CN104469767B - 一套移动办公系统中集成式安全防护子系统的实现方法 - Google Patents
一套移动办公系统中集成式安全防护子系统的实现方法 Download PDFInfo
- Publication number
- CN104469767B CN104469767B CN201410587878.XA CN201410587878A CN104469767B CN 104469767 B CN104469767 B CN 104469767B CN 201410587878 A CN201410587878 A CN 201410587878A CN 104469767 B CN104469767 B CN 104469767B
- Authority
- CN
- China
- Prior art keywords
- face
- information
- data
- password
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 19
- 230000005540 biological transmission Effects 0.000 claims abstract description 23
- 238000005516 engineering process Methods 0.000 claims abstract description 17
- 238000004088 simulation Methods 0.000 claims abstract description 13
- 230000003068 static effect Effects 0.000 claims abstract description 4
- 238000012546 transfer Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 7
- 238000000605 extraction Methods 0.000 claims description 6
- 230000009977 dual effect Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 claims description 4
- 238000012795 verification Methods 0.000 claims description 4
- 241001269238 Data Species 0.000 claims description 3
- 238000004891 communication Methods 0.000 claims description 3
- 238000012790 confirmation Methods 0.000 claims description 3
- 238000005314 correlation function Methods 0.000 claims description 3
- 238000005206 flow analysis Methods 0.000 claims description 3
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 claims description 3
- 238000009434 installation Methods 0.000 claims description 3
- 230000009467 reduction Effects 0.000 claims description 3
- 230000004044 response Effects 0.000 claims description 3
- 230000007123 defense Effects 0.000 claims description 2
- 238000013461 design Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 238000004458 analytical method Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0861—Network architectures or network communication protocols for network security for authentication of entities using biometrical features, e.g. fingerprint, retina-scan
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Biomedical Technology (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一套移动办公系统中集成式安全防护子系统的实现方法。本发明包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护;手机客户端三重身份认证包括口令认证、人脸识别认证、图案密码认证;后台管理系统登陆的三重安全防御设计有:基于模拟发送键盘信息技术的防键盘记录、基于RSA的透明式一次一密的管理员登录身份信息加密传输方式、基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式。本发明在透明地应用多种保密技术,提高数据安全性的同时,实现多重身份认证安全防御,强化访问控制能力,集成式的信息安全防护子系统,使企业通知发布和新闻浏览安全、高效。
Description
技术领域
本发明属于信息安全及移动办公系统的技术领域,特别涉及一套移动办公系统中集成式安全防护子系统的实现方法。
背景技术
移动“信息通”办公系统主要为企业通知与新闻的快速发布和交流,提供一个快速高效的内部办公平台,其由前台手机客户端和后台信息管理系统两个子系统组成。前台手机客户端主要功能包括:新闻与通知的接收、消息推送接收、评论、阅读回复。后台管理系统主要功能包括:信息内容的发布、审核、管理,用户管理与身份验证,部门分组管理等。
对于没有安全防护子系统的移动“信息通”,其移动终端APP及后台管理系统普遍存在的安全问题并无有效的解决方案或有意忽略,致使企事业单位的内部办公数据甚至是内部的机密信息处于极大的安全隐患之中。在当前技术及使用环境下,移动“信息通”面临的主要安全问题如下:
