文章总结： 南开大学汪定教授团队针对自由手势认证易受猜测攻击的问题，提出了基于行为生物特征的增强方案StrokeFG。该方案利用孪生网络和CNN提取用户行为信息，在97名用户数据集测试中，假阳率显著降低86%以上，且在攻击者获知手势类别时仍能提供6.5至8.21比特的安全性，有效增强了移动设备的认证安全。 综合评分： 82 文章分类： 移动安全,解决方案

学术前沿 | 南开大学汪定教授团队：基于行为生物特征的自由手势认证增强方案

网络空间安全科学学报

2026年1月25日 21:25 北京

引用

姚景予，汪定，李昕杨.基于行为生物特征的自由手势认证增强方案[J].网络空间安全科学学报，2025，3（4）： 29 -42.

https://doi.org/10.20172/j.issn.2097-3136.250403.

YAO J Y，WANG D，LI X Y. Enhanced free-form gesture authentication scheme based on behavioral biometric features[J].Journal of Cybersecurity，2025，3（4）： 29 – 42.

https://doi.org/10.20172/j.issn.2097-3136.250403.

背  景

智能手机已逐渐成为金融交易、隐私信息存储等对安全性要求较高服务的重要载体，其主要依赖个人认证码（PIN）与九宫格等基于知识的认证方案。对于智能移动设备，自由手势相比PIN具备更复杂的键入模式和更大的密钥空间，其被视为一种具有潜力的认证方案。然而，最新研究表明，在线字典猜测攻击可以在20次尝试内攻破10.33%的自由手势，这对自由手势认证系统的安全性和可用性造成了潜在威胁。本文全面梳理了现有自由手势认证研究的发展阶段和发展趋势，探讨了自由手势认证现阶段面临的潜在威胁，设计了一个基于用户行为生物特征的自由手势认证增强方案。

01

自由手势允许用户在触摸屏上用一个或多个手指绘制任意形状或图案，其在安全性、可用性和易记性方面优于PIN和九宫格。然而，现有研究表明，用户倾向于创建简单、可预测的手势（例如心形、字母以及常见形状）。用户选择的手势聚集在一个有限的“弱子空间”内。与签名相比，用户生成的手势更注重易记性而非复杂性，从而导致安全性降低。智能手机中存在大量的传感器，例如压力传感器、电容传感器。当用户与智能手机交互时，传感器可以捕获用户独特的生理和行为信息。如图1所示，识别手势类别的同时进一步认证用户的行为生物信息可更有效地抵抗在线字典猜测攻击，从而增强自由手势认证系统的安全性。

图1  在线字典猜测攻击

Fig.1  Online dictionary guessing attack

02

本文利用孪生网络这一少样本学习技术以及卷积神经网络构建StrokeFG，其架构如图2所示。 StrokeFG采用服务器客户端架构，用户仅需注册少量样本即可部署StrokeFG。本文在包含 97 个用户、2 种行为状态以及30类手势的数据集上测试了 StrokeFG 的性能，系统地评估了其健壮性和安全性。如图3和图4所示，在相同类别手势的测试集中，StrokeFG报告了5.64%和6.81%的等错误率。相较于基线，StrokeFG的假阳率降低了86.56%~91.24%。结果表明，即使非法用户提前获知用户使用的手势类别，StrokeFG仍能有效识别非法用户访问。

图2  系统架构

Fig.2  System structure

图3 各分类器性能比较（坐姿）

Fig. 3  Classifier performance comparison (Seated)

图4  各分类器性能比较（行走）

Fig. 4  Classifier performance comparison (Walking)

03

熵是衡量认证系统安全性的重要指标之一。本文采用α-猜测复杂度作为衡量指标。表1展示了自由手势认证基线方案、4位个人认证码（PINs）、九宫格以及StrokeFG的行为生物认证模块的安全性。如表1所示，StrokeFG的行为生物认证模块在两种行为状态对应的数据集上分别提供 6.60-8.14 比特与6.50-8.21比特的安全性。这表明即使攻击者已知手势类别，StrokeFG可以提供6.50-8.21比特的安全强度。

表1  α-猜测复杂度评估

Table 1  Entropy evaluation of α-guesswork

04

综上，本文系统回顾了自由手势认证系统的研究进展并提出了一个新的基于行为生物特征的自由手势认证增强方案。随着智能手机的普及以及日益多变的安全威胁，构建更加安全的认证方案势在必行。然而，自由手势认证系统仍存在若干问题亟待解决。用户在与智能手机交互期间，用户所处环境以及行为状态复杂且多样。在多场景、多行为状态下分析用户的行为模式对提升自由手势认证系统的安全性至关重要。未来研究应深入探讨多场景下用户的行为模式，进一步优化认证架构，增强智能手机系统的安全防线。

论文全文下载方式

1 识别下方二维码；2 点击文末“阅读原文”。

来源：《网络空间安全科学学报》2025年第四期

《网络空间安全科学学报》由中国航天科技集团有限公司主管、 中国航天系统科学与工程研究院主办，双月刊，国内外公开发行（CN 10-1901/TP，ISSN 2097-3136），入选中国科学引文数据库（CSCD）核心库、《信息通信领域高质量科技期刊分级目录》T2级。办刊宗旨为“搭建网络空间安全领域学术研究交流平台，传播学术思想与理论，展示科学研究、创新技术与应用成果，助力网络空间安全学科建设，为网络强国建设提供坚实支撑与服务”。

网站：www.journalofcybersec.com

电话：010-89061756/ 89061778

邮箱：[email protected]

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络空间安全科学学报 《学术前沿 | 南开大学汪定教授团队：基于行为生物特征的自由手势认证增强方案》