一种基于摩擦声的安全手势密码认证方法、系统及设备与流程

1.本发明属于移动终端安全技术领域，涉及一种安全手势密码认证方法、系统及设备，具体涉及一种基于摩擦声的安全手势密码认证方法、系统及设备。


背景技术：

2.随着移动设备(如手机、平板电脑)提供的服务越来越丰富，有大量涉及财产安全和个人隐私的app，如社交、购物、支付等。由于手势密码便于记忆和使用，在移动设备的用户认证中起着重要的作用。但传统的手势密码认证只验证输入的图案是否正确，已经不足以应对不法分子的威胁和攻击。
3.用户在设置手势密码时往往具有个人习惯偏好，这使得用户选择的图案对猜测攻击的防御能力较弱。而基于指纹摩擦声的手势密码解锁策略可以有效抵抗暴力破解。肩窥攻击是一种更强的直接攻击，当合法用户输入手势密码时，攻击者可以通过直接观察、借助镜子或隐蔽的针孔摄像头轻松窥探手势密码。此外，当用户绘制解锁图案时，会泄露一些侧通道信息，这为许多攻击方法提供了机会。如智能手机的加速度计数据、用户在屏幕上绘制图案时留下的油渍或者热量、解锁过程中眼球的不自主运动等，都可能会被不法分子利用从而破解用户所设置的手势密码，这些攻击方法给人们的信息安全带来了极大的威胁。


