sistema de autenticacion basado en biometria

INSTITUTO TECNOLOGICO

DE MORELIA

DEPARTAMENTO DE SISTEMAS Y

COMPUTACION

Sistema de Autenticacion para Dispositivos Movilesbasado en Biometrıa de comportamiento de Tecleo

Tesis que presenta:Gerardo Iglesias Galvan

Para obtener el grado de:Ingeniero en Sistemas Computacionales

Director de Tesis:Dr. Francisco Jose Rodrıguez Henrıquez

CINVESTAV

Asesor Interno:M.C. Cristobal Villegas Santoyo

ITM

Mexico, D.F. Junio 2007

Agradecimientos

Quisiera agradecer a mi asesor, el Dr. Jose Francisco Rodrıguez Henrıquez,por darme la oportunidad de trabajar con el durante estos ultimos meses,otorgandome toda su confianza y apoyo para el desarrollo del proyecto.

Tambien quiero dar las gracias al Centro de Investigacion y de Estu-dios Avanzados del I.P.N. por abrir sus puertas para que personas como yopodamos realizar proyectos de este tipo, ası como por su apoyo economicodurante la estancia, ya que sin el no hubiera sido posible la culminacion deesta tesis.

Dedicatoria

A mis padres que siempre me han apoyado en todosmis proyectos y motivado para no darme por vencido.

Indice general

Agradecimientos I

Dedicatoria II

Introduccion 2

1. SEGURIDAD Y AUTENTICACION 4

1.1. ¿Que es la seguridad? . . . . . . . . . . . . . . . . . . . . . . . 4

1.1.1. Confidencialidad . . . . . . . . . . . . . . . . . . . . . 5

1.1.2. Integridad . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.3. Autenticidad . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.4. Posesion . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.5. Disponibilidad . . . . . . . . . . . . . . . . . . . . . . . 6

1.1.6. Utilidad . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2. Elementos a proteger . . . . . . . . . . . . . . . . . . . . . . . 6

1.3. Amenazas a la seguridad . . . . . . . . . . . . . . . . . . . . . 6

1.3.1. Interceptacion . . . . . . . . . . . . . . . . . . . . . . . 7

1.3.2. Interrupcion . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3.3. Modificacion . . . . . . . . . . . . . . . . . . . . . . . . 7

iii

INDICE GENERAL iv

1.3.4. Fabricacion . . . . . . . . . . . . . . . . . . . . . . . . 8

1.4. Autenticacion de usuarios . . . . . . . . . . . . . . . . . . . . 8

1.4.1. Autenticacion basada en algo que el usuario posee . . . 9

1.4.2. Autenticacion basada en algo que el usuario conoce . . 10

1.4.3. Autenticacion basada en algo que el usuario es . . . . . 12

2. BIOMETRIA 13

2.1. La biometrıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2. Funcionamiento y desempeno . . . . . . . . . . . . . . . . . . 14

2.3. Biometrıa estatica . . . . . . . . . . . . . . . . . . . . . . . . . 15

2.3.1. Cara . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.3.2. Huella digital . . . . . . . . . . . . . . . . . . . . . . . 16

2.3.3. Geometrıa de la mano . . . . . . . . . . . . . . . . . . 18

2.3.4. Iris . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.3.5. Retina . . . . . . . . . . . . . . . . . . . . . . . . . . . 18

2.4. Biometrıa dinamica . . . . . . . . . . . . . . . . . . . . . . . . 19

2.4.1. Voz . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

2.4.2. Manera de caminar . . . . . . . . . . . . . . . . . . . . 20

2.4.3. Firma autografa . . . . . . . . . . . . . . . . . . . . . . 20

2.5. Biometrıa basada en dinamicas de tecleo . . . . . . . . . . . . 21

2.5.1. Historia . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.5.2. Funcionamiento . . . . . . . . . . . . . . . . . . . . . . 22

2.5.3. Trabajo Previo . . . . . . . . . . . . . . . . . . . . . . 23

3. DISPOSITIVOS MOVILES Y SU PROGRAMACION 26

INTITUTO TECNOLOGICO DE MORELIA

INDICE GENERAL v

3.1. Historia del computo movil . . . . . . . . . . . . . . . . . . . . 26

3.2. PDA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.3. Smartphones . . . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.4. Sistemas operativos moviles . . . . . . . . . . . . . . . . . . . 30

3.5. .NET Compact Framework . . . . . . . . . . . . . . . . . . . . 31

4. DISENO DEL SISTEMA 34

4.1. Nucleo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35

4.2. Contador de tiempo . . . . . . . . . . . . . . . . . . . . . . . . 36

4.3. Criptografıa . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36

4.4. Registro y Verificacion . . . . . . . . . . . . . . . . . . . . . . 37

4.5. Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

5. PRUEBAS Y ANALISIS DE DESEMPENO 41

5.1. Estudio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

5.2. Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

6. CONCLUSIONES Y TRABAJO FUTURO 44

A. Funcionamiento del Sistema 46

A.1. Pantalla principal . . . . . . . . . . . . . . . . . . . . . . . . . 46

A.2. Pantalla de registro de usuario . . . . . . . . . . . . . . . . . . 48

A.3. Autenticacion . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

B. Codigo Fuente del Sistema 53


Indice de figuras

1.1. Triada de la seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2. Ataque de Interceptacion . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3. Ataque de Interrupcion . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.4. Ataque de Modificacion . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.5. Ataque de Fabricacion . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.6. Ejemplo de un token de memoria . . . . . . . . . . . . . . . . . . . . . 10

1.7. Ejemplo de tokens inteligentes . . . . . . . . . . . . . . . . . . . . . . . 10

2.1. Proceso de registro y verificacion en un sistema biometrico . . . . . . . . . . . 15

2.2. Medidas de desempeno de un sistema biometrico . . . . . . . . . . . . . . . 16

2.3. Aproximaciones para reconocimiento facial . . . . . . . . . . . . . . . . . 17

2.4. Minucias en una huella digital . . . . . . . . . . . . . . . . . . . . . . . 17

2.5. Medicion de la geometrıa de la mano . . . . . . . . . . . . . . . . . . . . 18

2.6. Adquisicion de las caracterısticas del iris . . . . . . . . . . . . . . . . . . 19

2.7. Imagen de vasculatura retinal . . . . . . . . . . . . . . . . . . . . . . . 19

2.8. Eventos en el calculo de dinamica de tecleo . . . . . . . . . . . . . . . . . 22

3.1. Osborne 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

3.2. Compaq Portable . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

vi

INDICE DE FIGURAS vii

3.3. Radio Shack TRS-80 Model 100 . . . . . . . . . . . . . . . . . . . . . . 27

3.4. Psion 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 28

3.5. PDA con teclado externo . . . . . . . . . . . . . . . . . . . . . . . . . 29

3.6. Smartphone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30

3.7. Estructura modular de Windows CE . . . . . . . . . . . . . . . . . . . . 31

3.8. Arquitectura del .NET Compact Framework . . . . . . . . . . . . . . . . . 33

4.1. Diseno modular del sistema . . . . . . . . . . . . . . . . . . . . . . . . 34

4.2. Muestras de un usuario del sistema (milisegundos) . . . . . . . . . . . . . . 37

4.3. Grafica en la que se indican los coeficientes de variacion en el perfil de un usuario . . 39

4.4. Comparacion entre los coeficientes de variacion de una plantilla y los de una autenticacion 40

5.1. Desempeno del sistema . . . . . . . . . . . . . . . . . . . . . . . . . 43

A.1. Imagen del PDA iPAQ rx4240 . . . . . . . . . . . . . . . . . . . . . . . 47

A.2. Pantalla principal de la aplicacion . . . . . . . . . . . . . . . . . . . . . 47

A.3. Inicio del proceso de registro de un usuario . . . . . . . . . . . . . . . . . 48

A.4. Pantalla de registro de usuario . . . . . . . . . . . . . . . . . . . . . . 49

A.5. Inicio de toma de muestras . . . . . . . . . . . . . . . . . . . . . . . . 49

A.6. Toma de muestras . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

A.7. Registro de usuario completado correctamente . . . . . . . . . . . . . . . . 50

A.8. Autenticacion correcta . . . . . . . . . . . . . . . . . . . . . . . . . . 51

A.9. Autenticacion incorrecta . . . . . . . . . . . . . . . . . . . . . . . . . 52


Indice de cuadros

1.1. Eleccion de contrasenas en base a longitud . . . . . . . . . . . . . . . . . . 11

1.2. Composicion de contrasenas . . . . . . . . . . . . . . . . . . . . . . . 12

2.1. Comparacion entre varias tecnologıas biometricas [21] . . . . . . . . . . . . . 14

4.1. Comparacion entre varias funciones de tiempo . . . . . . . . . . . . . . . . 36

4.2. Tiempos de las muestras de registro de un usuario (milisegundos) . . . . . . . . 38

A.1. Principales caracterısticas tecnicas del PDA iPAQ 4240 . . . . . . . . . . . . 46

1

Introduccion

En la actualidad al ver a nuestro alrededor, podemos observar que el mun-do movil adquiere cada vez mayor importancia y presencia en nuestras vidasdiarias. Pero debemos darnos cuenta que mas que una moda, la tecnologıamovil es una evolucion que ha transformado la forma en que nos divertimos,en que trabajamos, como nos informamos y como nos comunicamos.

Dentro de este mundo movil uno de los integrantes mas importantes sonlos sistemas de computo movil, conocidos popularmente como handhelds oPDA (Personal Digital Assistant). Podemos considerarlos como uno de losgrupos mas importantes debido a que su uso ha tenido un crecimiento bas-tante considerable, incorporando grandes avances tecnologicos y revolucio-nando la forma en que las personas trabajan, permitiendoles hacerlo dondey cuando deseen, incrementando su productividad y eficiencia.

Segun un estudio realizado por IDC, una de de las consultoras de T.I. masimportantes del mundo, durante el 2005 se usaron mas de 275 millones de dis-positivos moviles alrededor del mundo dentro de las companıas pertenecientesal Fortune 2000 [52], el grupo de las 100 empresas mas productivas del mun-do. Otro estudio llevado a cabo en el 2005 por Gartner Group, indica que el40% de la informacion corporativa residıa en dispositivos de tipo handheld[52]. Estos numeros nos permiten percibir la tendencia de la dinamica de losnegocios y el uso descentralizado de la informacion.

