支援行動裝置使用者與虛擬實驗平台之雲端技術研究 -- 雲客端 —...
DESCRIPTION
支援行動裝置使用者與虛擬實驗平台之雲端技術研究 -- 雲客端 — 手持行動裝置使用者識別機制 102-2218-E-008-003-(M 組 ). 報告日期: 2014.04.07 報告者 :. Agenda. 計畫目的、成果應用性、技術優越性 ( 無改變 ) 文件撰寫目前進度 需求 規格 功能性需求執行目前進度 非 功能性需求 需求測試方案 其它 Road Map of Next Years (2013/10/4 required). 子計畫一 工作 內容. 採雙感應器 (Dual Sensors ) ,建 構使用者識別機制. -90 < Y < 30. - PowerPoint PPT PresentationTRANSCRIPT
支援行動裝置使用者與虛擬實驗平台之雲端技術研究 -- 雲客端—手持行動裝置使用者識別機制
102-2218-E-008-003-(M 組 )
報告日期: 2014.04.07 報告者:
2
Agenda 計畫目的、成果應用性、技術優越性 ( 無改變 )
文件撰寫目前進度 需求規格
功能性需求執行目前進度 非功能性需求
需求測試方案 其它
Road Map of Next Years (2013/10/4 required)
3
子計畫一 工作內容 採雙感應器 (Dual Sensors) ,建構使用者識別機制
-60 < Z < 60
-90 <Y< 30
0 < X < 20
4
計畫目的 提升行動裝置 ( 手機 ) 的安全層級,防堵非法使用
者對雲端資源的進行存取。
5
技術優越性 與成果應用性
Textual/Graphical Password,
Biometrics (Fingerprint,
Facial, Voice, etc.)
State 1
Telecommunications:
(Voice and Facial)
State 2
GUI Interactions:Economic (Transaction, Payment)Browsing, Stock, etc.
State 3
State 0Idle
loop
Turn On
loop
Apple Patent [3]Google Android 4.0 [2]Shi et al. [5]
Gait[1]
Apple Patent [3]Google Android 4.0 [2]
Our Approach
同時採用方位感應器與觸控螢幕感應器[6]
接 / 掛手機 [4]
Shi et al. [5]
6
2014/01/06 彙整 ( 期中進度審查用 ) 計畫目的、
提升行動裝置 ( 手機 ) 的安全層級,防堵非法使用者對雲端資源的進行存取。
成果可應用性 結合現有認證機制,建構各種組合之雙因子使用者認證機制。 提供智慧型手機軟體或系統開發商,開發專用之非侵入式識別機制。
建構手持行動裝置的安全機制,如:隱形二代鎖,利用行為特徵,進行使用者識別。 以使用者識別服務方式,提供雲端服務或其他廠商,建構雙因子使用者認證機制。
技術方案優越性 目前已知是第一個同時以手持行動裝置雙感應器建構的使用者識別機
制。 [6] 。
KPI 本人識別率達 85% 以上。 ()
子計畫一 執行進度規劃 ( 隱形二代鎖原型 )MLock v1.5
月份項目…… .
2013/8 9 10 11 12 2013/1 2 3 4 5 6 7
PEP v1 - 交
SRS V - 交
SDD V V -
Test Plan(+ Stress test)
V Mv1 總
Test Report(+ Stress test)
V V
系統安裝 /
使用手冊V
Prototyping(+ 測試工具 )
V 1/8 V Delay( 起始延遲 )
Delay( 起始延遲 )
7
將根據計畫辦公室或總計畫執行進度做調整。
8
文件撰寫目前進度項目 上次完成度 目前完成度 備註
專案執行規劃書 100% 100%
系統需求規格書 100% 100%
系統設計文件 ( 特有項目 ) 100% 100% v1
測試計畫 65% 100% M 組完成 V1
Prototyping (1/4): Client 50% 90% 行為特徵收集介面
Prototyping (3/4): Server 0% 20% 雙感應器 識別核心
測試報告 0% 0%
系統安裝 / 使用手冊 0% 0%
國科會期末報告 0% 0%
展示影片 0% 0%
9
Road Map of Next Years 1st Year (2013/8-2014/7)
MLock 1.5 雙感應器識別核心 Dynamics Approach 2nd Year
MLock v2.0 雙感應器識別核心 Dynamics Approach Provide Authentication Mechanism for Teams P&S
3rd Year MLock v2.5 雙感應器識別核心 Histogram Approach
4th Year MLock v3.0 (Dynamics+Histogram) Approaches
Number of flicks
Acc
urac
y ra
te (
%)
Dynamics
Histogram
10
System Architecture
MLock ServiceServer
(e.g. SAMVED)
Synchronized CommunicationSocket: 8282
1
2
3
4
5
6
6
12
Reporting Issues of NSC (Team M) 雲端平台之必要性 ?
提供建構 Elastics Services 所需的 API (EC2 有類似功能 11/4, 5) Call Create, Start, Stop, Suspend, Resume, Shutdown, and Delete VM
請 P 組提供 Fault tolerance 功能 ( 劭睿說 EC2 有類似功能 11/4, 5) 支援 Service Management 服務
提供其他子計畫的輔助認證機制 ( 由 P, S 提供認證點 )(M 提供技術 or 服務 ?) MLock 2.0 One Time Password (OTP) (Non-)Intrusive Authentication (Management Apps)
和其他子計畫的關係 ? (P 組要花太多時間,停止此項 ) 需要 P 組提供 手機端 VM 攔截與監控機制
使用者行為特徵需要實體機 (Physical Machine) 的 timestamp 。 未來手機 OS 以 VM 模式執行時 (User by User) , VM 內部的 timestamp 可能會因為 loading 而 delay 。
資安品質指標與評析 識別率 (Accuracy Rate)
80% -> 85% -> 90%
13
功能性需求執行目前進度 ( 僅開發不含測試 )
需求項目 上次完成度 目前完成度 備註
登入 100 % 100 % 手機端 -(100%)
註冊 100 % 100 % 手機端 -(100%)
建模 0 % 100 % 手機端 -(100%)
驗證使用者 ( 行為特徵收集介面 ) 50 % 90 % 手機端 -(90%)
修改個人資料 100 % 100 % 手機端 -(100%)
聯絡管理員 100 % 100 % 手機端 -(100%)
選擇想要上鎖的應用程式 100 % 100 % 手機端 -(100%)
離開管理介面 100 % 100 % 手機端 -(100%)
停止系統服務 100 % 100 % 手機端 -(100%)
雙感應器 識別核心 0 % 20 % 伺服端 -(20%)
管理者登入 0 % 0 % 伺服端
解除被鎖定的帳戶 0 % 0 % 伺服端
更換使用者密碼 0 % 0 % 伺服端
刪除使用者帳戶 0 % 0 % 伺服端
觀看系統日誌 0 % 0 % 伺服端
14
非功能性需求 (KPI)
目標 ( 效能 ) 評估指標 具體方案 預期結果 ( 量化 )
隱形二代鎖
V1.5
使用者行為驗證
驗證時間與Accuracy Rate( 準確率 )
( 無網路延遲的狀況下 )
在本機上 ( 客戶端 ) 送出一組操作行為資料至伺服器端做驗證,記錄驗證結果回傳時間及準確率(Ex. 使用者撥動數字鎖時,送出行為模組 )
驗證系統必須在 4秒內完成使用者的驗證動作,本人識別率達 85% 以上。
(v1.5 應調整為 80% 以上 )
資料查詢 回應時間
( 無網路延遲的狀況下 )
在本機上 ( 客戶端 ) 送出查詢指令至伺服器端,記錄查詢結果回傳時間 (Ex. 取得目前使用者個人資料 )
在無網路延遲的情況下,分析結果應於 4秒內查詢完畢並開始傳送給使用者。
功能管理 回應時間
( 無網路延遲的狀況下 )
在本機上 ( 客戶端 ) 送出功能管理相關設定至伺服器端,記錄回傳設定成功的時間(Ex. 使用者修改個人資料,回傳修改成功所需的時間 )
使用者識別機制需要在 4秒內回應管理介面上所有的功能叫用。
15
需求測試方案 (1/2)
測試項目 測試環境 測試方法 測試工具 測試結果調整 使用者識別模型更新時間
子計畫二 VM(Windows Server 2003 R2)
1. 於 GUI 填入更新頻率 ( 秒 )
2. 按下調整更新頻率功能按鍵。3. 於「現況」窗格上,觀察系統是否依據設定的頻率更新 模型。( 更新頻率 : 30s, 60s, 300s, … 測 5 種以上時間 )
撰寫 Tester
測試 API 。檢視測試記錄,查看功能完成與否
即時重建 所有使用者的識別模型
同上 * 停用所有使用者之識別服務。1. 於介面上,按下「重新建模」鍵。3.於「現況」窗格上,觀察系統是否依據設定,即時更新指定使用者的模型。
撰寫 Tester
測試 API 。檢視測試記錄,查看功能完成與否
解除 指定使用者的鎖定
同上 * 停用所有使用者之識別服務。1. 於管理介面上,按下「使用者管理」鍵。2. 輸入電話號碼及 IMEI
3. 確認使用者資料4. 於介面上,按下「解鎖」鍵。5. 確認該使用者可重新登入
撰寫 Tester
測試 API 。檢視測試記錄,查看功能完成與否
16
需求測試方案 (2/2)
測試項目 測試環境 測試方法 測試工具 測試結果更換 指定使用者的密碼
同上 * 停用所有使用者之識別服務。1. 於管理介面上,按下「使用者管理」鍵。2. 輸入電話號碼及 IMEI
3. 確認使用者資料4. 於介面上,按下「刪除使用者帳號」鍵。5. 輸入新密碼確認該使用者可重新登入
撰寫 Tester
測試 API 。檢視測試記錄,查看功能完成與否
刪除 指定使用者的全部資料
同上 * 停用所有使用者之識別服務。1. 於管理介面上,按下「使用者管理」鍵。2. 輸入電話號碼及 IMEI
3. 確認使用者資料4. 於介面上,按下「刪除使用者帳號」鍵。5. 輸入該使用者密碼後完成刪除6. 確認該使用者資料已全數刪除
