[发明专利]一套移动办公系统中集成式安全防护子系统的实现方法

摘要

本发明公开了一套移动办公系统中集成式安全防护子系统的实现方法。本发明包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑数据安全防护；手机客户端三重身份认证包括口令认证、人脸识别认证、图案密码认证；后台管理系统登陆的三重安全防御设计有基于模拟发送键盘信息技术的防键盘记录、基于RSA的透明式一次一密的管理员登录身份信息加密传输方式、基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式。本发明在透明地应用多种保密技术，提高数据安全性的同时，实现多重身份认证安全防御，强化访问控制能力，集成式的信息安全防护子系统，使企业通知发布和新闻浏览安全、高效。

主权项

一套移动办公系统中集成式安全防护子系统的实现方法，其特征在于包括手机客户端三重身份认证、后台管理系统登陆的三重安全防御、紧扣业务逻辑的数据安全防护；步骤1.智能手机端用户登录的三重身份认证用户登录的三重身份认证包括口令认证、人脸识别认证、图案密码认证；1‑1.口令认证当用户访问系统时，采用基于固定口令的认证方法，要求用户输入口令，系统收到口令后，将收到口令与系统中存储的用户口令进行比较，若口令匹配，则确认用户为合法访问者；否则提示“口令错误，请重新输入”；所述的系统中存储的用户口令是经MD5Hash计算后保存在数据库中；1‑2.人脸识别认证选择Face++作为第三方人脸识别云服务平台；人脸识别认证具体如下：若用户为首次访问，则需进行注册，注册步骤如下：①用户拍照上传包含有人脸信息的图片，并创建用户账户；②系统通过Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片，并将检测到的人脸信息保存在云服务平台，以便后续人脸识别服务；若检测没有人脸信息，客户端提示要求用户重新上传包含人脸信息的图片；③提取步骤②人脸信息，并通过调用云服务平台提供的API接口训练人脸模型，第三方云服务平台自动记录人脸特征值相关信息；④重复执行三次步骤①‑③，完成用户的注册，并进入用户正常使用时人脸识别认证步骤；若用户为正常使用，则其人脸认证步骤如下：①人脸定位检测：用户拍照上传包含有人脸信息的图片，Face++第三方人脸识别云服务平台检测提交的包含人脸信息的图片，由第三方人脸识别云服务平台检测返回人脸特征值；②特征对比：将步骤①由第三方人脸识别云服务平台检测返回的人脸特征值与用户首次访问时建立的人脸模型中的人脸特征值进行匹配，若匹配成功，则人脸识别认证成功，用户能够解除锁定,否则提示匹配错误；1‑3.图案密码认证用户访问时，在九宫格图案锁上输入一条带方向的路径，若该路径经过SHA‑1算法后能与文件中的密文相匹配，则表示图案密码认证成功，否则提示匹配错误；若访问五次均为匹配错误，则系统将在30秒内冻结图案锁解锁，做连续3次冻结，系统则会要求用户重新输入口令，并进行人脸识别；所述的图案密码认证通过九宫格图案锁实现，九宫格图案锁设置有9个点，分别用代码11,12,13,21,22,23,31,32,33来表示；用户在初始化设置时，设置一条带方向的路径，该路径能够以九宫格图案锁上的一串代码表示，然后将该串代码通过SHA‑1算法进行计算，计算后得到密文存储在数据库中；步骤2.后台管理系统登陆的三重安全防御采取多因素认证方式实施三重防御；在登录接口，设计有基于模拟发送键盘信息技术的防键盘记录木马病毒攻击的功能；同时，为对抗数据流分析攻击，引入了基于RSA的透明式一次一密的管理员登录身份信息加密传输方式；最后，专门设计有基于云推送的动态口令与静态用户名/口令相结合的双因素认证方式，进一步提高安全强度；2‑1基于模拟发送键盘信息技术的防键盘记录基于模拟发送键盘信息技术的防键盘记录的实现通过在登录界面的HTML中插入ActiveX控件完成；具体的：在输入框获得焦点时，触发事件调用ActiveX控件的相关函数向系统不断模拟发送干扰的按键信息，产生随机字符；直到用户光标离开密码输入框，ActiveX控件才停止发送虚假字符；2‑2透明式一次一密传输管理员身份登录数据隐式地从服务器获取本次会话密钥，并利用此密钥对管理员身份登录数据进行RSA公钥体制加密后传输；当后台管理员在浏览器请求Web登录页面时，服务器自动生成一对公私钥对，并把公钥通过HTTP协议传送到浏览器，私钥存储在服务器端的Session中；当前台浏览器向服务器提交表单进行身份验证时，浏览器调用公钥加密表单数据后通过HTTP协议传送到服务器，服务器用已经生成并存储在Session中的私钥解密；透明式一次一密传输管理员身份登录数据主要涉及的过程包括：RSA密钥的产生、RSA公钥加密数据、RSA 私钥解密数据；同时为了方便加密的二进制数据传输，所以在网络中传输的加密数据均使用Base64编码；使用RSA非对称加密方式实现身份登录数据的保密通信，服务器端首先产生密钥对，并将公钥发送到浏览器端；浏览器使用公钥加密表单数据，并传送到服务器端；服务器端使用私钥解密收到的数据；步骤3.紧密结合业务逻辑的数据信息的高安全防护3‑1综合应用加密和隐藏技术安全存储系统管理员敏感信息系统对所有用户的密码口令进行MD5加密处理成密文信息，并且运用信息隐藏技术，利用LSB算法将密文信息化整为零，嵌入到载体BMP位图信息的每个字节的最低位；所述的LSB算法选用最低位平面来嵌入密文信息，同时通过冗余嵌入的方式能够增强稳健性；即在一个区域中嵌入相同信息，提取时根据该区域中的所有像素判断；将密文信息嵌入到载体BMP位图信息每个字节最低位的具体步骤如下：①读入载体图像，通过读取载体图像大小，判断载体可隐藏的信息量；②确定载体图像的LSB；③对载体图像做预处理，将其LSB设置为0；④将密文信息以ASCII码的形式读入；⑤在每一个像素的第LSB位上，存储密文信息的一个bit；⑥生成并存储嵌入密文信息的图像；读取密文信息的具体步骤：①读入含有密文信息的图像；②得到每一个像素点的LSB位；③由每8个LSB位组成一个ASCII还原密文信息；3‑2基于源认证防篡改的业务数据加密传输基于源认证防篡改的数据加密传输是对所有传输的业务数据进行基于数字签名的完整性和可认证性检验；客户端在每次请求数据时需要预先生成一对公私密钥对，并且将公钥随HTTP请求一同发至服务器端，服务器端将需要返回的数据生成hash值后，用服务器端的私钥进行数字签名，用收到的公钥采用RSA加密所有数据，再通过HTTP响应返回需要传输的数据；手机客户端收到返回的数据后，用手机客户端的私钥进行RSA解密，将密文生成hash值，再用本次会话来自服务器的公钥验证数字签名。