CN101290645A - 一种提高信息安全设备验证安全性的方法 - Google Patents
一种提高信息安全设备验证安全性的方法 Download PDFInfo
- Publication number
- CN101290645A CN101290645A CNA200810111946XA CN200810111946A CN101290645A CN 101290645 A CN101290645 A CN 101290645A CN A200810111946X A CNA200810111946X A CN A200810111946XA CN 200810111946 A CN200810111946 A CN 200810111946A CN 101290645 A CN101290645 A CN 101290645A
- Authority
- CN
- China
- Prior art keywords
- input
- information safety
- character string
- authentication module
- safety devices
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明公开了一种提高信息安全设备的使用安全性的技术方法。通过在信息安全设备中增加专用的用户验证部件,可以解决信息安全设备被计算机软件截获并在后台非法使用的问题。本发明解决了USB Key设备在抵御后台攻击方面的先天性缺陷,大大提高了USB Key设备在使用过程中的安全性,对于USB Key的大面积推广具有非常重要的意义。
Description
技术领域
本发明涉及信息安全设备及其授权验证技术,特别涉及一种能够在对信息安全设备取得使用授权的过程中提高安全性的技术方法。
背景技术
电子商务改变了传统商务的运作模式,极大提高了商务效率并降低了交易成本,然而这样一个新的商务模式也同时面对着巨大的安全威胁。因此,在所有的电子商务应用中,安全都被作为最重要的因素进行考虑。目前电子商务最主要的安全隐患来自于客户端,例如用户所使用的电脑和运行于电脑上的软件,或者移动设备(如PDA)以及运行于其上的软件。因此,电子商务一般都要采取安全强度很高的身份认证手段,以在电子商务中确认用户的身份,防止假冒和欺诈。
在所有身份认证方式中,支持PKI(Public Key Infrastructure,公开密钥体系)的USB Key是最高级别的安全认证手段之一,通过存储在USB Key内部的数字证书和密钥,与服务器之间进行安全身份认证。在网上银行中,银行对采用USB Key作为身份认证手段的用户的交易不进行额度等方面的限制,认为这是极为可靠的安全方法。中国专利200410028723.9公布了一种用于网上银行交易安全的保护方法——《对网上银行数据进行加密、认证的装置和方法》,其特征在于,包括如下步骤:a)根据用户信息生成针对该用户的数字证书;b)将所述数字证书存入将要分配给该用户的USB KEY中;c)用户登陆网上银行用户进行数据处理时,通过所述USB KEY确认用户身份或数字签名。该发明还公开了一种利用USB KEY实现上述对网上银行数据进行加密、认证的装置。每一个USB KEY有一个唯一的序列号,并且私钥不能出内存,在确认用户身份后才进行网上交易。因此,发明人认为,该发明具有高度的保密性和安全性。
然而,USB Key有一个先天的弱点,就是其所有安全操作都必须在计算机的配合下完成,所有对USB Key的操作都是通过计算机(包括PDA等)完成的。由于用户所使用的计算机系统面临着各种各样的安全攻击,所以攻击者也完全可以通过计算机木马等手段来非法操作连接在USB接口上的设备并使用USB Key内部的数字证书和密钥。
为了防止对数字证书和密钥的非法使用,用户在使用密钥或者数字证书之前,通常会被要求输入一个PIN码以获得授权。USB Key在完成对PIN码的验证后,就会授予计算机对其中的密钥或数字证书的使用许可,这样计算机软件就可以调用USB Key中的密钥或数字证书完成信息安全功能,例如进行数字签名。
作为目前广泛使用的授权验证方式,PIN码在输入的过程中都是在计算机的输入装置例如键盘上完成,然后经过计算机软件和USB接口将PIN码传递给USB Key。在这个过程中,如果计算机上存有木马等攻击程序,就可以轻易截获USB Key的PIN码;此后,当USB Key设备连接在计算机上时,木马等攻击程序因为已经掌握了USB Key的PIN码,就可以在不经用户授权的情况下自动对USB Key进行非法操作。
为了解决此问题,一种较理想的方法是在USB Key上增加一个外接的PIN码输入键盘,但这种方法会大大增加USB Key的尺寸,导致携带困难和成本升高。而且,由于PIN码输入键盘的尺寸无法做到很大,用户的输入也极为不便。
