Implicit Authentication on Mobile Devices.pdf

1、隨著移動(dòng)電話，筆記本電腦，掌上電腦，PDA等移動(dòng)設(shè)備的不斷普及，越來(lái)越多的人選擇用其存儲(chǔ)和訪問(wèn)信息。然而，由于使用環(huán)境缺乏保護(hù)和安全機(jī)制，導(dǎo)致無(wú)線設(shè)備容易受到偷聽(tīng)或者非法訪問(wèn)。因此，用戶認(rèn)證作為保護(hù)移動(dòng)設(shè)備訪問(wèn)安全的重要技術(shù)，對(duì)其認(rèn)證方法和機(jī)制的要求正在不斷提高。隨之而來(lái)的是對(duì)認(rèn)證費(fèi)用，硬件設(shè)備，應(yīng)用程序和認(rèn)證機(jī)制要求的不斷提高。
　　目前，廣泛使用的認(rèn)證方法是直接認(rèn)證方法，例如，在啟動(dòng)時(shí)，通過(guò)請(qǐng)求一個(gè)口令，一個(gè)指紋，或者一個(gè)臉部

2、輪廓等等來(lái)執(zhí)行一次認(rèn)證。這些方法都是間歇性的并且容易受到偷取口令或者利用授權(quán)用戶的開(kāi)放賬戶的攻擊。在認(rèn)證領(lǐng)域中，大部分研究人員都認(rèn)為單一的認(rèn)證方法不可能成功提供有效的安全服務(wù)，而現(xiàn)有的認(rèn)證方法和機(jī)制通常有幾個(gè)方面的缺點(diǎn)。例如，傳統(tǒng)的認(rèn)證方法無(wú)法有效應(yīng)用于移動(dòng)設(shè)備；現(xiàn)有的認(rèn)證方法容易受到安全威脅；以及移動(dòng)設(shè)備上很難執(zhí)行復(fù)雜的安全策略等等。為了克服移動(dòng)設(shè)備認(rèn)證機(jī)制中的這些缺點(diǎn)，本文采用基于用戶使用模式的間接認(rèn)證策略，將其作為直接認(rèn)證方法的有

3、益補(bǔ)充，進(jìn)而加強(qiáng)身份認(rèn)證機(jī)制的安全性。
　　本文提出的基于用戶使用模式的間接身份認(rèn)證機(jī)制，是根據(jù)用戶使用習(xí)慣而定義的。其根據(jù)是用戶在使用移動(dòng)設(shè)備上網(wǎng)過(guò)程中擁有很多獨(dú)特的行為特征，間接認(rèn)證通過(guò)觀察這些行為特征能夠進(jìn)行用戶身份的識(shí)別。身份認(rèn)證過(guò)程中，通過(guò)合并在常規(guī)操作中的用戶行為，可以加強(qiáng)設(shè)備的安全并降低錯(cuò)誤數(shù)據(jù)的錄入。目前，基于用戶特征的身份標(biāo)識(shí)和認(rèn)證方法是身份認(rèn)證研究領(lǐng)域的一個(gè)重要方向。每一個(gè)用戶在和設(shè)備交互時(shí)都有自己的獨(dú)特習(xí)慣，

4、當(dāng)觀察一段時(shí)間，這種習(xí)慣便可以用于定義用戶的行為模式。在身份認(rèn)證過(guò)程中，用戶的這種行為模式就成為區(qū)別個(gè)體用戶的關(guān)鍵參數(shù)。例如，用戶對(duì)某一網(wǎng)站的訪問(wèn)次數(shù)，訪問(wèn)時(shí)間，使用的應(yīng)用程序，在網(wǎng)上和哪些用戶共享了什么內(nèi)容，以及其登陸和退出網(wǎng)絡(luò)的時(shí)間都可以作為其行為模式的參數(shù)進(jìn)行觀察和記錄。本文所提出的基于用戶使用模式的間接身份認(rèn)證機(jī)，通過(guò)在一定時(shí)間段內(nèi)監(jiān)測(cè)用戶行為，從而建立用戶行為模型參數(shù)，通過(guò)計(jì)算當(dāng)前用戶行為于行為模型間的相似度進(jìn)而確定用戶身份的

