目录
摘要
随着移动智能终端的发展和普及,更多用户在智能手机、平板等移动终端上进行支付、转账、存储个人信息等活动。为了提高用户使用移动智能终端的安全性和便利性,目前移动智能终端身份认证的发展趋向于持续认证。首先,回顾了现有基于移动智能终端的身份认证工作;其次,整理了目前主流的性能评估指标和产业界应用;最后,对持续身份认证在移动智能终端中亟待解决的问题以及发展趋势进行了总结和探讨。
关键词: 移动智能终端; 持续认证; 性能评估指标
0 引言
随着计算机处理能力和存储容量的迅速发展[1],移动智能终端设备在人们的日常生活中发挥着重要的作用。移动智能终端设备不再局限于通话、短信等传统功能,支付、购物、在线社交、短视频浏览等创新功能给用户带来便利的同时也很大程度增加了用户对于移动智能终端设备的依赖,用户在移动智能终端设备中关联各种银行卡信息以便进行支付、转账等金钱交易。同时,移动智能终端设备中也存储许多私人和敏感信息,如照片、账号、聊天记录、通话记录等,通过移动智能终端设备进行金钱交易以及在移动智能终端设备上存放个人信息非常高效、便捷,但也使得数据容易受到网络攻击[2]。因此,为防止私人信息泄露,保护数据安全,设计一个有效的身份认证方法至关重要。
1 身份认证分类
如今,各类身份认证方法已经在移动智能终端设备上广泛使用,这些方法可以分为接口式身份认证和持续身份认证两类(见图1)。
图1
图1 身份认证分类
本文首先介绍了现有的接口式身份认证和持续身份认证工作,并对持续身份认证工作的方法进行了详细阐述,其次分析、对比了现有的持续身份认证数据集以及方法,最后对基于移动智能终端的持续身份认证的研究进展、面临的挑战以及应用前景进行了探讨和展望。
1.1 接口式身份认证
移动智能终端中的接口式身份认证系统是目前常用、便捷的身份验证方式,用户在第一次登录使用移动智能终端时会进行一次认证,之后整个使用期间都不会再次认证。接口式身份认证主要分为基于知识的接口式身份认证和基于生物特征识别技术的接口式身份认证两类。
1.1.1 基于知识的接口式身份认证
基于知识的接口式身份认证是最流行的验证用户身份的方法,如在移动支付期间要求用户明确地输入认证信息,如密码、个人身份识别号码(Personal Identification Number,PIN)和图形锁等[3-4]。由于各种移动智能终端设备和在线服务创造了无数密码,记住所有密码给用户带来不便。因此,用户倾向于设立简单的密码或在多个服务中重复使用相同的密码,这使得其密码更容易泄露或被窃取[5]。Aviv等[6]分析了安卓手机的密码输入模式,通过提取用户输入完密码后屏幕上残留的污渍,获取了相应密码。Amin等[7]研究发现2D图形序列相较于文本密码更容易被破解,其原因在于40%的用户会从图形的左上角设计图形序列,且大部分用户只使用9个图形点中的5个点。Shukla等[8]则调研了用户输入密码的手部视频,观察视频中手部的空间运动与手机任何可见部分的锚点的相关联性,可以高精度地预测输入的密码。
1.1.2 基于生物特征识别技术的接口式身份认证
基于生物特征识别技术的接口式身份认证是一种根据用户独有的生物学特征,如指纹、人脸、虹膜等进行认证的方法[9]。这种方法不需要用户明确地输入认证信息,具有更快的认证速度,但仍然存在大量的安全隐患。在面对涉及前沿人工智能技术的攻击时,生物特征识别的安全性会受到威胁。攻击者可能通过修改生物特征来攻击识别系统。例如,攻击者通过对指纹图像进行微小的修改或篡改,来欺骗指纹识别系统。Bontrager等[10]通过生成对抗网络生成的指纹图像,对先进的指纹认证系统具有最高75%的成功入侵率。例如,攻击者通过使用印刷或数字照片,来欺骗人脸识别系统。Erdogmus等[11]通过构建定制的不同3D人脸面具数据集,成功入侵多套人脸识别系统。这种攻击方式也被称为照片攻击或活体检测攻击,旨在绕过系统对真实人脸的要求。对于虹膜识别系统,Czajka等[14]设计了一种带有纹理的眼睛来模仿人类的虹膜,该方法对于基于支持向量机(Support Vector Machine,SVM)的虹膜认证系统具有95%的入侵成功率。
