CN101321066A - 网络通信中的信息安全装置 - Google Patents
网络通信中的信息安全装置 Download PDFInfo
- Publication number
- CN101321066A CN101321066A CNA2008101119898A CN200810111989A CN101321066A CN 101321066 A CN101321066 A CN 101321066A CN A2008101119898 A CNA2008101119898 A CN A2008101119898A CN 200810111989 A CN200810111989 A CN 200810111989A CN 101321066 A CN101321066 A CN 101321066A
- Authority
- CN
- China
- Prior art keywords
- check code
- module
- interface
- information
- picture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
本发明提供了一种信息安全装置,可以在装置内部为交互信息增加校验码并合成为图片,并将图片发送到网络终端上进行显示。信息安全装置随后接收用户输入的确认码,与图片中显示的校验码进行验证。如果验证通过,信息安全装置则认为用户已经对交互进行了人工确认,可以执行后续的交互操作。通过这种方法,可以从根本上改变现有信息安全装置在人机交互方面的缺陷,大幅度提高信息安全装置在使用过程中的安全性。
Description
技术领域
本发明涉及安全认证技术,特别涉及网络通信中的安全的进行信息交互的技术。
背景技术
随着网络通信技术的不断发展,电子商务得到了越来越广泛的应用。电子商务改变了传统商务的运作模式,极大提高了商务效率并降低了交易成本,然而电子商务也同时面对着巨大的安全威胁。
但电子商务也存在着较大的安全隐患。例如,用户通过客户端利用密码登陆自己的账户,从而进行电子商务交易,但如果非法用户盗用了用户密码,则可以简单地登陆该用户的账户并进行转账等操作,从而给该用户造成巨大的经济损失。
因此,在电子商务等基于网络通信的信息交互中,通常都采取各种安全认证手段来提高信息交互的安全性,从而保证用户的利益。
USB Key是一种基于数字签名的安全认证装置。USB Key中存储数字证书和密钥,且每一个USB Key对应一个唯一的序列号。用户将USB Key与客户端相连,USB Key即可通过客户端与网络侧服务器之间进行数字签名操作以实现对例如电子商务交易等信息交互的安全认证。
USB Key虽然能够实现安全认证,使得盗用了用户密码的非法用户无法登陆该用户的账户,但却无法保证该用户所使用的客户端不会受到网络中的安全攻击。
例如,用户所使用的客户端遭到了木马病毒的入侵,如果用户登录其账户进行电子商务交易等信息交互操作,则非法用户就会利用木马病毒操纵电子商务客户端软件,对该用户的账户进行转账等非法操作。
由于USB Key是一种连接在计算机USB接口上的设备,该安全认证装置所基于的数字签名过程都是通过安装在客户端的软件完成的。如果软件被木马病毒所控制,则可以利用木马病毒在用户不知情的情况下通过USB Key完成数字签名的安全认证过程。而且,即便用户在使用自己的USB Key进行数字签名之前,先要通过客户端显示的信息来确认自己当前需要通过数字签名确认的信息交互内容,但木马病毒还可以对客户端显示的信息进行修改,使得客户端所显示的信息与实际交互的信息内容不一致。此时,用户虽然认可客户端所显示的内容,但其通过数字签名确认的信息交互过程中的信息内容与所显示的内容并不一致。
现有技术中还有一种带有独立的提示和确认模块的USB Key,用户的交易信息可以通过独立的提示设备,向用户报告实际交互的信息内容,用户可以通过独立的确认模块确认交互信息。由于该提示模块和确认模块是独立于计算机的,所以木马程序无法控制该提示模块和确认模块。因此该技术可以解决上述的黑客通过木马病毒侵犯合法用户的问题。但这种技术需要USBKey提供额外的提示模块和确认模块,因此需要增加数倍额外的成本。
发明内容
有鉴于此,本发明提供了一种不需要独立的提示和确认模块的信息安全装置,能够有效实现用户对交互信息的人工确认,从而避免后台攻击行为的发生。
本发明的技术方案是,信息安全装置接收到交互信息之后,为本次交互信息生成校验码,并把交互信息和校验码组合成为一个图片并返回到网络终端上。网络终端对包含交互信息和校验码的图片进行显示,用户在阅读图片中的信息之后,如果信息无误则输入确认码;信息安全装置接收用户输入的确认码后,对确认码进行验证,如果验证通过则认为用户对交互的内容进行了确认,从而开始后续的操作,例如对交互信息做数字签名,否则,认为本次交互信息无效,停止继续操作。
根据本发明的一个方面,提供一种网络通信中的信息安全装置,其特征在于,该装置包含:
通信模块,用于与网络终端进行通信;
交互处理模块,用于网上交互过程中的交互操作;
校验码生成模块,用于为交互信息生成校验码;
确认码验证模块,用于验证输入的确认码;
图片生成模块,用于接收来自交互处理模块的交互信息和校验码生成模块生成的校验码,将其合成为图片。
根据本发明的一个方面,其特征还在于,交互处理模块通过通信模块接收交互信息。
根据本发明的一个方面,其特征还在于,图片生成模块将交互信息内容和校验码合成为图片,然后将合成后的图片返回到网络终端上显示。
根据本发明的一个方面,其特征还在于,确认码验证模块通过通信模块接收网络终端输入的确认码,对输入的确认码进行验证。
根据本发明的一个方面,其特征还在于,如果验证不通过,则中断此次交互操作,如果验证通过,则继续进行交互操作。
根据本发明的一个方面,其特征还在于,通信模块通过通讯接口接收来自网络终端的交互信息。
根据本发明的一个方面,其特征还在于,所述的通讯接口可以是物理接口或带有控制器的接口设备,或与外部网络终端相连并通信的接口。
根据本发明的一个方面,其特征还在于,所述物理接口可以是串行接口、并行接口、1394接口、射频识别接口、无线局域网接口、通用串行总线接口、蓝牙接口、红外接口、Wi-Fi接口。
根据本发明的一个方面,其特征还在于,生成的校验码可以是随机数,也可以是信息安全装置中的校验码生成模块根据交互信息计算出来的数据,也可以是字符串。
根据本发明的一个方面,其特征还在于,输入的确认码可以是校验码本身,也可以是按照预定的规则对校验码变换得结果,也可以是根据校验码的提示得到的字符串。
根据本发明的一个方面,其特征还在于,信息安全装置还可以在生成的图片上加入各种干扰。
根据本发明的一个方面,其特征还在于,信息安全装置生成的图片布局还可以随机变化。
根据本发明的一个方面,其特征还在于,生成的图片中的校验码的位置不是固定的。
根据本发明的一个方面,其特征还在于,生成的图片的格式可以是BITMAP、JPG、GIF。
根据本发明的一个方面,其特征还在于,信息安全装置的交互处理模块在确认码验证通过后,继续进行交互操作。
根据本发明的一个方面,其特征还在于,所述的继续进行交互操作可以是对交互信息进行数字签名。根据本发明的一个方面,该装置的工作步骤为:
1、交互处理模块通过通信模块接收交互信息;
2、校验码生成模块为交互信息生成校验码;
3、图片生成模块将交互信息内容和校验码合成为图片并返回到网络终端上显示;
4、确认码验证模块通过通信模块接收网络终端输入的确认码,对输入的确认码进行验证,如果验证不通过,则中断此次交互操作,如果验证通过,则认为交互内容得到了用户的认可,继续进行交互操作。
在上述的技术方案中,由于交互信息的内容和校验码是用图片的方式向用户回显的,而攻击程序从图片中解析出交互内容、校验码并对其进行修改是非常困难的。由此可见本发明可以大幅度提高信息安全装置在网上交互过程中的使用安全性问题,同时几乎不需要增加额外的成本。
附图说明
图1:本发明的结构示意图。
图2:本发明的工作流程示意图。
图3:本发明一个实施例的工作流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进行进一步详细说明。
图1为本发明的结构图,如图1所示,本发明的装置包括:通信模块,交互处理模块,校验码生成模块,确认码验证模块,图片生成模块。
通信模块:通过通讯接口与网络终端进行通信。
交互处理模块:接收网络终端输入的交互信息,根据确认码验证模块的验证结果完成交互操作。
校验码生成模块:接收交互处理模块的校验码生成请求,生成校验码。
确认码验证模块:验证输入的确认码,并返回验证结果给交互处理模块。
图片生成模块:将来自交互处理模块的交互信息和校验码生成模块生成的校验码,生成图片格式的数据,返回给网络终端进行显示。
图2为本发明的工作流程图,如图2所示,本发明的流程包括以下步骤:
步骤201,接收来自网络终端的交互信息。
本步骤中,信息安全装置通过通讯接口接收来自网络终端的交互信息。所述的通讯接口可以为串行接口、并行接口、1394接口、射频识别(RFID)接口、无线局域网接口(IEEE802.11接口等)、通用串行总线(USB)接口、蓝牙接口、红外接口、无线保真(Wi-Fi)接口等物理接口或带有控制器的接口设备,或与外部网络终端相连并通信的接口。
步骤202,生成本次交互的校验码。
本步骤中,信息安全装置为本次交互生成校验码,该校验码可以是随机数,也可以是信息安全装置根据交互信息使用某种算法计算出来的数据。
步骤203,把交互信息和校验码组合成图片。
本步骤中,信息安全装置把交互信息和校验码组合成一个图片形式的表单。信息安全装置还可以在图片上加入各种干扰用的麻点,波纹等。信息安全装置生成的图片的格式还可以是随机变化的,例如,表单的校验码的位置不是固定的。生成的图片的格式可以是BITMAP,JPG,GIF等。
步骤204,向网络终端返回图片。
本步骤中,信息安全装置通过通讯接口向网络终端返回步骤203中生成的图片。
步骤205,接收来自网络终端的确认码。
本步骤中,信息安全装置通过通讯接口接收来自网络终端的确认码,该确认码可以是校验码的本身,也可以是使用预先设定的算法对校验码和/或交互信息进计算得到的数据。
步骤206,检查确认码。
本步骤中,信息安全装置检查来自网络终端的确认码,如果确认码不合法,这终止交互过程。如果确认码合法,则继续交互过程。
下面结合图3描述本发明的一个具体实施例。
本实施例是利用本发明的技术实现安全的网络银行交易系统。本实施例使用USB接口作为信息安全装置的通讯接口。即在USB Key中应用本发明的技术,实现安全的网络银行的交易过程。使用随机数作为校验码,使用校验码本身作为确认码。使用JPG格式的图片表单,并把校验码以水印的方式加入到JPG格式的图片表单中。
图片生成模块中包含了一个简单的图片库,包含了字母、数字和常用符号的小图片。
图片生成的过程为:首先按BMP位图格式,生成随机浅颜色像素点的背景底图,其中每个像素点的颜色和灰度都带有随机性,但灰度不超过128以避免读图困难。然后,根据要显示的交易内容和校验码,例如帐号、额度等,从图片库中取出对应的字母、数字或者符号,组合为位图后加入到背景底图中。
图3为本实施例的工作流程示意图,如图3所示,本实施例包括以下步骤:
步骤301,接收来自PC(个人计算机)的交易信息。
本步骤中,USB Key通过USB接口接收来自PC的交易信息。例如,网上转帐的信息。
步骤302,生成本次交易的校验码。
本步骤中,USB Key为本次交易生成随机数作为校验码。
步骤303,把交易信息和校验码组合成图片.
本步骤中,信息安全装置组合交易信息和校验码成为JPG格式的表单。组合方法为,设置图片的背景,在图片上加入扰乱的麻点和波纹,把表单信息加入图片上,把校验码以水印方式加入到图片表单中。
步骤304,向PC返回图片。
本步骤中,USB Key向PC返回步骤303中生成图片格式的表单。
步骤305,接收来自PC的确认码。
本步骤中,USB Key通过USB接口接收来自PC的确认码。该确认码是用户通过察看图片后读取的校验码,通过PC输入给USB Key,作为用户对表单内容的确认。
步骤306,验证确认码。
本步骤中,USB Key检查来自PC的确认码,如果确认码不合法,这终止交易过程。如果确认码合法,则执行后续交易步骤,本实施例直接使用校验码作为确认码,所以只需要比较校验码和确认码是否一致,如果一致,则认为确认码合法,否则为不合法。如果确认码合法,则执行步骤307,否则终止交易过程。
步骤307,对交易信息签名。
本步骤中,USB Key使用保存在USB Key内部的用户私钥对交易信息签名,并把签名结果返回给PC。
Claims (16)
1、一种网络通信中的信息安全装置,其特征在于,该装置包含:
通信模块,用于与网络终端进行通信;
交互处理模块,用于网上交互过程中的交互操作;
校验码生成模块,用于为交互信息生成校验码;
确认码验证模块,用于验证输入的确认码;
图片生成模块,用于接收来自交互处理模块的交互信息和校验码生成模块生成的校验码,将其合成为图片。
2、根据权利要求1所述的装置,其特征在于,交互处理模块通过通信模块接收交互信息。
3、根据权利要求1所述的装置,其特征在于,图片生成模块将交互信息内容和校验码合成为图片,然后将合成后的图片返回到网络终端上显示。
4、根据权利要求1所述的装置,其特征在于,确认码验证模块通过通信模块接收网络终端输入的确认码,对输入的确认码进行验证。
5、根据权利要求4所述的装置,其特征在于,如果验证不通过,则中断此次交互操作,如果验证通过,则继续进行交互操作。
6、根据权利要求1所述的装置,其特征在于,通信模块通过通讯接口接收来自网络终端的交互信息。
7、根据权利要求6所述的装置,其特征在于,所述的通讯接口可以是物理接口或带有控制器的接口设备,或与外部网络终端相连并通信的接口。
8、根据权利要求7所述的装置,其特征在于,所述物理接口可以是串行接口、并行接口、1394接口、射频识别接口、无线局域网接口、通用串行总线接口、蓝牙接口、红外接口、Wi-Fi接口。
9、根据权利要求1所述的装置,其特征在于,生成的校验码可以是随机数,也可以是信息安全装置的校验码生成模块根据交互信息计算出来的数据,也可以是字符串。
10、根据权利要求1所述的装置,其特征在于,输入的确认码可以是校验码本身,也可以是按照预定的规则对校验码变换得到的数据,也可以是根据校验码的提示得到的字符串。
11、根据权利要求1所述的装置,其特征在于,信息安全装置的图片生成模块还可以在生成的图片上加入各种干扰。
12、根据权利要求1所述的装置,其特征在于,信息安全装置的图片生成模块生成的图片布局还可以随机变化。
13、根据权利要求12所述的装置,其特征在于,生成的图片中的校验码的位置不是固定的。
14、根据权利要求12所述的装置,其特征在于,生成的图片的格式可以是BITMAP、JPG、GIF。
15、根据权利要求1所述的装置,其特征在于,信息安全装置的交互处理模块在确认码验证通过后,继续进行交互操作。
16、根据权利要求15所述的装置,其特征在于,所述的继续进行交互操作可以是对交互信息进行数字签名。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101119898A CN101321066B (zh) | 2008-05-20 | 2008-05-20 | 网络通信中的信息安全装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101119898A CN101321066B (zh) | 2008-05-20 | 2008-05-20 | 网络通信中的信息安全装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101321066A true CN101321066A (zh) | 2008-12-10 |
| CN101321066B CN101321066B (zh) | 2012-03-07 |
Family
ID=40180920
