CN201294548Y - 一种信息安全设备 - Google Patents
一种信息安全设备 Download PDFInfo
- Publication number
- CN201294548Y CN201294548Y CNU200820124038XU CN200820124038U CN201294548Y CN 201294548 Y CN201294548 Y CN 201294548Y CN U200820124038X U CNU200820124038X U CN U200820124038XU CN 200820124038 U CN200820124038 U CN 200820124038U CN 201294548 Y CN201294548 Y CN 201294548Y
- Authority
- CN
- China
- Prior art keywords
- information
- module
- security
- information safety
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Images
Landscapes
- User Interface Of Digital Computer (AREA)
Abstract
本实用新型公开了一种信息安全设备,该信息安全设备包含能够与计算机交互的通讯模块,该设备还包括:与所述通讯模块相连的信息安全多功能模块、以及与所述信息安全多功能模块相连的功能选择部件;其中,所述信息安全多功能模块包含至少两个不同功能的安全认证模块;所述功能选择部件依据物理方式的输入,触发所述信息安全多功能模块中任一或一组安全认证模块。采用该信息安全设备可提高信息安全的可靠性。
Description
技术领域
本实用新型涉及信息安全领域,特别涉及一种信息安全设备。
背景技术
目前,电子商务改变了传统商务的运作模式,极大提高了商务效率并降低了交易成本,然而在所有的电子商务应用中,信息安全都被作为最重要的考虑因素。电子商务最主要的信息安全隐患来自于客户端,例如用户所使用的联网计算机和运行于该计算机上的软件、移动设备或者运行于其上的软件。因此,电子商务一般都要采取安全强度很高的身份认证手段,以在电子商务中确认用户的身份,防止假冒和欺诈。
在现有技术中,用于身份认证一般为USBKey等信息安全设备,申请号为200710301863.2的专利公开了一种包含显示屏的USBKey,图1为现有技术中进行网上银行的身份认证的方法流程图,如图1所示,以信息安全设备为包含显示屏的USBKey为例,该方法包括以下步骤:
步骤101,将USBKey通过USB接口与联网计算机相连接。
步骤102,使用联网计算机录入网上银行的交易信息。
步骤103,联网计算机装置将录入的交易信息传给USBKey。
步骤104,USBKey将联网计算机传入的交易信息显示在USB Key的可视屏幕上,等待客户进行确认。
步骤105,USBKey接收联网计算机的交易信息,待客户对可视屏幕的数据进行确认后,客户点击USBKey上的按扭,从而以脱离软件控制的物理方式实现对交易信息进行数字签名的确认;如果客户不点击按钮,则USBKey不进行数字签名交易,整个网上银行签名交易流程被终止。
步骤106,USBKey受到签名交易触发后,使用数字证书和私人密钥对交易信息进行数字签名,并将签名后的签名数据返回给联网计算机。
步骤107,联网计算机将录入的交易信息和USBKey返回的签名数据通过网络传送给银行交易系统。
步骤108,银行交易系统对接收到的交易信息和数字签名数据进行验证,验证通过后则进行交易处理。
步骤109,银行交易系统将网上银行的交易处理结果通过网络返回给联网计算机。
上述流程能够实现用户登录网上银行后进行安全的交易,由于网上银行的特殊性,交易的频次相对较低,因此上述方法对于防范虚假交易有较高的价值。但是,对于更多的网络应用,例如网络游戏中的虚拟物品交易,交易是高度频繁的操作,在实际应用中根本不可能对每次交易都在USBkey的显示屏上确认后进行,这样会使得游戏过程无法进行。因此,对于这一类的网络应用通常采用的是高可靠性的安全登录技术,确保黑客不能顺利仿冒用户进行登录。上述参考技术并不能防止客户端被例如木马等病毒侵入后,中间人仿冒用户的身份登录网上银行,因为在整个登录过程中显示屏上显示的都将是服务器提供的真实的信息,只不过通信的过程被黑客所接管和利用。仅仅在USB Key上增加简单的确认按钮只能解决木马病毒在后台执行的静默攻击,木马病毒还完全能够在后台执行某一网络操作、并利用虚假信息欺骗用户当前正在执行另一网络操作,则用户会再次通过物理方式进行确认,从而使得中间人能够在用户被欺骗的情况下实现攻击,因此现有信息安全设备的信息安全可靠性不高。
