WO2016045225A1

WO2016045225A1 - 基于鼠标行为的密码容错方法

Info

Publication number: WO2016045225A1
Application number: PCT/CN2014/095900
Authority: WO
Inventors: 蒋昌俊; 陈闳中; 闫春钢; 丁志军; 谭正
Original assignee: 同济大学
Priority date: 2014-09-25
Filing date: 2014-12-31
Publication date: 2016-03-31
Also published as: CN104281795B; CN104281795A

Abstract

本发明涉及互联网身份认证技术领域，一种基于鼠标行为的密码容错方法，其特征在于，基于用户登陆时的鼠标行为数据，通过采集并处理用户鼠标的日常行为数据，得到可以判断用户身份的身份认证模式，并在每次用户登陆时，比较本次登陆数据与用户登陆模式的相似度，最终实现用户登陆过程的密码容错。分别对系统UI界面、系统软件模块流程以及系统数据库操作进行相应设计。本发明改善用户体验，同时为用户提供有效的身份认证保障。

Description

基于鼠标行为的密码容错方法

技术领域

本发明涉及互联网身份认证技术领域。

背景技术

随着计算机与网络技术的飞速发展，人类在问题处理、信息传递等方面都获得了巨大的便利，但与此同时，我们在计算机与网络的安全性方面也面临着巨大的挑战，针对网络账户的恶意攻击，利用系统漏洞的非法入侵等种种危害，都给我们的个人隐私和财产带来危险，因此，针对不同的威胁类型，我们拥有了加密性保护、完整性保护、存取控制保护等种种安全防卫措施。其中，对于计算机及网络系统来说，存取控制保护是最必要的保护之一。

存取控制的主要目的是为不同的用户分配不同的权限，使得每个用户都在自己适当的权限下对系统进行操作。为了实现存取控制，第一步也是最为重要的一步便是用户身份认证，只有系统确定了用户的身份，才能为用户分配正确的权限，继而进行后续操作。目前主要的用户身份认证依据包括三种：(1)用户记忆信息，如用户名/密码；(2)辅助设备，如密保卡、银行卡等；(3)用户生物特征信息，如指纹等。三种方法各有优点，但缺点也很明显，用户名/密码的方式较为简便，但密码遗忘、密码泄露等问题使得其安全性和用户体验都不能令人满意；辅助设备的方式安全性较高，但相关辅助设备丢失或被盗时，用户信息同样存在泄露的风险；由此出现了利用生物信息的认证方法，这种方法安全性和可靠性都较高，但需要额外的设备支持。

在现有的三种方法中，第一种方法，即用户名/密码的使用是最广泛的，但在广为使用的同时，其缺点也显而易见，在安全性方面，一旦密码泄露，非法用户也可以通过身份验证，该模式将不能为用户数据提供任何防护，在用户体验方面，若用户不能正确地输入密码，即使是合法用户也不能通过验证。其安全性问题需要用户妥善保管自己的密码，并经常性的更改密码，因此在安全性问题上，需要用户的配合，用户名/密码模式本身已经很难改进，但用户体验问题却可以从模式的缺点入手，提升用户体验，所以本发明将主要针对用户体验的改善。

发明内容

基于上述论述，本发明希望找到新的身份认证方法，以期对现有的方法做出有效地补充和改进，为存取控制提供身份认证保障。

为了对用户体验做出改进，本发明提出了密码容错的概念，希望即使在用户无法提供正确的密码时，也可以通过其他数据来确认用户的身份。为达到这个目标，目前主要有两种方法。第一种方法是要求用户提供更多的身份认证信息，例如有关用户隐私的问题等，第二种方法是使用用户的生物特征例如虹膜、指纹等特征进行用户身份认证。这两种方法在解决问题的同时也各自有着缺点，第一种方法需要用户进行额外的操作，增加了用户的操作量，而第二种方法需要额外的设备才可以完成身份认证。

为了克服现行的方法中所存在的问题，本发明选择了基于用户行为特征进行用户身份认证和密码容错的方案。用户的行为特征主要是指用户在使用计算机时，对鼠标、键盘等输入设备的操作特征，根据相关文献和实验证实，这些特征可以在一定程度上确认用户的身份。而近些年来，随着图形化界面的发展，鼠标已经成为人机交互的主要输入设备。基于这个原因，本发明将设计一个可以实现基于用户行为特征的密码容错方法，利用采集用户的鼠标特征数据，结合原有的用户名/密码验证方式，分析出用户是否为合法用户，实现密码的容错功能。

为此，本发明给出的技术方案：

一种基于鼠标行为的密码容错方法，其特征在于，基于用户登陆时的鼠标行为数据，通过采集并处理用户鼠标的日常行为数据，得到可以判断用户身份的身份认证模式，并在每次用户登陆时，比较本次登陆数据与用户登陆模式的相似度，最终实现用户登陆过程的密码容错。为实现所预想的系统功能，需要对UI界面、软件流程以及数据库操作进行设计。

所述的UI界面:系统前端界面用以实现引导用户输入、认证结果的展示，主要包括登陆界面、注册界面以及虚拟键盘三个界面，以及各类提示窗口。登陆界面及注册界面提供登陆器的基础功能，虚拟键盘是为了采集到更多的用户鼠标信息。例如利用C++Builder所提供的图形化设计能力完成前端界面的设计。

所述的软件主体流程：主要由特征选择、数据采集、模式建立以及密码容错四个步骤组成。特征选择是为了选取可以判断用户身份的鼠标特征，选择到适当的特征后，对所需要的数据进行采集和处理，得到用户的身份认证模式，并最终使用该模式进行身份认证，实现密码容错。

所述的数据库：其操作主要是配合软件流程中的4个步骤，记录用户的用户名、密码、鼠标身份认证模式数据以及登陆数据等，并根据软件要求进行数据处理和更新。

经过一段时间的用户信息数据采集、数据处理之后，系统将成功地为用户建立起独特的身份认证模式，并在用户无法正确提供密码时，使用该模式进行密码容错。

与现有技术相比，本发明的创新点：

1)面对用户忘记密码的问题，现阶段主要解决方法是使用辅助信息来验证用户身份，包括由用户提供隐私信息，或验证用户的生物特征，这些方法增加了用户操作量，需要额外的设备支持。而本发明所采用的方法不需要额外的操作和设备，直接利用用户在登陆时的鼠标特征验证用户身份。

2)选择了在登录时更有代表性和区分性的鼠标特征数据。本发明改善用户体验，同时为用户提供有效的身份认证保障。

附图说明

图1软件模块流程图

图2用户误识率测试

图3用户误拒率测试

图4数据采集流程

图5密码容错的神经网络模式

图6登陆交互流程

图7注册流程图

具体实施方式

(案例)

一、软件流程

图1所示为软件运行的流程图，特征选择、数据采集、模式建立以及密码容错过程将在下面进行详细介绍。

1、特征选择

为了实现用户行为特征的数据采集，建立身份认证模式，首先要确定我们需要采集的用户鼠标特征信息。鼠标特征信息主要包括两类，一类称作用户生理层特征，指的是用户在使用鼠标时的独特特征，与应用环境没有关系，包括鼠标的单击频率、双击频率、移动方向频率、平均速度等特征量；第二类为用户对话层特征，指的是用户在某个特定的应用环境下的鼠标特征，包括鼠标瞬时移动速度、鼠标移动瞬时移动方向等。在这里有两点需要注意，首先对于本软件所要实现的用户登陆与密码容错功能来说，双击操作是基本用不到的，因此双击频率无需采集，其次，鼠标的瞬时移动速度与瞬时移动方向共同组成了鼠标的瞬时移动向量，在附加时间戳之后，连续时间内的鼠标移动向量可描述出鼠标在一段时间内的运行轨迹，因此这两个数据将作为一个整体进行操作。面对选取出的5种数据，本系统对它们的身份认证性能分别作了测试。测试邀请了4名用户，在对每位用户的5种数据进行训练之后，计算使用每种数据进行用户身份认证的误识率与误拒率。误识率即对于非法的用户登陆，系统经过密码容错使其通过验证的概率。误识率如下图2所示。

误拒率指对于合法的用户登陆，系统经过密码容错拒绝其通过验证的概率。误拒率如下图3所示。

由测试结果可以看出，鼠标轨迹、鼠标平均移动速度以及鼠标移动方向频率对用户身份的辨识率更高，因此在本系统的软件模块中将选取这三个数据作为用户身份认证与密码容错的依据。

