視線交互的圖像密碼認證系統

淳新益 栗戰恒 鄭秀娟* 劉華茜 張 昀 劉 凱

1(四川大學電氣工程學院 四川 成都 610065)2(西安交通大學電子與信息工程學院 陜西 西安 710049)

0 引 言

用戶是安全系統的薄弱環節，許多安全問題產生于人機交互環節。例如，基于生物特征識別的系統BBID(Biometrics-based Identification)是基于用戶自身屬性，不會丟失和遺忘，但是易被記錄或盜取，其存在的一個嚴重問題是克隆。為了應對人們對復雜文本密碼的記憶難題，近幾年有人開始探索圖像密碼的認證方案[1]。這種方案在解決密碼的記憶問題方面表現良好，但是卻無法有效地抵御窺探攻擊。眼睛的運動直接體現了用戶視線的改變，與人們的關注目標以及任務意圖有著非常密切的聯系，是一種高效、快捷的交互方式。眼動數據由眼動系統收集，眼睛特征難以被人類觀察者直接提取。因此，眼動對窺探攻擊有高抵抗性，完全適合在認證系統中使用。一些研究人員將圖像系統和眼球運動的優勢結合在一起，嘗試開發基于眼動的圖形認證系統[2]。 配備視線跟蹤技術的圖形密碼系統不僅可以解決安全問題，而且可以提升用戶體驗。Maeder等[3]和Hoanca等[4]都提出了基于用戶注視的圖形認證系統。此外，Dunphy等[5]在Passfaces上配備了視線跟蹤設備并將其實施到ATM系統上。

本文提出一種基于視線交互的圖像密碼認證系統。利用眼動的優點并與基于識別的圖像身份認證系統相結合，系統基于注視的交互進行設計，并通過用戶測試對該系統的可用性和有效性進行驗證。

1 系統設計

本文提出的圖像密碼認證系統中使用圖像組合作為用戶名和密碼，并以眼動儀代替鼠標和鍵盤作為輸入設備。本研究有如下假設：1) 用戶在背景和尺寸不同的圖像上有不同的瀏覽時間(數據密度、展示介質及壓力在視覺搜索性能上有不同的貢獻[6]，這里只考慮背景和尺寸的影響)；2) 用戶在感興趣區域AOI(Area of Interest)花費的時間多于其他區域。

1.1 眼動輸入方式

基于注視的交互和基于掃視的交互是使用視線跟蹤技術進行人機交互的兩種可用模式，最常用的是基于注視的人機交互[7]。在基于注視的交互中，一個很重要的問題是觸發方式的選擇，一般有基于眨眼和基于駐留兩種方式。在過去的研究中，基于注視駐留的方法被認為是最佳的觸發方式。Hansen等[8]研究后發現：基于注視駐留的視線交互方法能夠建立一個比鼠標點擊速度更快的眼控接口。本文采用基于注視駐留的交互方式設計圖像認證系統。

1.2 系統圖像尺寸與背景

用實驗測試不同背景、尺寸圖像組合對用戶視覺搜索性能的影響，圖像背景分別被設置為Round、Square、None 3種，尺寸被設置為tiny(95×95 pixels)、small(113×113 pixels)、medium(150×150 pixels)和large(188×188 pixels)4種，共組成12種組合。每種圖像組合包含9個相同尺寸圖像，圖1是尺寸為large時的三種組合。

圖1 尺寸為large時的三種圖像組合

實驗共招募16名受試者用于驗證假設1，通過實驗選擇適合系統的最佳圖像尺寸和圖像背景。實驗前，向受試者介紹整個實驗，以確保他們熟悉實驗流程。實驗開始時首先進行9點視線標定，大約用時1 min。之后，顯示器呈現以上12種圖像組合，每種組合隨機出現5次，每次呈現圖像位置隨機分布。受試者瀏覽每個圖像組合，并用鼠標單擊他們最感興趣的一幅，之后呈現下一圖像組合，直至圖像組合呈現完畢(12×5共60次)。實驗過程中使用眼動儀獲取用戶的視線位置，同時記錄每個圖像組合中用戶所選中的圖像，即用戶最感興趣的圖像IOI(Image of Interest)。