5、合法性。本文提出的方法能夠和直接認(rèn)證方法相結(jié)合進(jìn)行用戶身份的認(rèn)證，進(jìn)而提高用戶身份認(rèn)證的準(zhǔn)確度和安全性。
　　A.1用戶行為模式及分類
　　目前通用的用戶行為模式包括以下幾個(gè)方面：
　　用戶什么時(shí)候開(kāi)始使用移動(dòng)設(shè)備?他/她什么時(shí)候登入或者退出?
　　時(shí)間模式：用戶使用設(shè)備的時(shí)間?這些收集的數(shù)據(jù)將會(huì)顯示用戶在設(shè)備上所花費(fèi)的時(shí)間，如果這些時(shí)間超過(guò)了正常所需要的，則會(huì)認(rèn)為出現(xiàn)了入侵者。
　　應(yīng)用：用戶有沒(méi)有使用應(yīng)

6、用程序或網(wǎng)站?如果數(shù)據(jù)顯示用戶沒(méi)有使用或訪問(wèn)網(wǎng)站，而這些記錄數(shù)據(jù)顯示一些網(wǎng)站已經(jīng)被訪問(wèn)，那么只能說(shuō)明入侵者已經(jīng)入侵系統(tǒng)。
　　頻繁使用的端口是什么?
　　頻繁使用的協(xié)議是什么?
　　頻繁使用的設(shè)備地址是什么?
　　因?yàn)槊恳粋€(gè)用戶都有不同與其他用戶的行為模式，為了鑒別并為每一個(gè)用戶構(gòu)建出唯一的模型，本文將采用以上幾類通用的行為模式定義用戶行為，并通過(guò)用戶行為鑒別合法和非法用戶。在基于用戶行為上建立一個(gè)基準(zhǔn)或一個(gè)屬性

7、去定義每一個(gè)用戶，并通過(guò)收集用戶移動(dòng)設(shè)備的使用模式和比較用戶的當(dāng)前行為是否和以前的行為一致來(lái)鑒別用戶身份。用戶行為模式的定義主要通過(guò)在某段時(shí)間內(nèi)對(duì)用戶行為的精確觀察和監(jiān)控。在身份認(rèn)證中，認(rèn)證服務(wù)器通過(guò)對(duì)比用戶當(dāng)前行為和已建立的用戶行為模式參數(shù)，實(shí)現(xiàn)用戶身份的認(rèn)證和鑒別。本文提出的基于用戶使用模式的間接身份認(rèn)證方法通過(guò)比較當(dāng)前用戶行為和以往行為模式的相似性來(lái)確定用戶身份，如果相似性在可接受的范圍內(nèi)，那么用戶可以被認(rèn)為是合法用戶；但是如果相

8、似性超出可接受的范圍，則認(rèn)為用戶并不是他自己所聲稱的，即非法用戶。
　　本文提出的間接認(rèn)證方法包含了現(xiàn)有通用行為模式的各個(gè)方面，并使用各類子組件幫助收集用戶行為信息。例如，利用用戶提交認(rèn)證信息的認(rèn)證服務(wù)器收集用戶行為信息；利用登錄管理服務(wù)器追蹤并記錄用戶近期獲取的網(wǎng)絡(luò)資源(如電子郵件服務(wù)，網(wǎng)站服務(wù))。本文使用Snare和PAL(Performanee Analysis of Logs)獲取用戶登錄信息，使用BuddyWay and

9、 Mologogo跟蹤移動(dòng)設(shè)備狀態(tài)，利用WEKA工具在記錄信息的基礎(chǔ)上分析并生成用戶基本行為描述，然后將數(shù)據(jù)轉(zhuǎn)發(fā)到用戶行為分析器并執(zhí)行以下三個(gè)任務(wù)：
　　1.為一個(gè)給定的用戶建立基本行為描述。這個(gè)基本行為必須是給定用戶的真實(shí)行為。這個(gè)行為也被稱為過(guò)去行為。
　　2.為每一個(gè)給定的用戶建立一個(gè)當(dāng)前行為。
　　3.為每一個(gè)給定的用戶比較過(guò)去行為和當(dāng)前的行為。
　　筆者使用幾個(gè)觀察的特征去定義用戶，如移動(dòng)設(shè)備的編號(hào)，使

