2230                                                       软件学报  2025  年第  36  卷第  5  期


                 problems of existing works, this study gives two metrics (security and practicability) to measure the performance of the user authentication
                 system and discuss future research directions.
                 Key words:  user authentication; acoustic sensing; mobile device; security; authentication metric

                 1   引 言

                    近年来, 随着移动互联网和集成电路技术的快速发展, 以智能手机为代表的移动终端的普及率越来越高, 给人
                 们的生产生活方式带来了巨大变革. 根据爱立信               2022  年移动终端调查报告显示, 截至        2021  年底, 移动终端总订阅
                 量高达   82  亿, 其中智能手机的订阅量占比为         77%, 达到  63  亿  [1] . 人们可以随时随地进行网络冲浪、电子商务、在
                 线导航、社交平台、线上支付等丰富应用, 享受着移动终端带来的巨大便利. 然而, 在数字生活日益丰富和繁荣的
                 同时, 信息安全问题也变得愈加严重. 近年来, 有关用户数据泄露的事件屡见不鲜, 严重损害用户的财物安全和个
                 人隐私. 安全可靠的身份认证机制作为移动终端抵御非法访问最关键的防线, 在保护用户数据安全方面发挥着巨
                 大的作用.
                    移动终端通常要求用户向身份认证系统提供指定类型的身份认证凭据, 验证通过后方可解锁设备或登录
                 APP, 获取相应权限. 而攻击者往往尝试采取各种手段直接攻击或绕开身份认证系统, 达到非法访问的目的. 例如,
                 在基于秘密知识的身份认证系统中, 最直接的攻击手段是肩窥合法用户的身份认证过程                             [2] , 窃取  PIN  码、手势口
                 令等不同类型的身份认证凭据. 除此之外, 还有更先进的攻击手段, 如攻击者在用户进行击键或按压触摸屏等操作
                                                                                                   [5]
                                                                            [4]
                                                    [3]
                 时, 从运动传感器     (加速度计, 陀螺仪, 磁力计) , 无线设备        (WiFi, 蓝牙, NFC) , 音频设备  (扬声器, 麦克风) 等不
                 同类型传感器中获取实时数据, 结合机器学习算法, 推断出用户的手部运动, 推断出一系列的候选                             PIN  码或手势口
                 令. 基于生物特征的身份认证系统也遭受着严重的安全威胁. 随着社交网络的普及和深度伪造技术的发展, 各种生
                 物特征   (例如人脸和指纹) 的伪造成本越来越低. 而现有的人脸认证和指纹认证方法往往难以区分真实特征和深
                 度伪造特征, 导致它们容易遭受演示攻击. 例如, 攻击者通过                 3D  打印技术伪造用户人脸的硅胶面具, 可以欺骗大
                 量人脸认证和活体检测系统          [6] , 攻击者利用高精度假手指会绕过大量商用移动终端指纹锁的防欺骗功能                      [7] . 面对
                 日益严峻的安全威胁, 进一步提高身份认证安全性, 防止移动终端被越权访问, 是亟待解决的现实问题.
                    随着移动终端内嵌传感器精度的提升和种类的多样化, 身份认证系统的安全强度和可用性持续提升. 普遍存
                 在于移动终端的传感器为身份认证系统的设计提供了更大的灵活性和可拓展性. 近年来, 各式各样新颖的移动终
                 端身份认证方案层出不穷         [8] . 值得关注的是, 几乎所有移动终端都配备扬声器和麦克风, 并且这些音频设备的制造
                 工艺不断完善, 性能不断优化, 支持更高的采样率, 能够记录和播放高质量音频. 而基于声信号的感知技术能够为
                 用户提供识别追踪、健康监护、安全与隐私保护、人机交互、定位导航等诸多功能, 具有很高的应用价值                                   [9] .
                    声信号具有高度普适性和低硬件成本              [10] , 利用声信号感知用户身份认证过程中的独特隐性特征, 实现认证实
                 体与凭据的安全绑定, 将极大地提高攻击者伪造身份认证凭据的难度和成本, 可以有效提高移动终端身份认证系
                 统的安全性. 目前, 基于声感知的身份认证安全性增强研究已经得到了科研人员的广泛关注, 研究成果逐渐丰富.
                 该技术对保护用户数据安全和隐私具有重要的意义, 所以将国内外相关研究成果进行系统的分类梳理十分必要.
                 然而, 根据调研发现, 目前没有基于声感知的移动终端身份认证研究综述. 因此, 本文从内容上涵盖当前最新的研
                 究成果, 探索该领域在未来的发展趋势. 基于该认识, 本文首先根据所依赖的身份凭据类型的不同, 将移动终端身
                 份认证方法分为基于秘密知识和生物特征的身份认证系统, 以及双/多因素身份认证系统. 在此基础上, 本文将基
                 于声感知的移动终端身份认证细粒度地分为基于声感知的典型身份认证、双因素身份认证和认证活体检测, 然后
                 给出了基于声感知的移动终端身份认证的常见攻击模型, 并分别阐述了这些攻击的实现方法和危害. 接着, 按照前
                 文的分类, 本文对移动终端基于不同认证凭据的身份认证国内外研究进展进行分析、总结和对比, 并对移动终端
                 基于声感知的身份认证国内外研究进展进行分析、总结和对比, 进一步在技术实现、误判率、抵抗攻击类型等关
                 键指标上横向对比各研究成果, 突出展现其性能和优缺点. 最后, 本文就当前研究推进的难点和存在的不足, 总结
                 了移动终端安全身份认证研究面临的             3  大挑战, 并从安全性和实用性这两个角度分析各类型身份认证系统的发展