楊建強 方磊

摘要： 在移動設(shè)備（特別是手機）上輸入密碼是非常麻煩的。隨著越來越多的人使用移動設(shè)備訪問Internet服務(wù)，或者從事移動商務(wù)活動，人們希望能夠簡化身份認(rèn)證操作。為此，提出一種新的身份認(rèn)證方法——隱式認(rèn)證，它直接利用用戶使用設(shè)備的習(xí)慣來認(rèn)證用戶，免除了用戶輸入密碼的麻煩；給出了可用于隱式認(rèn)證的數(shù)據(jù)及其來源，探討了可用于隱式認(rèn)證的具體方法和隱式認(rèn)證的系統(tǒng)體系結(jié)構(gòu)。所述技術(shù)對于隱式認(rèn)證的進(jìn)一步研究和應(yīng)用具有實際意義。

關(guān)鍵詞： 隱式認(rèn)證； 移動設(shè)備； 多模態(tài)； 入侵檢測方法

中圖分類號：TP181文獻(xiàn)標(biāo)志碼：A文章編號：1006-8228（2012）03-07-03

Implicit authentication based on user habits of using mobile device

Yang Jianqiang, Fang Lei

（School of Mathematics and Computer Science， Xiangfan University, Xiangfan， Hubei 441053， China）

Abstract： It is very troublesome to enter the password on mobile devices (especially cell phones). As more people use mobile devices to access Internet services, or engage in mobile commerce, people want to simplify the authentication operation. The authors present in this paper an implicit authentication method, which authenticates the user based on the users habits of using their devices, and eliminates the trouble of entering password. In this paper, the data for implicit authentication and their sources are given, the specific methods for implicit authentication and the system architecture are discussed. This paper is significant for further research and practical applications of implicit authentication.

Key words： Implicit Authentication; Mobile Device; Multi-modal; Intrusion Detection Method

0 引言

隨著能夠訪問Internet的移動設(shè)備（特別是智能手機）的大規(guī)模市場普及，越來越多的人開始使用移動設(shè)備上網(wǎng)，訪問Internet上的各種服務(wù)，或者從事移動商務(wù)活動。Internet上的許多服務(wù)需要驗證用戶的身份，比如訪問電子郵件、登錄博客/空間等。

Internet上目前最常見的認(rèn)證方法是驗證用戶名/密碼對。這種方法存在著一些弱點，有時并不可靠。因此，在重要的電子商務(wù)中通常采用具有高可靠性的認(rèn)證方法，比如使用具有安全I(xiàn)D的設(shè)備并配合密碼進(jìn)行的雙要素認(rèn)證。這種認(rèn)證方法已經(jīng)成為業(yè)界標(biāo)準(zhǔn)。不管怎樣，目前得到廣泛采用的認(rèn)證方法通常都把密碼作為一個必要的因素。

我們知道，在桌面電腦上輸入密碼很容易，但是，在輸入界面受到限制的移動設(shè)備上輸入密碼卻比較麻煩。根據(jù)國外一項對iPhone、BlackBerry手機用戶的市場調(diào)查，有40%的用戶平均每天輸入一次密碼，在10次密碼輸入中，有56%的用戶至少有一次輸入錯誤。用戶發(fā)現(xiàn)在移動設(shè)備上輸入密碼甚至比網(wǎng)絡(luò)覆蓋不足、設(shè)備屏幕過小以及較差的語音質(zhì)量更糟糕。因此，隨著訪問Internet的移動設(shè)備的增多，人們希望有一種新的認(rèn)證方法，它不需要用戶的參與或者只需要用戶很少的參與就能夠完成認(rèn)證。

本文提出一種新的認(rèn)證方法，它不需要用戶輸入密碼，而是利用所觀察到的用戶行為來認(rèn)證用戶，或者說利用用戶使用移動設(shè)備的習(xí)慣來認(rèn)證用戶，我們稱這種方法為隱式認(rèn)證。盡管隱式認(rèn)證能夠應(yīng)用到任何類型的計算機上，不過我們認(rèn)為它更適用于移動設(shè)備—那些通常具有有限的文字輸入能力，卻能夠訪問豐富信息的計算機，比如智能手機。

