第一章绪论1.1课题的背景及意义目前全球移动终端技术正处于飞速发展时期,智能手机、平板等移动设备日益普及,比如智能手机已经成为人们日常通信的重要组成部分,几乎所有必要的活动都与其密切相关,例如联系人、社交媒体、个人内容、网络购物、银行交易等等。有数据表明,随着智能手机终端用户的迅速增加,2017年全球约有36亿智能手机用户,而在2020年将达到96亿左右[1]。人们习惯将越来越多的私有和敏感信息存储到手机终端设备上,结果导致非法用户可能访问甚至窃取这些敏感信息。因此,为了防止未经合法用户授权就访问手机终端设备的情况,增强手机终端用户的身份认证显得越发重要。身份认证主要是证实用户的真实身份与其所声明的身份是否相符,也被称为身份识别或者身份验证。身份认证主要用于确保用户是否具有访问以及使用某种资源的权限,进而保证网络系统及计算机的访问策略可以安全的、有效的执行,防止非法用户假冒合法用户获得资源的访问权限,进而保障系统及数据的安全,以及合法用户的权益。目前,用户解决身份认证问题的方法主要是依赖于用户个体本身,如用户个体的知识、用户拥有的特殊物件,较高安全性的身份认证方法依赖于用户知道什么,用户拥有什么,用户是什么三个方面[2,3]。依据用户身份认证时所依赖认证依据的不同,可以将身份认证方法划分三类:用户依据自己知道的信息完成身份认证,用户依据自己拥有的东西完成身份认证和用户依据自身独特的身体特征完成身份认证。用户依据自己知道的信息完成身份认证,主要体现在仍然流行的密码及九宫格的认证方案,用户需要记住自己设定的密码及九宫格图案,作为依据进行身份认证;用户依据自己拥有的东西完成身份认证,主要体现在使用用户独特的信物作为认证依据,如身份证、护照、U盾等等;用户依据自身独特的身体特征完成身份认证,主要体现在使用人体所固有的生物特征进行身份认证,如现在已经广泛使用的指纹识别认证、人脸识别认证、语音识别认证等等。论文在进行身份认证课题的研究中,将身份认证方法基本上分为两大类:以非生物特征作为认证依据的识别身份认证方法和以生物特征作为认证依据识别身份认证方法。以非生物特征作为认证依据的识别身份认证方法主要包括用户依据自己知道的信息完成身份认证和用户依据自己拥有的东西完成身份认证;以生物特征作为认证依据的识别身份认证方法主要包括以生物生理特征作为认证依据的身份认证和以生物行为特征作为认证依据的身份认证。1.2以非生物特征作为认证依据的身份认证方法目前,身份认证技术已取得飞速发展,但基于密码[4]、PINs码[5]以及九宫格图案[6]等以非生物特征作为认证依据的身份认证方法仍然在智能手机市场份额中占据重要地位。这类认证方法具有认证方式简单容易、移植性较强、成本较低且适用手机机型较广等优点,以基于静态密码的身份认证方法为例,当采用静态密码的身份认证方法进行身份认证时,用户的密码由自己设定,且只有用户自己知道,只要用户输入正确的密码信息,智能手机就会判定该用户为合法用户,此时用户依据自己知道的信息完成身份认证。然而,以非生物特征作为认证依据的识别身份认证方法在实际应用中仍然存在许多安全隐患。比如两大攻击挑战:肩窥攻击和污点攻击。在肩窥攻击中,攻击者通过尽可能的伪装,以便完成窥视用户输入的密码或绘制的图案,如果用户的手机没有得到妥善的保护,入侵者可以很容易的解锁手机,完成身份认证。污点攻击,用户在手机屏幕上进行解锁的过程中,通过手机上的残油物质记住认证图案,在适当的照明条件下,攻击者通过屏幕上留下的污迹可以试图解锁手机进行身份验证。宾夕法尼亚大学的研究小组通过污点攻击进行手机解锁取得了68%的准确率[7]。现实情况中,以密码认证方案为例,由于许多用户为了避免忘记自己设定的密码,通常会采用如生日、电话号码等容易被非法用户猜测到的数字作为密码,或者把密码写在一个用户自己认为安全的地方,结果可能导致密码被盗。如果密码是静态的数据,在身份认证过程中需要在手机内存中进行存储,这个过程可能被木马程序截获,也可能会造成密码泄露。同时,以非生物特征作为认证依据...
