论文总字数：24914字

摘 要

本文研究了安卓系统上两种新型用户身份认证机制，分别为基于多点触摸位置序列认证和多幅图像手势切换认证，并编写了软件验证该两种方案。

本文首先介绍了目前移动设备所使用的用户认证机制可分为传统密码认证、生理生物识别和行为生物识别，然后详细分析了目前安卓系统上使用较多的用户认证机制所存在的问题，PIN码和图案解锁密码容量小、用户自定义权限有限且易被“肩窥”和遗忘，指纹解锁等则存在错误拒绝率高，造价高昂和“一次破解，终生破解”等问题。针对此，本文提出了两种新型的用户认证机制，第一种为用户通过按顺序触摸屏幕上某些点实现认证，用户能够自行定义触摸序列的长度、每次同时触摸点数和各点的位置，实现“锁”与“钥匙”的双重自定义；第二种为用户通过特定的手势切换四张图片实现认证，用户可自行定义每张图片对应的手势的起止位置，而后台会同时记录用户手势的横纵向速度，两者均吻合方可解锁，实现传统密码认证机制与行为生物识别技术的结合。

最后，通过编写软件并进行真机调试实现了这两种认证机制，实际操作中两种机制均能较好地区分出合法用户和非法用户。

关键词：安卓，用户认证，多点触控，手势切换，行为生物识别

A STUDY OF USER AUTHENTICATION

BASED ON ANDROID SYSTEM

Abstract

In this thesis, two novel user authentication methods are studied, that is multi-touch-based sequence authentication and gesture switch of pictures authentication. We also develop programs to verify these two methods.

In this thesis, it is introduced that the current popular authentications can be divided into traditional passwords, physiological biometrics and behavioural biometrics at first. Then the problems of the current authentications using on Android devices are discussed in details. PIN and pattern lock are both short in code capacity and user customization. Moreover, they are easily forgotten or stolen by “shoulder surfing”. Methods like fingerprint authentication suffer from high rate of FRR, great expense and can’t be revoked once being attacked. Considering all the facts mentioned above, two novel authentications are put forward in this thesis. The first one allows users to be authenticated by touching some certain points in sequence. In this method users can customize the length of the sequence, the positions of the points and decide whether to use multi-touch, fulfilling the demand that both the “key” and “lock” are in safe hands. The second method allows users to be authenticated by switching 4 pictures using designated gestures. Users are supposed to determine the start and end points of each gesture, while the velocities of both X-axis and Y-axis will be recorded automatically. Both of these are essential for this method, which combines traditional passwords and behavioural metrics.

At last, software is developed to fulfil these two methods. It turns out that both methods work well in practise, being able to distinguish illegal users from the legal ones.

KEY WORDS: Android, user authentication, multi-touch, gesture switch, behavioural biometric

目录

摘要 I

Abstract II

第一章 绪论 1

1.1 研究背景及意义 1

1.2 移动设备用户认证 1

1.2.1 移动设备用户认证的特点 1

1.2.2 移动设备用户认证的现状及问题 1

1.3 安卓系统用户认证 4

1.3.1 安卓系统介绍 4

1.3.2 安卓系统用户认证的现状及问题 4

1.4 主要研究目的和内容 5

1.4.1 主要研究目的 5

1.4.2 主要研究内容 6

第二章 安卓用户认证设计与实现 7

2.1 方案设计 7

2.1.1 关键问题及难点 7

2.1.2 基于多点触摸位置序列认证方案 7

2.1.3 多幅图像手势切换认证方案 10

2.2 功能实现 13

2.2.1 用户注册模块 13

2.2.2 后台服务模块 19

2.2.3 用户认证模块 20

2.3 本章总结 20

第三章 结果演示 21

3.1 开发环境介绍 21

3.2 操作界面 21

3.3 讨论 26

第四章 结论和展望 27

致谢 28

参考文献(References) 29

绪论

研究背景及意义

2007年1月9日，随着苹果缔造者乔布斯在推翻之前一切手机设计的基础上发布了智能手机iPhone，世界从此改变，手持智能终端从此进入人们的生活，并逐渐成为不可或缺的一部分。它们虽然只是一部部微型电脑，却有着电脑所不能及的功能，拍照、通讯、上网、收发邮件、电子钱包、手机银行等等。近几年，随着移动互联网的飞速发展，无线网络的日益壮大，新科技新技术的层出不穷，手持智能终端正逐步取代着其他的一切。你可以将身份信息存入手机；移动银行使你随时随地转账汇款；网络电子钱包使LV成为摆设；出行从此进入电子票时代，告别排队取票的烦恼； NFC技术的发展，只需一块智能手表就能解决所有问题。然而，也正因如此，越来越多的私人信息被存入手持智能终端，移动智能终端的价值已经远远超过了设备本身的价值。与此同时，盗窃者也不仅关注于智能终端本身的价值，还开始觊觎设备中用户信息所蕴含的不可估量的财富，不法分子往往利用目前用户身份认证的薄弱环节和漏洞来获取用户信息，实施诈骗、偷窃等犯罪行为，手机丢失和被盗有时能给用户造成巨大的多重损失。而从手机系统角度而言，如何准确认证用户的身份，从而保证隐私数据的安全，成为了目前至关重要的课题。

移动设备用户认证

移动设备用户认证的特点

随着信息时代的飞速发展，移动设备的功能日益完善，逐渐替代了生活中常见的各种凭证和支付方式，安全性问题得到越来越多的关注，目前基本所有的移动设备都具有用户认证模块，从功能单一的iPod(影音设备)和Kindle（电子书阅读器）具有数字密码认证，到手机和电脑配备指纹等多种认证方式。他们所涉及的各种认证方式可以大致分为以下三种[1]:

• 传统密码认证技术
• 生理生物识别技术
• 行为生物识别技术

这三种用户身份认证技术产生虽然有先后，但各有其优缺点和存在的意义。简单而言，第一种方式主要依托于记忆，用户能够经常更换，即使攻破也能及时挽救，后两种则依靠的是用户的生物特征，无法轻易窃取，但一旦攻破，将很难挽救。

移动设备用户认证的现状及问题

1. 传统密码认证技术

传统密码认证技术主要包括PIN码、密码和图案密码等，它们的特点是易于修改，但容易遗忘或丢失，安全性较差。PIN码和图案密码目前仍然是移动设备上较为常见的认证方式，而密码由于输入较为复杂，经常输入也难免会造成泄漏，通常用于用户忘记PIN码或图案密码时使用。

PIN全称为Personal Identification Number，中文译为个人身份识别码，最早用于银行自动取款机密码使用，后来被广泛用于各种系统的身份验证。通过计算我们可以发现6位纯数字密码容量仅为1000000，6位数字和大小写字母密码容量为56800235584，若使用主频为3.3GHz的4核处理器进行穷举法破解，前者1秒内即可破解，后者也仅需21秒。然而用户在使用PIN码作为用户认证时，为了便于记忆，通常会选择自己或亲友的生日、电话号码等，这样很容易被攻击者通过猜测或者建立口令字典进行攻击[2]，同时由于PIN码位数较短，多为纯数字构成，十分容易被人通过“肩窥”方式窃取[1]。

剩余内容已隐藏，请支付后下载全文，论文总字数：24914字