CN104639528A - 一种dba移动客户端反攻击方法及装置 - Google Patents

一种dba移动客户端反攻击方法及装置 Download PDF

Info

Publication number
CN104639528A
CN104639528A CN201410663806.9A CN201410663806A CN104639528A CN 104639528 A CN104639528 A CN 104639528A CN 201410663806 A CN201410663806 A CN 201410663806A CN 104639528 A CN104639528 A CN 104639528A
Authority
CN
China
Prior art keywords
dba
kinds
mobile client
user
fingerprint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201410663806.9A
Other languages
English (en)
Inventor
刘镝
张云勇
张尼
王笑帝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN201410663806.9A priority Critical patent/CN104639528A/zh
Publication of CN104639528A publication Critical patent/CN104639528A/zh
Pending legal-status Critical Current

Links

Abstract

本发明公开了一种DBA移动客户端反攻击方法及装置,包括获取DBA用户的两种生物特征模板向量;对获得的两种生物特征向量进行特征级融合处理,生成两特征融合模板加密密钥;利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密码进行加密。本发明的特征融合模板加密密钥是在云数据库管理机房中,DBA用户使用DBA移动客户端与注册系统协商生成的,不通过网络信道传输,因此,中间人代理服务器不可能同时具备DBA用户的指纹、声纹特征以及融合后的特征融合模板加密密钥;而且,特征融合模板加密密钥的空间很大,不可能破解得出整个密钥具体信息。通过本发明的DBA移动客户端反攻击方法,实现了DBA用户个人隐私信息的有效保护。

