专利名称:一种输入数据的安全处理方法及装置的制作方法
技术领域:
本发明涉及信息安全,特别涉及一种输入数据的安全处理方法及装置。
技术背景目前,在不同的操作系统中都提供了获取用户的输入数据信息的接口或者机制,例如在微软windows操作系统中所提供的Hook (钩子)就是一个非常 重要的接口,它可以截获并处理送给其他应用程序的消息。据此,现在的黑客可以轻松的使用各种不同API ( Application Program Interface,应用编程接口 ,) 层面的钩子接口程序,从而实现对键盘等数据输入设备输入的数据进行截获, 达到盗窃用户的密码等重要数据信息的目的。这些技术的出现都对目前的信息 安全构成了极大的威胁。现有技术中,对于钩子的防御程序,采用了禁止部分钩子的被调用环节的 方案;或者使该防御程序本身就成为一个超强的钩子程序,从而在其他钩子生 效之前提前获取用户的键盘输入。但发明人在发明过程中注意到现有技术中的这些防御方案效果都不够 好,因为至少黑客可以通过获取更高的系统权限来保障黑客程序的执行优先顺 序来达到目的,或者使用更底层的操作系统调用函数,提前获取用户输入来达 到目的。面对黑客对输入数据信息越来越猖獗的盗取,非常需要更好的技术方案来 保护用户输入的数据信息。发明内容本发明实施例提供了 一种输入数据的安全处理方法及装置,用以解决现有
技术中在输入数据环节上存在的信息盗取问题。本发明实施例提供了 一种输入数据的安全处理方法,包括如下步骤输入数据时根据预定规则生成干扰数据;将输入的数据与所述干扰数据混合发送;接收到所述混合的数据后,根据所述预定规则解析出干扰数据;根据解析出的干扰数据分离出输入数据。本发明实施例还提供了一种输入数据的安全处理装置,应用于包括数据输 入设备、数据接收设备的数据处理系统,包括干扰模块、发送模块、分离模块, 其中干扰模块,用于在通过数据输入设备输入数据时根据预定规则生成千扰数据;发送模块,用于将通过数据输入设备输入的数据与所述干扰数据混合发送;分离模块,用于根据所述预定规则从数据接收设备接收到的所述混合的数 据中解析出干扰数据,并根据解析出的干扰数据分离出输入数据。 本发明实施例有益效果如下在本发明实施例中,通过在输入数据时根据预定MJ'J生成干扰数据,并将 输入的数据与所述干扰数据混合发送,从而使得想非法获取数据信息的人无法 在大量杂乱无章的信息中,分辨出哪些是用户输入的信息;即接收用户输入 数据的操作系统,其获取到的是所有的干扰信息和用户通过数据输入设备输入 的数据的总集合。由此可知,客户端上没有任何操作系统、程序知道用户实际 的键盘输入。虽然用户的键盘输入信息在传输信息中以明文形式存在,但是由 于大量干扰信息的掩盖,非法获取数据信息的人无法有效获取该信息,从而实 现用户数据输入的隐形。在输入数据部分进行了上述处理后,当能合法4妄收该输入数据的设备接收 到这些混合的数据后,再根据预定规则解析出干扰数据;通过解析出的干扰数据分离出输入数据,这样就保障了输入数据的安全还原,从而使得在数据输入 时阻碍了非法者的获取,同时也能够安全的获得所输入的数据信息。
图1为本发明实施例中所述输入数据的安全处理方法实施流程示意图; 图2为本发明实施例中所述输入数据与干扰数据的混合发送示意图; 图3为本发明实施例中所述输入数据的安全处理装置结构示意图; 图4为本发明实施例中所述对输入数据进行安全处理的环境示意图; 图5为本发明实施例中所述对输入数据进行安全处理的实施流程示意图; 图6为本发明实施例中所述对输入数据进行安全处理的另一实施流程示意图。
具体实施方式
下面结合附图对本发明的具体实施方式
