⃝⃝可在www.sciencedirect.com在线ScienceDirectICT Express 5(2019)16www.elsevier.com/locate/icteDriverAuth:基于行为生物特征的驾驶员身份验证机制,用于按需乘车和拼车基础设施Sandeep Gupta,Attaullah Buriro,Bruno Crispo意大利特伦托大学接收日期:2017年9月13日;接受日期:2018年2018年2月3日在线发布摘要按需乘车服务和共乘基础设施主要关注出行时间和成本的最小化。然而,服务提供商忽视了乘客的安全。对于驾驶员身份验证,现有的身份管理方法通常检查驾驶执照,驾驶执照很容易被盗,伪造或滥用。此外,根本不进行背景调查;相反,社交档案和同行评议被用来培养信任,从而损害了乘客的安全。此外,目前的机制似乎在停止恶意驱动程序提供的服务无效。在本文中,我们提出了DriverAuth-a完全透明和易于使用的身份验证方案的驱动程序,是基于常见的行为生物识别方式,如手部动作,刷卡,触摸笔画,而司机与专用的基于智能手机的应用程序进行交互,接受预订。对基于行为生物识别的方法的初步研究提供了一种可用的智能手机验证机制,这可能是一种潜在的解决方案,可以提高新兴的按需乘车和拼车基础设施中乘客的安全性c2018韩国通信与信息科学研究所(KICS)。Elsevier B.V.的出版服务。这是一个开放获取CC BY-NC-ND许可证下的文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。关键词:按需乘车基础设施;智能手机;人为因素;乘车安全1. 介绍按需乘车和共乘基础设施是人们使用智能手机随时按需预订各种交通工具的创新手段。Uber、Lyft和BlaBlaCar在消费者中越来越受欢迎,尽管有一些不当行为[1]被报道,例如对乘客的攻击或虐待其受欢迎的原因从乘客的角度来看,通过智能手机预订乘车既简单又方便。虽然这一基础设施提高了骑手的生活质量,但也引发了对骑手安全的担忧。服务提供商通过基于智能手机的应用程序提供服务,并假设用户在使用时已正确识别自己*通讯作者。电子邮件地址:sandeep. unitn.it(S. Gupta),attaullah. unitn.it(A. Buiro),bruno. unitn.it(B. Crispo)。同行评审由韩国通信和信息科学研究所(KICS)负责https://doi.org/10.1016/j.icte.2018.01.010在任何不可预见的事件的情况下,服务提供商通常必须依赖司机提供的信息,这些信息可能是错误的(通常是人为因素),因为他们的警察记录不干净[2]。服务提供商使用的最常见的验证形式是基于政府颁发的文件[3];然而,这些文件很容易伪造。服务提供商对司机的背景调查不足,损害了乘客的安全,这不再是恶意行为的司机的问题。1现代身份管理解决方案,例如,基于信任的机制[4],可 以 通 过 集 成 流 行 的 社 交 网 络 平 台 ( 如 Facebook ,LinkedIn,Twitter和Google+)来设计。然而,许多注重隐私的用户并不热衷于在社交网站上分享他们的所有动作和行为[5]。此外,一个骗子司机可以很容易地1 https://www. recode. net/2017/11/14/16647706/uber-class-action-lawsuit-riders-sexual-assault-rape-violence-backgrond-checks。2405-9595/c2018韩国通信和信息科学研究所(KICS)。出版社:Elsevier B.V.这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。S. 古普塔A。Buriro和B.Crispo/ICT Express 5(2019)1617Fig. 1. 基于App的预订系统。在这些社交网络平台上创建一个虚假的个人资料[6],破坏这种形式的身份验证的整个目的。使用生物识别技术进行驾驶员在本文中,我们提出了一个无缝和透明的认证计划,以验证驱动程序远程,可以很容易地集成到服务提供商该方案利用司机我们假设在交互过程中,驾驶员将智能手机握在手中和/或点击 或浏览应用程序以查看预订的乘车。所提出的方案配置文件的手的运动,水龙头,和刷卡配置文件的驱动程序。之后,服务提供商使用该信息来验证驾驶员的身份。本文的主要贡献如下:1. 引入无缝和透明的认证方案,DriverAuth,基于个人特定的行为生物识别技术,即,在与专用应用程序交互期间收集的手部运动、滑动手势和触摸打字,以接受新的预订请求。2. 由服务提供商通过记录驾驶员的误操作并将其与基于行为生物测定的身份建立机制相关联来2. 设计目标我们提出了一个无缝的和不显眼的行为生物识别为基础的驱动程序认证方案。这个想法是基于这样一个事实,即司机需要与应用程序进行交互,以促进人们预订的游乐设施。在这种交互的过程中,驾驶员应该通过专用应用进行导航、滑动和/或触摸类型。目前市场上可获得的所有智能电话都配备有敏感传感器,即,加速度计、陀螺仪、触摸屏等。这些传感器用于收集运动和基于触摸的数据来分析非常具体的用户行为。我们的基于服务器的认证方案收集手势,即,在驾驶员与应用程序交互期间,驾驶员的手移动、触摸类型和滑动透明地准备他们的简档,并使用手势来训练分类器。在达到足够数量的训练观察之后,它通知服务提供商关于用于驾驶员和乘客的身份确认的行为生物计量模态的可用性。DriverAuth提供了以下优点i. 透明性:所提出的认证方案是完全透明的,因为所有的认证步骤都在后台执行。ii. 不需要额外的硬件:该方案使用目前市场上所有商用智能手机中可用的现有内置硬件。iii. 更高的安全性和可用性:所提出的方案通过模仿非常个人化的不可见的手机移动和触摸计时而安全,并且滑动是困难的。该方案也是高度可用的,因为它在后台执行操作而不会打扰司机。3. 基于应用程序的乘车预订系统3.1. 系统概述尽管不同的服务提供商都有自己专门为用户提供的应用程序,但这些应用程序的核心功能是共同的。我们将此核心称为在我们提到应用程序时,请参阅本文的其余部分。基于应用程序的按需乘车预订系统主要由三个利益相关者组成,即,(a)服务提供商,(b)骑手,和(c)司机,如图所示。1.一、这三个利益攸关方之间的互动如下:1. 客户访问应用程序并键入他/她在特定时间想要去的目的地。服务提供商接受来自客户的请求并获取他/她的凭证,即,姓名、位置、移动电话号码、地址和其他辅助数据。18S. 古普塔A。Buriro和B.Crispo/ICT Express 5(2019)162. 服务提供商检查该区域或附近的驾驶员的可用性,并通知可用的驾驶员在客户详细信息所请求的时间从该位置接客户。3. 驾驶员确认服务提供商接受乘车。4. 服务提供商通知客户并发送信息,包括出租车号码、到达时间和司机5. 司机通常在上车时间前15分钟打电话给客户,6. 客户和司机都可以向服务提供商分享他们3.2. 人为因素在这个系统中,司机和乘客的身份都藏在智能手机里任何拥有被盗智能手机的人都可能对他们中的任何人构成威胁,除了车辆安全。我们解释了与按需拼车系统相关的可能威胁,包括人为因素。(1) 出租车司机:商业模式允许21岁以上的人至少有一年的驾驶经验,成为一个商业司机。任何司机与有效的驾驶执照和车辆登记和保险证明可以成为驾驶4门或6门车辆的资格,并可以自由注册成为司机。据报道,司机袭击或虐待乘客的行为有几种。同样,一个有恶意意图的人可以在服务提供商不知情的情况下通过窃取/克隆他的智能手机来冒充合法司机,这可能对乘客构成威胁。(2) 骑手:一个有着可怕意图的人可以构成一个威胁到司机或可能是一个恶作剧谁预订乘坐只是为了好玩。具有现有识别方法的服务提供商很可能无法跟踪这样一个具有可怕意图的人,他可能对司机构成威胁,或者可能是一个恶作剧者,他只是为了好玩而预订乘车。 现有的身份识别方法的服务提供商很可能无法跟踪这样的人,并剥夺他们重复恶作剧的机会。我们提出的驾驶员身份验证系统也可以应用于乘客身份验证。然而,虽然司机有合同和激励来注册我们的身份验证方法,但乘客,特别是一次性的乘客,可能会基于隐私问题而反对。这种限制自愿使用我们的计划可以通过解释所有生态系统的安全增加的优势,并引入一些激励计划,以早期采用者克服。这种商业模式缺乏可用性和安全认证机制,服务提供商可能会终止与乘客行为不当的驾驶员,因为他/她可能会从类似或其他服务提供商那里寻求就业机会,图二. 带有安全层的客户端应用程序。用假身份重新申请同样,提供者无法区分真正的骑手和恶作剧者,或者之前对司机行为不端并再次寻求乘坐的人4. 溶液我们的解决方案DriverAuth使用客户端-服务器架构。在我们的方案中,我们在客户端缝合了一个透明的安全层,捕获各种行为生物识别模式,包括手部运动[8],滑动和手部运动手势[9,10]以及触摸行程时间差异[8,11],而用户持有手机并与按需乘车应用程序交互。同时,在服务器端处理捕获的数据,以建立驾驶员的身份,并在针对驾驶员报告的情况下维护任何不当行为的历史数据。4.1. 客户端应用在我们的实验中,我们收集了三种模态,即手部运动、滑动手势和触摸笔划定时,这些模态不引人注目地并且成功地识别和区分用户。客户端应用程序是可扩展的,包括其他形式,以及在未来,我们将包括步态,抓地力,语音和其他行为模式。在客户端应用程序中,我们缝合了一个由数据采集模块、累加器/加密引擎和定时发生器组成的安全层,以及事件报告模块,如图所示。 二、一旦用户开始与应用程序交互,会话管理器就会调用安全层。数据采集激活所需的传感器,以收集所需的模态数据,S. 古普塔A。Buriro和B.Crispo/ICT Express 5(2019)1619表1行为生物识别模式。方式收集的数据使用的传感器/API手部动作时间偏移,x-y-z实时时钟,(User保持加速度,x-y-z加速度计,重力,智能手机)陀螺仪磁力计,定向、陀螺仪传感器滑动手势时间偏移,x-y实时时钟,(User上的滑动位置、压力、大小触摸屏Velocity屏幕)跟踪器触击时间间隔,轨道实时时钟,(User打字)速度触摸屏图三. 服务器应用程序。用户界面(UI)管理器,并在设置的持续时间内将数据传输到累加器和加密引擎。累加器存储从各种传感器收集的数据,加密引擎使用行业标准加密算法对这些数据进行一旦收集到足够的数据,就将其打包并发送到网络层。网络层将数据发送到服务提供商,以进行进一步处理,从而确定用户的身份。4.2. 服务器应用图 3显示了服务器应用程序的主要组件。它主要包括(1)解密引擎,(2)解压缩器,(3)信号预处理和特征提取模块,(4)特征融合,(5)特征选择,(6)模板创建,以及(7)数据库。解密引擎解密从客户端应用接收的用户数据。数据流被分解成各个模态,即,手部运动、滑动手势和触摸笔划,用于对原始数据和各种统计特征(例如,为每个单独的模态提取的平均值、标准偏差、由于所提出的方案使用多模态机制,特征的融合和选择的基础上的优点,只需要选择的生产功能的用户识别。基于所选择的特征子集创建驾驶员模板,然后将其存储在主数据库中作为训练模板。随后,将类似的程序应用于测试数据,以制定测试模板,并与训练样本进行匹配,以验证索赔人的身份。每当用户与客户端应用程序交互时,输入样本将与存储在数据库中的模板进行比较,该模板是在训练阶段创建的,并且为了匹配,使用标准机器学习分类器。因此,驾驶员根据其行为模式进行身份验证。身份验证机制对驾驶员是透明的,并且他们的数据变得非常容易收集,因为不需要他们的许可或合作。此外,个人特定的不可见的生物特征行为变得非常乏味的模仿。4.3. 行为生物测定模态描述DriverAuth利用所有可用的三维传感器,即,加速度计、重力、方向、磁力计和陀螺仪以及触摸屏。此外,它还通过应用两个滤波器从加速度计导出另外两个传感器读数,即,低通滤波器(LPF)和高通滤波器(HPF)[12]。表1总结了所选模态、提取的特征和所用传感器的列表。5. 结论本文提出了一种基于行为生物特征的身份认证方案,在按需乘车和乘车共享服务的背景下。该方法对于远程验证驱动程序非常有用,即,区分真正的司机和冒名顶替者,在每次新的乘车预订时该方案也可以扩展到验证预期的乘客(前提是采取事先用户同意以避免任何隐私相关问题)。该方案是不显眼的,因为验证是在后台执行的,并且对驾驶员是不可见的。此外,所提出的方案已经显示出对模仿攻击的抵抗力,因为不可见的人特定的模仿方式,即,手部运动、滑动手势和触摸类型可能极难模仿。 此外,这个附加的安全层使系统安全免受呈现攻击、肩扛攻击和随机攻击。最后,该方案易于实现并与现有基础设施集成,因为它不需要任何额外的硬件和明确的用户输入。20S. 古普塔A。