CN105653994A - 一种用于防止内存密码泄漏的方法 - Google Patents

一种用于防止内存密码泄漏的方法 Download PDF

Info

Publication number
CN105653994A
CN105653994A CN201610096301.8A CN201610096301A CN105653994A CN 105653994 A CN105653994 A CN 105653994A CN 201610096301 A CN201610096301 A CN 201610096301A CN 105653994 A CN105653994 A CN 105653994A
Authority
CN
China
Prior art keywords
password
login password
internal memory
leakage
login
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201610096301.8A
Other languages
English (en)
Inventor
梁彬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Inspur General Software Co Ltd
Original Assignee
Inspur General Software Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Inspur General Software Co Ltd filed Critical Inspur General Software Co Ltd
Priority to CN201610096301.8A priority Critical patent/CN105653994A/zh
Publication of CN105653994A publication Critical patent/CN105653994A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/84Protecting input, output or interconnection devices output devices, e.g. displays or monitors
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种用于防止内存密码泄漏的方法,属于智能客户端技术领域,本发明要解决的技术问题为如何保护内存中的敏感数据不被泄漏,实现GUI桌面程序在认证时的用户名、密码等敏感数据的安全保护。技术方案为:该方法为在智能客户端登录时,防止登录密码泄露的方法,包括如下步骤:(1)、在智能客户端登录时,在智能客户端的密码框内输入字符,即输入的字符为登录密码;(2)、将步骤(1)中输入的登录密码替换为随机字符;(3)、将步骤(1)中输入的登录密码以密文的形式存储在内存中。

Description

一种用于防止内存密码泄漏的方法
技术领域
本发明涉及智能客户端(SmartClient)技术领域,具体地说是一种用于防止内存密码泄漏的方法。
背景技术
智能客户端(SmartClient)技术是一种基于互联网(Internet)的富客户端技术。在客户端,采用富客户端(RichClient)技术,可充分利用客户端机器的本地资源,为用户提供丰富的用户交互体验。与B/S(Browser/Server,浏览器/服务器)应用程序相比,可展现给用户的界面是像安装在本地桌面系统上的GUI(GraphicsUserInterface,图形用户界面)程序界面,它有很多的复杂界面交互元素如树、菜单、网格等,对用户的友好性和可交互性大大增强,可满足用户界面交互的各种个性化需求,并且可提供本地数据缓存、离线应用等强大功能。而与C/S(Client/Server,客户机/服务器)应用程序对比,智能客户端技术提供客户端程序的自动部署更新,避免了客户端程序维护的各种繁琐和困难。
智能客户端技术采用基于HTTP和XML的网络服务(WebService)技术传输数据,可基于互联网访问,并且客户端和服务器端仅传递必要的数据信息,这与B/S应用中基于HTML的传输方式(数据信息和界面格式信息混在一起)相比,可有效降低网络数据传输数据量,降低了对网络带宽的要求。
综上所述,智能客户端技术允许应用程序在互联网上以一种像使用Web一样简单的方式来发布和使用富客户端程序。智能客户端技术非常适合开发面向企业应用的管理信息系统,目前在企业管理软件领域已经有多种主流产品基于智能客户端技术搭建。
对于智能客户端登录不可避免的需要输入用户名密码,而如何保证这些敏感数据的安全性,也越来越受到重视。如何保护内存中的敏感数据不被泄漏(恶意扫描),实现GUI桌面程序在认证时的用户名、密码等敏感数据的安全保护是目前急需解决的技术问题。
发明内容
本发明的技术任务是针对以上不足之处,提供一种用于防止内存密码泄漏的方法,来解决如何保护内存中的敏感数据不被泄漏(恶意扫描),实现GUI桌面程序在认证时的用户名、密码等敏感数据的安全保护的问题。
本发明解决其技术问题所采用的技术方案是:一种用于防止内存密码泄漏的方法,该方法为在智能客户端登录时,防止登录密码泄露的方法,包括如下步骤:
(1)、在智能客户端登录时,在智能客户端的密码框内输入字符,即输入的字符为登录密码;
(2)、将步骤(1)中输入的登录密码替换为随机字符;
(3)、将步骤(1)中输入的登录密码以密文的形式存储在内存中。
作为优选,所述步骤(2)是通过一个字符数组来存储候选的随机字符,使用密码框的键盘事件(Keypress事件)来替换步骤(1)输入的登录密码,将登录密码替换为随机字符,同时在随机字符数组中移除被使用的随机字符。
作为优选,所述步骤(3)是在密码框的值改变事件(textchange事件)中将真实的登录密码存储在SecureString的实例中,通过SecureString自身的特性使登录密码在内存中以密文的形式存储。
本发明的一种用于防止内存密码泄漏的方法和现有技术相比,具有以下有益效果:
1、本发明涉旨在提高智能客户端登录的安全性,保护用户的敏感数据不被内存扫描软件恶意读取,提供一种保护内存密码不被读取的方法,解决敏感数据在内存中是以明文形式存在的方法,包括输入数据替换为随机字符、将数据以密文的形式存储在内存中;
2、本发明替换用户输入的登录密码为随机字符,将真正的登录密码字符以密文的形式存储在内存中,达到防止内存中的明文密码被内存扫描软件扫到的目的,借助于SecureString类的相关方法将密码以加密后的形式存储于内存中,在使用时可通过其相关方法获取到明文的密码。
由此可见,本发明具有设计合理、使用方便、一物多用等特点,因而,具有很好的推广使用价值。
附图说明
下面结合附图对本发明进一步说明。
附图1为一种用于防止内存密码泄漏的方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明。
如附图1所示,本发明的一种用于防止内存密码泄漏的方法,该方法为在智能客户端登录时,防止登录密码泄露的方法,包括如下步骤:
(1)、在智能客户端登录时,在智能客户端的密码框内输入字符,即输入的字符为登录密码;
(2)、将步骤(1)中输入的登录密码替换为随机字符:通过一个字符数组来存储候选的随机字符,使用密码框的键盘事件(Keypress事件)来替换步骤(1)输入的登录密码,将登录密码替换为随机字符,同时在随机字符数组中移除被使用的随机字符;
(3)、将步骤(1)中输入的登录密码以密文的形式存储在内存中:在密码框的值改变事件(textchange事件)中将真实的登录密码存储在SecureString的实例中,通过SecureString自身的特性使登录密码在内存中以密文的形式存储。
该方法的具体实施方法如下:
首先,声明相关变量,如下:
privateRandomrandom=newRandom();
privateHashSet<char>poor=newHashset<char>();
privatecharsecret;
privatechartoken;
privateList<char>fake=newList<char>();
publicSecureStringPd{get;privateset;}
然后,在密码框键盘事件替换输入的字符为随机字符,如下:
最后,在密码框值更改事件中,将密码写入到SecureString的实例中,如下:
通过上面具体实施方式,所述技术领域的技术人员可容易的实现本发明。但是应当理解,本发明并不限于上述的一种具体实施方式。在公开的实施方式的基础上,所述技术领域的技术人员可任意组合不同的技术特征,从而实现不同的技术方案。
除说明书所述的技术特征外,均为本专业技术人员的已知技术。

Claims (3)

1.一种用于防止内存密码泄漏的方法,其特征在于:该方法为在智能客户端登录时,防止登录密码泄露的方法,包括如下步骤:
(1)、在智能客户端登录时,在智能客户端的密码框内输入字符,即输入的字符为登录密码;
(2)、将步骤(1)中输入的登录密码替换为随机字符;
(3)、将步骤(1)中输入的登录密码以密文的形式存储在内存中。
2.根据权利要求1所述的一种用于防止内存密码泄漏的方法,其特征在于:所述步骤(2)是通过一个字符数组来存储候选的随机字符,使用密码框的键盘事件来替换步骤(1)输入的登录密码,将登录密码替换为随机字符,同时在随机字符数组中移除被使用的随机字符。
3.根据权利要求1所述的一种用于防止内存密码泄漏的方法,其特征在于:所述步骤(3)是在密码框的值改变事件中将真实的登录密码存储在SecureString的实例中,通过SecureString自身的特性使登录密码在内存中以密文的形式存储。
CN201610096301.8A 2016-02-22 2016-02-22 一种用于防止内存密码泄漏的方法 Pending CN105653994A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201610096301.8A CN105653994A (zh) 2016-02-22 2016-02-22 一种用于防止内存密码泄漏的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201610096301.8A CN105653994A (zh) 2016-02-22 2016-02-22 一种用于防止内存密码泄漏的方法

Publications (1)

Publication Number Publication Date
CN105653994A true CN105653994A (zh) 2016-06-08

Family

ID=56489660

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201610096301.8A Pending CN105653994A (zh) 2016-02-22 2016-02-22 一种用于防止内存密码泄漏的方法

Country Status (1)

Country Link
CN (1) CN105653994A (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506153A (zh) * 2016-11-28 2017-03-15 浙江齐治科技股份有限公司 一种自动改密方法、装置及堡垒机
CN107688729A (zh) * 2017-07-27 2018-02-13 大唐高鸿信安(浙江)信息科技有限公司 基于可信主机的应用程序保护系统及方法
CN109614788A (zh) * 2018-12-05 2019-04-12 北京天融信网络安全技术有限公司 一种审计信息处理方法及审计系统
CN109726570A (zh) * 2018-12-25 2019-05-07 上海众源网络有限公司 一种信息输入方法及装置
CN112261005A (zh) * 2020-09-27 2021-01-22 中孚安全技术有限公司 一种Web安全登录密码的隐藏方法及系统

