面向移動終端的隱式身份認證機制綜述

徐國愚，苗許娜，張俊峰，姜濤，馬小飛

河南財經政法大學計算機與信息工程學院，鄭州450002

面向移動終端的隱式身份認證機制綜述

徐國愚，苗許娜，張俊峰，姜濤，馬小飛

河南財經政法大學計算機與信息工程學院，鄭州450002

1 引言

當前，以智能手機、智能手表為代表的移動終端已非常普及，移動辦公、移動支付等應用也被廣泛使用。但是，由于移動終端往往存儲有個人隱私或銀行賬戶信息，一旦丟失或者被盜，將會帶來巨大的安全風險。

身份認證機制能夠讓移動設備對使用者的身份進行認證，保證設備使用的安全性。常見的身份認證機制包括口令、生物特征（指紋、人臉等）識別以及智能卡。但是，現有面向移動終端的認證機制存在著以下幾個問題：首先，認證頻繁。每次喚醒設備時都需要進行認證，用戶即使查看天氣預報也需要進行認證；其次，輸入不便。移動設備輸入屏幕小，使得口令的輸入困難。上述問題導致部分用戶不愿設置任何認證機制，使得移動設備處于風險之中[1]。因此，有必要設計一種兼顧安全與便捷的認證方式，滿足移動用戶的需求。

隱式身份認證機制是指通過采集移動終端傳感器以及用戶行為等信息，通過算法識別出當前使用者的身份，可以避免頻繁使用口令、生物特征識別等顯式認證方式，且能夠對用戶進行持續不間斷的身份認證，因此能夠兼顧用戶的體驗度與設備的安全性[2]。

隱式身份認證的目的一般可以分為兩種維度：一種是提供可用性，即不需要用戶頻繁輸入口令；另一種是提供額外的安全性，例如用戶在輸入口令時，不僅對用戶口令的正確性進行驗證，而且對用戶輸入時的行為動作進行驗證，如果行為不一致則即使口令正確也不允許通過驗證。

目前，隱式身份認證得到了越來越多的關注，特別是在RSA 2017大會創新沙盒大賽中隱式身份認證技術脫穎而出，獲得了第一名的成績[3]。RSA創新沙盒大賽被譽為“安全界的奧斯卡”，每屆大賽都聚集了眾多創造性尖端技術，因此奪得桂冠的隱式身份認證技術具有重要的研究意義與應用前景。

本文對現有隱式身份認證技術的研究現狀進行介紹，第2章給出隱式身份認證的框架，第3章介紹設備數據采集的方式，第4、5章給出用戶分類算法以及訪問控制機制，第6章介紹機制所面臨的關鍵性安全問題，第7章是總結與展望。另外，為了后續描述方便，在本文中將口令、生物特征識別等機制統稱為顯式身份認證。

2 隱式身份認證框架

根據隱式身份認證實施的網絡位置，框架可以分為基于本地和基于網絡兩大類。下面對其分別進行介紹。

2.1 基于本地的隱式身份認證框架

文獻[4-6]等分別給出了基于本地的隱式身份認證框架，本文將上述框架進行綜合，給出了一個通用的框架，如圖1所示。

圖1 基于本地的隱式身份認證框架

框架底層為數據采集模塊，其通過采集手機數據源信息為用戶身份的認證提供原始數據輸入，并將收集到的數據發送給上一層認證決策模塊。認證決策模塊首先對數據進行預處理，之后采用用戶分類算法對數據進行綜合分析，給出當前設備使用者合法性的判斷。訪問控制模塊根據認證決策模塊的反饋結果對設備使用者的權限進行控制，根據訪問控制的粒度可以分為簡單判斷型和分級授權型兩大類。管理接口及策略配置模塊用于負責定義和管理安全策略，并且具有反饋機制，能夠幫助認證決策模塊根據用戶行為和環境的改變做出調整。

2.2 基于網絡的隱式身份認證框架

文獻[7-8]等提出了基于網絡的隱式身份認證框架，在該框架中將用戶身份認證功能從本地轉移至網絡中的認證代理處實現，通過該方式可以有效降低本地認證負擔，并通過多源信息收集提高認證的精度。

