在确保临床环境中的病历等关键信息系统的一大步中,Dartmouth学院的研究人员已经创建了一种新的计算机安全方法,在他们使用终端时持续地验证用户并在他们离开或某人时自动记录它们否则步骤使用终端。
达特茅斯值得信赖的健康和健康(THAW)/研究人员最近在IEEE安全与隐私的IEEE研讨会上展示了他们的调查结果。
常用的认证方式是基于密码、令牌或指纹进行一次性认证,并依赖用户离开计算机终端时注销。但用户往往不注销,这是一个安全风险。最常见的解决方案是无活动超时,不可避免地无法实现安全性(超时时间过长)或可用性(超时时间过短)目标。
一个解决方案是在使用终端时不断验证用户,并在离开时自动记录它们。几个解决方案基于用户接近度,但这些解决方案不足:他们确认用户是否在附近,而不是用户是否实际使用该终端。作为最近的研究表明,基于行为生物识别技术(例如,击键动力学)的其他提出的解决方案可能不可能可靠。
为了解决这个问题,达特茅斯大学计算机科学博士生什里朗·马(Shrirang Mare)开发了一种名为“零努力双边重复认证”(Zero-Effort Bilateral Recurring Authentication,简称ZEBRA)的方法。在ZEBRA中,用户在手腕上佩戴一个内置加速计、陀螺仪和无线电的手镯;这种手环通常作为健身器材出售。当用户与计算机终端交互时,手镯会记录手腕的动作,进行处理并发送到终端。终端将手腕的动作与通过键盘和鼠标接收到的用户输入进行比较,只有在它们相互关联时才确认用户是否继续存在。因为手环在向终端提供输入的同一只手上,加速度计、陀螺仪数据和终端接收到的输入事件应该相互关联,因为它们的来源是相同的——用户的手运动。
在实验中,Zebra在验证正确的用户的情况下以85%的准确性进行连续认证,并在11秒内识别所有对手。对于交易可用性安全性的不同阈值,Zebra正确验证了90%的用户,并在50秒内识别所有对手。因此,如果原始用户已逐步离开终端,则Zebra可以识别(在一分钟内)进入使用终端。This kind of quick reaction can prevent mistakes – such as clinical staff accidentally entering information into the wrong patient’s medical record – or inappropriate behavior, such as a bystander examining personal medical information or financial data by taking advantage of a computer left open by an authorized user.
该研究的资深作者David Kotz教授说:“在这项工作中,我们专注于台式电脑的去认证问题,因为我们受到医院医疗专业人员面临的相关问题的激励。”“将ZEBRA扩展到智能手机或平板电脑等移动设备是很自然的,我们相信这是可能的,尽管存在一些不同的挑战。”
原则上,Zebra也可以扩展到其他设备,如电视遥控器,游戏控制器或医疗设备 - 用户提供频繁输入的任何设备。然而,对于这些设备,应用程序可能更多,以提高可用性而不是安全性。例如,如果电视遥控器可以识别谁持有它,它可以提供个性化功能,这可能导致更好的用户体验。使用特定医疗设备或传感器的识别可以帮助提供对医疗保健专业人员有用的安全用户认证。
欲了解更多信息,请访问www.dartmouth.edu。
提交:M2M(机器到机器)