2、数据采集

经过上述分析后，我们得到了所要采集的数据类型，数据采集的流程如图4所示，接下来将详细解释该过程。我们设在用户使用鼠标的过程中，软件每隔100ms记录一次鼠标坐标，得到的坐标记为(x1,y1)，(x2,y2)，(x3,y3)...(xn,yn)。

(1)鼠标瞬时移动角度

对于连续采集的两个鼠标轨迹点o和a，连接两点，其与水平线的夹角θ就是用户鼠标瞬时移动角度，而这个角度便是某一时刻鼠标的瞬时移动角度，设角度为θ，以(x1，y1)(x2，y2)之间的角度为例；

根据(1)(2)求得角度的cos与sin值，再依据arcsin()和arcos()计算出角度值。

(2)鼠标瞬时移动速度

这个速度是某一时刻鼠标的瞬时移动速度，以(x1，y1)(x2，y2)之间的速度为例；

(3)时间戳

以程序开始运行时记为0时

t＝n*0.1 (4)

前三项数据采集完成后，可建立起用户鼠标的瞬时向量(θ，v，t)，用于描述用户鼠标轨迹。

(4)鼠标平均移动速度

根据步骤2计算出的鼠标瞬时移动速度v1,v2,...,vn

(5)鼠标移动方向频率

根据步骤1计算得到的角度值，计算角度落在(-180，-90)(-90,0)(0,90)及(90,180)四个区域的百分比。

通过分析可以发现，所需要的五种数据均可由鼠标轨迹坐标计算得到，因此我们需要采集并记录用户鼠标移动轨迹的坐标。在系统的软件模块启动后，通过调用API函数，每隔100ms采集一次鼠标坐标，并连同时间戳存入数据库的数组中，这样当一次用户登录行为完成，我们的数据库中便记录下了本次的用户鼠标轨迹。

3、模式建立

表1 用户身份认证模式

身份认证模式是每位用户所特有的模式，主要包括我们所选择的三项数据以及用户名、密码等信息，如表1所示。在用户登陆时，系统会将身份认证模式与本次登陆的数据进行比较，以确定密码容错的结果。

(1)生理层数据处理

用户生理层数据包括鼠标平均移动速度以及鼠标移动方向频率，对于一次训练来说，将会得到一个平均速度以及鼠标在4个方向的移动的百分比。

记录平均移动速度为

[0，90)角度范围内移动次数为A_n，[90,180]角度范围内移动次数为B_n，(-180,-90)角度范围内移动次数为C_n，[-90，0)角度范围内移动次数为D_n，其中n表示第n次训练。对n组训练数据取平均值，可得到用户的生理层特征数据。

(2)对话层数据处理

用户的对话层数据指的是鼠标轨迹特征，由用户的鼠标瞬时速度、鼠标瞬时角度以及时间戳共同组成。在系统的软件模块中，每次采集到的鼠标轨迹数据包括100组数据，我们为这三个数据分别定义符号。定义鼠标瞬时角度为θ_{m_n}，鼠标瞬时速度为V_{m_n}，时间戳为t_{m_n}，其中m表示第m组训练数据，n表示本组数据的时间顺序。将多次采集到的数据中相同时间戳所对应的瞬时速度与瞬时角度求平均数，最终得到用户的对话层特征数据。

将生理层特征数据与对话层特征数据组合起来，便构成了用户身份认证模式。

4、密码容错

(1)登陆模式建立

在用户登陆时，系统的软件模块会使用用户本次的登录数据为用户建立起与身份认证模式相对应的登陆模式。

(2)数据比较

依次比较本发明所选择的三项数据在登陆模式与身份认证模式中的相似度，鼠标轨迹相似度的比较主要是对鼠标矢量的比较，平均速度与方向频率的相似度主要采用了相对误差计算的方法。

(3)密码容错

如图5所示。输入数据r，q，p为上一步计算得到的三项数据的相似度，w1、w2、w3为权值，加权求和后便可得到登陆模式与用户身份认证模式的相似度Uk。其中求和函数Sum为

u_k＝rw₁+qw₂+pw₃ (6)

在获得相似度之后，如何才能确定本次身份认证是否通过呢？在这里我们定义新的变量特征相似度S，若计算得到的相似度大于等于特征相似度，用户认证通过，否则密码容错行为失败，特征相似度对应图5中的阈值。激励函数如下。

v＝U_k-s

x即最终的用户身份认证结果，x为1表示认证成功，用户通过密码容错功能登陆成功，x为0表示认证失败，用户被拒绝登陆。

因此，权值以及特征相似度的取值将成为影响输出结果的关键。权值表示的是每种变量对最终验证结果的影响程度，由于每个人的习惯不同，权值的取值对每位用户来说都是不同的，例如某位用户登陆时鼠标轨迹变化较大，但鼠标平均速度较为稳定，在这种情况下，r的权值w1应该比较小，而q的权值w2应该取值较大；特征相似度表示的是用户特征的稳定程度，若用户日常行为波动较大，则特征相似度相对较小，反之较大。为了取得适当的值，在对20组训练数据进行训练时，需要采用合适的方法。在这里我们采用神经网络模式中的监督学习的思想获得，具体算法思想如下。

首先将初始的三个权值w₁、w₂、w₃均设置为1/3，即初始状态三个相似度对最终结果的影响程度是相同的。在20组初始数据的训练中，第一组数据即作为最初的身份认证模式，存入数据库中，其后的每组数据，都将与数据库中已存在的身份认证模式进行比较，得到三个相似度，选取其中最低相似度所对应的权值减去1/500，最高的对应权值增加1/500，完成后将本组数据存入数据库，得到新的身份认证模式，这样经过20组数据递归训练，高相似度的变量对应的权值将会对最终的结果起到更大的影响，达到监督学习中对权值调整的目的。在权值调整完成后，20组训练数据也已存入数据库，使用这些数据建立起身份认证模式，并依据新的权值与身份认证模式重新计算20组数据的相似度u_k，其中k表示次数，最终的特征相似度u计算如下。

u＝(u₁+u₂+...+u_k+...+u₂₀)/20 (8)

同时需要注意的是，在软件模块实际运行过程中，并没有初始数据用于训练，因此将采集用户在用户名和密码均输入正确时的数据作为训练数据，并存入数据库中。

二、关于用户交互过程设计

在软件模块的运行过程中，系统需要与用户进行交互，其中交互过程主要集中在登陆界面与注册界面，包括用户名与密码的输入、注册与登陆情况的反馈等，接下来将详细描述用户交互的过程。

1、登陆交互过程

如图6所示。用户登陆时，在指定位置输入用户名或密码，系统首先验证用户名是否合法，若通过验证，进入密码验证环节，否则弹出错误信息。密码验证阶段，若密码完全正确，则直接返回登陆成功，若编辑距离大于2，则弹出错误信息，若两种情况均不满足，则进入密码容错过程，经过登陆模式与身份认证模式的比较，若通过验证，则通知用户登陆成功，否则弹出错误信息。

2、注册过程

注册过程如图7所示，主要包括用户名、密码长度的判断以及两次输入密码是否相同的判断。

Claims

一种基于鼠标行为的密码容错方法，其特征在于，基于用户登陆时的鼠标行为数据，通过采集并处理用户鼠标的日常行为数据，得到可以判断用户身份的身份认证模式，并在每次用户登陆时，比较本次登陆数据与用户登陆模式的相似度，最终实现用户登陆过程的密码容错。分别对系统UI界面、系统软件模块流程以及系统数据库操作进行如下设计，

所述的UI界面:为系统前端界面，用以实现引导用户输入、认证结果的展示，主要包括登陆界面、注册界面以及虚拟键盘三个界面，以及各类提示窗口；登陆界面及注册界面提供登陆器的基础功能，虚拟键盘是为了采集到更多的用户鼠标信息；

所述的软件模块的流程：包括特征选择、数据采集、模式建立以及密码容错四个步骤组成，特征选择是为了选取可以判断用户身份的鼠标特征，选择到适当的特征后，对所需要的数据进行采集和处理，得到用户的身份认证模式，并最终使用该模式进行身份认证，实现密码容错；

所述的数据库：其操作主要是配合软件模块流程中的4个步骤，记录用户的用户名、密码、鼠标身份认证模式数据以及登陆数据等，并根据软件模块要求进行数据处理和更新。