我們認(rèn)為，成熟的隱式認(rèn)證技術(shù)將至少有如下三個方面的應(yīng)用：

⑴ 作為一種基本的認(rèn)證方法替代常見的密碼認(rèn)證，免除用戶輸入密碼的負(fù)擔(dān)。比如當(dāng)用戶通過移動設(shè)備訪問在線郵件或登錄博客/空間/論壇時，服務(wù)器利用隱式認(rèn)證技術(shù)完成對用戶身份的確認(rèn)，用戶不再需要輸入用戶名和密碼等登錄信息。很明顯，隱式認(rèn)證使得在移動設(shè)備上訪問這些服務(wù)更方便了。另外，隨著經(jīng)常使用的服務(wù)不斷增多，用戶需要記住很多的用戶名/密碼對，為了減輕記憶負(fù)擔(dān)，許多用戶可能在多個服務(wù)中使用相同的用戶名/密碼對，可能選擇容易記憶的密碼，有時候甚至把密碼隨便記在紙上。這會大大降低了密碼認(rèn)證的可靠性。因此，在這些場合下使用隱式認(rèn)證是非常合適的，它免除了用戶記憶密碼的負(fù)擔(dān)和輸入密碼的麻煩。另外，在那些使用密碼認(rèn)證的小額購物網(wǎng)站上也可以用隱式認(rèn)證來替代密碼認(rèn)證。

⑵ 隱式認(rèn)證可以作為常見的密碼認(rèn)證的補充，使得最終的認(rèn)證具有雙要素認(rèn)證的效果，更加安全可靠。無論用戶使用桌面電腦還是使用移動設(shè)備訪問Internet上的某些需要認(rèn)證身份的服務(wù)，用戶按常規(guī)方式輸入登錄信息（用戶名/密碼等），服務(wù)器同時利用隱式認(rèn)證技術(shù)來進(jìn)一步確認(rèn)用戶的身份，這就使得用戶的身份認(rèn)證更加可靠。因此這種認(rèn)證方法，既可以在那些大額購物網(wǎng)站上采用，也可以在移動商務(wù)服務(wù)，比如手機銀行、手機炒股、手機彩票、GPS位置服務(wù)、移動OA等移動商務(wù)服務(wù)上采用。

⑶ 為信用卡業(yè)務(wù)提供額外的擔(dān)保，防止欺詐事件的發(fā)生。對于信用卡詐騙或者信用卡丟失給用戶帶來損失的事件，如果用戶能夠利用信用卡隱式認(rèn)證作用戶身份認(rèn)證的補充，就可以在很大程度上減少用戶的損失。

1 隱式認(rèn)證的研究現(xiàn)狀

實際上，在桌面電腦以及其他一些強調(diào)安全的領(lǐng)域（如軍事、保密部門），已經(jīng)出現(xiàn)了一些類似“隱式認(rèn)證”的技術(shù)。比如一些采用生物特征識別技術(shù)的認(rèn)證方法，特別是基于擊鍵力度、節(jié)奏和打字模式的識別技術(shù)就更可以看成是隱式認(rèn)證技術(shù)[1]。因為這類技術(shù)是基于對用戶行為的持續(xù)觀察來認(rèn)證用戶身份的，這與我們提出的觀點一致。步態(tài)識別也屬于“隱式認(rèn)證”技術(shù)。步態(tài)識別是一種較新的生物特征識別技術(shù)，它根據(jù)人們的走路姿勢實現(xiàn)對個人身份的識別或生理、病理及心理特征的檢測[2]。在諸如軍事基地、停車場、機場、高檔社區(qū)等重要場所，步態(tài)識別不需要任何交互性接觸就可以實現(xiàn)遠(yuǎn)距離情況下的身份識別。有些學(xué)者嘗試綜合多種生物特征來識別用戶的身份，比如，一些研究工作嘗試結(jié)合多種生物特征識別結(jié)果以產(chǎn)生一個最終的認(rèn)證分?jǐn)?shù)，并根據(jù)認(rèn)證分?jǐn)?shù)來確定用戶身份的真實性程度[3]。所有這些基于生物特征識別技術(shù)的認(rèn)證方法都具有隱式認(rèn)證的特征—不需要用戶的參與或者只需要用戶很少的參與就能夠完成認(rèn)證。

并不是所有隱式認(rèn)證都與生物特征識別技術(shù)有關(guān)。基于用戶的位置來確定訪問權(quán)限的技術(shù)，很多公司或組織的系統(tǒng)采用了這樣的技術(shù)。如果員工在辦公室使用電腦，則允許其訪問公司內(nèi)部數(shù)據(jù)，而如果員工在家里使用電腦，則禁止訪問。這樣的系統(tǒng)顯然也具有隱式認(rèn)證的特征。

