专利名称::一种信息安全认证设备的制作方法
技术领域:
:本实用新型涉及信息安全认证技术,特别涉及一种信息安全认证设备。
背景技术:
:新兴的电子商务通过互联网络连接网络侧的电子商务经营者以及无线侧的客户端,改变了传统商务的运作模式,极大提高了商务效率并降低了交易成本,但同时,由于互联网络固有的安全性问题,该电子商务模式也面临越来越大的网络安全威胁,一旦电子商务运行的网络出现安全问题,将给用户及电子商务经营者造成不可估计的损失。因此,在电子商务应用中,一直将网络安全作为最重要的问题进行考虑。目前,网络侧的电子商务经营者由于其较雄厚的物质、技术力量,安全性一般较高,而客户端由于其自身技术或设备的限制,安全性往往较低,因而,电子商务最主要的安全隐患还是来自于客户端,例如,用户所使用的计算机及运行于计算机上的软件,或者使用的移动设备(如,个人数字助理PDA)以及运行于该移动设备上的软件,都容易遭受攻击者的安全攻击,从而导致安全问题。为了保证电子商务的安全可靠性,现有技术一般采用安全强度很高的身份认证方式,以在电子商务中确认用户的身份,防止假冒和欺诈。在身份认证方式中,支持公开密钥体系(PKI,PublicKeyInfrastructure)的USBKey是最高级别的安全认证手段之一,该方式中,用户预先获取包含数字证书和密钥的USBKey,在通过计算机与网络测的服务器进行电子商务的过程中,用户首先需要获取USBKey的授权,才能通过计算机访问USBKey,然后通过存储在USBKey内部的数字证书和密钥,与网络测的服务器进行安全身份认证以进行电子商务。具体来说,用户在与网络测的服务器进行安全身份认证时,需要首先获取存储在USBKey内部的数字证书和密钥(即USBKey对用户进行认证),其操作流程简要描述如下当用户将USBKey插入计算机后,计算机检测到USBKey,提示用户通过键盘输入密码进行身份认证,USBKey根据预先存储的个人识别号码(PIN,PersonalIdentifyNumber)对用户通过计算机输入的密码进行认证,如果两者相同,则USBKey通过对该用户的身份认证,并许可计算机使用存储在该USBKey内部的数字证书和密钥,这样,计算机相关软件通过调用该USBKey中的密钥或数字证书,完成信息安全功能,例如进行数字签名,完成与网络测服务器的安全身份认证。此外,其它的一些认证方式,如指纹认证、虹膜认证等,其认证流程与USBKey认证相类似,在此不再赘述。图1为现有信息安全认证设备的结构示意图,参见图1,该信息安全认证设备包括通信单元、PIN码认证单元以及PIN码存储单元,其中,通信单元,用于接收外部计算机发送的第一PIN码,发送至PIN码认证单元,接收PIN码认证单元输出的许可信息,发送至外部的计算机,所述第一PIN码为用户从计算机键盘顺序输入的字符序列。本实施例中,当信息安全认证设备插入外部的计算机,计算机需要用户输入PIN码与信息安全认证设备进行认证时,用户通过计算机的键盘(软键盘)输入预先设定的PIN码对应的字符序列,并通过计算机的USB接口传输至信息安全设备的通信单元。PIN码存储单元,用于存储预先设置的PIN码;PIN码认证单元,接收第一PIN码,与PIN码存储单元存储的PIN码进行比较,如果比较结果相同,向通信单元输出许可信息,否则,拒绝许可。由上述可见,作为目前广泛使用的身份认证方式,用户通过插入USBKey,并通过计算机的输入装置(例如,键盘、软键盘)输入PIN码,然后通过计算机软件和USB接口将PIN码传递给USBKey,USBKey对PIN码进行验证。这样,在PIN码传输的过程中,如果计算机上存有木马等攻击程序,就可以轻易截获传输给USBKey的PIN码,因而,在后续的使用过程中,只要USBKey连接在计算机上,木马等攻击程序就可以利用截获的PIN码,在不经用户授权的情况下,可以自动对USBKey进行非法操作,这样,大大降低了USBKey认证的安全性。
实用新型内容有鉴于此,本实用新型的主要目的在于提供一种信息安全认证设备,提高认证的安全性。为达到上述目的,本发明提供了一种信息安全认证设备,该信息安全认证设备包括字符序列变换单元、字符序列显示单元、字符序列存储单元、通信单元、个人识别号码PIN码处理单元、PIN码存储单元、以及PIN码认证单元,其中,所述字符序列变换单元、PIN码处理单元以及PIN码认证单元由一个或多个处理器组合实现,字符序列变换单元,分别与字符序列显示单元以及字符序列存储单元连接,将存储的字符序列按照预先设置的变换规则进行变换后,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元;字符序列显示单元,将接收的变换前后的字符序列显示给用户;字符序列存储单元,将接收的变换前后的字符序列进行存储;通信单元,通过通用串行总线USB接口与外部计算机连接,接收外部计算机发送的第一PIN码,发送至PIN码处理单元,接收PIN码认证单元输出的许可信息,发送至外部的计算机,所述第一PIN码为用户根据预先设置的PIN码从字符序列显示单元选取的、并通过计算机键盘顺序输入的变换后的字符序列;PIN码处理单元,分别与通信单元、字符序列存储单元以及PIN码认证单元连接,接收第一PIN码,根据字符序列存储单元存储的变换前后的字符序列,将第一PIN码变换为变换前的字符序列,输出至PIN码认证单元;PIN码存储单元,存储预先设置的PIN码;PIN码认证单元,分别与PIN码存储单元以及通信单元连接,接收PIN码处理单元输出的字符序列,与PIN码存储单元存储的PIN码进行比较,如果比较结果相同,向通信单元输出许可信息,否则,拒绝许可。进一步包括与所述字符序列变换单元连接的字符序列变换控制单元,接收用户输入的指令,控制字符序列变换单元是否进行字符序列变换。所述字符序列变换控制单元为按钮、触摸开关、拨盘或开关。所述字符序列变换单元包括数字存储模块、以及变换规则存储模块,[0024]变换规则存储模块,将数字存储模块存储的数字按照存储的变换规则进行变换,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元。所述字符序列变换单元进一步包括字母存储模块,所述变换规则存储模块将所述字母存储模块存储的字母按照存储的变换规则进行变换。所述字符序列变换单元进一步包括变换规则更新控制模块、以及与变换规则存储模块连接的变换规则更新模块,变换规则更新控制模块,与变换规则更新模块连接,在接收到变换规则更新指令后,触发变换规则更新模块生成新的变换规则并更新变换规则存储模块存储的变换规则;所述变换规则更新控制模块从用户、内部设置的定时器、或信息安全认证设备在每次初始化时接收更新指令。所述字符序列显示单元为液晶显示屏或发光二极管显示屏。由上述的技术方案可见,本实用新型提供的信息安全认证设备,增加了字符序列变换单元、字符序列显示单元以及个人识别号码PIN码处理单元,字符序列变换单元根据预先设定的变换规则将变换前后的字符序列在字符序列显示单元显示;通信单元接收用户从字符序列显示单元顺序获取的、并从计算机键盘上输入的预先设置的PIN码中字符对应的变换字符序列;个人识别号码PIN码处理单元根据接收的变换字符序列以及存储的变换规则,得到第一PIN码,输出至PIN码认证单元,PIN码认证单元根据所述预先设置的PIN码,对接收的第一PIN码进行认证。这样,用户通过计算机键盘输入的字符是PIN码相应的变换字符序列,因此,即使计算机上存在木马等攻击程序,也无法从截获的变换字符序列中获取PIN码,避免木马等恶意软件对信息安全认证设备PIN码的窃取及更改,提高了认证的安全性。图1为现有信息安全认证设备的结构示意图;图2为本实用新型信息安全认证设备的结构示意图;图3为本实用新型信息安全认证设备的认证流程示意图。具体实施方式为使本实用新型的目的、技术方案和优点更加清楚,下面将结合附图及具体实施例对本发明作进一步地详细描述。本实用新型所述的信息安全认证设备是指需要与外部计算机连接,并与计算机进行认证,认证通过后授权计算机的设备,例如,USBKey等。图2为本实用新型信息安全认证设备的结构示意图,参见图2,该信息安全认证设备包括字符序列变换单元、字符序列显示单元、字符序列存储单元、通信单元、PIN码处理单元、PIN码存储单元、以及PIN码认证单元,其中,字符序列变换单元,分别与字符序列显示单元以及字符序列存储单元连接,将存储的字符按照预先设置的变换规则进行变换后,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元;字符序列显示单元,将接收的变换前后的字符序列显示给用户;[0039]字符序列存储单元,将接收的变换前后的字符序列进行存储;通信单元,通过USB接口与外部计算机连接,接收外部计算机发送的第一PIN码,发送至PIN码处理单元,接收PIN码认证单元输出的许可信息,发送至外部的计算机,所述第一PIN码为用户根据预先设置的PIN码从字符序列显示单元对应选取的、并通过计算机键盘顺序输入的变换后的字符序列;PIN码处理单元,分别与通信单元、字符序列存储单元以及PIN码认证单元连接,接收第一PIN码,根据字符序列存储单元存储的变换前后的字符序列,将第一PIN码变换为变换前的字符序列,输出至PIN码认证单元;PIN码存储单元,存储预先设置的PIN码;PIN码认证单元,分别与PIN码存储单元以及通信单元连接,接收PIN码处理单元输出的字符序列,与PIN码存储单元存储的PIN码进行比较,如果比较结果相同,向通信单元输出许可信息,否则,拒绝许可。本实施例中,通信单元可以由USB接口实现;字符序列显示单元可以由液晶显示屏(LCD,LiquidCrystalDisplay),或发光二极管显示屏(LED,LightEmittingDiode)或者其它类型的显示屏实现;字符序列变换单元、PIN码处理单元、PIN码认证单元可以由一个或多个处理器组合实现;字符序列存储单元及PIN码存储单元可以由随机存储器、闪存等实现。本实施例中,信息安全认证设备还可以进一步包括字符序列变换控制单元,与字符序列变换单元连接,接收用户输入的指令,控制字符序列变换单元是否进行字符序列变换。实际应用中,字符序列变换控制单元可以是按钮、触摸开关、拨盘、开关等,当用户按下按钮、触摸开关、拨盘、开关时,导通字符序列变换单元以及PIN码处理单元,向字符序列变换单元以及PIN码处理单元输出高或低电平信号,以分别触发字符序列变换单元进行字符序列变换、触发PIN码处理单元在接收到通信单元的字符序列后,从字符序列存储单元中读取字符序列。字符序列变换单元根据预先的设置,启动或停止字符序列变换,例如,对于停止字符序列变换的情形,同时触发PIN码处理单元在接收到通信单元的字符序列后,停止从字符序列存储单元中读取字符序列,这样,用户可以从计算机键盘直接输入预先设置的PIN码,PIN码处理单元不作处理,输出至PIN码认证单元进行认证。实际应用中,可以在信息安全认证设备上增加一个按钮,该按钮与信息安全认证设备中字符序列变换单元的一个输入/输出(I/O)管脚相连,用以触发字符序列变换单元。本实施例中,字符序列变换单元还可以是运行在信息安全认证设备芯片中的一段程序代码,也可以是集成在信息安全设备原有嵌入式程序的软件,还可以是一个独立的硬件单元。以程序代码段为例,可以将字符序列变换单元编译为一个函数(intTransform([in]isEncode,[in]inbuff,[in]size,[out]outbuff))其中,isEncode参数表示将要进行编码(生成变换表)还是解码(还原原始字符),inbuff为输入字符数据,size为字符个数,outbuff为输出结果。