专利名称:一种基于图片验证的USB Key安全增强方法及系统的制作方法
技术领域:
本发明涉及USB Key信息安全领域,尤其是一种基于图片验证的USB Key安全增强方法及系统。
背景技术:
随着电子商务和互联网的快速发展,USB Key作为网络用户身份识别和数据保护的“电子钥匙”,正在被越来越多的用户所熟悉。USB Key是一种基于USB接口的智能存储身份认证设备,内置有智能卡CPU、存储器、芯片操作系统(Chip Operating System,COS)和安全文件系统,用于在服务器和用户之间进行身份认证。由于USB Key主要用于网络认证,其内部存储有用户的数字证书和用户私钥,利用其内置的公钥算法实现对用户身份的验证,用户的私钥和数字证书保存于USB Key安全存储区域中,理论上无法从外部获取,这就保证了用户私钥和数字证书的安全性。USB Key主要会受到以下两种情况的威胁
I.USB Key丢失被别人捡到。2.电脑被入侵。USB Key 通过 PIN (Personal Identification Number,个人识别密码)码来保护 USB Key的使用权,PIN码是USB Key的密码,只有拥有的该USB Key的PIN码,才可以进行 USB Key操作。即使被人捡到,或电脑被入侵,也无法在不知道PIN码的情况下盗用用户的 USB Key0在上述两种情况下,只要PIN码是绝对安全的,那么别有用心的人将完全无法获取USB Key的使用权,这就间接保护了用户私钥的安全。现有的技术通过PIN码来保护USB Key的使用权,它的大前提是PIN码的绝对安全性,但是针对PIN码的攻击方式有很多,比如键盘记录工具,或者入侵者通过盗取用户在较低安全级别的系统中的密码来猜测用户的PIN码。所以,PIN码并不能保证USB Key绝对的安全。
发明内容
本发明要解决的技术问题是提供一种基于图片验证的增强USB Key信息安全性的方法。本发明要解决的另一技术问题是提供一种增强USB Key信息安全性的图片验证系统。为了解决上述技术问题,本发明所采用的技术方案是
一种基于图片验证的USB Key安全增强方法,该方法包括
USB Key设备的PIN码验证成功后,USB Key设备接收来自客户端的服务请求;
USB Key设备向客户端传送包含有字符串数据的图片数据;
USB Key设备接收来自客户端的字符串数据;USB Key设备将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。作为本发明基于图片验证的USB Key安全增强方法的进一步改进,所述图片数据中的字符串数据是USB Key设备随机产生的,该随机产生的字符串数据经算法处理后生成用于传送给客户端的图片数据。作为本发明基于图片验证的USB Key安全增强方法的进一步改进,USB Key设备接收来自客户端的服务请求之后并在向客户端传送包含有字符串数据的图片数据之前还包括
对服务请求的权限进行判断,判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活USB Key提供相应权限的服务响应。作为本发明基于图片验证的USB Key安全增强方法的进一步改进,USB Key设备随机产生的字符串数据存储在缓冲存储模块内,该缓冲存储模块内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。作为本发明基于图片验证的USB Key安全增强方法的进一步改进,USB Key设备生成的用于传送给客户端的包含有字符串数据的图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。—种基于图片验证的USB Key安全增强系统,该系统包括
数据接收模块,用于接收来自客户端的数据,包括服务请求和用户通过客户端输入的字符串数据;
图片数据生成模块,用于生成包含有字符串数据的图片数据;
数据发送模块,用于将包含有字符串数据的图片数据传送给客户端;
比较模块,用于将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,所述图片数据生成模块随机生成字符串数据,经加密算法处理生成包含该随机生成字符串的图片数据。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,该系统还包括一权限判断模块,在数据接收模块接收来自客户端的服务请求之后并在图片数据生成模块生成包含有字符串数据的图片数据之前对服务请求的权限进行判断,判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活 USB Key提供相应权限的服务响应。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,该系统还包括一缓冲存储模块,用于存储图片数据生成模块随机生成的字符串数据,该缓冲存储模块内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,该系统还包括一刷新计数模块,用于对图片数据生成模块刷新图片数据的次数进行计数,所述图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。本发明的有益效果是本发明基于图片验证的USB Key安全增强方法及系统在用户通过USB Key的PIN码验证之后还设置有一旨在提高USB Key信息安全性的图片验证流程,该图片验证流程可以用来判断USB Key的当前操作是否由USB Key的用户本人发起,防止入侵者在用户不知情的情况下使用USB Key,当有外界入侵者盗用USB Key信息时还可以通过锁定模式来提醒用户网络存在信息安全隐患,因此提高了 USB Key信息的安全性。进一步,在对图片验证的过程中,通过设置验证时间和验证刷新次数,提高了非法入侵者强行获取验证码的难度,一旦非法入侵者未在合理的时间和/或合理的刷新次数内验证成功,该USB Key设备将进入锁定状态以提醒用户存在信息安全隐患,从而提高用户的信息保护意识。
下面结合附图对本发明的具体实施方式
作进一步说明
图I是本发明基于图片验证的USB Key安全增强方法实施例一的步骤流程图2是本发明基于图片验证的USB Key安全增强方法实施例二的步骤流程图3是本发明USB Key与客户端系统的数据流图4是本发明基于图片验证的USB Key安全增强系统实施例一的结构方框图5是本发明USB Key的状态变换图6是本发明基于图片验证的USB Key安全增强系统实施例二的结构方框图7是本发明基于图片验证的USB Key安全增强系统实施例三的结构方框图。
具体实施例方式本发明是在现有的USB Key的网络认证过程中加入了一个图片验证流程,从而提高了 USB Key的信息安全性,加大了外界非法入侵者窃取USB Key内的数字证书的难度。现有的USB Key的网络认证的流程大致如下
用户将USB Key通过USB接口插入客户端,以使用USB Key的数字签名;
USB Key向客户端发送用户信息;
客户端接收来自USB Key的用户信息,经权限判断后要求用户输入USB Key的PIN码; 用户输入USB Key的PIN码,当USB Key的PIN码验证成功后,USB Key向用户提供数字服务响应。本发明基于图片验证的USB Key安全增强方法及系统即是在上述的网络认证流程中,在USB Key的PIN码验证成功后和USB Key向用户提供数字服务响应之前增加了一在客户端与USB Key设备之间的图片认证流程。参照图1,本发明基于图片验证的USB Key安全增强方法实施例一的步骤流程如下
步骤SlO USB Key设备的PIN码验证成功后,USB Key设备接收来自客户端的服务请
求;
步骤S20 USB Key设备向客户端传送包含有字符串数据的图片数据;
步骤S30 USB Key设备接收来自客户端的字符串数据;
步骤S40 USB Key设备将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。作为本发明基于图片验证的USB Key安全增强方法的进一步改进,所述图片数据中的字符串数据是USB Key设备随机产生的,该随机产生的字符串数据经加密算法处理后生成用于传送给客户端的图片数据。在上述实施例的基础之上,参照图2,作为本发明基于图片验证的USB Key安全增强方法的进一步改进,本发明方法实施例二在步骤SlO和步骤S20之间还设有步骤S11,步骤Sll为对服务请求的权限进行判断,判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活USB Key提供相应权限的服务响应。例如,用户使用USB Key进行网络认证时,当USB Key的PIN码通过认证后,用户在客户端进行网上银行的账户查询等低权限的操作行为时,步骤Sll经判断,认为该操作行为的服务请求为非高权限命令请求,故不需进入图片验证流程,而直接激活用户的签名行为;若用户通过客户端进行网上银行的转账、交易等高权限操作行为时,经步骤Sll判断该服务请求为高权限命令请求时,则进入图片验证流程,执行后续的步骤S20。在本发明安全增强方法实施例二的基础上,作为本发明基于图片验证的USB Key 安全增强方法的进一步改进,USB Key设备随机产生的字符串数据存储在缓冲存储模块内, 该缓冲存储模块内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。进一步,USB Key设备生成的用于传送给客户端的包含有字符串数据的图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。例如,以具体实际应用举例,将USB Key设备随机产生的字符串数据存储在缓冲存储模块的时间设置为5秒(此处的时间可以进行调整),当用户未能在5秒的时间内输入正确的字符串数据或者输入超时,则USB Key设备因未验证成功而不能给用户提供数字服务响应,验证失败的同时意味着丧失了一次刷新图片数据的机会,若用户未在指定的图片数据刷新次数内通过USB Key设备的图片验证,USB Key设备将进入锁定状态,用户将无法进行任何操作,直至拔出USB Key设备后重新插入。若此次锁定不是USB Key设备的用户本人导致的,则该USB Key设备的锁定状态可提醒用户该系统存在不安全隐患。进一步,用户还可以对客户端的图片数据进行刷新操作,例如,假若用户看不清楚图片,应当及时点击刷新按钮,USB Key设备则会重新生成一个包含有随机字符串数据的图片数据,该字符串数据会覆盖缓冲存储模块存储的字符串数据,同时USB Key设备的COS系统会对用户的刷新操作次数进行计数,可以通过设置不同的刷新次数来更改USB Key设备信息的安全性等级。例如,将刷新操作的最大次数设置为3次,当用户进行超过3次的刷新操作时,USB Key设备的安全状态将调整为锁定状态。图3是本发明USB Key与客户端系统的数据流向图,参照图3,数据流动的具体方向是
UUSB Key设备的PIN码验证成功后,用户向应用程序发出签名命令;
2、应用程序经过客户端的操作系统调用CSP(Cryptographic service provider),即 windows平台最底层加密接口,通过CSP向USB Key设备的COS (Chip Operating System, 片上操作系统)发送签名命令;
3、C0S经命令解析和权限认证后,生成一包含有随机字符串数据的图片数据,经返回码发送给CSP ;4、CSP将包含有随机字符串数据的图片数据转交给应用程序,用户输入验证码进行操作确认;
5、应用程序通过调用CSP将验证码交给COS,COS校正验证码,成功后进行数字签名操作。图4是本发明基于图片验证的USB Key安全增强系统实施例一的原理方框图,该系统包括
数据接收模块10,用于接收来自客户端的数据,包括服务请求和用户通过客户端输入的字符串数据;
图片数据生成模块20,用于生成包含有字符串数据的图片数据;
数据发送模块30,用于将包含有字符串数据的图片数据传送给客户端;
比较模块40,用于将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,所述图片数据生成模块20随机生成字符串数据,经算法处理生成包含该随机生成字符串的图片数据。在安全增强系统实施例一中,参照图5,USB Key设备的安全状态包括初始状态、 PIN码已验证状态和锁定状态。初始状态为USB Key设备插入客户端系统后自动进入的状态;PIN码已验证状态为USB Key设备通过PIN码验证后进入的状态,在该状态下用户可以进行数字签名等高权限的操作;锁定状态,即图片验证码校验失败后USB Key设备进入的状态,在锁定状态下用户无法进行任何操作,并告知用户该USB Key设备处于危险环境中, 此时需要将USB Key设备拔出后方能退出此状态。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,参照图6,在安全增强系统实施例二中,该系统还包括一权限判断模块50,在数据接收模块10接收来自客户端的服务请求之后并在图片数据生成模块20生成包含有字符串数据的图片数据之前对服务请求的权限进行判断,判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活USB Key提供相应权限的服务响应。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,参照图7,该系统实施例三中还包括一缓冲存储模块60,用于存储图片数据生成模块随机生成的字符串数据,该缓冲存储模块60内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。作为本发明基于图片验证的USB Key安全增强系统的进一步改进,该系统还包括一刷新计数模块70,用于对图片数据生成模块20刷新图片数据的次数进行计数,所述图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。例如,在具体应用中,本发明图片验证系统缓冲存储模块60存储数据的预定时间为6秒(由于图片数据传送给客户端应用程序需要消耗一定时间,设定为I秒,故用户实际拥有的处理时间为5秒),并将刷新计数模块70刷新次数初始化设置为3次,用户若在5秒时间内输入错误的图片验证码(即字符串数据,包括字母和/或数字的任意组合,位数假定为6位),或者用户输入超时,或者用户看不清图片点击更换图片按钮,都将失去一次验证机会,当用户未能在三次机会内成功输入图片验证码,USB Key设备则进入锁定状态。这样,本图片验证系统,一方面提高了非法入侵者强行获取验证码的难度,需要再预定时间(例如5秒)内获取+辨认+输入图片验证码,输入超时或者错误,用户操作都将被拦截;另一方面, 当入侵者验证失败的次数超过指定次数(例如3次),USB Key设备则进入锁定状态,不给入侵者更多的机会,同时提醒了用户该USB Key设备所处系统存在安全隐患。 以上是对本发明的较佳实施进行了具体说明,但本发明创造并不限于所述实施例,熟悉本领域的技术人员在不违背本发明精神的前提下还可以作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
权利要求
1.一种基于图片验证的USB Key安全增强方法,其特征在于,该方法包括USB Key设备的PIN码验证成功后,USB Key设备接收来自客户端的服务请求;USB Key设备向客户端传送包含有字符串数据的图片数据;USB Key设备接收来自客户端的字符串数据;USB Key设备将来自客户端的字符串数据与用来生成图片数据的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。
2.根据权利要求I所述的一种基于图片验证的USBKey安全增强方法,其特征在于 所述图片数据中的字符串数据是USB Key设备随机产生的,该随机产生的字符串数据经算法处理后生成用于传送给客户端的图片数据。
3.根据权利要求2所述的一种基于图片验证的USBKey安全增强方法,其特征在于 USB Key设备接收来自客户端的服务请求之后并在向客户端传送包含有字符串数据的图片数据之前还包括对服务请求的权限进行判断,判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活USB Key提供相应权限的服务响应。
4.根据权利要求3所述的一种基于图片验证的USBKey安全增强方法,其特征在于 USB Key设备随机产生的字符串数据存储在缓冲存储模块内,该缓冲存储模块内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。
5.根据权利要求4所述的一种基于图片验证的USBKey安全增强方法,其特征在于 USB Key设备生成的用于传送给客户端的包含有字符串数据的图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。
6.一种基于图片验证的USB Key安全增强系统,其特征在于,该系统包括数据接收模块,用于接收来自客户端的数据,包括服务请求和用户通过客户端输入的字符串数据;图片数据生成模块,用于生成包含有字符串数据的图片数据;数据发送模块,用于将包含有字符串数据的图片数据传送给客户端;比较模块,用于将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。
7.根据权利要求6所述的一种基于图片验证的USBKey安全增强系统,其特征在于 所述图片数据生成模块随机生成字符串数据,经算法处理生成包含该随机生成字符串的图片数据。
8.根据权利要求7所述的一种基于图片验证的USBKey安全增强系统,其特征在于 该系统还包括一权限判断模块,在数据接收模块接收来自客户端的服务请求之后并在图片数据生成模块生成包含有字符串数据的图片数据之前对服务请求的权限进行判断, 判断是否为高权限命令请求,若是则执行向客户端传送包含有字符串数据的图片数据的步骤;若否则直接激活USB Key提供相应权限的服务响应。
9.根据权利要求8所述的一种基于图片验证的USBKey安全增强系统,其特征在于 该系统还包括一缓冲存储模块,用于存储图片数据生成模块随机生成的字符串数据,该缓冲存储模块内数据的存储时间可以进行设置,并且在图片数据刷新时被新生成的字符串数据覆盖。
10.根据权利要求9所述的一种基于图片验证的USB Key安全增强系统,其特征在于 该系统还包括一刷新计数模块,用于对图片数据生成模块刷新图片数据的次数进行计数,所述图片数据的刷新次数可以设置,当超过预定义的刷新次数后,USB Key设备将进入锁定状态。
全文摘要
本发明公开了一种基于图片验证的USB Key安全增强方法及系统,该方法包括USB Key设备的PIN码验证成功后,USB Key设备接收来自客户端的服务请求;USB Key设备向客户端传送包含有字符串数据的图片数据;USB Key设备接收来自客户端的字符串数据;USB Key设备将来自客户端的字符串数据与图片数据中的字符串数据按照响应的算法进行匹配,若成功则激活USB Key提供服务响应。本发明可以判断USB Key的当前操作是否由USB Key的用户本人发起,防止入侵者在用户不知情的情况下使用USB Key,当有外界入侵者盗用USB Key信息时还可以通过锁定模式来提醒用户网络存在信息安全隐患,因此提高了USB Key信息的安全性。
文档编号G06T1/00GK102609656SQ20121002854
公开日2012年7月25日 申请日期2012年2月9日 优先权日2012年2月9日
发明者巴钟杰, 李子柳, 汤庸, 赵淦森 申请人:赵淦森