盡管上述“隱式”認(rèn)證技術(shù)目前在移動設(shè)備領(lǐng)域比較少見，不過已經(jīng)有很多人開始嘗試把它們應(yīng)用到移動領(lǐng)域。比如有學(xué)者嘗試基于移動設(shè)備的位置（GPS）來確定用戶對特定資源的訪問權(quán)限；有學(xué)者研究利用步態(tài)識別來檢測設(shè)備是否正在被其主人使用[4]；還有學(xué)者提出了多模態(tài)認(rèn)證方法，這種方法結(jié)合許多不同的、低可信度的生物識別信息流來產(chǎn)生一個持續(xù)的、對當(dāng)前用戶身份的正面肯定[5]。對于本文提出的、利用用戶使用移動設(shè)備的習(xí)慣來認(rèn)證用戶的隱式認(rèn)證方法，目前尚未有人研究。

2 基于用戶使用移動設(shè)備習(xí)慣的隱式認(rèn)證的技術(shù)分析

要進(jìn)行隱式認(rèn)證，必須要有用于認(rèn)證的數(shù)據(jù)。智能手機是目前使用用戶最多的、可訪問Internet的移動設(shè)備。對于智能手機來說，用于認(rèn)證的數(shù)據(jù)可以來自設(shè)備自身，也可以來自移動網(wǎng)絡(luò)運營商，甚至來自Internet。這些數(shù)據(jù)中，有些數(shù)據(jù)的來源可能有多個，而有些數(shù)據(jù)是設(shè)備特有的，依賴于特定的硬件類型和使用方式。

來自運營商的數(shù)據(jù)有：用戶設(shè)備所選擇的基站、用戶呼出/呼入的電話號碼及通話模式（通話時間、時間間隔等）、用戶發(fā)送/接收的短消息號碼及模式（時間、頻度等）、甚至用戶的語音數(shù)據(jù)、用戶訪問Internet的模式（如果用戶通過移動網(wǎng)絡(luò)訪問Internet，運營商可以通過檢查他們的DNS請求和網(wǎng)絡(luò)報文來知道他們的訪問模式）。來自設(shè)備自身的數(shù)據(jù)有：用戶撥打/接收的電話號碼以及發(fā)送/收到的短消息號碼、鬧鈴設(shè)置時間、用戶操作電子郵件的習(xí)慣、來自GPS的定位數(shù)據(jù)（如果設(shè)備具有GPS功能）、WiFi/藍(lán)牙連接/配對或USB連接數(shù)據(jù)（如果設(shè)備具有這些功能）、在WiFi中對一個已知的訪問點的認(rèn)證數(shù)據(jù)、設(shè)備與某個已知PC的同步情況、應(yīng)用程序的使用數(shù)據(jù)（比如瀏覽模式和安裝的軟件）、鍵盤輸入模式或語音數(shù)據(jù)、觸摸屏，獲得用戶的指紋等等。來自網(wǎng)絡(luò)的數(shù)據(jù)有：用戶訪問網(wǎng)絡(luò)服務(wù)的各種相關(guān)數(shù)據(jù)。

理論上，上述數(shù)據(jù)都可以作為認(rèn)證的依據(jù)，但認(rèn)證中考慮所有數(shù)據(jù)顯然是不現(xiàn)實的。另外，設(shè)備/用戶不同，用戶使用設(shè)備的習(xí)慣、訪問網(wǎng)絡(luò)的行為方式等也會不同。所以，可以用于刻畫用戶行為特征的數(shù)據(jù)也不盡相同。因此，實際用于認(rèn)證的數(shù)據(jù)最好是帶有普遍性的數(shù)據(jù)，而不是設(shè)備或用戶或網(wǎng)絡(luò)所特有的。

隱式認(rèn)證中可采用的認(rèn)證方法，我們認(rèn)為可以從如下兩個方面考慮：一是借鑒已有的“隱式認(rèn)證”技術(shù)，比如前面提到的多模態(tài)認(rèn)證方法；二是借鑒入侵檢測技術(shù)。目前有很多入侵檢測方法，有些檢測方法比較適合用于隱式認(rèn)證中。下面我們逐一探討。