第一,手机客户端身份验证方式单一甚至缺漏,内部机密信息传播范围无法控制,给企事业单位内部的信息安全造成威胁;
第二,手机客户端APP可以被反编译,代码可被任意修改,服务器的获取数据接口容易被暴露而恶意利用,手机软件安全漏洞甚至威胁导致整个后台服务器安全。
第三,后台管理系统身份认证方式单一,安全措施薄弱,容易被攻击者绕过验证,是系统最严重的安全威胁;
第四,网络中的应用数据大多以明文传输,攻击者通过嗅探分析即可获得办公系统中内部数据或机密信息,数据安全无保障。
由此可见,上述四大安全问题无法继续依赖于防火墙、杀毒软件、入侵检测系统、VPN等完全解决。
发明内容
本发明的目的就是针对现有移动办公系统中存在的安全的问题,从系统的登录到信息数据的生成、传输、使用、存储等每个环节入手,通过紧密结合具体业务功能逻辑,提出了移动办公系统中集成式安全防护子系统的实现方法,使企业通知发布和新闻浏览安全、高效。
为了实现上述目的,本发明是通过如下的技术方案来实现:
一套移动办公系统中集成式安全防护子系统的实现方法,包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护;
步骤1.智能手机端用户登录的三重身份认证
用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证;
1-1.口令认证
当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”;
所述的系统中存储的用户口令是经MD5Hash计算后保存在数据库中;
1-2.人脸识别认证
选择Face++作为第三方人脸识别云服务平台;人脸识别认证具体如下:
若用户为首次访问,则需进行注册,注册步骤如下:
①用户拍照上传包含有人脸信息的图片,并创建用户账户;
②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务;若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片;
③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息;
④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤;
若用户为正常使用,则其人脸认证步骤如下:
①人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,提取出人脸特征值;
②特征对比:将步骤①提取出人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误;
1-3.图案密码认证
用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别;
所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中;
步骤2.后台管理系统登陆的三重安全防御
采取多因素认证方式实施三重防御;在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计有基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式,进一步提高安全强度;
2-1基于模拟发送键盘信息技术的防键盘记录
基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成;
具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符;
2-2透明式一次一密传输管理员身份登录数据
隐式地从服务器获取本次会话密钥,并对利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输;
当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Session中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用当前会话的已经生成的存储在Session中私钥解密;
透明式一次一密传输管理员身份登录数据主要涉及的过程包括:RSA密钥的产生、RSA公钥加密数据、RAS私钥解密数据;同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码;
使用RSA非对称加密方式实现身份登录数据的保密通信,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据;
步骤3.紧密结合业务逻辑的数据信息的高安全防护
3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息
系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位;
所述的LSB算法选用最低位平面来嵌入密文信息,同时通过冗余嵌入的方式能够增强稳健性;即在一个区域中嵌入相同信息,提取时根据该区域中的所有像素判断;
将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下:
①读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量;
②确定载体图像的LSB;
③对载体图像做预处理,将其LSB设置为0;
④将密文信息以ACILL码的形式读入;
⑤在每一个象素的第LSB位上,存储密文信息的一个bit;
⑥生成并存储嵌入密文信息的图像;
读取密文信息的具体步骤:
①读入含有密文信息的图像;
②得到每一个象素点的LSB位;
③由每8个LSB位组成一个ASILL还原密文信息;
3-2基于源认证防篡改的业务数据加密传输
基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验;客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据;手机客户端收到返回的数据后,用私钥进行RSA解密,将密文生成hash值,再用本次会话的公钥验证数字签名。
本发明有益效果如下:
