CN102780812B - 一种利用移动终端实现安全输入的方法和系统 - Google Patents

一种利用移动终端实现安全输入的方法和系统 Download PDF

Info

Publication number
CN102780812B
CN102780812B CN201210204272.4A CN201210204272A CN102780812B CN 102780812 B CN102780812 B CN 102780812B CN 201210204272 A CN201210204272 A CN 201210204272A CN 102780812 B CN102780812 B CN 102780812B
Authority
CN
China
Prior art keywords
mobile terminal
password
input
service application
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201210204272.4A
Other languages
English (en)
Other versions
CN102780812A (zh
Inventor
林雪焰
詹榜华
马臣云
傅大鹏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
BEIJING CERTIFICATE AUTHORITY Co Ltd
Original Assignee
BEIJING CERTIFICATE AUTHORITY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by BEIJING CERTIFICATE AUTHORITY Co Ltd filed Critical BEIJING CERTIFICATE AUTHORITY Co Ltd
Priority to CN201210204272.4A priority Critical patent/CN102780812B/zh
Publication of CN102780812A publication Critical patent/CN102780812A/zh
Application granted granted Critical
Publication of CN102780812B publication Critical patent/CN102780812B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Storage Device Security (AREA)
  • User Interface Of Digital Computer (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明提供了一种利用移动终端实现安全输入的方法:当业务应用前台需要用户在计算机PC终端上输入口令等敏感信息时,利用移动终端作为用户口令等敏感信息的安全输入设备,并通过所述移动终端进行加密处理后形成口令密文数据返回给PC终端上的所述业务应用前台;然后所述业务应用前台通过网络将口令密文数据提交给业务应用后台,所述业务应用后台调用后台处理模块解密后得到原始用户输入的口令明文,进行安全使用;从而有效地避免了传统PC终端环境下的各种木马及病毒对敏感信息的威胁,实现了用户口令等敏感信息在高风险环境中安全输入的目的。本发明还提供了一种利用移动终端实现安全输入的系统。