较佳地,字符序列变换单元包括数字存储模块、以及变换规则存储模块,将数字存储模块存储的数字按照变换规则存储模块存储的变换规则进行变换。当然,字符序列变换单元也可以只包括字母存储模块、或者同时包括数字存储模块和字母存储模块,对于包括字母和数字的情形,变换规则需要保证变换后的字符序列不具有相同的字符,即变换前的字符序列与变换后的字符序列之间存在一一对应关系。变换规则可以根据实际需要设置,例如,变换规则存储模块根据存储的变换规则将用户可能的输入字符(例如,09十个数字)变换为其它字符(例如,数字、和/或,字母),并将变换前后的字符序列在字符序列显示单元上进行显示。下面举一个具体的变换规则1.定义一个变量字符序列Ci,其中i从0到9,C0=0,C1=1,依次类推,C9=9;2.字符序列变换单元产生一个1位数的随机数R,Re09;3.将Ctl与Ck进行交换;4.重复步骤2和3,共重复20次;5.将Ci序列作为变换后的结果,与09进行对应;实现上述变换规则的C代码片段为intc[10]={0,1,2,3,4,5,6,7,8,9};srand(time(NULL));for(i=0;i<20;i++){r=rand()%10;t=c[r];c[r]=c;c[0]=t;}其中,c[10]中保存的数字即为字符序列09的变换结果。表1为本实用新型字符序列显示单元上显示的变换前后的字符序列。表1原字符序列0123456789变换后的字符序列2458937061假设用户预先设置的PIN码是“9253”,则依据该变换规则,用户在计算机键盘上顺序输入“1538”,PIN码处理单元接收到“1538”后,根据存储的表1,将字符序列“1538”进行逆变换,变换为“9253”,与用户预先设置的PIN码进行比较。这样,由于用户不直接输入预先设置的PIN码字符,而是输入每个PIN码字符经变换后对应的字符,因而,即使计算机上存在木马等攻击程序,也无法从截获的变换字符序列中获取PIN码,从而提高了认证的安全性。本实施例中,字符序列变换单元还可以进一步包括与变换规则存储模块连接的变换规则更新模块、以及变换规则更新控制模块,变换规则更新控制模块,与变换规则更新模块连接,在接收到变换规则更新指令后,触发变换规则更新模块生成新的变换规则并更新变换规则存储模块存储的变换规则。实际应用中,变换规则更新指令可以来自于外部用户,用户在计算机键盘上输入变换规则更新指令,通过通信模块传输至变换规则更新模块(图中未示出),也可以是在内部设置定时器,在定时到时产生的指令,或者是信息安全认证设备在每次初始化时(例如,信息安全认证设备在与计算机连接时)产生的指令。较佳地,可以在变换规则更新模块中预先存储多种变换规则,在接收到变换规则更新指令后,从多种变换规则中随机选取一个变换规则,更新变换规则存储模块存储的变换规则。这样,随着变换规则的动态变化,木马等攻击程序更难根据截取的变换后的字符序列获取真正的PIN码。本实施例中,信息安全认证设备可以是USBKey,通过在USBKey增加IXD显示屏,用原有的CPU实现字符序列变换、PIN码处理,以及在原有的存储器中存储变换前后的字符序列,设置开关用以触发字符序列变换单元进行字符序列变换、以及触发PIN码处理单元在接收到通信单元的字符序列后,从字符序列存储单元中读取字符序列。在USBKey通过USB接口与计算机相连后,用户按下开关,触发CPU进行字符序列变换并将变换前后的字符序列显示在LCD显示屏上,计算机上的键盘接收用户输入的预先设置的PIN码中字符对应的变换字符序列,通过USB接口输出至USBKey的CPU,CPU在接收到字符序列后,从存储器中读取存储的字符序列,进行逆变换,并将逆变换后的字符序列与存储器中存储的PIN码进行比较、认证。