Pero toda nueva tecnologıa trae consigo problemas ineditos, y en el casode los dispositivos moviles una de las principales dificultades que los acom-pana es la seguridad. Estos problemas de seguridad abarcan cuestiones comovulnerabilidades en los protocolos de comunicacion inalambrica y mecanis-mos de autenticacion y proteccion de datos debiles dentro de los dispositivos.Respecto al primer punto se han estado haciendo grandes esfuerzos durantelos ultimos anos para mejorarlo, pero en cuanto al segundo creemos que nose ha considerado lo crıtico que es.

2

INDICE DE CUADROS 3

La autenticacion juega un papel muy importante en la seguridad in-formatica, ya que por definicion, a los usuarios autentificados se les permite elacceso a los recursos del sistema [57]. En los dispositivos moviles estos recur-sos pueden ser elementos confidenciales como direcciones, telefonos, correoseletronicos, cuentas bancarias y contrasenas, e incluso accesos a redes remo-tas, lo cual pondrıa en peligro los recursos de terceros.

Todo lo antes expuesto es lo que motivo la realizacion del actual proyectode tesis, el cual pretende desarrollar un sistema capaz de reconocer dinami-cas de tecleo y que pueda trabajar en conjunto, de forma transparente, conlos tradicionales sistemas de autenticacion basados en nombre de usuario ycontrasena, y fortalecer la seguridad proporcionada por estos ultimos.

El resto de esta tesis esta organizado como sigue: en el Capıtulo 1 sedefine el termino de seguridad y otros conceptos relacionados. En el Capıtulo2 se introduce la Biometrıa y sus divisiones, al mismo tiempo que se detallanlos trabajos previos relacionados a esta tesis. El Capıtulo 3, esta dedicadoa la historia y elementos del computo movil. En el Capıtulo 4 se hace ladescripcion del sistema desarrollado en este trabajo. Posteriormente, en elCapıtulo 5 se describen las pruebas realizadas y resultados obtenidos con elsistema desarrollado. Finalmente en el Capıtulo 6 se dan las conclusionesobtenidas en este trabajo.


Capıtulo 1

SEGURIDAD Y

AUTENTICACION

1.1. ¿Que es la seguridad?

Definir el concepto de seguridad no es algo facil, pero podemos empezara partir de la frase citada por el Dr. Eugene Spafford: “El unico sistematotalmente seguro es aquel que esta apagado, desconectado, guardado enuna caja fuerte de titanio, encerrado en un bunker de concreto y cuidado porguardias muy bien armados... y aun ası tengo mis dudas” [9]. Esta cita pareceno llevarnos a ningun lado ni mucho menos aclarar el concepto, pero nos sirvepara percatarnos de tres cosas: no podemos hablar de sistemas totalmenteseguros, lo complicado que es el tratar de asegurar un sistema y, que estoconlleva un proceso sumamente complejo.

Se puede decir que la seguridad consiste en que un sistema se comportecomo el usuario espera que lo haga, y a su vez mantenerlo libre de amenazasy riesgos [46]. Por mas de dos decadas se ha manejado que la seguridad selogra a partir de tres conceptos, conocidos como la triada de la seguridad:confidencialidad, integridad y disponibilidad [27][43].

En la actualidad esta percepcion ha sido sustituida por los seis elementosatomicos de la informacion: confidencialidad, posesion o control, inte-

gridad, autenticidad, disponibilidad y utilidad [44].

4

CAPITULO 1. SEGURIDAD Y AUTENTICACION 5

Figura 1.1: Triada de la seguridad

1.1.1. Confidencialidad

Consiste en mantener la informacion secreta a todos, excepto a aquellosque tienen autorizacion para verla [31].

Cuando la informacion de naturaleza confidencial ha sido accedida, usada,copiada o revelada a, o por una persona que no estaba autorizada, entonces sepresenta una ruptura de confidencialidad. La confidencialidad es un requisitopara mantener la privacidad de las personas [53].

1.1.2. Integridad

Significa que se debe asegurar que la informacion no ha sido alterada pormedios no autorizados o desconocidos [31]. Un atacante no debe ser capaz desustituir informacion legıtima por falsa [51].

1.1.3. Autenticidad

Debe ser posible para un usuario establecer el origen de la informacion.Un atacante no debe tener la capacidad de hacerse pasar por otro usuario.[51].

1.1.4. Posesion

Es el mantener, controlar y tener la habilidad de usar la informacion.La posesion es la habilidad de realmente poseer y controlar la informacion



y como es usada [9]. Un ejemplo de perdida de posesion es un empleadoque envıa informacion corporativa a una cuenta de correo electronico que nopertenece a a la companıa, en ese momento se pierde la posesion exclusiva.

1.1.5. Disponibilidad

Significa que todos aquellos elementos que sirven para el procesamien-to de la informacion, ası como los que sirven para facilitar la seguridad,esten activos y sean alcanzables siempre que se requiera. Dicha caracterısticapuede perderse a traves de ataques de DoS (Denial of Service -Denegacionde Servicio-). [9].

1.1.6. Utilidad

Utilidad de la informacion para un proposito. El valor de la informacionrecae en su utilidad [9]. Por ejemplo, un archivo cifrado deja de ser util si nose cuenta con las llaves necesarias para descifrarlo.

1.2. Elementos a proteger

Los elementos que conforman un sistema informatico se dividen en tresdistintas categorıas: hardware, software y datos. Lo que mas nos interesaproteger son los datos, ya que estos son los activos que poseen tanto empresascomo usuarios, es el mas amenazado, y normalmente es mucho mas difıcilrecuperarlos en comparacion con el hardware y el software [43].

Al asegurar los datos estamos asegurando la continuidad de operacion deuna organizacion, reduciendo al mınimo los danos causados por una contin-gencia y manteniendo a salvo nuestra persona, familia o patrimonio.

1.3. Amenazas a la seguridad

Existe un gran numero de amenazas que pueden afectar la seguridad deun sistema en sus distintas categorıas, las cuales se pueden clasificar en cuatro



grandes grupos: interceptacion, interrupcion, modificacion y fabrica-

cion [26]. Estos ataques afectan a uno o mas de los elementos atomicos dela informacion.

1.3.1. Interceptacion

Estos ataques propician que una entidad no autorizada gane acceso a unelemento del sistema.

Figura 1.2: Ataque de Interceptacion

1.3.2. Interrupcion

Se dice que un ataque es una interrupcion si se logra que un elemento sepierda, quede inutilizable o no disponible.

Figura 1.3: Ataque de Interrupcion

1.3.3. Modificacion

Este ataque se da despues de una interceptacion, cuando el oponente logramodificar el elemento.



Figura 1.4: Ataque de Modificacion

1.3.4. Fabricacion

Se habla de una fabricacion cuando el atacante logra crear un objeto elcual es difıcil de distinguir si es un elemento genuino.

Figura 1.5: Ataque de Fabricacion

1.4. Autenticacion de usuarios

La palabra autenticacion proviene del griego ‘αυθεντικoς’ que significaverdadero o genuino, y authentes que significa el autor o dueno [12]. Es laaccion de establecer o comprobar si una entidad es autentica [17].

En el caso de este trabajo estaremos hablando de autenticar personas anteun sistema computacional, es decir, comprobar la identidad digital de

un usuario para que pueda ganar acceso a un recurso del sistema.La autenticacion es la base para los controles de acceso, ya que los sistemasdeben ser capaces de identificar y diferenciar entre diversos usuarios [17].

Conviene hacer la distincion entre los terminos identificacion y autenti-cacion, ya que con frecuencia se suelen confundir y usar ambos para hacerreferencia a la misma accion. Identificacion es el medio que un usuario pro-porciona a un sistema para afirmar una identidad, mientras que autenticacion



es el medio para establecer la validez de esta afirmacion [11]. Para aclararun poco mas esta diferencia pensemos en el esquema de control de accesoa traves de ID y contrasena, el usuario se identifica con su ID, el cual esconocido por el administrador del sistema e incluso por otros usuarios, perola manera en que se autentifica es con su contrasena secreta. De esta formapodemos ver claramente como el sistema reconoce a las personas basandoseen los datos de autenticacion que recibe.

Existen tres metodos a traves de los cuales un usuario puede autenticarse:algo que el usuario posee, algo que el usuario conoce y algo que el

usuario es [11]. Cada metodo presenta sus propias ventajas y desventajas,por lo cual es aconsejable implementar controles de acceso multifactor, estoes combinando los grupos mencionados [45].

A pesar de las divisiones de mecanismos de autenticacion que existen,todos ellos siguen un proceso bastante general:

1. El usuario pide acceso a un recurso.

2. El sistema le solicita al usuario su medio de autenticacion.

3. El usuario entrega sus credenciales de autenticacion.

4. El sistema verifica las credenciales del usuario.

5. El sistema niega o proporciona al usuario el acceso al recurso.

1.4.1. Autenticacion basada en algo que el usuario posee

Estos metodos se basan en que el usuario tiene en su poder un token, loscuales podemos dividir en tokens de memoria y tokens inteligentes [17]. Enrealidad son unos cuantos los sistemas de autenticacion basados unicamenteen algo que el usuario posee, ya que la mayorıa se combinan con algo queel usuario sabe (autenticacion multifactor), los pocos que solamente usan untoken estan orientados a acceso fısico.

Los tokens de memoria son tokens que almacenan mas no procesan infor-macion, por lo que necesitan de dispositivos especiales de lectura/escriturapara almacenar y extraer los datos. El mas usado de estos son las tarjetascon una cinta magnetica en la parte posterior, como lo son las tarjetas decredito. Se puede apreciar un ejemplo en la Figura 1.6.



Figura 1.6: Ejemplo de un token de memoria

Los tokens inteligentes amplıan su funcionalidad al incorporar uno o mascircuitos integrados. Una de las ventajas que presentan los tokens inteligentessobre los de memoria, es que comunmente los inteligentes necesitan de unacontrasena para poder habilitarlos y posteriormente usarlos para la autenti-cacion, complicando ası la falsificacion del token [17].

Figura 1.7: Ejemplo de tokens inteligentes

Las desventajas de usar autenticacion basada en tokens tienen que veren general con el costo de su implementacion, debido a que para su uso esnecesaria la implementacion de hardware extra. Otro punto desfavorable parael uso de tokens es que se pueden extraviar con relativa facilidad. Finalmente,los usuarios prefieren sistemas sencillos de usar, por lo que les desagrada eltener que cargar un token con ellos y presentarlo.

1.4.2. Autenticacion basada en algo que el usuario conoce

Los sistemas de autenticacion mas usados son aquellos basados en conoci-miento, por ejemplo los que hacen uso de un ID de usuario y una contrasena,o de una llave criptografica [17].