Description

一种利用移动终端实现安全输入的方法和系统
技术领域
本发明涉及网络与信息安全技术领域,尤其涉及一种利用移动终端实现安全输入的方法和系统。
背景技术
随着互联网应用的迅猛发展,用户在使用个人计算机(PC终端)上网的过程中,各类网络银行、网上支付和网络游戏等应用经常会要求用户输入账号及口令等敏感信息来完成登录或业务交易,这些敏感信息也就成为了计算机病毒和木马的重点攻击对象。
为了防止用户敏感信息被偷窥窃取,现有技术上主要采用专用密码输入框来实现安全输入,利用键盘钩子(HOOK)技术尽量防止键盘记录不被木马获取。但是PC终端下众多键盘记录类木马也是采取同样的HOOK技术来窃取用户按键输入。由于攻守双方大多采用相同类似的技术,差别主要在于双方对PC操作系统的底层技术的挖掘程度和对系统缺陷的利用能力,但是由于PC操作系统的开放性和普适性,使得PC终端密码输入框始终面临敏感信息输入被窃取的高机率高风险问题。同时,输入的敏感信息如果未经保护而通过不安全的公共网络传输过程中也很容易被黑客侦听和窃取。
在目前现有的技术中,尚没有一种能有效解决上述问题并具备实用性的方案。
发明内容
(一)要解决的问题
本发明的目的是提供一种利用广泛存在使用的移动终端在高安全风险的PC环境下实现口令等敏感信息安全输入的方法和系统,基于移动操作系统的多样性和特殊性,所述方法和系统既可以保证敏感信息在输入环节中不被传统PC端木马及病毒窃取,又可以利用移动终端加密运算能力形成密文形式的敏感信息,保证输入的敏感信息能够通过公共网络安全提交给业务应用系统,从而实现面向业务的全程安全输入的目的。
(二)技术方案
为达到上述目的,本发明提供了一种利用移动终端实现安全输入的方法,包括:
业务应用前台在与业务应用后台通信过程中,当业务应用前台需要用户在计算机PC终端上输入口令等敏感信息时,PC端控制模块提示并要求用户操作移动终端来完成安全输入;
PC端通信模块和移动端通信模块通过数据连接建立通讯;
移动端处理模块在所述移动终端上提示用户并显示安全输入框,用户在所述移动终端输入口令明文信息;所述移动端处理模块对用户输入的所述口令明文信息进行加密处理,形成口令密文数据,并返回给所述PC终端上的所述业务应用前台从而完成安全输入;
所述业务应用前台通过公共网络把所述口令密文数据提交给业务应用后台,所述业务应用后台接收到安全输入的所述口令密文数据后,调用后台处理模块进行解密操作,最后得到用户输入的原始口令明文,业务应用后台就可以根据该原始口令明文信息正常处理后续业务。
本发明采用了公钥基础设施(PKI,Public Key Infrastructure)技术提供的身份认证和加解密功能来解决口令等敏感信息的安全输入问题。为此,首先要通过可信数字认证中心(CA,Certificate Authority)为后台处理模块颁发服务端的数字证书,私钥存放在后台处理模块,在移动终端中预装服务端数字证书。
所述移动端处理模块采用PKI技术,生成一次一密的高强度对称会话密钥来加密保护移动终端键盘输入的口令信息,同时并利用所述移动终端上存放的服务端数字证书对所述对称会话密钥加密,从而形成口令密文数字信封数据,然后将所述口令密文数字信封数据通过移动端通信模块传递给PC终端,确保了安全输入数据的保密性、完整性与可用性。
相应地,本发明还提供了一种利用移动终端实现安全输入的系统,所述系统包括业务应用前台、业务应用后台、PC终端、移动终端、后台处理模块、PC端控制模块、PC端通信模块、移动端通信模块、移动端处理模块。
所述PC终端上的业务应用前台和服务端的业务应用后台是指本系统的具体应用场景中的各种业务应用系统,所述业务应用前台,包括各种浏览器或者客户端软件,完成业务应用的客户端展现和交互;所述业务应用后台,包括B/S及C/S模式的服务器端软件,完成业务应用的后台逻辑处理。
本发明中所述移动终端包括但不限于手机、平板电脑(Tablet PC或Pad)、移动互联网设备(MID)、个人数字助理(PDA),采用广泛普及使用的移动终端作为安全输入设备。
所述PC端控制模块,运行在所述PC终端上,能识别和监测所述业务应用前台程序中的口令输入框组件的行为,能够捕获和控制用户计算机的键盘和鼠标活动,能够提示用户使用移动终端进行安全输入,并获取用户通过移动终端安全输入形成的口令密文数据,传递给所述业务应用前台;所述PC端控制模块的形态包括但不限于ActiveX控件、Java Applet组件、Flash组件。
所述PC端通信模块和移动端通信模块,负责PC终端和移动终端之间的通信,数据连接方式通常为USB数据线,但其他数据线缆、蓝牙、红外也属于本发明使用范畴。