在該框架中，包括四個參與方：移動終端、應用服務器、認證代理和數據采集代理，如圖2所示。當移動終端需要向應用服務器請求服務時需要首先向認證代理進行身份認證，移動終端將自身的環境和軟件操作數據發送給數據采集代理，數據采集代理還可以從第三方處獲取移動終端信息（如在線日程應用等）。認證代理從數據采集代理獲取移動終端環境信息，并基于策略對移動終端進行認證。應用服務器可以根據客戶請求的服務（網絡讀取或者支付服務）提供認證策略給認證代理，并最終根據認證結果與移動終端建立會話。

圖2 基于網絡的隱式身份認證框架

2.3 兩種隱式身份認證框架的比較

兩種框架各有其優缺點?；诒镜氐碾[式身份認證框架的優點是：（1）不依賴網絡連通性，即使在沒有網絡連接的情況下也可以使用；（2）隱私性好，無需將用戶信息上傳至網絡。缺點是：對移動終端的資源消耗大，因為所有計算均在本地進行。

基于網絡的隱式身份認證框架的優點是：對本地資源消耗較小，因為可以將復雜算法運行在遠端數據采集代理；缺點是存在隱私泄露問題，因為需要將用戶的信息上傳至遠端代理。

在具體方案實現中，可以根據應用的環境與需求對上述兩種框架進行選擇和取舍。

3 數據采集

為判斷當前設備使用者是否為合法用戶，隱式身份認證機制需要根據移動終端當前的物理環境以及用戶操作行為來進行判斷，因此，第一步是利用數據采集模塊通過多種渠道采集信息。本章對數據采集類型進行了歸納，將其分為了五大類，并對數據采集所面臨的主要問題進行了探討。

3.1 數據采集類型

數據采集的來源主要包括設備傳感器、應用軟件以及網絡，可以通過這些數據來識別用戶身份。本文將其歸納為以下五種類型。

（1）設備位置數據。很多文獻認為設備位置對于隱式認證非常重要，相關機制通過設備當前位置數據來判斷設備所處環境的安全性，從而采取相應的安全認證機制。例如：當設備位于家中時是低風險級別，可以不采用任何顯式認證機制；當設備位于辦公室時是中等風險級別，可以采用中等顯式認證機制；當設備處于戶外或者陌生環境時認為是高風險級別，需要采用強顯式認證機制。

文獻[2，4，7，9-12]通過GPS信息來識別用戶當前位置以及移動路徑。文獻[2，4，9]通過識別可信第三方設備的WiFi信號、藍牙信號等識別認證設備的當前位置，這些信號可以作為GPS信號的補充。文獻[2，4]利用日程安排軟件，通過預期用戶的位置來判斷環境的安全性，例如設備在預期的時間內沒有出現在預期的地點，則說明設備可能處于高風險環境。文獻[13]利用加速計、觸摸屏、光感器、溫度及濕度傳感器檢測設備是否握在手中或者放在口袋里，若是則說明設備處于低風險環境，不需要重新認證。

上述數據采集的位置均位于本地。通過遠程數據也能夠獲取設備位置特征，例如基礎設施中的數據、云數據等。文獻[2，14]通過收集接入網絡的相關信息來識別設備的身份，可以實現遠端網絡對接入終端的身份識別，包括設備接入基站的信息（粗略位置）、IP地址等，并且可通過云日程安排等數據預測設備的預期位置。

（2）用戶觸摸行為數據。文獻[15-17]認為用戶在通過觸摸屏輸入口令、文字以及瀏覽網站時，每個用戶都用其獨特的輸入特征，通過采集這些數據可以識別合法用戶，并且能夠對用戶進行持續認證。采集的數據包括：擊鍵模式、手指壓力、觸摸尺寸、觸摸時間等。文獻[18-20]通過采集用戶拿起手機、使用應用程序、放下手機過程中的相關操作行為數據來識別用戶，數據采集來源包括運動和姿態傳感器，如加速計、陀螺儀、定位及磁傳感器等。