Las ventajas de estos sistemas son que los usuarios se familiarizan muyfacil y rapidamente con ellos, su implementacion es muy sencilla y de bajocosto, y que en un ambiente debidamente administrado y controlado pueden



proporcionar un alto nivel de seguridad.

El punto debil de estos sistemas no reside en el sistema en sı, sino enlas malas costumbres de los usuarios, por ejemplo, normalmente eligen comocontrasenas nombres de familiares, mascotas, fechas de nacimiento, palabrascomunes, etc., haciendo que el sistema se vuelva muy vulnerable a ataquesde fuerza bruta1 o por diccionario2. Otros malos habitos consisten en pro-porcionar las contrasenas a otras personas y el tenerlas anotadas en lugaresa la vista de otros.

A continuacion, en los Cuadros 1.1 y 1.2, podemos ver algunas estadısticasque muestran las tendencias de 13787 usuarios al establecer su contrasena[55].

Longitud de contrasena Numero(caracteres) de usuario

1 552 873 2124 4495 12606 30357 29178 5772

Cuadro 1.1: Eleccion de contrasenas en base a longitud

Al observar las tablas anteriores se puede percibir como los usuarios engeneral hacen uso de contrasenas consideradas como debiles de acuerdo conlas recomendaciones y polıticas de seguridad creadas por los expertos [32],[42], [66]. En primer lugar ningun usuario eligio una contrasena de longitudmayor a ocho caracteres, tamano que se considera como el mınimo para queuna contrasena sea fuerte. Otro punto importante a notar en estas estadısti-cas es que el 38.1% usaron contrasenas que contenıan unicamente letras, loque las hace muy vulnerables a ataques por diccionario y por fuerza bruta,facilitandoles en gran medida el trabajo a los atacantes.

1Ataque en el que se intenta cada posible contrasena, una por una [51]2Ataque en el que se toma una gran lista con palabras comunes y se va probando cada

una de estas como contrasena [51]



Tipo de caracteres Numero de usuarios PorcentajeSolamente minusculas 3988 28.9%May/min mezcladas 5259 38.1%Algunas mayusculas 5641 40.9%

Dıgitos 4372 31.7%Metacaracteres 24 0.2%

Caracteres de control 188 1.4%Espacios y/o tabuladores 566 4.1%

. , ; 83 6.1%- + = 222 1.6%

! # $% & () 654 4.4%Otros no alfanumeericos 229 1.7%

Cuadro 1.2: Composicion de contrasenas

1.4.3. Autenticacion basada en algo que el usuario es

Para lograr la autenticacion estos sistemas hacen uso de las caracterısti-cas o atributos, fisiologicos y de comportamiento, propios de cada individuoque lo hacen unico. Dichos sistemas son conocidos tambien como sistemasbiometricos.

La autenticacion biometrica es mucho mas compleja y cara en su imple-mentacion, y no siempre tiene buena aceptacion entre los usuarios, pero engeneral proporcionan un mejor nivel de seguridad con respecto al resto delos sistemas [16].

El rechazo de los usuarios hacia este tipo de sistemas de autenticaciones debido principalmente a preocupaciones socioculturales, algunas erroneas,que se pueden englobar en tres grupos distintos: privacidad de la informacion,privacidad fısica y cuestiones religiosas. En el primer grupo se encuentranpuntos como abuso de la informacion, rastreo y monitereo de la persona y,robo de identidad. Respecto a los aspectos fısicos se observa que las personasno aceptan los sistemas biometricos por una estigmatizacion relacionada alfichaje de delincuentes, inquietud por la higiene de los dispositivos biometri-cos, dano fısico, ası como que sistemas como los de lectura de iris puedenrevelar la existencia de ciertas enfermedades [65].


Capıtulo 2

BIOMETRIA

2.1. La biometrıa

Proveniente del griego ‘bios’, vida y ‘metron’, medida [12], se dice que esel estudio de los metodos para el reconocimiento de los humanos a traves derasgos intrınsecos fısicos y de conducta [2].

La biometrıa puede ser usada en modo de identificacion o de verificacion.En el primero el sistema identifica a un individuo de entre una poblacionregistrada en una base de datos, buscando una igualacion basandose unica-mente en el parametro biometrico; esto es conocido tambien como igualacion1 a N. El modo de verificacion, llamado igualacion 1 a 1, autentica la identi-dad de un usuario a partir de un patron previamente registrado [47].

Como caracterısticas que se pueden usar para los sistemas biometricospodemos encontrar geometrıa de la mano, rasgos faciales, iris, retina, voz,escritura, modo de caminar. Estas caracterısticas se dividen en estaticas ofısicas y, dinamicas o de comportamiento. En el Cuadro 2.1 estan evaluadasvarias tecnologıas biometricas en base a distintos criterios, donde A, M y Bson “Alto”, “Medio” y “Bajo”, respectivamente.

13

CAPITULO 2. BIOMETRIA 14

UniversalidadUnicidadPermanenciaRecolectabilidadDesempenoAceptabilidadFacilidad de

engano

Cara A B M A B A B

Huella

digital M A A M A M A

Geometrıa

de la mano M M M A M M M

Dinamica

de tecleo B B B M B M M

Venas

de la mano M M M M M M A

Iris A A A M A B A

Retina A A M B A B A

Firma B B B A B A B

Voz M B B M B A B

Termograma

facial A A B A M A A

ADN A A A B A B B

Cuadro 2.1: Comparacion entre varias tecnologıas biometricas [21]

2.2. Funcionamiento y desempeno

En los sistemas biometricos el usuario tiene la comodidad de no tenerque portar con el un token o crear y recordar una contrasena, unicamente laprimera vez que use el sistema tendra que presentar su “credencial” biometri-ca para que el sistema cree y registre su perfil, el cual sera comparado en cadaintento de autenticacion contra la “credencial”.

Cuando una persona hace uso de un sistema biometrico, se obtiene unrasgo fisiologico o conductual asociado a tal usuario. Dicha informacion esprocesada por un algoritmo numerico para obtener una representacion digitalde la caracterıstica biometrica. El proceso de convertir el rasgo biometrico enuna plantilla digital es realizado cada vez que el usuario trata de autenticarseen el sistema.

El desempeno de un sistema biometrico normalmente es medido usandovarias tasas de error, siendo las mas comunes la FAR (del ingles False AcceptRate -tasa de falsa aceptacion-) y la FRR (del ingles False Reject Rate -tasa



Figura 2.1: Proceso de registro y verificacion en un sistema biometrico

de falso rechazo-) [6].

La FAR se refiere al error que ocurre cuando el sistema biometrico iden-tifica de manera incorrecta los rasgos de la muestra biometrica como igualescon respecto a otros rasgos de una muestra almacenada en su base de datos,es decir, concede acceso a un usuario no legıtimo. Este error es conocido enEstadıstica como Falsos Positivos.

La FRR hace referencia a los errores que se presentan cuando el sistemaincorrectamente no iguala la muestra biometrica con una muestra registradaen su base de datos, denegando el acceso a un usuario legıtimo. Dentro de laEstadıstica este error se conoce como Falsos Negativos.

Se considera que la FAR es mas costosa que la FRR, ya que al producirseun error de este tipo, se rompe el esquema de seguridad. Al graficar la FARcontra la FRR, se puede obtener una nueva medida del sistema, que se mues-tra en la Figura 2.2; esta medida es la tasa en la cual tanto la FAR como laFRR son iguales, y se conoce como tasa de error igual (EER, Equal ErrorRate) o tasa de error de cruce (CER, Cross-over Error Rate). Se consideraque mientras mas bajo sea la CER, mas exacto sera el sistema [4].

2.3. Biometrıa estatica

Se conoce como biometrıa estatica a aquellas caracterısticas fisiologicasque son unicas en cada ser humano y que son estables en el tiempo (bajo



Figura 2.2: Medidas de desempeno de un sistema biometrico

circunstancias naturales). Ejemplos de estos rasgos son el rostro, la mano,las huellas digitales, el iris. Como podemos ver en el Cuadro 2.1 el uso decada uno de ellos como factor de autenticacion tiene sus propias ventajas ydesventajas.

2.3.1. Cara

Las imagenes faciales son la caracterıstica biometrica mas usada por loshumanos para el reconocimiento personal. Las principales aproximacionespara el reconocimiento facial son dos, la primera se basa en la localizacion yforma de rasgos de la cara, tales como cejas, ojos, nariz, labios, barbilla, y surelacion espacial; la segunda aproximacion consiste en un analisis global de laimagen de la cara representando una cara como un combinacion ponderadade un numero de rostros canonicos (Eigenfaces Recognition).

Los problemas que presentan estos sistemas estan relacionados a factoresde condicion del ambiente en el momento de la adquisicion de la muestra,como pueden ser la iluminacion, el fondo, el angulo en que se toma la imagen.

2.3.2. Huella digital

Las huellas digitales son el metodo de identificacion de personas masantiguo [30]. Las huellas digitales estan formadas por patrones de valles ycrestas en las yemas de los dedos, los cuales se forman durante los primeros



Figura 2.3: Aproximaciones para reconocimiento facial

siete meses de vida del feto. Existen dos tecnicas para la identificacion dehuellas dactilares, en la primera se localizan las terminaciones de crestas,bifurcaciones, puntos y cruces (todos estos elementos se denominan minu-cias, podemos ver un ejemplo en la Figura 2.4), y partiendo de su geometrıa,orientacion y relacion, se compara contra las mismas de la plantilla. La se-gunda tecnica compara las zonas que rodean a las minucias para encontrardiferencias de deformaciones [67].

Una desventaja de estos sistemas es que requieren una cantidad impor-tante de recursos computacionales [22]. Otro punto desfavorable es que enocasiones puede llegar a ser inapropiado para ciertas personas que puedensufrir cambios en sus huellas por factores geneticos, ambientales, de enveje-cimiento o propios de sus actividades profesionales.

Figura 2.4: Minucias en una huella digital



2.3.3. Geometrıa de la mano

Para usar la geometrıa de la mano como rasgo biometrico se coloca lamano sobre una superficie y se toman dos imagenes, una de la vista lateral yotra de la superior. A partir de estas imagenes se mediran la forma y tamanode la palma y el largo y ancho de los dedos [47].

Tiene como desventaja que los lectores suelen ser de gran tamano, lo quecomplica la incorporacion en dispositivos moviles.

Figura 2.5: Medicion de la geometrıa de la mano

2.3.4. Iris

El iris es la parte del ojo que tiene el color, y esta formado por un tejidocon una textura compleja con un patron unico. El iris se forma durante eldesarrollo fetal y se estabiliza en los primeros dos anos de vida. La imagendel ojo es adquirida por una pequena camara infrarroja, para despues iden-tificar el iris y segmentarlo en bordes y convertir sus caracterısticas en datosnumericos (llamado IrisCode) [67].