下面举一具体实施例,对图2所示的信息安全认证设备的认证流程进行说明。图3为本实用新型信息安全认证设备的认证流程示意图,参见图3,预先在信息安全认证设备中设置变换规则以及显示字符序列的显示屏,该流程包括步骤301,信息安全认证设备与外部的计算机相连并上电初始化;本步骤中,假设信息安全认证设备在每次初始化时,由变换规则更新控制模块产生指令,输出至变换规则更新模块,变换规则更新模块从多个变换规则中随机选取一个变换规则,并更新变换规则存储模块存储的变换规则。步骤302,计算机提示用户输入认证PIN码的密码;步骤303,用户向字符序列变换控制单元发送指令;本步骤中,用户确定进行字符序列变换,按下开关,导通字符序列变换单元,向字符序列变换单元输出高电平信号,以触发字符序列变换单元进行字符序列变换。步骤304,字符序列变换单元将字符序列按照存储的变换规则进行变换,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元;步骤305,用户从显示的字符序列中获取预先设置的PIN码对应的字符序列,通过计算机键盘输入;本步骤中,字符序列显示单元上显示两行数字,其中第一行为原始字符序列,第二行为变换后的字符序列,见表2。表2<table>tableseeoriginaldocumentpage8</column></row><table>[0091]如果用户预先设置的PIN码是148053,则,根据该变换规则,用户从计算机键盘或软键盘上输入的字符序列为037849。步骤306,计算机将用户输入的字符序列通过通信单元传输至PIN码处理单元;[0093]步骤307,PIN码处理单元接收计算机输入的字符序列,根据字符序列存储单元存储的变换前后的字符序列,将计算机输入的字符序列进行变换,输出至PIN码认证单元;本步骤中,接收的计算机输入的字符序列为表2中变换后的字符序列,按照表2的变换前后映射关系,将接收的字符序列“037849”变换为相应的字符序列“148053”,并将该字符序列“148053”输出至PIN码认证单元。步骤308,PIN码认证单元接收PIN码处理单元输出的字符序列,与PIN码存储单元存储的PIN码进行比较,如果比较结果相同,通过通信单元向计算机输出许可信息,否贝U,拒绝许可。本步骤中,在比较结果不相同时,用户也可以重新输入预先设置的PIN码对应的字符序列,或者,更新变换规则后重新输入预先设置的PIN码对应的字符序列。至此,该流程结束。由上述可见,本实用新型提供的信息安全认证设备,增加了字符序列变换单元、字符序列显示单元以及个人识别号码PIN码处理单元,字符序列变换单元根据预先设定的变换规则将变换前后的字符序列在字符序列显示单元显示;通信单元接收用户从字符序列显示单元顺序获取、并从计算机键盘上输入的预先设置的PIN码中字符对应的变换字符序列,PIN码处理单元根据接收的变换字符序列以及存储的变换规则,进行逆变换得到第一PIN码,输出至PIN码认证单元,PIN码认证单元根据所述预先设置的PIN码,对接收的第一PIN码进行认证。这样,用户通过计算机键盘输入的字符是PIN码相应的变换字符序列,因此,即使计算机上存在木马等攻击程序,也无法从截获的变换字符序列中获取PIN码,避免了木马等恶意软件对信息安全认证设备PIN码的窃取及更改,提高了认证的安全性。进一步地,还可以对变换规则进行动态更新,使得木马等攻击程序更难根据截取的变换后的字符序列获取真正的PIN码。以上举较佳实施例,对本实用新型的目的、技术方案和优点进行了进一步详细说明,所应理解的是,以上所述仅为本实用新型的较佳实施例而已,并不用以限制本实用新型,凡在本实用新型的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本实用新型的保护范围之内,本实用新型所主张的权利范围应以实用新型申请范围所述为准,而非仅限于上述实施例。