一種dba移動(dòng)客戶端反攻擊方法及裝置的制造方法
【技術(shù)領(lǐng)域】
[0001] 本發(fā)明涉及聲紋特征識(shí)別技術(shù)，尤指一種云平臺(tái)數(shù)據(jù)庫(kù)管理員（DBA，Database Administrator)移動(dòng)客戶端反攻擊方法及裝置。
【背景技術(shù)】
[0002] 隨著云計(jì)算技術(shù)的不斷演進(jìn)，大量云平臺(tái)不斷涌現(xiàn)，如亞馬遜（Amazon)的AWS，國(guó) 內(nèi)的阿里云，沃云等平臺(tái)。這些云平臺(tái)的強(qiáng)大的計(jì)算能力已經(jīng)被廣泛地用于國(guó)民生產(chǎn)領(lǐng)域， 如12306火車票訂票網(wǎng)站、阿里巴巴的淘寶平臺(tái)等。這些云平臺(tái)將海量的用戶數(shù)據(jù)存儲(chǔ)于 云平臺(tái)的數(shù)據(jù)庫(kù)區(qū)。
[0003] 云平臺(tái)的數(shù)據(jù)量極大，這無(wú)形中加重了云平臺(tái)數(shù)據(jù)庫(kù)管理員（DBA，Database Administrator)的管理、維護(hù)負(fù)擔(dān)。而且，用于存放云平臺(tái)的基于互聯(lián)網(wǎng)的數(shù)據(jù)中心（IDC， InternetDataCenter)的地理位置通常與DBA的辦公區(qū)所在地具有一定的物理距離。為 了更為方便地維護(hù)、管理云平臺(tái)數(shù)據(jù)庫(kù)，云平臺(tái)DBA往往采取將數(shù)據(jù)庫(kù)管理系統(tǒng)映射到公 網(wǎng)上的方式，通過(guò)公網(wǎng)IP登入該地址，進(jìn)行云平臺(tái)數(shù)據(jù)庫(kù)的管理、運(yùn)維工作。但是，這種管 理方法存在兩方面缺陷：一方面，黑客可通過(guò)公網(wǎng)IP地址攻擊數(shù)據(jù)庫(kù)管理系統(tǒng)，例如向該 IP地址發(fā)起分布式拒絕服務(wù)（DDoS，DistributedDenialofService)攻擊，導(dǎo)致整個(gè)云平 臺(tái)數(shù)據(jù)庫(kù)區(qū)，乃至整個(gè)云平臺(tái)門戶癱瘓；另一方面，由于云平臺(tái)數(shù)據(jù)庫(kù)承載著大量的數(shù)據(jù)， 需要DBA時(shí)刻關(guān)注數(shù)據(jù)庫(kù)態(tài)勢(shì)，出于安全考慮，當(dāng)DBA人員不在辦公區(qū)域內(nèi)時(shí)，無(wú)法通過(guò)辦 公區(qū)域內(nèi)的PC終端實(shí)時(shí)登錄訪問數(shù)據(jù)庫(kù)管理系統(tǒng)，從而不能對(duì)數(shù)據(jù)庫(kù)進(jìn)行實(shí)時(shí)維護(hù)控制。
[0004] 針對(duì)以上兩點(diǎn)缺陷，目前業(yè)內(nèi)已經(jīng)考慮設(shè)計(jì)一種為DBA深度定制的移動(dòng)客戶端系 統(tǒng)。由于是遠(yuǎn)程客戶端登錄，保障DBA安全登錄尤為重要。雖然開發(fā)商普遍采用以安全為 目標(biāo)的HTTP通道（HTTPS，HyperTextTransferProtocoloverSecureSocketLayer，也 稱HTTP的安全版）等網(wǎng)絡(luò)傳輸加密協(xié)議對(duì)移動(dòng)客戶端至IDC中的后臺(tái)云數(shù)據(jù)庫(kù)管理服務(wù) 器之間的鏈路進(jìn)行加密。但是，如果黑客發(fā)起中間人攻擊，如中間人代理攻擊方式，現(xiàn)有網(wǎng) 絡(luò)加密協(xié)議并不能保護(hù)DBA客戶端輸入的明文密碼，也就是說(shuō)這種方式仍然不能確保DBA 在使用客戶端過(guò)程中，密碼不被黑客所竊取。其中，中間人代理攻擊方式為：黑客在互聯(lián)網(wǎng) 中部署一臺(tái)中間人代理服務(wù)器，該中間人代理服務(wù)器可分別與DBA移動(dòng)客戶端、后臺(tái)云數(shù) 據(jù)庫(kù)管理服務(wù)器建立兩端單獨(dú)的網(wǎng)絡(luò)加密傳輸鏈路。使得后臺(tái)云數(shù)據(jù)庫(kù)管理服務(wù)器誤認(rèn)為 中間人代理服務(wù)器即為DBA移動(dòng)客戶端，并與之正常交互。而DBA移動(dòng)客戶端誤認(rèn)為中間 人代理服務(wù)器即為后臺(tái)云數(shù)據(jù)庫(kù)管理服務(wù)器，并與之實(shí)現(xiàn)正常交互。這樣，中間人代理服務(wù) 器通過(guò)獲取的移動(dòng)客戶端生成密鑰解密網(wǎng)絡(luò)流量?jī)?nèi)容，從中獲取DBA用戶明文密碼，最終 造成用戶信息泄露的嚴(yán)重局面。