本发明以移动“信息通”为移动办公系统的代表,研究分析了目前移动办公系统中身份鉴定和无线数据传输等目前最突出的安全问题,提出了业务系统与安全功能紧密结合的集成式保护设计思想:在透明地应用多种保密技术,提高数据安全性的同时,实现多重身份认证安全防御,强化访问控制能力。
同时,本发明以移动“信息通”为移动办公系统集成式安全防护子系统实施的业务平台,从系统的登录到信息数据的生成、传输、使用、存储等每个环节入手,紧密结合具体业务功能逻辑,设计实现集成式的信息安全防护子系统,使企业通知发布和新闻浏览安全、高效。本作品的安全防护子系统主要功能包括:
(1)智能手机端用户登录的三重身份认证;
(2)后台管理系统登录的三重安全防御;
(3)紧密结合业务逻辑的数据信息的高安全防护。
附图说明
图1是本发明安全防护子系统组成结构示意图;
图2人脸识别注册流程图
图3人脸识别认证流程图
图4三重身份认证流程图
图5是防键盘记录过程
图6是一次一密传输身份登录数据流程
图7是安全存储系统管理员口令流程
图8是基于源认证防篡改的业务数据安全传输模型。
具体实施方式
为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合附图对本发明作进一步的说明。
如图1所示,一套移动办公系统中集成式安全防护子系统的实现方法,包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护。具体实施方式采用以下技术方案:
步骤1.智能手机端用户登录的三重身份认证
如图2和图3所示,为了增强手机客户端登录控制的安全性,有效验证合法用户,保证信息系统进行有效的访问控制,同时为了保护合法用户隐私安全,防止他人窃取隐私,用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证。
1-1.口令认证
当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”。
所述的系统中存储的用户口令是经MD5Hash计算后保存在数据库中。
1-2.人脸识别认证
选择Face++作为第三方人脸识别云服务平台。人脸识别认证具体如下:
若用户为首次访问,则需进行注册,如图2所示,注册步骤如下:
①用户拍照上传包含有人脸信息的图片,并创建用户账户。
②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务。若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片。
③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息。
④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤。
若用户为正常使用,则如图3所示其人脸认证步骤如下:
②人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,提取出人脸特征值;
②特征对比:将步骤①提取出人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误。
1-3.图案密码认证
用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别。
所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中。
如图4所示,每次手机客户端开启运行使用手机客户端“信息通”应用需通过验证口令、人脸识别和图案密码锁三道防线。为了方便用户获得良好的用户体验,只有当本系统从后台运行状态切换到前台运行状态时,仅需进行图案锁解锁;否则需要通过三重身份认证才能正常使用该应用。
步骤2.后台管理系统登陆的三重安全防御
后台管理员的操作直接决定着整个系统的运行状况,因此,对管理员的身份验证需要从登录的接口和数据传输做特别的安全保护,同时采取多因素认证方式实施三重防御。在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计了基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式,进一步提高安全强度。
2-1基于模拟发送键盘信息技术的防键盘记录
如图5所示,基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成;
具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符。模拟发送的按键信息能够起到干扰的作用,即使用户的计算机被注入键盘记录木马,攻击者截获的输入记录信息中含有大量的冗余掺假信息,从而使攻击者无法准确地获得真实有效的重要敏感信息,有效增强敏感信息的安全性。
2-2透明式一次一密传输管理员身份登录数据
为了增加数据传输保密性的安全强度,隐式地从服务器获取本次会话密钥,并对利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输,实现一个安全、高效、可靠且易于实现移动“信息通”身份验证保护。
当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Session中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用当前会话的已经生成的存储在Session中私钥解密。
透明式一次一密传输管理员身份登录数据主要涉及的过程包括:RSA密钥的产生、RSA公钥加密数据、RAS私钥解密数据。同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码。
使用RSA非对称加密方式实现身份登录数据的保密通信如图6流程所示,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据。
步骤3.紧密结合业务逻辑的数据信息的高安全防护
3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息
图7所示,系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位,使得系统敏感信息的隐蔽性大大提高。通过这样处理的载体图片没有明显的降质现象,而隐藏的敏感数据也无法人为地直接看见,有良好的透明性。
所述的LSB算法选用最低位平面来嵌入密文信息。最低位平面对图像的视觉效果影响最轻微,但很容易受噪声影响和攻击,通过冗余嵌入的方式能够增强稳健性。即在一个区域(多个像素)中嵌入相同信息,提取时根据该区域中的所有像素判断。
将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下:
②读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量;
②确定载体图像的LSB(Least Significant Bit);
③对载体图像做预处理,将其LSB设置为0;
④将密文信息以ACILL码的形式读入;
⑤在每一个象素的第LSB位上,存储密文信息的一个bit;
⑥生成并存储嵌入密文信息的图像。
读取密文信息的具体步骤:
①读入含有密文信息的图像;
②得到每一个象素点的LSB位;
③由每8个LSB位组成一个ASILL还原密文信息。
3-2基于源认证防篡改的业务数据加密传输
基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验。如图8所示,为了保证数据的保密性,客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据。手机客户端收到返回的数据后,用私钥进行RSA解密,将密文生成hash值,再用本次会话的公钥验证数字签名。
Claims (1)
1.一套移动办公系统中集成式安全防护子系统的实现方法,其特征在于包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑的数据安全防护;
步骤1.智能手机端用户登录的三重身份认证
用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证;
1-1.口令认证
当用户访问系统时,采用基于固定口令的认证方法,要求用户输入口令,系统收到口令后,将收到口令与系统中存储的用户口令进行比较,若口令匹配,则确认用户为合法访问者;否则提示“口令错误,请重新输入”;
所述的系统中存储的用户口令是经MD5Hash计算后保存在数据库中;
1-2.人脸识别认证
选择Face++作为第三方人脸识别云服务平台;人脸识别认证具体如下:
若用户为首次访问,则需进行注册,注册步骤如下:
①用户拍照上传包含有人脸信息的图片,并创建用户账户;
②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,并将检测到的人脸信息保存在云服务平台,以便后续人脸识别服务;若检测没有人脸信息,客户端提示要求用户重新上传包含人脸信息的图片;
③提取步骤②人脸信息,并通过调用云服务平台提供的API接口训练人脸模型,第三方云服务平台自动记录人脸特征值相关信息;
④重复执行三次步骤①-③,完成用户的注册,并进入用户正常使用时人脸识别认证步骤;
若用户为正常使用,则其人脸认证步骤如下:
①人脸定位检测:用户拍照上传包含有人脸信息的图片,Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片,由第三方人脸识别云服务平台检测返回人脸特征值;
②特征对比:将步骤①由第三方人脸识别云服务平台检测返回的人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配,若匹配成功,则人脸识别认证成功,用户能够解除锁定,否则提示匹配错误;
1-3.图案密码认证
用户访问时,在九宫格图案锁上输入一条带方向的路径,若该路径经过SHA-1算法后能与文件中的密文相匹配,则表示图案密码认证成功,否则提示匹配错误;若访问五次均为匹配错误,则系统将在30秒内冻结图案锁解锁,做连续3次冻结,系统则会要求用户重新输入口令,并进行人脸识别;
所述的图案密码认证通过九宫格图案锁实现,九宫格图案锁设置有9个点,分别用代码11,12,13,21,22,23,31,32,33来表示;用户在初始化设置时,设置一条带方向的路径,该路径能够以九宫格图案锁上的一串代码表示,然后将该串代码通过SHA-1算法进行计算,计算后得到密文存储在数据库中;
步骤2.后台管理系统登陆的三重安全防御
采取多因素认证方式实施三重防御;在登录接口,设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能;同时,为对抗数据流分析攻击,引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式;最后,专门设计有基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式,进一步提高安全强度;
2-1基于模拟发送键盘信息技术的防键盘记录
基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成;
具体的:在输入框获得焦点时,触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息,产生随机字符;直到用户光标离开密码输入框,ActiveX控件才停止发送虚假字符;
2-2透明式一次一密传输管理员身份登录数据
隐式地从服务器获取本次会话密钥,并利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输;
当后台管理员在浏览器请求Web登录页面时,服务器自动生成一对公私钥对,并把公钥通过HTTP协议传送到浏览器,私钥存储在服务器端的Session中;当前台浏览器向服务器提交表单进行身份验证时,浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器,服务器用已经生成并存储在Session中的私钥解密;
透明式一次一密传输管理员身份登录数据主要涉及的过程包括:RSA密钥的产生、RSA公钥加密数据、RSA 私钥解密数据;同时为了方便加密的二进制数据传输,所以在网络中传输的加密数据均使用Base64编码;
使用RSA非对称加密方式实现身份登录数据的保密通信,服务器端首先产生密钥对,并将公钥发送到浏览器端;浏览器使用公钥加密表单数据,并传送到服务器端;服务器端使用私钥解密收到的数据;
步骤3.紧密结合业务逻辑的数据信息的高安全防护
3-1综合应用加密和隐藏技术安全存储系统管理员敏感信息
系统对所有用户的密码口令进行MD5加密处理成密文信息,并且运用信息隐藏技术,利用LSB算法将密文信息化整为零,嵌入到载体BMP位图信息的每个字节的最低位;
所述的LSB算法选用最低位平面来嵌入密文信息,同时通过冗余嵌入的方式能够增强稳健性;即在一个区域中嵌入相同信息,提取时根据该区域中的所有像素判断;
