随着技术的进步,智能手机逐渐在人群中得到了普及,并已成为人们的随身携带品。与传统个人设备相比,智能手机最大的特点之一在于配备了很多传感器。利用这些传感器,智能手机可以获许多特殊信息,如:周围的环境信息(声音、光照、WiFi),使用者的行为信息(触屏,晃动,点击)等。考虑到智能手机获取的不同传感器信息当中很多具有唯一性,而且智能手机在获取这些传感器信息时无需用户辅助,因此本文对基于智能手机的用户认证技术和安全设备配对方法展开研究,希望提高传统用户认证以及安全设备配对的可用性。本文具体工作包括以下几个方面:(1)基于情景感知的低交互多因素认证系统针对传统移动双因素认证系统面临的可用性问题,本文提出了基于情景感知的低交互多因素认证系统。在本系统中,当用户使用计算机浏览器登录自己的在线账户时,服务器除对用户进行口令认证外,还会通过比较浏览器和用户手机认证程序所采集的WiFi信息是否相似来判断用户身份是否合法。当用户使用手机浏览器自己的在线账户时,服务器除对用户进行口令认证外,还会通过比较浏览器和用户手机认证程序采集的设备指纹信息是否相同来判断用户的身份是否合法。其中WiFi信息比较的目的是判断登录设备和用户手机是否相邻,设备指纹信息比较的目的是判断登录设备和用户手机是否为同一设备。本系统中WiFi比较以及设备指纹的比较对用户而言都是透明的,用户所做的唯一事情就是点击手机认证程序中的按钮来建立手机认证程序和服务器的连接。实验结果显示当用户点击完手机程序中的认证键后,不超过5秒即可完成认证,而且认证的等错误率为 0.0172。(2)防止口令猜测的低交互双因素认证系统针对数据库口令容易发生泄漏的问题,本文提出了防止口令猜测的低交互双因素认证系统。在本系统中,服务器端存储加盐的口令哈希值,手机中存储盐值,认证时,当服务器收到浏览器发来的用户名和口令后,会通知浏览器和用户手机程序同时开始采集设备周围的WiFi信息。当采集完毕后,浏览器直接将采集到的WiFi信息发给服务器,而手机认证程序则利用采集到的WiFi信息将盐值上锁到金库中,并将金库发送给服务器。最终服务器会利用浏览器端发来WiFi信息从金库中提取盐值,然后根据加盐口令哈希值是否正确来判断用户是否合法。整个认证过程中,用户除需要在浏览器中输入用户名和口令外,只需点击手机程序上认证键。安全性分析结果显示本文方案不仅可以防止已经窃取用户口令后的攻击者进行身份冒用,而且还可以防止未获取用户口令的攻击者通过在线和离线的方式来猜测用户口令。(3)基于触屏行为的隐式重认证方法针对现有触屏行为认证方法认证准确率较低的问题,本文采用RUSBoost算法作为分类器。公开数据集上的实验结果显示相比传统的分类算法,如SVM、KNN和决策树,利用RUSBoost算法作为分类器能有效降低触屏认证等错误率。为了进一步降低触屏认证的错误率,本文提出了基于投票的决策层融合方法,实验结果显示,认证时通过融合不同方向的触屏数据进行判断可以降低认证的错误率。针对现有触屏认证方法比较耗电的问题,本文给出了基于弹性时间的调度算法,实验结果显示利用该算法可以在不降低触屏认证方法安全性的情况下起到节能作用。(4)基于周围声音和光照的安全配对方法针对传统安全设备配对方法无法适用智能手机与缺乏显式外部接口的个人设备建立安全配对的问题,本文提出了基于周围声音和光照的安全配对方法。在该方法中两个配对设备通过比较它们采集声音和光照信息是否相似来代替人工来完成对已建立密钥的认证,避免了配对过程用户和个人设备的交互。其中选择声音的目的是因为它对时间比较敏感,能防止攻击者重放旧的环境信息;选择光线的目的是因为它对位置比较敏感,能否防止攻击者采集到相似的环境信息。最终的实验结果和安全性分析证实了本文方法的有效性。