基于多模態(tài)認(rèn)證方法的研究結(jié)果，我們初步構(gòu)想了一個隱式認(rèn)證方法，它利用前面提到的相關(guān)數(shù)據(jù)，根據(jù)用戶最近的行為或活動為每個用戶計算并維護(hù)一個認(rèn)證分?jǐn)?shù)。該方法根據(jù)事件（用戶行為）是正面的還是負(fù)面的來增加或減少用戶的認(rèn)證分?jǐn)?shù)。正面的事件如習(xí)慣性的行為，當(dāng)監(jiān)視到習(xí)慣性的事件的時候就增加認(rèn)證分?jǐn)?shù)；負(fù)面的事件指那些對于用戶來說并不常見的事件，或者與某種常見的攻擊行為相關(guān)聯(lián)的事件。當(dāng)認(rèn)證分?jǐn)?shù)下降超過了特定事件的閾值，該事件將不再被執(zhí)行，除非用戶顯式地、明確地認(rèn)證他自己，比如輸入密碼。正確的顯式認(rèn)證是一個正面事件，而失敗的顯式認(rèn)證是一個負(fù)面事件。圖1給出了這種方法中可以采用的機器學(xué)習(xí)算法框架。

[過去的

行為][學(xué)習(xí)算法] [評分算法][最近的

行為] [分?jǐn)?shù)] [用戶

類型]

圖1機器學(xué)習(xí)算法框架

圖1中，用戶模型是從用戶過去的行為獲得的，它能夠刻畫出用戶的個人行為模式。評分算法檢查用戶模型和用戶最近的行為，并輸出一個認(rèn)證分?jǐn)?shù)以指出用戶身份真實的可能性。方法中使用一個閾值對應(yīng)合法用戶分?jǐn)?shù)的最低值。閾值也可以因不同的應(yīng)用而有所不同，這取決于具體的應(yīng)用是否是安全敏感的。很明顯，此處用戶模型的正確創(chuàng)建和評分算法的合理設(shè)計是獲得準(zhǔn)確認(rèn)證分?jǐn)?shù)的關(guān)鍵，當(dāng)然也是準(zhǔn)確確定用戶身份是否合法的關(guān)鍵。

另外，隱式認(rèn)證可以借鑒的是入侵檢測技術(shù)中的方法。入侵檢測采用的方法通?？梢苑譃閮深悾赫`用檢測和異常檢測。誤用檢測需要首先定義入侵行為特征，然后監(jiān)視系統(tǒng)中是否出現(xiàn)了這樣的行為特征，當(dāng)監(jiān)測的用戶或系統(tǒng)行為與某個已定義的入侵特征匹配時，就認(rèn)為發(fā)生了入侵；異常檢測需要首先定義正常行為特征，當(dāng)用戶活動或系統(tǒng)行為與正常行為有重大偏離時即被認(rèn)為是入侵。很明顯，隱式認(rèn)證應(yīng)該采用誤用檢測方法，不同之處只是把定義入侵行為特征改成定義用戶的習(xí)慣行為特征。

常用的誤用檢測方法有基于條件概率的誤用入侵檢測、基于專家系統(tǒng)的誤用入侵檢測、基于狀態(tài)轉(zhuǎn)移的誤用入侵檢測、基于鍵盤監(jiān)控的誤用入侵檢測，以及基于模型的誤用入侵檢測等[6]幾種。以基于條件概率的誤用入侵檢測方法為例，該方法將入侵方式對應(yīng)于一個事件序列，然后通過觀測事件發(fā)生情況來推測入侵的出現(xiàn)。在隱式認(rèn)證中可以采用同樣的方法，把用戶的行為對應(yīng)于一個事件序列，然后通過觀測事件發(fā)生情況來推測用戶身份的真實性。這種方法的原理是利用外部事件序列，根據(jù)貝葉斯定理進(jìn)行推理判斷用戶身份的真實性。

令ES表示事件序列，先驗概率為P(Authentication)，后驗概率為P(ES|Authentication)，事件出現(xiàn)的概率為P(ES)，則

通?？梢越o出先驗概率P(Authentication)，對用戶行為報告數(shù)據(jù)進(jìn)行統(tǒng)計處理得出P(ES|Authentication)和P(ES|-Authentication)，于是可以計算出：

因此，可以通過對事件序列的觀測推算出P(Authentication|ES)，它表示當(dāng)事件序列ES發(fā)生后用戶身份真實的可能性。當(dāng)然，其他誤用檢測方法也都有應(yīng)用到隱式認(rèn)證中的可能。

實際上，即使已有的“隱式認(rèn)證”技術(shù)也或多或少采用了與入侵檢測技術(shù)相似或相同的方法，所以我們剛才提到的兩類可以借鑒的技術(shù)并非截然不同，而是存在著重疊或交叉。

