周满 等: 基于声感知的移动终端身份认证综述                                                          2231


                 趋势. 本文认为利用声信号提取身份认证凭据, 构建双/多因素身份认证系统, 将在未来成为该领域研究的主流
                 趋势.
                    本文第   2  节介绍基于移动终端的身份认证分类和基于声感知的身份认证分类, 并给出针对基于声感知的身份
                 认证攻击模型. 第     3  节和第  4  节分别按照前文的分类标准, 对移动终端身份认证和基于声感知的身份认证国内外
                 研究进展进行分析、总结和对比. 第           5  节归纳当前面临的研究挑战和发展趋势. 第            6  节对本文内容进行简要总结.

                 2   研究概述

                    基于声感知的身份认证主要利用移动终端上广泛配备的扬声器麦克风捕获用户的独特身份信息进行认证. 本
                 节首先根据认证的基本要素介绍移动终端身份认证方法的分类, 然后回顾了声感知技术, 对基于声感知的身份认
                 证方法进行分类, 最后介绍了基于声感知的身份认证攻击模型.

                 2.1   移动终端身份认证分类
                    回顾发展历程, 根据依赖的身份凭据的不同, 可以将移动终端身份认证的基本要素分为以下                              3  种: (1) 秘密知
                 识: 即用户所知道的信息, 例如口令、PIN          码; (2) 生物特征: 即用户独特的身体特征, 例如人脸、指纹; (3) 信任器
                 件: 即移动终端具有独特物理特性的自带器件, 例如加速度计、陀螺仪、扬声器、麦克风、摄像头、屏幕等. 目
                 前, 移动终端自带信任器件的物理特征只能支持小规模用户认证, 很少单独用于移动终端身份认证, 通常与其他身
                 份认证的基本要素结合进行双/多因素身份认证, 如图                1  所示.

                                                          认证凭据

                                           秘密知识            生物特征           信任器件




                                  基于秘密知识的身份认证         基于生物特征的身份认证          双/多因素身份认证

                                   文本型        图案型      生理特征      行为特征
                                  (口令, PIN   (手势口令,    (人脸, 指纹   (声纹, 步态
                                   码等)      图形密码等)     虹膜等)       签名等)

                                                图 1 基于移动终端的身份认证

                    基于秘密知识的身份认证          (knowledge-based authentication, KBA) 长期以来被广泛地应用于各种移动终端, 拥
                 有庞大的用户群, 主要依靠只在合法用户和身份认证系统之间共享的秘密知识进行身份认证. 传统的                                KBA  系统按
                 照秘密知识的类型, 可以分为以          PIN  码和口令为代表的文本型和以手势口令和图形口令为代表的图案型. 虽然
                 KBA  被广泛应用, 但是仍然存在一些问题. 根据调查数据显示, 大多数用户更喜欢使用生日, 电话, 名字等个人信
                 息作为秘密知识的主体, 当攻击者掌握一些用户个人信息时, 破解秘密知识的成功率会大大提高                              [11] ; 但是, 当用户
                 使用随机性更强的秘密知识时, 又会增加记忆负担, 降低实用性.
                    生物特征分为生理特征和行为特征. 基于生理特征的身份认证利用人脸、指纹、虹膜等生理特征进行认证,
                 在安全性和实用性方面得到了一定程度地提升. 但是, 高精度生理特征数据的获取对硬件的要求更加严苛, 并且部
                 分类型生理特征的采集需要额外的特殊硬件支持, 这无疑增加了成本, 降低了实用性. 此外, 由于生理特征不可改
                 变, 一旦攻击者获取用户的生理特征, 将导致此类型身份认证方法不再安全. 基于行为特征的身份认证大多选取声
                 纹、步态、触控手势等行为特征进行身份认证, 可以利用低值传感器进行特征采集. 但是, 移动终端内嵌的传感器
                 对于除声纹外的其他行为特征的提取精度有限, 并且现有认证方案存在局限性, 导致准确度不够, 鲁棒性不强, 用
                 户体验不够友好.
                    双/多因素身份认证方法采用两个或多个身份凭据来对用户进行认证, 相较于单一凭据的身份认证方法在安