Description

一种DBA移动客户端反攻击方法及装置
技术领域
[0001] 本发明涉及声纹特征识别技术,尤指一种云平台数据库管理员(DBA,Database Administrator)移动客户端反攻击方法及装置。
背景技术
[0002] 随着云计算技术的不断演进,大量云平台不断涌现,如亚马逊(Amazon)的AWS,国 内的阿里云,沃云等平台。这些云平台的强大的计算能力已经被广泛地用于国民生产领域, 如12306火车票订票网站、阿里巴巴的淘宝平台等。这些云平台将海量的用户数据存储于 云平台的数据库区。
[0003] 云平台的数据量极大,这无形中加重了云平台数据库管理员(DBA,Database Administrator)的管理、维护负担。而且,用于存放云平台的基于互联网的数据中心(IDC, InternetDataCenter)的地理位置通常与DBA的办公区所在地具有一定的物理距离。为 了更为方便地维护、管理云平台数据库,云平台DBA往往采取将数据库管理系统映射到公 网上的方式,通过公网IP登入该地址,进行云平台数据库的管理、运维工作。但是,这种管 理方法存在两方面缺陷:一方面,黑客可通过公网IP地址攻击数据库管理系统,例如向该 IP地址发起分布式拒绝服务(DDoS,DistributedDenialofService)攻击,导致整个云平 台数据库区,乃至整个云平台门户瘫痪;另一方面,由于云平台数据库承载着大量的数据, 需要DBA时刻关注数据库态势,出于安全考虑,当DBA人员不在办公区域内时,无法通过办 公区域内的PC终端实时登录访问数据库管理系统,从而不能对数据库进行实时维护控制。
[0004] 针对以上两点缺陷,目前业内已经考虑设计一种为DBA深度定制的移动客户端系 统。由于是远程客户端登录,保障DBA安全登录尤为重要。虽然开发商普遍采用以安全为 目标的HTTP通道(HTTPS,HyperTextTransferProtocoloverSecureSocketLayer,也 称HTTP的安全版)等网络传输加密协议对移动客户端至IDC中的后台云数据库管理服务 器之间的链路进行加密。但是,如果黑客发起中间人攻击,如中间人代理攻击方式,现有网 络加密协议并不能保护DBA客户端输入的明文密码,也就是说这种方式仍然不能确保DBA 在使用客户端过程中,密码不被黑客所窃取。其中,中间人代理攻击方式为:黑客在互联网 中部署一台中间人代理服务器,该中间人代理服务器可分别与DBA移动客户端、后台云数 据库管理服务器建立两端单独的网络加密传输链路。使得后台云数据库管理服务器误认为 中间人代理服务器即为DBA移动客户端,并与之正常交互。而DBA移动客户端误认为中间 人代理服务器即为后台云数据库管理服务器,并与之实现正常交互。这样,中间人代理服务 器通过获取的移动客户端生成密钥解密网络流量内容,从中获取DBA用户明文密码,最终 造成用户信息泄露的严重局面。
[0005] 如果采用业内传统的密钥加密手段对用户登录输入的密码进行加密,也就是说, 在DBA移动客户端与后台云数据库管理服务器之间建立HTTPS之后,再建立一套新的证书 (公钥)远程交换协商机制。那么,这套机制同样面临着中间人代理服务器攻击,中间人代 理服务器还是会采用同样的方式破解密钥,从而获取用户名、密码。
[0006] 综上所述,目前的DBA移动客户端反攻击方案中,不能防止中间人代理攻击,从而 不能达到保证用户信息安全的目的。
发明内容
[0007] 为了解决上述技术问题,本发明提供了一种DBA移动客户端反攻击方法及装置, 能够有效防止中间人代理攻击,从而达到保证用户信息安全的目的。
[0008] 为了达到本发明目的,本发明提供了一种云平台数据库管理员DBA移动客户端反 攻击方法,包括:获取DBA用户的两种生物特征模板向量;
[0009] 对获得的两种生物特征向量进行特征级融合处理,生成两特征融合模板加密密 钥;
[0010] 利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密码进行加密。
[0011] 所述获取DBA用户的两种生物特征模板向量包括:
[0012] 通过生物样本注册系统录入两种生物样本;根据预先设置的特征提取算法提取两 种生物样本的生物特征模板向量。
[0013] 所述两种生物样本为声纹样本,及指纹样本;
[0014] 所述两种生物样本的生物特征模板向量为声纹特征模板向量、指纹关键点模板向 量。
[0015] 所述生成两特征融合模板加密密钥包括:
[0016] 对所述两种生物样本对应的特征模板向量进行特征级拼接融合;
[0017] 根据用户设置的密码的位数,及所述声纹特征模板向量和指纹关键点模板向量, 获取两特征融合模板加密密钥。
[0018] 对于所述两种生物样本中的指纹样本,所述获取生物特征模板向量包括:
[0019]针对预设数量nfingOT张指纹样本,先按照下式提取出每张指纹交叉点的坐标Fi,其 中,i- 1 …nfinger:
Figure CN104639528AD00051
[0020] .其 , 中,nfingOTfeature为第i个指纹图像上的交叉点的个数,且假设每张指纹图像具备相等个数的 父叉点,均为nfingeJrfeatmre个;
[0021] 将上式中的每个二元组中横坐标、纵坐标的数值相加求平均,得到下式所示的一 维向量:
[0022]
Figure CN104639528AD00052
[0023]最终得到下式所示的nfingOT张指纹交叉点的矩阵作为所示指纹关键点模板向量 ^template*
[0024]
Figure CN104639528AD00061
[0025] 本发明还公开了一种DBA移动客户端反攻击装置,设置在云数据库管理机房中, 至少包括获取单元、融合单元,以及加密单元;其中,
[0026] 获取单元,用于获取DBA用户的两种生物特征模板向量;
[0027] 融合单元,用于对获得的两种生物特征向量进行特征级融合处理,生成两特征融 合模板加密密钥;
[0028] 加密单元,用于利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密 码进行加密。
[0029] 所述获取单元具体包括采集模块,以及处理模块;其中,
[0030]采集模块,用于通过生物样本注册系统的MIC和指纹采集器,录入声纹样本和指 纹样本两种生物样本;
[0031] 处理模块,用于按照预先设置的特征提取算法,对采集到的声纹样本和指纹样本 获取两种生物样本提取特征,获得声纹特征模板向量和指纹关键点模板向量两种生物特征 模板向量。
[0032] 所述融合单元,具体用于对所述两种生物样本对应的特征模板向量进行特征级拼 接融合;根据用户设置的密码的位数,及所述声纹特征模板向量和指纹关键点模板向量,获 取两特征融合模板加密密钥。
[0033] 与现有技术相比,本发明包括获取DBA用户的两种生物特征模板向量;对获得的 两种生物特征向量进行特征级融合处理,生成两特征融合模板加密密钥;利用生成的两特 征融合模板加密密钥对DBA用户登录时输入的密码进行加密。本发明提供的DBA移动客户 端反攻击方法,由于特征融合模板加密密钥是在云数据库管理机房中,DBA用户使用DBA移 动客户端与注册系统协商生成的,不通过网络信道传输,因此,中间人代理服务器不可能同 时具备DBA用户的指纹、声纹特征以及融合后的特征融合模板加密密钥,因此,中间代理人 服务器仅能获得加密后的密码密文(即唯密文攻击场景),而且,特征融合模板加密密钥的 空间很大,不可能破解得出整个密钥具体信息。因此,中间代理人服务器是不能破解得到 DBA密码明文的,也就是说,通过本发明的DBA移动客户端反攻击方法,实现了DBA用户个人 隐私信息的有效保护。
[0034] 本发明的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变 得显而易见,或者通过实施本发明而了解。本发明的目的和其他优点可通过在说明书、权利 要求书以及附图中所特别指出的结构来实现和获得。
附图说明
[0035] 附图用来提供对本发明技术方案的进一步理解,并且构成说明书的一部分,与本 申请的实施例一起用于解释本发明的技术方案,并不构成对本发明技术方案的限制。
[0036] 图1为本发明DBA移动客户端反攻击方法的流程图;
[0037] 图2为本发明DBA移动客户端反攻击装置的组成结构示意图;
[0038] 图3为本发明DBA移动客户端反攻击方法的实施例的流程示意图。
具体实施方式
[0039] 为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可以相互任意组合。
[0040] 在附图的流程图示出的步骤可以在诸如一组计算机可执行指令的计算机系统中 执行。并且,虽然在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于此处的顺 序执行所示出或描述的步骤。
[0041] 生物模板加密技术,是利用具有唯一性的人体生物特征作为密钥,如指纹、面部、 声音等,本申请发明人考虑,利用生物模板加密技术对DBA移动客户端用户登录时输入的 密码进行加密。由于中间代理服务器不具备用户的真实生物特征。因此,在唯密文攻击即 仅有加密后的用户密码,无生物模板密钥、无相关先前被破解的用户名密码明文的情况下, 中间人代理服务器很难破解出用户真实密码。因此,比传统的密钥加密方式更为安全。
[0042] 生物模板加密技术具备较好的安全性,在普通环境下,可以实现用户的安全登录。 但是,本申请发明人发现,在云数据库DBA移动客户端环境下,需要考虑到底使用哪种适当 的生物样本对DBA移动客户端的身份信息进行加密保护:
[0043] 如果采用面部图像进行身份认证,在手机采集到用户登录面部图像样本存在发型 服饰改变、遮蔽、复杂背景等时,会造成采集时出现的误差;
[0044] 如果采用虹膜进行身份认证,保密性同样存在问题,例如隐藏的图像采集装置可 能会盗拍用户的虹膜;而且,由于虹膜识别一般采集虹膜红外图像,用户接受度低,在采集 过程中DBA用户会担心自己的眼部受到伤害;
[0045] 如果采用指纹图像进行身份认证,指纹识别作为一种成熟的生物认证手段,其精 度、稳定性均已被业内广泛接受,但是,指纹识别的保密性存在一定问题,比如,攻击者可能 从用户摸过的杯子等物品盗窃用户指纹,从而假冒真实身份强行登录;
[0046] 如果采用声纹识别则是一种比较理想的选择。声纹采集器价格低廉,如手机上的 麦克风(MIC)。针对生物特征被盗取问题,如果攻击者盗录了某次用户的话语录音,系统在 登录验证时,可规定测试话语内容,从而避免攻击者利用盗录录音仿冒身份录音。但是,发 明人发现,传统的单模态声纹认证算法还是存在一些缺陷,主要包括:单一的声纹特征提取 方式会造成系统性能下降。利用单一特征提取方法采集的特征向量,不能完全代表原始生 物样本的特点,即不能完全反映出其可分性信息discriminatoryinformation),从而导 致了系统加解密时识别精度的下降。
[0047] 为了克服以上问题,信息融合思想即两种或多种生物特征认证融合技术被引入声 纹特征识别领域中。以两种生物特征融合为例,该技术可以采用两种不同的传感器如MIC 与指纹采集器,分别采集到的两种不同的生物特征信号即用户话语录音与指纹,并利用两 种不同的特征提取算法提取两种不同的特征向量,再利用一定的融合方式,如特征级融合 方案,将这些提取的特征进行拼接融合,最后,通过融合后的可分性信息作为识别个人身份 的关键特征,使得系统更好地实现对DBA移动客户端的用户密码的加密保护功能。
[0048] 图1为本发明DBA移动客户端反攻击方法的流程图,如图1所示,包括以下步骤:
[0049] 步骤100 :获取DBA用户的两种生物特征模板向量。具体包括:
[0050] 首先,待注册的DBA用户可以通过生物样本注册系统录入两种生物样本,比如:根 据语音提示内容,DBA用户通过注册系统的MIC录入长约3-5分钟的规定内容的语音信息 作为声纹样本;通过注册系统的指纹采集器,采集预设数量nfing"如50张的DBA用户的指 纹图像信息作为指纹样本。
[0051] 然后,获取两种生物样本的生物特征模板向量,即指纹关键点模板向量at"pl&与 声纹特征模板向量bt"plate。具体地,生物样本注册系统可以针对注册的DBA用户的两种不同 生物样本即指纹与声纹,根据预先设置的特征提取算法提出相应的生物特征模板向量。举 例来看:
[0052] 比如,针对预设数量nfingOT张指纹样本,先按照公式(1)提取出每张指纹交叉点的 坐标Fp其中,i= 1…nfingOT:
[0053]
Figure CN104639528AD00081
(1)
[0054] 在公式⑴中,nfing"fMt_为第i个指纹图像上的交叉点的个数,为方便运算,可假 设每张指纹图像具备相等个数的交叉点,均为nfingOTfeatUM个。
[0055] 再将以上每个二元组中横坐标、纵坐标的数值相加求平均,即变为如公式(2)所 示的一维向量F/ :
Figure CN104639528AD00082
[0056] (2)
[0057] 那么,最终可以得到如公式(3)所示的nfing"张指纹交叉点的矩阵F即指纹关键点 模板向量atraiplate;:
Figure CN104639528AD00083
(3)
[0059] 针对DBA用户注册录入的声纹样本,注册系统可以利用业内常用的MFCC特征提取 算法提取MFCC特征E即声纹特征模板向量btMplate,如公式⑷所示:
[0060] (4)
[0061] 在公式⑷中,neffieient为第j帧语音信号片段对应的MFCC系数,如公式⑷所示, 共有nFMJi贞语音信号片段。
[0062] 本步骤中,DBA用户通过注册系统输入新创建的密码,系统自动识别密码位数 为nc;iph",这里,一般用户设置的密码不会超过20位。因此,密码位数远小于指纹图像个 数与声纹帧数的和、小于指纹向量元素个数,也小于声纹特征向量元素个数,也就是说:
Figure CN104639528AD00091
[0063] 步骤101 :对获得的两种生物特征向量进行特征级融合处理,生成两特征融合模 板加密密钥。
[0064] 本步骤具体包括:将两种生物样本对应的特征模板向量进行特征级拼接融合,且 系统根据用户设置的登录的密码的位数,最终得到nc;iphOTxnc;iphJ|度矩阵k即两特征 融合模板加密密钥,如公式(5)所示:
Figure CN104639528AD00092
[0066] 其中,特征级拼接融合属于现有技术,即将两种不同生物特征向量(维度相同)融 合到一起,生成新的融合后的向量,如公式(5)所示,其具体实现过程并不用于限定本发 明的保护范围,这里不再赘述。
[0067] 根据密码学理论,密码体制中需要选择一种加密密钥,且用户获取加密密钥必须 处于完全安全的环境下。目前有两种方式用户获取加密密钥:一种是,加密方与解密方在同 一地点协商密钥;另一种是,使用安全信道传输密钥。由于云数据库管理移动客户端属于专 业深度定制客户端,安全级别较高。因此,本发明采用加密方与解密方在同一地点协商密钥 的方式来获取加密秘钥。这样,就要求DBA用户在云数据库管理机房内,制作专属自己的上 述两生物特征融合模板加密密钥。
[0068] 本发明中,DBA远程管理客户端注册系统可以通过USB接驳将生成的两特征融合 模板加密密钥传至客户端并存储,同时,将生成的两特征融合模板加密密钥发送至云数据 库管理服务器对应的用户数据库并保存。其中,USB接驳是指通过USB接口,一端是DBA远 程管理客户端注册系统(备有USB插口),另一端是用户手机。例如,安卓手机数据充电线。
[0069] 步骤102 :利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密码进 行加密。
[0070] 本步骤的具体实现属于本领域技术人员的惯用技术手段,并不用于限定本发明的 保护范围,这里不再赘述。
[0071] 本发明提供的DBA移动客户端反攻击方法中,由于特征融合模板加密密钥是在云 数据库管理机房中,DBA用户使用DBA移动客户端与注册系统协商生成的,不通过网络信道 传输,因此,中间人代理服务器不可能同时具备DBA用户的指纹、声纹特征以及融合后的特 征融合模板加密密钥,因此,中间代理人服务器仅能获得加密后的密码密文(即唯密文攻 击场景),而且,特征融合模板加密密钥的空间很大,不可能破解得出整个密钥具体信息。因 此,中间代理人服务器是不能破解得到DBA密码明文的,也就是说,通过本发明的DBA移动 客户端反攻击方法,实现了DBA用户个人隐私信息的有效保护。
[0072] 需要说明的是,由于指纹和声纹两种生物特征好采集且采集器成本低、通用,因 此,从实际应用角度出发,本发明采用两种生物特征向量融合,即选取指纹、声纹特征向量 进行特征融合,得到融合特征向量,再生成两特征模板生物密钥。但是,对于三种或三种以 上的生物特征融合情况,理论上也是可行的,即将三种生物特征对应的特征向量进行融合, 得到融合后的向量生成三特征模板生物密钥。比如再增加面部图像、虹膜以及相关采集器 等,在本发明提供的发明思想的基础上,对于本领域技术人员是具有技术启示的,而且对于 本领域技术人员来讲,也是不难实现的,因此,应属于本发明的保护范围。
[0073] 图2为本发明DBA移动客户端反攻击装置的组成结构示意图,本发明DBA移动客 户端反攻击装置设置在云数据库管理机房中,如图2所示,至少包括获取单元、融合单元, 以及加密单元;其中,
[0074] 获取单元,用于获取DBA用户的两种生物特征模板向量;
[0075] 融合单元,用于对获得的两种生物特征向量进行特征级融合处理,生成两特征融 合模板加密密钥;
[0076] 加密单元,用于利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密 码进行加密。
[0077] 其中,获取单元具体包括采集模块,以及处理模块;具体地:
[0078] 采集模块,用于通过生物样本注册系统的MIC和指纹采集器,录入声纹样本和指 纹样本两种生物样本;
[0079] 处理模块,用于按照预先设置的特征提取算法,对采集到的声纹样本和指纹样本 获取两种生物样本提取特征,获得声纹特征模板向量和指纹关键点模板向量两种生物特征 模板向量。
[0080] 其中,融合单元具体用于:对两种生物样本对应的特征模板向量进行特征级拼接 融合;根据用户设置的密码的位数,及声纹特征模板向量和指纹关键点模板向量,获取两特 征融合模板加密密钥。
[0081] 图3为本发明DBA移动客户端反攻击方法的实施例的流程示意图,图3所示的实 施例描述了DBA用户登录时,对输入密码加密、后台云平台管理服务器解密,以及当黑客发 起中间人攻击,利用本发明的两特征融合模板加密密钥进行加密来保护用户登录时输入的 密码,以成功避开中间人代理服务器的窃取密码的过程,如图3所示,包括以下步骤:
[0082] 步骤300:DBA用户使用DBA移动客户端发起接入云数据库管理服务器的请求。
[0083] 步骤301 :中间人代理服务器发起拦截攻击,拦截到DBA发送的请求后,向DBA移 动客户端返回响应,在响应中携带有中间人代理服务器的公钥。
[0084] 步骤302~步骤303 :移动DBA客户端内部验证中间人代理服务器发送的公钥,并 在验证成功后,随机生成新公钥。
[0085] 步骤304:DBA移动客户端利用中间人代理服务器的公钥加密新公钥。
[0086] 步骤305:DBA移动客户端传输加密后的新公钥至中间人代理服务器。
[0087] 步骤306 :中间人代理服务器利用其自身的公钥对收到的加密后的新公钥进行解 密,获取DBA移动客户端新生成的新公钥。
[0088] 步骤307 :中间人代理服务器发送响应反馈信息,并采用新公钥加密。
[0089] 步骤308 :中间人代理服务器与DBA移动客户端建立加密信道,向DBA移动客户端 反馈交互信息。
[0090] 步骤309 :至此,DBA移动客户端与中间人代理服务器之间利用新公钥加密解密交 互数据。
[0091] 步骤310 :中间人代理服务器发起接入云数据库管理服务器的请求。
[0092] 步骤311 :云数据库管理服务器向中间人代理服务器返回响应,在响应中携带有 云数据库管理服务器公钥。
[0093] 步骤312~步骤313 :中间人代理服务器验证云数据库管理服务器公钥可用性,并 在云数据库管理服务器公钥可用时,随机生成一个新公钥。