對所有眼動數據進行統計分析，排除一個采樣率過低受試者的實驗數據，表1為其他15個受試者的實驗數據統計。其中：Style是圖像組合樣式；SelectDur是用戶視線在IOI上的平均停留時間；BrowsDur是用戶視線在非IOI圖像上的最大停留時間的平均值；Acc是注視正確率，指視線估計點所在圖像與鼠標點擊圖像一致的比例。

表1 每種圖像組合的統計結果

使用雙因素可重復方差分析(Two-wayANOVA)分析實驗數據，如圖2(a)所示，圖像尺寸相同時隨著圖像背景從Round到None再到Square，受試者在IOI上的視線停留時間顯著減少(p<0.001,p為雙因素可重復方差分析中的一個重要參數)；同樣尺寸下當圖像背景為Square時，受試者搜索IOI所需的時間最短。如圖2(b)所示，當圖像背景為IOI時，隨圖像尺寸增加受試者在IOI上的視線停留時間先增大后減小(p<0.05)。當圖像尺寸為tiny與large時，受試者搜索IOI所需的時間較短。由表1結果可得，當圖像尺寸很小時注視正確率一般低于90%，這可以由用戶的眼睛生理機制及眼動數據準確性來解釋。

圖2 不同圖像組合下IOI上注視時間的變化

實踐中圖像認證系統的用戶界面大小一定，如果密碼圖像的尺寸無限大，系統將包含過少的圖像從而容易受到密碼猜測攻擊。因此，綜合以上因素我們選擇Square_large作為最佳圖像組合，并設置0.911 s作為用戶選中目標圖像的時間閾值(根據表1)，設置0.676 s作為“清除”、“保存”等功能鍵的時間閾值(數據通過類似的實驗獲得)。

1.3 系統實施

圖像認證系統示意圖如圖3所示，Tobii EyeX固定在23英寸顯示器(分辨率為1 920×1 080 pixels)底部，受試者坐在離屏幕約65 cm的位置，保持坐姿舒適。系統中的圖像作為生成用戶名和密碼的個人識別圖像集PIIs(Personal Identification Images)，基于用戶識別進行身份認證，系統包括注冊和登錄兩個階段。

圖3 圖像認證系統示意圖

圖4為系統注冊界面示意圖(登錄界面與注冊界面類似)，用戶界面左側為功能按鍵，右側以3×5的網格顯示15幅圖像作為PIIs，以避免圖像界面過大并降低窺探攻擊的風險，系統中密碼圖像和功能鍵依據之前的實驗結果進行設置。系統使用Tobii EyeX提取用戶的視線位置，將其作為像鼠標一樣的輸入設備。通過注視目標圖像0.911 s，用戶可以選中該圖像；通過注視功能鍵0.676 s，用戶可以激活對應功能鍵，圖像或功能鍵被激活后會發出蜂鳴聲。在注冊階段，用戶可以分別選取2～6幅圖像作為用戶名或密碼，然后這些賬戶信息被加密并存儲在數據庫中。

圖4 系統注冊界面示意圖

用戶注冊過程如圖5所示(用戶密碼重置過程與注冊時類似)。在注冊階段，同一圖像可以被用戶選取多次，用戶只需要稍后選擇并再次激活它。然后，用戶在登錄階段識別并認證他們預先選擇的PIIs，以便進行身份驗證。在每次登錄過程中，系統以3×5個網格顯示15幅圖像，圖像位置隨機分布，每5 s刷新一次，時間間隔定義為刷新幀。

圖5 賬戶注冊過程示意圖

本系統中，將使用的注視定義為AOI中一系列注視總持續時間的疊加與平均位置的結合。在注冊階段，用戶名圖像被選中時對應圖像變為紅色，密碼圖像被選中時對應圖像變為黃色；在登錄階段圖像被選中時無任何視覺反饋，通過發出“嘀”的聲音提醒用戶圖像被選中，以抵御用戶登錄時可能存在的窺探攻擊。