10、用的應(yīng)用程序，設(shè)備的位置(接入點(diǎn)的使用)和IP地址。為了進(jìn)一步闡述這個(gè)概念，我們要考慮用戶一般會(huì)使用的設(shè)備的頻繁度，他經(jīng)常使用哪一個(gè)應(yīng)用程序，大部分的時(shí)間里他頻繁使用哪一個(gè)端口，用戶一般把時(shí)間花費(fèi)在移動(dòng)設(shè)備的哪一些方面等等。在系統(tǒng)中為每一個(gè)用戶生成一個(gè)新的屬性來(lái)模擬用戶的行為模式。一個(gè)用戶的行為模式是基于九種類型的數(shù)據(jù)而建成，并通過(guò)結(jié)合不同的數(shù)據(jù)類型進(jìn)行描述。在用戶的行為模式中的每一種類型數(shù)據(jù)可能不相同。在系統(tǒng)模式中每一個(gè)用戶使用一個(gè)查

11、表，這個(gè)查表包含了對(duì)應(yīng)最近歷史記錄的歷史字符串。為了獲得準(zhǔn)確的認(rèn)證行為相似度，本文提出的方法將對(duì)給定用戶的最近行為而非過(guò)去行為相匹配和比較，具體過(guò)程如下所述：
　　第一步：獲取用戶模式并把其當(dāng)做輸入進(jìn)行使用
　　第二步：用異常檢測(cè)器來(lái)比較最近行為和過(guò)去行為
　　第三步：通過(guò)比較后異常檢測(cè)器計(jì)算出認(rèn)證相似度
　　第四步：寫(xiě)出報(bào)告并將其交給安全分析員
　　本文提出的方法通過(guò)分析用戶的過(guò)去行為建立用戶的特征行為模

12、式。通過(guò)設(shè)計(jì)相似度比較算法計(jì)算用戶當(dāng)前行為和其特征行為模式的相似度值，進(jìn)而為實(shí)時(shí)環(huán)境下的身份認(rèn)證提供依據(jù)。為了擁有更廣泛的適應(yīng)性，認(rèn)證分?jǐn)?shù)閾值可以根據(jù)不同的網(wǎng)絡(luò)而進(jìn)行調(diào)整，這取決于網(wǎng)絡(luò)是否受到威脅。
　　A.2用戶行為定義和相似度計(jì)算
　　行為相似度值是給定用戶的過(guò)去行為和最近行為匹配參數(shù)的總數(shù)。這個(gè)數(shù)值用于顯示用戶的合法性，以及作為傳統(tǒng)直接認(rèn)證的方法的有益補(bǔ)充。以下定義給出用戶行為的參數(shù)及其描述。
　　用戶A的過(guò)去行

13、為：
　　(序號(hào)，MAC地址，IP，端口，位置，用戶名，時(shí)間，協(xié)議，應(yīng)用程序)
　　用戶A的最近行為：
　　(序號(hào)，MAC地址，IP，端口，位置，用戶名，時(shí)間，協(xié)議，應(yīng)用程序)
　　其中，給定用戶的最近行為是指用戶當(dāng)前的行為特征，然而過(guò)去行為是指已經(jīng)被監(jiān)控了一段相當(dāng)長(zhǎng)的時(shí)間內(nèi)的用戶行為特征。
　　為了計(jì)算行為相似度值，要為給定用戶的過(guò)去行為和最近行為進(jìn)行相應(yīng)的參數(shù)匹配(在這種情況下是用戶A)，并按照如表A.

14、1的標(biāo)準(zhǔn)計(jì)算用戶的行為相似度：
　　表A.1用戶行為相似度計(jì)算標(biāo)準(zhǔn)
　　用戶A的行為參數(shù)行為參數(shù)匹配行為參數(shù)不匹配用戶身份標(biāo)識(shí)身份標(biāo)識(shí)相似性=1身份標(biāo)識(shí)相似性=0MAC地址的相似性 MAC地址的相似性=1 MAC地址的相似性=0IP的相似性 IP地址的相似性1 IP地址的相似性=0端口的相似性端口的相似性=1端口的相似性=0位置的相似性位置的相似性=1位置的相似性=0用戶名的相似性用戶名的相似性=1用戶名的相似性=0時(shí)間的相

