专利名称:一种安全口令认证设备的制作方法
技术领域:
本发明涉及信息安全领域,尤其涉及一种计算机信息处理过程中用户输入口令的设备,根 据本发明的方法可以增强用户认证过程的安全性。
背景技术:
Internet的迅速发展导致网络应用种类和数量的大量增多和商业化趋势的不断增强。随着木 马窃取用户个人信息的增多,网上账户的安全性越来越受到威胁。木马通过记录用户键盘输入的信息和拷 贝屏幕等方式可以获取用户登录网上账户时输入的口令。 一旦用户口令失窃,即使是安全强度高的系统也 难以阻挡黑客的侵入。木马的泛滥使得各种网络应用频繁出现用户口令失窃的事件,典型的如QQ网上 聊天工具。网上银行的出现和大量使用,则使得木马窃取口令的危害更大,也更加直接。
目前,已经有一些防止木马窃取口令的方法。例如
(1) 鼠标点击模拟键盘
在屏幕上显示模拟键盘,用户通过鼠标点击模拟键盘输入密码。这样做虽然没有键盘的输入,但 木马依然可以通过在鼠标点击时拷贝屏幕获得点击的按键;
(2) 密码输入框保护 防止木马从密码输入框中取得密码;
(3) 模拟键盘置乱
在屏幕上显示置乱后的模拟键盘,用户键入按键在模拟键盘中对应的按键编号。这样做使得木马 所截获的按键输入是经过置乱的。但其弱点是如果木马结合拷贝屏幕,就能够知道模拟键盘的布 局,从而根据按键输入(即按键编号)推出真正的按键。 上述方法的缺点是,用户的交互可能完全在木马的监控之下,即使在一定程度上可以防止木马对真实 口令的窃取,但仍不能从根本上解决问题。
本专利的目的在于增强用户口令认证过程的安全性,尤其是网上账户口令认证过程的安全性,防止木 马窃取用户口令信息
发明内容
本发明要解决的技术问题在于避免现有技术的不足而提出一种防止木马窃取口令的设备。 采用该设备能够使木马在用户认证过程中无法获取到用户的口令信息。 本发明解决所述技术问题可以通过以下设备实现
该设备(即口令输入保护设备)能够在计算机等信息处理设备接收到键盘信号之前对口令键盘输入进 行变换和保护。这样在用户通过键盘输入口令等认证信息的过程中,计算机内的木马所截获到的信息为已 受保护的形式,由此不能获得真正的口令等认证信息。计算机上的目标应用程序在收到已施加保护的用户 认证信息后.可根据该信息有效验证用户的身份。
该设备的逻辑连接如图1。该设备位于键盘输入部件和计算机之间,用户通过键盘输入部件输入的按 键信息首先发送到该设备,然后再由该设备发给计算机,该设备能够对按键信息进行变换处理。
该设备的典型工作过程为
(1) 计算机上的目标应用程序通过界面提示用户进行认证;
(2) 用户通过键盘输入用户标识
(3) 计算机上的目标应用程序收到用户标识后,提示用户一个一次性的编码(同一用户每次登录 生成的一次性编码都不相同);
(4) 用户启动该设备的口令保护功能;
(5) 用户通过键盘输入一次性编码和口令;
(6) 用户关闭该设备的口令保护功能;
(7) 该设备对输入的一次性编码和口令进行变换(尤其是高强度的密码变换),把变换后的信息转 换成键盘信号发给计算机;
(8) 计算机上的目标应用程序收到已施加变换的键盘输入信息后,根据自己掌握的该用户的关键信息(用户口令等),执行同样的变换,验证用户所输的信息是否正确。 (9) 如果通过验证,计算机上的目标应用程序反馈登录成功,否则登录失败。
采用该设备时,口令输入信息的变换和保护过程如图2。用户通过键盘输入一次性编码和口令,口令 输入保护设备对用户输入的一次性编码和口令执行单向变换,变换后的信息为一次性口令,口令输入保护 设备把一次性口令转化为键盘信号发给计算机。 一次性口令转化为键盘信号的方式为 一次性口令一般为 二进制数形式,可以把二进制数的十六进制表示(如323EA5...)转"为对应的键盘信号。
采用该设备时,口令输入信息的验证过程如图3。目标应用根据本次登录的一次性编码和自己掌握的 该用户的口令,执行与口令输入保护设备相同的变换,获得参考的一次性口令,并与自己收到的一次性口 令进行比较。若比较一致,该用户为合法用户;否则为非法用户。
用户启动和关闭该设备口令保护功能的方式(1)用户可以通过按下特定的按键或组合键开启口令输 入保护设备的保护功能,也可以用口令输入保护设备自带的按键开启口令输入保护设备的保护功能;(2) 用户可以通过按下特定的按键或组合键关闭口令输入保护设备的保护功能,也可以用口令输入保护设备自 带的按键关闭口令输入保护设备的保护功能。
口令的变换和保护算法口令的变换和保护可以采用一次性口令的原理,即用户每次登录时输入的
口令信息都不相同,即使获取了用户曾经使用过的口令信息也不能用于以后的登录认证。这样的口令信息 被称为一次性口令。 一次性口令认证之所以安全,原因在于用户每次登录时输入的认证信息,即一次性口 令,是由口令和一次性编码(一次性编码由目标应甩在用户登录时产生,每次登录各不相同,也叫变化因 子)通过单向函数变换生成的。攻击者获得的用户每次登录时输入的认证信息不能用于以后的认证,且通
过该信息无法获得用户的真正口令。其中,单向函数是密码学中的概念,它满足对于一个单向函数f,
给一个x可以容易地获得f(x),但已知fl[x)却无法或难以获得x。单向函数可以取密码学中的安全hash函 数,典型的安全hash函数有MD4, MD5, SHA-1等。
目标应用对口令的验证算法目标应用存储了每个用户的口令信息。目标应用在获得用户输入的一次 性口令后,与自己采用同样过程生成的参考一次性口令进行比对,参考一次性口令由目标应用根据自己所 知道的该用户的口令和本次登录的一次性编码利用同样的单向函数生成,若比对一致,则用户为合法用户, 否则为非法用户。
一次性编码生成算法 一次性编码用于保证同一用户每次登录时所输入的认证信息都不相同,因
此一次性编码应保证用户每次登录时都不同。 一次性编码简单地可以采用递增的方法,即第一次为1,以 后依次为2, 3, 4等,该方法可以确保每次登录的一次性编码都不相同。 一次性编码还可以采用其他办法, 如(1)每次登录时随机生成(重复的概率小到可以忽略);(2)采用当前时间作为一次性编码,时间的 递增性确保了每次登录的一次性编码都不相同。
采用该设备的安全性 采用该口令键盘输入保护设备后,主机接收到的键盘信号已经是受保护的
形式,即主机接收到的输入为一次性口令,由于一次性口令的安全性,从而主机内的木马程序不可能获得 用户的口令,也不能获得冒充用户登录所需的认证信息。
图1是口令键盘输入保护设备逻辑连接图。
图2是口令输入信息的变换和保护过程。
图3是口令输入信息的验证过程。
图4是口令键盘输入保护设备按键处理流程。
图5是附加口令键盘输入保护设备连接图。
图6是口令输入保护安全键盘设备连接图。
图7是键盘接口时序,(a)键盘发送时序;(b)键盘接收时序。
具体实施例方式
口令键盘输入保护设备的实施可以有下面两种方式
4(1) 附加的口令保护设备
附加的口令保护设备连接在键盘与主机之间(如图5),在接收到键盘发来的键盘信号后,执行口令键 盘输入保护设备按键处理流程(如图4),向主机发送受保护口令认证信息(一次性口令)的键盘信号。
口令保护设备的连接方式为键盘通过键盘插头(键盘插头有5芯大插头、6芯小插头(PS/2接口)或 usb插头)插在口令保护设备上,口令保护设备用插头(5芯大插头、6芯小插头或usb插头)插在计算机 上。
