Wristwear-assisted Continuous User Authentication for Smartphones using Signal Analyses

Abstract

웨어러블 기기를 이용한 스마트폰 사용자 인증은 편의성을 증진시켰지만 충분한 연구가 이루어지지 않았다. 최근 Google과 Apple같은 IT 선도 기업들은 웨어러블 기기가 타겟 기기로부터 거리상으로 가까운지 여부를 측정하여 이를 보안 토큰처럼 사용하는 자동 잠금 해제 기능을 공개하였다. 자동 잠금 해제는 사용자들이 스마트폰과 노트북을 사용하기 위해 필요한 인증 시스템의 반복적이고 귀찮은 짐으로부터 벗어날 수 있도록 도와주었다. 비슷하게 여러 기기로부터 동시에 소리, 신호, 빛 등의 주변 환경 정보를 측정하여 이들 정보의 비슷함 정도를 계산하여 기기들이 서로 근접해 있는지를 판별하는 연구도 오랜 기간 동안 진행되었다. 하지만 이러한 방법들은 기기들이 서로 근처에 있는지 여부만 확인 할 수 있을 뿐 실제로 기기들이 주인에 의해 소유되고 사용되고 있는지 여부는 확인 할 수 없다. 결과적으로 자동 잠금 해제 기능을 가진 스마트폰은 심각한 보안 문제를 야기할 수 있다---연결된 웨어러블 기기가 스마트폰에 근접해 있을 경우에 스마트폰을 물리적으로 직접 만질 수 있는 어떤 사람이든 자동 잠금 해제된 스마트폰을 사용할 수 있다.

최근 신뢰할 수 있는 손목 웨어러블 기기를 이용하여 지속적으로 스마트폰 사용자를 인증할 수 있는 비노력 (zero-effort) 쌍방 (bilateral) 인증 방법이 소개되었다. 앞서 설명한 근접성 기반의 방법들과는 다르게, 이 방법에서 손목 웨어러블 기기를 착용한 사용자가 스마트폰을 사용하기 위해서는, 스마트폰과 손목 웨어러블의 두 기기가 같은 사용자에 의해 실제로 소유되고 있다고 판단돼야 한다. 두 기기의 동일 소유권 (same-ownership)을 판별하기 위해, 잡는 방식 (hand grip)---손목 웨어러블을 착용한 손이 스마트폰을 쥐고 있는지 또는 스마트폰에 터치 입력을 하고 있는지---에 따라 손목 웨어러블 기기의 움직임 정보는 스마트폰의 움직임 및 터치 입력 정보와 관련이 있는지 비교된다. 불행히도 이 방법은 몇 가지 단점이 있다. 첫 째로, 이 방법은 사용자가 이동 할 경우 잘 작동하지 않는다. 이는 스마트폰의 터치 입력 정보와 비교되어야 할 손목 움직임이 걸음 동작에 의해 은닉 될 수 있기 때문이다. 둘 째로, 두 기기의 움직임 정보를 계속적으로 비교하기 위해서는 두 기기 중 최소 하나의 기기가 다른 기기에게 자신의 움직임 정보를 지속적으로 보내야하며, 이는 과중한 통신 부담을 야기한다. 마지막으로, 이전 연구에서는 두 기기에서 측정되는 중력에 기반한 가속도의 차이를 이용하여 잡는 방식을 유추하였는데, 이는 스마트폰이 지상과 수평이라는 가정이 필요하고, 실제 생활에서 사용하기는 어렵다.

위에 언급한 문제를 해결하기 위해 우리는 손목 웨어러블 지원형 지속적 스마트폰 사용자 인증 방법인 WearAuth를 이 논문에서 제안한다. WearAuth는 웨이블릿 기반 (wavelet-based) 다중 해상도 분석 (multi-resolution analysis)을 이용하여 사용자의 이동 여부와 상관없이 원하는 터치 관련 손목 움직임을 추출할 수 있다. 그리고 이산 푸리에 변환 (discrete Fourier transform) 기반의 근사 상관 (approximate correlation)을 이용하여 통신 부담을 줄였다. 또한, 가속도와 상관없이 두 기기의 상대적인 방향을 계산하여, 기기를 잡는 방식을 직접적으로 유추 할 수 있도록 하였다. 우리는 50명의 실험자가 참여한 두 번의 실험으로 WearAuth의 성능을 평가하였다. WearAuth의 거짓 부정 비율 (false negative rate)과 거짓 긍정 비율 (false positive rate)은 각각 3.6%와 1.69% 이하로, 과거 연구에 비해 뛰어난 성능을 보였다. 우리는 WearAuth가 다양한 사용 사례에서 적절히 동작하며, 정교한 공격에도 안전한 것을 확인 할 수 있었다.

Authenticating a smartphone user with a wearable device brings convenience, but needs more research efforts. IT market leaders such as Google and Apple have released automatic unlock features which employ the proximity of a wearable device as a security token. The proximity is determined by validating the connectivity of wireless networks such as Bluetooth and Wi-Fi. The automatic unlock exempts users from repetitive and obtrusive locking system of smartphones and laptops. Similar researches of proximity tests, which validate the similarity of instant ambience information individually monitored in multiple devices, also have been studied for more than a decade. However, those methods can determine whether the devices are simply close to each other; they cannot guarantee whether the devices are actually possessed by their owner. Consequently, a smartphone with the automatic unlock feature involves a serious security flaw---anyone who has physical contact with the smartphone can access it as long as the paired wearable device is nearby the smartphone.

Recently, zero-effort bilateral authentication was introduced to use a trusted wristwear to continuously authenticate a smartphone user. Unlike the aforementioned proximity-based methods, a user who wears the trusted wristwear is allowed to use her smartphone with the bilateral approach if both devices are determined to be owned by the user. To verify the same-ownership of both devices, wristwear's motions are compared with smartphone's inputs or motions depending on the hand grip---whether the wristwear-worn hand holds the smartphone and/or provides touch inputs. Unfortunately, the scheme involves the following shortcomings. First, it may work improperly when the user is moving since the gait behaviors can conceal the wrist's motions of making touches that need to be compared with smartphone's touch inputs. Second, it continuously compares the motions of the two devices, which incurs a heavy communication burden. Third, their acceleration-based grip inference, which exploits gravity by assuming that the smartphone is horizontal with the ground, is inapplicable in practice.

In this dissertation, we propose WearAuth, wristwear-assisted continuous user authentication for smartphones. WearAuth overcomes the aforementioned problems. WearAuth applies wavelet-based multi-resolution analysis to extract the desired touch-specific wrist movements regardless of whether the user is stationary or moving; uses discrete Fourier transform-based approximate correlation to reduce the communication overhead; and takes a new approach to directly compute the relative device orientation to infer the hand grip more precisely. In two experiments with 50 subjects, WearAuth produced false negative rates of 3.6% or less and false positive rates of 1.69% or less, which outperformed the conventional method. We conclude that WearAuth operates properly under various usage cases and is robust to sophisticated attacks.