所述后台处理模块,保存有服务端数字证书及私钥,具有数据加解密安全运算服务能力,能够将业务应用后台转发的密文数据进行解密操作,并返回解密之后的明文口令信息给业务应用后台使用。
口令等敏感信息在PC端及公共网络传输时,都是以密文方式传递,保证了用户敏感信息在安全风险比较高的PC环境中安全输入和使用。
本发明中所述的用户口令安全输入是本系统的一个典型应用,而非对其限制,实际上本发明系统可以广泛应用于各类用户敏感信息,如用户信用卡账户或其他关键敏感信息等的安全输入与使用的场景。
(三)有益效果
从上述方案可知,本发明具有如下效益:
1.本发明利用移动终端的键盘完成输入操作,并利用移动终端的计算能力实现对输入的明文敏感信息的加密保护处理,从而实现安全输入。
2.本发明由于采用了广泛普及使用的移动终端,因此实用性比较强。
3.本发明采用PKI密码技术,可以有效地提高关键业务应用的安全性,保护用户的合法利益不受非法侵犯,可应用于各种网上银行系统、网络游戏系统和各类电子商务/电子政务系统等,具有良好的应用前景。
附图说明
图1是一种利用移动终端实现安全输入的方法和系统结构示意图。
图2是一种利用移动终端实现安全输入的方法和系统流程图。
具体实施方式
为了进一步明确本发明的目的、技术方案,下面结合图2对一种利用移动终端实现安全输入的流程进行详细说明。
在本实例中,由用户计算机上的业务应用前台与服务端业务应用后台构成一个关键业务应用系统,例如网上银行系统。后台处理模块通过可信的数字认证中心(CA)申请配置了服务端证书SrvCert及对应的私钥SrvPrvK。用户计算机上安装有PC端控制模块,移动终端中安装有移动端处理模块和服务端证书SrvCert。图2为一种利用移动终端实现安全输入的系统流程图,具体步骤如下:
步骤201:在用户使用PC终端上的关键业务应用程序过程中,当业务应用前台要求用户在密码框中输入密码等敏感信息,用户将鼠标焦点放置于密码输入框中准备输入时,PC端控制模块监测到这个行为或消息。
步骤202:PC端控制模块监测到这个操作,就弹出提示信息要求用户操作移动终端来完成敏感信息输入,同时禁止密码输入框从PC终端键盘输入。
步骤203:用户确保移动终端与PC通过各种数据连接方式连接成功,移动端通信模块激活移动终端上的移动端处理模块。
步骤204:移动端处理模块在移动终端的显示屏上弹出输入框,等待用户从移动终端键盘上输入敏感信息。
步骤205:用户在移动终端键盘上手动输入敏感信息Passwd,键盘可以是物理键盘或虚拟键盘。
步骤206:用户输入完毕并确认后,移动端处理模块就首先生成一个高安全强度的对称会话密钥SK,然后用该SK加密口令信息,得到密文形式的口令数据Passwd′=ESK(Passwd),同时调用移动终端中预置的服务端证书SrvCert中的公钥SrvPubK加密该SK,得到SK′=ESrvPubK(SK),再把两部分密文数据组包形成一次一密的数字信封数据口令密文EnvelopedData=(Passwd′||SK′)。
步骤207:通过移动端通信模块将该口令密文数据EnvelopedData返回给PC端控制模块,然后再返回给PC终端上的业务应用前台,并回显密文到密码输入框中。
步骤208:PC终端上的业务应用前台通过公共网络将口令密文数据EnvelopedData提交给服务端的业务应用后台。
步骤209:业务应用后台收到口令密文数据EnvelopedData后,转发给后台的安全输入后台处理模块请求进行处理。
步骤210:安全输入后台处理模块收到口令密文数据EnvelopedData=(Passwd′||SK′)后,利用自己证书对应的私钥SrvPrvK解密数字信封。
步骤211:首先解密会话密钥SK=DSrvPrvK(SK′),再用该会话密钥SK解密密文口令Passwd=DSK(Passwd′)。
步骤212:如果口令密文数据EnvelopedData正确,那么解密过程成功,最终得到了原始的明文形式的口令信息Passwd,安全输入后台处理模块将该明文形式的口令信息Passwd返回给业务应用后台,这样业务应用后台就得到了安全输入的用户口令Passwd,然后就可以进行后续的正常业务处理。
步骤213:如果口令密文数据EnvelopedData不正确,那么解密过程失败,无法恢复得到原始的明文形式的口令信息,安全输入后台处理模块返回解密失败结果,这样业务应用后台则按输入无效进行异常业务处理。
这样,本发明实施例利用移动终端并基于PKI技术就实现了一个高安全性的输入系统。
以上所述的具体实施步骤,对本发明的目的、技术方案和有益效果进行了进一步详细说明,所应理解的是,以上所述仅为本发明的具体实施步骤而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (2)