将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下:
①读入载体图像,通过读取载体图像大小,判断载体可隐藏的信息量;
②确定载体图像的LSB;
③对载体图像做预处理,将其LSB设置为0;
④将密文信息以ASCII码的形式读入;
⑤在每一个像素的第LSB位上,存储密文信息的一个bit;
⑥生成并存储嵌入密文信息的图像;
读取密文信息的具体步骤:
①读入含有密文信息的图像;
②得到每一个像素点的LSB位;
③由每8个LSB位组成一个ASCII还原密文信息;
3-2基于源认证防篡改的业务数据加密传输
基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验;客户端在每次请求数据时需要预先生成一对公私密钥对,并且将公钥随HTTP请求一同发至服务器端,服务器端将需要返回的数据生成hash值后,用服务器端的私钥进行数字签名,用收到的公钥采用RSA加密所有数据,再通过HTTP响应返回需要传输的数据;手机客户端收到返回的数据后,用手机客户端的私钥进行RSA解密,将密文生成hash值,再用本次会话来自服务器的公钥验证数字签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410587878.XA CN104469767B (zh) | 2014-10-28 | 2014-10-28 | 一套移动办公系统中集成式安全防护子系统的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410587878.XA CN104469767B (zh) | 2014-10-28 | 2014-10-28 | 一套移动办公系统中集成式安全防护子系统的实现方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104469767A CN104469767A (zh) | 2015-03-25 |
| CN104469767B true CN104469767B (zh) | 2017-12-26 |
Family
ID=52914979
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410587878.XA Active CN104469767B (zh) | 2014-10-28 | 2014-10-28 | 一套移动办公系统中集成式安全防护子系统的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104469767B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210226939A1 (en) * | 2019-02-22 | 2021-07-22 | Jumio Corporation | Providing outcome explanation for algorithmic decisions |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104933361A (zh) * | 2015-06-05 | 2015-09-23 | 浪潮电子信息产业股份有限公司 | 一种登录密码的保护装置及方法 |
| CN105989270B (zh) * | 2015-09-25 | 2018-11-30 | 武汉安天信息技术有限责任公司 | 一种基于云计算的安卓平台下的数据库的安全防护方法及系统 |
| US9992193B2 (en) * | 2016-04-19 | 2018-06-05 | Kuang-Yao Lee | High-safety user multi-authentication system and method |
| US10148639B2 (en) * | 2016-05-24 | 2018-12-04 | Microsoft Technology Licensing, Llc | Distinguishing vertical brute force attacks from benign errors |
| CN105871931A (zh) * | 2016-06-21 | 2016-08-17 | 新昌县七星街道明盛模具厂 | 一种云服务终端的安全处理与访问方法 |
| CN107172008B (zh) * | 2017-04-01 | 2019-10-18 | 北京芯盾时代科技有限公司 | 一种在移动设备中进行多系统认证及同步的系统和方法 |
| CN108875470B (zh) * | 2017-06-19 | 2021-06-22 | 北京旷视科技有限公司 | 对访客进行登记的方法、装置及计算机存储介质 |
| CN108494734B (zh) * | 2018-02-13 | 2020-11-17 | 杭州电子科技大学 | 一种基于sdk的安全移动办公方法 |
| CN108595989B (zh) * | 2018-03-15 | 2020-06-30 | 杭州电子科技大学 | 一种iOS下移动APP安全防护系统及方法 |
| CN108537028A (zh) * | 2018-04-17 | 2018-09-14 | 西安电子科技大学 | 一种计算机身份识别系统及方法 |
| CN108768941B (zh) * | 2018-04-19 | 2021-08-31 | 北京信安世纪科技股份有限公司 | 一种远程解锁安全设备的方法及装置 |
| CN108989346B (zh) * | 2018-08-30 | 2021-03-16 | 上海同态信息科技有限责任公司 | 基于账号隐匿的第三方有效身份托管敏捷认证访问方法 |
| CN109359448B (zh) * | 2018-10-16 | 2021-05-07 | 广州伊的家网络科技有限公司 | 互联网移动终端安全办公系统 |
| CN109829273B (zh) * | 2019-02-19 | 2021-04-30 | 杭州数梦工场科技有限公司 | 一种身份认证方法、装置、系统、设备及可读存储介质 |
| CN109947509A (zh) * | 2019-03-14 | 2019-06-28 | 弗徕威智能机器人科技(上海)有限公司 | 一种操作界面管理系统及方法 |
| CN110611719B (zh) * | 2019-10-16 | 2022-04-19 | 四川虹美智能科技有限公司 | 一种消息推送方法、服务器和系统 |
| CN110868417A (zh) * | 2019-11-18 | 2020-03-06 | 南京邮电大学 | 网络管理系统及网络管理方法 |
| CN111666570A (zh) * | 2020-04-24 | 2020-09-15 | 宁夏凯信特信息科技有限公司 | KXTScan漏洞扫描工具 |
| CN113672890A (zh) * | 2020-05-15 | 2021-11-19 | 中移(上海)信息通信科技有限公司 | 身份认证方法、装置、电子设备及计算机存储介质 |
| CN112149095B (zh) * | 2020-10-26 | 2021-06-29 | 上海松鼠课堂人工智能科技有限公司 | 学生数据安全治理方法和系统 |
| CN112699355A (zh) * | 2020-12-22 | 2021-04-23 | 湖南麒麟信安科技股份有限公司 | 一种用户与主机解耦的动态人脸认证方法及系统 |
| CN112671795A (zh) * | 2020-12-30 | 2021-04-16 | 南方电网深圳数字电网研究院有限公司 | 基于即时通讯的安全防护方法、装置、系统及存储介质 |
| CN112671799A (zh) * | 2021-01-08 | 2021-04-16 | 国网安徽省电力有限公司信息通信分公司 | 一种电力信息内网的安全防护方法及装置 |
| CN114422182B (zh) * | 2021-12-13 | 2024-01-16 | 以萨技术股份有限公司 | 一种统一身份管理平台 |
| CN117235694A (zh) * | 2023-09-14 | 2023-12-15 | 黑龙江都越科技有限公司 | 基于人脸识别大数据的登录系统及方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394284A (zh) * | 2008-11-13 | 2009-03-25 | 四川长虹电器股份有限公司 | 一次性口令认证方法 |
| CN102819918A (zh) * | 2012-07-17 | 2012-12-12 | 苏州市米想网络信息技术有限公司 | 一种采用多重安全认证的支付系统 |
| CN103297398A (zh) * | 2012-03-01 | 2013-09-11 | 董建飞 | 提高智能信息设备安全性的方法和系统 |
| CN103761600A (zh) * | 2013-12-30 | 2014-04-30 | 武汉烽火信息集成技术有限公司 | 一种电子政务综合应用平台及方法 |
| CN104023085A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于增量同步的安全云存储系统 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100378586B1 (ko) * | 2001-08-29 | 2003-04-03 | 테커스 (주) | 엑티브엑스 기반의 키보드 해킹 방지 방법 및 장치 |
-
2014
- 2014-10-28 CN CN201410587878.XA patent/CN104469767B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101394284A (zh) * | 2008-11-13 | 2009-03-25 | 四川长虹电器股份有限公司 | 一次性口令认证方法 |
| CN103297398A (zh) * | 2012-03-01 | 2013-09-11 | 董建飞 | 提高智能信息设备安全性的方法和系统 |
| CN102819918A (zh) * | 2012-07-17 | 2012-12-12 | 苏州市米想网络信息技术有限公司 | 一种采用多重安全认证的支付系统 |
| CN103761600A (zh) * | 2013-12-30 | 2014-04-30 | 武汉烽火信息集成技术有限公司 | 一种电子政务综合应用平台及方法 |
| CN104023085A (zh) * | 2014-06-25 | 2014-09-03 | 武汉大学 | 一种基于增量同步的安全云存储系统 |
Non-Patent Citations (2)
| Title |
|---|
| 移动办公在发电企业中的研究和应用;刘铮等;《电信科学》;20131130(第11期);第115-121页 * |
| 等级保护设计要求下的移动业务系统安全防御体系;马帅;《保密科学技术》;20120131(第1期);第24-28页 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210226939A1 (en) * | 2019-02-22 | 2021-07-22 | Jumio Corporation | Providing outcome explanation for algorithmic decisions |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104469767A (zh) | 2015-03-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104469767B (zh) | 一套移动办公系统中集成式安全防护子系统的实现方法 | |
| Huang et al. | Using one-time passwords to prevent password phishing attacks | |
| US8132020B2 (en) | System and method for user authentication with exposed and hidden keys | |
| CN108418691A (zh) | 基于sgx的动态网络身份认证方法 | |
| CN102685110B (zh) | 一种基于指纹特征的通用用户注册认证方法及系统 | |
| CN104363097B (zh) | 椭圆曲线上轻量级的rfid相互认证方法 | |
