3.纸上谈兵,过于局限,很少有人研究如何将击键特征应用到计算机系统,没有一个完整的技术方案。
4.商用需要考虑诸多因素,比如成本。很多击键特征的预处理算法和识别算法非常耗时,需要占用较多的计算资源。大规模并行访问下,将可能极大增加系统性能开销。
5.击键特征非常容易采集,这是它的优点也是缺点。不能轻易改变,意味着难以应对隐私威胁。这几乎是所有生物特征的共性。但对于击键特征来说,采集过程是非常简单的,只需要监听键盘事件即可。Tey等人研究了使用计算机模拟用户击键特征的可行性,他们发现如果有足够的用户击键特征数据,计算机可以通过算法模拟该用户的击键特征,而且现有的击键特征分析模型将无法分辨这些由计算机模拟的击键特征。
6.可靠性难以验证,很难直观的感受其安全性。这一点对于击键特征的推广十分不利。
由此可见,虽然近几年的击键动力学研究在各种识别算法上取得了长足的进步,但距离击键特征的大规模商业应用似乎还有很长的一段距离。而且,按照现在的趋势发展,不难想象,在可预见的未来,即使击键特征作为一种生物特征得到应用,那么应该也只能作为一种辅助的手段,比如附加在用户名和口令之上,可以增强安全性能,扩展现有的机制。这种做法极大程度上削弱了击键特征作为一种生物特征的优势,并且技术复杂、缺乏实用价值。
理想的做法是,用户登录,只需输入用户名即可。击键特征完全可以由用户键入用户名得到体现。
为此,请大胆设想,如果用户的击键特征是可控的,我们可以在短时间内使用某种方法改变用户的击键特征,那么以上问题是否将迎刃而解了呢? 本发明提出了一种全新的思路,即:使用某种方法约束用户的击键行为,从而影响其击键特征的表达,并使之呈现的击键形态符合某种需要,而不只是针对击键特征进行被动的采集和辨识。
以上是我发明专利的核心理念。在经过大量实验之后,我又得出以下结论:
击键特征作为一种行为特征,不是可以独立存在的实体,一般只能体现在用户的击键行为中。但是,用户发生击键行为,并不一定包含击键特征,存在击键特征的击键行为是用户击键特征的表达。也就是说:
1.击键行为和击键特征是两个相互联系而又彼此独立的个体,击键特征的存在决定了与之对应击键行为的相对特殊地位,击键行为的发生是击键特征存在的先决条件。
2.击键特征不能被直接改变,但是通过约束用户的击键行为可以间接影响其击键特征的表达。 其次是大致的做法:
……所以,本发明从主观意识和目标文本入手,辅以击键姿态,通过相关流程,利用用户本身的击键习惯,对其击键形态进行全方位的调控。 需要注意的是,改变击键形态的目的是为了使其符合某种需要,而且这一过程并非一蹴而就。这意味着大多数情况下,这将是一个有计划的、系统性的工程,需要精心规划、有序推进、稳步实施。对于可能出现的问题,需要提前做好应对措施。 然后是具体做法:
……本发明通过“限制条件”来改变用户的击键特征,并且使其可以凭借限制条件来保持击键特征。限制条件可以理解为用户无意识的击键行为和主观意识干预后的击键特征之间的一座桥梁。
本发明将限制条件传达用户,用户主观意识理解后使用限制条件约束无意识的击键行为从而形成某种击键特征。后续的每一次重复,用户凭借限制条件还原击键行为,继而达到改变和保持击键特征的目的。 限制条件的定义:
限制条件是指与用户事先约定的、用来约束其击键行为的系列规则。包括两个部分:作用对象以及作用方法。
不同类型的目标文本,限制条件的意义有所不同。
对于固定文本来说,作用对象通常是指其中字符或字符间隔所处的位置;作用方法是指对其中字符或字符间隔所做的特殊按键操作。
对于自由文本来说,作用对象通常是指某个按键的位置或者特殊片段所在位置。作用方法是指对此按键的按键动作或者特殊片段的一系列按键操作。 再然后:
……在这种情况之下,除了击键特征这种生物特征以外,限制条件作用的击键行为也可以视为身份凭证,而后击键行为又反过来影响击键特征的表达,最终表现出来的击键形态是它们共同作用的结果。
