)級(jí)融合相對(duì)于其他融合方式具有易獲取、包含的認(rèn)證信息多、以及融合過(guò)程簡(jiǎn)單且可擴(kuò)展，便于增加和減少模態(tài)等優(yōu)點(diǎn)［14］.本文采用了基于權(quán)重的分?jǐn)?shù)級(jí)融合，具體方法如下所示：

其中，s指最后的決策分?jǐn)?shù)，si表示兩種行為模態(tài)，wi表示兩種行為模態(tài)的分?jǐn)?shù)權(quán)重i={1，2}.在融合時(shí)，單模態(tài)認(rèn)證能力強(qiáng)的行為將會(huì)獲得較高的權(quán)重，反之將獲得低的權(quán)重，計(jì)算方式如下：

其中，G和I分別表示合法用戶和非法用戶，μi與δi分別表示分?jǐn)?shù)的均值和方差，di表示單個(gè)行為的合法用戶和非法用戶的得分的分離程度.權(quán)重wi與di成正比，分離程度越大，說(shuō)明該行為認(rèn)證能力更好，因此權(quán)重更大.

2.2 自適應(yīng)模型

雙模態(tài)融合會(huì)增加認(rèn)證的復(fù)雜性同時(shí)也會(huì)給智能手機(jī)造成能量消耗，因而需要提出自適應(yīng)模型以降低資源開銷，提升用戶體驗(yàn).研究表明，用戶的地理位置和應(yīng)用程序使用習(xí)慣遵循一種可以預(yù)測(cè)的模式［15～17］.每個(gè)用戶偏好的應(yīng)用程序不同，且對(duì)于相同的應(yīng)用程序，用戶間的使用頻次和時(shí)長(zhǎng)也具有不同的規(guī)律；除此之外，用戶使用的應(yīng)用程序愈來(lái)愈多，但不是所有的應(yīng)用程序都存儲(chǔ)用戶的隱私數(shù)據(jù).因此，在用戶熟悉的環(huán)境或使用不敏感應(yīng)用時(shí)，可以降低持續(xù)認(rèn)證的要求，僅僅使用耗能低的觸屏?xí)r觸控傳感器行為認(rèn)證；相反，如果在從未訪問(wèn)過(guò)的位置使用敏感程度高的應(yīng)用或者從來(lái)沒(méi)有使用過(guò)的應(yīng)用，才需要更安全的雙模態(tài)融合的方式.

因此，提出一種應(yīng)用程序級(jí)自適應(yīng)模型.當(dāng)用戶啟動(dòng)應(yīng)用程序時(shí)，根據(jù)上下文（地理位置和應(yīng)用程序信息）自適應(yīng)選擇觸屏認(rèn)證因子，即確定當(dāng)前所需要的認(rèn)證模式，通過(guò)避免使用觸屏?xí)r運(yùn)動(dòng)傳感器行為認(rèn)證達(dá)到降低系統(tǒng)復(fù)雜性和能量消耗的目的.自適應(yīng)模型包括3部分，分別是：上下文安全水平評(píng)估、上下文參數(shù)處理和計(jì)算、以及考慮應(yīng)用程序?qū)τ脩糁匾潭冗M(jìn)行認(rèn)證策略選擇.

2.2.1 上下文安全水平評(píng)估模型

上下文安全水平是自適應(yīng)的依據(jù)，其由當(dāng)前用戶在當(dāng)前上下文是合法用戶的可信度來(lái)進(jìn)行表征.模型所涉及到的符號(hào)定義如下：x=(x1，x2，…，xd)，表示打開某個(gè)應(yīng)用程序時(shí)一組d維的上下文特征向量（在本文中，d=2，包括當(dāng)前地理位置和應(yīng)用程序名稱）.u∈{L，I}表示當(dāng)前使用設(shè)備的用戶的身份，其中L和I分別表示使用用戶為合法用戶和非法用戶.X和U分別為x和u的隨機(jī)變量.

給定一組上下文特征向量x，對(duì)于合法用戶和非法用戶兩個(gè)類別，當(dāng)滿足以下條件時(shí)，有U=L：

反之，U=I.p(U=L|X=x)表示在給定一組上下文特征向量x條件下，使用用戶是合法用戶的概率，p(U=I|X=x)表示給定一組上下文特征向量x，使用用戶是攻擊者的概率.根據(jù)貝葉斯理論，式（3）能夠被轉(zhuǎn)化為式（4）的形式：

由于p(U=L)和p(U=I)獨(dú)立于x，式（4）可寫為：

p(X=x|U=L)和p(X=x|U=I)分別代表著合法用戶和非合法用戶在一組上下文特征向量為x時(shí)的概率.合法用戶在上下文特征中的概率分布情況可以通過(guò)智能手機(jī)的日常使用歷史中獲得，但是攻擊者的概率分布情況很難調(diào)查，這里假設(shè)敵手在所有上下文的出現(xiàn)概率相同，即服從于均勻分布.因此，式（5）可以寫為：

式（6）表示當(dāng)gu(x)＞θ時(shí)，U=L；反之，則U=I，閾值θ能夠相應(yīng)的進(jìn)行調(diào)整.gu(x)為給定的一組上下文特征向量下，當(dāng)前用戶是合法用戶的可信度得分.根據(jù)此定義可知，當(dāng)用戶在更熟悉的上下文中使用手機(jī)設(shè)備時(shí)，gu(x)更大.因此，可以使用gu(x)來(lái)表征合法用戶在當(dāng)前上下文下的安全水平.gu(x)越大，說(shuō)明對(duì)于合法用戶來(lái)說(shuō)，該環(huán)境更安全，即安全水平更高；反之，則安全水平低.

實(shí)際應(yīng)用中，gu(x)的計(jì)算是具有挑戰(zhàn)的，因?yàn)閤=(x1，…，xd)的組合情況是非常多.為了克服這種情況，可假設(shè)所有的上下文特征是獨(dú)立的，即：

因此，式（6）的左邊的計(jì)算方式為：

因此，我們只需計(jì)算用戶在單個(gè)上下文特征下的概率分布情況即可.

2.2.2 上下文參數(shù)處理和計(jì)算

為了計(jì)算式（8）只需計(jì)算合法用戶在相應(yīng)上下文特征下的概率分布.本文使用的上下文特征為地理位置和應(yīng)用程序名稱，因此需要計(jì)算合法用戶在具體地理位置使用智能手機(jī)的頻次以及使用具體應(yīng)用程序的頻次.

對(duì)于使用歷史中出現(xiàn)的上下文，只需根據(jù)使用頻次計(jì)算相應(yīng)概率即可.用戶每打開一次應(yīng)用程序，相應(yīng)使用頻次加1.對(duì)于地理位置，使用全球定位系統(tǒng)（Global Positioning System，GPS）獲取到的是當(dāng)前位置的經(jīng)度和緯度，是一個(gè)連續(xù)的值，可能組合的情況很多，不能使用頻次來(lái)表示.為此，我們將緯度和經(jīng)度空間劃分為離散的0.002×0.002緯度/經(jīng)度網(wǎng)格［18］，每個(gè)網(wǎng)格約為200 m×200 m，同一網(wǎng)格范圍內(nèi)的所有坐標(biāo)對(duì)均標(biāo)記為相同位置，劃分表示如圖3所示.

圖3 GPS經(jīng)緯度數(shù)據(jù)的處理

對(duì)于首次出現(xiàn)的上下文，即用戶從來(lái)沒(méi)有去過(guò)的地點(diǎn)或從未使用過(guò)的應(yīng)用程序，對(duì)應(yīng)的上下文安全水平永遠(yuǎn)等于0，這與實(shí)際情況不符.例如，當(dāng)用戶在家想要嘗試一個(gè)新的應(yīng)用程序，這時(shí)的安全水平不僅與應(yīng)用程序有關(guān)，還與地理位置有關(guān).本文利用數(shù)據(jù)平滑技術(shù)［19］解決該問(wèn)題，其基本思想是減少已知特征值的概率，為未知特征值保留一些概率.

綜上，最終的概率估計(jì)結(jié)果為

其中，c(xk)是在第k維上下文特征下，特征值xk發(fā)生的次數(shù)，N=∑c(xk)是第k維上下文特征下，所有可能的特征值發(fā)生的總次數(shù).

計(jì)算式（8）后，由于乘積之后的數(shù)值較小，不利于之后的計(jì)算，因而對(duì)gu(x)進(jìn)行了最大最小歸一化處理，使安全水平映射在［0，1］之間.

2.2.3 自適應(yīng)認(rèn)證策略選擇

確定了上下文的安全水平后，不能直接選擇不同的認(rèn)證策略，此方式忽略了使用的應(yīng)用程序的重要程度，即認(rèn)證策略的強(qiáng)度不僅與當(dāng)前環(huán)境的安全水平有關(guān)，還應(yīng)該與用戶對(duì)當(dāng)前使用的應(yīng)用程序保護(hù)程度相關(guān).用戶認(rèn)為很重要的應(yīng)用程序應(yīng)該采用更強(qiáng)的認(rèn)證手段，反之，則相反.為了將兩種情況都進(jìn)行考慮，本文設(shè)計(jì)的模型如下：

其中，v指用戶對(duì)使用的應(yīng)用程序的保護(hù)程度，用戶認(rèn)為某個(gè)應(yīng)用程序愈重要時(shí)v愈大.f(x，v)是綜合考慮上述介紹的兩種情況后的得分，基于此得分，系統(tǒng)自適應(yīng)地選擇不同強(qiáng)度的持續(xù)認(rèn)證方式.f(x，v)的得分較高，說(shuō)明用戶當(dāng)前所處的環(huán)境安全等級(jí)較高或者使用的應(yīng)用程序不是很重要，此時(shí)可以使用簡(jiǎn)單且能耗低的單模態(tài)持續(xù)認(rèn)證.而當(dāng)處于不熟悉的環(huán)境或者使用重要的應(yīng)用程序（如手機(jī)銀行）時(shí)會(huì)切換到更安全可靠的雙模態(tài)認(rèn)證.

部署了上述自適應(yīng)模型之后，無(wú)論在何時(shí)何地均有不同強(qiáng)度的持續(xù)認(rèn)證手段進(jìn)行保護(hù).熟悉模仿攻擊或統(tǒng)計(jì)攻擊的專業(yè)敵手，對(duì)于單模態(tài)的攻擊只會(huì)得到用戶認(rèn)為不重要的信息，而對(duì)于多模態(tài)的攻擊難度增加.綜上所述，該系統(tǒng)能夠在節(jié)省能耗的同時(shí)保證各種情況下系統(tǒng)的安全性.

3 實(shí)驗(yàn)結(jié)果與分析

3.1 觸屏持續(xù)認(rèn)證評(píng)估

本節(jié)評(píng)估了觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為的認(rèn)證能力，每一種行為分別使用了第3節(jié)介紹的5種分類器進(jìn)行認(rèn)證測(cè)試，采用網(wǎng)格搜索法確定了所有分類器最好性能的超參數(shù)，然后對(duì)數(shù)據(jù)集中每一位用戶進(jìn)行訓(xùn)練和測(cè)試，匯總結(jié)果決定總體的認(rèn)證能力.同時(shí)，為了對(duì)比兩種行為在不同運(yùn)動(dòng)狀態(tài)下的魯棒性，我們?cè)u(píng)估了用戶坐著和步行兩種運(yùn)動(dòng)狀態(tài)下的性能變化.最后，我們使用兩種行為單模態(tài)下獲得最好性能結(jié)果的分類器進(jìn)行了兩種行為模式的融合實(shí)驗(yàn)，對(duì)比分析了雙模態(tài)和單模態(tài)的性能差異.

3.1.1 數(shù)據(jù)集描述

我們使用一個(gè)公開的大規(guī)模數(shù)據(jù)集［20］進(jìn)行實(shí)驗(yàn)評(píng)估.該數(shù)據(jù)集包含100位用戶數(shù)據(jù).記錄了用戶在執(zhí)行會(huì)話過(guò)程中加速度計(jì)，陀螺儀及磁力計(jì)等運(yùn)動(dòng)傳感器讀數(shù)和觸控?cái)?shù)據(jù).實(shí)驗(yàn)中將用戶自己數(shù)據(jù)作為合法用戶數(shù)據(jù)，其他用戶數(shù)據(jù)作為非法用戶數(shù)據(jù)，混合劃分訓(xùn)練集和測(cè)試集，劃分比例為7:3.