[0094] 步骤314 :中间人代理服务器利用云数据库管理服务器公钥加密随机生成的新公 钥。
[0095] 步骤315 :中间人代理服务器向云数据库管理服务器传输加密后的新公钥。
[0096] 步骤316 :云数据库管理服务器利用自身公钥解密获得的来自中间人代理服务器 的加密后的新公钥。
[0097] 步骤317 :云数据库管理服务器反馈响应信息,并采用新公钥加密。
[0098] 步骤318~步骤319 :至此,中间人代理服务器与云数据库管理服务器之间建立起 加密信道,向中间人代理服务器反馈交互信息;
[0099] 步骤320 :云数据库管理DBA移动客户端,当DBA用户登录输入密码时,利用在注 册过程中获取的两特征融合生物模板特征向量作为加密密钥k,加密传输输入的用户密码 信息,具体加密过程如下:
[0100] 首先,DBA移动客户端利用预先设置的密码置换表,如表1所示,对DBA用户输入 的用户密码明文进行置换,得到置换后的密码置换向量。
[0101] L1N丄A p/J 3/丄丄JM
Figure CN104639528AD00121
[0102] 表 1
[0103] 举例来看,比如用户登录DBA移动客户端时输入的密码为:Asdl2345,则根据 表1置换后得到的向量为(1,45, 30, 53, 54, 55, 56, 57)。这里,DBA用户输入密码明文对 应的码表向量采用a= (ai,a2,…,aj表示,利用两生物特征模块加密后的密文采用s= (Sl,s2,…,sm)表示,两生物特征融合模板加密密钥采用
Figure CN104639528AD00122
g示, 那么,利用两生物特征模块加密后的密文s如公式(6)所示:
[0104]
Figure CN104639528AD00123
(6)
[0105] 将注册过程中生成的两生物特征融合模板加密密钥,如式(5)代入上公式(6)中, 得到公式(7):
[0106]
Figure CN104639528AD00131
[0107] 步骤321 :由于中间人代理服务器没有DBA用户的指纹特征向量、声纹特征向量, 且处于唯密文攻击场景下,因此,中间人代理服务器是不能破解两特征融合生物模板特征 向量加密密钥的,从而无法获取用户的加密密码,只能将加密后的密码传输至云数据库管 理服务器。
[0108] 步骤322 :云数据库管理服务器利用用户注册时获得的两生物融合特征向量加密 秘钥对加密传输的DBA用户输入的用户密码信息进行解密,具体解密过程如下:
[0109] 云数据库管理服务器获取利用两生物特征模板密钥加密后的用户输入密码密文 s= (Sl,s2,…,sm)后,利用对应用户数据库内存储的DBA用户对应的两生物特征模板密钥 对密文对其进行解密,将s=a•k公式改写后得到公式(8):
[0110] a=s•kT1 (8)
[0111] 在公式(8)中,f1表示加密密钥k的逆矩阵,将公式(8)展开后得到如下公式 (9):
[0112]
Figure CN104639528AD00141
[0113] 利用公式(9),可以获得DBA用户输入的密码对应的码表数字,再通过表1对a进 行转换,最终转换为真实密码,最后利用得到的真实密码与对应的用户名进行登录验证,以 完成登录过程。从图3所示的流程来看,及时中间服务器与云数据库管理服务器之间建立 起了加密信道,但是,由于本发明中DBA用户输入的登录密码是采用DBA用户使用DBA移动 客户端与注册系统在云数据库管理机房协商生成的特征融合模板加密密钥进行加密的,中 间人代理服务器是无法获得DBA用户的指纹特征向量、声纹特征向量的,因此,整个过程确 保了DBA用户密码不被中间人代理服务器窃取。
[0114] 之后,DBA移动客户端与云数据库管理服务器登录交互的安全分析:当DBA用户 在DBA移动客户端上登录输入用户名、密码时,DBA移动客户端利用已获取的特征融合模 板加密密钥对用户输入密码进行加密。虽然中间人代理服务器分别与DBA移动客户端、云 数据库管理服务器建立两段传输加密通道,中间人代理服务器可获取DBA用户名明文信 息,但是,由于中间人服务器不具备注册系统分别利用某种特定算法提取到的生物特征,比 如指纹交叉点坐标与声纹MFCC特征向量融合后的特征融合向量即两生物特征融合模板加 密密钥,因此,中间人服务器仅可获取DBA用户加密后的密码密文,此种情况属于唯密文攻 击场景,在此场景下,由于密文矩阵属于实数矩阵,实数矩阵的每一个元素空间很大R= (1,2, 3,…,z),中间人服务器采用暴力破解(brute-force)方法精确地破解出生物模板加 密密钥的元素值的概率微乎其微。因此,本发明提供的DBA移动客户端反攻击方法,成功地 保护了DBA用户个人隐私,防止了中间人代理服务器窃取、破坏DBA用户信息。进一步放置 了以冒用DBA身份的方式入侵云数据库管理平台的可能。
[0115] 虽然本发明所揭露的实施方式如上,但所述的内容仅为便于理解本发明而采用的 实施方式,并非用以限定本发明。任何本发明所属领域内的技术人员,在不脱离本发明所揭 露的精神和范围的前提下,可以在实施的形式及细节上进行任何的修改与变化,但本发明 的专利保护范围,仍须以所附的权利要求书所界定的范围为准。

Claims (8)

1. 一种云平台数据库管理员DBA移动客户端反攻击方法,其特征在于,包括:获取DBA 用户的两种生物特征模板向量; 对获得的两种生物特征向量进行特征级融合处理,生成两特征融合模板加密密钥; 利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密码进行加密。
2. 根据权利要求1所述的DBA移动客户端反攻击方法,其特征在于,所述获取DBA用户 的两种生物特征模板向量包括: 通过生物样本注册系统录入两种生物样本;根据预先设置的特征提取算法提取两种生 物样本的生物特征模板向量。
3. 根据权利要求2所述的DBA移动客户端反攻击方法,其特征在于,所述两种生物样本 为声纹样本,及指纹样本; 所述两种生物样本的生物特征模板向量为声纹特征模板向量、指纹关键点模板向量。
4. 根据权利要求3所述的DBA移动客户端反攻击方法,其特征在于,所述生成两特征融 合模板加密密钥包括: 对所述两种生物样本对应的特征模板向量进行特征级拼接融合; 根据用户设置的密码的位数,及所述声纹特征模板向量和指纹关键点模板向量,获取 两特征融合模板加密密钥。
5. 根据权利要求1所述的DBA移动客户端反攻击方法,其特征在于,对于所述两种生物 样本中的指纹样本,所述获取生物特征模板向量包括: 针对预设数量nfingOT张指纹样本,先按照下式提取出每张指纹交叉点的坐标F i,其中,i
Figure CN104639528AC00021
其中, nfingerfeatu«为第i个指纹图像上的交叉点的个数,且假设每张指纹图像具备相等个数的交叉 点,均大/ ^fingerfeature I » 将上式中的每个二元组中横坐标、纵坐标的数值相加求平均,得到下式所示的一维向 量:
Figure CN104639528AC00022
最终得到下式所示的nfingOT张指纹交叉点的矩阵作为所示指纹关键点模板向量 ^template*
Figure CN104639528AC00023
6. -种DBA移动客户端反攻击装置,其特征在于,设置在云数据库管理机房中,至少包 括获取单元、融合单元,以及加密单元;其中, 获取单元,用于获取DBA用户的两种生物特征模板向量; 融合单元,用于对获得的两种生物特征向量进行特征级融合处理,生成两特征融合模 板加密密钥; 加密单元,用于利用生成的两特征融合模板加密密钥对DBA用户登录时输入的密码进 行加密。
7. 根据权利要求6所述的DBA移动客户端反攻击装置,其特征在于,所述获取单元具体 包括采集模块,以及处理模块;其中, 采集模块,用于通过生物样本注册系统的MIC和指纹采集器,录入声纹样本和指纹样 本两种生物样本; 处理模块,用于按照预先设置的特征提取算法,对采集到的声纹样本和指纹样本获取 两种生物样本提取特征,获得声纹特征模板向量和指纹关键点模板向量两种生物特征模板 向量。
8. 根据权利要求7所述的DBA移动客户端反攻击装置,其特征在于, 所述融合单元,具体用于对所述两种生物样本对应的特征模板向量进行特征级拼接融 合;根据用户设置的密码的位数,及所述声纹特征模板向量和指纹关键点模板向量,获取两 特征融合模板加密密钥。
CN201410663806.9A 2014-11-19 2014-11-19 一种dba移动客户端反攻击方法及装置 Pending CN104639528A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201410663806.9A CN104639528A (zh) 2014-11-19 2014-11-19 一种dba移动客户端反攻击方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201410663806.9A CN104639528A (zh) 2014-11-19 2014-11-19 一种dba移动客户端反攻击方法及装置

Publications (1)

Publication Number Publication Date
CN104639528A true CN104639528A (zh) 2015-05-20

Family

ID=53217842

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201410663806.9A Pending CN104639528A (zh) 2014-11-19 2014-11-19 一种dba移动客户端反攻击方法及装置

Country Status (1)

Country Link
CN (1) CN104639528A (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681279A (zh) * 2015-12-28 2016-06-15 上海瀚银信息技术有限公司 一种应用数据传输方法及移动终端
CN107517212A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107516026A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107517213A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107979839A (zh) * 2017-11-30 2018-05-01 郑州云海信息技术有限公司 一种增强wap协议安全的方法及系统
CN108076054A (zh) * 2017-11-30 2018-05-25 郑州云海信息技术有限公司 一种增强协议安全的方法和系统

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457527A (zh) * 2011-12-30 2012-05-16 中国联合网络通信集团有限公司 基于生物密钥的单点登录方法、装置和系统
CN102629926A (zh) * 2012-04-06 2012-08-08 上海凯卓信息科技有限公司 基于智能移动终端的加密云存储方法
CN103886235A (zh) * 2014-03-03 2014-06-25 杭州电子科技大学 一种正面人脸图像生物密钥生成方法
CN103973453A (zh) * 2014-05-19 2014-08-06 中国联合网络通信集团有限公司 声纹密钥生成方法、装置及基于声纹密钥登录方法、系统

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102457527A (zh) * 2011-12-30 2012-05-16 中国联合网络通信集团有限公司 基于生物密钥的单点登录方法、装置和系统
CN102629926A (zh) * 2012-04-06 2012-08-08 上海凯卓信息科技有限公司 基于智能移动终端的加密云存储方法
CN103886235A (zh) * 2014-03-03 2014-06-25 杭州电子科技大学 一种正面人脸图像生物密钥生成方法
CN103973453A (zh) * 2014-05-19 2014-08-06 中国联合网络通信集团有限公司 声纹密钥生成方法、装置及基于声纹密钥登录方法、系统

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
刘镝: "说话人识别中信息融合算法的研究", 《博士学位论文》 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105681279A (zh) * 2015-12-28 2016-06-15 上海瀚银信息技术有限公司 一种应用数据传输方法及移动终端
CN107517212A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107516026A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107517213A (zh) * 2017-09-01 2017-12-26 郑州云海信息技术有限公司 指纹识别的方法及其装置
CN107979839A (zh) * 2017-11-30 2018-05-01 郑州云海信息技术有限公司 一种增强wap协议安全的方法及系统
CN108076054A (zh) * 2017-11-30 2018-05-25 郑州云海信息技术有限公司 一种增强协议安全的方法和系统

Similar Documents

Publication Publication Date Title
KR102055116B1 (ko) 데이터 보안 서비스
EP2813961B1 (en) Biometric verification with improved privacy and network performance in client-server networks
CN104639528A (zh) 一种dba移动客户端反攻击方法及装置
US7024562B1 (en) Method for carrying out secure digital signature and a system therefor
CN101442407B (zh) 利用生物特征进行身份认证的方法及系统
CN108833114A (zh) 一种基于区块链的去中心化身份认证系统及方法
CN107733933B (zh) 一种基于生物识别技术的双因子身份认证的方法及系统
US20100332841A1 (en) Authentication Method and System
CN106488452B (zh) 一种结合指纹的移动终端安全接入认证方法
US20200358614A1 (en) Securing Transactions with a Blockchain Network
CN101420301A (zh) 人脸识别身份认证系统
CN103701787A (zh) 一种基于公开密钥算法实现的用户名口令认证方法
CN111447214B (zh) 一种基于指纹识别的公钥密码集中服务的方法
CN108989346A (zh) 基于账号隐匿的第三方有效身份托管敏捷认证访问模式
CN108667801A (zh) 一种物联网接入身份安全认证方法及系统
CN105187382A (zh) 防止撞库攻击的多因子身份认证方法
CN107871081A (zh) 一种计算机信息安全系统
CN106936775A (zh) 一种基于指纹识别的认证方法及系统
ArunPrakash et al. Biometric encoding and biometric authentication (BEBA) protocol for secure cloud in m-commerce environment
Osho et al. AbsoluteSecure: a tri-layered data security system
KR101348079B1 (ko) 휴대단말을 이용한 전자서명 시스템
Boonkrong Methods and threats of authentication
GB2457491A (en) Identifying a remote network user having a password
CN107733936A (zh) 一种移动数据的加密方法
CN112329004A (zh) 一种人脸识别及人脸密码的方法、装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20150520