智能手机已逐渐成为了人们生活当中的必需品，与此同时用户的隐私安全问题也日渐凸显.目前，智能手机上虽然已普遍部署了密码保护机制来认证用户的身份以保护用户的隐私信息，但是这种身份认证机制很容易受到肩窥攻击和污迹攻击的威胁.为此，在密码保护机制中引入生物行为识别技术来进一步加强用户的身份认证已成为相关领域的研究新热点.这种生物识别技术通过利用一些智能手机内置的传感器就可以“隐形地”捕获用户的行为数据并实现身份认证，因而也被称为“隐式身份认证”.隐式身份认证机制可以通过与密码机制结合以提高智能手机的安全保护级别^[1-4]. Zheng和Gurary等^[1-2]提出的是一种增强数字密码机制的隐式认证方法，利用智能手机内置的加速度传感器和压力传感器来表征用户输入数字密码过程中的点击行为习惯，再利用统计学方法或者分类算法提取用户的行为特征并实现了隐式认证. Inoue和Teh等^[3-4]提出的是基于智能手机内置加速计、陀螺仪以及磁力计传感器来表征用户触摸行为习惯的隐式认证方法.然而，上述认证方法均没有考虑用户身体姿势对点击行为的影响.例如，Zheng、Gurary、Inoue等的工作都只对用户坐在椅子上或者站立时的点击行为数据进行了研究，但是日常生活中用户使用智能手机时的身体姿势是没有固定模式的.虽然Teh等^[4]对用户日常生活中各种姿势下的点击行为进行了认证研究，但是由于身体姿势会影响一个人的点击行为^[5]，因而这些方法在实际应用时取得的认证精度都比较低.

现实世界的可变性和复杂性对生物识别方法的灵活性提出了更高的要求. Nappi等^[6]的研究表明，在生物识别技术中，利用用户的一些上下文信息(如用户的身体姿势或者所处环境)实现上下文感知的识别系统在提高系统灵活性方面具有很高的价值.上下文感知的一个基本思想是根据不同的上下文来选择最适配的特征匹配或分类方法.例如Feng等^[7]提出了一种以应用程序为上下文的隐式认证方法，为智能手机每个运行的应用程序提供了不同的触摸行为认证模板，并执行自适应分类以提高认证性能.受此启发，笔者提出了一种对用户的身体姿势和操作手势均具有自适应性的、以用户点击触摸屏的行为习惯为基础的隐式身份认证机制(见图 1)，以克服Zheng、Gurary、Inoue和Teh等工作^[1-4]所存在的不足.

所提的认证机制通过将智能手机用户的身体姿势作为上下文信息，并将其划分为静态和动态2种上下文，为用户不同身体姿势下点击行为构建不同的认证子模型，并实现自适应认证.其中，静态指的是用户身体姿势相对稳定的状态，例如静坐或站立；动态指的是用户身体处于行走或上下楼梯等运动状态；另一方面，考虑到不同人在操作智能手机时具有他们自己的手势习惯，在为用户的点击行为训练认证模型时还提取了一系列表征用户手势习惯的特征，以进一步增强认证性能.所提出的认证方案可以集成到各种密码保护机制，例如PIN解锁或程序登录界面，以提高隐私安全的保护强度.

1 数据获取

为获取用户的点击行为数据，智能手机的3个内置传感器被用于表征用户的行为数据，分别是加速计、陀螺仪和磁力计传感器.其中，加速计可以记录用户较大幅度的运动模式，比如用户使用智能手机时的触屏点击力度以及身体运动状态.陀螺仪可以测量智能手机在人机交互过程中发生的方向偏转或移动轨迹，进而表征用户握持手机的手势习惯.磁力计可以用于进一步表征用户与智能手机交互的方位习惯.使用这3个传感器记录的用户行为数据表示为

$ \begin{array}{*{20}{c}} {{{\left( {a,g,m} \right)}^s} = \left\{ {\left( {a_1^s,g_1^s,m_1^s} \right), \cdots ,\left( {a_t^s,g_t^s,m_t^s} \right), \cdots } \right.}\\ {\left. {\left( {a_n^s,g_n^s,m_n^s} \right)} \right\}} \end{array} $

(1)

其中(a_t^s, g_t^s, m_t^s)分别表示用户第s次操作对应的加速计、陀螺仪以及磁力计传感器的时间序列. a_t^s=(a^s_xt, a^s_yt, a^s_zt)，表现为三轴(XYZ)序列，g_t^s，m_t^s与之类似. n为第s次行为对应的时间序列总点数.

此外，为进一步解决传感器灵敏度对读数的影响，采用了文献[8]提到的方法，对现有三轴传感器数据进行了模值计算，并将其作为传感器的第4维数据.例如，加速度传感器的模值计算为

$ {a_m} = \sqrt {a_x^2 + a_y^2 + a_z^2} $

(2)

同样，可得到陀螺仪和磁力的模值.这些模值受灵敏度的影响要远小于原有的三轴值(XYZ)，对于分析传感器数据具有很大的帮助.

2 数据分析与特征构建

图 2描述了用户在使用智能手机密码过程中，3种传感器对用户静态和动态认证环境下点击行为的反应.

通过对比图 2中动、静态下的传感器数值可发现：1)用户在不同认证环境下的点击行为之间也存在显着差异.直观的表现是动态环境下的点击事件会导致加速计产生更大的跳变值，并且会导致陀螺仪和磁力计产生更剧烈的数值波动^[9]. 2)不论是在静态还是动态认证环境下，用户的点击行为都会导致加速度传感器的值发生跳变.用户输入6位长度的密码对应于加速度传感器的值将受到6次点击事件的影响而产生6个跳变.因而，为有效区分动静态认证环境，基于统计学方法对每个传感器的数据提取8个时域特征来描述用户的运动模式，包括平均值、中位数、标准差、范围、峰度、偏度和四分位数(25%、75%)，这些统计值都是表征数据的波动程度时最常用到的统计量.其中，范围表示传感器读数的最大值和最小值之间的差值，对于区分用户动静态十分有效.峰度(K)表征传感器读数的峰值宽度，是数据的标准四阶中心矩.偏度(S)由数据的三阶标准化矩得到，用以表征传感器读数的峰值方向.以加速计为例，其计算公式分别为

$ K\left( a \right) = \frac{{\frac{1}{n}\sum\limits_{i = 1}^n {{{\left( {{a_i} - \bar a} \right)}^4}} }}{{{{\left( {\frac{1}{n}\sum\limits_{i = 1}^n {{{\left( {{a_i} - \bar a} \right)}^2}} } \right)}^2}}} - 3 $

(3)

$ S\left( a \right) = \frac{{\frac{1}{n}\sum\limits_{i = 1}^n {{{\left( {{a_i} - \bar a} \right)}^3}} }}{{{{\sqrt {\frac{1}{{n - 1}}\sum\limits_{i = 1}^n {{{\left( {{a_i} - \bar a} \right)}^2}} } }^3}}} $

(4)

其中a是a的n个数据对应的均值.此外还提取了传感器数据的样本熵(SampEn)以及傅里叶变换的频谱能量(E_f)作为反映用户行为数据复杂度的特征.样本熵的计算算法如下.

步骤1 将a₁, …, a_t, …, a_n按顺序组成m维矢量，如

$ {A_m}\left( i \right) = \left[ {{a_i},{a_{i + 1}}, \cdots ,{a_{i + m - 1}}} \right],1 \le i \le n - m + 1 $

(5)

步骤2 定义矢量A_m(i)与A_m(j)之间的距离为

$ \begin{array}{*{20}{c}} {{\rm{d}}\left[ {{A_m}\left( i \right),{A_m}\left( j \right)} \right] = \max \left| {{a_{i + k}} - {a_{j + k}}} \right|,}\\ {1 \le k \le m - 1;1 \le i;j \le n - m + 1,i \ne j} \end{array} $

(6)

步骤3  给定相似容限r(r>0)，计算B_i^m(r)，并计算平均值.

$ B_i^m\left( r \right) = \frac{1}{{n - m + 1}}{\rm{num}}\left\{ {{\rm{d}}\left[ {{A_m}\left( i \right),{A_m}\left( j \right)} \right] < r} \right\} $

(7)

$ {B^m}\left( r \right) = \frac{1}{{n - m}}\sum\limits_{i = 1}^{n - m} {B_i^m} \left( r \right) $

(8)

步骤4 样本熵为

$ {\rm{SampEn}} = - \ln \left[ {B_i^{m + 1}\left( r \right)/B_i^m\left( r \right)} \right] $

(9)

对于加速度数据a的傅里叶变换A_f而言，E_f计算式为

$ {E_f}\left( a \right) = \sum {{{\left| {{A_f}} \right|}^2}} $

(10)

通过计算，共提取了120个特征作为上下文特征，这些特征在区分用户身体姿势方面具有很好地表现^[9].

