Autenticación continua en dispositivos móviles basada en inteligencia artificial

• Autores: Juan Manuel Espín López
• Directores de la Tesis: Javier Gómez Marín-Blázquez (dir. tes.) , Francisco Esquembre (dir. tes.) , Alberto Huertas Celdrán (dir. tes.)
• Lectura: En la Universidad de Murcia ( España ) en 2024
• Idioma: español
• Número de páginas: 36
• Tribunal Calificador de la Tesis: José María de Fuentes García-Romero de Tejada (presid.) , Mercedes Valdés Vela (secret.) , María Cristina Alcaraz Tello (voc.)
• Enlaces
  • Tesis en acceso abierto en: DIGITUM
• Resumen
  • español

    La información almacenada en los dispositivos móviles, como teléfonos inteligentes, tabletas u ordenadores portátiles, ha ido creciendo con el paso de los años. El acceso a dichos dispositivos y a la información que contienen por parte de un atacante, puede suponer un grave riesgo a la privacidad de los datos del usuario y su entorno. La mayoría de los dispositivos móviles cuentan con mecanismos de protección de acceso que, una vez desbloqueados, no vuelven a comprobar la identidad del usuario, por lo que es necesario el uso de técnicas de autenticación que permitan comprobar la identidad del usuario durante todo el tiempo de uso del dispositivo; es decir, sistemas de autenticación continua. Con este objetivo de autenticación continua del usuario, la investigación se centra en la exploración de las diferentes fuentes de datos y algoritmos de machine learning e inteligencia artificial, la idoneidad del enfoque seguido, y la protección de la privacidad de los datos del usuario mediante la aplicación de técnicas de aprendizaje federado. El inicio de esta investigación junto con la revisión de la literatura realizada en el campo de la autenticación continua en dispositivos móviles, suscitó una serie de preguntas de investigación claves que han sido resueltas a lo largo de la tesis. Estas preguntas indagan acerca de la idoneidad de las diferentes fuentes de información, como vectores de autenticación continua disponibles en un dispositivo móvil, y la mejor forma de combinarlas, así como de los diferentes algoritmos de machine learning e inteligencia artificial. También se evalúan las diferencias entre los enfoques supervisados y no supervisados, junto con la mejora en rendimiento y la robustez ante usuarios desconocidos que proporcionan los enfoques supervisados. Finalmente, surgen cuestiones relacionadas con la privacidad de los datos del usuario, como cuál es el coste en precisión al incrementar dicha privacidad utilizando técnicas de aprendizaje federado, la resiliencia del sistema ante ataques adversariales de tipo inyección y perturbación de datos, y la existencia y eficacia de contramedidas ante estos ataques. La metodología empleada en esta investigación comienza con una revisión detallada del estado del arte de la autenticación continua de usuarios, el análisis de los enfoques seguidos en los diferentes trabajos, y la aplicación de técnicas de aprendizaje federado en el campo de la autenticación de usuarios. Tras analizar las fuentes de información disponibles en dispositivos móviles y su estudio en la literatura, se seleccionan la información de sensores, los estadísticos de uso y la voz. Ya escogidas estas fuentes, una parte primordial de la metodología es la elaboración de una base de datos, la cual está disponible para la comunidad científica. La metodología seguida continúa con la experimentación, que permite resolver las preguntas de investigación mencionadas anteriormente y, finalmente, concluye con una exposición de resultados y conclusiones. Así pues, el resultado principal de la investigación ha sido la demostración de la autenticación continua como una solución altamente prometedora para mejorar la seguridad, aportando pruebas sólidas de la eficacia en la protección del usuario, manteniendo la integridad de los datos y su privacidad. Otros resultados parciales e interesantes son la validación de los enfoques supervisados, que mejoran significativamente la precisión de los sistemas y se muestran robustos ante nuevos usuarios no vistos durante el entrenamiento. También se ha demostrado que el coste de aumentar la privacidad de los datos es asumible en términos de rendimiento. Y, finalmente, se ha identificado la necesidad de desarrollar contramedidas efectivas para garantizar la seguridad ante situaciones de ataques. En conjunto, se ha demostrado que estos sistemas son viables en entornos industriales, lo que sugiere que podrían ser desplegados en espacios reales de este tipo en un futuro cercano.

  • English

    The information stored on mobile devices, such as smartphones, tablets, or laptops, has been growing over the years. Access to these devices and the information contained inside them by an attacker can pose a severe risk to the privacy of the user's data and environment. The vast majority of mobile devices have access protection mechanisms to unlock the device; however, these mechanisms do not re-verify the user's identity after initial access. This fact makes it necessary to use authentication techniques that allow the user's identity to be verified during the entire time the device is in use, i.e., continuous authentication systems. With this goal of continuous user authentication, this research focuses on exploring different data sources and machine learning or artificial intelligence algorithms, the suitability of the approach followed, and the protection of user data privacy through the application of federated learning techniques. The initiation of this research and the literature review conducted in the field of continuous authentication on mobile devices raised some key research questions that have been answered throughout the thesis. These questions inquire about the suitability as continuous authentication vectors of the different information sources available on a mobile device, the best way to combine them, and the different machine learning and artificial intelligence algorithms. The differences between supervised and unsupervised approaches are also evaluated, along with the improvement in performance and robustness to unknown users that supervised approaches provide. Finally, questions related to user data privacy arise, such as the accuracy cost of increasing user data privacy using federated learning techniques, the system's resilience to adversarial attacks such as data injection and data perturbation, and the existence and effectiveness of countermeasures to these attacks. The methodology employed in this research begins with a detailed review of the state of the art of continuous user authentication, the analysis of the approaches followed in different works, and the application of federated learning techniques in the field of user authentication. By analyzing the sources of information available on mobile devices, as studied in the literature, sensor information, usage statistics, and voice are selected. Once these sources have been selected, a primary part of the methodology is developing a database containing data from these sources. This database is available to the scientific community. The methodology proceeds with experimentation, which addresses the aforementioned research questions, and finally concludes by presenting results and conclusions. The main result of this research has been the demonstration of continuous authentication as a highly promising solution for improving security, providing solid evidence of effectiveness in protecting the user while maintaining data integrity and privacy. Other interesting partial results are the validation of supervised approaches, which significantly improve the accuracy of the systems and prove robust to new users not seen during training. It has also been demonstrated that the cost of enhancing data privacy is affordable in terms of performance. Finally, the need to develop effective countermeasures for ensuring security in attack situations has been identified. Overall, these systems are viable in industrial environments, suggesting that they could be deployed in real industrial environments in the near future.