学术论文读后感.pdfVIP

论文读后感 我读的论文题目是《Progressive authentication: deciding when to authenticate on mobile phones》，这是一篇由中国计算机学会推荐的国际学术会议和期刊论文，发表在 USENIX 会议上。 该篇论文综合论述了近年来手机验证领域的一些新发展，并对当前手机认证方法的安全 性和方便性问题提出了自己的看法和观点。论文中指出传统的验证方法并不符合大部分手机 用户的需要，只用更加智能化的手段才是未来手机行业的发展趋势。该论文观点鲜明，论证 清晰有力，论据充分可靠，数据准确，资料详实，文献综述丰富而规范，其中论文关于手机 安全验证的方方面面都具有相当高的新的见解。下面简单介绍如下： 一、安全性和可用性 论文对当前使用手机人群的满意度进行了详细的调查分析，发现有超过60%的手机用户 不会再手机上使用PIN。这种现象一方面是由于用户觉得该验证方法过于麻烦，另一方面也 说明用户对自身手机的安全性缺乏正确的认识。文中提到“All-or-nothing”的验证方式， 即或者全部验证，或者全部不验证，这也正是当前大多数手机的验证方法，该方式也不能满 足人们对安全性和可用性的需求。 本文提到的验证技术对手机行业来说并不是一种新的验证方法，而是综合分析当前所有 的验证方式后得到的一个结论：何时验证以及对何种应用进行验证。这正是该篇论文的意义 所在，希望可以对手机验证技术有一个很好的指导作用。在保证安全性的基础上，尽可能的 使用户方便使用，这不仅是手机行业未来的发展方向，也应该是所有其他行业的发展趋势， 因此也可以相应的借鉴该论文中的观点和理论。 二、多层验证 在文中，提到了多层验证的概念，即对于不同的手机应用，提供不同的验证级别。例如： 对于游戏、天气等应用来说，可以对所有人进行开放，只要拿到手机就可以打开这些应用， 也不会对手机所有者造成经济损失；对于短信、电话、邮件等这些涉及个人隐私的应用，则 应该设为私有的，当需要使用时，需要进行一部分的验证；而对于银行账户等涉及安全和财 产方面的应用时，则应该给予最大的保密权限。 对于不同的验证级别，每一个使用该手机的用户的权限都是不太相同的。手机所有者在 被系统识别为可信之后，可以方便的使用系统中所有或者大部分的手机应用，而无需进行验 证。对于那些初次使用手机的人来说，系统并不能识别他们的可信度，因此只能使用公开的 手机应用，如果想要打开私有的或保密的应用，则需要其他的验证方法。 1 该方案的提出在满足安全性的基础上，可以大幅度方便用户的操作，已经超越了原有的 “All-or-nothing”验证方式。 三、实验结果 论文对提出的理论进行了相应的实验。该实验的基本原理是在手机上安装多种类型的传 感器，用于采集可信用户的各种数据。例如：温度传感器可以采集用户的体温；声音传感器 可以再用户打电话时逐步采集用户的声音特征；视频传感器可以采集到用户的生理特征等等。 另外，文中还提到了一种新型的验证方式，即设备间的验证。在用户的多个电子设备（如 PC、Pad 和手机）中通过蓝牙建立连接，当手机在使用时，可以自动的检测周围是否存在这 些已经连接的设备。如果系统发现无法连接到其他设备时，将会提高手机的安全级别，用户 需要使用涉及隐私的手机应用时，将会需要更多的身份验证。 实验的目标有以下四点：1、减少验证开销2、寻找安全性和便利性的折中3、对模型的 安全性进行高低不同的推理逻辑4、很少的能量消耗。在安全性和便利性方面，文中提到了 FR （False Rejection）和 FA （False Authentication）两个概念，即概率统计中“弃真” 和“纳假”。FR 表示一个合法的用户被不正确的要求身份验证的概率，而 FA 表示一个不合 法的用户没有被验证的概率。在实验中，作者自定义了一个变量R，当R 越高时，表明用户 需要更高的便利性，这也会导致更多的FA；当R 越低时，表明用户需要更高的安全性，这 也会导致更多的FR。 论文通过实验最终证明该验证技术可以满足用户安全性和便利性的需求。对于银行账户 等安全性级别要求高的应用来说，FA 的比率一直为0，即绝不会出现非法用户不经过验证即 使用这些应用的情况；而FR 的比率一直在96%以上，即对于一个合法用户，随着R 的升高， 被错误的要求验证的概率并没