技术实现要素：

4.为了解决上述技术问题，本发明将手指在屏幕上滑动产生的摩擦声整合到手势密码输入中，提供了一种基于摩擦声的安全手势密码认证方法、系统及设备，能够有效地避免肩窥攻击和侧信道攻击，并且极少地增加手势密码解锁的使用复杂度。
5.本发明的方法所采用的技术方案是：一种基于摩擦声的安全手势密码认证方法，包括以下步骤：
6.步骤1：用户使用手指在屏幕上绘制解锁图案，移动设备内置麦克风捕捉摩擦声，获取摩擦声信息；
7.步骤2：将用户绘制的解锁图案与注册期间存储在系统中的解锁图案进行匹配；如果图案不正确，则直接反馈使用者为非法用户的结果；否则，将录制的音频进行下一步处理；
8.步骤3：摩擦声预处理，采用包括背景噪音消除处理、目标信号增强处理、小波重去噪处理中的一种或若干种处理方法，获取干净且增强的声音信号；
9.步骤4：检测摩擦时间，并对摩擦声进行切割；
10.步骤5：提取指纹特征，针对每一段摩擦声给出一个置信分数，经过加权处理后，分数大于预设值的使用者属于合法用户。
11.本发明的系统所采用的技术方案是：一种基于摩擦声的安全手势密码认证系统，包括以下模块：
12.模块1，用于用户使用手指在屏幕上绘制解锁图案，移动设备内置麦克风捕捉摩擦
声，获取摩擦声信息；
13.模块2，用于将用户绘制的解锁图案与注册期间存储在系统中的解锁图案进行匹配；如果图案不正确，则直接反馈使用者为非法用户的结果；否则，将录制的音频进行下一步处理；
14.模块3，用于摩擦声预处理，采用包括背景噪音消除处理、目标信号增强处理、小波重去噪处理中的一种或若干种处理方法，获取干净且增强的声音信号；
15.模块4，用于检测摩擦时间，并对摩擦声进行切割；
16.模块5，用于提取指纹特征，针对每一段摩擦声给出一个置信分数，经过加权处理后，分数大于预设值的使用者属于合法用户。
17.本发明的设备所采用的技术方案是：一种基于摩擦声的安全手势密码认证设备，包括：
18.一个或多个处理器；
19.存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现所述的基于摩擦声的安全手势密码认证方法。
20.尽管攻击者破解了用户的手势密码，但是还需要验证指纹摩擦声。摩擦声的唯一性取决于接触面的纹理特征(即用户的指纹)，而每个人的指纹都是独一无二的。因此，将手指在屏幕上滑动产生的摩擦声整合到手势密码输入中能够有效地避免肩窥攻击和侧信道攻击，并且极少地增加手势密码解锁的使用复杂度。
21.相对于现有技术，本发明的有益效果是：能够很好地抵抗肩窥攻击，即使手势密码泄露的情况也可以将设备的泄密概率降低到5％以下。而且由于摩擦声和用户的指纹相关，这对攻击者来说难以模仿，有着良好的安全性。
附图说明
22.图1是本发明实施例的方法原理图。
具体实施方式
23.为了便于本领域普通技术人员理解和实施本发明，下面结合附图及实施例对本发明作进一步的详细描述，应当理解，此处所描述的实施示例仅用于说明和解释本发明，并不用于限定本发明。
24.本发明主要基于移动终端手势密码安全，考虑使用者在输入手势密码时会产生摩擦声，提出了一种基于摩擦声的安全手势密码认证机制。本方法充分利用使用者输入手势密码时手指和屏幕产生的摩擦声的不同来研究和探索出一种对用户指纹进行隐式认证，能够实现防肩窥攻击的基于摩擦声的安全手势密码认证机制。本发明能够很好地抵抗肩窥攻击，即使手势密码泄露的情况也可以将设备的泄密概率降低到5％以下。而且由于摩擦声和用户的指纹相关，这对攻击者来说难以模仿，有着良好的安全性。
25.参见图1，本发明提供的一种基于摩擦声的安全手势密码认证方法，包括以下步骤：
26.步骤1：用户使用手指在屏幕上绘制解锁图案，移动设备内置麦克风捕捉摩擦声，
获取摩擦声信息；
27.本实施例中，用户使用手指在屏幕上绘制解锁图案时，移动设备内置的麦克风会同时捕捉到摩擦声。特别地，本实施例要求用户所设置的图案需要至少经过四个不同的点才能通过，这是目前市场上大多数商业手机手势密码的常见设置。
28.步骤2：将用户绘制的解锁图案与注册期间存储在系统中的解锁图案进行匹配；如果图案不正确，则直接反馈使用者为非法用户的结果；否则，将录制的音频进行下一步处理；
29.本实施例中，使用者输入解锁图案，本系统将用户绘制的解锁图案与注册期间存储在系统中的解锁图案进行匹配。如果图案不正确，则直接反馈使用者为非法用户的结果。否则，客户端实时地将录制的音频传进行下一步处理。这个阶段可以直接调用设备现有的手势密码认证模块。
30.步骤3：摩擦声预处理，采用包括背景噪音消除处理、目标信号增强处理、小波重去噪处理中的一种或若干种处理方法，获取干净且增强的声音信号；
31.不同环境(如办公室、超市和街道)中的环境噪声的大部分能量都位于低频信号中(如小于5khz)。摩擦声的频率通常不超过22khz。因此本实施例选择巴特沃斯(butterworth)带通滤波器来获取5-22khz的摩擦声信号，并使用巴特沃斯三阶滤波器来保持通带的平滑幅频特性。通过这种去噪处理，特征信息不会失真。
32.本实施例中目标信号增强处理，是使用多波段谱减法(mbss)来滤除通过背景噪音消除处理后的音频中不同频率下影响频谱不均匀的有色噪声，增强语音频谱；本实施例将摩擦声频谱分为四个不重叠的频段，估计出每个频段的后验信噪比和相应的减法系数。因为在每个频段的帧之间没有根本性的变化，因此本实施例的增强方法有效地避免了摩擦声的失真。
33.本实施例中小波重去噪处理，首先采用最大重叠离散小波变换法(modwt)对信号进行分解，本实施例选择daubechies 3(db3)小波，计算信号在第6级的小波分解；然后使用阈值去噪的方法进一步处理，在这一阶段，本实施例根据不同层的噪声估计调整阈值，对于从1到6的每个级别选择一个阈值，并对细节系数使用软阈值；最后，对处理后得到的小波系数使用逆最大重叠离散小波变换法(imodwt)进行重构，得到去噪后的声音信号。
34.小波去噪具体的算法过程说明如下：
35.(1)首先，采用最大重叠离散小波变换法(modwt)对信号进行分解。