15、似性時(shí)間的相似性=1時(shí)間的相似性=0協(xié)議的相似性協(xié)議的相似性=1協(xié)議的相似性=0應(yīng)用程序的相似性應(yīng)用程序的相似性=1應(yīng)用程序的相似性=0用戶行為相似度值=序號(hào)的相似性+MAC地址的相似性+IP的相似性+端口的相似性+位置的相似性+用戶名的相似性+時(shí)間的相似性+協(xié)議的相似性+應(yīng)用程序的相似性。
　　為了對(duì)合法用戶進(jìn)行分類，本文所提出的方法對(duì)最近行為和過(guò)去行為的相似性進(jìn)行了測(cè)量?；谶@些閾值把行為相似度值分成了3類。這些閾值可以根據(jù)被

16、保護(hù)網(wǎng)絡(luò)的性質(zhì)來(lái)進(jìn)行調(diào)整。分類為：
　　合法用戶(8—9)：這種分類包含了最可信用戶。
　　最少可疑性(4—7)：這種分類包含了適度可信的用戶。
　　最大可疑性(0—3)：這種分類包含了可信程度最低的用戶。
　　A.3身份認(rèn)證系統(tǒng)及其有效性分析
　　為了驗(yàn)證本文提出的基于用戶使用模式的間接身份認(rèn)證機(jī)制的有效性，文章最后采用實(shí)驗(yàn)評(píng)估了其性能。系統(tǒng)收集了如表A．1中所描述的30個(gè)用戶的數(shù)據(jù)。這30個(gè)用戶被分成了

17、3組。如，用戶組1，用戶組2和用戶組3。值得注意的是，在每一個(gè)用戶組中有不同類型的用戶(最可信的用戶，適度可信的用戶，可信程度最低的用戶)，從而驗(yàn)證系統(tǒng)分類的準(zhǔn)確性。從文章最后的實(shí)驗(yàn)結(jié)果中可以看到，本文所提出的方法能夠準(zhǔn)確區(qū)分在三組(用戶組1，用戶組2和用戶組3)中不同用戶的類型?？尚懦潭茸畹偷挠脩舸砉粽呋蚍欠ㄓ脩?，可以直接拒絕訪問(wèn)；適度可信的用戶可能包含有非法的用戶行為，可以對(duì)其持續(xù)檢測(cè)；而最可信的用戶是最合法的用戶，直接允許其訪

18、問(wèn)網(wǎng)絡(luò)資源。
　　在本文所提出的基于用戶使用模式的間接身份認(rèn)證機(jī)制的基礎(chǔ)上，還開(kāi)發(fā)了一個(gè)用于用戶行為分析和身份鑒別的認(rèn)證系統(tǒng)，通過(guò)實(shí)驗(yàn)顯示該系統(tǒng)能夠成功的分開(kāi)用戶的三種類型。在每一個(gè)用戶組中，最可信的用戶代表了最多數(shù)量的用戶而可信度最低的用戶在每一個(gè)用戶組中時(shí)最少的，這一結(jié)果符合當(dāng)前網(wǎng)絡(luò)用戶狀態(tài)。另外，該系統(tǒng)僅用1分鐘就核實(shí)了30個(gè)用戶的合法或非法性，具有較高的認(rèn)證效率，能夠用于大型的網(wǎng)絡(luò)中的身份認(rèn)證。最后，系統(tǒng)在每一個(gè)用戶組中記

19、錄的精度至少達(dá)到80％，具有較高的精確度。此外，該系統(tǒng)的使用不需要修改任何應(yīng)用程序和硬件設(shè)備。
　　綜上所述，本文的創(chuàng)新點(diǎn)主要包含以下幾個(gè)方面：
　　1.提出了一種基于用戶使用模式的間接身份認(rèn)證方法，通過(guò)檢測(cè)和分析9類用戶行為，建立用戶行為模型，并通過(guò)計(jì)算用戶行為相似度對(duì)用戶身份進(jìn)行分類和認(rèn)證；
　　2.提出了一種有效的用戶行為模式分析方法，在用戶行為相似度計(jì)算結(jié)果的基礎(chǔ)上，對(duì)用戶行為進(jìn)行分類，并以此分類為依據(jù)，區(qū)分用