撰寫 Tester
測試 API 。檢視測試記錄,查看功能完成與否
17
其它 (1/2)測試項目 測試環境 測試方法 測試工具 測試結果
使用者識別機制的系統負載能力
1. 基本硬體的負載能力( 不考慮網路延遲問題—外面影響因素太多,目前暫不考慮,先把東西效能做出來。 )
1 台雲端 VM ,安裝使用者識別機制。( 單核心 Windows Server 2003 R2; 25GB HD; 2GB RAM)
多台雲端 VM ,安裝模擬手機發request 的程式。
漸進式的增加 client
request 到伺服器上,檢視每個 client 的回應時間;並統計在 1
秒鐘內回應的數量。(client 的變異量:5, 10, 25, 50, 100, 250, 500, 1000…)
自行開發可模擬手機發送 request 的多執行緒 Client 程式。
伺服器可同時接受 1,000 Client Request ,並於 1 秒內回應。
使用者識別機制的系統負載能力
2. 硬體差異時的增額負載能力( 不考慮網路延遲問題—外面影響因素太多,目前暫不考慮,先把東西效能做出來。 )
1 台雲端 VM ,安裝使用者識別機制。( 單核心 Windows Server 2003 R2; 25GB HD; 3GB RAM)
多台雲端 VM ,安裝模擬手機發request 的程式。
同上。
目的:測試要求伺服器在 1
秒內回應結果時,伺服器最多可同時接受多少 Client 的request 。
測試增加硬體 (RAM
多加 1GB) 時,可以增加多少 Client 。
同上。 伺服器可同時接受 1,200 Client Request ,並於 1 秒內回應。
18
其它 (2/2)測試項目 測試環境 測試方法 測試工具 測試結果
使用者識別機制的建模效能
1. 測試系統建模的負載能力
1 台雲端 VM ,安裝使用者識別機制。( 單核心 Windows Server 2003 R2; 25GB HD; 2GB RAM)
漸進式的交互調整建模的人數與樣本量。例如:人數變化由(10, 15, 25, 50, 100…) ;總樣本量變化由 (200, 400, 600,
800… ) 檢視兩項變因調整過程中,建模時間的變化量。
內建於使用者識別機制。 ( 手動調整 )
當建模人數與樣本交互增加時,使用者識別機制的效能變化。
使用者識別機制的建模效能
2. 硬體差異時的增額負載能力
1 台雲端 VM ,安裝使用者識別機制。( 單核心 Windows Server 2003 R2; 25GB HD; 3GB RAM)
同上。
目的:兩項目的係測試系統建模的負載能力以及硬體資源增加後的變化,期能求得最符經濟效益的組合。
同上。 當建模人數與樣本增加實,使用者識別機制的效能變化。
伺服器可同時接受 1,200 Client Request ,並於 1 秒內回應。
19
其它 ( 對其他子計畫的需求 )
需求對象 內容
子計畫二(2011/11/24)
請提供動態擴充 RAM, CPU, Hard Disk 或 VM 的介面。( 子計畫一的系統會因為時段不同 ( 使用者人數也不同 ) ,而對系統的負載能力需求有所差異,需要藉由雲端平台 Elastic 的特性解決。 )
於計畫第三年 (2013) 執行期間修正作法,系統 Load Balancing改為由識別機制自行開發簡易之負載平衡機制(Scenario 5: Service Coordinator處理 ) 。
* 子計畫二提供 API呼叫 複製與啟動 新 VM 。
20
References [1] Gafurov, D. Helkala, K. and Søndrol, T. (2006). Biometric Gait Authentication Using
Accelerometer Sensor. Journal of Computers, 1, 51-59. [2] Google. (2011b) Face Recognition on Android™ (4.0 Ice Cream Sandwich). available from:
https://sites.google.com/site/androidfacerecognition/Home (2011/11/11). [3] Nakajima, T. Lin, G. and Rahul, P. (2009) Systems and methods for identifying unauthorized
users of an electronic device. US Patent & Trademark Office, Serial No. 389106, 2009. available from: http://appft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PG01&p=1&u=%2Fnetahtml%2FPTO%2Fsrchnum.html&r=1&f=G&l=50&s1=%2220100207721%22.PGNR.&OS=DN/20100207721&RS=DN/20100207721 (2011/11/11).