36.(2)然后，使用阈值去噪的方法进一步处理。在这个阶段，基于不同层次的噪声估计对阈值进行调整，并对细节系数进行软阈值处理。
37.(3)最后，将处理后得到的小波系数使用逆最大重叠离散小波变换法(imodwt)进行重构，得到去噪后的声音信号。经过步骤3处理后的声音信号中几乎不存在噪声的干扰。
38.与其他去噪方法相比，小波变换在低信噪比的情况下具有更好的去噪效果。去噪后的信号识别率会更高。同时，小波去噪方法对突变信号的去噪效果特别明显。
39.步骤4：检测摩擦时间，并对摩擦声进行切割；
40.本实施例首先在得到干净且增强的音频以后，使用基于隐马尔可夫模型(hmm)的语音活动检测算法(vad)得到不同时刻存在摩擦声的概率。只考虑高概率的片段(概率大于90％)，并将其视为粗略的摩擦事件。然而，由此产生的摩擦事件仍将包含一些没有声音的
片段和误判片段(如手指离开屏幕时产生的沾黏声)。
41.本实施例然后根据得到的粗略摩擦事件，首先计算出信号的上下包络，它们之间的差值会随时间而变化。当存在摩擦声时，差值会越来越大，而在没有声音的片段时，差值接近于0。因此，根据这种变化，可以精确检测每段摩擦声的开始点和结束点。
42.本实施例的基于信号包络的摩擦声切割算法具体的算法过程说明如下：
43.首先，为信号的上下包络差值设置一个阈值t
dif
以及每一段摩擦声的持续时间设置一个阈值t
dur
。当上下包络之间的差值变得大于t
dif
时，该信号点可能是摩擦声的起始点。同样，当差值变得小于t
dif
时，该信号点可能是摩擦声的结束点。最后，需要进一步验证摩擦声的持续时间。只有当起始和结束信号点的时间间隔比t
dur
大时，这个声音信号才会被认为是合格的摩擦声。经过大量的测试，调整了t
dif
和t
dur
的值，可以准确切割出每一段摩擦声。若摩擦声的数量和图案的线段数不一致，则认为该次输入无效，需要重新绘制解锁图案。
44.步骤5：提取指纹特征，将提取的指纹特征输入到身份验证模型中，针对每一段摩擦声给出一个置信分数，经过加权处理后，分数大于预设值的使用者属于合法用户。
45.由用户手指和移动设备屏幕表面相对滑动产生的摩擦声主要取决于用户的指纹特征。针对这一发现，本实施例由粗到细提取了8个信号特征，一共99维的特征向量，包括：7维的频谱描述符，1维的谐波比，39维的mfcc相关系数(包含标准mfcc系数、mfcc一阶差分系数和mfcc二阶差分系数在内)，11维的lpcc系数，27维的rasta-plp系数，12维的lsf系数，1维的峰度和1维的偏度。
46.本实施例将提取的指纹特征输入到身份验证模型中进行安全认证；在用户设置手势密码时，只有合法用户的摩擦声可以被采集到。基于这些数据，针对不同的合法用户会训练出不同的身份验证模型。
47.本实施例的身份验证模型，是采用oc-svm来构建身份验证模型，模型的输入每一段摩擦声的99维特征向量；本实施例选择高斯径向基核函数(rbf)来训练身份验证模型和序列最小优化算法(smo)作为优化函数。
48.在获得了使用者绘制解锁图案时产生的摩擦声之后，将提取出相应特征输入到预先训练好的身份验证模型中。身份验证模型针对每一段摩擦声都会给出一个置信分数，然后应用自适应加权策略来得到一个加权后的分数，分数越大，代表该使用者属于合法用户的概率越高。
49.本实施例的自适应加权策略的具体实现过程说明如下：
50.当使用者绘制图案的手指指尖垂直于滑动方向时，产生的摩擦声相比于平行时能更好地反映用户的指纹特征。基于这一原理，针对不同滑动方向的直线对应的摩擦声，设置了不同的认证权重。针对那些用户更喜欢使指尖垂直于滑动方向绘制的线条，它们对应的摩擦声会被赋予更高的权重。然后，对一个图案中的每一段直线对应的摩擦声认证置信分数进行加权综合，得到一个加权总分s。只有当s》＝t
leg
时，该未知用户才会被认为是合法用户，其中t
leg
是在多次测试中得到的经验阈值。在使用过程中，系统会自适应地根据多次认证结果调整权重。如果被给予较高权重的线段对应的摩擦声得分经常较低，那么系统就会降低它的权重。相反，如果被给予较低权重的线段对应的摩擦声得分经常较高，系统则会增加它的权重。
51.当通过遍历图案的方式来尝试暴力破解，或者基于已知正确的图案密码时的多次
尝试破解，如果经系统连续判定为非法用户的次数超过设定值(例如5次)之后，系统将设备锁定，并且切换输入方式为复杂密码。
52.本发明利用使用者输入手势密码时手指和屏幕产生的摩擦声的不同来研究和探索出一种对用户指纹进行隐式认证，能够实现防肩窥攻击的基于摩擦声的安全手势密码认证机制。
53.当用户进行身份验证时，用户输入手势密码，内置麦克风同时捕捉滑动摩擦声。具体来说，手势密码的图案要求至少经过4个不同的点，这是目前大多数商业智能手机的常见设置。用户完成手势密码输入后，将输入的图案与注册时系统中存储的图案进行匹配。如果手势密码不正确，用户将被直接拒绝。否则，客户端将实时录制的音频传输给服务器进行进一步处理。
54.当前的攻击者获取使用者手势密码的攻击手段有如通过直接观察、借助镜子或隐蔽的针孔摄像头窥探到使用者输入密码操作的肩窥攻击，通过分析智能手机的加速度计数据来推断解锁图案的传感器攻击，利用用户在屏幕上绘制图案时产生的油污来恢复解锁图案痕迹的油污攻击，利用用户在解锁过程中眼球的不自主运动来推断解锁图案的眼球攻击，以及利用指尖反射的声信号来推断解锁图案的声反射攻击。对于这些攻击方式，本发明都有较为有效的抵御效果。
55.需要说明的是，在实际应用中，由于用户手指摩擦屏幕产生的摩擦声较小，攻击者很难通过隐蔽的麦克风录制到用户的摩擦声进行重放攻击。由于每一个手势密码图案都会有多段，与之对应的摩擦声也会有多段，所以如何在保证用户使用体验的同时合理地抵御攻击都需要加以考量。
56.应当理解的是，上述针对较佳实施例的描述较为详细，并不能因此而认为是对本发明专利保护范围的限制，本领域的普通技术人员在本发明的启示下，在不脱离本发明权利要求所保护的范围情况下，还可以做出替换或变形，均落入本发明的保护范围之内，本发明的请求保护范围应以所附权利要求为准。