实用新型内容
有鉴于此,本实用新型的主要目的在于提供一种信息安全设备,以提高信息安全的可靠性。
为达到上述目的,本实用新型的技术方案具体是这样实现的:
一种信息安全设备,该信息安全设备包含能够与计算机交互的通讯模块,该设备还包括:与所述通讯模块相连的信息安全多功能模块、以及与所述信息安全多功能模块相连的功能选择部件;其中,
所述信息安全多功能模块包含至少两个不同功能的安全认证模块;
所述功能选择部件依据物理方式的输入,触发所述信息安全多功能模块中任一或一组安全认证模块。
所述安全认证模块为具有下述功能之一或任意组合的安全认证模块:密码学加密算法、密码学解密算法、数字签名、数据存储、随机数生成、哈希算法、消息鉴别码算法。
所述功能选择部件为下述之一或任意组合:开关组、多向按键、拨盘、滚动按键、选择按键、触摸屏、触摸感应开关、光电感应开关。
所述通讯模块与计算机连接,通过所述计算机与网络侧交互。
所述通讯模块与计算机的连接方式为通过USB接口、无线USB接口、1394接口或蓝牙接口连接。
该设备进一步包括:与所述通讯模块相连的提示部件,显示来自网络侧的表示当前网络操作进程的提示信息。
所述提示部件不同颜色的多个LED、不同位置的多个LED、电子墨水、液晶显示屏、声音提示器件。
由上述的技术方案可见,本实用新型提供了一种信息安全设备,该信息安全设备包含能够与计算机交互的通讯模块,该设备还包括:与所述通讯模块相连的信息安全多功能模块、以及与所述信息安全多功能模块相连的功能选择部件;其中,所述信息安全多功能模块包含至少两个不同功能的安全认证模块;所述功能选择部件依据物理方式的输入,触发所述信息安全多功能模块中任一或一组安全认证模块。这样,即便客户端被例如木马等病毒侵入,以至于中间人能够在后台执行某一网络操作,并利用虚假信息欺骗用户当前正在执行另一网络操作,但由于网络操作需要不同功能的安全认证模块,因此,如果用户受到虚假信息的欺骗,以物理方式的输入触发另一网络操作需要的安全认证模块,也会使得中间人在后台真正执行的该某一网络操作无法成功。由此可知,本实用新型能够在用户由于客户端被例如木马等病毒侵入而被欺骗的情况下,避免中间人的攻击,从而能够提高信息安全的可靠性。
附图说明
图1为现有技术中进行网上银行的身份认证的方法流程图;
图2为本实用新型所提供的信息安全设备的结构图;
图3为本实用新型所提供的信息安全设备的工作原理图;
图4为本实用新型所提供的信息安全设备中功能选择部件的实例的工作原理图;
图5为应用本实用新型所提供的信息安全设备所实现的操作的实例的流程图。
具体实施方式
为使本实用新型的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本实用新型进一步详细说明。
本实用新型提供了一种信息安全设备,该信息安全设备包含能够与计算机交互的通讯模块,该设备还包括:与所述通讯模块相连的信息安全多功能模块、以及与所述信息安全多功能模块相连的功能选择部件;其中,所述信息安全多功能模块包含至少两个不同功能的安全认证模块,相应地,这里所述的不同功能、或不全相同的功能组合,可以分别对应网络侧的不同网络操作(所述的不同网络操作可以是指操作类型的不同、也可以是指操作时间的不同、还可以是指操作类型和操作时间的不同);所述功能选择部件依据物理方式的输入,触发所述信息安全多功能模块中任一或一组安全认证模块。
图2为本实用新型提供的信息安全设备的结构图,如图2所示,信息安全设备200包括:通讯模块201、信息安全多功能模块202和功能选择部件203。信息安全设备200通过其内部的通讯模块201与计算机相连接,以通过计算机实现与网络侧的交互。连接方式与现有技术相同,例如可通过USB接口、无线USB接口、1394接口或蓝牙接口实现通讯模块201与计算机的连接。
信息安全多功能模块202,与通讯模块201和功能选择部件203相连接,包括至少两个不同功能的安全认证模块。其中,本文所述的“不同功能”,较佳地是指网络侧的不同网络操作所需的不同功能。也就是说,不同功能、或不全相同的功能组合可以分别对应网络侧的不同网络操作。
实际应用中,安全认证模块可以为具有下述功能之一或任意功能组合的安全认证模块:密码学加密算法、密码学解密算法、数字签名、数据存储、随机数生成、哈希算法、消息鉴别码算法。
功能选择部件203,与信息安全多功能模块202相连接,功能选择部件203可依据物理方式的输入,触发信息安全多功能模块201中任一或一组安全认证模块,等效于触发了网络操作所需要的功能所对应的安全认证模块。