（3）系統使用數據。文獻[2，7]認為通過用戶對手機系統的使用數據可以識別出非法用戶，具體包括：通話模式、短消息、網站訪問記錄、軟件使用情況、當時使用軟件列表等。當相關數據發生顯著改變時，則說明設備可能被非法使用。

文獻[2，14]還通過收集接入網絡的相關信息來識別設備的身份，比如通過基站獲取相關設備的呼叫模式、語音數據、接入時間等。

（4）用戶生理數據。文獻[21]利用手機中的加速計傳感器，通過識別用戶步態來進行身份認證。文獻[22]針對可穿戴設備的輸入屏幕尺寸偏小，傳統的認證方式較難應用的問題，利用語音、指紋、心率、體溫、血壓等數據來識別用戶，其中心率、體溫、血壓等特別適合在可穿戴設備上應用。

（5）使用時間數據。文獻[7]認為隨著時間的流逝，設備的可信度會下降，需要重新進行顯式的認證。例如長時間未用，則表明設備的安全風險加大，需要重新進行顯式認證；而短時間頻繁使用設備，則設備的安全風險較小，因此不需要進行顯式認證。采集數據包括：最近一次認證成功時間、最近一次認證失敗時間、最近一次操作手機時間等。

在表1中對數據采集進行了歸納。

表1 數據采集分類

3.2 數據采集面臨的主要問題

相關文獻均根據自身機制的需要，采集上述信息中的一種或者多種數據來進行隱式認證。但是在數據采集源的選擇上還需考慮以下幾個問題：（1）本地與遠程數據采集源的選擇問題。一方面，本地數據（如設備GPS信號、用戶觸摸行為等）采集速度快、保密性好，但是消耗資源較大；另一方面，遠程數據（如接入基站、IP地址、云日程安排等）可以實現跨設備聯合認證，且消耗本地資源少，但存在著隱私泄露、采集信息不精確等問題。（2）計算與能耗問題。移動終端的計算與電力資源有限，因此需要重點考慮計算與能耗問題[23-24]。首先，采集的數據種類越多，判斷越準確，但是計算量與能耗也越大；其次，在同一類型數據收集中，不同信號的能量消耗也是不同的，比如GPS比WiFi信號精確但能耗也更大；最后，數據采集頻率越高則數據越精確，但能耗也大，所以需要根據應用場景進行綜合配置。

4 用戶分類算法

用戶分類算法（classifier）是認證決策模塊的核心，通過對多個認證源信息進行計算來劃分用戶，為用戶身份合法性的判斷提供決策信息。根據采用的種類，本文將算法分為兩類：（1）基于機器學習的用戶分類算法；（2）其他用戶分類算法。

4.1 基于機器學習的用戶分類算法

目前，大部分隱式認證文獻基于機器學習算法來進行用戶分類。

文獻[25]通過手指對屏幕的觸摸移動來認證一個用戶，文獻收集了手指觸摸行為的41種特征值，分別使用KNN以及SVM分類器來進行識別。實驗表明，手指滑動次數對于分類的正確性非常重要，且在一些特定應用場景中，使用SVM算法比KNN算法的正確率高約2%。

文獻[26]針對手指觸摸以及手指點擊操作等特征，使用SVM算法對用戶輸入口令時進行檢測，并且采用兩樣本K-S檢驗來選取區分明顯的特征值，算法正確率可以達到92.8%。文獻[27]同樣使用SVM算法，利用手指滑動特征對用戶進行分類，算法的FAR為15%，FRR為10%。

PRISM[4]的分類算法可分為兩層：在高層使用一種多視角貝葉斯網絡模型技術—HARD-BN，綜合利用多種底層算法來識別用戶環境及行為；在底層則針對用戶位置、動作、軟件使用等不同數據集采用不同算法來建模。例如針對用戶位置特征識別，PRISM采用KNN算法通過用戶GPS、GSM數據來識別家或者工作單位等粗粒度位置，采用決策樹算法通過WiFi BSSID以及RSSI來識別室內細粒度位置。

