CN104469767A - 一套移动办公系统中集成式安全防护子系统的实现方法 - Google Patents

一套移动办公系统中集成式安全防护子系统的实现方法 Download PDF

Info

Publication number
CN104469767A
CN104469767A CN201410587878.XA CN201410587878A CN104469767A CN 104469767 A CN104469767 A CN 104469767A CN 201410587878 A CN201410587878 A CN 201410587878A CN 104469767 A CN104469767 A CN 104469767A
Authority
CN
China
Prior art keywords
information
data
user
authentication
password
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201410587878.XA
Other languages
English (en)
Other versions
CN104469767B (zh
Inventor
吕秋云
张程浩
王秋华
杨宝山
金都
马智超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hangzhou Anxin Lixing Network Technology Co., Ltd.
Original Assignee
Hangzhou Electronic Science and Technology University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hangzhou Electronic Science and Technology University filed Critical Hangzhou Electronic Science and Technology University
Priority to CN201410587878.XA priority Critical patent/CN104469767B/zh
Publication of CN104469767A publication Critical patent/CN104469767A/zh
Application granted granted Critical
Publication of CN104469767B publication Critical patent/CN104469767B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/083Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network
    • H04L63/0861Network architectures or network communication protocols for network security for supporting authentication of entities communicating through a packet data network using biometrical features, e.g. fingerprint, retina-scan

Abstract

本发明公开了一套移动办公系统中集成式安全防护子系统的实现方法。本发明包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护;手机客户端三重身份认证包括口令认证、人脸识别认证、图案密码认证;后台管理系统登陆的三重安全防御设计有:基于模拟发送键盘信息技术的防键盘记录、基于RSA的透明式一次一密的管理员登录身份信息加密传输方式、基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式。本发明在透明地应用多种保密技术,提高数据安全性的同时,实现多重身份认证安全防御,强化访问控制能力,集成式的信息安全防护子系统,使企业通知发布和新闻浏览安全、高效。