3.1.2 評(píng)估指標(biāo)

在實(shí)驗(yàn)中，將分類準(zhǔn)確率作為判斷分類器分類性能的指標(biāo)，準(zhǔn)確率指包括合法用戶和冒用用戶在內(nèi)的所有數(shù)據(jù)中準(zhǔn)確識(shí)別的比率，準(zhǔn)確率高的分類器分類能力好.在針對(duì)兩種行為的身份認(rèn)證實(shí)驗(yàn)中，采用EER作為評(píng)估標(biāo)準(zhǔn)，EER 指調(diào)整閾值后，F(xiàn)RR 等于FAR 時(shí)的值，其中FRR 為將合法用戶識(shí)別為非法用戶的概率，F(xiàn)AR為非法用戶識(shí)別為合法用戶的概率.除此之外，我們使用了受試者工作特征（Receiver Operating Characteristic，ROC）曲線可視化模型認(rèn)證能力.

3.1.3 單模態(tài)認(rèn)證評(píng)估

表2 展示了觸屏?xí)r觸控傳感器行為與運(yùn)動(dòng)傳感器行為在用戶坐立和步行兩種運(yùn)動(dòng)狀態(tài)以及不區(qū)分運(yùn)動(dòng)狀態(tài)下的認(rèn)證準(zhǔn)確率，表中的每一行顯示了在一種分類器下的結(jié)果.從表中可以觀察到，SVM在所有的情況下都比其他四個(gè)分類器的認(rèn)證能力強(qiáng)，在不區(qū)分運(yùn)動(dòng)狀態(tài)的情況下，SVM 在觸控傳感器行為的準(zhǔn)確率達(dá)到了95.43%，對(duì)于運(yùn)動(dòng)傳感器行為的準(zhǔn)確率達(dá)到了93.78%，相對(duì)于RF 在觸控傳感器行為下的88.12%，以及XGBoost 在運(yùn)動(dòng)傳感器行為下的82.58%，SVM 表現(xiàn)出了優(yōu)越的分類能力.除此之外，KNN 和MLP 在運(yùn)動(dòng)傳感器行為上也表現(xiàn)出了較佳的性能，準(zhǔn)確率分別為93.99%和92.16%.我們猜測(cè)由于XGBoost 適用于大規(guī)模訓(xùn)練數(shù)據(jù)的場(chǎng)景，因而在本次實(shí)驗(yàn)中，訓(xùn)練數(shù)據(jù)僅有數(shù)百條下，效果欠佳僅為82.58%.

表2 中另外的觀察是觸控傳感器行為比運(yùn)動(dòng)傳感器行為的認(rèn)證準(zhǔn)確率高，最小的差距為2%，最大為6%，說(shuō)明觸控傳感器行為在用戶間更具有判別力.除此之外，圖4對(duì)比了觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為在不同分類器下不同運(yùn)動(dòng)狀態(tài)準(zhǔn)確率.從圖中我們可以看出，觸控傳感器行為在不同的運(yùn)動(dòng)狀態(tài)下相對(duì)比較穩(wěn)定，而運(yùn)動(dòng)傳感器行為在步行運(yùn)動(dòng)狀態(tài)下的準(zhǔn)確率明顯高于坐著時(shí)的準(zhǔn)確率.

圖4 兩種行為在不同分類器下不同運(yùn)動(dòng)狀態(tài)準(zhǔn)確率對(duì)比圖

表2 坐立和步行以及不區(qū)分運(yùn)動(dòng)狀態(tài)情況下，觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為在不同分類器下認(rèn)證的準(zhǔn)確率

3.1.4 多模態(tài)認(rèn)證評(píng)估

我們使用上述實(shí)驗(yàn)所有分類器中表現(xiàn)最好的SVM進(jìn)行雙模態(tài)認(rèn)證實(shí)驗(yàn).圖5 展示了觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為的合法用戶和非法用戶決策分?jǐn)?shù)分布.可以看出，觸控傳感器行為認(rèn)證的合法用戶和非法用戶的得分的分離程度更大，因而觸控傳感器行為在計(jì)算融合決策分?jǐn)?shù)時(shí)占據(jù)更高的權(quán)重，根據(jù)融合公式最終計(jì)算的權(quán)重比為0.52:0.48.

圖5 兩種傳感器行為的合法用戶和非法用戶決策得分分布

圖6 展示了觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為以及它們的融合之后的ROC.可以看出，融合之后的ROC 略好于觸控傳感器行為，EER 從觸控傳感器行為的3.467%降低到了3.08%，其準(zhǔn)確率從95.43%上升到了97.19%.除此之外，運(yùn)動(dòng)傳感器行為的EER 只有5.763%，兩種行為融合之后EER降低了2.7%.圖7顯示了隨著觸屏操作次數(shù)增加，認(rèn)證準(zhǔn)確率也隨之提高.同時(shí)，也可以看出，兩種行為的融合均優(yōu)于單行為的認(rèn)證效果.