其它验证方式如指纹验证、虹膜验证等如果也是在计算机上采集和输入,与PIN码验证在面临此类攻击手段时,危险性是等同的。如果在USB Key上附加指纹验证、虹膜验证等模块,其成本将增加数倍甚至数十倍。因此,PIN码仍然是所有USB Key中几乎全部采用的授权验证手段。
发明内容
本发明提出了一种提高信息安全设备授权验证安全性的方法,通过在信息安全设备中增加一个增强验证模块、一个提示部件和一个确认部件,就可以避免背景技术中所描述的后台攻击行为。
根据本发明的一个方面,提供一种提高信息安全设备验证安全性的方法,其特征在于,该方法包括步骤:
(1)在计算机上输入字符串;
(2)计算机将输入的字符串传送给信息安全设备,并在信息安全设备上表示出来;
(3)验证在信息安全设备上表示出来的信息。
根据本发明的一个方面,其特征还在于,在步骤(3)中,如果在信息安全设备上表示出来的信息与输入的字符串一致,则通过信息安全设备进行确认。
根据本发明的一个方面,其特征还在于,信息安全设备包含:增强验证模块、提示部件、确认部件。
根据本发明的一个方面,其特征还在于,输入的随机字符串可以是数字、字母、其它可打印字符以及它们的组合。
根据本发明的一个方面,其特征还在于,在步骤(2)中,将输入的字符串传送给信息安全设备的增强验证模块,并在提示部件上表示出来。
根据本发明的一个方面,其特征还在于,增强验证模块对输入的字符串进行检查。
根据本发明的一个方面,其特征还在于,如果输入的字符串中有的字符无法在提示部件上进行表示,则返回错误或者用一个约定的通用字符来代替表示。
根据本发明的一个方面,其特征还在于,增强验证模块对输入的字符串进行处理,将处理后的结果通过提示部件表示出来。
根据本发明的一个方面,其特征还在于,增强验证模块对字符串的处理方式和处理结果是可预知并能够进行确认的。
根据本发明的一个方面,其特征还在于,在步骤(3)中,如果通过确认部件进行了确认,增强验证模块则认为验证过程通过。
根据本发明的一个方面,其特征还在于,提示部件是显示装置或声音提醒装置。
根据本发明的一个方面,其特征还在于,通过增强验证模块进行的增强验证过程与其他验证方式结合使用。
根据本发明的一个方面,其特征还在于,增强验证过程与PIN码验证结合使用。
根据本发明的一个方面,其特征还在于,增强验证过程可以在PIN码验证之前进行,也可以在PIN码验证通过之后进行,还可以在PIN码验证的同时进行。
根据本发明的一个方面,其特征还在于,增强验证过程单独进行。
根据本发明的一个方面,其特征还在于,在PIN码验证之后,在每次进行重要操作时都进行单独的增强验证过程。
附图说明
图1为本发明的示意图。
图2为根据本发明的一种实施方式的工作流程图。
具体实施方式
下面结合附图对本发明的具体实施例进行详细描述。
本发明中所述的信息安全模块为通用信息安全设备中的密码算法模块,例如使用RSA密钥进行解密、数字签名等。此部分为行业中的成熟技术。所述的通讯模块与计算机软件之间进行通信,例如为USB接口通讯模块,也是信息安全设备中成熟的技术。
本发明的具体工作方法为:
A:用户在计算机上输入一个随机的字符串;
B:计算机将用户输入的字符串传送给所连接的信息安全设备的增强验证模块,并在提示部件上表示出来;
C:用户验证提示部件上的信息,确认是否与所输入的随机字符串一致,如果一致则通过确认部件进行确认。
步骤A中,用户所输入的随机字符串可以是数字、字母、其它可打印字符以及它们的组合。
步骤B中,增强验证模块可以对用户输入的字符串进行检查,如果用户输入的字符串中有的字符无法在提示部件上进行表示,可以返回错误或者用一个约定的通用字符来代替。
步骤B中,增强验证模块还可以对用户输入的字符串进行简单的处理,将处理后的结果通过提示部件表示出来。如果增强验证模块要对字符串进行处理,那么其处理方式和处理结果必须是用户可以预知并能够进行确认的。
在步骤C中,如果用户通过确认部件进行了确认,增强验证模块就认为验证过程通过。
所述的提示部件,可以是显示装置,如LED、液晶显示屏等,也可以是声音提醒装置,如蜂鸣器、音频发生器等。
通过上述操作步骤,验证过程包含了用户主动发起的随机过程,因此计算机无法进行伪造。
通过增强验证模块进行的增强验证过程可以与其他验证方式如PIN码验证结合使用,既可以在PIN码验证之前进行,也可以在PIN码验证通过之后发起,也可以在PIN码验证的同时进行。增强验证过程也可以单独进行,例如在PIN码验证之后,在每次进行重要操作时都可以要求进行一次增强验证过程以提高安全性。
本实施例在深思洛克公司的MiKey信息安全设备中增加一个增强验证模块,一个多音调音频发生器和一个确认按钮。MiKey是一个USB接口的信息安全设备,MiKey的主要功能是利用其内部的RSA密钥进行加密、解密和数字签名运算。基于这些密码学运算,MiKey提供标准的CSP或PKCS#11等标准接口函数库,为网上银行等安全应用提供服务。
