Behavioral biometrics for continuous authentication: security and privacy issues

 
Το τεκμήριο παρέχεται από τον φορέα :

Αποθετήριο :
Ιδρυματικό Αποθετήριο Ελλάνικος (Hellanicus)
δείτε την πρωτότυπη σελίδα τεκμηρίου
στον ιστότοπο του αποθετηρίου του φορέα για περισσότερες πληροφορίες και για να δείτε όλα τα ψηφιακά αρχεία του τεκμηρίου*
κοινοποιήστε το τεκμήριο





Συμπεριφορικές βιομετρικές μέθοδοι για συνεχή αυθεντικοποίηση: ζητήματα ασφάλειας και ιδιωτικότητας. (EL)
Behavioral biometrics for continuous authentication: security and privacy issues (EL)

Στύλιος, Ιωάννης

aegean

Tα συστήματα ελέγχου ταυτότητας που βασίζονται σε PINs και κωδικούς πρόσβασης ή σε φυσιολογικά βιομετρικά (π.χ. ίριδα ματιού, δακτυλικό αποτύπωμα, κ.α.) χρησιμοποιούν το μοντέλο αυθεντικοποίησης στο σημείου εισόδου (entry-point authentication model). Το μοντέλο αυτό έχει επικριθεί έντονα επειδή είναι ευάλωτο σε επιθέσεις που συμβαίνουν μετά την αρχική αυθεντικοποίηση. Ορισμένα από τα εν λόγω συστήματα αμύνονται έναντι τέτοιων επιθέσεων εκτελώντας ένα πρόσθετο βήμα ελέγχου ταυτότητας σε κρίσιμα σημεία της συνεδρίας αλλά δεν είναι δημοφιλή στους χρήστες λόγω της επαναλαμβανόμενης αυθεντικοποίησης (repetitive authentication). Οι κινητές συσκευές και οι εφαρμογές τους χρησιμοποιούν το μοντέλο αυθεντικοποίησης στο σημείου εισόδου για τον έλεγχο της ταυτότητας των χρηστών. Ένα σημαντικό μέλημα οπότε είναι να καθοριστεί εάν η κινητή συσκευή βρίσκεται στα χέρια του γνήσιου χρήστη (genuine user) και, αντίστοιχα, εάν ο γνήσιος χρήστης είναι αυτός που χρησιμοποιεί τις ευαίσθητες υπηρεσίες κατά τη διάρκεια μιας συνεδρίας. Προς επίλυση αυτού του ζητήματος έχουν προταθεί στη βιβλιογραφία τα συστήματα Συνεχούς Αυθεντικοποίησης (Continuous Authentication – CA) με χρήση Συμπεριφορικών Βιομετρικών (Behavioral Biometrics – BB). Τα CA συστήματα αποτελούν ένα πρόσθετο μέτρο ασφαλείας που παρακολουθεί τη βιομετρική συμπεριφορά των χρηστών επαναπροσδιορίζοντας συνεχώς την ταυτότητα τους κατά τη διάρκεια μιας περιόδου σύνδεσης. Η πρακτική εφαρμογή τους είναι όμως περιορισμένης έκτασης λόγω δυο θεμελιωδών ελλείψεων. Η πρώτη έλλειψη εστιάζεται σε μη τεχνικά ζητήματα, όπως για παράδειγμα, σε αντιλήψεις σχετικές με τους φόβους και τις προσδοκίες των μελλοντικών χρηστών και σε αντιλαμβανόμενες ανησυχίες για την ιδιωτικότητα των βιομετρικών τους. Η δεύτερη έλλειψη εστιάζεται στο πρόβλημα των ψευδώς θετικών/ψευδώς αρνητικών αποτελεσμάτων, δηλαδή, σε ζητήματα ασφάλειας (security) και ευχρηστίας (usability). Η παρούσα διδακτορική διατριβή περιλαμβάνει τέσσερα ερευνητικά στάδια. Πρόκειται για ερευνητικά στάδια ενός ενιαίου ερευνητικού έργου. Στο πρώτο ερευνητικό στάδιο παρουσιάζεται μια εκτεταμένη βιβλιογραφική ανασκόπηση που χαρτογραφεί την περιοχή της έρευνας και αφορά στην τεχνολογία BBCA και την απόδοση των συστημάτων μηχανικής μάθησης. Επιπλέον, παρουσιάζεται μια βιβλιογραφική ανασκόπηση σχετική με τους πιθανούς φορείς επίθεσης στα συστήματα BBCA και επισημαίνονται πολλά υποσχόμενα αντίμετρα. Επίσης, πραγματοποιείται μια ταξινόμηση των συμπεριφορικών βιομετρικών (Behavioral Biometrics - BB) σε επτά κατηγορίες και μια ανάλυση των μεθοδολογιών της συλλογής και εξαγωγής των χαρακτηριστικών (feature extraction) τους. Τέλος, εντοπίζονται οι προκλήσεις, τα ανοιχτά προβλήματα και οι μελλοντικές τάσεις. Στο δεύτερο ερευνητικό στάδιο της παρούσας διατριβής, διερευνάται η επίδραση διαφόρων παραγόντων συμπεριφορικής πρόθεσης υιοθέτησης της τεχνολογίας (Behavioral Intention – BI) μέσω μιας νέας ενσωμάτωσης του Μοντέλου Αποδοχής Τεχνολογίας (Technology Acceptance Model - TAM) και της Θεωρίας Διάχυσης Καινοτομίας (Diffusion of Innovation Theory - DOI). Επίσης, αναπτύσσεται ένα νέο θεωρητικό πλαίσιο με δομές όπως Κίνδυνοι Ασφάλειας & Προστασίας Προσωπικών Δεδομένων (Security & Privacy Risks - SPR), Ανησυχίες Ιδιωτικότητας των Βιομετρικών (Biometrics Privacy Concerns - BPC) και Αντιλαμβανόμενος Κίνδυνος Χρήσης της Τεχνολογίας (Perceived Risk Of Using the technology - PRΟU). Επιπλέον, χρησιμοποιήθηκαν οι δομές Εμπιστοσύνη στην Τεχνολογία (Trust in Technology - TT) και Καινοτομία (Innovativeness - Innov). Διαπιστώθηκε ότι οι κύριοι Διευκολυντές (Facilitators) της Συμπεριφορικής Πρόθεσης Υιοθέτησης της Τεχνολογίας (Behavioral Intention - BI) είναι η Εμπιστοσύνη στην Τεχνολογία (Trust in Technology - TT), ακολουθούμενη από τη Συμβατότητα (Compatibility - COMP), την Αντιλαμβανόμενη Χρησιμότητα (Perceived Usefulness - PU) και την Καινοτομία (Innovativeness - ΙNNOV). Η παρούσα έρευνα δείχνει επίσης ότι τα άτομα ενδιαφέρονται λιγότερο για την ευκολία χρήσης της τεχνολογίας και είναι πρόθυμα να τη θυσιάσουν για να επιτύχουν μεγαλύτερη ασφάλεια. Η Συμβατότητα και η Καινοτομία παίζουν επίσης σημαντικό ρόλο. Τα άτομα που πιστεύουν ότι η χρήση της τεχνολογίας BBCA θα ταίριαζε στον τρόπο ζωής τους και θα ήθελαν να πειραματιστούν με νέες τεχνολογίες έχουν θετική πρόθεση να υιοθετήσουν την τεχνολογία BBCA. Για τις νέες δομές που προστέθηκαν, τα αποτελέσματα υποστηρίζουν την υπόθεση ότι οι Κίνδυνοι Ασφάλειας & Προστασίας Προσωπικών Δεδομένων (Security & Privacy Risks - SPR) είναι ένας διευκολυντής για την Αντιλαμβανόμενη Χρησιμότητα (Perceived Usefulness - PU). Επίσης, η PU ενεργεί ως διευκολυντής στην Συμπεριφορική Πρόθεση Υιοθέτησης της Τεχνολογίας (BI). Κατά συνέπεια, τα άτομα που δεν αισθάνονται επαρκώς προστατευμένα από τις κλασικές μεθόδους αυθεντικοποίησης θα εξετάσουν τη χρησιμότητα της τεχνολογίας BBCA για την πρόσθετη προστασία τους από κινδύνους. Επίσης, με τις δομές Ανησυχίες Ιδιωτικότητας των Βιομετρικών (Biometrics Privacy Concerns - BPC) και Αντιλαμβανόμενος Κίνδυνος Χρήσης της Τεχνολογίας (Perceived Risk of Using the Technology - PROU) εξετάζεται εάν οι ανησυχίες των ατόμων σχετικά με το βιομετρικό τους απόρρητο λειτουργούν ως Αναστολείς (Inhibitors) στο BI. Το συμπέρασμα που προκύπτει είναι ότι τα άτομα θεωρούν ότι τα οφέλη που σχετίζονται με την ασφάλεια των αγαθών τους (π.χ. χρήματα σε τραπεζικό λογαριασμό) από τη χρήση της τεχνολογίας BBCA είναι πολύ πιο σημαντικά από τους αντιλαμβανόμενους κινδύνους για το απόρρητό των βιομετρικών τους. Αυτό προκύπτει από το ότι η υπόθεση πως ο κύριος αναστολέας του BI είναι η δομή Αντιλαμβανόμενος Κίνδυνος Χρήσης της Τεχνολογίας (PROU) δεν υποστηρίζεται από το μοντέλο. Οι νέες δομές χρησιμοποιήθηκαν για την επέκταση του μοντέλου TAM και την αντιμετώπιση των περιορισμών του όσον αφορά στην αντιμετώπιση αντιλαμβανόμενων ζητημάτων ασφάλειας και ιδιωτικότητας. Ως εκ τούτου, προτείνεται το νέο θεωρητικό πλαίσιο να συνδυαστεί με το TAM για την έρευνα που αφορά στην υιοθέτηση τεχνολογιών βιομετρικής αυθεντικοποίησης και συνεχούς αυθεντικοποίησης. Στο τρίτο στάδιο έρευνας της παρούσας διατριβής παρατηρήθηκε ότι μια σημαντική πρόκληση και ένα ανοιχτό πρόβλημα, για την έρευνα που αφορά στην ανάπτυξή συστημάτων BBCA, είναι η συλλογή και η τελειοποίηση ενός κατάλληλου συνόλου βιομετρικών δεδομένων συμπεριφοράς. Το ζήτημα επιδεινώνεται από το γεγονός ότι οι περισσότεροι χρήστες αποφεύγουν να συμμετέχουν σε χρονοβόρες και επίπονες διαδικασίες που συνεπάγεται η συλλογή βιομετρικών δεδομένων έρευνας. Για το λόγο αυτό, η ανάπτυξη και η δοκιμή μιας μεθοδολογίας και ενός εργαλείου συλλογής βιομετρικών χαρακτηριστικών, με τρόπο φιλικό προς τον χρήστη, αποτελεί μια άλλη μεγάλη πρόκληση. Ως απάντηση σε αυτές τις προκλήσεις, στο τρίτο στάδιο της έρευνας, παρουσιάζεται ένα νέο παράδειγμα συλλογής συμπεριφορικών βιομετρικών δεδομένων, που ονομάζεται BioGames paradigm και ακολουθεί μία καινοτόμα προσέγγιση. Η προσέγγιση αυτή αφορά στην παιγνιοποίηση της συλλογής δεδομένων. Ταυτόχρονα αναπτύχθηκε και ένα εργαλείο συλλογής συμπεριφορικών βιομετρικών (Biogames App) που βασίζεται στο παράδειγμα BioGames. Η BioGames App χρησιμοποιεί παιχνίδια και προκλήσεις που συνδυάζουν δυναμική πληκτρολόγησης (Keystroke Dynamics) και χειρονομίες αφής (Touch