Se considera que las sistemas que usan el iris son los mas confiables detodos los sistemas biometricos que se han propuesto [28], pero a pesar de serun sistema muy rapido y confiable, no existen muchas implementaciones hoyen dıa debido a su alto costo [67].

2.3.5. Retina

Los vasos sanguıneos de la retina poseen una estructura rica y unica. Elfuncionamiento de los sistemas que hacen uso de la retina es muy similar



Figura 2.6: Adquisicion de las caracterısticas del iris

al de aquellos que usan el iris [23]. Un aspecto por el que no logran granaceptacion entre los usuarios es que las lecturas pueden revelar la existenciade ciertas enfermedades.

Figura 2.7: Imagen de vasculatura retinal

2.4. Biometrıa dinamica

Los psicologos han demostrado que los seres humanos somos predeciblesen nuestro desempeno de tareas repetitivas y rutinarias. Aprovechando estaspredicciones es que se ha desarrollado la biometrıa dinamica o de compor-tamiento, que analiza rasgos de la persona tales como la voz, la forma deescribir, la manera de teclear e incluso el ritmo al caminar [58].

Estos rasgos presentan las desventajas generales de que no son estables enel tiempo y que pueden verse afectados por factores ambientales y de estadoemocional [8].



2.4.1. Voz

En los sistemas de autenticacion por voz, el usuario emplea un microfonopara grabar sus voz, ya sea repitiendo un texto dado por el sistema o hablandolibremente. Despues la voz es digitalizada para poder extraer de ella algunascaracterısticas unicas y generar el perfil. La extraccion de las caracterısticaspuede lograrse a traves de plantillas estocasticas o de plantillas modelo. Enlas plantillas estocasticas se usan tecnicas de igualacion probabilısticas comoel Modelo Escondido de Markov, el cual produce una medida de similitud delmodelo [25].

En las plantillas modelo se emplean tecnicas de igualacion determinısticas,que suponen que la muestra es similar al perfil, pero con alguna distorsion.A partir de aquı se mide la distancia de error mınimo, empleando algoritmoscomo envolvimiento de tiempo dinamico, cuantizacion de vectores y vecinosmas cercanos [67].

2.4.2. Manera de caminar

La biometrıa basada en la manera de caminar es un metodo espacial-temporal complejo, que se logra a traves de filmaciones que analizan variosmovimientos de cada articulacion, es por esto que requieren un alto cos-to computacional. La manera de caminar puede parecer un rasgo no muydistintivo, pero es lo suficientemente discriminatorio como para permitir au-tenticaciones en ambientes de baja seguridad [23].

2.4.3. Firma autografa

Una firma desarrollada de forma natural representa el acto de escrituramas frecuente y habitual, y aunque dos firmas nunca seran iguales, siempre lamantenemos dentro de ciertos lımites, los cuales representan de manera unicaa cada individuo. La firma ha sido aceptada como metodo de autenticacionen el gobierno, transacciones legales y comerciales [24].



2.5. Biometrıa basada en dinamicas de tecleo

2.5.1. Historia

Al escuchar hablar a alguien acerca de que se puede identificar a unindividuo a partir de sus dinamicas de escritura con un teclado, se podrıapensar que es una ciencia nueva y complicada, sin embargo esta tecnica seviene empleando desde hace mas tiempo del que podemos imaginar. Durantela decada de 1860 en Estados Unidos, cuando el telegrafo estaba en su plenoauge, los operadores de telegrafos comenzaron a volverse un recurso valuable,y mientras ganaban experiencia, iban desarrollando una “firma” unica, siendoposible que fueran identificados por su ritmo al pulsar los mensajes.

Durante la Primera Guerra Mundial, los franceses entrenaban a sus ope-radores de radio para que pudieran reconocer a los operadores enemigos quetransmitıan en clave Morse, los operadores aprendıan a reconocer a sus ene-migos al distinguir las longitudes de los puntos, lıneas, pausas y las varia-ciones de velocidad en la transmision. Este metodo nuevamente volvio ausarse durante la Segunda Guerra Mundial en labores de inteligencia, y seconocio como “el puno del remitente” (“fist of the sender”).

En tiempos actuales la National Science Foundation de los Estados Unidosse percato de la importancia de las dinamicas de tecleo y creo un proyectode investigacion para seguridad de computadoras en la RAND Corporation.Este proyecto arrojo como resultado que el concepto de “el puno del remi-tente” tenıa importantes caracterısticas estadısticas que permitıan que seusara como una tecnologıa de seguridad.

A inicios de la decada de 1980 el SRI International fue fundado por elNational Bureau of Standards de los Estados Unidos con el fin de desarrollaruna solucion biometrica que hiciera uso de los principios de “el puno delremitente”. El SRI logro el registro de una patente, con lo que demostrabaque su implementacion, al analizar las dinamicas de tecleo de un individuoque tecleaba un ID de usuario y contrasena, lograba una precision del 98%.El SRI, nuevamente a peticion del National Bureau of Standards, llevo a caboun estudio de viabilidad para la implementacion de las dinamicas de tecleo enseguridad computacional. Su estudio mostro que un texto familiar al usuariobastaba para autenticarlo virtualmente libre de errores.

En el ano de 1984, International Bioaccess Systems Corporation adquirio to-dos los derechos de las tecnologıas de dinamicas de tecleo previamente dise-



nadas por SRI International.

Posteriormente, en el 2002, Biopassword, Inc. compro todos los derechospara la tecnologıa, secretos comerciales y patentes de dinamicas de tecleo.Desde entonces ha desarrollado nuevas patentes para reforzar y extenderlas ventajas tecnologicas de las dinamicas de tecleo, incluso ha desarrolla-do estandares para la junta de estandares M1 del International Committeefor Information Technology Standards (INCITS) para usar las dinamicas detecleo como una tecnologıa de autenticacion [20].

2.5.2. Funcionamiento

La naturaleza humana dicta que una persona no se sienta frente a unacomputadora y comienza a teclear en un flujo caotico, sino que teclea por unmomento, se detiene para reunir ideas, se detiene para descansar, continuatecleando y ası sucesivamente [10]. Este comportamiento unico nos brindalas bases para desarrollar un esquema de autenticacion; las caracterısticasque nos interesaran para el analisis del comportamiento estan relacionadascon eventos de las pulsaciones de las teclas, y son: tiempo de presion (dwelltime) y tiempo de cambio (flight time).

El tiempo de presion es el tiempo que transcurre desde que se presionauna tecla hasta que se libera. El tiempo de cambio corresponde al tiempoque pasa desde que se suelta una tecla hasta que se presiona la siguiente [5].

Figura 2.8: Eventos en el calculo de dinamica de tecleo

El punto central para el calculo de perfiles en estos sistemas consiste enpoder medir en el tiempo con la mayor precision posible la ocurrencia deestos eventos. Una vez que se tienen registrados todos los eventos ocurridosen la entrada de texto por parte del usuario, el resto consiste en aplicarun algoritmo para la obtencion de una medida que represente a la muestra.Existen varias aproximaciones para procesar los datos de tiempo: metodosestadısticos, logica difusa, redes neuronales [19]. Todas estas aproximaciones



han sido probadas en implementaciones para teclados convencionales dandobuenos resultados.

2.5.3. Trabajo Previo

Como se menciono anteriormente, la identificacion de usuarios a travesde sus ritmos de “escritura” ha sido empleada por alrededor de un siglo, sinembargo su estudio y desarrollo cientıfico data de inicios de la decada de1980. Desde entonces tanto investigadores como profesionales han llevado acabo numerosos estudios donde se proponen diversas metodologıas. A con-tinuacion se comentan algunos de los mas importantes, la mayorıa de ellossiendo realizados en los Estados Unidos.

El trabajo pionero en el area es el realizado por Stockton et. al. [14]en 1980 en los Estados Unidos. En este estudio reunio a un grupo de seissecretarias a las que se les pidio que teclearan tres distintos pasajes conuna longitud de entre 300 y 400 palabras, registrando el momento de cadapresion de teclas con una precision de milisegundos; cuatro meses despuesnuevamente las mismas seis personas capturaron los mismos pasajes de texto.El analisis se realizo midiendo la latencia entre tiempos de dıgrafos (un parde letras sucesivas), es decir, en la palabra ’biometrıa’ un tiempo de dıgrafoes el tiempo que toma escribir bi, el tiempo que toma escribir io es otroy asi sucesivamente. Los dıgrafos considerados incluıan unicamente letrasminusculas y mayusculas, saltos de lınea y signos de puntuacion. A estostiempos se les aplico una prueba t de Student, arrojando resultados de unaFAR de 0% y una FRR de 4%.

En 1986 Garcıa [15] publica una patente de un sistema con el que anali-zaba latencias entre dıgrafos usando un algoritmo de discriminacion basadoen la funcion de distancia de Mahalanobis. En su estudio cada participanteescribio diez veces su nombre y mil palabras comunes. Obtuvo una FAR de0.01% y una FRR de 50%.

Joyce y Gupta [24] en 1990 llevan a cabo un estudio con 33 estudiantesuniversitarios, en el que cada persona teclea un nombre de usuario, con-trasena, nombre y apellido ocho veces para estudiar las latencias de dıgrafosa traves de la media y la desviacion estandar de vectores de distancia. Seobtuvieron una FAR de 0.25% y una FRR de 16.36%.

Para 1993 se publico un innovador estudio hecho por Obaidat y Maccairo-



lo [40] en el que tomaron latencias de dıgrafos entre cadenas de referenciausando redes neuronales. En su experimento emplearon a seis usuarios, ca-da uno escribio 20 veces una frase de 15 caracteres, logrando un desempenoglobal del sistema de 97%. En el mismo ano Obaidat publica otro estudio [39]esta vez aplicando un algoritmo de Red Neuronal Perceptron sobre latenciasde dıgrafos, para ello se apoyo en 24 usuarios que escribieron un numero nodeterminado de veces su nombre de usuario; esta vez no logro resultados muybuenos, ya que reporta una FAR de 8% y una FRR de 9%. Cuatro anos mastarde lanza un nuevo estudio [41], el de mejor desempeno hasta ahora, yaque logro un tasa del 0% tanto para la FAR como para la FRR; en dichoexperimento registro latencias de dıgrafos y tiempos de presion y los anali-zo a traves de multiples algoritmos de aprendizaje automatico de maquina.Se apoyo en 15 personas que registraban un nombre de usuario 225 veces aldıa durante 8 semanas.