具体来说,功能选择部件203可以包括与至少两种功能分别一一对应的至少两路输出,且功能选择部件203还包括能够以物理方式导通任一路或一组输出的开关,此处所述的开关,其闭合与断开只依据其物理结构受到外力后的接触状态变化,而并不直接受任何电信号的控制,相应地,本文所述的物理方式主要也是指不直接受任何电信号控制的方式。由此,通过闭合任意类型的开关将与任一或一组功能所对应的一路输出导通,即可以依据物理方式的输入,触发所述信息安全多功能模块中与网络操作所需要的功能所对应的安全认证模块。
实际应用中,功能选择部件203可以是下述之一或任意组合:开关组、多向按键、滚动按键、选择按键、多重选择功能的拨盘、触摸屏、触摸感应开关、光电感应开关。
基于上述信息安全设备200,当用户获知当前正在执行某一网络操作时,可以通过对功能选择部件203施加外力,以通过功能选择部件203的物理方式输入,触发信息安全多功能模块202中与该用户所获知的某一网络操作需要的功能所对应的安全认证模块。这样,如果用户获知当前正在执行某一网络操作的信息,是网络侧提供的真实信息,则基于被触发的该网络操作需要的功能所对应的安全认证模块实现该网络操作的认证;如果用户获知当前正在执行某一网络操作的信息,是由于该用户使用的客户端被木马病毒侵入而产生的虚假信息,即用户获知的当前正在执行某一网络操作并不是当前所执行的真实网络操作,则由于被触发的用户获知的某一网络操作需要的功能所对应的安全认证模块,不同于真实网络操作所需要的功能所对应的安全认证模块,因而真实网络操作的认证不会在用户被欺骗的情况下通过。
图3为本实用新型所提供的信息安全设备的工作原理图,如图3所示,用户通过物理方式的输入操作功能选择部件203并选择N个网络操作所分别需要的安全认证模块1、安全认证模块2...安全认证模块N,以此来触发与N个网络操作所分别需要的N个功能所一一对应的N个安全认证模块。
可见,本实施例的信息安全设备中设置了至少两个不同功能的安全认证模块,不同功能、或不全相同的功能组合可以分别对应网络侧的不同网络操作,这样,在任一个网络操作之前,该信息安全设备均可依据物理方式的输入来触发该网络操作所需要的功能所对应的安全认证模块。这样,即便客户端被例如木马等病毒侵入,以至于中间人能够在后台执行某一网络操作,却利用虚假信息欺骗用户当前正在执行另一网络操作,但由于不同网络操作需要不同功能的安全认证模块,因此,如果用户受到虚假信息的欺骗,以物理方式的输入触发另一网络操作需要的功能所对应的安全认证模块,也会使得中间人在后台真正执行的该某一网络操作无法成功。也就是说,上述信息安全设备能够在用户由于客户端被例如木马等病毒侵入而被欺骗的情况下,避免中间人的攻击,从而能够提高信息安全认证的可靠性。
当然,为了进一步提高信息安全认证的可靠性,用户也可以在每一个网络操作之前,均利用信息安全设备200,通过物理方式的输入来触发相应网络操作所需要的功能所对应的安全认证模块。
可选地,在本实施例中,信息安全设备200还可以进一步包括提示部件(图2中未示出),该提示部件通过信息安全设备200中通讯模块201与计算机相连,用于接收并输出来自网络侧的表示当前网络操作进程或其他内容的提示信息。较佳地,提示部件可以通过通讯模块201,直接接收计算机与网络侧的接口所接收到的提示信息,以避免来自网络侧的提示信息被侵入有病毒的计算机软件更改。
在本实施例中,提示部件有助于用户及时发现自己是否已经受到后台攻击,例如,当用户需要进行网上银行交易时,假设当前的真实网络操作为账户交易,而用户由于客户端被木马病毒侵入,而被中间人提供的虚假信息欺骗,认为当前的网络操作为登录银行系统,但是,由于提示部件提供的提示信息,是直接接收计算机与网络侧的接口、且未被侵入有病毒的计算机软件更改的提示信息,因而用户可及时获知已受到中间人攻击。
实际应用中,提示部件可以包含下述之一或任意组合:不同颜色的多个LED、不同位置的多个LED、电子墨水、液晶显示屏、声音提示器件。那么,对于提示部件包含LED、电子墨水、液晶显示屏的情况,提示部件输出提示信息的方式为显示输出;而对于提示部件包含声音提示器件的情况,提示部件输出提示信息的方式为音频输出。
此外,提示部件集成于信息安全设备200中,也可以与信息安全设备200分别位于不同的物理实体内。在包括提示部件的情况下,较佳地,多功能选择部件采用滚动按键、选择按键。
以上,是对本实施例中信息安全设备的说明,下面再通过一个实例详述本实用新型的技术方案。
