Implicit Authentication on Mobile Devices.pdf

1、隨著移動電話，筆記本電腦，掌上電腦，PDA等移動設備的不斷普及，越來越多的人選擇用其存儲和訪問信息。然而，由于使用環(huán)境缺乏保護和安全機制，導致無線設備容易受到偷聽或者非法訪問。因此，用戶認證作為保護移動設備訪問安全的重要技術(shù)，對其認證方法和機制的要求正在不斷提高。隨之而來的是對認證費用，硬件設備，應用程序和認證機制要求的不斷提高。
　　目前，廣泛使用的認證方法是直接認證方法，例如，在啟動時，通過請求一個口令，一個指紋，或者一個臉部

2、輪廓等等來執(zhí)行一次認證。這些方法都是間歇性的并且容易受到偷取口令或者利用授權(quán)用戶的開放賬戶的攻擊。在認證領域中，大部分研究人員都認為單一的認證方法不可能成功提供有效的安全服務，而現(xiàn)有的認證方法和機制通常有幾個方面的缺點。例如，傳統(tǒng)的認證方法無法有效應用于移動設備；現(xiàn)有的認證方法容易受到安全威脅；以及移動設備上很難執(zhí)行復雜的安全策略等等。為了克服移動設備認證機制中的這些缺點，本文采用基于用戶使用模式的間接認證策略，將其作為直接認證方法的有

3、益補充，進而加強身份認證機制的安全性。
　　本文提出的基于用戶使用模式的間接身份認證機制，是根據(jù)用戶使用習慣而定義的。其根據(jù)是用戶在使用移動設備上網(wǎng)過程中擁有很多獨特的行為特征，間接認證通過觀察這些行為特征能夠進行用戶身份的識別。身份認證過程中，通過合并在常規(guī)操作中的用戶行為，可以加強設備的安全并降低錯誤數(shù)據(jù)的錄入。目前，基于用戶特征的身份標識和認證方法是身份認證研究領域的一個重要方向。每一個用戶在和設備交互時都有自己的獨特習慣，

4、當觀察一段時間，這種習慣便可以用于定義用戶的行為模式。在身份認證過程中，用戶的這種行為模式就成為區(qū)別個體用戶的關鍵參數(shù)。例如，用戶對某一網(wǎng)站的訪問次數(shù)，訪問時間，使用的應用程序，在網(wǎng)上和哪些用戶共享了什么內(nèi)容，以及其登陸和退出網(wǎng)絡的時間都可以作為其行為模式的參數(shù)進行觀察和記錄。本文所提出的基于用戶使用模式的間接身份認證機，通過在一定時間段內(nèi)監(jiān)測用戶行為，從而建立用戶行為模型參數(shù)，通過計算當前用戶行為于行為模型間的相似度進而確定用戶身份的

5、合法性。本文提出的方法能夠和直接認證方法相結(jié)合進行用戶身份的認證，進而提高用戶身份認證的準確度和安全性。
　　A.1用戶行為模式及分類
　　目前通用的用戶行為模式包括以下幾個方面：
　　用戶什么時候開始使用移動設備?他/她什么時候登入或者退出?
　　時間模式：用戶使用設備的時間?這些收集的數(shù)據(jù)將會顯示用戶在設備上所花費的時間，如果這些時間超過了正常所需要的，則會認為出現(xiàn)了入侵者。
　　應用：用戶有沒有使用應

6、用程序或網(wǎng)站?如果數(shù)據(jù)顯示用戶沒有使用或訪問網(wǎng)站，而這些記錄數(shù)據(jù)顯示一些網(wǎng)站已經(jīng)被訪問，那么只能說明入侵者已經(jīng)入侵系統(tǒng)。
　　頻繁使用的端口是什么?
　　頻繁使用的協(xié)議是什么?
　　頻繁使用的設備地址是什么?
　　因為每一個用戶都有不同與其他用戶的行為模式，為了鑒別并為每一個用戶構(gòu)建出唯一的模型，本文將采用以上幾類通用的行為模式定義用戶行為，并通過用戶行為鑒別合法和非法用戶。在基于用戶行為上建立一個基準或一個屬性