Description

一套移动办公系统中集成式安全防护子系统的实现方法
技术领域
[0001] 本发明属于信息安全及移动办公系统的技术领域,特别涉及一套移动办公系统中集成式安全防护子系统的实现方法。
背景技术
[0002] 移动“信息通”办公系统主要为企业通知与新闻的快速发布和交流,提供一个快速高效的内部办公平台,其由前台手机客户端和后台信息管理系统两个子系统组成。前台手机客户端主要功能包括:新闻与通知的接收、消息推送接收、评论、阅读回复。后台管理系统主要功能包括:信息内容的发布、审核、管理,用户管理与身份验证,部门分组管理等。
[0003] 对于没有安全防护子系统的移动“信息通”,其移动终端APP及后台管理系统普遍存在的安全问题并无有效的解决方案或有意忽略,致使企事业单位的内部办公数据甚至是内部的机密信息处于极大的安全隐患之中。在当前技术及使用环境下,移动“信息通”面临的主要安全问题如下:
第一,手机客户端身份验证方式单一甚至缺漏,内部机密信息传播范围无法控制,给企事业单位内部的信息安全造成威胁;
第二,手机客户端APP可以被反编译,代码可被任意修改,服务器的获取数据接口容易被暴露而恶意利用,手机软件安全漏洞甚至威胁导致整个后台服务器安全。
[0004] 第三,后台管理系统身份认证方式单一,安全措施薄弱,容易被攻击者绕过验证,是系统最严重的安全威胁;
第四,网络中的应用数据大多以明文传输,攻击者通过嗅探分析即可获得办公系统中内部数据或机密信息,数据安全无保障。
[0005] 由此可见,上述四大安全问题无法继续依赖于防火墙、杀毒软件、入侵检测系统、VPN等完全解决。
发明内容
[0006] 本发明的目的就是针对现有移动办公系统中存在的安全的问题,从系统的登录到信息数据的生成、传输、使用、存储等每个环节入手,通过紧密结合具体业务功能逻辑,提出了移动办公系统中集成式安全防护子系统的实现方法,使企业通知发布和新闻浏览安全、闻效。
[0007] 为了实现上述目的,本发明是通过如下的技术方案来实现:
一套移动办公系统中集成式安全防护子系统的实现方法,包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护;
步骤1.智能手机端用户登录的三重身份认证
用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证;
1-1.口令认证当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”;
所述的系统中存储的用户口令是经MD5 Hash计算后保存在数据库中;
1-2.人脸识别认证
选择Face++作为第三方人脸识别云服务平台;人脸识别认证具体如下:
若用户为首次访问,则需进行注册,注册步骤如下:
①用户拍照上传包含有人脸信息的图片,并创建用户账户;
②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务;若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片;
③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息;
④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤;
若用户为正常使用,则其人脸认证步骤如下:
①人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,提取出人脸特征值;
②特征对比:将步骤①提取出人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误;
1-3.图案密码认证
用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别;
所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中;
步骤2.后台管理系统登陆的三重安全防御
采取多因素认证方式实施三重防御;在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计有基于云推送的动态口令与静态用户名/ 口令相结合的双因素认证方式,进一步提高安全强度;
2-1基于模拟发送键盘信息技术的防键盘记录
基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成;
具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符;
2-2透明式一次一密传输管理员身份登录数据
隐式地从服务器获取本次会话密钥,并对利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输;
当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Sess1n中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用当前会话的已经生成的存储在Sess1n中私钥解密;
透明式一次一密传输管理员身份登录数据主要涉及的过程包括=RSA密钥的产生、RSA公钥加密数据、RAS私钥解密数据;同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码;
使用RSA非对称加密方式实现身份登录数据的保密通信,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据;
步骤3.紧密结合业务逻辑的数据信息的高安全防护
3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息
系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位;
所述的LSB算法选用最低位平面来嵌入密文信息,同时通过冗余嵌入的方式能够增强稳健性;即在一个区域中嵌入相同信息,提取时根据该区域中的所有像素判断;
将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下:
①读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量;
②确定载体图像的LSB ;
③对载体图像做预处理,将其LSB设置为O ;
④将密文信息以ACILL码的形式读入;
⑤在每一个象素的第LSB位上,存储密文信息的一个bit ;
⑥生成并存储嵌入密文信息的图像;
读取密文信息的具体步骤:
①读入含有密文信息的图像;
②得到每一个象素点的LSB位;
③由每8个LSB位组成一个ASILL还原密文信息;
3-2基于源认证防篡改的业务数据加密传输
基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验;客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据;手机客户端收到返回的数据后,用私钥进行RSA解密,将密文生成hash值,再用本次会话的公钥验证数字签名。
[0008] 本发明有益效果如下: 本发明以移动“信息通”为移动办公系统的代表,研究分析了目前移动办公系统中身份鉴定和无线数据传输等目前最突出的安全问题,提出了业务系统与安全功能紧密结合的集成式保护设计思想:在透明地应用多种保密技术,提高数据安全性的同时,实现多重身份认证安全防御,强化访问控制能力。
[0009] 同时,本发明以移动“信息通”为移动办公系统集成式安全防护子系统实施的业务平台,从系统的登录到信息数据的生成、传输、使用、存储等每个环节入手,紧密结合具体业务功能逻辑,设计实现集成式的信息安全防护子系统,使企业通知发布和新闻浏览安全、高效。本作品的安全防护子系统主要功能包括:
(O智能手机端用户登录的三重身份认证;
(2)后台管理系统登录的三重安全防御;
(3)紧密结合业务逻辑的数据信息的高安全防护。
附图说明
[0010] 图1是本发明安全防护子系统组成结构示意图;
图2人脸识别注册流程图
图3人脸识别认证流程图
图4三重身份认证流程图
图5是防键盘记录过程
图6是一次一密传输身份登录数据流程
图7是安全存储系统管理员口令流程
图8是基于源认证防篡改的业务数据安全传输模型。
具体实施方式
[0011] 为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合附图对本发明作进一步的说明。
[0012] 如图1所示,一套移动办公系统中集成式安全防护子系统的实现方法,包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护。具体实施方式采用以下技术方案:
步骤1.智能手机端用户登录的三重身份认证
如图2和图3所示,为了增强手机客户端登录控制的安全性,有效验证合法用户,保证信息系统进行有效的访问控制,同时为了保护合法用户隐私安全,防止他人窃取隐私,用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证。
[0013] 1-1.口令认证
当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”。
[0014] 所述的系统中存储的用户口令是经MD5 Hash计算后保存在数据库中。
[0015] 1-2.人脸识别认证
选择Face++作为第三方人脸识别云服务平台。人脸识别认证具体如下: 若用户为首次访问,则需进行注册,如图2所示,注册步骤如下:
①用户拍照上传包含有人脸信息的图片,并创建用户账户。
[0016] ②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务。若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片。
[0017] ③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息。
[0018] ④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤。
[0019] 若用户为正常使用,则如图3所示其人脸认证步骤如下:
②人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,提取出人脸特征值;
②特征对比:将步骤①提取出人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误。
[0020] 1-3.图案密码认证
用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别。
[0021] 所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中。
[0022] 如图4所示,每次手机客户端开启运行使用手机客户端“信息通”应用需通过验证口令、人脸识别和图案密码锁三道防线。为了方便用户获得良好的用户体验,只有当本系统从后台运行状态切换到前台运行状态时,仅需进行图案锁解锁;否则需要通过三重身份认证才能正常使用该应用。
[0023] 步骤2.后台管理系统登陆的三重安全防御
后台管理员的操作直接决定着整个系统的运行状况,因此,对管理员的身份验证需要从登录的接口和数据传输做特别的安全保护,同时采取多因素认证方式实施三重防御。在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计了基于云推送的动态口令与静态用户名/ 口令相结合的双因素认证方式,进一步提高安全强度。
[0024] 2-1基于模拟发送键盘信息技术的防键盘记录
如图5所示,基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成;
具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符。模拟发送的按键信息能够起到干扰的作用,即使用户的计算机被注入键盘记录木马,攻击者截获的输入记录信息中含有大量的冗余掺假信息,从而使攻击者无法准确地获得真实有效的重要敏感信息,有效增强敏感信息的安全性。
[0025] 2-2透明式一次一密传输管理员身份登录数据
为了增加数据传输保密性的安全强度,隐式地从服务器获取本次会话密钥,并对利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输,实现一个安全、高效、可靠且易于实现移动“信息通”身份验证保护。
[0026] 当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Sess1n中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用当前会话的已经生成的存储在Sess1n中私钥解密。
[0027] 透明式一次一密传输管理员身份登录数据主要涉及的过程包括:RSA密钥的产生、RSA公钥加密数据、RAS私钥解密数据。同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码。
[0028] 使用RSA非对称加密方式实现身份登录数据的保密通信如图5流程所示,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据。
[0029] 步骤3.紧密结合业务逻辑的数据信息的高安全防护
3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息
如图6和图7所示,系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位,使得系统敏感信息的隐蔽性大大提高。通过这样处理的载体图片没有明显的降质现象,而隐藏的敏感数据也无法人为地直接看见,有良好的透明性。
[0030] 所述的LSB算法选用最低位平面来嵌入密文信息。最低位平面对图像的视觉效果影响最轻微,但很容易受噪声影响和攻击,通过冗余嵌入的方式能够增强稳健性。即在一个区域(多个像素)中嵌入相同信息,提取时根据该区域中的所有像素判断。
[0031] 将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下:
②读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量;
②确定载体图像的 LSB (Least Significant Bit);
③对载体图像做预处理,将其LSB设置为O ;
④将密文信息以ACILL码的形式读入;
⑤在每一个象素的第LSB位上,存储密文信息的一个bit ;
⑥生成并存储嵌入密文信息的图像。
[0032] 读取密文信息的具体步骤:
①读入含有密文信息的图像;
②得到每一个象素点的LSB位;
③由每8个LSB位组成一个ASILL还原密文信息。
[0033] 3-2基于源认证防篡改的业务数据加密传输基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验。如图8所示,为了保证数据的保密性,客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据。手机客户端收到返回的数据后,用私钥进行RSA解密,将密文生成hash值,再用本次会话的公钥验证数字签名。