文獻[22]針對可穿戴設備，采用輕量級的高效分類器—隨機森林算法來進行分類，通過用戶的身體動作進行劃分，識別出正確的用戶。

文獻[28]提出了SmartYou系統，系統對用戶的分類分為兩步：首先，系統利用隨機森林算法對用戶使用環境進行識別，系統將用戶使用環境分為靜態和動態兩大類，通過識別用戶使用環境將有助于提高用戶分類的正確性。其次，系統利用核嶺回歸算法（Kernel Ridge Regressions，KRR）[29]對用戶進行分類，實驗表明其準確率為98.1%，性能優于SVM、線性回歸和樸素貝葉斯算法。

文獻[30]利用一種人工神經網絡算法—自適應神經模糊推理系統來進行身份認證，文獻通過算法的自學習能力來識別每個用戶的獨特行為特征，并且引入時間窗口以及異常反饋機制實現對用戶身份的實時監測，算法正確率達到95%。

2017年2月，在RSA 2017大會創新沙盒大賽中，UnifyID公司的隱式身份認證系統奪得桂冠，成為萬眾矚目的焦點。UnifyID系統采集100多種特征值，并綜合利用深度神經網絡、決策樹、貝葉斯網絡等機器學習算法自動尋找各個特征值之間的關聯來提高準確性，其正確拒絕率可以達到99.999%[31]。但是該系統目前仍處于開發階段，尚未發布商業產品。

4.2 其他用戶分類算法

文獻[16]利用動態時間規整算法（Dynamic Time Warping，DTW）來判斷使用者輸入開機圖形口令時的手勢是否正確，能夠與口令認證結合實現雙因素認證。DTW算法起源于語音識別領域，其能夠對兩組基于時間序列的數據進行比較，計算兩者的相似度。該文獻利用DTW將當前用戶的輸入特征與合法用戶樣本特征進行比較判斷，但實驗表明該方案的準確率僅為70%，錯誤拒絕率（False Rejection Rate，FRR）為19%，錯誤接受率（False Acceptance Rate，FAR）為21%。

文獻[20]提出了一種加權的多維動態時間規整決策算法。文獻采集用戶從拿起手機到喚醒手機這一過程的加速計以及陀螺儀的6個維度數據，對各個維度數據分別利用DTW算法進行計算，之后將結果進行加權求和，以提高決策的準確度。據文中顯示，該方案的準確率為96.3%，FAR為2.1%。

文獻[2]通過采集合法用戶的歷史系統使用數據，利用概率密度函數建立用戶行為模型，在用戶行為模型的基礎上根據用戶近期行為來計算設備信任值，當信任值低于閾值時則需要重新進行顯式認證。另外，信任值隨時間流逝逐漸降低，降低的速率則跟時間段有關，例如下午接打電話頻繁則信任值下降速率快，而午夜時段接打電話少，則下降速率慢。

文獻[15]通過采集用戶手指輸入口令時的手指點擊操作特征，通過計算測試階段與注冊階段各特征值間的差異分數來判斷用戶的合法性，如果差異分數大于閾值則判定為非法用戶，其中在計算差異分數將注冊階段各特征值的標準方差作為權重，保證變化幅度小的特征權值大。在該機制中，即使非法用戶輸入合法的口令也能夠拒絕其訪問設備，從而實現雙因素認證，彌補口令認證的缺陷。該方案的正確率為96.35%。

表2給出了各機制所使用的分類算法與實驗結果，其中數據采集類型指該機制采用了本文3.1節中的那些數據類型，n.a.表示文獻未給出該數據。

4.3 用戶分類算法面臨的主要問題

根據表2中各文獻的發表時間可以看出，在早期的研究中各學者使用的方法差別較大，而近幾年的文獻多采用機器學習算法來實現，其中SVM、KNN以及決策樹是使用最多的分類器[5，21，32-35]。但是上述機制還存在以下幾個問題：（1）由于針對不同的數據集，各種機器學習算法的效果差異很大，所以單一采用某一種算法無法適應所有場合，因此需要針對不同的數據甚至是不同的應用軟件采用不同的算法，但是，采用多種算法則對設備的資源提出了更高的要求，因此需要進行綜合考慮。（2）上述機制多在實驗環境下進行測試，效果較理想。但是在真實環境中使用，特別是隨著時間推移，用戶自身行為發生改變時，如何保證認證的準確性還有待進一步深入研究與驗證。

表2 分類算法總結

5 訪問控制機制

上述決策算法給出當前用戶身份合法性的判斷后，訪問控制模塊將采用訪問控制機制對當前用戶使用設備的權限進行控制，可以將機制分為簡單判斷與分級授權兩大類。

一是簡單判斷類型。采用簡單判斷類型的系統有文獻[2，7，15-16，25-26]。當系統發現用戶處于非安全環境（例如戶外）或者發現用戶行為異常則鎖定系統，要求用戶輸入口令解鎖，對用戶進行重新認證。

二是分級授權類型。文獻[4，5，9，13，19，32，36-37]等采用分級授權機制進行訪問控制。系統根據設備所處的環境以及當前使用軟件的安全等級采用不同強度的訪問控制機制，例如：音樂、導航程序的保密級別最低，在任何環境下都不用輸入口令；通信錄、短信、社交軟件等應用的保密級別中等，在安全環境中使用（如家中）不需要進行認證，在非安全環境下（如戶外）則需要進行認證。金融支付類等應用保密等級最高，不管在任何環境下都需要進行認證。另外，根據不同的環境可以要求用戶進行簡單口令認證或者復雜口令認證。

6 安全問題

隱式身份認證機制自身的安全性是一個非常重要的問題，本章重點介紹機制所面臨的兩個關鍵性的安全問題：模擬行為攻擊以及用戶隱私泄漏。

6.1 模擬行為攻擊問題

文獻[38-39]通過實驗發現現有的基于手指觸屏行為的隱式認證系統無法有效抵御模擬行為攻擊，具體包括肩窺和離線訓練攻擊。在文獻[25，40-41]中均假設攻擊者是外部人員，且根據自身的手指觸屏行為進行操作，在這種情況下，攻擊者的成功率均低于5%。但是上述文獻并未考慮攻擊者刻意練習并模擬攻擊的情況，在該文中假設攻擊者是用戶身邊的人，比如朋友、家人或室友，攻擊者可以通過肩窺的方式事先觀看到用戶觸屏行為，之后模擬用戶動作進行攻擊。另外，攻擊者還可以通過各種方法（如惡意軟件等）獲取用戶的原始觸屏行為數據，之后在其他機器上練習用戶的行為后，伺機發起攻擊。實驗表明，肩窺攻擊和離線訓練攻擊均具有很高的成功率。因此，單一靠某一種類型的傳感信息可能很難實現對用戶的準確認證，還需要通過結合地理位置等多種特征值來聯合進行判斷。

上述攻擊是針對基于本地的隱私身份認證機制的攻擊，基于網絡的隱式身份認證機制則面臨更多的問題，例如，如何保證用戶特征值在傳輸過程中安全性以及如何保證設備發送來的用戶特征值的真實性等問題。

6.2 用戶隱私泄漏問題

隱式身份認證需要通過各種傳感器以及軟件獲取用戶的特征信息，這些信息包含了大量用戶的隱私信息。基于本地的隱私認證機制可以通過加密等方法對本地信息進行存儲，安全風險相對較低，但是在基于網絡的隱式認證機制中，需要將相關信息上傳至網絡，由數據采集代理或者認證代理進行處理，因此如何在基于網絡的隱式認證機制中防止用戶隱私泄漏是一個關鍵性問題。

針對這一問題，文獻[42]提出了一種具有隱私保護的隱式認證機制。在該機制中，手機獲取用戶的多種特征值，將特征值通過同態加密算法[43]加密后上傳至認證代理，認證代理利用平均絕對離差（Average Absolute Deviation，AAD）和具有保持次序特性的對稱加密算法（Order Preserving Symmetric Encryption，OPSE）[44]計算出用戶特征值的總分數，據此來判斷用戶的合法性。由于同態加密算法以及OPSE可以在數據加密的情況下進行代數運算及排序操作，因此認證代理無法獲得用戶的真實特征值，實現了隱私保護。