| Aravindhan et al. | One time password: A survey | |
| US20140258718A1 (en) | Method and system for secure transmission of biometric data | |
| CN105187382A (zh) | 防止撞库攻击的多因子身份认证方法 | |
| CN101667917B (zh) | 一种动态口令输入规则 | |
| WO2008053279A1 (en) | Logging on a user device to a server | |
| Henricks et al. | On data protection using multi-factor authentication | |
| Park et al. | An enhanced smartphone security model based on information security management system (ISMS) | |
| Zhao et al. | Explicit authentication response considered harmful | |
| CN109740319B (zh) | 数字身份验证方法及服务器 | |
| CN108667801A (zh) | 一种物联网接入身份安全认证方法及系统 | |
| Mandlekar et al. | Survey on fog computing mitigating data theft attacks in cloud | |
| Prabha et al. | A review of cyber security in cryptography: Services, attacks, and key approach | |
| Raddum et al. | Security analysis of mobile phones used as OTP generators | |
| Hartung et al. | Biometric transaction authentication protocol | |
| Xie et al. | VOAuth: A solution to protect OAuth against phishing | |
| Mohamed et al. | A novel watermarking technique in data transmission between QR codes and database | |
| He et al. | Cryptanalysis of a smartcard-based user authentication scheme for multi-server environments | |
| CN106161390A (zh) | 互联网敏感信息加密技术 | |
| Maddipati | Implementation of Captcha as Graphical Passwords For Multi Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB03 | Change of inventor or designer information |
Inventor after: Zhang Chenghao Inventor after: Lv Qiuyun Inventor after: Sang Yongxuan Inventor after: Wang Qiuhua Inventor after: Yang Baoshan Inventor after: Jin Du Inventor after: Ma Zhichao Inventor before: Lv Qiuyun Inventor before: Zhang Chenghao Inventor before: Wang Qiuhua Inventor before: Yang Baoshan Inventor before: Jin Du Inventor before: Ma Zhichao |
|
| COR | Change of bibliographic data | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191011 Address after: 310000 Room 408, building 2, yunshuiyuan, Hangzhou Economic and Technological Development Zone, Hangzhou City, Zhejiang Province Patentee after: Hangzhou Anxin Lixing Network Technology Co.,Ltd. Address before: Hangzhou City, Zhejiang province 310018 Xiasha Higher Education Park No. 2 street Patentee before: HANGZHOU DIANZI University |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20240219 Address after: 22-D, Aihua New Taizhou Building, No. 18 Aihua Road, Jiaojiang District, Taizhou City, Zhejiang Province, 317700 (self declared) Patentee after: Taizhou Big Data Development Co.,Ltd. Country or region after: China Address before: 310000, Room 408, Building 2, Yunshuiyuan, Hangzhou Economic and Technological Development Zone, Hangzhou City, Zhejiang Province Patentee before: Hangzhou Anxin Lixing Network Technology Co.,Ltd. Country or region before: China |