Claims (1)

1.一套移动办公系统中集成式安全防护子系统的实现方法,其特征在于包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护; 步骤1.智能手机端用户登录的三重身份认证 用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证; 1-1.口令认证 当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”; 所述的系统中存储的用户口令是经MD5 Hash计算后保存在数据库中; 1-2.人脸识别认证 选择Face++作为第三方人脸识别云服务平台;人脸识别认证具体如下: 若用户为首次访问,则需进行注册,注册步骤如下: ①用户拍照上传包含有人脸信息的图片,并创建用户账户; ②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务;若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片; ③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息; ④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤; 若用户为正常使用,则其人脸认证步骤如下: 人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,提取出人脸特征值; ②特征对比:将步骤①提取出人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误; 1-3.图案密码认证 用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别; 所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中; 步骤2.后台管理系统登陆的三重安全防御 采取多因素认证方式实施三重防御;在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计有基于云推送的动态口令与静态用户名/ 口令相结合的双因素认证方式,进一步提高安全强度; 2-1基于模拟发送键盘信息技术的防键盘记录 基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成; 具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符; 2-2透明式一次一密传输管理员身份登录数据 隐式地从服务器获取本次会话密钥,并对利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输; 当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Sess1n中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用当前会话的已经生成的存储在Sess1n中私钥解密; 透明式一次一密传输管理员身份登录数据主要涉及的过程包括=RSA密钥的产生、RSA公钥加密数据、RAS私钥解密数据;同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码; 使用RSA非对称加密方式实现身份登录数据的保密通信,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据; 步骤3.紧密结合业务逻辑的数据信息的高安全防护 3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息 系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位; 所述的LSB算法选用最低位平面来嵌入密文信息,同时通过冗余嵌入的方式能够增强稳健性;即在一个区域中嵌入相同信息,提取时根据该区域中的所有像素判断; 将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下: 读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量; ②确定载体图像的LSB ; ③对载体图像做预处理,将其LSB设置为O ; ④将密文信息以ACILL码的形式读入; ⑤在每一个象素的第LSB位上,存储密文信息的一个bit ; ⑥生成并存储嵌入密文信息的图像; 读取密文信息的具体步骤: ①读入含有密文信息的图像; ②得到每一个象素点的LSB位; ③由每8个LSB位组成一个ASILL还原密文信息; 3-2基于源认证防篡改的业务数据加密传输 基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验;客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据;手机客户端收到返回的数据后,用私钥进行RSA解密,将密文生成hash值,再用本次会话的公钥验证数字签名。
CN201410587878.XA 2014-10-28 2014-10-28 一套移动办公系统中集成式安全防护子系统的实现方法 Active CN104469767B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410587878.XA CN104469767B (zh) 2014-10-28 2014-10-28 一套移动办公系统中集成式安全防护子系统的实现方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410587878.XA CN104469767B (zh) 2014-10-28 2014-10-28 一套移动办公系统中集成式安全防护子系统的实现方法

Publications (2)

Publication Number Publication Date
CN104469767A true CN104469767A (zh) 2015-03-25
CN104469767B CN104469767B (zh) 2017-12-26

Family

ID=52914979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410587878.XA Active CN104469767B (zh) 2014-10-28 2014-10-28 一套移动办公系统中集成式安全防护子系统的实现方法

Country Status (1)

Country Link
CN (1) CN104469767B (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933361A (zh) * 2015-06-05 2015-09-23 浪潮电子信息产业股份有限公司 一种登录密码的保护装置及方法
CN105871931A (zh) * 2016-06-21 2016-08-17 新昌县七星街道明盛模具厂 一种云服务终端的安全处理与访问方法
CN105989270A (zh) * 2015-09-25 2016-10-05 武汉安天信息技术有限责任公司 一种基于云计算的安卓数据库安全防护方法及系统
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN107306270A (zh) * 2016-04-19 2017-10-31 李光耀 高安全性用户多重认证系统及方法
CN108494734A (zh) * 2018-02-13 2018-09-04 杭州电子科技大学 一种基于sdk的安全移动办公方法
CN108595989A (zh) * 2018-03-15 2018-09-28 杭州电子科技大学 一种iOS下移动APP安全防护系统及方法
CN108768941A (zh) * 2018-04-19 2018-11-06 北京信安世纪科技股份有限公司 一种远程解锁安全设备的方法及装置
CN108875470A (zh) * 2017-06-19 2018-11-23 北京旷视科技有限公司 对访客进行登记的方法、装置及计算机存储介质
CN108989346A (zh) * 2018-08-30 2018-12-11 上海同态信息科技有限责任公司 基于账号隐匿的第三方有效身份托管敏捷认证访问模式
CN109155784A (zh) * 2016-05-24 2019-01-04 微软技术许可有限责任公司 区分纵向暴力攻击与良性错误
CN109359448A (zh) * 2018-10-16 2019-02-19 杭州虹晟信息科技有限公司 互联网移动终端安全办公系统
CN109829273A (zh) * 2019-02-19 2019-05-31 杭州数梦工场科技有限公司 一种身份认证方法、装置、系统、设备及可读存储介质
CN112149095A (zh) * 2020-10-26 2020-12-29 上海松鼠课堂人工智能科技有限公司 学生数据安全治理方法和系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040215971A1 (en) * 2001-08-29 2004-10-28 Choong-Hee Nam Anti keylog editor of activex base
CN101394284A (zh) * 2008-11-13 2009-03-25 四川长虹电器股份有限公司 一次性口令认证方法
CN102819918A (zh) * 2012-07-17 2012-12-12 苏州市米想网络信息技术有限公司 一种采用多重安全认证的支付系统
CN103297398A (zh) * 2012-03-01 2013-09-11 董建飞 提高智能信息设备安全性的方法和系统
CN103761600A (zh) * 2013-12-30 2014-04-30 武汉烽火信息集成技术有限公司 一种电子政务综合应用平台及方法
CN104023085A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于增量同步的安全云存储系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040215971A1 (en) * 2001-08-29 2004-10-28 Choong-Hee Nam Anti keylog editor of activex base
CN101394284A (zh) * 2008-11-13 2009-03-25 四川长虹电器股份有限公司 一次性口令认证方法
CN103297398A (zh) * 2012-03-01 2013-09-11 董建飞 提高智能信息设备安全性的方法和系统
CN102819918A (zh) * 2012-07-17 2012-12-12 苏州市米想网络信息技术有限公司 一种采用多重安全认证的支付系统
CN103761600A (zh) * 2013-12-30 2014-04-30 武汉烽火信息集成技术有限公司 一种电子政务综合应用平台及方法
CN104023085A (zh) * 2014-06-25 2014-09-03 武汉大学 一种基于增量同步的安全云存储系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
刘铮等: "移动办公在发电企业中的研究和应用", 《电信科学》 *
马帅: "等级保护设计要求下的移动业务系统安全防御体系", 《保密科学技术》 *

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104933361A (zh) * 2015-06-05 2015-09-23 浪潮电子信息产业股份有限公司 一种登录密码的保护装置及方法
CN105989270B (zh) * 2015-09-25 2018-11-30 武汉安天信息技术有限责任公司 一种基于云计算的安卓平台下的数据库的安全防护方法及系统
CN105989270A (zh) * 2015-09-25 2016-10-05 武汉安天信息技术有限责任公司 一种基于云计算的安卓数据库安全防护方法及系统
CN107306270B (zh) * 2016-04-19 2019-12-24 李光耀 高安全性用户多重认证系统及方法
CN107306270A (zh) * 2016-04-19 2017-10-31 李光耀 高安全性用户多重认证系统及方法
CN109155784B (zh) * 2016-05-24 2021-01-15 微软技术许可有限责任公司 区分纵向暴力攻击与良性错误
CN109155784A (zh) * 2016-05-24 2019-01-04 微软技术许可有限责任公司 区分纵向暴力攻击与良性错误
CN105871931A (zh) * 2016-06-21 2016-08-17 新昌县七星街道明盛模具厂 一种云服务终端的安全处理与访问方法
CN107172008A (zh) * 2017-04-01 2017-09-15 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN107172008B (zh) * 2017-04-01 2019-10-18 北京芯盾时代科技有限公司 一种在移动设备中进行多系统认证及同步的系统和方法
CN108875470A (zh) * 2017-06-19 2018-11-23 北京旷视科技有限公司 对访客进行登记的方法、装置及计算机存储介质
CN108494734A (zh) * 2018-02-13 2018-09-04 杭州电子科技大学 一种基于sdk的安全移动办公方法
CN108494734B (zh) * 2018-02-13 2020-11-17 杭州电子科技大学 一种基于sdk的安全移动办公方法
CN108595989A (zh) * 2018-03-15 2018-09-28 杭州电子科技大学 一种iOS下移动APP安全防护系统及方法
CN108595989B (zh) * 2018-03-15 2020-06-30 杭州电子科技大学 一种iOS下移动APP安全防护系统及方法
CN108768941A (zh) * 2018-04-19 2018-11-06 北京信安世纪科技股份有限公司 一种远程解锁安全设备的方法及装置
CN108989346A (zh) * 2018-08-30 2018-12-11 上海同态信息科技有限责任公司 基于账号隐匿的第三方有效身份托管敏捷认证访问模式
CN108989346B (zh) * 2018-08-30 2021-03-16 上海同态信息科技有限责任公司 基于账号隐匿的第三方有效身份托管敏捷认证访问方法
CN109359448B (zh) * 2018-10-16 2021-05-07 广州伊的家网络科技有限公司 互联网移动终端安全办公系统
CN109359448A (zh) * 2018-10-16 2019-02-19 杭州虹晟信息科技有限公司 互联网移动终端安全办公系统
CN109829273B (zh) * 2019-02-19 2021-04-30 杭州数梦工场科技有限公司 一种身份认证方法、装置、系统、设备及可读存储介质
CN109829273A (zh) * 2019-02-19 2019-05-31 杭州数梦工场科技有限公司 一种身份认证方法、装置、系统、设备及可读存储介质
CN112149095A (zh) * 2020-10-26 2020-12-29 上海松鼠课堂人工智能科技有限公司 学生数据安全治理方法和系统