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101374149A (zh) * 2008-09-19 2009-02-25 中国民生银行股份有限公司 防止盗取密码的方法及系统
US20090260077A1 (en) * 2008-04-11 2009-10-15 Microsoft Corporation Security-enhanced log in
CN103076988A (zh) * 2012-12-28 2013-05-01 银联商务有限公司 一种密码输入方法及装置
CN104281272A (zh) * 2013-07-11 2015-01-14 北京数码视讯科技股份有限公司 密码输入处理方法及装置
CN105205386A (zh) * 2014-06-25 2015-12-30 腾讯科技(深圳)有限公司 移动终端应用程序密码保护方法和装置
CN105335674A (zh) * 2014-08-07 2016-02-17 北京奇虎科技有限公司 密码防盗方法和装置

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20090260077A1 (en) * 2008-04-11 2009-10-15 Microsoft Corporation Security-enhanced log in
CN101374149A (zh) * 2008-09-19 2009-02-25 中国民生银行股份有限公司 防止盗取密码的方法及系统
CN103076988A (zh) * 2012-12-28 2013-05-01 银联商务有限公司 一种密码输入方法及装置
CN104281272A (zh) * 2013-07-11 2015-01-14 北京数码视讯科技股份有限公司 密码输入处理方法及装置
CN105205386A (zh) * 2014-06-25 2015-12-30 腾讯科技(深圳)有限公司 移动终端应用程序密码保护方法和装置
CN105335674A (zh) * 2014-08-07 2016-02-17 北京奇虎科技有限公司 密码防盗方法和装置

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
MATTHEW MACDONALD: "《WPF编程宝典——C#2010版》", 30 June 2011, 清华大学出版社 *

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106506153A (zh) * 2016-11-28 2017-03-15 浙江齐治科技股份有限公司 一种自动改密方法、装置及堡垒机
CN107688729A (zh) * 2017-07-27 2018-02-13 大唐高鸿信安(浙江)信息科技有限公司 基于可信主机的应用程序保护系统及方法
CN109614788A (zh) * 2018-12-05 2019-04-12 北京天融信网络安全技术有限公司 一种审计信息处理方法及审计系统
CN109614788B (zh) * 2018-12-05 2024-04-23 北京天融信网络安全技术有限公司 一种审计信息处理方法及审计系统
CN109726570A (zh) * 2018-12-25 2019-05-07 上海众源网络有限公司 一种信息输入方法及装置
CN112261005A (zh) * 2020-09-27 2021-01-22 中孚安全技术有限公司 一种Web安全登录密码的隐藏方法及系统

Similar Documents

Publication Publication Date Title
JP6626095B2 (ja) 機密情報処理方法、装置、及び、サーバ、ならびに、セキュリティ決定システム
CN105653994A (zh) 一种用于防止内存密码泄漏的方法
CN106682028B (zh) 获取网页应用的方法、装置及系统
US11785464B2 (en) Media agnostic content access management
US20150365385A1 (en) Method and apparatus for securing sensitive data in a cloud storage system
ES2728292T3 (es) Servidor y método para proporcionar un acceso seguro a servicios basados en la red
CN104852925A (zh) 移动智能终端数据防泄漏安全存储、备份方法
US8887290B1 (en) Method and system for content protection for a browser based content viewer
CN104123059A (zh) 基于web桌面化的云计算管理系统
CN107438061B (zh) 一种kafka客户端鉴权的方法和装置
CN110138818B (zh) 传递参数的方法、网站应用、系统、装置以及服务后端
Wang et al. New chaotic encryption algorithm based on chaotic sequence and plain text
CN103414727A (zh) 针对input密码输入框的加密保护系统及其使用方法
CN106941524A (zh) 一种hdfs的web文件配置方法
CN106203141A (zh) 一种应用的数据处理方法和装置
CN116132715A (zh) 一种用于视频溯源与安全验证的方法与装置
CN101369891A (zh) 一种动态密码认证方法及双矩阵动态密码卡
CN115189956B (zh) 一种文件安全共享方法
Zhang et al. Research on security mechanism and forensics of SQLite database
CN106230769B (zh) 基于移动终端信任度的移动云数据分级接入控制方法
Yang et al. A study on smartwork security technology based on cloud computing environment
CN101335623A (zh) 一种采用口令变换的网络身份认证方法
CN107111635A (zh) 内容传递方法
CN101872403A (zh) 一种保护浏览器显示信息的系统及方法
Anderson Professionalization of journalism

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication

Application publication date: 20160608

RJ01 Rejection of invention patent application after publication