[4] M. Conti, I. Z. Zlatea, and B. Crispo, “Mind how you answer me!: transparently authenticating the user of a smartphone when answering or placing a call.” In Proceedings of the 6th ACM Symposium on Information, Computer, and Communications Security, (ASIACCS '11). ACM, New York, NY, USA. pp. 249-259, March 22–24, 2011.
[5] W. Shi, J. Yang, Y. Jiang, F. Yang, and Y. Xiong , “SenGuard: Passive User Identification on Smartphones Using Multiple Sensors.” 2011 IEEE 7th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob), Shanghai, China. pp. 141-148, 2011.
[6] C.-C. Lin, C.-C. Chang, Deron Liang, C.-H. Yang, “A Preliminary Study on Non-Intrusive User Authentication Method using Smartphone Sensors,” Applied Mechanics and Materials, vols. 284-287, pp. 3270-3274, 2013.
21
22
28
子計畫一 工作內容 (1/2a) ---- ( 第二年 )強化識別機制與管理功能
29紅框為第一年的工作內容;藍框為第二年的工作項目;重疊區為第二年再強化的部分。
小修改 大修改
新增
30
技術優越性 與成果應用性 (2/2) 成果可應用性與技術方案優越性 (Spyware檢測機制 )
在成果可應用性方面,此技術可提供給經營 App 下載的雲端服務平台 ( 如 : Android Market) ,在大量的軟體上架前,自動化的進行安全性分析。
技術方案優越性方面 直接從安裝檔案 (*.apk) 中的存取權限定義中,對 App 的執行行
為做分析與判定。 ( 以往的產品,大部分皆需要類似病毒定義檔的資料提供比對判定 )
作法 更新頻率
採用的方法(static analysis)
直接由 apk 的安裝檔中的設定參數,分析並判讀該軟體隱含 Spyware 的可能性。* 不需執行 APPs ,便可分析是否隱含不正常行為。
Spyware分析人員可即時性的新增 / 刪除 /修改判讀準則。
過去常見的方法(dynamic analysis )
比對軟體商發佈的病毒或 Spyware 定義檔。* 需執行 APPs 後,才能分析是否隱含不正常行為
軟體商通常至少要 1-2
週
31
需求測試方案 ( 子項一 ) fail
測試項目 測試環境 測試方法 測試工具 測試結果以網頁介面上傳Android 執行檔
子計畫二 VM(Windows Server 2003 R2)
操作網頁介面 撰寫 Sikuli
Script ,自動化進行 GUI 介面操作測試
功能完成與否
以 API 介面上傳Android 執行檔
同上 呼叫 API 介面 撰寫 Python
Script ,自動化進行 API 介面測試
功能完成與否
以網頁介面存取分析結果
同上 操作網頁介面 撰寫 Sikuli
Script ,自動化進行 GUI 介面操作測試
功能完成與否
以 API 介面存取分析結果
同上 呼叫 API 介面 撰寫 Python
Script ,自動化進行 API 介面測試
功能完成與否
以網頁介面管理系統狀態
同上 操作網頁介面 撰寫 Sikuli
Script ,自動化進行 GUI 介面操作測試
功能完成與否
Android 行動裝置客戶端應用程式
Nexus One (Android 2.3.7)
操作應用程式介面(列出已安裝應用程式、查詢與檢視相關分析紀錄)
以上皆需改以 API
測試為主, GUI
測試係總計畫負責。
(Hammer)
功能完成與否
32
子計畫一 工作內容實作 隱形二代鎖 系統原型
33
整合前兩年的研究成果,從過去研發階段的雛型,進化成隱形二代鎖系統原型。
子計畫一 工作內容實作 隱形二代鎖 系統原型
34
整合前兩年的研究成果,從過去研發階段的雛型,進化成隱形二代鎖系統原型。
35
36
Number of flicks
Acc
urac
y ra
te (
%)
Dynamics
Histogram