1.2 持续身份认证
接口式身份认证方式容易被入侵的主要原因是在用户初次登录、验证通过后,整个使用期间不再进行二次验证。一旦入侵者盗取了密码或人脸等认证数据并成功入侵系统,系统将无法再对该入侵者进行有效防御。为解决上述问题,持续身份认证开始受到业界的高度关注,这一新兴认证方式的出现,旨在解决现有接口式身份认证不能时刻认证用户身份的不足之处[13]。持续身份认证也被称为“隐性、透明或渐进”的认证,通过比较当前的用户行为和注册用户的行为模板,实时、持续验证设备的操作用户是否为设备的注册用户。与接口式身份认证相比,持续身份认证会在用户整个会话活动中持续进行身份验证,直到锁定设备。持续身份认证是提高移动智能终端安全性和隐私性的新选择。
如图2所示,持续身份认证系统的框架与人脸识别系统相似,分为注册阶段与认证阶段。在注册阶段,用户需要主动提供与手机的交互数据,如触屏数据、击键数据、传感器数据等。持续身份认证系统对用户提供的数据进行预处理及特征提取后,将之作为注册模板存储于云端或本地端。当持续身份认证系统进入认证阶段,手机会自动采集与用户的交互数据,经预处理和特征提取后,该特征文件将与之前存储的注册模板进行比对,以验证用户的身份。
图2
图2 持续身份认证系统框架
1.2.1 持续身份认证评价指标
错误接受率(False Acceptance Rate,FAR)和错误拒绝率(False Rejection Rate,FRR)是持续身份认证系统广泛应用的评价指标。FAR是冒名顶替者被错误地识别为合法用户的概率,而FRR 则表示合法用户被错误地识别为冒名顶替者的概率。为了平衡持续身份认证系统中的两种误差类型,引入了相等错误率(Equal Error Rate,EER)来预先确定FAR等于FRR的阈值。EER是普遍应用的系统性能总体衡量标准,EER越低表示持续身份认证系统的准确性越高。准确率(Accuracy,ACC)表示认证正确的样本占总样本的比例,准确率越高持续身份认证系统的准确性越高。曲线下面积(Area Under Curve,AUC)为受试者工作特性曲线(Receiver Operating Characteristic Curve,ROC)下的面积,取值范围为0~1。AUC值越大,表示身份认证系统在区分真实用户和假冒者方面的性能越好。当AUC为0.5时,表示身份认证系统的分类性能等同于随机猜测,而当AUC为1时,则表示身份认证系统具有完美的分类能力。
选取ACC、FAR、FRR和EER作为持续身份认证系统的评价指标主要基于以下几方面原因。
(1)考虑错误类型:在持续身份认证中,有误接受(系统错误地接受非法用户)和误拒绝(系统错误地拒绝合法用户)两种关键的错误类型需要考虑。这些错误对于持续身份认证系统的安全性和用户体验都至关重要,而FAR和FRR能够量化这两种错误,并提供对系统的全面评估。
(2)平衡错误:FAR和FRR能够在不同阈值设置下对平衡错误提供帮助。通过调整阈值,可以在FAR和FRR之间进行权衡,找到适当的平衡点,以达到系统性能的要求。
(3)EER应用的意义:EER是FAR和FRR相等时的错误率,表示了在平衡FAR和FRR时的最佳性能水平。EER提供了一个单一的指标,可以用于比较不同系统的性能。较低的EER值表示系统在同时控制误接受和误拒绝方面取得了较好的性能。
(4)ACC应用的意义:ACC可以帮助评估身份认证系统的整体识别准确性。系统的任务就是准确地识别用户的身份,如果准确率高,意味着系统能够较准确地区分真实用户和假冒者,提供可靠的身份认证服务。
(5)AUC应用的意义:AUC的计算过程中只关注真实用户和假冒者的排序关系,而不依赖于具体的分类阈值选择。因此AUC可以更全面地评估身份认证系统的能力,不受单个阈值选择的限制。
最低0.47元/天 解锁文章
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
