Non-intrusive continuous user authentication for mobile devices

Abstract

The modern mobile device has become an everyday tool for users and business. Technological advancements in the device itself and the networks that connect them have enabled a range of services and data access which have introduced a subsequent increased security risk. Given the latter, the security requirements need to be re-evaluated and authentication is a key countermeasure in this regard. However, it has traditionally been poorly served and would benefit from research to better understand how authentication can be provided to establish sufficient trust. This thesis investigates the security requirements of mobile devices through literature as well as acquiring the user’s perspectives. Given the findings it proposes biometric authentication as a means to establish a more trustworthy approach to user authentication and considers the applicability and topology considerations. Given the different risk and requirements, an authentication framework that offers transparent and continuous authentication is developed. A thorough end-user evaluation of the model demonstrates many positive aspects of transparent authentication. The technical evaluation however, does raise a number of operational challenges that are difficult to achieve in a practical deployment. The research continues to model and simulate the operation of the framework in an controlled environment seeking to identify and correlate the key attributes of the system. Based upon these results and a number of novel adaptations are proposed to overcome the operational challenges and improve upon the impostor detection rate. The new approach to the framework simplifies the approach significantly and improves upon the security of the system, whilst maintaining an acceptable level of usability

Η σύγχρονη κινητή συσκευή έχει εξελιχθεί σε αναπόσπαστο εργαλείο της καθημερινότητας τόσο για τους χρήστες όσο και για τις επιχειρήσεις. Οι τεχνολογικές εξελίξεις, τόσο στην ίδια την συσκευή όσο και στις υποδομές των δικτύων που τις διασυνδέουν, έχουν καταστήσει εφικτή την παροχή ενός ευρέος φάσματος υπηρεσιών και πρόσβασης σε δεδομένα, οι οποίες αναπόφευκτα έχουν συνοδευτεί από μια παράλληλη αύξηση των κινδύνων ασφαλείας. Υπό αυτό το πρίσμα, καθίσταται επιτακτική η αναθεώρηση των απαιτήσεων ασφαλείας, με την αυθεντικοποίηση να παίζει κεντρικό ρόλο ως βασικός μηχανισμός άμυνας. Παρ’όλη την σημαντικότητα της, η αυθεντικοποίηση των χρηστών παραδοσιακά δεν εξυπηρετείται επαρκώς και χρήζει περαιτέρω μελέτης, προκειμένου να κατανοηθεί σε βάθος πώς μπορεί να υλοποιηθεί με τρόπο που να διασφαλίζει υψηλά επίπεδα εμπιστοσύνης. Αυτή η διατριβή ερευνά τις απαιτήσεις ασφαλείας των κινητών συσκευών μέσω της ανασκόπησης της σχετικής βιβλιογραφίας αλλά και μέσω της συλλογής των απόψεων των τελικών χρηστών. Βάσει των ευρημάτων προτείνεται η χρήση της βιομετρικής αυθεντικοποίησης ως ένα πιο αξιόπιστο μέσο αυθεντικοποίησης του χρήστη και μελετά την εφαρμοσιμότητα και τις τοπολογικές υλοποιήσεις μία τέτοιας προσέγγισης. Δεδομένου των διαφόρων απαιτήσεων και κινδύνου αναπτύχθηκε ένα πλαίσιο που προσφέρει συνεχή και μη-παρεμβατική αυθεντικοποίηση. Κατόπιν διεξοδικής αξιολόγησης τελικών χρηστών του μοντέλου αναδύθηκαν πολλές θετικές πλευρές της μη-παρεμβατικής αυθεντικοποίησης. Η τεχνική αξιολόγηση όμως, ανέδειξε ένα αριθμό από λειτουργικές προκλήσεις που θα ήταν δύσκολο να επιτευχθούν σε μία πρακτική εφαρμογή του πλαισίου. Η έρευνα συνέχισε στο να μοντελοποιήσει και να προσομοιώσει την λειτουργία του προτεινόμενου πλαισίου σε ένα ελεγχόμενο περιβάλλον, ψάχνοντας να αναγνωρίσει και να συσχετίσει τα κύρια χαρακτηριστικά του συστήματος. Βάσει των αποτελεσμάτων μία σειρά από πρωτότυπες προσαρμογές προτείνονται προκειμένου να ξεπεραστούν οι λειτουργικές προκλήσεις και να βελτιωθεί το ποσοστό εντοπισμού μη εξουσιοδοτημένων χρηστών στο σύστημα. Η νέα προσέγγιση στο προτεινόμενο πλαίσιο απλοποιεί την αρχική πρόταση σημαντικά και βελτιώνει την ασφάλεια του συστήματος, ενώ παράλληλα διατηρεί ένα αποδεκτό επίπεδο ευχρηστίας.