Also Published As

Publication number Publication date
CN104469767B (zh) 2017-12-26

Similar Documents

Publication Publication Date Title
CN104469767B (zh) 一套移动办公系统中集成式安全防护子系统的实现方法
JP5330567B2 (ja) コンピュータ実施認証インターフェイスシステム
Ives et al. The domino effect of password reuse
US8132020B2 (en) System and method for user authentication with exposed and hidden keys
ES2373489T3 (es) Procedimiento y sistema para autenticar a un usuario mediante un dispositivo móvil.
US20080148057A1 (en) Security token
Studer et al. Mobile user location-specific encryption (MULE) using your office as your password
CN102685110A (zh) 一种基于指纹特征的通用用户注册认证方法及系统
CN105704690B (zh) 基于手机数字指纹验证的短信隐密通信的方法及系统
CN108418691B (zh) 基于sgx的动态网络身份认证方法
Ahvanooey et al. AITSteg: An innovative text steganography technique for hidden transmission of text message via social media
CN107277059A (zh) 一种基于二维码的一次性口令身份认证方法及系统
Raddum et al. Security analysis of mobile phones used as OTP generators
Zhao et al. Explicit authentication response considered harmful
CN105187382A (zh) 防止撞库攻击的多因子身份认证方法
Aravindhan et al. One time password: A survey
WO2008053279A1 (en) Logging on a user device to a server
CN103532979A (zh) CGI web界面下的多会话验证码的产生及验证方法
US20090271629A1 (en) Wireless pairing ceremony
US20140258718A1 (en) Method and system for secure transmission of biometric data
Boonkrong Internet banking login with multi-factor authentication
CN109740319B (zh) 数字身份验证方法及服务器
Wagner et al. Remote WebAuthn: FIDO2 Authentication for Less Accessible Devices.
He et al. Cryptanalysis of a smartcard-based user authentication scheme for multi-server environments
Maddipati Implementation of Captcha as Graphical Passwords For Multi Security

Legal Events

Date Code Title Description
PB01 Publication
C06 Publication
SE01 Entry into force of request for substantive examination
C10 Entry into substantive examination
CB03 Change of inventor or designer information

Inventor after: Zhang Chenghao

Inventor after: Lv Qiuyun

Inventor after: Sang Yongxuan

Inventor after: Wang Qiuhua

Inventor after: Yang Baoshan

Inventor after: Jin Du

Inventor after: Ma Zhichao

Inventor before: Lv Qiuyun

Inventor before: Zhang Chenghao

Inventor before: Wang Qiuhua

Inventor before: Yang Baoshan

Inventor before: Jin Du

Inventor before: Ma Zhichao

Inventor after: Zhang Chenghao

Inventor after: Lv Qiuyun

Inventor after: Sang Yongxuan

Inventor after: Wang Qiuhua

Inventor after: Yang Baoshan

Inventor after: Jin Du

Inventor after: Ma Zhichao

Inventor before: Lv Qiuyun

Inventor before: Zhang Chenghao

Inventor before: Wang Qiuhua

Inventor before: Yang Baoshan

Inventor before: Jin Du

Inventor before: Ma Zhichao

COR Change of bibliographic data
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20191011

Address after: 310000 Room 408, building 2, yunshuiyuan, Hangzhou Economic and Technological Development Zone, Hangzhou City, Zhejiang Province

Patentee after: Hangzhou Anxin Lixing Network Technology Co., Ltd.

Address before: Hangzhou City, Zhejiang province 310018 Xiasha Higher Education Park No. 2 street

Patentee before: Hangzhou Electronic Science and Technology Univ

TR01 Transfer of patent right