权利要求一种信息安全认证设备,其特征在于,该设备包括字符序列变换单元、字符序列显示单元、字符序列存储单元、通信单元、个人识别号码PIN码处理单元、PIN码存储单元、以及PIN码认证单元,其中,所述字符序列变换单元、PIN码处理单元以及PIN码认证单元由一个或多个处理器组合实现,字符序列变换单元,分别与字符序列显示单元以及字符序列存储单元连接,将存储的字符序列按照预先设置的变换规则进行变换后,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元;字符序列显示单元,将接收的变换前后的字符序列显示给用户;字符序列存储单元,将接收的变换前后的字符序列进行存储;通信单元,通过通用串行总线USB接口与外部计算机连接,接收外部计算机发送的第一PIN码,发送至PIN码处理单元,接收PIN码认证单元输出的许可信息,发送至外部的计算机,所述第一PIN码为用户根据预先设置的PIN码从字符序列显示单元选取的、并通过计算机键盘顺序输入的变换后的字符序列;PIN码处理单元,分别与通信单元、字符序列存储单元以及PIN码认证单元连接,接收第一PIN码,根据字符序列存储单元存储的变换前后的字符序列,将第一PIN码变换为变换前的字符序列,输出至PIN码认证单元;PIN码存储单元,存储预先设置的PIN码;PIN码认证单元,分别与PIN码存储单元以及通信单元连接,接收PIN码处理单元输出的字符序列,与PIN码存储单元存储的PIN码进行比较,如果比较结果相同,向通信单元输出许可信息,否则,拒绝许可。2.如权利要求1所述的设备,其特征在于,进一步包括与所述字符序列变换单元连接的字符序列变换控制单元,接收用户输入的指令,控制字符序列变换单元是否进行字符序列变换。3.如权利要求2所述的设备,其特征在于,所述字符序列变换控制单元为按钮、触摸开关、拨盘或开关。4.如权利要求1所述的设备,其特征在于,所述字符序列变换单元包括数字存储模块、以及变换规则存储模块,变换规则存储模块,将数字存储模块存储的数字按照存储的变换规则进行变换,将变换前后的字符序列输出至字符序列显示单元以及字符序列存储单元。5.如权利要求4所述的设备,其特征在于,所述字符序列变换单元进一步包括字母存储模块,所述变换规则存储模块将所述字母存储模块存储的字母按照存储的变换规则进行变换。6.如权利要求4或5所述的设备,其特征在于,所述字符序列变换单元进一步包括变换规则更新控制模块、以及与变换规则存储模块连接的变换规则更新模块,变换规则更新控制模块,与变换规则更新模块连接,在接收到变换规则更新指令后,触发变换规则更新模块生成新的变换规则并更新变换规则存储模块存储的变换规则;所述变换规则更新控制模块从用户、内部设置的定时器、或信息安全认证设备在每次初始化时接收更新指令。7.如权利要求1所述的设备,其特征在于,所述字符序列显示单元为液晶显示屏或发光二极管显示屏。专利摘要本实用新型公开了一种信息安全认证设备,增加了字符序列变换单元、字符序列显示单元以及个人识别号码PIN码处理单元,字符序列变换单元根据预先设定的变换规则将变换前后的字符序列在字符序列显示单元显示;通信单元接收用户从字符序列显示单元顺序获取的、并从计算机键盘上输入的预先设置的PIN码中字符对应的变换字符序列,PIN码处理单元根据接收的变换字符序列以及存储的变换规则,得到第一PIN码,输出至PIN码认证单元,PIN码认证单元根据所述预先设置的PIN码,对接收的第一PIN码进行认证。应用本实用新型,可以提高认证的安全性。文档编号H04L9/32GK201577098SQ20092022313公开日2010年9月8日申请日期2009年9月28日优先权日2009年9月28日发明者孙吉平,韩勇申请人:北京深思洛克软件技术股份有限公司