2016年8月17日，ISC2016移动安全发展分论坛在北京国家会议中心召开，论坛由奇虎360公司与InForSec（网络安全研究国际学术论坛）联合举办。主题是“谁在窥探我的财富和隐私”，论坛旨在从系统安全、数据隐私、移动互联网黑产、移动支付安全等多个备受业内外人士关注的话题出发，揭秘移动生活中面临的重重新威胁，并提供新的解决思路。超过400名安全行业人士与会并参与讨论。

　　西安交通大学智能网络与网络安全教育部重点实验室副教授沈超在论坛上做了“移动终端交互行为分析的身份主动认证与安全感知”的报告。他认为，随着移动互联网络的迅速发展，人们在生活和工作上对智能终端的依赖程度日益加深，智能终端（例如智能手机和平板电脑）上记录和存储着用户越来越多的重要数据和隐私信息，例如账户、个人信息、密码等等。移动安全公司Lookout统计每年有价值几十亿美元的移动设备遭到盗窃或丢失，相关统计报告表明有超过60%以上的移动用户在使用手机时不设置密码，身份安全问题带来的用户数据和隐私安全风险急剧上升。因此安全有效的身份验证手段是保证用户数据和隐私安全的关键问题，对公众的经济和利益安全具有重要意义。他以智能终端人体输入行为为身份载体，分析移动用户在输入过程中所展现出的交互行为特征，探讨基于行为特征的身份主动认证和保护技术。

　　以下内容为沈超副教授报告速记整理全文：

　　沈超：非常感谢杨珉教授的介绍。我很开心，非常荣幸站在这样的讲台上跟大家分享一下我们实验室（西安交通大学智能网络与网络安全教育部实验室）在移动终端交互行为分析的一些想法。

　　每当大家提到身份安全认证，在移动端的时候就能想到密码甚至指纹。大家也都知道现在发展这么多年，一般的犯罪分子就可以轻而易举地破掉你的指纹和特征，这是非常容易的问题。很多存在你的隐私数据和安全数据，这些东西会失窃。所以对于一般用户来说，这些东西是一个很大的威胁。在2014年，很多组织都做了在移动设备上关于密码系统的分析研究，大概几千万的密码样本上来做分析研究，发现基本上超过60%的密码的形式都是12345，或者ABCDE这样非常简单的形式。比如说我们的学生，大家在安卓手机上手势非常简单，画一个Z。在这样的情况下，移动端交互行为的安全问题实在是引发人思考。所以说身份安全问题是在移动端的设备上应该得到很大的关注。随着移动终端设备、智能终端设备、笔记本、云端设备、智能设备都进入各行各业，存储了越来越多的隐私都是你自己的数据。内部员工的密码泄漏有隐私侵害、身份盗用，给国家和各级企业造成很大的财政损失，这个引起了各国和企业的极大重视，也关系到每一个民众的切身利益。不管是中国还是美国相关的移动厂商安全报告都指出，每年的移动设备的丢失率都在成百万上千万，而且数字持续增加。如果地上拣部手机，60%的密码都是简单密码。如果你的密码非常简单，你手机上放了多少东西，照片、图片，甚至还有一些云平台，都会被他人窃用。现在有很多软件，比如携程等各种APP平台，用户都不需要认证，直接点击进去就可以使用，发一个验证码就可以支付。而且还不只如此，我们都知道“棱镜门”事件，为什么斯诺登能够找到这么多的数据，为什么底层的人能够找到这么多的数据？身份盗用，你是我的同事，我很清楚地知道你的号码。由于终端安全隐私的泄漏，给国家造成损失，给个人也带来损失。我们需要一种能够持续地对终端操作行为进行监控的方法，需要对操作的身份进行持续的认证。

　　这里涉及到主动式安全分析方法。DARPA在2013年12月在交互行为测定和主动认证计划上，在传统的PC和移动设备上，它要在这些设备上设置一个持续身份的认证方法。能够在用户使用终端过程中完成对用户的身份认证和身份认知，强调不需要用户配合，你不能让用户知道这个过程。软件开发商不能同时使用指纹和密码，让用户不停地刷而影响用户正常使用。就让用户在正常使用过程中，不影响业务的情况下完成身份的确认和甄别。我们小组很荣幸，该项目在16年开始，我们有幸参与了两期。我们跟美国的一些合作者一起做这个事情。

　　为什么会有新的东西？是指，2013年年底的时候，德国国防部长他在一次会面中招手，记者用高清摄像机拍了一下，然后从他的照片中把他的指纹全部模拟出来。指纹和密码不一样，密码丢了换一个，指纹丢了怎么办？它可以拍到不同的侧面，单一的肯定不行，相当于对指纹进行3D建模。这样的话相当于你的指纹已经在互联网上泄漏了。在这样的重击之下，在个人信息丢失的情况下，还能够完成通过分析方式完成对用户的身份确认和识别，这个是前提。我说的更多是终端交互行为，为什么能够通过用户终端交互行为来完成身份认证和监控呢？终端交互行为是现在很多研究者在做的课题，认为是一种生物特征。生物特征分两类，一类生理特征，一类行为特征。生理特征主要衡量你所具有的，通过这些来判定你的身份，我们一般指的指纹，人脸这样的特征。另外的行为特征，是来衡量你所表现出来的，包括你的语音，你的动态。终端交互行为，一般的定义是这样，是指用户在操作终端设备的过程当中所展现出来的行为，这些操作设备一般指键盘、鼠标，现在还有可穿戴的设备，你手上戴的手环、手表，通过传感器反映你的行为。它的优点在于可以从交互过程中直接提取，这是很大的优势。第二优势是，它无法激活，你不用带一个密码，它也不需要额外的硬件，你的设备总要用。它可以无缝同步到用户和终端的交互过程中，不会产生额外的干扰。总结来说，第一部分获取终端交互，这是一个键盘的数据，包括一些时间点。第二个，我们有一个很重要的部分，这个跟人脸不一样，虽然它是行为特征，有一个结构性的东西。但是键盘、鼠标、触摸屏，它本身就是比较大，反映手指灵活度很高的，手指上的关节非常多。我们做的时候也跟医学院一起合作，我们做键盘，人手指上，一个手上的肌肉关节有两千多个，所以说整体这两千多可能反映出来，我们也做了模型，做了很多摄像头拍手指的运动过程。所以说我们很重要的一步需要描述和手指滑动的过程。之后，我们优化描述基础上提取行为特征，反映各个方面，形态或是动态，利用这些特征，后面就是一些比较标准的。可能学习方法，完成对身份的确认。此外，我们还做了一些其他的研究，包括对身份认知。因为我们采集到这些数据，之前我们做实验室的时候，在实验室做的时候，因为手部有一些疾病，我们看到每个用户在操作键盘的形式，甚至滑动都有很大的区别。所以我们想到能不能做一些指令的认知，比如说你的性别、年龄。我们通过一个犯罪分子的鞋码的大小、身高，通过这个推测一个用户的习惯。