圖6 單模態(tài)和多模融合ROC曲線對(duì)比

圖7 多次觸屏操作下單模態(tài)和多模態(tài)準(zhǔn)確率對(duì)比

3.2 自適應(yīng)模型評(píng)估

3.2.1 可行性分析

我們對(duì)用戶手機(jī)使用歷史數(shù)據(jù)進(jìn)行了持續(xù)一周的收集，對(duì)于每一個(gè)用戶，當(dāng)他/她使用一個(gè)應(yīng)用程序時(shí)，我們記錄當(dāng)前使用環(huán)境的上下文信息，包括地理位置和當(dāng)前使用的應(yīng)用程序名稱，同時(shí)要求每位用戶根據(jù)自己的需求將所有使用的應(yīng)用程序分為不重要、重要、極其重要三類.

針對(duì)獲取的數(shù)據(jù)，我們首先統(tǒng)計(jì)了用戶的位置軌跡以及應(yīng)用程序的使用情況.圖8 展示了其中三位用戶在使用手機(jī)時(shí)地理位置的分布情況.從圖中可看出，用戶1 和用戶2 近80%的時(shí)間在地點(diǎn)1 和地點(diǎn)2，據(jù)調(diào)查發(fā)現(xiàn)這兩個(gè)地點(diǎn)分別是居住的地方（家或者宿舍）和學(xué)習(xí)工作的地方，而用戶3 地理位置分布比較均勻，這是由于在采集數(shù)據(jù)的一周內(nèi)，用戶3由于工作需要在外出差，因此居住地和工作的地點(diǎn)不屬于自己日常生活的一部分，但是前兩個(gè)地點(diǎn)也占40%.表3 展示了相應(yīng)的三位用戶使用應(yīng)用程序的頻次分布.從表中可以了解到，每個(gè)用戶平均每周使用前5 個(gè)應(yīng)用程序占比77%.根據(jù)分析，我們可以看出，用戶趨向于在熟悉的地方以及經(jīng)常使用少數(shù)固定的應(yīng)用程序，因此我們采用這兩種上下文特征來(lái)表征上下文安全水平是可行且可靠的.

圖8 三個(gè)不同用戶使用手機(jī)地理位置統(tǒng)計(jì)

表3 用戶使用最多的十個(gè)應(yīng)用程序以及它們占比

3.2.2 自適應(yīng)模型評(píng)估

通過(guò)4.1.4節(jié)的實(shí)驗(yàn)，我們可以發(fā)現(xiàn)，觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為在融合之后可以提高安全性的同時(shí)提升認(rèn)證能力.但是，雙模態(tài)融合在數(shù)據(jù)收集和處理等過(guò)程也會(huì)帶來(lái)額外的能耗開銷.

由于觸控傳感器行為在觸屏操作過(guò)程中發(fā)生，因此它的能量消耗是不可避免的，而運(yùn)動(dòng)傳感器行為屬于額外的能耗.因此，我們使用性能與功耗測(cè)試工具Trepn Profile來(lái)監(jiān)視不同手機(jī)下運(yùn)動(dòng)傳感器行為在數(shù)據(jù)收集和特征提取過(guò)程中電池消耗情況，我們持續(xù)運(yùn)行了數(shù)據(jù)收集和特征提取程序3 個(gè)小時(shí)進(jìn)行測(cè)試.該程序可以收集包括加速度計(jì)、陀螺儀以及磁力計(jì)在內(nèi)的運(yùn)動(dòng)傳感器的三維數(shù)據(jù)并進(jìn)行特征提取，數(shù)據(jù)采樣頻率為100 Hz.測(cè)試結(jié)果如表4所示，從表中可以看出，持續(xù)地對(duì)運(yùn)動(dòng)傳感器進(jìn)行數(shù)據(jù)收集和處理是一項(xiàng)耗能的工作.

表4 不同手機(jī)下運(yùn)動(dòng)傳感器在3個(gè)小時(shí)的數(shù)據(jù)收集過(guò)程中電池消耗情況（單位：mAh）

綜合4.1.3 節(jié)與4.1.4 節(jié)實(shí)驗(yàn)，可以發(fā)現(xiàn)，相比于運(yùn)動(dòng)傳感器行為，觸控傳感器行為的認(rèn)證能力更好，不同運(yùn)動(dòng)狀態(tài)下的魯棒性更強(qiáng)，且?guī)?lái)的額外開銷更小.根據(jù)我們?cè)诘?節(jié)提出的自適應(yīng)模型，可以僅在需要高強(qiáng)度的持續(xù)認(rèn)證時(shí)同時(shí)使用兩種行為的融合，而在一般情況下單獨(dú)使用基于單模態(tài)的持續(xù)認(rèn)證以達(dá)到節(jié)省能耗的目的，可采用觸控傳感器行為作為此情況下的認(rèn)證手段.

根據(jù)收集的數(shù)據(jù)，我們對(duì)提出的自適應(yīng)系統(tǒng)進(jìn)行評(píng)估.實(shí)驗(yàn)中，為了計(jì)算式（6），我們根據(jù)用戶的劃分，將不重要的應(yīng)用程序的保護(hù)程度v值設(shè)置為1，重要的應(yīng)用程序v值設(shè)置為2，極其重要的應(yīng)用程序v值設(shè)置為3.閾值選擇為0.6.本文考慮的是低耗能的基于觸控傳感器行為的持續(xù)認(rèn)證和高耗能但更安全的基于觸控傳感器行為和運(yùn)動(dòng)傳感器行為的持續(xù)認(rèn)證.根據(jù)收集的數(shù)據(jù)進(jìn)行實(shí)驗(yàn)后表明，采用了自適應(yīng)系統(tǒng)之后，所有用戶平均54.85%的時(shí)間不需要采用高強(qiáng)度的多模融合持續(xù)認(rèn)證.

3.3 相關(guān)文獻(xiàn)對(duì)比評(píng)估

表5 列出了本文方案與相關(guān)文獻(xiàn)的觸屏認(rèn)證方案對(duì)比細(xì)節(jié).從表中可以看出，文獻(xiàn)［4］為基于觸控傳感器的單模行為認(rèn)證，其不需要額外的能耗來(lái)源，但其認(rèn)證能力相比于本文方案中雙模融合較差；文獻(xiàn)［6］為基于運(yùn)動(dòng)傳感器的單模行為認(rèn)證，其不僅認(rèn)證能力低，而且還忽略了能耗問(wèn)題；而文獻(xiàn)［7］是兩種行為的融合認(rèn)證，但是該文獻(xiàn)的認(rèn)證能力最低，并且未采用自適應(yīng)手段來(lái)應(yīng)對(duì)多模認(rèn)證帶來(lái)的系統(tǒng)復(fù)雜性和能耗的增加.綜合考慮下，本文方案具有較好的適應(yīng)性，更有利于觸屏持續(xù)認(rèn)證系統(tǒng)的推廣應(yīng)用.

表5 方案對(duì)比（能耗占比為能耗來(lái)源在整個(gè)認(rèn)證過(guò)程的時(shí)間占比）

4 結(jié)論

針對(duì)行為認(rèn)證易受外界環(huán)境影響且可能遭受模仿攻擊和統(tǒng)計(jì)攻擊的問(wèn)題，本文首先融合觸屏?xí)r觸控傳感器行為和運(yùn)動(dòng)傳感器行為進(jìn)行雙模態(tài)認(rèn)證，以此來(lái)提高對(duì)外界環(huán)境的魯棒性以及增加攻擊難度來(lái)增強(qiáng)安全性.另一方面考慮到雙模態(tài)認(rèn)證系統(tǒng)相對(duì)于單模態(tài)認(rèn)證系統(tǒng)的復(fù)雜性以及觸屏?xí)r運(yùn)動(dòng)傳感器行為持續(xù)對(duì)包括加速度計(jì)、陀螺儀和磁力計(jì)在內(nèi)的傳感器進(jìn)行數(shù)據(jù)采集和處理分析帶來(lái)大量的CPU 資源和電量消耗.本文提出了一個(gè)自適應(yīng)觸屏持續(xù)認(rèn)證方案，可以根據(jù)上下文自適應(yīng)地選擇認(rèn)證強(qiáng)度，通過(guò)避免使用觸屏?xí)r運(yùn)動(dòng)傳感器行為認(rèn)證達(dá)到降低認(rèn)證系統(tǒng)復(fù)雜性以及能耗的目的，實(shí)驗(yàn)表明該方案在提供足夠設(shè)備安全性的同時(shí)使能耗降低50%以上.