进行说明。图1为输入数据的安全处理方法实施流程示意图,如图所示,可以包括如 下步骤步骤101、输入数据时根据预定规则生成干扰数据;步骤102、将输入的数据与所述干扰数据混合发送;步骤103、接收到所述混合的数据后,根据所述预定规则解析出干扰数据;步骤104、根据解析出的干扰数据分离出输入数据。进行数据输入的输入设备都安装有执行数据处理的操作系统,比如 windows操作系统,数据输入设备最为常见的如PC ( Personal Computer,个人 电脑)等。将输入的数据与所述干扰数据混合发送是将输入的数据与干扰数据 混合后发送至操作系统,然后由操作系统进行处理,本步骤中,具体的,通常 实施中,假设用户通过PC的键盘进行具体的数据输入,操作系统中通过窗口 来进行数据的各项处理。接收用户输入的窗口所获取到的是所有的干扰数据信息和用户键盘输入的数据总集合。即,到目前为止,客户端PC包括接收窗口 在内,没有任何程序知道用户实际的键盘输入。有钩子的原理可知,虽然用户 的键盘输入信息在传输信息中以明文形式存在,但是由于大量干扰信息的掩 盖,黑客是无法有效获取该输入数据的信息的,从而实现了用户键盘输入数据 的"隐形"。图2为输入数据与干扰数据的混合发送示意图,如图所示,具体的输入数 据时根据预定规则生成干扰数据;将输入的数据与所述干扰数据混合发送,可 以按以下方式实施;步骤201 、将输入的数据传输至操作系统;步骤202、输入数据时根据预定规则生成干扰数据,并传输至搡作系统;步骤203、操作系统将输入的数据与干扰数据发送。由此可见,通过该方法的实施后,操作系统得到的是混合后的数据,即使 此时数据被非法获取,其获得的也是混合后的数据,并不能从中获取到用户所 输入的数据信息。为了更有效地将输入信息隐藏在干扰信息中,干护C数据输入操作系统的速 度可以大于输入数据输入操作系统的速度,比如以远高于普通用户键盘输入速 率的速率输入操作系统。为进一步的提高安全性,可以进一步的包括如下步骤输入数据时获取输入设备的硬件信息和/或输入时间;根据所述输入设备的硬件信息和/或输入时间按预定规则生成干扰数据;将输入的数据与所述干扰数据混合发送;输入数据结束时,将所述输入设备的硬件信息和/或输入时间发送; 接收到所述混合的数据、以及所述输入设备的硬件信息和/或输入时间后,根据所述输入设备的硬件信息和/或输入时间按所述预定规则解析出干扰数据。 本步骤中,并不仅局限于硬件信息以及时间信息,其目的在于,通过选择随机的、不可预测的量,结合预定的规则生成干扰数据,就可以更进一步的达
到安全效果,如时间信息,由于用户输入数据的时间是没有规律的,是用该量 来生成干扰数据信息,即便是获取到生成干扰数据的^见则,由于该变量的随机 性也不能够破译出干扰的数据。当在合法接收方预知到干扰数据的生成规则、以及结合规则生成干扰数据 的变量(如输入时间)后,根据解析出的干扰数据分离出输入数据则是容易实现的,比如可以将解析出干扰数据与混合的数据对比;再将与干扰数据相同的 数据去除后分离出输入数据即可。本发明实施例还提供了一种输入数据的安全处理装置,下面结合附图对安 全处理装置的具体实施方式
进行说明。图3为输入数据的安全处理装置结构示意图,安全处理装置应用于包括数 据输入设备、数据接收设备的数据处理系统,如图所示,装置中包括干扰模块、 发送模块、分离模块,其中干扰模块,用于在通过数据输入设备输入数据时才艮据预定规则生成干扰数据;发送模块,用于将通过数据输入设备输入的数据与所述干扰数据混合发送;分离模块,用于根据所述预定规则从数据接收设备接收到的所述混合的数 据中解析出干扰数据,并根据解析出的干扰数据分离出输入数据。实施中,数据输入设备安装有执行数据处理的^^喿作系统,发送模块进一步 用于将所述通过数据输入设备输入的数据与所述干扰数据混合后发送至所述 操作系统。数据输入设备安装有执行数据处理的操作系统,发送模块可以包括数据传 输单元、干扰数据传输单元,其中数据传输单元,用于将通过数据输入设备输入的数据传输至操作系统; 干扰数据传输单元、用于将根据预定规则生成的干扰数据传输至操作系
