第一章 绪论
1.1 研究背景及意义
近些年,随着移动互联网的高速发展,智能终端的普及率显著提高,智能终端已经成为人们日常生活中不可或缺的一部分。根据《2019 中国互联网发展报告》统计,2018 年底,中国网民规模达到 8.29 亿,互联网普及率达 59.6%,其中手机网民规模有 8.17 亿,网民使用手机上网比例达 98.6%[1],如图 1.1 所示。
随着智能终端的普及,促进了移动应用服务的快速发展,智能终端已经不仅仅是一个能够通信的工具,更是提高人们生活便捷性的助手,为人们提供导航、金融、社交等功能。据统计,2018 年移动购物领域的活跃用户达 82932.4 万人,这也就意味着在中国,超过一半人会通过移动网络去购物。在移动互联网高速发展的背景下,却隐藏着许多漏洞,据 Gartner公司统计,移动终端中约有 86%运行着 Android 操作系统,然而,这些 Android 系统的版本都比较古老,Google 公司 2019 年 5 月 7 日发布的统计显示[2],运行 Android 版本高于 6.0 的设备占 Android 设备总数的 74.8%,而 2019 年推出的 Android P 占比仅 10.4%,低版本意味着系统中可能存在着更多的漏洞,也更容易受到攻击。
.............................
1.2 研究目标
本课题来源于国家重点研发计划“网络空间安全”专项“社会工程学在网络安全中的应用方法与理论研究”项目课题 2“社会工程学信息收集、关联与刻画方法研究”的研究任务。本课题针对移动终端使用者身份验证问题,设计持续性的、基于操作行为的验证模型,用于持续的验证移动终端操作者的身份,弥补移动终端一次性解锁后面临的危险,在身份验证不合法时,及时锁定终端,对所需要的网络资源做出访问限制,并比较和讨论该方法的优缺点。
国内外对于移动终端身份认证早已有了广泛的研究和深入的探讨,传统的身份认证方案包括口令认证和生物特征认证。口令认证存在着诸多的缺陷,如输入困难,安全性不够高等。但生物特征认证却越来越受到了研究者们的青睐,并且慢慢的替代口令认证[5],成为人们使用移动终端常用的认证方式。
常见的生物特征验证方式有人脸和指纹,人脸识别主要依赖于移动终端的摄像头拍摄当前使用者的照片,并通过面部识别算法和合法的人脸数据进行比对。Crouse D 等人[6]通过结合陀螺仪、加速度传感器、磁力传感器等数据,校正摄像机方向,以获得更准确的面部方向,提高面部识别的准确度。传统的面部识别方案都只是针对单个面部进行识别[6,7],PramudithaPerera 等人[8]提出了一种基于单设备多用户使用的场景下人脸识别方案,旨在解决一个设备可能存在多个合法用户的问题。指纹认证的应用已经相当广泛,指纹识别模块已经成为很多移动终端的标配,并在付款、登录等方面替代了口令认证,但是指纹用于身份识别时,往往由于阈值的设置不准确导致识别率较低[9],为此,有研究者通过结合神经网络算法提高了识别率[10,11]。
..........................
第二章 相关背景知识介绍
2.1 传统身份认证技术
随着科技的进步,越来越多的人将信息存储在电子设备中,如何保护设备中的信息不能够被攻击者获取,人们提出来各式各样的身份验证技术。身份认证是实现网络安全的重要机制之一,其主要方式是通过某种形式的身份验证机制来证明使用者的身份.验证用户身份与所宣称的是否一致,然后实现对于用户的访问控制和记录[39]。下文将从移动终端的角度介绍一下传统身份认证技术。
目前,移动智能终端身份认证技术主要有两类:口令认证、生物特征认证。
1. 口令认证
口令身份认证技术是最常见的认证方法,也是最早应用在智能终端上的认证方法,常见的口令认证方式有:静态密码认证、动态密码认证、图形密码认证。
(1)静态密码:静态密码是最常用的口令认证方式。该方式首先需要用户设置一个密码,然后在验证身份过程中,用户输入账号和预设的密码,系统比对密码是否正确,正确则验证通过,反之验证失败。该方法优点是实施起来较为便捷,用户容易接受。但是从安全角度来考虑,这种方式存在一些缺陷:
首先,用户初始设置的密码复杂度直接影响到安全性,如果用户设置的密码过于简单,很容易被攻击者通过词典进行暴力破解。据研究,静态密码认证在移动终端上比在传统设备上(例如电脑)更容易被攻破[40]。
其次,开发者为了防止密码被设置的比较简单,要求用户设置密码要超过足够的长度、包含几种特殊字符。这种方式虽然一定程度上面增加了密码被破解的难度,但是无形之中也增加了用户输入难度。据研究,在移动终端中输入密码的时间比在传统设备上长了 20%[40]。并且,用户在忍受输入困难的同时还要记住复杂的密码,这会给用户带来极差的体验。
..........................