图4为本实用新型所提供的信息安全设备中功能选择部件的实例的工作原理图,如图4所示,在本实例中,信息安全设备为一个USBKey,信息安全设备具有一存储区域401,存储区域401中的信息安全多功能模块中包含8个数字证书,每个数字证书分别作为一个安全认证模块,信息安全设备中的功能选择部件为一个8状态的功能选择拨盘,功能选择拨盘403中的位置“1”到“8”分别对应8路输出,且8路输出分别与“数字证书1”到“数字证书8”一一对应,当功能选择拨盘受到外力而被拨到不同位置的时候,相应的一路输出导通,从而触发对应编号的数字证书为当前可用。假设,当功能选择拨盘403的位置“4”对准选择指示402的时,位置“4”对应的一路输出导通,触发证书存储区401中的数字证书4被设置为当前可用数字证书,其他数字证书暂不可用。
图5为应用本实用新型所提供的信息安全设备所实现的操作的实例的流程图,如图5所示,假设数字证书1被用作第一次登录认证,数字证书2被用作第二次登录认证,不可互换或者替代,该操作流程包括以下步骤:
步骤501,开始第一次登录认证,网络服务器需要用户使用数字证书1进行数字签名。
步骤502,用户拨动功能选择拨盘、使其位置1对准选择指针,以通过物理方式触发数字证书1可用,然后完成第一次身份认证过程。
步骤503,用户通过网络服务器提供的信息判断是否认证成功,如果认证成功,则执行步骤504;否则,执行步骤510:退出登录过程。
步骤504:用户可以在网络游戏的虚拟世界中活动,但是不能进行虚拟财产有关的交易。
步骤505,开始第二次登录认证,网络服务器需要用户使用数字证书2进行数字签名。
步骤506,用户根据在虚拟实际中的情况,判断是否已经成功登录进入了游戏系统,如果认为成功,则执行步骤507,否则,执行步骤511:退出登录过程。
步骤507,用户拨动功能选择拨盘、使其位置2对准选择指针,以通过物理方式触发数字证书2,然后完成第二次身份认证。
步骤508,用户通过服务器提供的信息判断是否认证成功,如果认证成功,则执行步骤509;否则,执行步骤512:退出登录过程。
步骤509,网络服务器解锁用户的虚拟物品,用户可以开始相关的交易。
由此可见,该登录过程被分为两个环节、即包括两个网络操作,在第一个环节中,涉及第一次登录的网络操作、且第一次登录的网络操作需要数字证书1,用户操作功能选择拨盘,以物理方式选择服务器所需要的数字证书1进行身份认证;在第二个环节中,涉及第二次登录的网络操作、且第二次登录的网络操作需要数字证书2,用户操作功能选择拨盘,以物理方式选择服务器所需要的数字证书2进行第二次身份认证。这样可以有效防范木马等病毒的后台攻击。
假设,客户端在用户执行第一次登录的网络操作过程中被木马等病毒侵入,以至于中间人在远程计算机上仿冒用户进行第一次登录的网络操作从而进入了游戏系统,然后在后台执行第二次登录的网络操作,并利用虚假信息欺骗用户当前仍需要执行第一次登录或其他的网络操作。然而,即便用户被虚假信息所欺骗,并且用户拨动功能选择拨盘、使其除位置2之外的其他位置对准选择指针,那么由于此时的数字证书2不可用,因而中间人在后台执行第二次登录的网络操作不会成功,保证了帐号中的虚拟财产仍然是安全的。
当然,在实际应用中,如图5所示的上述流程并不限于每次网络操作都需要用户依靠物理方式的输入触发相应的安全认证模块,可仅在涉及例如相关交易等重要的网络操作环节,依靠用户通过物理方式的输入来触发相应的安全认证模块。
以上所述,仅为本实用新型的较佳实施例而已,并非用来限定本实用新型的保护范围。凡在本实用新型的精神和原则之内,所作的任何修改、等同替换以及改进等,均应包含在本实用新型的保护范围之内。
Claims (7)
1、一种信息安全设备,该信息安全设备包含能够与计算机交互的通讯模块,其特征在于,该设备还包括:与所述通讯模块相连的信息安全多功能模块、以及与所述信息安全多功能模块相连的功能选择部件;其中,
所述信息安全多功能模块包含至少两个不同功能的安全认证模块;
所述功能选择部件依据物理方式的输入,触发所述信息安全多功能模块中任一或一组安全认证模块。
2、根据权利要求1所述的设备,其特征在于,所述安全认证模块为具有下述功能之一或任意组合的安全认证模块:密码学加密算法、密码学解密算法、数字签名、数据存储、随机数生成、哈希算法、消息鉴别码算法。
3、根据权利要求1或2所述的设备,其特征在于,所述功能选择部件为下述之一或任意组合:开关组、多向按键、拨盘、滚动按键、选择按键、触摸屏、触摸感应开关、光电感应开关。
4、根据权利要求1或2所述的设备,其特征在于,所述通讯模块与计算机连接,通过所述计算机与网络侧交互。
5、根据权利要求4所述的设备,其特征在于,所述通讯模块与计算机的连接方式为通过USB接口、无线USB接口、1394接口或蓝牙接口连接。
6、根据权利要求1或2所述的设备,其特征在于,该设备进一步包括:与所述通讯模块相连的提示部件,显示来自网络侧的表示当前网络操作进程的提示信息。
7、根据权利要求6所述的设备,其特征在于,所述提示部件不同颜色的多个LED、不同位置的多个LED、电子墨水、液晶显示屏、声音提示器件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU200820124038XU CN201294548Y (zh) | 2008-11-28 | 2008-11-28 | 一种信息安全设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNU200820124038XU CN201294548Y (zh) | 2008-11-28 | 2008-11-28 | 一种信息安全设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN201294548Y true CN201294548Y (zh) | 2009-08-19 |
Family
ID=41008030
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNU200820124038XU Expired - Lifetime CN201294548Y (zh) | 2008-11-28 | 2008-11-28 | 一种信息安全设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN201294548Y (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106651372A (zh) * | 2016-10-24 | 2017-05-10 | 中国银行股份有限公司 | 数据处理方法及系统 |
-
2008
- 2008-11-28 CN CNU200820124038XU patent/CN201294548Y/zh not_active Expired - Lifetime
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106651372A (zh) * | 2016-10-24 | 2017-05-10 | 中国银行股份有限公司 | 数据处理方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106453330B (zh) | 一种身份认证的方法和系统 | |
| CN103986837B (zh) | 信息处理方法及装置 | |
| CA2875503C (en) | Enterprise triggered 2chk association activation | |
| CA2875563C (en) | Enchanced 2chk authentication security with query transactions | |
| CN101459513B (zh) | 一种计算机和用于认证的安全信息的发送方法 | |
| US8627088B2 (en) | System and method for in- and out-of-band multi-factor server-to-user authentication | |
| CN101414909B (zh) | 网络应用用户身份验证系统、方法和移动通信终端 | |
| Das et al. | On the security of SSL/TLS-enabled applications | |
| CN101286848A (zh) | 登录认证方法和登录签名程序 | |
| CN110492990A (zh) | 区块链场景下的私钥管理方法、装置及系统 | |
| CN103825871A (zh) | 一种鉴权系统及其发射终端、接收终端和权限认证方法 | |
| CN101447867B (zh) | 一种管理数字证书的方法和系统 | |
| Yoo et al. | Case study of the vulnerability of OTP implemented in internet banking systems of South Korea | |
| CN102684880A (zh) | 一种usb挑战应答令牌认证方法及系统 | |