Buriro和B.Crispo/ICT Express 5(2019)16由于篇幅限制,我们将在未来的论文中报告详细的方法和扩展的实证评估结果。我们还将探讨其延长对更多模式的影响,即,抓握、步态、声音等,我们将从准确性、性能和可用性方面对其进行评估。确认这项工作得到了玛丽·斯克洛多夫斯卡-居里赠款协议号下的NeCS ITN项目的部分支持。675320。利益冲突作者声明,本文中不存在利益冲突引用[1] 报告的事件列表涉及优步和Lyft htp://www. 你怎么会这样。或g/rideshar-indents。[2] Uber 司 机 的 背 景 调 查 不 够 好 , http : //www.bbc.[3][3][4][5][6][7][8][10][11][12][13][14][15][16][17][18][19][19][[3] Wael Jabbar Abed Al-Nidawi,Mahdi Athab Maan,Marini Othman,国家电子识别系统综述,第四届高级计算机科学应用和技术国际会议(ACSAT),IEEE,2015年。[4] Michael Frutiger,Eric Overby,D.J. Wu,社交网络平台整合对在线服务有价值吗?随机田间试验和档案数据分析。2014年。[5] Kang Ruogu,Stephanie Brown,Sara Kiesler,为什么人们在互联网上寻求匿名? Informing policy and design,in:Proceedingsof theSIGCHI Conference on Human Factors in Computing Systems ,ACM,2013.[6] Correa Denzil , LeandroAraújo Silva , Mainack Mondal , FabrícioBen- evenuto , Krishna P. Gummadi , 匿 名 的 许 多 阴 影 : Char-charterizing匿名社交媒体内容,在:ICWSM,2015,pp. 71-80.[7] Uber需要像你这样的合作伙伴。https://get. 乌伯河com/p/legacy-cl-base/.[8] AttaullahBuriro,Bruno Crispo,Filippo Del Frari,Jeffrey Klardie,KonradWrona , Itsme : Multimodal and unobtrusive behavioral userauthenticationfor smartphones , in : International Conference onPasswords,SpringerInternational Publishing,2015,pp. 45比61[9] Attaullah Buriro,Bruno Crispo,Filippo DelFrari,Konrad Wrona,Holdand sign : A novelbehavioral biometrics forsmartphoneuserauthentication,in:Security and Privacy Workshops(SPW),2016 IEEE,IEEE,2016,pp. 276-285。[10] Attaullah Buriro,Sandeep Gupta,Bruno Crispo,在线金融环境中基于运动的触摸打字生物识别评估。在:第16届生物识别特别兴趣小组国际会议,达姆斯塔特,德国2017年。[11] Attaullah Buriro,Bruno Crispo,Filippo Del Frari,Konrad Wrona,Touchstroke : Smartphone user authentication based on touch-typingbio-metrics , in : International Conference on Image Analysis andProcessing,Springer,Cham,2015,pp. 27比34[12] Attaullah Buriro,智能手机用户身份验证的行为生物识别技术,(论文),特伦托大学,2017年。
我的内容管理
展开