在原有的产品中,MiKey在用户输入一个PIN码后就可以获得对特定密钥的使用授权。如果计算机中的攻击程序截获了PIN码,就可以在用户不知情的情况下对MiKey进行非法使用。
本实施例中,用户在使用MiKey内部的密钥或数字证书之前,除了输入PIN码之外,还需要在计算机键盘上输入1~7之间的任意多个数字,输入的数字将被MiKey内部的增强验证模块转换为1~7之间的音符,即do remi fa so la si,并通过音频发生器以不同的声调播放出来。
参考图2,其具体工作流程为:
步骤101:用户输入所需要的PIN码,完成PIN码验证过程;
步骤102:信息安全设备提示用户进行随机字符的输入,输入范围为1~7之间的数字;
步骤103:用户输入随机的数字,例如13531,增强验证模块将其逐个转换为do mi so mi do五个音符,并在音频发生器上播放出来;
步骤104:用户听取所播放的音符是否与自己输入的相一致,如果一致则按下确认按钮,否则认为发生了攻击行为;
步骤105:增强验证模块得到了用户的确认输入后,完成验证过程,允许计算机对设备中的密钥或数字证书进行访问;
在步骤103中,将数字转换为音符并播放的过程既可以在每个数字输入后立即进行,也可以在一组输入完成后统一进行。
以上所述仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本发明的保护范围之内。
Claims (16)
1、一种提高信息安全设备验证安全性的方法,其特征在于,该方法包括步骤:
(1)在计算机上输入字符串;
(2)计算机将输入的字符串传送给信息安全设备,并在信息安全设备上表示出来;
(3)验证在信息安全设备上表示出来的信息。
2、根据权利要求1所述的方法,其特征在于,在步骤(3)中,如果在信息安全设备上表示出来的信息与输入的字符串一致,则通过信息安全设备进行确认。
3、根据权利要求2所述的方法,其特征在于,信息安全设备包含:增强验证模块、提示部件、确认部件。
4、根据权利要求1所述的方法,其特征在于,输入的随机字符串可以是数字、字母、其它可打印字符以及它们的组合。
5、根据权利要求3所述的方法,其特征在于,在步骤(2)中,将输入的字符串传送给信息安全设备的增强验证模块,并在提示部件上表示出来。
6、根据权利要求3所述的方法,其特征在于,增强验证模块对输入的字符串进行检查。
7、根据权利要求6所述的方法,其特征在于,如果输入的字符串中有的字符无法在提示部件上进行表示,则返回错误或者用一个约定的通用字符来代替表示。
8、根据权利要求3所述的方法,其特征在于,增强验证模块对输入的字符串进行处理,将处理后的结果通过提示部件表示出来。
9、根据权利要求8所述的方法,其特征在于,增强验证模块对字符串的处理方式和处理结果是可预知并能够进行确认的。
10、根据权利要求3所述的方法,其特征在于,在步骤(3)中,如果通过确认部件进行了确认,增强验证模块则认为验证过程通过。
11、根据权利要求3所述的方法,其特征在于,提示部件是显示装置或声音提醒装置。
12、根据权利要求3所述的方法,其特征在于,通过增强验证模块进行的增强验证过程与其他验证方式结合使用。
13、根据权利要求12所述的方法,其特征在于,增强验证过程与PIN码验证结合使用。
14、根据权利要求13所述的方法,其特征在于,增强验证过程可以在PIN码验证之前进行,也可以在PIN码验证通过之后进行,还可以在PIN码验证的同时进行。
15、根据权利要求12所述的方法,其特征在于,增强验证过程单独进行。
16、根据权利要求15所述的方法,其特征在于,在PIN码验证之后,在每次进行重要操作时都进行单独的增强验证过程。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810111946XA CN101290645A (zh) | 2008-05-19 | 2008-05-19 | 一种提高信息安全设备验证安全性的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNA200810111946XA CN101290645A (zh) | 2008-05-19 | 2008-05-19 | 一种提高信息安全设备验证安全性的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101290645A true CN101290645A (zh) | 2008-10-22 |
Family
ID=40034899