| CN101425904A (zh) | 一种信息安全设备和系统及实现信息安全的方法 | |
| CN105933118A (zh) | 通讯方法、系统、pci密码卡和远程管理介质 | |
| CN101763477A (zh) | 一种智能密钥装置的签名方法 | |
| EP1813052B1 (fr) | Procédé de sécurisation de transactions effectuées à distance sur un réseau de communication ouvert | |
| CN103595532A (zh) | 基于usbkey和动态口令技术的复合型多功能密码钥匙 | |
| CN201294548Y (zh) | 一种信息安全设备 | |
| CN104702410A (zh) | 一种动态口令认证装置、系统和方法 | |
| CN201548998U (zh) | 一种辅助实现USB Key安全性的装置 | |
| CN202495949U (zh) | 一种安全性增强的信息安全设备 | |
| CN101911085A (zh) | 受管理引擎保护的输入 | |
| CN104346161A (zh) | 一种信息处理的方法及电子设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| ASS | Succession or assignment of patent right |
Owner name: BEIJING SHENSI SHUDUN SCIENCE + TECHNOLOGY CO., LT Free format text: FORMER OWNER: BEIJING SENSELOCK SOFTWARE TECHNOLOGY CO., LTD. Effective date: 20150112 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| COR | Change of bibliographic data |
Free format text: CORRECT: ADDRESS; FROM: 100086 HAIDIAN, BEIJING TO: 100872 HAIDIAN, BEIJING |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20150112 Address after: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Patentee after: Beijing Shensi Shudun Technology Co., Ltd. Address before: 100086 Beijing City, Haidian District Zhongguancun South Street No. 6 Zhucheng building block B room 1201 Patentee before: Beijing Senselock Software Technology Co., Ltd. |
|
| C56 | Change in the name or address of the patentee | ||
| CP03 | Change of name, title or address |
Address after: 100193 Beijing, Haidian District, East West Road, No. 10, East Hospital, building No. 5, floor 5, layer 510 Patentee after: BEIJING SHENSI SHUDUN SCIENCE & TECHNOLOGY CO., LTD. Address before: 100872 room 1706, building 59, Zhongguancun street, Haidian District, Beijing Patentee before: Beijing Shensi Shudun Technology Co., Ltd. |
|
| CX01 | Expiry of patent term |
Granted publication date: 20090819 |
|
| CX01 | Expiry of patent term |