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101119898A Expired - Fee Related CN101321066B (zh) | 2008-05-20 | 2008-05-20 | 网络通信中的信息安全装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101321066B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102970307A (zh) * | 2012-12-21 | 2013-03-13 | 网秦无限(北京)科技有限公司 | 密码安全系统和密码安全方法 |
| CN103177364A (zh) * | 2011-12-26 | 2013-06-26 | 中国银联股份有限公司 | 基于电子签名的交易处理方法 |
| CN103677631A (zh) * | 2013-11-15 | 2014-03-26 | 北京智谷睿拓技术服务有限公司 | 信息交互方法及信息交互装置 |
| WO2014153982A1 (en) * | 2013-03-27 | 2014-10-02 | Tencent Technology (Shenzhen) Company Limited | Methods and systems for broadcasting pictures |
| CN103116717B (zh) * | 2013-01-25 | 2015-11-18 | 东莞宇龙通信科技有限公司 | 一种用户登录方法及系统 |
| US9363274B2 (en) | 2013-03-27 | 2016-06-07 | Tencent Technology (Shenzhen) Company Limited | Methods and systems for broadcasting pictures |
| CN109450646A (zh) * | 2018-12-10 | 2019-03-08 | 珠海格力电器股份有限公司 | 验证请求处理方法和系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101051907B (zh) * | 2007-05-14 | 2012-08-22 | 北京握奇数据系统有限公司 | 面向签名数据的安全认证方法及其系统 |
| CN101106455B (zh) * | 2007-08-20 | 2010-10-13 | 北京飞天诚信科技有限公司 | 身份认证的方法和智能密钥装置 |
-
2008
- 2008-05-20 CN CN2008101119898A patent/CN101321066B/zh not_active Expired - Fee Related
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103177364A (zh) * | 2011-12-26 | 2013-06-26 | 中国银联股份有限公司 | 基于电子签名的交易处理方法 |
| CN103177364B (zh) * | 2011-12-26 | 2016-04-27 | 中国银联股份有限公司 | 基于电子签名的交易处理方法 |
| CN102970307A (zh) * | 2012-12-21 | 2013-03-13 | 网秦无限(北京)科技有限公司 | 密码安全系统和密码安全方法 |
| WO2014094389A1 (zh) * | 2012-12-21 | 2014-06-26 | 北京网秦天下科技有限公司 | 密码安全系统和密码安全方法 |
| CN102970307B (zh) * | 2012-12-21 | 2016-01-13 | 网秦无限(北京)科技有限公司 | 密码安全系统和密码安全方法 |
| CN103116717B (zh) * | 2013-01-25 | 2015-11-18 | 东莞宇龙通信科技有限公司 | 一种用户登录方法及系统 |
| WO2014153982A1 (en) * | 2013-03-27 | 2014-10-02 | Tencent Technology (Shenzhen) Company Limited | Methods and systems for broadcasting pictures |
| US9363274B2 (en) | 2013-03-27 | 2016-06-07 | Tencent Technology (Shenzhen) Company Limited | Methods and systems for broadcasting pictures |
| CN103677631A (zh) * | 2013-11-15 | 2014-03-26 | 北京智谷睿拓技术服务有限公司 | 信息交互方法及信息交互装置 |
| CN109450646A (zh) * | 2018-12-10 | 2019-03-08 | 珠海格力电器股份有限公司 | 验证请求处理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101321066B (zh) | 2012-03-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20210233056A1 (en) | Data interaction method, verification terminal, server, and system | |
| CN101321066B (zh) | 网络通信中的信息安全装置 | |