[0005] 如果采用業(yè)內(nèi)傳統(tǒng)的密鑰加密手段對(duì)用戶登錄輸入的密碼進(jìn)行加密，也就是說(shuō)， 在DBA移動(dòng)客戶端與后臺(tái)云數(shù)據(jù)庫(kù)管理服務(wù)器之間建立HTTPS之后，再建立一套新的證書 (公鑰）遠(yuǎn)程交換協(xié)商機(jī)制。那么，這套機(jī)制同樣面臨著中間人代理服務(wù)器攻擊，中間人代 理服務(wù)器還是會(huì)采用同樣的方式破解密鑰，從而獲取用戶名、密碼。
[0006] 綜上所述，目前的DBA移動(dòng)客戶端反攻擊方案中，不能防止中間人代理攻擊，從而 不能達(dá)到保證用戶信息安全的目的。

【發(fā)明內(nèi)容】

[0007] 為了解決上述技術(shù)問題，本發(fā)明提供了一種DBA移動(dòng)客戶端反攻擊方法及裝置， 能夠有效防止中間人代理攻擊，從而達(dá)到保證用戶信息安全的目的。
[0008] 為了達(dá)到本發(fā)明目的，本發(fā)明提供了一種云平臺(tái)數(shù)據(jù)庫(kù)管理員DBA移動(dòng)客戶端反 攻擊方法，包括：獲取DBA用戶的兩種生物特征模板向量；
[0009] 對(duì)獲得的兩種生物特征向量進(jìn)行特征級(jí)融合處理，生成兩特征融合模板加密密 鑰；
[0010] 利用生成的兩特征融合模板加密密鑰對(duì)DBA用戶登錄時(shí)輸入的密碼進(jìn)行加密。
[0011] 所述獲取DBA用戶的兩種生物特征模板向量包括：
[0012] 通過(guò)生物樣本注冊(cè)系統(tǒng)錄入兩種生物樣本；根據(jù)預(yù)先設(shè)置的特征提取算法提取兩 種生物樣本的生物特征模板向量。
[0013] 所述兩種生物樣本為聲紋樣本，及指紋樣本；
[0014] 所述兩種生物樣本的生物特征模板向量為聲紋特征模板向量、指紋關(guān)鍵點(diǎn)模板向 量。
[0015] 所述生成兩特征融合模板加密密鑰包括：
[0016] 對(duì)所述兩種生物樣本對(duì)應(yīng)的特征模板向量進(jìn)行特征級(jí)拼接融合；
[0017] 根據(jù)用戶設(shè)置的密碼的位數(shù)，及所述聲紋特征模板向量和指紋關(guān)鍵點(diǎn)模板向量， 獲取兩特征融合模板加密密鑰。
[0018] 對(duì)于所述兩種生物樣本中的指紋樣本，所述獲取生物特征模板向量包括：
[0019]針對(duì)預(yù)設(shè)數(shù)量nfingOT張指紋樣本，先按照下式提取出每張指紋交叉點(diǎn)的坐標(biāo)Fi，其 中，i- 1 …nfinger:
【主權(quán)項(xiàng)】
1. 一種云平臺(tái)數(shù)據(jù)庫(kù)管理員DBA移動(dòng)客戶端反攻擊方法，其特征在于，包括：獲取DBA 用戶的兩種生物特征模板向量； 對(duì)獲得的兩種生物特征向量進(jìn)行特征級(jí)融合處理，生成兩特征融合模板加密密鑰； 利用生成的兩特征融合模板加密密鑰對(duì)DBA用戶登錄時(shí)輸入的密碼進(jìn)行加密。
2. 根據(jù)權(quán)利要求1所述的DBA移動(dòng)客戶端反攻擊方法，其特征在于，所述獲取DBA用戶 的兩種生物特征模板向量包括： 通過(guò)生物樣本注冊(cè)系統(tǒng)錄入兩種生物樣本；根據(jù)預(yù)先設(shè)置的特征提取算法提取兩種生 物樣本的生物特征模板向量。
3. 根據(jù)權(quán)利要求2所述的DBA移動(dòng)客戶端反攻擊方法，其特征在于，所述兩種生物樣本 為聲紋樣本，及指紋樣本； 所述兩種生物樣本的生物特征模板向量為聲紋特征模板向量、指紋關(guān)鍵點(diǎn)模板向量。