Monrose ha desarrollado dos estudios, uno en 1999 y otro en 2002. Enel primero [34] participaron 63 personas que escribieron texto arbitrario quefue analizado usando una tecnica de reduccion de datos estadısticos, conocidacomo analisis de factor, calculando dıgrafos, y logrando desempenos globalesde entre 83.22% y 92.14%. Su segundo trabajo [33], llevado a cabo en el2001, unicamente reporta una FRR de 45% y no explica de manera clara elalgoritmo usado. Menciona que participaron 20 usuarios que escribıan unacontrasena de 8 caracteres, midiendo latencias de dıgrafos y tiempos de pre-sion.

En el 2002, Bergadano et. al. [7] reunieron un total de 220 muestras (deentre un total de 44 personas) formadas por un texto de 683 caracteres, lascuales se analizaron usando un algoritmo de vectores de grado de desordenpara duracion de trıgrafos (tres caracteres consecutivos). Obtuvo una FARigual a 0.04% y una FRR de 4%. La novedad en este estudio es que el sistemapermitıa que los usuarios cometieran errores en el momento de que estuvierantecleando la muestra.

Araujo presento en el 2004 en Brasil un trabajo [3] en el que empleabaclasificadores de logica difusa, para ello tomo muestras de 20 usuarios queescribıan dos contrasenas, una fija de 12 caracteres y otra libre de al menos10 caracteres. Sus resultados fueron una FAR de 2.9% y una FRR de 3.5%.

Un trabajo importante es el logrado por Nisenson en el 2004 [37], ya queen el aplica la biometrıa de dinamicas de tecleo como un sistema de deteccionde intrusos, usando el algoritmo de compresion Lempel-Ziv. En la prueba par-ticiparon un total de 35 personas, 5 tomaron el papel de usuarios legıtimos,



mientras que el resto se hacıan pasar por atacantes; todos escribıan respues-tas a varias preguntas, un texto fijo y posteriormente un texto libre, paraun total de 2551 ± 1866 caracteres. Consiguio un promedio de desempenoglobal del 98.87%.

Hace dos anos Bartlow [6] reunio un grupo de 41 personas quienes pro-porcionaron a lo largo de un mes de pruebas un total de 8775 muestras.Cada usuario tecleaba dos contrasenas, una de 8 caracteres y otra de 12,siguiendo ciertas reglas de composcion. Haciendo uso de diversos algoritmosde aprendizaje de maquina, encontro los siguientes resultados: para el usode contrasena corta, una FAR de 7% y una FRR de 7%; para la contrasenalarga, una FAR y una FRR del 5%.

El estudio mas reciente fue el conducido el ano pasado en Mexico porAguilar [18]. El experimento se aplico sobre un total de 230 personas, lascuales facilitaron 26100 muestras. El analisis se baso en las latencias entreteclas, que se analizaron en base a funciones estadısticas de dispersion. Seconsiguio una FAR de 0% y una FRR de 35%.


Capıtulo 3

DISPOSITIVOS MOVILES Y

SU PROGRAMACION

3.1. Historia del computo movil

En el ano de 1981 surgio lo que se puede considerar la primera computa-dora portatil, la Osborne 1. Tal vez las caracterısticas de dicho equipo no seajusten a las consideraciones que implica el termino “portatil” hoy en dıa,pero cumplıa con las consideraciones de diseno propuestas por un conocidoeditor de libro tecnicos llamado Adam Osborne. Osborne querıa una com-putadora con una pantalla integrada que pudiera caber debajo del asiento deun avion. La Osborne 1 contaba con un pantalla CRT de 5 pulgadas y venıacon una suite de software que contaba con BASIC, SuperCalc y WordStar[59].

Figura 3.1: Osborne 1

En 1982 fue fundada la companıa Compaq con el lanzamiento de su com-putadora portatil, la Compaq Portable. La Compaq Portable era portatil

26

CAPITULO 3. DISPOSITIVOS MOVILES Y SU PROGRAMACION 27

unicamente en comparacion con su competidor la PC de IBM. El equipo deCompaq tenıa el tamano de una maquina de coser y un peso de 12.7 Kg.,logrando un rendimiento similar al de un PC IBM, con un microprocesador8088, 128 KB de memoria RAM y un monitor integrado monocromatico de9 pulgadas, todo esto por un precio de 3 mil dolares. La Compaq Portablepresenta ventajas con respecto a la Osborne 1 en cuanto que usaba MS-DOSy tenıa compatibilidad con programas escritos para PC de IBM [29], [60].

Figura 3.2: Compaq Portable

Durante los siguientes anos siguieron apareciendo computadoras portatiles,pero ninguna tan importante en lo que serıa la evolucion hacia las computa-doras de mano como lo fue la Radio Shack TRS-80 Model 100. Era la primeracomputadora de tamano notebook, incorporaba una pantalla integrada LCDde 8 lıneas por 40 caracteres, teclado regular, BASIC y un procesador detextos, ademas de que funcionaba con baterıas AA [64].

Figura 3.3: Radio Shack TRS-80 Model 100

El genero PDA (Personal Digital Assistant -Asistente Personal Digital-)fue creado por la companıa Psion, al lanzar en 1984 su organizador. La Psion1 estaba basada en un microprocesador de 8 bits, tenıa una pantalla LCD de16 caracteres, almacenamiento no volatil de 10 KB en cartuchos, dos ranuraspara cartuchos, reloj-calendario, una base de datos con funcion de busqueda,paquete de funciones matematicas y un paquete cientıfico (opcional) quepermitıa correr programas cientıficos residentes capaces de programar en unlenguaje similar a BASIC. En 1993 Psion vuelve a innovar una vez mas con



la presentacion de su serie 3a, las cuales podıan conectarse con una PC deescritorio para transferir, convertir y sincronizar datos [1].

Figura 3.4: Psion 1

3.2. PDA

Los PDA son dispositivos de computo del tamano de la palma de la mano,y comunmente son conocidos como computadoras de bolsillo o de mano. LosPDAs fueron ideados en un primer momento como simples organizadorespersonales, pero con el paso de los anos se fueron volviendo mas versatiles,agregando capacidades como videojuegos, procesamiento de textos, hojas decalculo, acceso a Internet, conexiones inalambricas, reproduccion de audio yvideo, Sistemas de Posicionamiento Global (GPS) [62].

Aunque ya existıan dispositivos que cumplıan con muchas de las carac-terısticas de un PDA, el termino fue usado por primera vez el 7 de Enero de1992 por el gerente general de Apple Computer, John Sculley, para referirsea su Apple Newton.

La interaccion con el usuario se logra principalmente a traves de un touchscreen y un stylus (especie de aguja o lapiz) haciendo uso de un tecladovirtual, reconocimiento de caracteres o menus. Algunas veces se les puedeconectar un teclado para mejorar y facilitar la introduccion de datos.

Los primeros modelos de PDA no contaban con posibilidad de almace-namiento externo, pero hoy en dıa la mayorıa incorporan ranuras para tar-jetas Secure Digital o Compact Flash, mientras que algunas otras vienen conun puerto USB para poder hacer uso de una unidad USB Flash.

Muchos modelos de PDA incorporan puerto de comunicacion por infra-rrojo, ya sea para comunicar dos PDA, con una computadora o conectarcon otros perifericos. Los modelos mas modernos hacen uso de tecnologıa



Figura 3.5: PDA con teclado externo

Bluetooth para lograr todo esto.

La mayorıa de PDAs tienen la capacidad de sincronizar su informacioncon una computadora, caracterıstica muy importante que permite manteneral dıa directorios telefonicos, agendas, bases de datos e incluso respaldar estay otra informacion. Dicha sincronizacion se logra con la ayuda de un softwareespecial proporcionado por el fabricante del PDA.

Un PDA se puede personalizar tanto en software como en hardware paraagregarle nuevas funcionalidades y mejorar su uso.

La companıa Palm Inc. fue un importante elemento en el desarrollo ymasificacion de esta tecnologıa, con la comercializacion de sus dispositivos.Fue tan grande el uso de estos que con frecuencia se hace una generalizacionpara nombrar, de manera erronea, a todos los PDA como Palm o PalmPilot,nombre de los productos de dicha companıa.

3.3. Smartphones

Un smartphone es un telefono movil que incorpora funcionalidades de unacomputadora personal. Es importante hacer notar que en un smartphone esposible instalar aplicaciones desarrolladas por el fabricante, el operador ouna tercera persona, a diferencia de los telefonos moviles convencionales quesolo permiten ciertas aplicaciones controladas. Otra caracterıstica importantees que poseen un sistema operativo definido como Windows Mobile, Linux,Symbian o Palm OS [63].

Los smartphones incluyen casi todas las caracterısticas y funcionalidadesde un PDA, como lo son acceso a Internet, acceso a correo electronico, proce-samiento de textos, reproduccion de audio y video. Otro punto que los hace“inteligentes” es que incorporan un miniteclado para facilitar la introduccion



de datos.

Figura 3.6: Smartphone

3.4. Sistemas operativos moviles

El sistema operativo movil mas usado, con un 51% del mercado en el 2005[36], es el Symbian OS, creado por Symbian Ltd., una companıa formadapor Nokia, Ericsson, Sony Ericsson, Panasonic, Samsung y Siemens AG. ElSymbian OS esta basado en el software de Psion y tiene una arquitecturamuy similar a la de las computadoras de escritorio.

Linux tambien ha contribuido con distribuciones para computo movil,tales como lo son Linux PDA y Linux Mobile, los cuales han tenido muybuena aceptacion en el mercado [36].

El Palm OS es el sistema operativo compacto desarrollado por Palm-Source Inc., un sistema operativo sencillo de usar muy parecido a los sis-temas operativos Microsoft Windows, creado para ser usado en los disposi-tivos moviles de la companıa Palm. Sin embargo, el desarrollo de este sistemaoperativo se considera como muerto, dando paso al uso de otros [61].

En 1992 Microsoft comenzo con el desarrollo de dos proyectos: WinPady Pulsar. El proyecto WinPad tenıa como objetivo la creacion de un dispos-itivo de tipo handheld basado en Windows 3.1, llamado PC Companion, quepudiera competir con el Newton de Apple. El proyecto Pulsar estaba orienta-do a dispositivos tipo localizador que usaran un sistema operativo orientado aobjetos. Debido a dificultades para soporte de hardware ası como a problemasinternos en la companıa, estos proyectos nunca vieron la luz, sin embargo en1994 se reorganizaron bajo el nombre Pegasus, que serıa la base para el lan-zamiento en 1996 de Windows CE, el primer sistema operativo de Microsoftdisenado para dispositivos moviles [13].



Windows CE esta basado en su contraparte de escritorio, por lo tantoincorpora una API que resulta bastante familiar a los desarrolladores enWindows. A pesar de esto hay algunas consideraciones que deben tener losdesarrolladores al momento de programar para dispositivos moviles, como sonla interfaz grafica de usuario, las limitaciones de almacenamiento, consumode poder y opciones de comunicacion.

Windows CE esta hecho sobre un enfoque modular que permite que sedivida en alrededor de 300 modulos, a partir de los cuales los fabricantes deequipos pueden ir seleccionando para construir sus sistemas operativos.

Figura 3.7: Estructura modular de Windows CE

Desde el lanzamiento de Windows CE en 1996, Microsoft ha continuadocon las mejoras y nuevas versiones de su sistema operativo movil.

3.5. .NET Compact Framework

Antes de comenzar a hablar del .NET Compact Framework habrıa queaclarar que es la plataforma .NET. La iniciativa .NET de Microsoft fue unproyecto que pretendıa integrar todos sus productos, desde el sistema ope-rativo hasta las herramientas, creando una nueva plataforma de desarrollotransparente en cuanto a redes, independiente de plataforma y que permitieraun desarrollo agil, robusto y seguro.

Con estas intenciones surge el marco de trabajo .NET, la base de laplataforma .NET y que esta integrado principalmente por un conjunto de



lenguajes de programacion, la biblioteca de clase base (Base Classes Library)y el entorno comun de ejecucion para lenguajes (Common Language Runtime)[48]. Algunos de los lenguajes incorporados en .NET son C#, Visual Basic,Turbo Delphi for .NET, C++, Python, Perl, J#, Cobol .NET y Fortran.

Para cuando se empezo a desarrollar el .NET Framework ya existıanalgunas herramientas para el desarrollo de aplicaciones en dispositivos in-teligentes: eMbedded Visual C++ y eMbedded Visual Basic, es por esto quese decidio incluir Windows CE dentro de la plataforma .NET y crear el .NETCF, teniendo como objetivos los siguientes puntos [49]:

Desarrollo beneficiandose de las caracterısticas .NET.

Mantener consistencia con la version de escritorio.

Asegurarse que se ejecute de manera correcta tanto en dispositivosmoviles como en incrustados.

Preservar la apariencia de las plataformas.

Proveer portabilidad a otros sistemas operativos.

De aquı es que surge el .NET CF como un subconjunto del .NET Frame-work, que utiliza algunas librerıas completas de la version de escritorio e in-corpora algunas otras disenadas especıficamente para su uso en dispositivosmoviles.

Para desarrollar aplicaciones que usen el .NET CF es necesario contarcon la suite Visual Studio .NET 2003 o Visual Studio 2005, que permitenprogramar en Visual Basic y C#.



Figura 3.8: Arquitectura del .NET Compact Framework


Capıtulo 4

DISENO DEL SISTEMA

En el presente capıtulo se detallan las diferentes partes o modulos quese integraron para el desarrollo del sistema propuesto en esta tesis, el cualfue programado en su totalidad usando Visual Basic .NET; la eleccion deVisual Basic .NET debido a la facilidad de integracion que permite con laAPI de Windows. Tambien se explica la metodologıa usada para la obtenciondel perfil de los usuarios. En el Apendice A se encuentra la descripcion delhardware en el que se implemento el sistema y su funcionamiento.

El sistema funciona a partir de un nombre de usuario y una contrasenaelegida de manera libre, siendo esta en la cual se hara el calculo de la dinamicade tecleo del usuario.

Figura 4.1: Diseno modular del sistema

34

CAPITULO 4. DISENO DEL SISTEMA 35

4.1. Nucleo

El modulo principal, o nucleo, es el encargado de interactuar con elusuario, y a partir de ahı llama a los demas modulos que se encargan deotras tareas. Para esta parte se tuvo la necesidad de desarrollar un tecladovirtual para facilitar la introduccion de datos por parte del usuario, ya que nonos servıa el SIP (Simple Input Panel) que proporciona el sistema operativo,esto porque el SIP no permite calcular el tiempo que se mantiene presio-nada cada tecla (DT, dwell time), sino unicamente los tiempos de cambioentre teclas (FT, fligth time). Nuestra implementacion resulto en un tecladocon distribucion QWERTY que contiene letras (mayusculas y minusculas) ydıgitos.

El poder registrar los DT era algo importante para el presente trabajodebido a que al tener un mayor numero de eventos en una plantilla se mejorael desempeno al permitir comparar mas caracterısticas de la dinamica de losusuarios, es decir, si solamente se capturaran los FT tendrıamos

NE = n − 1 (4.1)

Donde:

NE: es el numero de eventos para la plantilla.

n: es la longitud en caracteres de la contrasena.

Ahora, si incluımos los DT en la plantilla obtenemos

NE = 2n − 1 (4.2)

Podemos observar como con esta aproximacion aumenta significativa-mente el numero de eventos a comparar, lo cual tambien ayuda a mejorar laseguridad sin tener que usar contrasenas tan largas.

Otra ventaja que presenta esta modificacion, al tomar en cuenta las doscaracterısticas, es la dificultad extra que representa para un atacante repro-ducir de manera conjunta todos los DT y FT de un usuario legıtimo, la cualcrece mientras mayor sea la longitud de la contrasena usada.



4.2. Contador de tiempo

Este modulo es la parte esencial del sistema, ya que es el que permiteregistrar en el momento en el que ocurre cada uno de los eventos de escrituradel usuario, por lo tanto debe proporcionar una alta precision y exactitud.Existen varias funciones, como las que se listan en el Cuadro 4.1, que nospermiten calcular tiempos, cada una con sus propias caracterısticas [35].

Funcion Unidad PrecisionNow, Time, Timer segundos 1 segundo

GetTickCount milisegundos ≈ 10 msTimeGetTime milisegundos ≈ 10 ms

QueryPerformanceCounter QueryPerformanceFrequency Dependientedel microprocesador

Cuadro 4.1: Comparacion entre varias funciones de tiempo

Se decidio emplear las funciones de codigo nativo pertenecientes a la APIde Windows, QueryPerformanceCounter() y QueryPerformanceFrequency(),debido a que son las que proporcionan mayor precision. Estas funciones acce-den a un reloj de alta precision del hardware del sistema. La primera de lasfunciones regresa el numero de tics transcurridos desde el inicio del sistema,mientras que la segunda nos devuelve la frecuencia del reloj (numero de ticspor segundo), es por esto que las funciones deben usarse en conjunto paraconocer la precision de la plataforma sobre la que se estan ejecutando.

4.3. Criptografıa

Una vez que el usuario ha introducido todos sus datos de manera satis-factoria durante el proceso de registro, el modulo criptografico toma comoentrada la contrasena y calcula un digesto1 haciendo uso del algoritmo MD52,

1Representacion compacta de una cadena de entrada, la cual es calculada a traves deuna funcion de solo ida [31].

2Sucesor del algoritmo MD4, similar en diseno aunque mas complejo, que produce undigesto de 128 bits [51].



el cual es almacenado en la base de datos para evitar tener la contrasenaguardada en texto claro.

Cuando el usuario intenta autenticarse, nuevamente el modulo criptografi-co toma de entrada la contrasena y obtiene su digesto, el cual compara conel digesto del usuario en cuestion que esta guardado en la base de datos, silos digestos coinciden, se continua con el proceso de verificacion biometrica,de lo contrario desde este punto se deniega el acceso.

4.4. Registro y Verificacion

Aunque en la Figura 4.1 el registro y la verificacion se muestran comodos modulos distintos, aquı se explican de manera conjunta debido a queen esencia realizan la misma tarea: obtener el perfil de los usuarios a par-tir de sus tiempos. El metodo seguido para la obtencion y comparacion deperfiles es el mismo aplicado en [18], funciones estadısticas de dispersion. Seeligio este metodo debido a que reportan buenos resultados, ademas de queotros algoritmos como redes neuronales o logica difusa no son viables para serimplementados en dispositivos moviles debido a la gran cantidad de recursosde computo que requieren durante la fase de entrenamiento.

En la la Figura 4.2 aparecen graficados los tiempos de cada una de lascinco muestras que se tomaron de un usuario en el momento de su registro.Dicho usuario es uno de los participantes en el estudio descrito en la Seccion5.1, y que selecciono como contrasena la palabra “MELLERAY”. En dichagrafica se puede apreciar facilmente como las cinco curvas siguen un patronmuy similar, lo que indica que el usuario en efecto tiene establecida unadinamica para escribir.

Figura 4.2: Muestras de un usuario del sistema (milisegundos)



Para el proceso de registro se tiene como entrada, por cada muestra pro-porcionada por el usuario, un vector con los tiempos en milisegundos de cadauno de de los eventos DT y FT de la escritura de su contrasena.

M M-E E E-L L L-L L L-E E E-R R R-A A A-Y Y

Muestra 1 38 484 58 478 38 199 72 492 54 185 27 324 56 421 37

Muestra 2 62 485 52 504 41 259 81 407 56 191 37 266 76 402 84

Muestra 3 54 451 59 456 46 192 74 456 18 211 29 306 56 422 61

Muestra 4 51 418 31 462 32 195 80 463 35 192 21 341 45 420 70

Muestra 5 71 443 40 446 42 177 77 440 52 187 26 271 74 350 89

Cuadro 4.2: Tiempos de las muestras de registro de un usuario (milisegundos)

A partir de estos datos se procede a obtener el tiempo promedio paracada uno de los eventos, es decir para cada columna que se presenta en elCuadro 4.2. Enseguida necesitaremos medir la variabilidad que existe entrelos diferentes tiempos de las muestras. Para esto usamos una medida dedispersion: la desviacion estandar. La desviacion estandar es el promediode distancia que existe entre los datos y su media, y esta expresada en lasmismas unidades que los datos originales [56] [50], y se calcula con:

S =

√

∑

(x − x)2

n − 1(4.3)

Donde:

x: es cada uno de los tiempos de las muestras para un evento.

x: es la media de cada evento.

n: es el numero de muestras tomadas para el perfil.

Una vez que se tienen las desviaciones estandar, se calcula el coeficientede variacion, una medida que nos proporciona un numero adimensional quedescribe la dispersion relativa a la media [54], y esta dado por:

CV =S

x(4.4)

Donde:



S: es la desviacion estandar de cada evento.

x: es la media de cada evento.

Figura 4.3: Grafica en la que se indican los coeficientes de variacion en el perfil de un usuario

Hasta aquı se han obtenido todos los valores necesarios para crear y re-gistrar la plantilla del usuario, los cuales seran usados para comparar cadaintento de autenticacion.

Para el proceso de autenticacion se calcula una nueva media, que sera lasuma de la media de la plantilla mas el tiempo de la nueva muestra. Altener las nuevas medias, se pueden calcular las desviaciones estandar y loscoeficientes de variacion de igual manera que se calculan durante la creaciondel perfil.

El siguiente paso consiste en calcular un parametro llamado porcentajede similitud, que nos indica en puntos porcentuales el grado de similitud delos nuevos tiempos con respecto a los tiempos de la plantilla. El porcentajede similitud se calcula con:

PS =C

NE(100) (4.5)

Donde:

C: es el numero de columnas donde el coeficiente de variacion dela plantilla es mayor que su respectivo coeficiente de variacion de la nuevamuestra.

NE: es el numero de eventos en la plantilla.

Este porcentaje de similitud se compara con otro parametro llamado um-bral de aceptacion (UA), si el PS es mayor que el UA, entonces se consideraque el usuario es el legıtimo y se le concede el acceso al recurso. El valor del



Figura 4.4: Comparacion entre los coeficientes de variacion de una plantilla y los de una autenticacion

UA se establece segun el nivel de seguridad y comportamiento que se quierelograr con el sistema, y se habla un poco mas sobre el en el siguiente capıtulo.

4.5. Logs

Este modulo no es en sı parte funcional del sistema, sino que se in-cluyo unicamente por motivos estadısticos y de desempeno del sistema. Estemodulo guarda, por cada intento de autenticacion, un archivo que contienetoda la informacion generada por el modulo de verificacion biometrica, comoson los promedios de tiempos, desviaciones estandar, coeficientes de variaciony porcentaje de similitud, ası como el resultado de si la autenticacion fue exi-tosa o no, todo esto para poder analizar el comportamiento del sistema.


Capıtulo 5

PRUEBAS Y ANALISIS DE

DESEMPENO

5.1. Estudio

Para probar el funcionamiento del sistema, se realizo un experimento enel que se reunio un grupo de personas para que hicieran uso del sistema. Elgrupo estaba formado por veinticinco personas de entre 22 y 34 anos, lascuales se seleccionaron en base a que contaran con buenas habilidades deescritura en teclados convencionales y tuvieran alguna experiencia en el usode un PDA, aunque solo dos de ellas aseguraron usar un PDA de maneracotidiana. Las pruebas se llevaron a cabo a lo largo de un periodo de sietedıas.

Con las pruebas se pretendıa medir la tasa de falso rechazo (FRR) y latasa de falsa aceptacion (FAR), por lo que el experimento se dividio en dosdinamicas. En la primera fase se les pidio a los usuarios que dieran de alta superfil en el sistema, para que posteriormente durante los siete dıas, tratarande autenticarse cada uno un total de 26 ocasiones, para reunir un total de 650muestras. Para la segunda fase se le pidio a una persona diferente del grupoinicial, que registrara su perfil en el sistema y permitiera a cada integrante delgrupo observar y analizar su dinamica de escritura, ası despues cada uno delos veinticinco individuos intentarıa imitar su dinamica y enganar al sistemanueve veces, es decir, se realizaron un total de 225 ataques.

Los usuarios podıan elegir librememente la contrasena a usar, pero se les

41

CAPITULO 5. PRUEBAS Y ANALISIS DE DESEMPENO 42

hacıa la recomendacion de que usaran una palabra o frase con la que estu-vieran familiarizados en su escritura y que fuera de al menos siete caracteresde longitud. El umbral de aceptacion (UA) del sistema se fijo en 60%, Se de-cidio tomar este valor en base a los resultados reportados en [18] y a algunaspruebas y observaciones preliminares hechas por nosotros.

El sistema guardaba los tiempos de todos los intentos llevados a cabopor las personas que participaron en el estudio, esto con la intencion deque despues pudieramos analizar con mayor detalle el comportamiento delsistema. Dicho analisis consisitio en comenzar a ejecutar simulaciones delmismo experimento, proporcionandole como entrada al sistema los mismostiempos que habıan generado los usuarios previamente, pero cambiando encada ejecucion el valor del UA en intervalos de 5%, comenzando en un 5%y llevandolo hasta el 100%.

5.2. Resultados

Para la parte en que las personas interactuaron directamente con el soft-ware, de los 650 intentos de autenticacion que hubo por parte de usuarioslegıtimos, el sistema rechazo de manera equivocada un total de 297, lo que setransforma en una FRR de 44%. Respecto a los intentos de falsificacion deidentidad, de los 225 unicamente 6 de ellos fueron exitosos, entregando unaFAR con un valor del 2.664%.

Las simulaciones que se hicieron mas tarde, nos ayudaron a calcular lascurvas de la FRR y la FAR, que como ya se menciono en la seccion 2.2,describen el desempeno global de un sistema biometrico, y ademas nos pro-porciona la tasa de error de cruce (CER) que nos indica el umbral optimo desensibilidad del sistema [38].

En la Figura 5.1 podemos observar que el CER se encuentra en un UAde alrededor de 45%, que hace que el software funcione con una FRR y unaFAR de 15.11%.


CAPITULO 5. PRUEBAS Y ANALISIS DE DESEMPENO 43

Figura 5.1: Desempeno del sistema


Capıtulo 6

CONCLUSIONES Y

TRABAJO FUTURO

Esta tesis tuvo por objetivo lograr una nueva aportacion a las areas deseguridad de la informacion y los dispositivos moviles, al desarrollar un sis-tema capaz de reconocer dinamicas de tecleo y que pudiera trabajar en con-junto con los tradicionales sistemas de autenticacion basados en nombre deusuario y contrasena, y de esta manera fortalecer la seguridad proporcionadapor estos ultimos.

Al ser este trabajo la primera implementacion de este tipo para dispo-sitivos moviles, los resultados fueron satisfactorios y prometedores, ya quenos dejan ver que el software puede madurar y convertirse en un productorobusto y confiable.

La principal ventaja que se encontro en el actual sistema biometrico esque provee una segunda capa de seguridad, fortaleciendo los sistemas basadosen nombre de usuario y contrasena; otra ventaja es, que actua de maneratransparente para el usuario durante la etapa de autenticacion. La desventajaque presento radica en la etapa de registro de usuario, ya que para algunos deellos puede llegar a ser tedioso el escribir en repetidas ocasiones su contrasena.El sistema podrıa llegar a presentar otra desventaja, la cual no se pudoprobar, y es la disminucion de precision y desempeno del sistema al estarejecutandose de manera simultanea con varias otras aplicaciones.

Respecto al trabajo a futuro hay varios puntos importantes sobre loscuales enfocarse, el primero de ellos consiste en agregar al sistema un metodode adaptacion, es decir, que le permita al software reconocer y aprender las

44

CAPITULO 6. CONCLUSIONES Y TRABAJO FUTURO 45

variaciones y evolucion que va sufriendo la dinamica de tecleo del usuario alo largo del tiempo, lo que permitirıa mejorar el desempeno. En un segundopunto se tratarıa de modificar el software para que sea tolerante a los erroresde escritura tanto en el proceso de registro como en el de autenticacion.Un ultimo aspecto sobre el cual hay que trabajar es el portar el sistema atelefonos celulares convencionales, los cuales no cuentan con pantallas tactilespara el ingreso de datos.


Apendice A

Funcionamiento del Sistema

En el Cuadro A.1 se muestran las especificaciones tecnicas del hardwaresobre el que se implemento y probo el sistema.

Marca Hewlett-PackardModelo iPAQ rx4240Sistema Operativo Microsoft Windows Mobile 5.0Procesador Samsung S3C2442 de 400 MHzMemoria ROM de 128 MB, SDRAM de 64 MBDisplay TFT 65536 coloresDimensiones 6.35 x 10.2 x 1.675 milımetrosPeso 125 gramos

Cuadro A.1: Principales caracterısticas tecnicas del PDA iPAQ 4240

En las siguientes secciones se detalla la composicion de la interfaz graficadel sistema, ası como su funcionamiento.

A.1. Pantalla principal

En la Figura A.2 se muestra la pantalla principal del sistema, en dondese pueden observar los diferentes elementos que la conforman.

En esta primer pantalla aparece el menu “Nuevo”, el cual se debe selec-cionar para dar de alta en el sistema un nuevo usuario.

46

APENDICE A. FUNCIONAMIENTO DEL SISTEMA 47

Figura A.1: Imagen del PDA iPAQ rx4240

Figura A.2: Pantalla principal de la aplicacion



Figura A.3: Inicio del proceso de registro de un usuario

A.2. Pantalla de registro de usuario

Con la interfaz de registro de usuario, Figura A.4, el sistema nos permiteintroducir todos los datos necesarios para crear un nuevo perfil en el sistema.

En primer lugar, se debera seleccionar un nombre de usuario y una con-trasena, la cual debe ser capturada dos veces para confirmar que es correcta.Aquı aun no se miden los tiempos de escritura del usuario, por lo que sepueden cometer errores de escritura, borrar y volver a escribir. Cuando seconfirma que el nombre de usuario seleccionado no existe y que las con-trasenas coinciden, se procede a la toma de muestras de tiempos.

El usuario debera proporcionar cinco muestras, cada muestra consiste enla escritura de la contrasena seleccionada anteriormente. En este punto elusuario no debera de equivocarse al teclear su contrasena, de ser ası, de-bera presionar el boton “Cancelar” y comenzar nuevamente dicha muestra.



Figura A.4: Pantalla de registro de usuario

Figura A.5: Inicio de toma de muestras



Figura A.6: Toma de muestras

Figura A.7: Registro de usuario completado correctamente



A.3. Autenticacion

Cuando el usuario trata de autenticarse, debe escribir su nombre deusuario y contrasena, en el primero se le permite cometer errores, a dife-rencia del tecleo de la contrasena, donde en caso de cometer un error, tieneque hacer click en el boton “Cancelar” para introducir nuevamente la con-trasena.

El sistema mostrara un cuadro de dialogo indicando si el usuario logro au-tenticarse de manera correcta o no.

Figura A.8: Autenticacion correcta



Figura A.9: Autenticacion incorrecta


Apendice B

Codigo Fuente del Sistema

En este apendice se incluye un medio digital, el cual contiene los archivoscon el codigo fuente de la aplicacion. Se presenta de esta forma debido algran numero de lıneas generadas.

53

Bibliografıa

[1] 3-Lib. History of Psion. http://3lib.ukonline.co.uk/historyofpsion.htm.

[2] Ross J. Anderson and Ross Anderson. Security Engineering: A Guideto Building Dependable Distributed Systems. Wiley, 2001.

[3] L.C.F. Araujo and M.G. Lizarraga and L.H.R. Sucupira Jr. Auten-tificacion Personal por Dinamica de Tecleo Basada en Logica Difusa.Revista IEEE America Latina, 2(1), Marzo 2004.

[4] Julian Ashbourn. Biometrics: Advanced Identity Verification: The Com-plete Guide. Springer, 2000.

[5] Ahmed Awad and Issa Traore. Detecting Computer Intrusions UsingBehavioral Biometrics. Technical report, Department of Electrical andComputer Engineering, University of Victoria, 2005.

[6] Nicholas Daniel Bartlow. Username and Password Verification throughKeystroke Dynamics. Master’s thesis, College of Engineering and Min-eral Resources, West Virginia University, 2005.

[7] Francesco Bergadano and Daniele Gunetti and Claudia Picardi. UserAuthentication through Keystroke Dynamics. ACM Transactions onInformation and System Security (TISSEC), Vol. 5, 2002. pp. 367–397.

[8] Ruud Bolle and Jonathan Connell and Sharanthchandra Pankanti.Guide to Biometrics. Springer, 2003.

[9] Seymour Bosworth and Arthur E. Hutt and Douglas B. Hoyt. ComputerSecurity Handbook. Wiley, 1995.

[10] S. Card and T. Moran and and ANewell. The Keystroke Level Model forUser Performance Time with Interactive Systems. In Communicationsof ACM, Vol. 23, 1980. pp. 396–410.

54

BIBLIOGRAFIA 55

[11] D. W. Davies and W. L. Price. Security for Computer Networks: AnIntroduction to Data Security in Teleprocessing and Electronic FundsTransfer. Wiley, 1989.

[12] Online Etymology Dictionary. Authentication.http://www.etymonline.com.

[13] Dan Fox and Jon Box. Building Solutions with the Microsoft .NETCompact Framework: Architecture and Best Practices for Mobile Devel-opment. Addison-Wesley Professional, 2003.

[14] R. Stockton Gaines, William Lisowski, and S. James Press. Authenti-cation by keystroke timing:some preliminary results. Technical report,RAND Corporation, 1980. http://www.rand.org/pubs/reports/R2526/.

[15] J Garcia. Personal identification apparatus. Patent 4,621,334, U.S.Patent and Trademark Office, 1986.

[16] Eric Guerrino and Mike Kahn and Ellen Kapito. User authenticationand encryption overview, 1997.

[17] Barbara Guttman. An Introduction to Computer Security: The NISTHandbook. Diane Pub Co, 1995.

[18] Jose Guadalupe Aguilar Hernandez and Luis Adrian Lizama Perez. Au-tenticacion de usuarios a traves de Biometrıa de Tecleo. Mexican Con-ference on Informatics Security 2006, 2006.

[19] Jarmo Ilonen. Keystroke Dynamics. Technical report, LappeenrantaUniversity of Technology, 2004.

[20] Biopassword Inc. Authentication Solutions Through Keystroke Dynam-ics. Whitepaper. http://www.biopassword.com/antiphishing-antifraud-resources.php.

[21] A.K. Jain. Biometric recognition: how do I know who you are? SignalProcessing and Communications Applications Conference, 2004.

[22] Anil K. Jain. Biometric Authentication based on Keystroke DynamicsBiometric. http://www.cse.msu.edu/ cse891/Sect601/.

[23] Anil K. Jain and Arun Ross and Salil Prabhakar. An Introduction toBiometric Recognition. IEEE Transactions on Circuits and Systems forVideo Technology, 14(1), January 2004. pp.4–20.


BIBLIOGRAFIA 56

[24] R. Joyce and G. Gupta. Identity Authentication Based on KeystrokeLatencies. In Communications of the ACM, vol. 33, no. 2, 1990. pp.168-176.

[25] J.P. Campbell Jr. Speaker Recognition: A Tutorial. In Proceedings ofThe IEEE, Vol. 85, No. 9, 1997. pp. 1437–1462.

[26] James F. Kurose and Keith W. Ross. Computer Networking: A Top-Down Approach Featuring the Internet. Addison Wesley, 2004.

[27] J. C. Laprie. Dependability: Basic Concepts and Terminology. Springer,1991.

[28] Li Ma and Tieniu Tan, and Yunhong Wang. Efficient iris recognition bycharacterizing key local variations. IEEE Trans. on Image Processing,2004. pp. 739-750.

[29] CED Magic. Compaq Portable. http://www.cedmagic.com/history/compaq-portable.html.

[30] D. Maio and D. Maltoni and R. Capelli and A. Jain. Fingerprint Veri-fication Competition. International Conference on Pattern Recognition(ICPR), 2002. pp. 811-814.

[31] Alfred J. Menezes and Paul C. van Oorschot and Scott A. Vanstone.Handbook of Applied Cryptography (Crc Press Series on Discrete Math-ematics and Its Applications). CRC, 1996.

[32] Microsoft. Strong passwords: How to create and use them, 2006.http://www.microsoft.com/protect/yourself/password/create.mspx.

[33] Fabian Monrose and Michael K. Reiter, and Susanne Wetzel. Passwordhardening based on keystroke dynamics. In Int. J. Inf. Sec., vol. 1, no.2, 2002.

[34] Fabian Monrose and Aviel D. Rubin. Keystroke dynamics as a biometricfor authentication. Future Generation Computer Systems, 16(4):351–359, 2000.

[35] Microsoft Developer Network. How To Use QueryPerformanceCounterto Time Code. http://support.microsoft.com/kb/172338.

[36] Internet News. Symbian at a mobile loss.http://www.internetnews.com/stats/article.php/3584431.


BIBLIOGRAFIA 57

[37] Mordechai Nisenson and Ido Yariv, and Ran El Yaniv. Towards Behavio-metric Security Systems:Learning to Identify a Typist, volume Volume2838/2003 of Lecture Notes in Computer Science. Springer Berlin /Heidelberg, February 2004. pp. 363-374.

[38] Puripant Ruchikachorn and Nongluk Covavisaruch and Pipat Prateep-amornkul. Personal Verification and Identification Using Hand Geom-etry. In ECTI Transactions on Computer and Information TechnologyVOL.1, NO.2, 2005.

[39] M.S. Obaidat and S. Bleha. Computer user verification using the per-ceptron. In IEEE Trans. Systems, Man, and Cybernetics, vol. 23, no.3, 1993. pp. 900-903.

[40] M.S. Obaidat and D.T. Maccairolo. An on-line neural network systemfor computer access security. In IEEE Trans.Industrial Electronics, vol.40, no. 2, 1993. pp. 806-813.

[41] M.S. Obaidat and B. Sadoun. Verification of computer users usingkeystroke dynamics. In IEEE Trans. Systems, Man, and Cybernetics,vol. 27, no. 2, 1997. pp. 367–397.

[42] University of Kansas IT Security Office. Choosing good passwords, 2004.http://www.security.ku.edu/docs/doc-viewer.jsp?id=4.

[43] Tomas Olovsson. A structured approach to computer securi-ty. Technical report, Chalmers University of Technology, 1992.http://www.asociacion-aecsi.es/doc/General Info/

[44] Donn B. Parker. Fighting Computer Crime: A New Framework for Pro-tecting Information. Wiley, 2001. pp. 491-492.

[45] Thomas R. Peltier and Justin Peltier. Complete Guide to CISM Certi-fication. AUERBACH, 2006.

[46] Charles P. Pfleeger and Shari Lawrence Pfleeger. Security in Computing(4th Edition). Prentice Hall PTR, 2006.

[47] Fernando L. Podio and Jeffrey S. Dunn. Biometric Au-thentication Technology: From the Movies to Your Desk-top. Technical report, Information Technology Laborato-ry, National Institute of Standards and Technology, 2001.http://www.itl.nist.gov/div893/biometrics/Biometricsfromthemovies.pdf.


BIBLIOGRAFIA 58

[48] Larry Roof and Dan Fergus. The Definitive Guide to the .NET CompactFramework. Apress, 2003.

[49] Erik Rubin and Ronnie Yates. Microsoft .NET Compact FrameworkKick Start. Sams, 2003.

[50] Deborah Rumsey. Statistics for Dummies. For Dummies, 2003.

[51] Bruce Schneier. Applied Cryptography: Protocols, Algorithms, andSource Code in C, Second Edition. Wiley, 1995.

[52] Bob Heard. Revolution or evolution?. SCMagazine. October 2003.

[53] Jae Shim. The International Handbook of Computer Security. Routledge,2000.

[54] T. T. Soong. Fundamentals of Probability and Statistics for Engineers.Wiley-Interscience, 2004.

[55] Eugene Spafford. Observing Reusable Password Choices. Technical re-port, Department of Computer Sciences, Purdue University, 1992. pp.299–312.

[56] D. H. Stamatis. Six Sigma and Beyond: Statistics and Probability, Vol-ume III. CRC, 2002.

[57] Mark Stamp. Information Security : Principles and Practice. Wiley-Interscience, 2005.

[58] D. Umphress and G. Williams. Identity Verification Through keyboardCharacteristics. International Journal of Man-Machine Studies, 1985.pp. 263-273.

[59] Andy Wigley, Stephen Wheelwright, and Robert Burbidge. Microsoft.NET Compact Framework (Core Reference). Microsoft Press, 2003.

[60] Wikipedia. Compaq Portable. http://en.wikipedia.org/wiki/Compaq Portable.

[61] Wikipedia. Palm OS. http://en.wikipedia.org/wiki/Palm OS.

[62] Wikipedia. Personal Digital Assistants.http://en.wikipedia.org/wiki/Personal digital assistant.

[63] Wikipedia. Smartphone. http://en.wikipedia.org/wiki/Smartphone.

[64] Wikipedia. TRS 80 Model 100. http://en.wikipedia.org/wiki/TRS-80.


BIBLIOGRAFIA 59

[65] John D. Woodward. Army Biometric Applications: Identifying and Ad-dressing Sociocultural Concerns. RAND Corporation, 2001.

[66] Jianxin Yan and Alan Blackwell and Ross Anderson. The Memorabilityand Security of Passwords Some Empirical Results. Cambridge Univer-sity Computer Laboratory, 2004. pp. 25-31.

[67] Yau Wei Yun. The ’123’ of Biometric Technology. Tech-nical report, Information Technology Standards Committee, 2002.http://www.itsc.org.sg/synthesis/2002/biometric.pdf.


sistema de autenticacion basado en biometria

Documents