但是，該機制的不足之處在于只能支持數值化的特征值，并且使用了兩種加密算法，復雜性較高。針對該問題，文獻[45]利用集合交運算來支持非數值化的特征值比較，并且只需要使用一種加密算法。但是該算法仍然只能對各個加密特征值進行簡單的集合運算比較，如何與機器學習等算法進行結合是一個需要探討的問題。

7 結束語

隱式身份認證機制能夠避免用戶頻繁輸入口令，并且能夠持續監測用戶的真實性，因此，可以在便捷性和安全性兩個維度上增強現有顯式認證機制。但是隱式身份認證機制目前還處于試驗階段，還需要進一步增強其識別的準確性和抗攻擊性，尚未有成熟的產品能夠使用。另外，隱式身份認證機制由于能夠實現設備對用戶身份的感知及識別，可以拓展應用到其他領域，如智慧城市、智能家居、預測移動計算等領域，能夠為用戶個性化服務提供身份識別功能，因此具有廣泛的應用前景。

[1] Siciliano R.Keeping your mobile devices safe from cyber threats[EB/OL].（2017-01-12）.https：//www.thebalance.com/keeping-mobile-devices-safe-from-cyber-threats-4122471.

[2] Jakobsson M，Shi E，Golle P，et al.Implicit authentication for mobile devices[C]//Proceedings of the 4th USENIX Conference on Hot Topics in Security，2009：9-19.

[3] 雷鋒網.RSA2017創新沙盒大贏家UnifyID到底是何方神圣?[EB/OL].（2017-02-15）.https：//baijiahao.baidu.com/s?id=1559388983765434&wfr=spider&for=pc.

[4] Ramakrishnan A，Tombal J，Preuveneers D，et al.PRISM：Policy-driven risk-based implicit locking for improving the security of mobile end-user devices[C]//International Conference on Advances in Mobile Computing and Multimedia，2015：365-374.

[5] Khan H，Atwater A，Hengartner U.Itus：An implicit authentication framework for android[C]//International Conference on Mobile Computing and Networking，2014：507-518.

[6] 黃海平，徐寧，王汝傳，等.物聯網環境下的智能移動設備隱式認證綜述[J].南京郵電大學學報：自然科學版，2016，36（5）：24-29.

[7] Chow R，Jakobsson M，Masuoka R，et al.Authentication in the clouds：A framework and its application to mobile users[C]//ACM Cloud Computing Security Workshop，2010：1-6.

[8] Lee W H，Lee R.Implicit smartphone user authentication with sensors and contextual machine learning[C]//International Conference on Dependable Systems and Networks，2017.

[9] Hayashi E，Das S，Amini S，et al.CASA：Context-aware scalable authentication[C]//Symposium on Usable Privacy and Security，2013：3-7.

[10] 李磊，周璟璐，陳靜，等.移動云計算中的上下文相關身份認證[J].計算機應用與軟件，2013（9）：96-99.

[11] Buthpitiya S，Zhang Y，Dey A K，et al.n-Gram geotrace modeling[C]//International Conference on Pervasive Computing，2011，6696（1）：97-114.

[12] Eagle N，Pentland A S.Eigenbehaviors：Identifying structure in routine[J].Behavioral Ecology and Sociobiology，2009，63（7）：1057-1066.

[13] Riva O，Qin C，Strauss K，et al.Progressive authentication：Deciding when to authenticate on mobile phones[C]//Proceedings of Usenix Security Symposium，2012.

[14] 郭佳鑫，黃曉芳，徐蕾.基于移動終端的多屬性決策隱式身份認證方法[J].西南科技大學學報，2016，31（4）：73-77.

[15] Zheng N，Bai K，Huang H，et al.You are how you touch：User verification on smartphones via tapping behaviors[C]//IEEE International Conference on Network Protocols，2014：221-232.

[16] Luca A D，Hang A，Brudy F，et al.Touch me once and I know it’s you!：Implicit authentication based on touch screen patterns[C]//Sigchi Conference on Human Factors in Computing Systems，2012：987-996.

[17] Gurary J，Zhu Y，Alnahash N，et al.Implicit authentication for mobile devices using typing behavior[C]//International Conference on Human Aspects of Information Security，Privacy，and Trust.[S.l.]：Springer，2016：25-36.

[18] Conti M，Zachia-Zlatea I，Crispo B.Mind how you answer me!：Transparently authenticating the user of a smartphone when answering or placing a call[C]//Proceedings of the 6th ACM Symposium on Information，Computer and Communications Security，2011：249-259.

[19] Zhu J，Wu P，Wang X，et al.SenSec：Mobile security through passive sensing[C]//International Conference on Computing，Networking and Communications，2013：1128-1133.

[20] Lee W H，Liu X，Shen Y，et al.Secure pick up：Implicit authentication when you start using the smartphone[C]//Proceedings of the 22nd ACM on Symposium on Access Control Models and Technologies，2017：67-78.

[21] Nickel C，Wirtl T，Busch C.Authentication of smartphone users based on the way they walk using KNN algorithm[C]//2012 Eighth International Conference on Intelligent Information Hiding and Multimedia Signal Processing，2012：16-20.

[22] Zeng Y.Activity-based implicit authentication for wearable devices：Ph.D.forum abstract[C]//International Conference on Information Processing in Sensor Networks，2016：27.

[23] Lee W H，Lee R B.Multi-sensor authentication to improve smartphonesecurity[C]//InformationSystemsSecurity and Privacy（ICISSP），2015：1-11.

[24] Fridman L，Weber S，Greenstadt R，et al.Active authentication on mobile devices via stylometry，application usage，web browsing，and GPS location[J].IEEE Systems Journal，2017，11（2）：513-521.

[25] Frank M，Biedert R，Ma E，et al.Touchalytics：On the applicability of touchscreen input as a behavioral biometricforcontinuousauthentication[J].IEEE Transactions on Information Forensics&Security，2012，8（1）：136-148.

[26] Li L，Zhao X，Xue G.Unobservable re-authentication for smartphones[J].Ndss，2013.

[27] Yang L，Guo Y，Ding X，et al.Unlocking smart phone through handwaving biometrics[J].IEEE Transactions on Mobile Computing，2015，14（5）：1044-1055.

[28] Lee W H，Lee R B.Implicit smartphone user authentication with sensors and contextual machine learning[J].arXiv preprint arXiv：1708.09754，2017.

[29] Suykens J A K，van Gestel T V，de Brabanter J D，et al.Least squares support vector machines[J].International Journal of Circuit Theory&Applications，2002，27（6）：605-615.

[30] Yao F，Yerima S Y，Kang B J，et al.Continuous implicit authentication for mobile devices based on adaptive neuro-fuzzy inference system[C]//International Conference on Cyber Security and Protection of Digital Services，2017：1-7.

[31] Unifyid.How it works[EB/OL].[2017-08-01].https：//unify.id.

[32] Khan H，Hengartner U.Towards application-centric implicit authenticationonsmartphones[C]//TheWorkshopon Mobile Computing Systems and Applications，2014：10.

[33] 周璟璐.基于決策樹的移動終端中身份驗證研究[D].鄭州：鄭州大學，2013.

[34] Lee W H，Lee R B.Implicit authentication for smartphone security[C]//International Conference on Information Systems Security and Privacy.Cham：Springer，2015：160-176.

[35] Amin R，Gaber T，Eltaweel G.Implicit authentication system for smartphones users based on touch data[M]//Intelligent Data Analysis and Applications.[S.l.]：Springer International Publishing，2015.

[36] Burgbacher U，Hinrichs K.An implicit author verification system for text messages based on gesture typing biometrics[C]//Sigchi Conference on Human Factors in Computing Systems，2014：2951-2954.

[37] Atwater A，Khan H，Hengartner U.Poster：When and howtoimplicitlyauthenticatesmartphoneusers[C]//ACM Sigsac Conference on Computer and Communications Security，2014：1415-1417.

[38] Khan H，Hengartner U，Vogel D.Targeted mimicry attacks on touch input based implicit authentication schemes[C]//International Conference on Mobile Systems，Applications，and Services，2016：387-398.

[39] Khan H.Evaluating the efficacy of implicit authentication under realistic operating scenarios[D].Waterloo University，2016.

[40] Bo C，Zhang L，Li X Y，et al.SilentSense：Silent user identification via touch and movement behavioral biometrics[C]//InternationalConferenceonMobileComputing&Networking，2013：187-190.

[41] Feng T，Yang J，Yan Z，et al.TIPS：Context-aware implicit user identification using touch screen in uncontrolled environments[C]//The Workshop on Mobile Computing Systems and Applications，2014：9.

[42] Safa N A，Safavi-Naini R，Shahandashti S F.Privacypreserving implicit authentication[M]//ICT Systems Security and Privacy Protection.Berlin Heidelberg：Springer，2014：471-484.

[43] Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//Eurocrypt，1999，99：223-238.

[44] Boldyreva A，Chenette N，Lee Y，et al.Order-preserving symmetricencryption[C]//AdvancesinCryptology-EUROCRYPT 2009，2009：224-241.

[45] Domingo-Ferrer J，Wu Q，Blanco-Justicia A.Flexible and robust privacy-preserving implicit authentication[M]//ICT Systems Security and Privacy Protection.[S.l.]：Springer International Publishing，2015：18-34.

XU Guoyu,MIAO Xuna,ZHANG Junfeng,et al.Review of implicit authentication for mobile devices.Computer Engineering andApplications,2018,54（6）：19-25.

XU Guoyu,MIAO Xuna,ZHANG Junfeng,JIANG Tao,MAXiaofei

College of Computer and Information Engineering,Henan University of Economics and Law,Zhengzhou 450002,China

The implicit authentication for mobile devices transparently and continuously authenticates users by monitoring information such as mobile devices environment and user behavior,which can enhance the availability and security of existing authentication mechanisms.This paper introduces the research of implicit authentication schemes.Firstly,the local and network-based architecture is introduced.Secondly,five types of data collection methods are summarized.Thirdly,user identification classification algorithms are introduced,which based on machine learning and so on.The correctness of each algorithm is analyzed and compared.Finally,two types of access control mechanisms are summarized,and the mimicry attacks and privacy leaks of implicit authentication are discussed.

implicit authentication;mobile device;user behavior;access control;information security

面向移動終端的隱式身份認證機制通過監測移動終端環境以及用戶行為等信息對用戶進行透明且持續地認證，能夠增強現有身份認證機制的可用性與安全性。該文對隱式身份認證技術的研究現狀進行介紹。介紹了基于本地與基于網絡的隱式身份認證框架；歸納總結出五類數據采集方式；對基于機器學習等多種用戶分類算法進行了介紹，分析比較了各算法的正確率；歸納出兩類訪問控制機制，并對隱式身份認證所面臨的模擬行為攻擊以及用戶隱私泄漏安全問題進行了討論。

隱式身份認證；移動終端；用戶行為；訪問控制；信息安全

2017-12-22

2018-02-08

1002-8331（2018）06-0019-07

A

TP309.2

10.3778/j.issn.1002-8331.1712-0323

國家自然科學基金（No.61602153，No.31700858，No.61702161，No.61309033）；河南省科技攻關項目（No.182102210020）；河南省高等學校重點科研項目（No.18B520003）。

徐國愚（1982—），男，博士，講師，主要研究方向：安全協議；苗許娜（1977—），女，博士，講師，主要研究方向：無線網絡優化；張俊峰（1985—），男，博士，講師，主要研究方向：計算機科學與技術；姜濤（1983—），男，博士，講師，主要研究方向：數據管理；馬小飛（1981—），男，講師，主要研究方向：網絡安全。