Gestures). Στο τέταρτο στάδιο, παρουσιάζεται μια έρευνα σχετική με το σχεδιασμό και την αξιολόγηση νέων προσεγγίσεων στην συνεχή αυθεντικοποίηση χρησιμοποιώντας δυναμική πληκτρολόγησης (Keystroke Dynamics) και χειρονομίες αφής (Touch Gestures). Σύμφωνα με τη βιβλιογραφία, αρκετές μελέτες χρησιμοποιούν μονοτροπικές συμπεριφορικές μεθόδους (single behavioral modality methods) για τον έλεγχο της ταυτότητας των χρηστών. Ωστόσο, οι συμπεριφορές των γνήσιων χρηστών (genuine users) μπορεί να αλλάξουν και τα συστήματα να αποτυγχάνουν όταν συμβαίνουν σημαντικές αλλαγές. Τα παραπάνω έχουν ως αποτέλεσμα να δημιουργούνται είτε ζητήματα ασφάλειας είτε ευχρηστίας (security or usability issues). Στην βιβλιογραφία, η Σύντηξη (Fusion) βιομετρικών στοιχείων χρησιμοποιείται για την επίλυση αυτού του προβλήματος και επιτυγχάνει βελτιωμένα αποτελέσματα. Στην παρούσα έρευνα εξετάζεται κάθε συμπεριφορική βιομετρική περίπτωση ξεχωριστά και διερευνάται η περίπτωση βελτίωσης των αποτελεσμάτων απόδοσης με σύντηξη χειρονομιών αφής και δυναμικής πληκτρολόγησης σε επίπεδο χαρακτηριστικών (Feature-level fusion). Στην παρούσα προσέγγιση γίνεται σύγκριση μεταξύ βαθιών νευρωνικών δικτύων (Deep Neural Networks) σχεδιασμένων για δεδομένα που συνεπάγονται σημαντικές χρονικές δυναμικές, όπως το Multi-Layer Perceptron (MLP) και βαθιών νευρωνικών δικτύων σχεδιασμένων για ανεξάρτητα κατανεμημένα δεδομένα, όπως η Μακροχρόνια Βραχυπρόθεσμη Μνήμη (Long Short-Term Memory -LSTM). Συγκρίνοντας την απόδοση των δύο συστημάτων, το MLP είναι ανώτερο από το LSTM σε αυτό το πλαίσιο. Το MLP πέτυχε Accuracy 98,3% (αύξηση 21,1%), Equal Error Rate (EER) 1% (μείωση σφάλματος κατά 23,7%), True Acceptance Rate (TAR) 99,4% (αύξηση 46%), True Reject Rate (TAR) 97,4% (αύξηση 10%), False Acceptance Rate (FAR) 2,6% (μείωση κατά 10%), και False Reject Rate (FRR) 0,6% (μειωμένο κατά 46%). Από τα αποτελέσματα της έρευνας προκύπτει ότι η σύντηξη χειρονομιών αφής και δυναμικής πληκτρολόγησης σε επίπεδο χαρακτηριστικών βελτιώνει την απόδοση των συστημάτων και επιλύει ζητήματα ασφάλειας και ευχρηστίας.

doctoralThesis

fusion (EL)
συμπεριφορικά βιομετρικά (EL)
μηχανική μάθηση (EL)
long short-term memory (LSTM) (EL)
behavioral biometrics (EL)
machine learning (EL)
συνεχής αυθεντικοποίηση (EL)
multi-layer perceptron (MLP) (EL)
biogames (EL)
technology acceptance models (EL)
continuous authentication (EL)


2023-01-23


2023-02-24T08:22:11Z

Σάμος




*Η εύρυθμη και αδιάλειπτη λειτουργία των διαδικτυακών διευθύνσεων των συλλογών (ψηφιακό αρχείο, καρτέλα τεκμηρίου στο αποθετήριο) είναι αποκλειστική ευθύνη των αντίστοιχων Φορέων περιεχομένου.