简单来说,本发明对于击键特征的应用,是将其与限制条件相结合,使最终的击键形态符合某种要求。 简单的举个例子:
这是某一用户多次键入同一字符串的击键持续时间: 引入限制条件,用户练习5分钟后: 由于击键特征的存在,即使限制条件泄露: 这种方法的安全性非常直观:
……一般从两个方向上进行评估:用户重复键入目标文本,其击键行为是否将限制条件的要求准确执行,其误差是否收敛到某一阈值;从最终击键形态评估安全性能,公式如下。
致公众以及击键动力学领域专家学者的公开信 致公众以及击键动力学领域专家学者的公开信
其中,Q表示安全性能的量化数值,越大越好。每一个大括号代表一个限制条件,这里有m个限制条件。参数MAX1指第一个限制条件的最大化可执行程度;参数MIN1指第一个限制条件的最小化可执行程度;参数MAX2指第二个限制条件的最大化可执行程度;参数MIN2指第二个限制条件的最小化可执行程度,以此类推。参数ns表示第s个限制条件中的可作用对象个数。Hks表示第s个限制条件中的第k个可作用对象上击键行为的误差。参数Zks表示第s个限制条件中的第k个可作用对象的安全系数,安全系数由经验得到,越大则允许的误差越小,Q就越小。根号中的内容表示每一个可作用对象上击键行为的标准差,其中参数qks表示地s个限制条件中第k个可作用对象上击键行为的标准差的指数,该值由经验得到,一般位于1到2之间,建议的值是1.35。xiks 表示第s个限制条件中的第k个作用对象的第i次击键行为的值,如持续时间、间隔时间、压力等等,tks表示第s个限制条件中第k个可作用对象的击键行为次数,μks为第s个限制条件中的第k个可作用对象上的击键行为的平均值。 以上。
言尽于此,我想各位或多或少已经明白了我想表达的意思。若有兴趣,请关注近期公开的发明专利。若有不足之处,也请见谅。毕竟,作为一名中学生,我的学识十分有限。 至此,本公开信已近尾声。
其实我原本想跟公众说的是,目前单纯的口令机制可能已经不再适用了,我们迫切需要一种更加安全的身份认证方法。我不再详细的展开说下去,按照我的经验来看,普通人设置的口令可能根本不堪一击,无论长度如何。而且很多时候,黑客入侵根本不需要穷举口令,只需要利用各种社工库搜索一下即可。
我的人生因为一个密码而改变,相信在不久的未来,我也会亲手将它终结。
另外,正如上文所说,本人正寻求一笔巨额天使投资,而且要求可能比较过分,有意向的、感性的天使投资人,欢迎与我联系。我非常期待与您的会面,并且有信心打动你。本人除了该技术之外,还有一个配套的网站平台,一个网站DEMO,一个身份认证领域的非营利性计划,两项其他技术,七个有潜在价值的域名以及若干个idea(笑)。两项技术的其中一项的发明专利正在起草中,另一项技术有关搜索引擎。关于搜索引擎的技术,原理很简单:提供通用的语言和框架、利用用户的检索行为来编制索引。这需要驻入一批高端用户,如果现实问题能够解决,我个人认为有望重新定义搜索引擎。
然后,在互联网和影视制作(音乐、视频、广告策划)领域有足够造诣并且心怀理想的小伙伴们,非常期待你们可以加入我的团队,虽然此时团队里没有什么人,但未来是要靠我们共同创造的,不是么?
最后,此时天已渐黑,我还没有吃饭呢。我不确定你们何时能够看到这封信,但请相信,这是一名即将走上社会的高三学子此时此刻最真实的内心独白。我不知道未来会是怎样,管他呢,时间会证明一切。但愿我不只是你们饭后闲谈的笑点。
好吧,今天就这样,感谢各位捧场。最后的最后,引用一首诗来结束我的学习生涯吧!
所有的结局都已写好, 所有的泪水都已启程。
却忽然忘了是怎么样的一个开始, 在那个古老的、不再回来的夏日。 我是戴焘强,年轻且任性。 谢谢!
一名高中毕业生、网站站长,戴焘强
2016年6月7日
致公众以及击键动力学领域专家学者的公开信 - 图文
