专利名称:输入信息保护方法、装置和系统的制作方法
技术领域:
本发明涉及信息安全技术领域,尤其涉及一种输入信息保护方法、装置和系统。
背景技术:
如今,网络在人们的日常生活中扮演着重要的角色,各种各样的网络服务正在逐步渗透到人们的学习、生活、工作之中。然而,网络安全问题的日益严重给人们的日常生活带来了诸多不便,尤其是通过木马病毒窃取用户从键盘输入的信息,如账号、密码等。现有技术中,主要通过加密的方法来防止用户输入的信息被盗。具体地,可以将用户输入的信息,采用专用的输入信息加密装置加密后再发往主机,然后再发往网络服务器。
发明人在实现本发明的过程中,发现现有技术至少存在以下问题现有的输入信息加密装置都是采用预定的专用的加密算法,对用户输入的信息进行加密,这些设备都是专用的,所以其使用范围受到很大限制,很难同时满足各种网络服务的需要,通用性差。
发明内容
为了克服现有技术中输入信息加密装置使用范围受限、通用性差的缺陷,本发明提供了一种输入信息保护方法、装置和系统。所述技术方案如下—方面,本发明实施例提供了一种输入信息保护方法,所述方法包括输入信息安全保护装置接收主机发送的协议数据单元,所述协议数据单元中包括加密算法参数;根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的所述加密算法参数相对应的加密算法;获取用户输入的数据;采用选择的所述加密算法,加密所述用户输入的数据;将加密后的数据发送给所述主机。优选地,所述协议数据单元中还包括数据单元类型参数,则在所述根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法之前,所述方法还包括根据所述数据单元类型参数判断所述协议数据单元是否为加密输入类型,若是,则获取所述协议数据单元中的加密算法参数。优选地,在所述根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法之前,所述方法还包括对服务器进行认证。优选地,所述方法还包括获取中断指令,并执行所述中断指令。优选地,所述方法还包括在所述输入信息安全保护装置上显示所述输入信息安全保护装置当前的工作状态和运行数据。
又一方面,本发明实施例提供了一种输入信息保护装置,所述装置包括接收模块,用于接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数;选择模块,用于根据预设的加密算法参数与加密算法的对应关系,选择与所述接收模块接收的协议数据单元中的所述加密算法参数相对应的加密算法;获取模块,用于获取用户输入的数据;加密模块,用于根据所述选择模块选择的加密算法,加密所述获取模块获取的数据;发送模块,用于所述将加密模块加密后的数据发送给所述主机。优选地,所述协议数据单元中还包括数据单元类型参数,则所述装置还包括 判断模块,用于根据所述数据单元类型参数,判断所述协议数据单元是否为加密输入类型,若是,则获取所述协议数据单元中的加密算法参数。优选地,所述装置还包括认证模块,用于对服务器进行认证。优选地,所述装置还包括中断指令执行模块,用于获取中断指令,并执行所述中断指令。优选地,所述装置还包括显示模块,用于显示所述输入信息安全保护装置当前的工作状态和运行数据。又一方面,本发明实施例还提供了一种输入信息保护系统,所述系统包括。主机,用于发送协议数据单元,所述协议数据单元中包括加密算法参数;输入信息保护装置,用于接收所述主机发送的协议数据单元;根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的所述加密算法参数相对应的加密算法;获取用户输入的数据;采用选择的所述加密算法,加密所述用户输入的数据;将加密后的数据发送给所述主机。进一步地,所述系统还包括服务器,用于向所述主机发送加密输入请求信息;相应地,所述主机发送的所述协议数据单元中还包括所述加密输入请求信息,且所述主机还用于将所述输入信息保护装置发送的加密后的数据发送给所述服务器。本发明实施例提供的技术方案的有益效果是通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为运行不同应用的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。