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA200810111946XA Pending CN101290645A (zh) | 2008-05-19 | 2008-05-19 | 一种提高信息安全设备验证安全性的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101290645A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101883096A (zh) * | 2010-06-07 | 2010-11-10 | 北京天地融科技有限公司 | 电子签名工具之间安全传递数据的方法、装置及系统 |
| CN101695066B (zh) * | 2009-09-28 | 2012-12-19 | 北京深思洛克软件技术股份有限公司 | 一种安全认证的方法及信息安全认证设备 |
| CN106850700A (zh) * | 2017-04-11 | 2017-06-13 | 北京深思数盾科技股份有限公司 | 安全操作合法性验证方法及装置 |
-
2008
- 2008-05-19 CN CNA200810111946XA patent/CN101290645A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101695066B (zh) * | 2009-09-28 | 2012-12-19 | 北京深思洛克软件技术股份有限公司 | 一种安全认证的方法及信息安全认证设备 |
| CN101883096A (zh) * | 2010-06-07 | 2010-11-10 | 北京天地融科技有限公司 | 电子签名工具之间安全传递数据的方法、装置及系统 |
| CN101883096B (zh) * | 2010-06-07 | 2014-07-02 | 天地融科技股份有限公司 | 电子签名工具之间安全传递数据的方法、装置及系统 |
| CN106850700A (zh) * | 2017-04-11 | 2017-06-13 | 北京深思数盾科技股份有限公司 | 安全操作合法性验证方法及装置 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102075522B (zh) | 一种结合数字证书和动态密码的安全认证与交易方法 | |
| CN101662469B (zh) | 基于USBKey网上银行交易信息认证的方法和系统 | |
| CN102880960B (zh) | 基于指纹识别手机的短信支付方法及系统 | |
| CN108092776A (zh) | 一种身份认证服务器和身份认证令牌 | |
| CN106488452B (zh) | 一种结合指纹的移动终端安全接入认证方法 | |
| CN103229452A (zh) | 移动手持设备的识别和通信认证 | |
| CN109150535A (zh) | 一种身份认证方法、设备、计算机可读存储介质及装置 | |
| CN101340285A (zh) | 利用指纹USBkey进行身份验证的方法及系统 | |
| CN1889432A (zh) | 基于智能卡的口令远程认证方法、智能卡、服务器和系统 | |
| CN101420302A (zh) | 安全认证方法和设备 | |
| CN101340294A (zh) | 一种密码键盘装置及其实现方法 | |
| CN102281143B (zh) | 智能卡远程解锁系统 | |
| CN101819614A (zh) | 利用语音核验USBKey增强网络交易安全性的系统和方法 | |
| WO2014141263A1 (en) | Asymmetric otp authentication system | |
| CN102710611A (zh) | 网络安全身份认证方法和系统 | |
| CN106936588A (zh) | 一种硬件控制锁的托管方法、装置及系统 | |
| CN107864124A (zh) | 一种终端信息安全保护方法、终端及蓝牙锁 | |
| CN1925393A (zh) | 一种点对点网络身份认证方法 | |
| CN101494541A (zh) | 一种实现对pin码进行安全保护的系统及方法 | |
| CN101908964B (zh) | 远程虚拟密码设备认证方法 | |
| CN104123777B (zh) | 一种门禁远程授权方法 | |
| JP2009272737A (ja) | 秘匿認証システム | |
| CN101123509B (zh) | 信息交互系统和方法 | |
| CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 | |
| CN104753886A (zh) | 一种对远程用户的加锁方法、解锁方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20081022 |