3 隱式認(rèn)證系統(tǒng)體系結(jié)構(gòu)分析

認(rèn)證包括認(rèn)證結(jié)果的產(chǎn)生（認(rèn)證決斷）和認(rèn)證結(jié)果的使用（認(rèn)證消費）兩個方面。對于我們提出的隱式認(rèn)證，認(rèn)證的決斷者可以是設(shè)備本身，也可以是運營商或者其他可信的第三方。這通常與認(rèn)證所依賴的數(shù)據(jù)來源有關(guān)，另外，也可能與認(rèn)證結(jié)果的使用者和所采用的特定的隱式認(rèn)證方法有關(guān)。認(rèn)證的消費者包括：⑴ 移動設(shè)備（比如，設(shè)備可能需要首先確認(rèn)用戶的身份合法才允許使用某些特定的應(yīng)用）；⑵ 希望認(rèn)證用戶的服務(wù)提供者（這是很顯然的，如前面提到的電子郵件服務(wù)、博客/空間、論壇以及在線銀行站點）。如果認(rèn)證的決斷者是設(shè)備自身，保障認(rèn)證結(jié)果的完整性是很重要的，特別是當(dāng)認(rèn)證的消費者不是設(shè)備本身的時候，比如是Internet上的服務(wù)。此時，可以借助設(shè)備的SIM卡對認(rèn)證結(jié)果簽名，隨后把簽名后的數(shù)據(jù)發(fā)送到希望認(rèn)證用戶身份的服務(wù)提供者那里。這種方法既保護(hù)了用戶的隱私，又能夠防止對服務(wù)器的欺騙。不過，這種方法不能防止設(shè)備被盜時非法用戶以合法的方式使用該設(shè)備。也就是說，如果設(shè)備被盜，存儲在設(shè)備中的數(shù)據(jù)以及用戶的行為模式信息也可能被盜。非法用戶可能利用這些信息來模仿合法用戶。

鑒于運營商和移動用戶之間的信任關(guān)系以及自然的通信能力，運營商很適合作為認(rèn)證的決斷者，給出認(rèn)證結(jié)果。運營商也可能簡單地把數(shù)據(jù)提供給可信的第三方，委托第三方分析數(shù)據(jù)并做出認(rèn)證結(jié)論，此時第三方就是認(rèn)證決斷者。如果采用把數(shù)據(jù)報告給可信的第三方的方法，用戶的隱私將是一個需要關(guān)注的問題。解決這個問題的方法有：⑴從報告的數(shù)據(jù)中刪除可以辨識用戶身份的信息及重要數(shù)據(jù)；⑵使用別名替代真實的稱謂，比如，“電話號碼A，位置B，區(qū)號D”；⑶采用粗粒度數(shù)據(jù)或匯總數(shù)據(jù)，而非詳細(xì)精確的描述。

無論如何，隱式認(rèn)證的系統(tǒng)體系結(jié)構(gòu)是靈活的，這也決定了隱式認(rèn)證的應(yīng)用將是廣泛的。

4 結(jié)束語

在移動設(shè)備上使用隱式認(rèn)證，可以免除用戶記憶密碼的負(fù)擔(dān)和輸入密碼的麻煩，從而使用戶可更方便地訪問Internet上的服務(wù)。隱式認(rèn)證還可以和常見的密碼認(rèn)證一起使用，使得最終的認(rèn)證具有雙要素認(rèn)證的效果。隱式認(rèn)證甚至可以為信用卡業(yè)務(wù)提供額外的擔(dān)保。因此，對隱式認(rèn)證的研究是非常有意義的。本文提出了隱式認(rèn)證的概念，探討了可用于隱式認(rèn)證的具體方法和隱式認(rèn)證系統(tǒng)的體系結(jié)構(gòu)。目前，對隱式認(rèn)證的研究也只是剛開始，期待本文能起到拋磚引玉的作用。

參考文獻(xiàn)：

[1] 田啟川,張潤生.生物特征識別綜述[J].計算機應(yīng)用研究,2009.26

(12):4401~4406

[2] 王科俊,侯本博.步態(tài)識別綜述[J].中國圖象圖形學(xué)報,2007.12(7):1157~1160

[3] J. Bigun, J. Fierrez-Aguilar, J. Ortega-Garcia, and J.

Gonzalez-Rodriguez. Combining biometric evidence for person authentication[J]. Advanced Studies in Biometrics, 2005.

[4] D. Gafurov, K. Helkala, and T. S?ndrol. Biometric gait authenti cation using accelerometer sensor. JCP, 1(7):51~59,2006.

[5] R. Greenstadt and J. Beal. Cognitive security for personal devices[C].The First ACM Workshop on AISec,2008.

[6] 段云所,魏仕民,唐禮勇等.信息安全概論[M].高等教育出版社,2003.