學術論文讀后感
學術論文讀后感
我讀的論文題目是《Progressive authentication: deciding when to authenticate on mobile phones》,這是一篇由中國計算機學會推薦的國際學術會議和期刊論文,發(fā)表在USENIX會議上。
該篇論文綜合論述了近年來手機驗證領域的一些新發(fā)展,并對當前手機認證方法的安全性和方便性問題提出了自己的看法和觀點。論文中指出傳統(tǒng)的驗證方法并不符合大部分手機用戶的需要,只用更加智能化的手段才是未來手機行業(yè)的發(fā)展趨勢。該論文觀點鮮明,論證清晰有力,論據(jù)充分可靠,數(shù)據(jù)準確,資料詳實,文獻綜述豐富而規(guī)范,其中論文關于手機安全驗證的方方面面都具有相當高的新的見解。下面簡單介紹如下:
一、安全性和可用性
論文對當前使用手機人群的滿意度進行了詳細的調(diào)查分析,發(fā)現(xiàn)有超過60%的手機用戶不會再手機上使用PIN。這種現(xiàn)象一方面是由于用戶覺得該驗證方法過于麻煩,另一方面也說明用戶對自身手機的安全性缺乏正確的認識。文中提到“All-or-nothing”的驗證方式,即或者全部驗證,或者全部不驗證,這也正是當前大多數(shù)手機的驗證方法,該方式也不能滿足人們對安全性和可用性的需求。 本文提到的驗證技術對手機行業(yè)來說并不是一種新的驗證方法,而是綜合分析當前所有的驗證方式后得到的一個結論:何時驗證以及對何種應用進行驗證。這正是該篇論文的意義所在,希望可以對手機驗證技術有一個很好的指導作用。在保證安全性的基礎上,盡可能的使用戶方便使用,這不僅是手機行業(yè)未來的發(fā)展方向,也應該是所有其他行業(yè)的發(fā)展趨勢,因此也可以相應的'借鑒該論文中的觀點和理論。
二、多層驗證
在文中,提到了多層驗證的概念,即對于不同的手機應用,提供不同的驗證級別。例如:對于游戲、天氣等應用來說,可以對所有人進行開放,只要拿到手機就可以打開這些應用,也不會對手機所有者造成經(jīng)濟損失;對于短信、電話、郵件等這些涉及個人隱私的應用,則應該設為私有的,當需要使用時,需要進行一部分的驗證;而對于銀行賬戶等涉及安全和財產(chǎn)方面的應用時,則應該給予最大的保密權限。
對于不同的驗證級別,每一個使用該手機的用戶的權限都是不太相同的。手機所有者在被系統(tǒng)識別為可信之后,可以方便的使用系統(tǒng)中所有或者大部分的手機應用,而無需進行驗證。對于那些初次使用手機的人來說,系統(tǒng)并不能識別他們的可信度,因此只能使用公開的手機應用,如果想要打開私有的或保密的應用,則需要其他的驗證方法。
該方案的提出在滿足安全性的基礎上,可以大幅度方便用戶的操作,已經(jīng)超越了原有的“All-or-nothing”驗證方式。
三、實驗結果
論文對提出的理論進行了相應的實驗。該實驗的基本原理是在手機上安裝多種類型的傳感器,用于采集可信用戶的各種數(shù)據(jù)。例如:溫度傳感器可以采集用戶的體溫;聲音傳感器可以再用戶打電話時逐步采集用戶的聲音特征;視頻傳感器可以采集到用戶的生理特征等等。另外,文中還提到了一種新型的驗證方式,即設備間的驗證。在用戶的多個電子設備(如PC、Pad和手機)中通過藍牙建立連接,當手機在使用時,可以自動的檢測周圍是否存在這些已經(jīng)連接的設備。如果系統(tǒng)發(fā)現(xiàn)無法連接到其他設備時,將會提高手機的安全級別,用戶需要使用涉及隱私的手機應用時,將會需要更多的身份驗證。
實驗的目標有以下四點:1、減少驗證開銷2、尋找安全性和便利性的折中3、對模型的安全性進行高低不同的推理邏輯4、很少的能量消耗。在安全性和便利性方面,文中提到了FR(False Rejection)和FA(False Authentication)兩個概念,即概率統(tǒng)計中“棄真”和“納假”。FR表示一個合法的用戶被不正確的要求身份驗證的概率,而FA表示一個不合法的用戶沒有被驗證的概率。在實驗中,作者自定義了一個變量R,當R越高時,表明用戶需要更高的便利性,這也會導致更多的FA;當R越低時,表明用戶需要更高的安全性,這也會導致更多的FR。
論文通過實驗最終證明該驗證技術可以滿足用戶安全性和便利性的需求。對于銀行賬戶等安全性級別要求高的應用來說,F(xiàn)A的比率一直為0,即絕不會出現(xiàn)非法用戶不經(jīng)過驗證即使用這些應用的情況;而FR的比率一直在96%以上,即對于一個合法用戶,隨著R的升高,被錯誤的要求驗證的概率并沒有明顯的降低。
在論文最后,用實際的數(shù)據(jù)表明該技術消耗的能量很低,在可以接受的范圍
之內(nèi),這也為該技術的可行性研究提供了良好的基礎。
讀過該論文后,使我不僅了解了手機驗證領域的一些知識,而且也學習到了一篇經(jīng)典論文的脈絡結構應該如何組織。這兩篇論文的結構嚴謹,層次分明,采用了遞進式的分析結構,邏輯性強,文筆流暢,表達清晰,重點突出。文章格式相當?shù)姆蠈W術規(guī)范,反映了作者很強的科研能力。
另外,通過讀這篇論文,也使我認識和體會到了以下幾點:
1、一切事物的發(fā)展都是循序漸進的,手機行業(yè)發(fā)展到今天已經(jīng)相當?shù)妮x煌。但是伴隨著事物的發(fā)展也會相應的提出一系列新的問題,我們要在遵循客觀規(guī)律的基礎上突出人的主觀能動性,而不要想著一蹴而就。
2、科研的道路是曲折的,但前途是光明的。
3、任何技術都有其優(yōu)點和缺點。在論文中提到了很多新興的手機驗證技術,這些技術都各有所長,但卻都不是完美的。我們只有正視這些缺點,取長補短,才能促進手機驗證領域的更好更快發(fā)展。
4、手機驗證行業(yè)的價值。手機產(chǎn)業(yè)的高速發(fā)展,帶來了驗證技術的空前繁榮,但危害手機安全性的事件也在不斷發(fā)送,手機安全驗證的形勢是嚴峻的。我們應該從人的角度出發(fā),以人為本,只有如此才能設計出更好的產(chǎn)品供用戶使用。
總之,正如一句名言所說:讀一本好書就像和一個高尚的人說話。我相信站在巨人的肩膀上才能有更高的成就,我以后要多讀書,讀好書,不斷提高科研水平和自身修養(yǎng),盡量為中國的科研事業(yè)做出自己力所能及的貢獻。