计算机中标准PC机键盘和主机之间接口的工作原理(5芯大插头和6芯小插头) 键盘与主机通过键盘插头(5芯大插头或6芯小插头)相接。接口信号有电源、地、键盘时钟KB—CLK、 键盘数据13_0^。正常工作时,键盘电路不断地扫描键盘矩阵。若有键按下,则以串行方式发送按键的 位置扫描码给主板键盘接口电路。按下键时,发送接通扫描码,松开键时,发送该键的断开扫描码。断开 扫描码一般是在接通扫描码前加一个断开标志字节F0H。若某键一直按下,则以按键重复率连续发送该键 的接通扫描码。扫描码与按键的位置有关,与该键的Ascn码并无对应关系。
标准键盘与主机的通信是双向的,并采用11位的串行异步通信格式,这ll位数据包括起始位0、 8 位数据位(LSB在先)、奇校验位P、停止位1。图7(a)给出了键盘发送时序。数据(KB一DAT)在时钟(KBj:LK) 的上升沿改变,下降沿时有效,可被主机读取。图7(b)给出键盘接收时序。主机发送前,先将1^_0^拉 低,以抑制键盘发送,再将KB—DAT拉低发送起始位,然后释放KB—CLK线,键盘接管KB_CLK并产生 时钟信号,主机在KB—CLK信^同步下发送其他位。
(2) 具有口令保护功能的键盘
具有口令保护功能的键盘的连接如图6。在键盘的单片机控制程序中,每次获得按键的扫描码后,执 行口令键盘输入保护设备按键处理流程(如图4),键盘直接向主机发送受保护口令认证信息(一次性口令) 的键盘信号。
权利要求
1.一种防止病毒或木马窃取信息的设备,用于计算机或网络环境下的敏感信息键盘输入,其特征在于A.该设备通过键盘实现防木马窃取用户口令信息,从而在计算机接收到键盘信号前已经对用户输入的口令施加了密码变换和保护;B.采用该设备后,计算机接收到的键盘信号为密文状态;C.基于该设备实现口令保护时,在主机内传输的用户认证信息自始至终是受保护的形式(密文状态),尤其是键盘驱动程序所接触到的用户认证信息也是受保护的形式。D.基于该设备实现口令保护时,无须通过更改键盘驱动程序或施加其他主机内的变换来防止木马或病毒窃取用户输入的敏感信息。
2. 如权利要求1所述的防止病毒或木马窃取信息的设备,该设备在形式上可以表现为-A. 具有口令保护的键盘;B. 在原有键盘之外附加的口令保护设备,如在键盘和接收键盘信号的计算机之间增加的口令保护设 备。
3. 如权利要求1所述的防止病毒或木马窃取信息的设备,对口令施加的变换和保护采用单向函数,并使 用一次性编码。
4. 如权利要求l和权利要求2所述的防止病毒或木马窃取信息的设备,用户无须改变以前输入口令的习惯, 即可实现口令保护,即用户可以以传统的方式通过键盘键入口令,而无须用鼠标点击模拟键盘输入或 其他不同于传统口令输入方式的方法输入口令。
5. 如权利要求1和权利要求2所述的防止病毒或木马窃取信息的设备,用户无须键入口令的密文状态。
6. 如权利要求1和权利要求2所述的防止病毒或木马窃取信息的设备,在普通键盘上增加专门用于口令保 护功能的按键,或指定专门用于口令保护功能的按键或组合键。
7. 如权利要求1和权利要求2所述的防止病毒或木马窃取信息的设备,在普通键盘上增加专门用于口令保 护功能的状态灯,以指示用户是否正在施加口令保护。
全文摘要
一种安全的口令认证设备,能防止木马窃取用户的口令。它是一种防止木马或病毒窃取用户敏感信息的设备,用于计算机或网络中的关键信息输入。该设备连接在键盘输入部件和计算机之间,工作过程如下(1)用户进入目标应用登录界面;(2)目标应用提示用户本次登录的一次性登录码;(3)用户通过键盘输入部件输入一次性登录码和口令;(4)该设备对一次性登录码和口令进行单向变换,把变换后的值转换成键盘信号发给计算机;(5)目标应用根据该变换后的信息验证用户的合法性。本发明能安全有效地防止木马或病毒窃取输入的关键信息。
文档编号H04L29/06GK101582772SQ200810106398
公开日2009年11月18日 申请日期2008年5月13日 优先权日2008年5月13日
发明者刘西洋, 李晓东 申请人:李晓东;刘西洋