此外，从全局和局部2个方面来为用户提取点击特征.全局特征用于表征手机产生的旋转和微动，由时域和频域中特征组成.时域特征均为上述提及的8个统计学时域特征. 4个频域特征通过计算传感器数据的傅里叶变换得到，分别是频域幅度峰值及其频率、幅度第二大峰值及其频率.局部特征由用户使用智能手机输入6位长度的密码时引起传感器读数产生的跳变值构成，这些值通过极值计算求得，包括6个最大峰值和6个最小峰值.全局特征和局部特征组成的156个特征构成了点击特征.

3 上下文感知与身份认证 3.1 上下文感知算法

在整个认证过程中，上下文感知首先被执行用于检测用户在使用智能手机输入密码的过程中其身体姿势所对应的认证环境是静态还是动态，因而可将其视为一个二分类问题.

为了从上下文特征中筛选出冗余性小且有益于分类的特征，首先采用最小冗余最大相关(mRMR, minimum-redundancy maximum-relevance)算法进行特征选择.作为一种滤波式特征选择方法，mRMR算法可以最大化特征和分类变量之间的相关性，同时最小化不同特征之间的相关性^[10]，这里的相关性由变量之间的互信息进行度量.对于2个变量x和y的互信息计算公式为

$ I\left( {x,y} \right) = \iint p\left( {x,y} \right)\log \frac{{p\left( {x,y} \right)}}{{p\left( x \right)p\left( y \right)}}{\text{d}}x{\text{d}}y $

(11)

其中：p(x, y)为x和y的联合概率分布函数，p(x)和p(y)分别为x和y的边缘概率分布函数.

利用mRMR算法实现特征选择的过程如下.

步骤1  第i个特征和分类变量之间的相关性可通过计算I(x_i; c)得到，不同特征之间的相关性可通过I(x_i; x_j)求得.

步骤2  为了进一步挑选出来与分类结果相关性大的特征，使用最大相关式进行如下计算：

$ \max D\left( {S,c} \right),D = \frac{1}{{\left| S \right|}}\sum\limits_{{x_i} \in S} I \left( {{x_i};c} \right) $

(12)

其中S表示的是特征集.

步骤3  由于这些特征之间还存在着冗余性，所以需要进一步使用最小冗余式来进一步移除冗余特征，计算式为

$ \min R\left( S \right),R = \frac{1}{{{{\left| S \right|}^2}}}\sum\limits_{{x_i},{x_j} \in S} I \left( {{x_i};{x_j}} \right) $

(13)

步骤4 利用加法规则整合最大相关性和最小冗余度：

$ \max \phi \left( {D,R} \right),\phi = D - R $

(14)

进而采用增量搜索方法将其转化为下述优化问题：

$ \mathop {\max }\limits_{{x_j} \in X - {S_{m - 1}}} \left[ {I\left( {{x_j};c} \right) - \frac{1}{{m - 1}}\sum\limits_{{x_i} \in {S_{m - 1}}} I \left( {{x_j};{x_i}} \right)} \right] $

(15)

通过在已选择的m-1个特征组成的特征集S_m-1的基础上，在剩下的{X-S_m-1}的样本自己中找到使式(15)为最大的特征，即可对剩下的特征进行计算和排序.

通过上述方法进行特征选择后，随机森林(RF, random forest)分类算法被选择用于对上述mRMR算法选择出来的特征进行分类. RF算法采用Boostrap方法对样本进行重采样并利用随机属性选择的方法训练多棵决策树，输出结果由所有决策树输出结果的众数而定.在参数选择时，RF中的树木的数量根据袋外误差率来确定. RF的具体实现过程如下.

输入：

① 样本集D={(x₁, y₁), (x₂, y₂), …, (x_m, y_m)}，其中x_m为mRMR算法选择后的特征，y_m为上下文标签

② 决策树数目T

③ 待检测样本x′

输出：待分类样本的上下文标签label′

1  For t=1:T //创建T棵决策树

2 通过对D进行t次Boostrap采样，共采集m次，得到采样集D_t

3 利用采样集D_t训练第t个CATR决策树模型G_t.

① 在训练决策树模型节点时，在节点上所有样本特征中随机选择一部分特征. ②对这些随机选择的特征计算基尼系数，基尼系数最小的特征作为分裂特征

4 得出随机森林{G₁, G₂, …, G_t}

5  End For

6  label′=多数投票机制{G₁(x′), G₂(x′), …, G_t(x′)}

3.2 身份认证算法

所提出的机制在训练阶段会为不同的上下文训练相应的认证子模型，使得不同身体姿势操作下的认证可以自适应地利用相应的认证模型，为了建立鉴别能力较好的认证模型，利用了K-S (Kolmogorov-Smirnov)检验来从点击特征中挑选出一些有益于区分不同用户的“好”特征.

K-S检验是一种非参数统计假设检验方法，在分析2个样本分布是否相同时非常有用.其原假设表示为H₀：2个样本来自相同分布.在利用该方法提取特征时，需对不同用户的每一维点击特征均进行假设检验，若某一维点击特征对应的原假设H₀成立，则认为该特征对于不同用户而言分布相同，即难以有效区分不同用户，将其视为一个“差”特征.假设用户1的m个样本对应的某特征集合表示为O=O₁, O₂, …, O_m，用户2的n个样本对应的某特征集合为P=P₁, P₂, …P_n.该算法具体的实现过程如下.

步骤1 建立假设H₀：2个特征集合来自相同分布，即该特征的区分不同用户的能力很差.

步骤2  计算统计量S=max|F₁(O)-F₂(P)|，其中F₁(O)和F₂(P)分别为O和P对应的经验分布函数.

步骤3  计算统计量S对应的显著性水平p值，该值由可靠性分布函数Q_ks表示：prob(S)=Q_ks(λ).其中$\lambda=\left(\sqrt{N_{e}}+0.12+\frac{0.11}{\sqrt{N_{e}}}\right) S, N_{e}=\frac{m n}{m+n}$.

步骤4 比较p值与拒绝域α(通常取值为0.05^[11])，若p>α，则接受假设H₀，丢弃该特征.

通过上述过程，对点击特征进行K-S检验结果如图 3所示.图中详细描述了从每个传感器所提取特征的K-S检验结果，横坐标表示特征维数，矩形表示每个特征的p值的箱线图分布，加粗横线表示α=0.05的基准线.通过这种方式，从所有点击特征中剔除了基准线以上的“差”特征.

后续的认证可通过用户的点击行为特征来区分用户是否合法，仍然可视为一个分类问题，相应的认证子模型的训练过程如下.

步骤1  由上下文特征以及上下文感知算法得到上下文标签，将相同上下文标签对应的K-S检验筛选后的点击特征分到一组.

步骤2  将不同上下文下的点击特征输入RF分类器中，分别训练得到相应的认证子模型.在实际应用中，如果用户当前的认证环境被上下文感知模块划分为静态，那么将会触发其中训练好的静态认证子模型给出认证结果.反之，如果是动态，则会触发动态认证子模型.

4 实验结果与分析 4.1 数据集

在数据收集过程中，共包括30名参与者.由于所提出的认证方案是用于增强用户密码保护机制的隐式认证，针对用户在密码泄露的情况下仍然可以进一步认证用户，所以在实验仿真中，笔者主要基于用户输入特定密码的行为进行研究.为此，分别采集了2组密码的行为数据进行实验分析，分别是简单密码“111111”和复杂密码“182537”.前者由重复数字组成，代表极易被破解的简单密码；后者则是数字键盘上不同位置数字的自由组合，代表在日常生活中随机设置的密码.

为数据收集部署了3个用户操作环境.

1) 静态环境.使用智能手机在站立或静坐时完成输入密码的行为.

2) 动态环境.在行走时使用智能手机完成输入密码的行为.

3) 自由环境.使用智能手机以使自己喜欢的方式完成输入密码的行为.

在上述3种操作环境中，参与者的手势均不受限制，他们可以按自己喜欢的方式握持和点击智能手机，最终共收集了这30名参与者的7000+次输入密码行为的数据，具体情况如表 1所示.

4.2 评价标准

1) 训练与测试

在实验中，假定一个参与者为智能手机的所有者，表明他/她是合法用户，其余参与者均为攻击者或非法用户.为了避免合法用户的独特性，从所有参与者中挑选出其中5名分别轮流作为合法用户，他们分别是初中生(用户1：男性，14岁)、大学生(用户2：男性，20岁)、研究生(用户3：女性，25岁)以及两名工作人员职业(用户4：男性，35岁，用户5：女性，46岁).在性能评估中，使用了十折交叉验证法来划分训练集和测试集，并重复这种测试方法10次，将这10个结果的平均值作为最终结果.

2) 性能评估

错误接受率(FAR, false acceptance rate)和错误拒绝率(FRR, false rejection rate)是生物认证系统广泛使用的评估指标. FAR是允许非法用户成功入侵智能手机的次数与他尝试的次数之比. FRR是合法用户被拒绝访问智能手机的次数与他尝试的次数之比.

4.3 认证结果分析

1) 操作环境的影响

为了避免用户操作环境变化的影响，现有的相关研究集中于某个特定操作环境中的隐式认证.例如，只对用户坐下时输入密码的行为数据进行研究.然而，用户的身体姿势在现实生活中是多变的，这种不可避免的多变性将使得其身份验证方法在实际应用时往往表现出比实验结果中更差的性能.为了对上述内容做进一步的阐述，笔者对以下2种情况进行了认证实验：①训练集和测试集为相同的操作环境(均为用户静坐时输入密码的行为数据)，用以模拟大多数现有研究的实验方案；②训练集和测试集都处于不受控的自由操作环境，用以模拟用户在实际生活中的真实操作环境.对2种情况分别进行认证实验，所得的认证结果如表 2所示.

从表 2可见，情况①下的认证性能优于情况②，阐述了目前现有研究在实际应用时性能会变差的现象.这一现象的发生主要是因为实际生活中用户的操作环境并不受控，特别是用户身体姿势的变化会使得用户的点击行为变得复杂、稳定性降低，因而导致相应的认证性能变差.

对于情况①，一个人的点击行为在某一特定操作环境下是相对稳定的，因此FRR可以达到0%.不同于情况①，情况②中的操作环境更为复杂，这种环境的复杂多变性对FRR和FAR均产生了不良影响.比情况①得到了更大的FRR，表明自由操作环境下一个人的点击行为数据是不稳定的，这也进一步证实了人体姿势的变化会对点击行为产生显著影响.同时，情况②中更大的FAR意味着在自由操作环境中不同用户的点击行为之间存在着更大的相似性.表现为某用户在行走时的点击行为可能与另一个用户在坐下操作时的点击行为之间高度相似，从而使FAR变大.

2) 上下文感知的有效性

为了探索上下文感知的认证方案的有效性，分别对有和无上下文感知的身份认证进行了实验.表 3中括号中的数据代表是无上下文感知的认证结果，与不加括号的数据所代表的有上下文感知的结果相比，具有上下文感知的认证性能要优于无上下文感知的认证.

如果在无上下文感知的情况下使用所提出的认证方法，FAR和FRR的平均值约为3.5%.然而，在引入上下文感知后，FAR和FRR的平均值可降低至1.5%左右.而且，无论是简单密码还是复杂密码下的隐式认证，对于每位用户而言，在有上下文感知时的认证性能均优于没有上下文感知的认证，进一步表明了上下文感知对整个认证性能起着积极作用.

3) 密码强度的影响

在以往的一些相关研究中，基于复杂密码的隐式认证性能普遍要比简单密码好很多.因为在这些相关研究中都普遍使用了用户点击行为的一些按压时间间隔作为认证特征，例如停留时间、间隔时间等^[1-2].停留时间是指按下和释放相同按钮的时间，间隔时间表示按下2个连续按键之间的时间间隔.显然，对于这种时长特征而言，密码越简单，不同用户的时长特征会越相似，因而得到的认证性能也会相对较差.不同于这些以往的研究方法，所提出的解决方案是利用具有更高鲁棒性的一些运动特征来认证用户.

从表 3中可以看出，对于不同强度密码的隐式认证性能而言，平均FAR和FRR之间的差值在0.5%之内，表明所提出的认证方案对简单密码也很友好.简单密码下的隐式认证取得的最佳FAR和FRR分别为0和0.51%，复杂密码下的隐式认证取得的最佳FAR和FRR分别为0.52%和0，说明了所提出的身份认证算法的有效性.

4) 与相关工作的对比

对相关工作^[3-4]的认证方法进行了相应的认证测试，所得到的认证结果如表 4所示.对比可见，所提出的上下文认证机制所得的FAR和FRR要远小于相关工作^[4]，在所有认证中取得了最小的FAR和FRR，可以实现最佳的认证性能.

5 结束语

基于上下文感知对生物识别系统的性能具有改善作用，提出了一种基于上下文感知的智能手机隐式身份认证机制.实验结果表明，通过将用户的身体姿势作为上下文信息，并实现上下文感知的身份认证，不同用户认证所得的平均FAR和FRR可由原来的3.5%左右降至1.5%左右.所提方案不仅对复杂密码有效，而且对于简单密码的认证仍然可以取得较好的效果，充分表明了所提出的认证机制有效可行.