2 用戶測試及系統可用性評估

2.1 用戶測試實驗

招募20名受試者進行用戶測試研究(14名男性、6名女性)，受試者的年齡從23歲到26歲，平均為24.25歲。其中7名受試者視力正常，其余受試者通過戴眼鏡矯正至視力正常。所有受試者均沒有使用基于視線交互的圖像認證系統的經驗。為了進行有效評估，賬戶中用戶名和密碼的長度都被設置為2。在簡要介紹圖像認證系統的使用流程之后，受試者開始使用Tobii EyeX進行視線標定，然后依次完成注冊和登錄兩項任務。出于評估的目的，將兩個任務劃分為若干子任務，每個子任務在不同的用戶界面上進行。對于每次測試，受試者被指示依次進行如下任務：(1) 選取用戶名圖像；(2) 確認用戶名；(3) 選取密碼圖像；(4) 確認密碼并注冊；(5) 使用賬戶信息登錄；(6) 退出。

在實驗期間，受試者可以重復嘗試、跳過或重新啟動任務(重新創建用戶名或重新創建新密碼)。受試者重復測試直到他們成功進行3次完整測試。每次測試間隔10分鐘，每個受試者要在2小時內完成整個實驗。記錄所有受試者的實驗數據，并要求每位受試者填寫一份關于圖像認證系統可用性的調查問卷。

2.2 實驗結果與分析

所有受試者的實驗結果如表2所示?？梢钥闯?，只有1名受試者進行了5次測試(最大測試次數)，比例為5%；8名受試者進行了4次，比例為40%；11名受試者進行了3次，比例為55%。實驗結果表明，受試者對任務幾乎沒有困難，他們可以成功完成測試，但是可能需要多次嘗試。受試者完成一個完整測試的總時間從40.35 s到152.66 s不等，注冊過程大約花費了42.80%的時間，登錄過程與注冊過程相比花費的時間更多，這是由于賬戶登錄過程中密碼圖像輸入時無視覺反饋，這增加了實驗難度。

表2 每個受試者進行的總測試次數

對所有受試者在各個階段花費的時間進行比較，結果如圖6所示?？梢钥闯鰡未螠y試花費的時間隨著實驗測試次數的增加逐漸下降，無論在哪個階段受試者第一次測試都花費更多時間。當受試者熟悉認證系統時，實驗花費的時間會減少。這表明受試者在各階段花費的時間與用戶對圖像認證系統的熟悉程度高度相關。當有錯誤PII輸入時，用戶通常需要額外的時間來移除和修復，所以用戶在同一階段花費的時間可能由于輸入錯誤而具有大的標準偏差，這是圖6(b)中第三次登錄時標準偏差較大的原因。

圖6 受試者隨測試數增加在各個階段花費時間的變化

實驗中忘記確認用戶名的現像出現了7次，這是由用戶習慣導致的(雖然在實驗前已經介紹并特別提醒)，這表明固有的生活習慣對人們的行為影響很大。實驗失敗的主要原因是受試者在登錄時無法適應密碼刷新頻率，占所有錯誤的79.49%，緊接的錯誤類型是忘記密碼、記錯密碼、重新輸入密碼前未清零等。從調查問卷可以看出，所有受試者都指出基于視線交互的方法比基于點擊的方法需要更多的操作時間。大部分的受試者表示愿意在將來使用基于視線交互的圖像認證系統。

3 結 語

本文提出一種基于視線交互的圖像密碼認證系統，并通過用戶測試研究驗證了系統的可用性和有效性。視線跟蹤技術的引入增加系統的可靠性、可用性以及對窺探攻擊的抵抗能力。本文系統相比傳統的鼠標或鍵盤輸入的密碼認證更加安全，但是基于注視駐留的視線交互過于緩慢且存在一定出錯的概率，同時激活圖像的時間閾值也需要進一步研究，以改善交互體驗。并且用戶測試也存在一定的局限性，無法對該認證系統進行全面評估。未來將進一步探索基于注視的PII輸入策略，同時在系統設計時考慮用戶本身的固有習慣，以提高認證系統的效率和可用性。