7、去定義每一個用戶，并通過收集用戶移動設備的使用模式和比較用戶的當前行為是否和以前的行為一致來鑒別用戶身份。用戶行為模式的定義主要通過在某段時間內(nèi)對用戶行為的精確觀察和監(jiān)控。在身份認證中，認證服務器通過對比用戶當前行為和已建立的用戶行為模式參數(shù)，實現(xiàn)用戶身份的認證和鑒別。本文提出的基于用戶使用模式的間接身份認證方法通過比較當前用戶行為和以往行為模式的相似性來確定用戶身份，如果相似性在可接受的范圍內(nèi)，那么用戶可以被認為是合法用戶；但是如果相

8、似性超出可接受的范圍，則認為用戶并不是他自己所聲稱的，即非法用戶。
　　本文提出的間接認證方法包含了現(xiàn)有通用行為模式的各個方面，并使用各類子組件幫助收集用戶行為信息。例如，利用用戶提交認證信息的認證服務器收集用戶行為信息；利用登錄管理服務器追蹤并記錄用戶近期獲取的網(wǎng)絡資源(如電子郵件服務，網(wǎng)站服務)。本文使用Snare和PAL(Performanee Analysis of Logs)獲取用戶登錄信息，使用BuddyWay and

9、 Mologogo跟蹤移動設備狀態(tài)，利用WEKA工具在記錄信息的基礎上分析并生成用戶基本行為描述，然后將數(shù)據(jù)轉(zhuǎn)發(fā)到用戶行為分析器并執(zhí)行以下三個任務：
　　1.為一個給定的用戶建立基本行為描述。這個基本行為必須是給定用戶的真實行為。這個行為也被稱為過去行為。
　　2.為每一個給定的用戶建立一個當前行為。
　　3.為每一個給定的用戶比較過去行為和當前的行為。
　　筆者使用幾個觀察的特征去定義用戶，如移動設備的編號，使

10、用的應用程序，設備的位置(接入點的使用)和IP地址。為了進一步闡述這個概念，我們要考慮用戶一般會使用的設備的頻繁度，他經(jīng)常使用哪一個應用程序，大部分的時間里他頻繁使用哪一個端口，用戶一般把時間花費在移動設備的哪一些方面等等。在系統(tǒng)中為每一個用戶生成一個新的屬性來模擬用戶的行為模式。一個用戶的行為模式是基于九種類型的數(shù)據(jù)而建成，并通過結(jié)合不同的數(shù)據(jù)類型進行描述。在用戶的行為模式中的每一種類型數(shù)據(jù)可能不相同。在系統(tǒng)模式中每一個用戶使用一個查

11、表，這個查表包含了對應最近歷史記錄的歷史字符串。為了獲得準確的認證行為相似度，本文提出的方法將對給定用戶的最近行為而非過去行為相匹配和比較，具體過程如下所述：
　　第一步：獲取用戶模式并把其當做輸入進行使用
　　第二步：用異常檢測器來比較最近行為和過去行為
　　第三步：通過比較后異常檢測器計算出認證相似度
　　第四步：寫出報告并將其交給安全分析員
　　本文提出的方法通過分析用戶的過去行為建立用戶的特征行為模

12、式。通過設計相似度比較算法計算用戶當前行為和其特征行為模式的相似度值，進而為實時環(huán)境下的身份認證提供依據(jù)。為了擁有更廣泛的適應性，認證分數(shù)閾值可以根據(jù)不同的網(wǎng)絡而進行調(diào)整，這取決于網(wǎng)絡是否受到威脅。
　　A.2用戶行為定義和相似度計算
　　行為相似度值是給定用戶的過去行為和最近行為匹配參數(shù)的總數(shù)。這個數(shù)值用于顯示用戶的合法性，以及作為傳統(tǒng)直接認證的方法的有益補充。以下定義給出用戶行為的參數(shù)及其描述。
　　用戶A的過去行

13、為：
　　(序號，MAC地址，IP，端口，位置，用戶名，時間，協(xié)議，應用程序)
　　用戶A的最近行為：
　　(序號，MAC地址，IP，端口，位置，用戶名，時間，協(xié)議，應用程序)
　　其中，給定用戶的最近行為是指用戶當前的行為特征，然而過去行為是指已經(jīng)被監(jiān)控了一段相當長的時間內(nèi)的用戶行為特征。
　　為了計算行為相似度值，要為給定用戶的過去行為和最近行為進行相應的參數(shù)匹配(在這種情況下是用戶A)，并按照如表A.