| JP4509611B2 (ja) | 電子署名保証システム、プログラム及び装置 | |
| US10439813B2 (en) | Authentication and fraud prevention architecture | |
| CN106856475A (zh) | 授权服务器以及认证协作系统 | |
| CN110930147B (zh) | 离线支付方法、装置、电子设备及计算机可读存储介质 | |
| CN101221641B (zh) | 一种联机交易的安全确认设备及联机交易方法 | |
| WO2015096800A1 (zh) | 数据处理方法、中间服务器及系统 | |
| CN202771476U (zh) | 一种安全认证系统 | |
| CN102291376B (zh) | 一种支持移动终端的电子交易实现方法和系统 | |
| CN110535648A (zh) | 电子凭证生成及验证和密钥控制方法、装置、系统和介质 | |
| US20140172741A1 (en) | Method and system for security information interaction based on internet | |
| CN105049945A (zh) | 一种基于智能电视多屏互动的安全支付系统及方法 | |
| CN102073803A (zh) | 一种增强usbkey安全的装置、方法及系统 | |
| CN103218717B (zh) | 基于平面码的信用授权方法 | |
| JP6657265B2 (ja) | サービス認証のための方法および装置 | |
| CN111091430A (zh) | 一种开票二维码处理方法及系统 | |
| CN104301288A (zh) | 在线身份认证、在线交易验证、在线验证保护的方法与系统 | |
| CN114519206A (zh) | 一种匿名签署电子合同的方法及签名系统 | |
| CN101296078A (zh) | 网络通信中的信息交互确认装置 | |
| TW201342118A (zh) | 用以啟用主機裝置功能之行動鑑別技術 | |
| TW201421393A (zh) | 行動裝置互動式二維條碼交易資訊傳輸及驗證之系統及其方法 | |
| US8910260B2 (en) | System and method for real time secure image based key generation using partial polygons assembled into a master composite image | |
| CN108241980A (zh) | 跨终端的授权认证方法、系统及网银服务器、移动服务器 | |
| CN102236855A (zh) | 利用qr码的电子交易方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING SHENSI SHUDUN SCIENCE + TECHNOLOGY CO., LT Free format text: FORMER OWNER: BEIJING SENSELOCK SOFTWARE TECHNOLOGY CO., LTD. Effective date: 20150120 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100086 HAIDIAN, BEIJING TO: 100872 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150120 Address after: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Patentee after: BEIJING SHENSI SHUDUN TECHNOLOGY Co.,Ltd. Address before: 100086 Beijing City, Haidian District Zhongguancun South Street No. 6 Zhucheng building block B room 1201 Patentee before: Beijing Senselock Software Technology Co.,Ltd. |
|
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 100193 Beijing, Haidian District, East West Road, No. 10, East Hospital, building No. 5, floor 5, layer 510 Patentee after: BEIJING SENSESHIELD TECHNOLOGY Co.,Ltd. Address before: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Patentee before: BEIJING SHENSI SHUDUN TECHNOLOGY Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120307 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |