Интеллектуальные мобильные устройства становятся все более популярными в современном обществе. Смартфоны, в частности, сегодня используются не только для просмотра веб-страниц и проверки электронной почты, но и для взаимодействия с банковскими системами, для хранения личных данных, хранения электронных версий документов, конфиденциальной информации различных компаний. Существуют промышленные системы управления, работающие на базе мобильных операционных систем.
Такая популярность приводит к тому, что мобильные устройства становятся привлекательными целями для злоумышленников. Этим обусловлен рост числа угроз безопасности, направленных на мобильные устройства. Возросшее число мобильных приложений повышает риск кражи традиционных идентификационных данных – паролей, посредством вредоносного программного обеспечения (ПО). Мобильные устройства в сравнении с персональными компьютерами (ПК) больше подвержены заражению ввиду большего количества путей загрузки вредоносных программ, например, через службу мультимедийных сообщений, по Bluetooth-каналу, во время синхронизации с ПК.
Главной проблемой в обеспечении информационной безопасности в сфере мобильных устройств является их ограниченность в отношении времени автономной работы, непрерывном доступе к интернету, стабильности пропускной способности сети. Поэтому, применение традиционных контрмер, реализованных на персональных компьютерах или серверных платформах менее эффективно в мобильных системах. Пользователям трудно своевременно применять файлы сигнатур новейших антивирусных программ и файлы исправлений безопасности операционной системы (ОС) от поставщиков систем безопасности.
Исходя из этого целесообразно применять системы аутентификации, основанные на биометрических методах. Биометрические данные могут быть отличной альтернативой обычным методам, таким как аутентификация на основе пароля, поскольку они не могут быть потеряны или украдены без ущерба для пользователя. Мобильные устройства имеют большое преимущество в применении методов биометрической идентификации, поскольку они оснащены камерами, микрофонами и сенсорными экранами для сканирования биометрической информации. На сегодняшний день на мобильных устройствах реализованы системы защиты, основанные на физической биометрии, например, сканирование отпечатка пальца, геометрии лица. Но дело в том, что использование таких систем подразумевает предоставление дополнительной информации, которая может быть конфиденциальной. Кроме того, такие системы предъявляют высокие требования к технической реализации устройств. Например, сканирование отпечатка пальца, требует наличие сканера, анализ геометрии лица требует наличия соответствующей фронтальной камеры с высоким разрешением.
Спуфинг-атаки способны посредством вредоносного ПО предоставить злоумышленнику идентификационные данные в форме паролей или данных об отпечатках пальцев пользователя или его геометрии лица, которые позволят ему осуществить атаку типа подмена. Сегодня существуют методы подмены отпечатков, основанные на том, что датчик не распознает материал, прикладываемый к считывателю, а лишь сканирует капиллярный узор, который сравнивает с сохраненным в памяти. Поведенческие методы аутентификации защищены от подобных атак ввиду того, что особенности осуществления пользователем тех или иных движений довольно сложно воспроизвести с требуемой точностью. Особенности воспроизведения тех или иных действий пользователем не всегда являются контролируемыми, что повышает их уникальность для каждого человека.
Физические биометрические данные, такие как изображения и голосовые данные, требуют огромной емкости памяти из-за их большого размера. Например, если число пользователей услуги мобильного банка достигает нескольких тысяч или миллионов, то он должен хранить значительный объем физических биометрических данных. Кроме того, физические биометрические данные могут нарушать конфиденциальность. Компания, использующая такие системы аутентификации будет нуждаться в согласии пользователя на сбор физических биометрических данных, поскольку они являются частными.
В данной статье рассматривается альтернативный метод биометрической аутентификации мобильных устройств. Абсолютное большинство мобильных устройств для ввода используют сенсорный экран. Поэтому длительность нажатия, уровень сенсорного давления и площадь касания могут быть распознаны как индивидуальные биометрические характеристики. Этот уникальный шаблон ввода можно использовать для аутентификации пользователей.
Работа с сенсорным мобильным устройством подразумевает нажатия и скользящие движения пальцами по экрану смартфона. Измерение параметров таких взаимодействий с мобильным устройством может стать основой для создания эффективной системы аутентификации пользователей. Анализ работы пользователя с сенсорным экраном мобильного устройства может предоставить большое число измеренных характеристик. Однако для аутентификации пользователя, необходимыми и достаточными могут быть: длительность нажатия, уровень давления на экран, площадь взаимодействия.
Работа рассматриваемого метода аутентификации подразумевает наличие трёх этапов. На этапе подготовки настраивается профиль пользователя для идентификации в мобильном устройстве. На данном этапе осуществляются: анализ и преобразование полученных данных при вводе, обучение программного обеспечения и создание профиля пользователя. Анализ работы с экраном устройства осуществляется непрерывно. Данные передаются на сервер для обучения. При анализе полученных характеристик выбираются первичные входные данные, отражающие архетипические личностные характеристики. Затем обучающий движок программы несколько раз просматривает выбранные входные данные, чтобы узнать уникальные характеристики отдельного пользователя. На этапе профилирования шаблона настраивается эталонное значение для аутентификации пользователя. Подготовительный этап лучше осуществлять на сервере, чем на мобильном устройстве, имеющем ограниченные ресурсы, поскольку для изучения шаблона ввода пользователя требуется выполнение сложных вычислений. Это также полезно, учитывая, что это может предотвратить изготовление или изменение данных злоумышленниками, потому что входные данные шаблона не находятся на мобильном устройстве.
Этап аутентификации, который выполняется после завершения этапа подготовки, проверяет, является ли пользователь допущенным к системе, сравнивая данные входных характеристик, измеренные мобильным приложением, с хранящимся на сервере профилем пользователя. Если вновь полученные входные данные существенно отличаются от сохраненного профиля на сервере, то пользователь признается подозрительным и приложение начинает осуществление этапа контрмеры.
На этапе контрмеры осуществляется повторный сбор и анализ входных данных. Приложение не блокирует доступ к мобильной системе сразу, а дает совершить пользователю еще некоторое число попыток аутентификации. Число попыток предварительно настраивается на этапе подготовки и настройки приложения. Необходимость в предоставлении пользователю нескольких попыток аутентификации связана с высокой вероятностью ошибок. Ввиду того, что мобильные устройства используются в самых разных условиях, например, в автомобиле, в метро, во время занятий спортом, и т.д. Всё это влияет на процесс взаимодействия с экраном смартфона.
Этим обуславливается непрерывная работа приложения и постоянный сбор и анализ параметров ввода в фоновом режиме. Обмен данных с сервером не требует высокой пропускной способности сети. В случае неоднократного несовпадения данных ввода с профилем пользователя или превышения времени отсутствия связи с сервером мобильная система блокируется. В отдельных случаях возможно сохранение профиля пользователя непосредственно на устройстве, если пользователем предполагается длительное отсутствие сигнала мобильной сети. Например, авиаперелёт или работа с устройством в автономном режиме.
Работа системы аутентификации в непрерывном фоновом режиме позволяет скрыть от злоумышленника факт наличия дополнительной системы защиты, что также является преимуществом рассматриваемого метода.
Построение программного обеспечения на основе самообучающейся системы поможет снизить вероятность ошибки аутентификации и повысить эффективность работы системы защиты. Одним из самых простых и эффективных алгоритмов распознавания образов является нейронная сеть с обратной связью, использующая метод наименьших квадратов. Это наиболее часто используемый нейросетевой алгоритм, который позволит предлагаемой системе аутентификации сформировать профиль пользователя наиболее точно. Даже после завершения этапа настройки приложения, профиль пользователя будет уточняться после каждого сеанса обмена данными с сервером.
Таким образом можно выделить следующие преимущества метода аутентификации на основе анализа сенсорного ввода в сравнении с другими системами аутентификации:
1. Не требует осуществления дополнительных процедур ввода биометрических данных.
2. Исключительно программная реализация, первичная настройка приложения и выполнение всех сложных вычислений на сервере, низкие требования к аппаратной части устройства.
3. Устойчивость к спуфинг-атакам. Даже если злоумышленник перехватит шаблон ввода пользователя, он не сможет воспроизвести его, ввиду высокой уникальности поведенческих характеристик.
4. Сбор данных для формирования шаблона входных характеристик не нарушает конфиденциальности пользователя.
5. Может осуществляться в фоновом режиме в течение всего времени работы с устройством. Пользователь может не знать о наличии данной системы аутентификации в мобильной системе.
В этой статье был рассмотрен метод биометрической аутентификации, основанный на анализе шаблона ввода пользователя для мобильных устройств. Метод можно считать подходящим для применения в текущей мобильной среде, поскольку он гарантирует высокую точность, простоту реализации без высокой стоимости, трудно поддается подделке злоумышленниками и не нарушает конфиденциальность пользователей. Кроме того, рассмотренный метод аутентификации может использоваться для обнаружения незаконного использования неавторизованными пользователями в случае кражи или потери мобильных устройств.
Библиографический список
- Вейл, Эстель HTML5. Разработка приложений для мобильных устройств / Эстель Вейл. – М.: Питер, 2014. - 160 c.
- Кухарев, Г. А. Биометрические системы. Методы и средства идентификации личности человека / Г.А. Кухарев. – М.: Политехника, 2001. - 240 c.
- Афанасьев, А. А. Аутентификация. Теория и практика обеспечения безопасного доступа к информационным ресурсам: Учебное пособие для вузов. Гриф УМО МО РФ / Афанасьев Алексей Алексеевич. – М.: Горячая линия – Телеком, 2012. - 254 c.
- Нильсен, Якоб Mobile Usability. Как создавать идеально удобные приложения для мобильных устройств / Якоб Нильсен. – М.: Эксмо, 2013. - 119 c.
- Иванов А.И. Биометрическая идентификация личности по динамике подсознательных движений: Монография. – Пенза: Изд-во Пенз. гос. ун-та, 2000. – 188 с.
- Соколова, В. В. Вычислительная техника и информационные технологии. Разработка мобильных приложений. Учебное пособие / В.В. Соколова. – М.: Юрайт, 2016. – 176 c.
Количество просмотров публикации: Please wait