14、1的標準計算用戶的行為相似度：
　　表A.1用戶行為相似度計算標準
　　用戶A的行為參數(shù)行為參數(shù)匹配行為參數(shù)不匹配用戶身份標識身份標識相似性=1身份標識相似性=0MAC地址的相似性 MAC地址的相似性=1 MAC地址的相似性=0IP的相似性 IP地址的相似性1 IP地址的相似性=0端口的相似性端口的相似性=1端口的相似性=0位置的相似性位置的相似性=1位置的相似性=0用戶名的相似性用戶名的相似性=1用戶名的相似性=0時間的相

15、似性時間的相似性=1時間的相似性=0協(xié)議的相似性協(xié)議的相似性=1協(xié)議的相似性=0應用程序的相似性應用程序的相似性=1應用程序的相似性=0用戶行為相似度值=序號的相似性+MAC地址的相似性+IP的相似性+端口的相似性+位置的相似性+用戶名的相似性+時間的相似性+協(xié)議的相似性+應用程序的相似性。
　　為了對合法用戶進行分類，本文所提出的方法對最近行為和過去行為的相似性進行了測量?；谶@些閾值把行為相似度值分成了3類。這些閾值可以根據(jù)被

16、保護網(wǎng)絡的性質(zhì)來進行調(diào)整。分類為：
　　合法用戶(8—9)：這種分類包含了最可信用戶。
　　最少可疑性(4—7)：這種分類包含了適度可信的用戶。
　　最大可疑性(0—3)：這種分類包含了可信程度最低的用戶。
　　A.3身份認證系統(tǒng)及其有效性分析
　　為了驗證本文提出的基于用戶使用模式的間接身份認證機制的有效性，文章最后采用實驗評估了其性能。系統(tǒng)收集了如表A．1中所描述的30個用戶的數(shù)據(jù)。這30個用戶被分成了

17、3組。如，用戶組1，用戶組2和用戶組3。值得注意的是，在每一個用戶組中有不同類型的用戶(最可信的用戶，適度可信的用戶，可信程度最低的用戶)，從而驗證系統(tǒng)分類的準確性。從文章最后的實驗結(jié)果中可以看到，本文所提出的方法能夠準確區(qū)分在三組(用戶組1，用戶組2和用戶組3)中不同用戶的類型?？尚懦潭茸畹偷挠脩舸砉粽呋蚍欠ㄓ脩?，可以直接拒絕訪問；適度可信的用戶可能包含有非法的用戶行為，可以對其持續(xù)檢測；而最可信的用戶是最合法的用戶，直接允許其訪

18、問網(wǎng)絡資源。
　　在本文所提出的基于用戶使用模式的間接身份認證機制的基礎上，還開發(fā)了一個用于用戶行為分析和身份鑒別的認證系統(tǒng)，通過實驗顯示該系統(tǒng)能夠成功的分開用戶的三種類型。在每一個用戶組中，最可信的用戶代表了最多數(shù)量的用戶而可信度最低的用戶在每一個用戶組中時最少的，這一結(jié)果符合當前網(wǎng)絡用戶狀態(tài)。另外，該系統(tǒng)僅用1分鐘就核實了30個用戶的合法或非法性，具有較高的認證效率，能夠用于大型的網(wǎng)絡中的身份認證。最后，系統(tǒng)在每一個用戶組中記

19、錄的精度至少達到80％，具有較高的精確度。此外，該系統(tǒng)的使用不需要修改任何應用程序和硬件設備。
　　綜上所述，本文的創(chuàng)新點主要包含以下幾個方面：
　　1.提出了一種基于用戶使用模式的間接身份認證方法，通過檢測和分析9類用戶行為，建立用戶行為模型，并通過計算用戶行為相似度對用戶身份進行分類和認證；
　　2.提出了一種有效的用戶行為模式分析方法，在用戶行為相似度計算結(jié)果的基礎上，對用戶行為進行分類，并以此分類為依據(jù)，區(qū)分用