操作系统,用于将输入的数据与所述干扰数据发送。实施中,干扰数据传输单元将干扰数据输入操作系统的速度可以大于所述 数据传输单元将输入数据输入操作系统的速度。安全处理装置中还可以进一步包括获取it块,用于在通过数据输入设备输入数据时获取数据输入设备的硬件信息和/或输入时间;干扰模块可以进一步用于根据所述输入设备的^f更件信息和/或输入时间按预定规则生成干扰数据;发送模块可以进一步用于在输入数据结束时,将所述输入设备的硬件信息 和/或输入时间发送;分离模块可以进一步用于在接收到所述混合的^t据、以及所述输入设备的 硬件信息和/或输入时间后,根据所述输入设备的硬件信息和/或输入时间按所 述预定规则解析出干扰数据。分离模块中可以包括解析单元、对比单元、分离单元,其中解析单元,用于根据所述预定规则从数据接收设备接收到的所述混合的数 据中解析出干扰数据;对比单元,用于将解析出干扰数据与所述混合的数据对比;分离单元,用于根据对比单元对比出的与所述干扰数据相同的数据去除后 分离出输入数据。下面再举一 实例来进一 步阐述本发明的实施。图4为对输入数据进行安全处理的环境示意图,如图所示,该环境中,数 据的输入设备可以视为包含一用户具体输入数据的键盘、 一用于数据处理的客 户端,客户端上安装了操作系统,数据的各种处理流程由操作系统完成,为便于理解,操作系统具体的各种数据操作通过窗口来描述。但是易知,数据输入 设备还可以有很多形式,如手写键盘与服务器等,并不仅限于本例所示。数据 的接收设备可以是因特网上的一服务器,该服务器指用户输入数据所需到达的 设备,但并不仅限于服务器,逻辑上,它还可以是客户端上另一需要得到用户
输入数据的设备、或实体、或系统等,这是本领域人员易知的。由上述可知,本发明实施例是涉及如何将客户的输入数据安全的传递到需 要接收该数据信息的一端,比如服务器,而不被黑客在客户端通过钩子函数截获的方法。因此,本例中,所描述的流程大致为用户通过^:盘输入数据,数据传输至操作系统,操作系统经过处理后发送至该数据的所需到达的接收端服务器。下面对每一环节展开对本发明进行:〖兌明。图5为对输入数据进行安全处理的实施流程示意图,如图所示,实施流程 可以嗦口下步骤501、客户端下载掩护键盘输入控件或者其他形式的程序;产生干扰数据的实现方式是多样的,本例中以程序的实施方式进行说明; 可以通过WEB控件或者其他任何途径来分发本程序,使其能在客户端运行。步骤502、启动程序,随机决定采用的算法和种子,动态产生干扰数据信 息,并将干扰数据信息发送到操作系统中;本步骤可以分为以下几个步骤来执行1、 获取本机硬件信息,和/或获取本机时间信息,以此作为最基本的种子, 按照预制规则的算法,运算出结果;2、 按照运算结果,确定本次干扰算法及干扰算法的种子;3、 执行千扰算法,将产生的干扰信息,以一个远高于普通用户键盘输入 速率的速率输入操作系统底层;4、 干扰信息根据算法随着时间变化,并不断的发送,直到客户提交或者 因其他意外的中止,比如超时。步骤503、操作系统接收客户输入的窗口同时捕获干扰信息和用户输入的 信息;本步骤中,接收用户输入的窗口获取的是所有的干扰信息和用户键盘输入 的总集合。到目前为止,客户端包括接收窗口在内,没有任何程序知道用户实 际的键盘输入。虽然用户的键盘输入信息在传输信息中以明文形式存在,但是 由于大量干扰信息的掩盖,黑客无法有效获取该信息,从而实现了用户键盘输 入的隐形。