4. 根據(jù)權(quán)利要求3所述的DBA移動(dòng)客戶端反攻擊方法，其特征在于，所述生成兩特征融 合模板加密密鑰包括： 對(duì)所述兩種生物樣本對(duì)應(yīng)的特征模板向量進(jìn)行特征級(jí)拼接融合； 根據(jù)用戶設(shè)置的密碼的位數(shù)，及所述聲紋特征模板向量和指紋關(guān)鍵點(diǎn)模板向量，獲取 兩特征融合模板加密密鑰。
5. 根據(jù)權(quán)利要求1所述的DBA移動(dòng)客戶端反攻擊方法，其特征在于，對(duì)于所述兩種生物 樣本中的指紋樣本，所述獲取生物特征模板向量包括： 針對(duì)預(yù)設(shè)數(shù)量nfingOT張指紋樣本，先按照下式提取出每張指紋交叉點(diǎn)的坐標(biāo)F i，其中，i
其中， nfingerfeatu?為第i個(gè)指紋圖像上的交叉點(diǎn)的個(gè)數(shù)，且假設(shè)每張指紋圖像具備相等個(gè)數(shù)的交叉 點(diǎn)，均大/ ^fingerfeature I ? 將上式中的每個(gè)二元組中橫坐標(biāo)、縱坐標(biāo)的數(shù)值相加求平均，得到下式所示的一維向 量：
最終得到下式所示的nfingOT張指紋交叉點(diǎn)的矩陣作為所示指紋關(guān)鍵點(diǎn)模板向量 ^template*
6. -種DBA移動(dòng)客戶端反攻擊裝置，其特征在于，設(shè)置在云數(shù)據(jù)庫(kù)管理機(jī)房中，至少包 括獲取單元、融合單元，以及加密單元；其中， 獲取單元，用于獲取DBA用戶的兩種生物特征模板向量； 融合單元，用于對(duì)獲得的兩種生物特征向量進(jìn)行特征級(jí)融合處理，生成兩特征融合模 板加密密鑰； 加密單元，用于利用生成的兩特征融合模板加密密鑰對(duì)DBA用戶登錄時(shí)輸入的密碼進(jìn) 行加密。
7. 根據(jù)權(quán)利要求6所述的DBA移動(dòng)客戶端反攻擊裝置，其特征在于，所述獲取單元具體 包括采集模塊，以及處理模塊；其中， 采集模塊，用于通過(guò)生物樣本注冊(cè)系統(tǒng)的MIC和指紋采集器，錄入聲紋樣本和指紋樣 本兩種生物樣本； 處理模塊，用于按照預(yù)先設(shè)置的特征提取算法，對(duì)采集到的聲紋樣本和指紋樣本獲取 兩種生物樣本提取特征，獲得聲紋特征模板向量和指紋關(guān)鍵點(diǎn)模板向量?jī)煞N生物特征模板 向量。
8. 根據(jù)權(quán)利要求7所述的DBA移動(dòng)客戶端反攻擊裝置，其特征在于， 所述融合單元，具體用于對(duì)所述兩種生物樣本對(duì)應(yīng)的特征模板向量進(jìn)行特征級(jí)拼接融 合；根據(jù)用戶設(shè)置的密碼的位數(shù)，及所述聲紋特征模板向量和指紋關(guān)鍵點(diǎn)模板向量，獲取兩 特征融合模板加密密鑰。
【專利摘要】本發(fā)明公開了一種DBA移動(dòng)客戶端反攻擊方法及裝置，包括獲取DBA用戶的兩種生物特征模板向量；對(duì)獲得的兩種生物特征向量進(jìn)行特征級(jí)融合處理，生成兩特征融合模板加密密鑰；利用生成的兩特征融合模板加密密鑰對(duì)DBA用戶登錄時(shí)輸入的密碼進(jìn)行加密。本發(fā)明的特征融合模板加密密鑰是在云數(shù)據(jù)庫(kù)管理機(jī)房中，DBA用戶使用DBA移動(dòng)客戶端與注冊(cè)系統(tǒng)協(xié)商生成的，不通過(guò)網(wǎng)絡(luò)信道傳輸，因此，中間人代理服務(wù)器不可能同時(shí)具備DBA用戶的指紋、聲紋特征以及融合后的特征融合模板加密密鑰；而且，特征融合模板加密密鑰的空間很大，不可能破解得出整個(gè)密鑰具體信息。通過(guò)本發(fā)明的DBA移動(dòng)客戶端反攻擊方法，實(shí)現(xiàn)了DBA用戶個(gè)人隱私信息的有效保護(hù)。
【IPC分類】G10L17-08, H04L29-08, H04L29-06
【公開號(hào)】CN104639528
【申請(qǐng)?zhí)枴緾N201410663806
【發(fā)明人】劉鏑, 張?jiān)朴? 張尼, 王笑帝
【申請(qǐng)人】中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司
【公開日】2015年5月20日
【申請(qǐng)日】2014年11月19日