1.一种利用移动终端实现安全输入的方法,其特征在于,包括:
业务应用前台在与业务应用后台通信过程中,当业务应用前台需要用户在计算机PC终端上输入口令等敏感信息时,PC端控制模块识别和监测到所述业务应用前台程序中的口令输入框组件的行为,捕获和控制用户计算机的键盘和鼠标活动,提示并要求用户操作移动终端来完成安全输入;
PC端通信模块和移动端通信模块通过数据连接建立通讯;
所述移动终端上的移动端处理模块提示用户并显示安全输入框,用户在所述移动终端输入口令明文信息;所述移动端处理模块采用PKI技术,生成一次一密的高强度对称会话密钥来加密保护移动终端键盘输入的口令信息,同时并利用所述移动终端上存放的服务端数字证书对所述对称会话密钥加密,从而形成口令密文数据,并返回给所述PC终端上的所述业务应用前台从而完成安全输入;
所述业务应用前台通过公共网络把所述口令密文数据提交给业务应用后台,所述业务应用后台接收到安全输入的所述口令密文数据后,调用后台处理模块进行解密操作,最后得到用户输入的原始口令明文,业务应用后台就可以根据该原始口令明文信息正常处理后续业务。
2.一种利用移动终端实现安全输入的系统,其特征在于,包括:
业务应用前台,完成业务应用客户端展现和交互功能的浏览器或者客户端软件;
业务应用后台,完成业务应用后台处理功能的服务器端软件,包括B/S或C/S模式的服务器端软件;
PC端控制模块,运行在PC终端上,能识别和监测所述业务应用前台程序中的口令输入框组件的行为,能够捕获和控制用户计算机的键盘和鼠标活动,能够提示用户使用移动终端进行安全输入,并获取用户通过移动终端安全输入形成的口令密文数据,传递给所述业务应用前台;所述PC端控制模块的形态包括ActiveX控件、Java Applet组件、Flash组件;
移动端处理模块,运行在移动终端上,采用PKI技术,生成一次一密的高强度对称会话密钥来加密保护移动终端键盘输入的口令信息,同时并利用所述移动终端上存放的服务端数字证书对所述对称会话密钥加密,从而形成口令密文数据,然后将所述口令密文数据通过移动端通信模块传递给PC终端,确保了安全输入数据的保密性、完整性与可用性;
PC端通信模块和移动端通信模块,负责PC终端和移动终端之间的通信,数据连接方式通常为USB数据线,也包括蓝牙、红外通信方式;
后台处理模块,保存有服务端数字证书及私钥,具有数据加解密安全运算服务能力,能够将业务应用后台转发的口令密文数据进行解密操作,并返回解密之后的明文口令信息给业务应用后台使用。
CN201210204272.4A 2011-11-30 2012-06-20 一种利用移动终端实现安全输入的方法和系统 Active CN102780812B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210204272.4A CN102780812B (zh) 2011-11-30 2012-06-20 一种利用移动终端实现安全输入的方法和系统

