无感认证

随着互联网和移动智能终端的普及,移动环境下人们的生活需求(购物、美食、娱乐等)不断被挖掘。与此同时,移动环境下的黑产活动愈发猖獗,支付漏洞和隐私威胁不断曝出。身份认证是保护用户支付安全和隐私安全的重要手段。

身份认证是安全领域经久不衰的研究方向。它的发展经历了4个阶段:

1、Something you know,只有你知道的信息,如:密码;

2、Something you have,只有你拥有的东西,如:ID卡;

3、Something you are,你唯一的生物特征,如:指纹、虹膜;

4、Something you do,你的行为模式证明了“你就是你”。
在这里插入图片描述
键盘输入行为、屏幕滑动行为、传感器行为等等这些日常生活中的行为,通过这些行为数据,可勾勒出一个用户的行为模式。行为模式是一种被动的、不打扰用户使用的认证方式,对正常用户是一种无感认证。

无感认证,即在移动环境下,利用用户的行为数据来证明用户的身份是否为用户本人。用户使用的设备和周围的服务会根据用户自然的言行举止来识别用户的身份,这个过程不需要记忆任何密码、也不需要从手机上查看任何验证码。由此可见,无感认证可能是未来认证发展的重要方向,也是目前学术界及工业界热门的研究领域。

论文“You Are How You Touch: User Verification on Smartphones via Tapping Behaviors”,针对使用移动设备的键盘输入行为进行身份认证进行了研究。用户进行键盘输入时会有自己独特的行为模式,在敲击力度、触键时长、角度偏好等多个维度分析出用户键盘输入的特点。

论文从触键时长的维度阐述了用户的行为模式。图中横纵坐标分别表示时间戳/敲击的次数。图中的实心点代表键盘按下的时间戳,空心点代表键盘抬起的时间戳。文中指出,多次键盘输入行为中,不同用户的触键时长会在一个固定时间上下波动。收集到足够的用户键盘输入行为,就能有效表达用户独特的击键行为模式,从而实现对用户的身份认证。文中还讨论了传感器和击键行为结合的行为模式挖掘。将键盘按下、键盘抬起等特定时间点的传感器值变化作为用户键盘行为一个维度的表达。
在这里插入图片描述
论文“Recognizing the Operating Hand and the Hand-Changing Process for User Interface Adjustment on Smartphones”,针对用户在操作移动设备活动中的操作手和操作手势检测进行研究。一般用户在操作移动设备的过程中,会有惯用的操作手;在特定的应用情境下,用户也会使用惯用的操作手势。利用用户操作手和操作手势的习惯行为模式,就能够对当前操作用户进行身份认证。

下图出自上面提到的论文,在移动环境下,对用户常用的惯用手势作了总结。用户的惯用手分为右手和左手2种。

用户操作移动设备的手势有5种:

1、右手单手操作;

2、右手持设备,左手操作;

3、双手操作;

4、左手持设备,右手操作;

5、左手单手操作。

利用移动设备的传感器数据检测惯用手势变化的步骤:

1、收集加速度以及陀螺仪传感器的三维(x轴/y轴/z轴)数据;

2、基于端点检测的分割算法,对传感器数据进行数据处理;

3、对处理得到的数据进行特征提取;

4、对提取的特征进行降维和筛选;

5、使用DTW算法来计算传感器数据的变化程度,进一步得到惯用手势是否发生了变化。
在这里插入图片描述
专利“DEVICE, SYSTEM, AND METHOD OF DETECTING USER IDENTITY BASED ON INTER-PAGE AND INTRA-PAGE NAVIGATION PATTERNS”,是公司bioCatch对移动环境下无感认证的方法概述。公司bioCatch是一家以色列网络安全企业,致力于为银行等金融机构提供有效的欺诈保护,同时向泛互联网环境输出身份认证等安全能力。

专利中对滑动行为及滑动轨迹进行了研究。(下图出自上述专利)

图1中,收集用户的滑动轨迹,并以屏幕的x/y轴上像素的变化构建二次平面,尝试以多项式曲线来拟合用户的滑动轨迹。通过计算多项式曲线的参数,来区分不同用户的滑动轨迹。

图2中,对用户的横向滑动轨迹进行收集,表明横向滑动中,滑动的距离、角度和时间等维度与用户的行为模式密切相关,这是用户身份认证的重要手段。
图1
在这里插入图片描述
图2
在这里插入图片描述
学术界和工业界对基于用户行为的无感认证都进行了丰富而全面的研究和实践。同时,基于用户行为的无感认证也面临着一系列的挑战亟待解决。

1)海量用户行为数据的深入挖掘。随着移动设备和传感器的普及,用户的行为包含了丰富而多样的数据。数据中包含了“可标致用户”的数据,也包含了大量“不可标致用户”的无用数据。如何从丰富的行为数据内涵中,提取出用户行为模式的特征表达,这是一个需要进一步挖掘的方向。

2)用户行为的多样性变化。一般来说,用户的行为不会一成不变。特定的情境下,用户的行为会发生变化。例如:用户的手指受伤,则会带来用户行为的一系列变化,这需要我们的模型不断学习用户的行为模式。此外,特定的情境下,用户的行为也不尽相同。同样使用移动设备浏览信息,用户认真点击阅读信息、漫无目的随意查看信息、拥挤的场所快速浏览信息等不同状态下的行为也不一致,这些行为如何用于用户行为模式的表达还需要研究。

3)安全和用户隐私的博弈。安全与用户的隐私密切相关,基于用户行为的无感认证依赖于的用户行为数据,进一步无感认证的打扰率也和用户行为收集的丰富度密切相关,而丰富细粒度的行为数据也会一定程度上侵犯了用户的隐私安全。安全和用户隐私之间的博弈问题,伴随着技术的发展,在未来也会是大家持续关注的问题之一。

无感认证是一个非常具有前景的研究和发展方向,在落地过程中也充满着机遇和挑战。作者对于无感认证的发展进行了思考:由于用户行为的内涵十分丰富,丰富的内涵也需要丰富的表达,无感认证依赖于联合多维度行为模式挖掘,通过集体智慧打造用户全生命周期的认证链路,也可能是一种发展方向。

版权声明:本文为匿名原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接: