一種dba移動客戶端反攻擊方法及裝置的制造方法
【技術領域】
[0001] 本發(fā)明涉及聲紋特征識別技術�����,尤指一種云平臺數(shù)據(jù)庫管理員(DBA�,Database Administrator)移動客戶端反攻擊方法及裝置。
【背景技術】
[0002] 隨著云計算技術的不斷演進����,大量云平臺不斷涌現(xiàn),如亞馬遜(Amazon)的AWS����,國 內(nèi)的阿里云,沃云等平臺��。這些云平臺的強大的計算能力已經(jīng)被廣泛地用于國民生產(chǎn)領域, 如12306火車票訂票網(wǎng)站����、阿里巴巴的淘寶平臺等。這些云平臺將海量的用戶數(shù)據(jù)存儲于 云平臺的數(shù)據(jù)庫區(qū)�����。
[0003] 云平臺的數(shù)據(jù)量極大���,這無形中加重了云平臺數(shù)據(jù)庫管理員(DBA��,Database Administrator)的管理��、維護負擔���。而且�,用于存放云平臺的基于互聯(lián)網(wǎng)的數(shù)據(jù)中心(IDC, InternetDataCenter)的地理位置通常與DBA的辦公區(qū)所在地具有一定的物理距離�����。為 了更為方便地維護�����、管理云平臺數(shù)據(jù)庫,云平臺DBA往往采取將數(shù)據(jù)庫管理系統(tǒng)映射到公 網(wǎng)上的方式����,通過公網(wǎng)IP登入該地址,進行云平臺數(shù)據(jù)庫的管理����、運維工作。但是��,這種管 理方法存在兩方面缺陷:一方面�����,黑客可通過公網(wǎng)IP地址攻擊數(shù)據(jù)庫管理系統(tǒng)����,例如向該 IP地址發(fā)起分布式拒絕服務(DDoS,DistributedDenialofService)攻擊����,導致整個云平 臺數(shù)據(jù)庫區(qū),乃至整個云平臺門戶癱瘓��;另一方面,由于云平臺數(shù)據(jù)庫承載著大量的數(shù)據(jù)���, 需要DBA時刻關注數(shù)據(jù)庫態(tài)勢��,出于安全考慮�����,當DBA人員不在辦公區(qū)域內(nèi)時�����,無法通過辦 公區(qū)域內(nèi)的PC終端實時登錄訪問數(shù)據(jù)庫管理系統(tǒng)�,從而不能對數(shù)據(jù)庫進行實時維護控制���。
[0004] 針對以上兩點缺陷����,目前業(yè)內(nèi)已經(jīng)考慮設計一種為DBA深度定制的移動客戶端系 統(tǒng)�。由于是遠程客戶端登錄���,保障DBA安全登錄尤為重要���。雖然開發(fā)商普遍采用以安全為 目標的HTTP通道(HTTPS����,HyperTextTransferProtocoloverSecureSocketLayer��,也 稱HTTP的安全版)等網(wǎng)絡傳輸加密協(xié)議對移動客戶端至IDC中的后臺云數(shù)據(jù)庫管理服務 器之間的鏈路進行加密�。但是,如果黑客發(fā)起中間人攻擊��,如中間人代理攻擊方式�,現(xiàn)有網(wǎng) 絡加密協(xié)議并不能保護DBA客戶端輸入的明文密碼,也就是說這種方式仍然不能確保DBA 在使用客戶端過程中���,密碼不被黑客所竊取�����。其中�����,中間人代理攻擊方式為:黑客在互聯(lián)網(wǎng) 中部署一臺中間人代理服務器�,該中間人代理服務器可分別與DBA移動客戶端���、后臺云數(shù) 據(jù)庫管理服務器建立兩端單獨的網(wǎng)絡加密傳輸鏈路��。使得后臺云數(shù)據(jù)庫管理服務器誤認為 中間人代理服務器即為DBA移動客戶端����,并與之正常交互。而DBA移動客戶端誤認為中間 人代理服務器即為后臺云數(shù)據(jù)庫管理服務器���,并與之實現(xiàn)正常交互����。這樣����,中間人代理服務 器通過獲取的移動客戶端生成密鑰解密網(wǎng)絡流量內(nèi)容,從中獲取DBA用戶明文密碼��,最終 造成用戶信息泄露的嚴重局面��。
[0005] 如果采用業(yè)內(nèi)傳統(tǒng)的密鑰加密手段對用戶登錄輸入的密碼進行加密����,也就是說, 在DBA移動客戶端與后臺云數(shù)據(jù)庫管理服務器之間建立HTTPS之后����,再建立一套新的證書 (公鑰)遠程交換協(xié)商機制。那么���,這套機制同樣面臨著中間人代理服務器攻擊���,中間人代 理服務器還是會采用同樣的方式破解密鑰,從而獲取用戶名����、密碼。
[0006] 綜上所述�����,目前的DBA移動客戶端反攻擊方案中����,不能防止中間人代理攻擊,從而 不能達到保證用戶信息安全的目的�����。
【發(fā)明內(nèi)容】
[0007] 為了解決上述技術問題,本發(fā)明提供了一種DBA移動客戶端反攻擊方法及裝置�����, 能夠有效防止中間人代理攻擊�����,從而達到保證用戶信息安全的目的���。
[0008] 為了達到本發(fā)明目的�����,本發(fā)明提供了一種云平臺數(shù)據(jù)庫管理員DBA移動客戶端反 攻擊方法�,包括:獲取DBA用戶的兩種生物特征模板向量��;
[0009] 對獲得的兩種生物特征向量進行特征級融合處理����,生成兩特征融合模板加密密 鑰;
[0010] 利用生成的兩特征融合模板加密密鑰對DBA用戶登錄時輸入的密碼進行加密���。
[0011] 所述獲取DBA用戶的兩種生物特征模板向量包括:
[0012] 通過生物樣本注冊系統(tǒng)錄入兩種生物樣本��;根據(jù)預先設置的特征提取算法提取兩 種生物樣本的生物特征模板向量�����。
[0013] 所述兩種生物樣本為聲紋樣本���,及指紋樣本;
[0014] 所述兩種生物樣本的生物特征模板向量為聲紋特征模板向量����、指紋關鍵點模板向 量。
[0015] 所述生成兩特征融合模板加密密鑰包括:
[0016] 對所述兩種生物樣本對應的特征模板向量進行特征級拼接融合�����;
[0017] 根據(jù)用戶設置的密碼的位數(shù)����,及所述聲紋特征模板向量和指紋關鍵點模板向量, 獲取兩特征融合模板加密密鑰����。
[0018] 對于所述兩種生物樣本中的指紋樣本,所述獲取生物特征模板向量包括:
[0019]針對預設數(shù)量nfingOT張指紋樣本�����,先按照下式提取出每張指紋交叉點的坐標Fi,其 中�,i- 1 …nfinger:
【主權項】
1. 一種云平臺數(shù)據(jù)庫管理員DBA移動客戶端反攻擊方法,其特征在于�,包括:獲取DBA 用戶的兩種生物特征模板向量; 對獲得的兩種生物特征向量進行特征級融合處理��,生成兩特征融合模板加密密鑰�; 利用生成的兩特征融合模板加密密鑰對DBA用戶登錄時輸入的密碼進行加密。
2. 根據(jù)權利要求1所述的DBA移動客戶端反攻擊方法�����,其特征在于��,所述獲取DBA用戶 的兩種生物特征模板向量包括: 通過生物樣本注冊系統(tǒng)錄入兩種生物樣本��;根據(jù)預先設置的特征提取算法提取兩種生 物樣本的生物特征模板向量����。
3. 根據(jù)權利要求2所述的DBA移動客戶端反攻擊方法,其特征在于���,所述兩種生物樣本 為聲紋樣本�����,及指紋樣本��; 所述兩種生物樣本的生物特征模板向量為聲紋特征模板向量���、指紋關鍵點模板向量�����。
4. 根據(jù)權利要求3所述的DBA移動客戶端反攻擊方法,其特征在于��,所述生成兩特征融 合模板加密密鑰包括: 對所述兩種生物樣本對應的特征模板向量進行特征級拼接融合��; 根據(jù)用戶設置的密碼的位數(shù)����,及所述聲紋特征模板向量和指紋關鍵點模板向量,獲取 兩特征融合模板加密密鑰�����。
5. 根據(jù)權利要求1所述的DBA移動客戶端反攻擊方法���,其特征在于�,對于所述兩種生物 樣本中的指紋樣本,所述獲取生物特征模板向量包括: 針對預設數(shù)量nfingOT張指紋樣本��,先按照下式提取出每張指紋交叉點的坐標F i���,其中����,i
其中���, nfingerfeatu?為第i個指紋圖像上的交叉點的個數(shù)��,且假設每張指紋圖像具備相等個數(shù)的交叉 點�����,均大/ ^fingerfeature I ? 將上式中的每個二元組中橫坐標����、縱坐標的數(shù)值相加求平均�����,得到下式所示的一維向 量:
最終得到下式所示的nfingOT張指紋交叉點的矩陣作為所示指紋關鍵點模板向量 ^template*
6. -種DBA移動客戶端反攻擊裝置,其特征在于�����,設置在云數(shù)據(jù)庫管理機房中��,至少包 括獲取單元���、融合單元�����,以及加密單元;其中����, 獲取單元,用于獲取DBA用戶的兩種生物特征模板向量���; 融合單元���,用于對獲得的兩種生物特征向量進行特征級融合處理,生成兩特征融合模 板加密密鑰�����; 加密單元,用于利用生成的兩特征融合模板加密密鑰對DBA用戶登錄時輸入的密碼進 行加密�����。
7. 根據(jù)權利要求6所述的DBA移動客戶端反攻擊裝置��,其特征在于�,所述獲取單元具體 包括采集模塊,以及處理模塊�����;其中�, 采集模塊,用于通過生物樣本注冊系統(tǒng)的MIC和指紋采集器��,錄入聲紋樣本和指紋樣 本兩種生物樣本����; 處理模塊,用于按照預先設置的特征提取算法��,對采集到的聲紋樣本和指紋樣本獲取 兩種生物樣本提取特征,獲得聲紋特征模板向量和指紋關鍵點模板向量兩種生物特征模板 向量���。
8. 根據(jù)權利要求7所述的DBA移動客戶端反攻擊裝置���,其特征在于, 所述融合單元����,具體用于對所述兩種生物樣本對應的特征模板向量進行特征級拼接融 合;根據(jù)用戶設置的密碼的位數(shù)��,及所述聲紋特征模板向量和指紋關鍵點模板向量���,獲取兩 特征融合模板加密密鑰�。
【專利摘要】本發(fā)明公開了一種DBA移動客戶端反攻擊方法及裝置����,包括獲取DBA用戶的兩種生物特征模板向量����;對獲得的兩種生物特征向量進行特征級融合處理,生成兩特征融合模板加密密鑰�;利用生成的兩特征融合模板加密密鑰對DBA用戶登錄時輸入的密碼進行加密。本發(fā)明的特征融合模板加密密鑰是在云數(shù)據(jù)庫管理機房中��,DBA用戶使用DBA移動客戶端與注冊系統(tǒng)協(xié)商生成的,不通過網(wǎng)絡信道傳輸��,因此�����,中間人代理服務器不可能同時具備DBA用戶的指紋����、聲紋特征以及融合后的特征融合模板加密密鑰;而且��,特征融合模板加密密鑰的空間很大�����,不可能破解得出整個密鑰具體信息���。通過本發(fā)明的DBA移動客戶端反攻擊方法�,實現(xiàn)了DBA用戶個人隱私信息的有效保護��。
【IPC分類】G10L17-08, H04L29-08, H04L29-06
【公開號】CN104639528
【申請?zhí)枴緾N201410663806
【發(fā)明人】劉鏑, 張云勇, 張尼, 王笑帝
【申請人】中國聯(lián)合網(wǎng)絡通信集團有限公司
【公開日】2015年5月20日
【申請日】2014年11月19日