2.2 隐式身份认证技术
传统身份认证的缺陷日益明显,研究者们在传统身份认证的基础上,针对传统身份认证技术中最大的不足——不能够连续的对用户身份进行确认,进行了改进。隐式身份认证技术是通过采集移动智能终端上的传感器数据,或用户操作行为痕迹等信息,通过分类算法确定当前用户身份。隐式身份认证能够避免用户频繁使用口令、生物特征识别等显式认证,并且能够对用户进行持续不间断的身份认证,在保证设备安全性的同时,兼顾了用户使用的舒适性。
隐式认证方案从网络架构的角度主要可以分为两大类,基于本地的认证方案以及基于网络的认证方案,这两类方案最大的区别是对于网络的依赖。基于本地的身份认证方案,从数据采集到身份认证以及访问控制都由智能终端自身完成,所有数据和决策都不会存在网络传输,具体框架如下图所示:
............................
第三章 基于行为建模的身份认证方法..................................23
3.1 方案设计..................................23
3.2 用户行为建模............................. 24
第四章 基于零信任网络的认证方案......................39
4.1 需求分析........................39
4.1.1 功能性需求............................. 39
4.1.2 非功能性需求............................ 40
第五章 实验设计与结果分析..................... 48
5.1 基于行为建模的身份认证方法分析........................48
5.1.1 行为特征重要性分析................................48
5.1.2 不同算法结果分析....................50
第五章 实验设计与结果分析
5.1 基于行为建模的身份认证方法分析
这一节中本文根据 3.3 节中的实验结果,分别从用户行为特征重要性和算法的角度进行分析,并与现有的隐式认证方法进行对比,并阐述存在的优势和不足之处。
5.1.1 行为特征重要性分析
首先,我们针对 3.3 节中训练好的模型,通过 plot_importance 对特征重要性进行输出,具体输出结果如图 5.1 所示:
.........................
第六章 总结与展望
6.1 工作总结
在移动智能终端以及云服务越来越普及的今天,传统的用户认证方案已经无法满足移动终端安全需求,越来越多的学者将目光集中到隐式身份认证上,隐式认证可以在减少甚至无需用户操作的情况下,对移动终端提供连续的身份认证;研究出一个识别准确的身份认证方法是移动端身份认证的首要目标;更重要的是如何基于身份认证方法,设计出一个完善的认证方案,在保证用户安全的情况下,尽可能的保证用户的体验。
本文首先分析了目前常见的身份认证方法所存在的不足之处,并介绍了目前的隐式认证研究现状,然后针对用户在使用终端过程的所产生的数据特征进行分析,将用户行为分为五类,并利用词袋模型的思想对其中应用行为进行规整化,最后利用了性能较好的 XGBoost 算法对采集到的数据进行训练和测试,完成对异常用户行为的判断。
根据训练好的身份认证模型,本文结合了零信任网络安全架构的“永远不要相信”和“始终验证”的设计思想,设计了基于零信任网络的身份认证方案,该方案由三个模块组成,每个模块负责不同的功能;其核心模块时访问控制模块,该模块控制着移动终端是否能够获取到所需的资源。为此,本文设计了一套访问控制策略,分析当前移动智能终端的中所存在的资源,并将其分为四类:本地普通资源、本地隐私资源、网络普通资源和网络隐私资源,并根据不同的资源采用不同的验证策略,目的是为了在保证资源安全的情况下,减少不必要的身份认证,以提高用户的使用体验。用户在使用终端访问不同资源时,系统会依据验证策略,利用训练好的身份认证模型,确定用户身份的合法性;并且针对每个用户建立信任值体系,然后通过每个用户的信任值,构造清单列表;访问控制模块会根据清单列表,及时的限制终端的使用以及限制终端的网络访问,并拒绝终端的一切请求,防止攻击者根据反馈获取用户的信息。最后,本文利用了软件定义网络的方式对该认证方案进行网络实现,使得模型具备易于部署的优势。
参考文献(略)