步骤504、客户4是交输入结束,干扰线程或者进程停止工作,并将产生干 扰信息所使用的算法代号及种子传递给接收用户输入信息的窗口 ; 本步骤中,可以分为以下几个步骤来执行
1、 用户使用特殊的键盘输入,比如回车键或者鼠标点击触动,可以中止 本控件的运行,并且发起提交输入信息的操作;
2、 控件将最早收集的客户端硬件信息与时间信息,以一个事先约定的格 式,发送到接收用户输入信息的窗口。
步骤505、接收信息的窗口将接收到的干扰信息和用户输入信息的混合数 据,以及本次干扰所用的算法代号及种子打包,发送到需要接收用户输入信息 的服务器;
本步骤中,接收用户输入信息的窗口,将所有接收到的数据打包,发送到 需要接收用户键盘信息的地方即可,比如服务器。
步骤506、服务器解除干扰,根据硬件信息及时间,计算出干扰信息,从 而得出客户输入的实际输入信息,比如银行密码。
本步骤的目的是在一个安全环境下解除干扰数据信息,具体可以分为以下 几个步骤来执行
1、 通过传递来的数据中的硬件信息和时间,才企查其安全性,防御比如重 放攻击等方式的攻击;
2、 通过硬件信息和时间,按照预制规则的算法,计算出结果;
3、 按照计算结果,判断客户端本次采用的算法和种子;
4、 计算出干扰信息;
5、 将接收到的信息与计算出的干扰信息对比,相同的删除,剩下的部分 就是用户实际的输入。图6为对输入数据进行安全处理的另一实施流程示意图,如图所示,可以包括如下步骤步骤601、触发干扰数据生成程序; 步骤602、获取》更件信息和/或时间信息; 步骤603、按预定规则确定算法和种子; 步骤604、产生干扰数据信息;步骤605、发送干扰数据信息到操作系统,转入步骤607; 步骤606、用户输入数据信息;步骤607、操作系统接收干扰数据信息和用户输入数据信息; 步骤608、接收窗口接收全部数据信息;步骤609、打包全部数据信息并发送,其中含有步骤602中的硬件信息和/ 或时间信息;步骤610、将lt据信息解包; 步骤611、确定客户端使用的算法和种子; 步骤612、计算干扰数据信息; 步骤613、排除干扰信息; 步骤614、获得客户输入数据信息。由图上标识的黑客钩子程序执行的流程位置可以看出,通过该方法可以有 效的干扰黑客获取客户键盘输入,从而达到保护客户输入信息的目的。明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及 其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1、一种输入数据的安全处理方法,其特征在于,包括如下步骤输入数据时根据预定规则生成干扰数据;将输入的数据与所述干扰数据混合发送;接收到所述混合的数据后,根据所述预定规则解析出干扰数据;根据解析出的干扰数据分离出输入数据。
2、 如权利要求1所述的安全处理方法,其特征在于,进行数据输入的输 入设备安装有执行数据处理的操作系统,所述将输入的数据与所述干扰数据混 合发送具体为将输入的数据与所述干扰数据混合后发送至操作系统。
3、 如权利要求1所述的安全处理方法,其特征在于,进行数据输入的输 入设备安装有执行数据处理的操作系统,所述输入数据时根据预定规则生成干 扰数据;将输入的数据与所述干扰数据混合发送,包括如下步骤;将输入的数据传输至操作系统;输入数据时根据预定规则生成干扰数据,并传输至才喿作系统; 操作系统将输入的数据与所述干扰数据发送。
4、 如权利要求3所述的安全处理方法,其特征在于,所述干扰数据输入 搡作系统的速度大于输入数据输入操作系统的速度。
5、 如权利要求1至4任一所述的安全处理方法,其特征在于,进一步包 括如下步骤输入数据时获取输入设备的硬件信息和/或输入时间; 根据所述输入设备的硬件信息和/或输入时间按预定规则生成干扰数据; 将输入的数据与所述干扰数据混合发送;输入数据结束时,将所述输入设备的硬件信息和/或输入时间发送; 接收到所述混合的数据、以及所述输入设备的硬件信息和/或输入时间后, 根据所述输入设备的硬件信息和/或输入时间按所述预定规则解析出千扰数据。
6、 如权利要求1所述的安全处理方法,其特征在于,所述根据解析出的 干扰数据分离出输入数据,包括如下步骤 将解析出干扰数据与所述混合的数据对比; 将与所述干扰数据相同的数据去除后分离出输入数据。
7、 一种输入数据的安全处理装置,应用于包括数据输入设备、数据接收 设备的数据处理系统,其特征在于,包括干扰模块、发送模块、分离模块,其 中据;发送模块,用于将通过数据输入设备输入的数据与所述干扰数据混合发送;分离模块,用于根据所述预定规则从数据接收设备接收到的所述混合的数 据中解析出干扰数据,并根据解析出的干扰数据分离出输入数据。
8、 如权利要求7所述的安全处理装置,其特征在于,所述数据输入设备 安装有执行数据处理的操作系统;所述发送模块进一步用于将所述通过数据输入设备输入的数据与所述千 扰数据混合后发送至所述操作系统。
9、 如权利要求7所述的安全处理装置,其特征在于,所述数据输入设备 安装有执行数据处理的操作系统;所述发送模块包括数据传输单元、干扰数据 传输单元,其中数据传输单元,用于将通过数据输入设备输入的数据传输至操作系统; 干扰数据传输单元、用于将根据预定规则生成的干扰数据传输至操作系统;操作系统,用于将输入的数据与所述千扰数据发送。
10、 如权利要求9所述的安全处理装置,其特征在于,所述干扰数据传输 单元将干扰数据输入操作系统的速度大于所述数据传输单元将输入数据输入 操作系统的速度。
11、 如权利要求7至IO任一所述的安全处理装置,其特征在于,进一步包括获取模块,用于在通过数据输入设备输入数据时获取数据输入设备的硬件信息和/或输入时间;所述干扰模块进一步用于根据所述输入设备的硬件信息和/或输入时间按 预定规则生成千扰数据;所述发送模块进一步用于在输入数据结束时,将所述输入设备的硬件信息 和/或输入时间发送;所述分离模块进一步用于在接收到所述混合的数据、以及所述输入设备的 硬件信息和/或输入时间后,根据所述输入设备的硬件信息和/或输入时间按所 述预定规则解析出干扰数据。
12、 如权利要求7所述的安全处理装置,其特征在于,所述分离模块包括 解析单元、对比单元、分离单元,其中解析单元,用于才艮据所述预定规则从数据接收设备接收到的所述混合的数据中解析出干扰数据;对比单元,用于将解析出干扰数据与所述混合的数据对比;分离单元,用于根据对比单元对比出的与所述干扰数据相同的数据去除后分离出输入数据。
全文摘要
本发明公开了一种输入数据的安全处理方法及装置,包括输入数据时根据预定规则生成干扰数据;将输入的数据与干扰数据混合发送;接收到混合的数据后,根据所述预定规则解析出干扰数据;根据解析出的干扰数据分离出输入数据。使用本发明可以有效的干扰黑客获取客户输入的数据信息,能达到保护客户输入数据信息的目的。
文档编号G06F21/24GK101101625SQ20071012003
公开日2008年1月9日 申请日期2007年8月7日 优先权日2007年8月7日
发明者雨 江 申请人:雨 江