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201120486177.9 2011-11-30
CN201120486177 2011-11-30
CN201210204272.4A CN102780812B (zh) 2011-11-30 2012-06-20 一种利用移动终端实现安全输入的方法和系统

Publications (2)

Publication Number Publication Date
CN102780812A CN102780812A (zh) 2012-11-14
CN102780812B true CN102780812B (zh) 2014-02-19

Family

ID=47125564

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201210204272.4A Active CN102780812B (zh) 2011-11-30 2012-06-20 一种利用移动终端实现安全输入的方法和系统

Country Status (1)

Country Link
CN (1) CN102780812B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103414727A (zh) * 2013-08-23 2013-11-27 安徽安庆瀚科莱德信息科技有限公司 针对input密码输入框的加密保护系统及其使用方法
CN106341229A (zh) * 2016-11-03 2017-01-18 北京挖玖电子商务有限公司 客户端及用于客户端的方法

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051904A (zh) * 2007-05-17 2007-10-10 成都金山互动娱乐科技有限公司 一种保护网络应用程序使用账号密码进行登录的方法
CN101304569A (zh) * 2008-04-24 2008-11-12 中山大学 一种基于智能手机的移动认证系统
CN101425904A (zh) * 2008-11-28 2009-05-06 北京深思洛克软件技术股份有限公司 一种信息安全设备和系统及实现信息安全的方法
CN101662364A (zh) * 2009-09-17 2010-03-03 北京飞天诚信科技有限公司 一种安全登陆的方法和系统
CN102201137A (zh) * 2011-05-04 2011-09-28 北京趋势恒信科技有限公司 网络安全终端以及基于该终端的交互系统和交互方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003022429A (ja) * 2001-07-10 2003-01-24 Naoto Kobayashi 鍵機能付き選択的情報提供icカード
US7383570B2 (en) * 2002-04-25 2008-06-03 Intertrust Technologies, Corp. Secure authentication systems and methods
US7823198B2 (en) * 2006-09-13 2010-10-26 International Business Machines Corporation Secure memory storage device

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101051904A (zh) * 2007-05-17 2007-10-10 成都金山互动娱乐科技有限公司 一种保护网络应用程序使用账号密码进行登录的方法
CN101304569A (zh) * 2008-04-24 2008-11-12 中山大学 一种基于智能手机的移动认证系统
CN101425904A (zh) * 2008-11-28 2009-05-06 北京深思洛克软件技术股份有限公司 一种信息安全设备和系统及实现信息安全的方法
CN101662364A (zh) * 2009-09-17 2010-03-03 北京飞天诚信科技有限公司 一种安全登陆的方法和系统
CN102201137A (zh) * 2011-05-04 2011-09-28 北京趋势恒信科技有限公司 网络安全终端以及基于该终端的交互系统和交互方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JP特开2003-22429A 2003.01.24

Also Published As

Publication number Publication date
CN102780812A (zh) 2012-11-14

Similar Documents

Publication Publication Date Title
WO2022206349A1 (zh) 一种信息验证的方法、相关装置、设备以及存储介质
KR102678262B1 (ko) 분산형 컴퓨터 애플리케이션들을 구축하기 위한 비-보관 툴
US9231925B1 (en) Network authentication method for secure electronic transactions
US8763097B2 (en) System, design and process for strong authentication using bidirectional OTP and out-of-band multichannel authentication
EP2332089B1 (en) Authorization of server operations
CN111737366B (zh) 区块链的隐私数据处理方法、装置、设备以及存储介质
CN110572804B (zh) 蓝牙通信认证请求、接收及通信方法、移动端、设备端
CN111245802B (zh) 数据传输安全控制方法、服务器以及终端
US20130205133A1 (en) Strongly authenticated, third-party, out-of-band transactional authorization system
US20180062863A1 (en) Method and system for facilitating authentication
CN105450406A (zh) 数据处理的方法和装置
KR20190028787A (ko) 그래픽 코드 정보를 제공 및 획득하기 위한 방법 및 디바이스, 그리고 단말
EP4246892A2 (en) Method and system for controlling the exchange of privacy-sensitive information
CN104202163A (zh) 一种基于移动终端的密码系统
CA3166510A1 (en) Sharing encrypted items with participants verification
CN115473655B (zh) 接入网络的终端认证方法、装置及存储介质
US20220247729A1 (en) Message transmitting system with hardware security module
CN102780812B (zh) 一种利用移动终端实现安全输入的方法和系统
CN112261015A (zh) 基于区块链的信息共享方法、平台、系统以及电子设备
CN101572698B (zh) 一种文件网络传输通用加密方法
Varshney et al. A new secure authentication scheme for web login using BLE smart devices
Divya et al. An impervious QR-based visual authentication protocols to prevent black-bag cryptanalysis
KR20130090725A (ko) 키 입력 보안 시스템 및 이를 이용한 방법
JP2022528366A (ja) Htmlブラウザ承認アプローチを含むコンピュータシステムおよび方法
CN103929743A (zh) 一种对移动智能终端传输数据的加密方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant