Android手機安全登錄系統(tǒng)①

王振輝,王振鐸

1(西安翻譯學(xué)院 工程技術(shù)學(xué)院,西安 710105)

2(西安思源學(xué)院 電子信息工程學(xué)院,西安 710038)

隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展和“互聯(lián)網(wǎng)+”國家戰(zhàn)略的實施,基于智能手機的電子商務(wù)、電子政務(wù)蓬勃發(fā)展,手機應(yīng)用軟件逐漸普及.這些手機客戶端軟件在給人們工作、生活帶來極大便利的同時,也帶來了新的信息安全問題.由于手機軟件設(shè)計上存在的缺陷和漏洞及手機上駐留的木馬后門程序造成的用戶賬戶等隱私數(shù)據(jù)外泄,財產(chǎn)損失等案例逐年增加[1,2].

登錄系統(tǒng)作為應(yīng)用軟件的第一道屏障,其缺陷嚴重程度和安全級別高低,直接影響到系統(tǒng)安全評級.信息系統(tǒng)中業(yè)務(wù)數(shù)據(jù)丟失和電子欺詐行為都是由于非法用戶繞過了登錄校驗和利用了系統(tǒng)登錄的缺陷[3].

針對上述問題,國內(nèi)外專家進行了深入研究,并取得了不少研究成果.主要采用的手段有針對用戶賬號、密碼等數(shù)據(jù)的加密技術(shù),其次是為防止窮舉攻擊在賬號和密碼基礎(chǔ)上增加驗證碼和登錄驗證次數(shù)限制[4-6].也有采用軟硬件結(jié)合方法將用戶登錄信息存儲到SmartWatch2設(shè)備上,將用戶登錄數(shù)據(jù)和應(yīng)用軟件有效隔離,同時,允許用戶在SmartWatch2上瀏覽、發(fā)送和刪除用戶登錄信息,從而達到保護手機應(yīng)用登錄信息的目的[7,8].此類解決方案采用硬件方式安全性高,但由于攜帶不便,有使用期限,易丟失,所有不適合移動環(huán)境使用[9].Twitter早期使用基于手機短信的驗證,但由于成本相對高,易被攻擊者劫持,安全隱患大,進而采用簽入認證和批準請求雙重認證系統(tǒng),但還是需要向用戶推送消息,用戶體驗不好[10,11].更多的研究,將研究重點放在生物認證方面,從指紋識別到人臉識別,意圖是解決人腦記憶密碼的桎梏,但由于3D打印技術(shù)的發(fā)展,使得偽造指紋信息十分容易,用戶隱私更加難以保證.人類臉部存在相似性和易變性,識別算法的適應(yīng)性有待提高,采用人臉識別又會影響到登錄性能,所有實際應(yīng)用較少[12-14].近期,普利茅斯大學(xué)研究采用圖像和數(shù)字編碼代替依賴于硬件或軟件的多因子驗證方式或者密碼,此方式便于記憶,開發(fā)成本低,但操作界面多,用戶體驗不好,且仍存在猜測登錄情況.

以上登錄方式存在的缺點是不能很好獲取操作者個性信息,來解決操作抵賴性問題,不便于網(wǎng)絡(luò)取證.只有將登錄者生物特征信息和操作手機特性信息有效收集,才能真正避免能發(fā)現(xiàn)冒名登錄而又無法查證的尷尬局面.

所以,本文針對目前手機端應(yīng)用軟件登錄系統(tǒng)存在的問題和漏洞,為提高身份認證的安全性,提出一種基于Android手機的安全登錄子系統(tǒng)設(shè)計框架.目標是實現(xiàn)用戶身份驗證及用戶登錄行為追溯,防止非法用戶冒名登錄、篡改數(shù)據(jù)和電子欺詐等行為的發(fā)生.在新的登錄設(shè)計框架中采用多因子認證技術(shù),增加登錄者信息和手機個性化信息的記錄,為登錄審計和偽客戶端程序檢測提供依據(jù),在保證登錄性能基礎(chǔ)上,進一步提高手機登錄系統(tǒng)的安全性.

1 設(shè)計思想

多因子認證是在金融等安全性要求高的應(yīng)用中經(jīng)常使用的一種提升安全的方法,它是在用戶名/口令之外額外增加的一種認證措施.

多因子除包含了原有的用戶名、密碼、驗證碼外,還可以增加登錄次數(shù)、登錄時間、手機驗證碼等信息.本文為進一步提高安全級別,又增加了SIM卡信息、手機IMEI、登錄位置、人臉特征等限制信息.通過多因子認證MFA和服務(wù)器審計分析技術(shù)可以大幅度提升用戶賬戶的安全性和管理靈活性.

首先,通過采集賬號、密碼、驗證碼、登錄次數(shù)等常規(guī)信息來匹配數(shù)據(jù)庫中信息.然后,使用百度地圖API和手機GPS定位技術(shù)來獲取手機登錄位置,最后,實施拍照,采集登錄人臉部信息,常規(guī)信息登錄成功后告知用戶(如:登錄名,登錄時間,本日登錄次數(shù),本月登錄次數(shù),最后一次登錄時間等).地理位置和人臉信息隱式后臺獲取,對用戶透明,用于用戶登錄審計.由于人臉數(shù)據(jù)和地圖定位在后臺實現(xiàn),對操作用戶而言是透明的,具其具有強隱蔽性,且不能刪除,故能避免非法用戶有針對性的偽造和破壞.

2 登錄系統(tǒng)設(shè)計

登錄系統(tǒng)設(shè)計思想是對用戶登錄信息進行校驗和記錄,以實現(xiàn)對用戶操作行為的控制,達到“事前檢測、事中控制和事后審計”的安全目標.應(yīng)用5W1H分析法分析該系統(tǒng)重點要解決的問題包括:Who:誰登錄了系統(tǒng),需要采集個性化信息(手機號,人臉數(shù)據(jù)等).Where:在哪里登錄,需要采集地理位置數(shù)據(jù)(經(jīng)緯度、省市、標志性建筑等).When:什么時間進行了登錄.What:登錄后做了什么,采集操作對象數(shù)據(jù)(客體信息和操作).Why:為什么登錄,登錄意圖分析,要進行事后分析.How:登錄方法,是正常登錄還是冒名登錄、窮舉攻擊等.

上面是總體分析,再結(jié)合目前登錄系統(tǒng)存在的問題和缺陷,進行問題合并、簡化和求優(yōu),設(shè)計了登錄系統(tǒng)的核心驗證功能,以達到既能記錄用戶登錄信息、手段、還可以明確系統(tǒng)的損失,分析歸納用戶登錄意圖,從而有針對性的對數(shù)據(jù)對象進行保護.圖1為安全登錄系統(tǒng)用戶身份驗證模型.

圖1 安全登錄系統(tǒng)用戶身份驗證模型

3 登錄系統(tǒng)實現(xiàn)

3.1 注冊功能

用戶注冊功能是用戶登錄校驗的前提.用戶下載企業(yè)級APP軟件,安裝后運行的第一步就是注冊,通過注冊確定用戶的信息和權(quán)限.用戶注冊時,首先通過用戶名(可以是郵箱或手機號),來保證唯一性.其次,通過字母、數(shù)字、大小寫、特殊符號等控制密碼強度.最后,采用效率較高的非對稱加密算法MD5,實現(xiàn)密碼的密文存放.用戶注冊信息保存在用戶表中,如表1所示.

表1 用戶信息表

3.2 密碼找回

密碼忘記時,用戶通過提供個性化數(shù)據(jù)(手機號,身份證號,郵箱等)獲取原密碼或重置密碼,但需經(jīng)管理員審計.本文中注冊郵箱的作用是用戶注冊后,激活賬號.找回密碼采用更為安全的手機驗證碼,通過手機短信發(fā)送給最終用戶.為了保證密碼安全,找回的密碼在登錄系統(tǒng)后,必須修改為新密碼.

3.3 登錄驗證功能

登錄驗證是登錄過程的核心,校驗步驟如下:

(1)用戶輸入賬號、密碼、驗證碼,點擊登錄按鈕.

(2)檢查驗證碼和登錄次數(shù)是否正確,如不正確提示或退出應(yīng)用,正確執(zhí)行(3).

(3)從用戶信息表中比對賬號,正確后獲取用戶密碼、權(quán)限和狀態(tài),如狀態(tài)為已登錄、停用、未激活狀態(tài),則提示用戶.否則,執(zhí)行(4).

(4)將用戶輸入的密碼用AES-RSA混合算法加密和獲取的密碼進行比較,如正確根據(jù)用戶權(quán)限進行業(yè)務(wù)系統(tǒng),同時把該用戶的狀態(tài)更新為已登錄.

(5)獲取用戶登錄時地理信息和頭像,存入登錄審計表.

3.4 日志審計

登錄日志審計功能的主要作用是通過記錄登錄者使用的賬號、登錄時間、地理位置、人臉數(shù)據(jù)來實現(xiàn)嫌疑人跟蹤.用戶登錄行為數(shù)據(jù)保存在操作審計表中,如表2所示.

通過該日志表,可以瀏覽和統(tǒng)計某個用戶時間段內(nèi)登錄次數(shù)、登錄位置和登錄成功與否等信息,從而幫助用戶自查和管理員審核系統(tǒng)受攻擊程度.拍照和寫日志采用異步進程提交,以保證登錄系統(tǒng)的用戶體驗.本文操作類型只針對登錄行為審計,用戶如有更高安全要求,也可以擴展操作類型的取值,如:登出、付款、轉(zhuǎn)賬等操作.該表數(shù)據(jù)是非法用戶跟蹤的有效憑證,所有一次寫入后,不能做修改和刪除操作.

表2 操作審計表

3.5 微信提醒

微信基本上成為我國手機用戶人手一份的“碎片化”社交軟件,由于受眾面廣,不需要運營商支撐,已逐步取代了短信的作用,所以可以使用企業(yè)短信提醒功能,提示用戶,告知其登錄行為,已減少業(yè)務(wù)數(shù)據(jù)的安全風(fēng)險.

4 關(guān)鍵技術(shù)

4.1 軟件防釣魚

針對惡意應(yīng)用以偽造目標應(yīng)用登錄界面的方式進行釣魚攻擊的行為[15],本文使用軟件校驗碼技術(shù)來進行預(yù)防.在手機登錄Activity的OnCreate事件中,除了加載指定的布局文件外,還連接到后臺服務(wù)器讀取該軟件版本所對應(yīng)的校驗碼.后臺數(shù)據(jù)庫MySQL的軟件校驗碼表中存取了各版本所對應(yīng)的軟件校驗碼.表3是軟件驗證碼表的數(shù)據(jù)結(jié)構(gòu).

表3 軟件校驗表

軟件驗證碼由軟件發(fā)行時間戳和APK文件字節(jié)數(shù)組合而成,并用非對稱加密算法MD5加密,一份存在數(shù)據(jù)庫表記錄中,另一份存放在APP應(yīng)用配置文件中.為防止APK被反編譯,可以對APK進行加殼和數(shù)字簽名操作.

用戶登錄前,首先從應(yīng)用的配置文件中讀取加密的軟件驗證碼數(shù)據(jù)和后臺數(shù)據(jù)庫中的軟件驗證碼進行比較,如正確進行用戶校驗,否則,提示用戶軟件存在異常.

4.2 地圖定位

系統(tǒng)中地理位置信息的獲取,需要對地址進行定位和反地址編碼.開發(fā)時獲取當(dāng)前地理位置可以采用三大地圖API:百度地圖API、高德地圖API、騰訊地圖API.鑒于百度地圖控件更適應(yīng)國內(nèi)城市地理信息,且資料更新最快,登錄系統(tǒng)中采用百度地圖API實現(xiàn)LBS定位和反編碼等功能,實現(xiàn)步驟如下:

(1)注冊百度開發(fā)者.

(2)獲取 API key.

(3)下載百度地圖SDK開發(fā)包.

(4)在Android項目中引用百度SDK.

(5)在清單文件中添加開發(fā)者密鑰和所需權(quán)限.

(6)布局文件中隱式添加地圖控件.

(7)程序文件中添加地圖事件處理邏輯,獲取用戶所處的經(jīng)緯度信息和標志性建筑.

4.3 人臉信息獲取

人臉信息獲取主要用于登錄行為審計.通過使用手機前置攝像頭抓拍用戶臉部信息和操作環(huán)境來幫助系統(tǒng)和用戶能夠隨時查詢自己的賬號被冒名登錄的情況.由于系統(tǒng)只是異步采集人臉數(shù)據(jù)而未對人臉數(shù)據(jù)信息訓(xùn)練和對比,所有不會對用戶登錄性能有所影響.

在Android手機中使用Camera API實現(xiàn)人臉信息采集,步驟如下:

(1)在AndroidManifest.xml文件中,增加SD卡外部存儲功能和用戶手機拍照權(quán)限,并定義自動對焦和攝像特性.

(2)布局文件中添加一個不可見的surfaceView.

(3)根據(jù)SurfaceView獲得固定器Holder.

(4)設(shè)置固定器的SurfaceHolder.Callback.

(5)打開前置攝像頭開始拍照,Callback里面有拍照數(shù)據(jù),這些byte[]數(shù)據(jù)通過流讀取技術(shù)寫入數(shù)據(jù)庫圖片字段,也可以根據(jù)BitmapFactory變成Bitmap圖片.

4.4 手機個性化信息獲取

每臺手機和電腦一樣都有標識自己身份的唯一識別信息.電腦有CPU號、硬盤號、網(wǎng)卡MAC、IP地址等.手機有硬件標識IME和用戶標識SIM卡.所以,可以采集這些唯一標識來進行行為追溯.

IMEI (International Mobile Equipment Identity)國際移動設(shè)備身份碼和每部手機一一對應(yīng).由于每部手機的IMEI號是唯一的,所有可以作為手機用戶身份認證的個性化數(shù)據(jù).在Android語言包中,Telephony-Manager類提供了手機硬件信息的操作方法.操作步驟如下:

(1)在項目清單文件AndroidManifest.xml中增加訪問設(shè)備狀態(tài)的權(quán)限READ_PHONE_STATE.

(2)通過獲取TelephonyManager對象實例,調(diào)用getDeviceId方法獲取IMEI.

在模擬器中運行時,getDeviceId方法返回總是000000000000000,所以應(yīng)在實際手機中測試.

另外,TelephonyManager類還提供了獲取手機號碼,SIM卡號等方法,這些都可以成為用戶登錄行為追溯的個性化數(shù)據(jù).

4.5 AES與RSA混合加密算法

登錄系統(tǒng)中,用戶密碼的可控能力將直接影響到系統(tǒng)可靠性,也直接影響到整個系統(tǒng)的運作效率和信任度.為保障用戶賬戶安全性,解決信息竊取問題.采用AES、RSA兩種加密算法的混合算法對用戶密碼進行加密.AES加密算法是對稱分組加密算法,用于取代DES,其處理效率高,適于明文加密.RSA算法是秘鑰管理算法的代表,是不對稱加密算法,用公鑰加密,私鑰解密,秘鑰管理性能優(yōu)異.本文綜合發(fā)揮AES和RSA的優(yōu)點實現(xiàn)AES-RSA混合加密算法.使用AES對稱密碼體制對密文加密,同時使用RSA不對稱密碼體制來傳送AES的密鑰,就可以加解密實現(xiàn).流程如圖2,圖3所示.

圖2 AES-RSA算法加密流程圖

圖3 AES-RSA算法解密流程圖

5 原型系統(tǒng)及實驗分析

為驗證該改進的登錄子系統(tǒng)的可靠性和安全性,筆者結(jié)合西譯通手機軟件進行了部署與測試.西譯通是畢業(yè)學(xué)生為母校開發(fā)的一款集校園新聞、信息查詢、招生宣傳為一體的手機APP軟件.該APP主要面向?qū)W生和教師使用.為保證后臺數(shù)據(jù)安全,該系統(tǒng)實現(xiàn)了對用戶登錄驗證,并記錄了登錄時間、登錄地點、登錄者頭像等信息,便于操作審計.圖4為該系統(tǒng)部署圖.

圖4 西譯通系統(tǒng)部署圖

由于增加了登錄行為審計,故用戶可以查看時間段內(nèi)登錄行為的審計信息,這些數(shù)據(jù)對所有用戶來說是只讀的,從而可以真實追溯歷史信息.圖5為用戶某次登錄信息界面截圖(前置攝像頭無時顯示無照片圖片).

目前,手機拍照、地理位置獲取等個性化信息收集功能一般新款手機自帶安全軟件和360手機衛(wèi)士中都有體現(xiàn).但一般企業(yè)工具類APP中應(yīng)用較少,只在支付寶中人臉支付功能中體現(xiàn),且客戶無法方便的查詢到詳細的個人登錄隱私數(shù)據(jù).隨著手機應(yīng)用的日益普及和移動商務(wù)的飛速發(fā)展,企業(yè)級APP涉及支付和個人隱私數(shù)據(jù)的場景會越來越多,在此類APP登錄系統(tǒng)中集成這些功能與進行二次開發(fā)顯得日益緊迫.本文在西譯通軟件中集成了這些元素,相當(dāng)于在客戶APP中集成了小型個人安全中心.除用戶自身可以查看自己登錄行為外,后臺管理員也可以使用后臺審計報警功能,根據(jù)登錄頻度對比統(tǒng)計出時間段內(nèi)登錄異常的用戶,并推送消息給用戶,提示用戶加以檢查和干預(yù).

圖5 登錄詳情界面

下面是與安全性要求較高的手機銀行APP的登錄安全功能進行對比的結(jié)果.如表4所示.

表4 登錄系統(tǒng)對比分析

通過比較分析,本文設(shè)計的登錄系統(tǒng)相對于目前手機中使用的登錄系統(tǒng)有以下優(yōu)點:

(1)提出了驗證與審計相結(jié)合的安全管理模式.

(2)使用多因子多重驗證技術(shù)提高登錄安全級別.

(3)操作可追溯性和防抵賴性.不僅管理員可以查看用戶登錄行為,用戶自己也可以查看自身賬號登錄行為.

(4)精細化的行為審計查詢和分析.對管理員提供了針對不同操作類型、賬號、時間段、地理范圍的審計記錄的查詢和有效分析,及時找出可能的攻擊行為.

6 結(jié)語

隨著“互聯(lián)網(wǎng)+”國家戰(zhàn)略的推進和移動互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展,手機應(yīng)用不斷豐富的同時,用戶信息安全也時刻面臨新的挑戰(zhàn).為了便于處理已有安全威脅和應(yīng)對新的未知安全風(fēng)險.本文分析了目前手機應(yīng)用登錄系統(tǒng)存在的缺點,利用手機定位技術(shù)和拍照特性,設(shè)計了一款集注冊認證、登錄驗證、登錄審計為一體的用戶登錄子系統(tǒng),有效管理用戶登錄行為,并進行了原型系統(tǒng)實現(xiàn)和安全性驗證.首先,使用軟件校驗技術(shù),避免釣魚軟件的使用,然后采用賬號、密碼、驗證碼、登錄次數(shù)等多因子保證登錄事前檢測和事中控制,又進一步使用地圖定位、刷臉技術(shù)、登錄時間、時間段登錄次數(shù)等多因子技術(shù),實現(xiàn)了用戶登錄的事后審計.不足之處是由于地圖API精度和攝像受像素等因素影響,采集的登錄位置和人臉數(shù)據(jù)會有一定偏差.總之通過驗證和審計相結(jié)合的登錄技術(shù),既可以幫助管理者評估系統(tǒng)安全性,也可以成為個人用戶審計自身賬戶安全的得力助手.該解決方案用戶體驗好,性能優(yōu),安全性強,為用戶開展基于手機的商務(wù)活動提升了安全級別.

1董超,楊超,馬建峰,等.Android系統(tǒng)中第三方登錄漏洞與解決方案.計算機學(xué)報,2016,39(3):582-594.[doi:10.11897/SP.J.1016.2016.00582]

2吳瓊.基于Android平臺手機客戶端登錄破解的研究與分析.農(nóng)業(yè)網(wǎng)絡(luò)信息,2016,(5):60-61.

3王振輝.一種安全登錄子系統(tǒng)的設(shè)計與實現(xiàn).科學(xué)技術(shù)與工程,2012,12(22):5624-5629.[doi:10.3969/j.issn.1671-1815.2012.22.045]

4Terry RF.Creating and using a specific user unique id for security login authentication:US 20140173273.[2014-06-19]

5Agrawal VK,Bharti RK,Parihar B.Password authentication with secured login interface at application layer.International Journal of Computer Science &Network Security,2014,14(9):82-85.

6周小紅,周建伙.MD5加密算法在注冊及登錄驗證模塊中的應(yīng)用.工業(yè)控制計算機,2015,(11):118-119.[doi:10.3969/j.issn.1001-182X.2015.11.051]

7黃少川,譚毓安,馬忠梅,等.基于SmartWatch2的手機App登錄信息保護研究.單片機與嵌入式系統(tǒng)應(yīng)用,2016,(3):12-15.

8Buck BJ.Method and system for managing user login behavior on an electronic device for enhanced security:US 2014/0165169A1.[2016-04-05]

9楊海,趙文濤,張乃千,等.基于USB Key的Windows憑據(jù)提供登錄系統(tǒng)的設(shè)計與實現(xiàn).計算機科學(xué),2014,41(S2):371-374,398.

10Twitter增強iPhone、Android帳戶安全登錄功能.工業(yè)設(shè)計,2013,(6):29.

11Geil PW.Login security with short messaging:US 8712453.[2014-04-29]

12劉妍,金鑫,趙耿,等.基于高效隱秘漢明距離計算的安全人臉識別.計算機工程與設(shè)計,2016,37(9):2327-2331.

13吳賢平.基于指紋識別和CAS的單點登錄模型技術(shù)研究.計算機應(yīng)用研究,2012,29(4):1381-1383,1390.

14梁麗雯.手機指紋登錄爭議不斷.金融科技時代,2016,(6):102-103.

15徐強,梁彬,游偉,等.基于SURF算法的Android惡意應(yīng)用釣魚登錄界面檢測.清華大學(xué)學(xué)報(自然科學(xué)版),2016,56(1):77-82.