图I是本发明实施例I提供的输入信息保护方法的流程图;图2是本发明实施例2提供的输入信息保护方法的流程图3是本发明实施例3提供的输入信息保护装置的结构框图;图4是本发明实施例4提供的输入信息保护装置的结构框图;图5是本发明实施例5提供的输入信息保护系统的结构框图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。实施例I 如图I所示,本实施例提供了一种输入信息保护方法,该方法包括步骤101 :输入信息保护装置接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数。具体地,例如,当用户需要访问某一服务器时,通过主机与服务器进行交互,主机获取服务器的加密输入请求信息,如帐号信息请求后(该帐号信息请求通常是要求提供帐号、口令的协议数据单元),将其作为“DATA”字段封装后发送给输入信息安全保护装置。在本申请中,“主机”是指计算机除去输入输出设备以外的主要机体部分。再例如,当用户需要登陆本地应用程序时,主机获取应用程序要求提供帐号、口令的请求后,将其作为“DATA”字段封装后发送给输入信息安全保护装置。也就是说,协议数据单元中的加密算法参数是与服务器或主机上的应用程序相对应的。步骤102 :根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法。该预设的加密算法参数与加密算法的对应关系预先设置在输入信息安全保护装置中。步骤103 :获取用户输入的数据。步骤104 :采用选择的加密算法,加密用户输入的数据。步骤105 :将加密后的数据发送给主机。本发明实施例通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为不同目的的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。实施例2如图2所示,本实施例提供了一种输入信息保护方法,该方法包括步骤201 :输入信息保护装置接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数。具体地,该协议数据单元中还可以包括协议数据单元类型参数。该协议数据单元的类型可以是但不限于传输控制、软件升级、输入装置证书请求、服务器证书请求和加密输入。其中,传输控制用于满足确认ACK(Acknowledgement,确认)、重传请求NAK(NegativeAcknowledge,否定响应)、大块数据(例如升级软件)的分组传输等需求。当服务器需要获取输入信息保护装置的数字证书或公钥时,主机可通过输入装置证书请求类型的协议数据单元向输入信息保护装置索取数字证书。当然,也可以在主机上保存该数字证书,直接传给服务器。需要指出的是,这里所要求的数字证书合法的出处包括本输入信息保护装置中的存储器、主机、网络服务器等等,其数字签名必须是可靠的。为确保可靠性并避免可能出现的法律认定上的困难,可以采用输入信息保护装置的处理器的制造商为根的认证链。另外,对于某些安全性高的服务,需要强制性地对服务器(实际上为提供安全参数的实体)进行认证,这时,输入信息保护装置可以发出证书请求要求提供服务器的数字证书。 具体地,该协议数据单元可以为以下格式
同步码版本号总长度类型I协议DATA(由类型I协议校验码
决定的数据)
链路相关 I字节 4字节 I字节可变长链路相关其中,同步码用于标识一个数据单元的开始,其长度与通信链路相关。例如,当通信链路为PS2接口时,同步码为一个起始字符;当通信链路是同步链路时,同步码应当是一个起始标志块。校验码与同步码一样,与通信链路相关。总长度指从类型I协议字段开始的所有字段的长度,不包括同步码、版本字段和总长度字段本身。类型I协议用于表示上文中的加密算法参数和数据单元类型参数,在本实施例中,优选采用统一的数字编号。在其它实现方式中,也可以分开表示。DATA是各类型、协议数据单元对应的数据,一般即该协议的数据包,如服务器的X509数字证书。更加优选地,为了方便协议数据单元类型的识别,可以采用类型分段法,例如,采用高3位(二进制)标示数据单元类型如下000传输控制001软件升级010装置认证011服务器认证IOx 加密Ilx 保留其中,X代表O或I,按照该方案,可以用来标识加密协议的位数总共有6个二进制位,可标志的协议数达64种。加上保留部分,加密协议最多可达128种,可以适用于多种网络服务程序。优选地,所有的协议数据单元的传输均采用停止等待协议。考虑到用户输入数据相对慢,因此当输入信息保护装置接收到一个协议数据单元时,在完成校验后会立即回复一个ACK或者NAK的应答帧,以便主机及时做出正确判断以采取下一步行动。具体地,例如,当用户需要访问某一服务器时,通过主机与服务器进行交互,主机获取服务器的加密输入请求信息,如帐号信息请求后,(该帐号信息请求通常是要求提供帐号、口令的协议数据单元),将其作为“DATA”字段封装后发送给输入信息安全保护装置。再例如,当用户需要登陆本地应用程序时,主机获取应用程序要求提供帐号、口令的请求后,将其作为“DATA”字段封装后发送给输入信息安全保护装置。也就是说,协议数据单元中的加密算法参数是与服务器或主机上的应用程序相对应的。步骤202 :判断接收到的协议数据单元的版本是否可兼容,若是,则执行步骤203 ; 若否,则给主机回复可用版本信息。 步骤203 :根据数据单元类型参数判断协议数据单元是否为加密输入类型,若是,则执行步骤204,若否,则执行非加密输入类型的处理,如传输控制、软件升级、装置认证、月艮务器认证等。步骤204 :判断加密算法参数是否可处理,若可处理,则执行步骤205 ;若不可处理,则可以回复非支持协议信息。具体地,可以在输入信息保护装置中预设的加密算法参数中,查找是否存在与该协议数据单元中的加密算法参数相同的加密算法参数,若存在,则表示加密算法参数可处理,反之则表示该加密算法参数不可处理。步骤205 :判断是否需要对服务器进行认证,若需要,则执行步骤206 ;若不需要,则执行步骤208。具体地,可以根据用户的预先设置来判断是否需要对服务器进行认证。步骤206 :检测协议数据单元中是否含有服务器发送的数字证书;若是,则执行步骤207 ;若否,则向主机发送服务器证书请求。步骤207 :验证该协议数据单元中的数字证书是否合法,若是,则执行步骤208 ;若否,向主机回复认证失败信息。通过上述步骤205-207,即可实现对服务器进行认证。步骤208 :根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法。该预设的加密算法参数与加密算法的对应关系预先设置在输入信息安全保护装置中。具体地,选择与接收到的协议数据单元中的加密算法参数相对应的加密算法的步骤包括将加密算法参数对应的处理函数指针赋予指向处理函数的指针变量func并进行该处理函数的初始化,以便在用户输入时通过调用func所指的处理函数进行对应的加密处理。可以将加密算法参数与对应的处理函数指针做成一张表存储在输入信息保护装置中,以便升级处理程序更新。步骤209 获取用户输入的数据。具体地,此时,输入信息保护装置进入加密键盘状态,可以设置一个NKS (normalkeyboard status,普通键盘状态标志)变量,当NKS = N时,表示加密键盘状态;当NKS =Y时,表示非加密键盘 状态,即普通键盘状态。系统启动时的状态是普通键盘状态。步骤211 :采用选择的加密算法对步骤210中用户输入的数据进行加密。在实际应用中,可以在用户输入完毕后,设置NKS = Y,恢复到普通键盘状态。步骤212 :将加密后的数据发送给主机。具体地,可以将加密后的数据作为“DATA”字段封装成协议数据单元发送给主机。主机收到后,或者由主机上的应用程序解密并使用“DATA”字段的数据,或者将“DATA”字段的数据转发给服务器。需要说明的是,输入信息保护装置与主机的数据交互可以通过PS2接口、USB接口或无线接口。在上述步骤201-212的执行过程中,该方法还包括接收用户的中断指令,并执行与该中断指令对应的中断服务程序,以进行相应的处理。具体地,这些中断指令可以包括设置指令、强制认证指令、强制终止指令以及所有数据键。其中,设置指令用于设置一些可选项,例如是否隐蔽显示以及用什么符号隐蔽显示用户输入的口令,是否显示服务器标识,是否总是进行服务器强制认证,系统升级时是否要经过用户确认等。可以用交互问答的方式进行所有可能的设置。本实施例的方法还包括在该输入信息保护装置上显示输入信息安全保护装置当前的工作状态和运行数据。该工作状态和运行数据包括但不限于加密输入状态、认证结果、用户输入的数据等。本发明实施例通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为不同目的的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。此外,本发明实施例还可以实现输入信息安全保护装置和服务器之间的双向认证,进一步提高了输入信息的安全性。实施例3如图3所示,本发明实施例提供了一种输入信息安全保护装置,该装置包括接收模块301,用于接收主机发送的协议数据单元,该协议包中包括加密算法参数;选择模块302,用于根据预设的加密算法参数与加密算法的对应关系,选择与接收模块301接收的协议数据单元中的加密算法参数相对应的加密算法;获取模块303,用于获取用户输入的数据;加密模块304,用于根据选择模块302选择的加密算法,加密获取模块303获取的数据;发送模块305,用于将加密模块304加密后的数据发送给主机。
具体地,本实施例的输入信息安全保护装置可以作为单独的装置与普通键盘兼容,也可以直接集成在键盘上,作为键盘的一部分。本发明实施例提供的技术方案的有益效果是通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为不同目的的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。实施例4如图4所示,本发明实施例提供了一种输入信息安全保护装置,该装置包括接收模块301,用于接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数;选择模块302,用于根据预设的加密算法参数与加密算法的对应关系,选择与接收模块301接收的协议数据单元中的加密算法参数相对应的加密算法;获取模块303,用于获取用户输入的数据;加密模块304,用于根据选择模块302选择的加密算法,加密获取模块303获取的数据;发送模块305,用于将加密模块304加密后的数据发送给主机。优选地,该协议数据单元中还包括数据单元类型参数,则该装置还包括判断模块406,用于根据数据单元类型参数,判断接收模块301接收到的协议数据单元是否为加密输入类型,若是,则获取协议数据单元中的加密算法参数;相应地,选择模块302当所述判断模块406的判断结果为是时,根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法。优选地,该装置还包括认证模块407,用于对服务器进行认证。优选地,该装置还包括中断指令执行模块408,用于获取中断指令,并执行与该中断指令对应的中断服务程序。具体地,该中断指令可以包括设置指令、强制认证指令、强制终止指令以及所有数据键。优选地,该装置还包括显示模块409,用于显示输入信息安全保护装置当前的的工作状态和运行数据。该工作状态和运行数据包括但不限于加密输入状态、认证结果、用户输入的数据等。优选地,该装置还包括软件升级模块,用于升级所述输入信息安全保护装置中的软件,包括加密算法。在本实施例的一个具体实现中,该中断指令执行模块408可以包括但不限于显示方式切换按钮、强制服务器认证按钮、终止并取消输入按钮、数据键等等,该显示模块409 可以包括指示灯和显示屏等等。
通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为不同目的的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。此外,本发明实施例还可以实现输入信息安全保护装置和服务器之间的双向认证,进一步提高了输入信息的安全性。
实施例5本实施例提供了一种输入信息保护系统,该系统包括主机52和输入信息保护装置51,其中,输入信息保护装置51可以为实施例3或4提供的输入信息保护装置;主机52,用于向输入信息保护装置51发送协议数据单元,该协议数据单元中包括加密算法参数。进一步地,该系统还可以包括服务器53,用于向主机52发送加密输入请求信息;相应地,主机52发送的协议数据单元中还包括该加密输入信息请求,且主机还用于将输入信息保护装置发送的加密后的数据发送给服务器。本发明实施例通过在输入信息安全保护装置中预先设置多种加密算法与加密算法参数的对应关系,并在发送给输入信息安全保护装置的协议数据单元中指定加密算法并给出所需的加密参数,进而输入信息安全保护装置可根据主机或服务器的要求选择特定的加密算法在输入信息安全保护装置上对用户输入的数据进行加密。这样,同一台输入信息安全保护装置便可为不同目的的主机和服务器提供各自所需的加密输入服务,克服了专用输入信息安全保护装置算法单一、应用范围狭小的不足,也克服了通用输入装置不能为主机和服务器提供各自所需的加密输入服务的缺陷,兼顾了安全性、通用性、灵活性。需要说明的是上述实施例提供的输入信息保护装置和系统在保护输入信息时,仅以上述各功能模块的划分进行举例说明,实际应用中,可以根据需要而将上述功能分配由不同的功能模块完成,即将装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。另外,上述实施例提供的输入信息保护装置和系统与输入信息保护方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。本领域普通技术人员可以理解实现上述实施例的全部或部分步骤可以通过硬件来完成,也可以通过程序来指令相关的硬件完成,所述的程序可以存储于一种计算机可读存储介质中,上述提到的存储介质可以是只读存储器,磁盘或光盘等。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种输入信息保护方法,其特征在于,所述方法包括 输入信息安全保护装置接收主机发送的协议数据单元,所述协议数据单元中包括加密算法参数; 根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的所述加密算法参数相对应的加密算法; 获取用户输入的数据; 采用选择的所述加密算法,加密所述用户输入的数据; 将加密后的数据发送给所述主机。
2.根据权利要求I所述的方法,其特征在于,所述协议数据单元中还包括数据单元类型参数,则在所述根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法之前,所述方法还包括 根据所述数据单元类型参数判断所述协议数据单元是否为加密输入类型,若是,则获取所述协议数据单元中的加密算法参数。
3.根据权利要求I所述的方法,其特征在于,在所述根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法之前,所述方法还包括 对服务器进行认证。
4.根据权利要求I所述的方法,其特征在于,所述方法还包括获取中断指令,并执行与所述中断指令相对应的中断服务程序。
5.根据权利要求I所述的方法,其特征在于,所述方法还包括在所述输入信息安全保护装置上显示所述输入信息安全保护装置当前的工作状态和运行数据。
6.一种输入信息安全装置,其特征在于,所述装置包括 接收模块,用于接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数; 选择模块,用于根据预设的加密算法参数与加密算法的对应关系,选择与所述接收模块接收的协议数据单元中的所述加密算法参数相对应的加密算法; 获取模块,用于获取用户输入的数据; 加密模块,用于根据所述选择模块选择的加密算法,加密所述获取模块获取的数据; 发送模块,用于所述将加密模块加密后的数据发送给所述主机。
7.根据权利要求6所述的装置,其特征在于,所述协议数据单元中还包括数据单元类型参数,则所述装置还包括 判断模块,用于根据所述数据单元类型参数判断所述协议数据单元是否为加密输入类型,若是,则获取所述协议数据单元中的加密算法参数。
8.如权利要求6所述的装置,其特征在于,所述装置还包括 认证模块,用于对服务器进行认证。
9.如权利要求6所述的装置,其特征在于,所述装置还包括中断指令执行模块,用于 获取中断指令,并执行所述中断指令。
10.如权利要求6所述的装置,其特征在于,所述装置还包括显示模块,用于显示所述输入信息安全保护装置当前的工作状态和运行数据。
11.一种输入信息保护系统,其特征在于,所述系统包括 主机,用于发送协议数据单元,所述协议数据单元中包括加密算法参数; 输入信息保护装置,用于接收所述主机发送的协议数据单元;根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的所述加密算法参数相对应的加密算法;获取用户输入的数据;采用选择的所述加密算法,加密所述用户输入的数据;将加密后的数据发送给所述主机。
12.如权利要求11所述的系统,其特征在于,所述系统还包括 服务器,用于向所述主机发送加密输入请求信息; 相应地,所述主机发送的所述协议数据单元中还包括所述加密输入请求信息,且所述主机还用于将所述输入信息保护装置发送的加密后的数据发送给所述服务器。
全文摘要
本发明实施例提供了一种输入信息安全保护方法、装置和系统,属于信息安全技术领域。该方法包括输入信息安全保护装置接收主机发送的协议数据单元,该协议数据单元中包括加密算法参数;根据预设的加密算法参数与加密算法的对应关系,选择与协议数据单元中的加密算法参数相对应的加密算法;获取用户输入的数据;采用选择的加密算法,加密用户输入的数据;将加密后的数据发送给主机。本发明实施例通过在输入信息安全保护装置中设置多种加密算法与加密算法参数的对应关系,并在协议数据单元中包含与网络服务程序相对应的加密算法参数,进而指定与网络服务程序对应的加密算法,通用性好,并且可以保证用户输入信息的安全。
文档编号G06F21/00GK102664887SQ20121011570
公开日2012年9月12日 申请日期2012年4月19日 优先权日2012年4月19日
发明者程元斌 申请人:江汉大学