一种抗肩窥的智能手机上安全口令输入方法与流程

本发明属于信息安全领域，具体涉及一种抗肩窥的智能手机上安全口令输入方法。

背景技术：

口令，俗称“密码”，是一种广泛应用的身份认证机制。当前，智能手机和无线网络(3g/4g，wifi等)的普及率很高，用户可以通过智能手机连接互联网，并使用各种互联网服务，包括购物、理财、出行等。因为口令认证具有成本低、更换方便等特点，在智能手机中，口令认证依然是最常用的用户身份认证手段之一。由于智能手机方便携带，人们使用智能手机的环境非常多样，这其中包括了很多公共场合，比如公共交通工具上，会议室里等。在这些公共场合在智能手机上使用口令进行身份认证时，用户口令输入过程很容易被他人偷窥到，甚至被偷拍。这种用户口令输入过程被他人偷窥或者偷拍，而导致口令泄漏的情况，称为对用户口令的肩窥攻击。

传统的口令输入机制难以防止肩窥攻击，即使攻击者通过偷窥或者偷拍的方式只获得了用户输入口令过程中手指的轨迹，通过和智能手机软键盘的对比，依然很容易分析出用户口令。为了保护用户信息的安全，构建抗肩窥的智能手机上安全口令输入机制，具有很强的现实意义和重要的应用价值。

文献[volkerroth，kairichter，renefreidinger.“apin-entrymethodresilientagainstshouldersurfing”，proceedingsofthe11thacmconferenceoncomputerandcommunicationssecurity，2004.]和[taekyoungkwon，jinhong.“analysisandimprovementofapin-entrymethodresilienttoshoulder-surfingandrecordingattacks”，ieeetransactionsoninformationforensicsandsecurity，10(2)：278-292，2015]提出了两种抗肩窥的口令输入方法，然而这两种方法都只能支持纯数字的口令输入，无法输入含有字母或者特殊字符的口令，严重限制了其适用范围。中国专利20051014303.7提出了利用随机键盘映射的方法进行防偷窥的口令输入方法。在用户输入时，该方法通过生成随机键盘，实现实体键盘按键的随机映射，用户通过随机键盘查找随机映射关系，在真实的键盘上进行口令输入。然而如果攻击者能够同时偷窥用户物理键盘和随机键盘，该方法就会导致用户口令泄漏；此外，该方法需要使用真实的物理键盘进行口令输入，并且不适用于智能手机。

技术实现要素：

本发明针对上述抗肩窥口令输入方法适用范围小或不适用于智能手机的问题，提供了一种抗肩窥的智能手机上口令输入方法。本发明支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入，适用于智能手机，并在用户口令输入过程被偷窥或者偷拍的情况下，依然确保用户口令的安全，有效降低用户口令在输入过程中被肩窥泄漏的概率。

本发明的目的就是为了解决抗肩窥口令输入方法适用范围小或不适用于智能手机的问题，提供了一种抗肩窥的智能手机上口令输入方法。本发明采用了间接输入口令的方法，用户输入口令时使用随机显示的生肖名称作为标记，将要输入的字符同该标记相关联后模糊输入，攻击者无法得知用户使用的标记，从而不能获取用户真正的输入内容，因而能有效地抵抗肩窥攻击。本发明的目的通过以下技术方案来实现。

本发明中设计了新的口令输入界面a和界面b，两个界面分别显示不同的字符集合，可以通过界面左下角的“切换”按键进行切换。每个界面都有48个字符，字符显示在一排方框中，共有12个方框，每个方框4个字符，框内字符分2层，每层2个字符。界面a和界面b除了字符不同，其余部分完全一样。两个界面一共显示96个字符，包含10个数字、26个小写字母、26个大写字母和34个特殊字符，界面a显示数字、小写字母和部分特殊字符，界面b显示大写字母和部分特殊字符。界面上字符排列位置固定不变。字符显示方框下方有12个矩形框，用于显示随机打乱的12生肖名，矩形框与方框位置一一对齐。需要说明的是，这些十二生肖名称也可以替换成其他图形或文字，只需要确保它们各不相同即可。界面两端有“向左”和“向右”箭头按键用于调整12生肖的位置。点击“向左”箭头按键，会将最左端的生肖名移到最右端，其余生肖名各向左移动一格；点击“向右”箭头按键，会将最右端的生肖名移到最左端，其余生肖名各向右移动一格。界面下方有4个按键，共两排，每排两个，4个按键的摆放对应字符方框中4个字符的位置，方框中字符的选择通过该字符对应按键的点击。

一种抗肩窥的智能手机上安全口令输入方法，其特征在于，所述方法包括以下步骤：

(1)用户输入口令时，系统显示界面a，并对其中12个生肖名称进行随机排列。

(2)用户通过下述方式，输入口令的第一个字符：

(2.1)用户检查需要输入的字符是否在当前界面的字符区中，如果不在，则通过左下角的“切换”按钮，切换到另一界面。

(2.2)用户找到需要输入的字符所在的方框，观察该方框正下方的生肖名称，默记该生肖，将其作为此次口令输入的标记。

(2.3)用户观察需要输入的字符在方框中的方位，选择屏幕下方对应方位的按键输入字符。

(2.4)用户选择后，系统会自动将12个生肖名称重新随机排列，等待用户输入下一个字符。

(3)用户通过下述方式，输入口令的剩余字符：

(3.1)用户检查需要输入的字符是否在当前界面的字符区中，如果不在，则通过左下角的“切换”按钮，切换到另一界面。

(3.2)用户找到需要输入的字符所在的方框，通过左右移动，将之前默记的生肖名称移动到该方框的下方。

(3.3)用户观察需要输入的字符在方框中的方位，选择屏幕下方对应方位的按键输入字符。

(3.4)用户选择后，系统会自动将12个生肖名称重新随机排列，等待用户输入下一个字符。如果用户口令还有字符没有输入完成，跳回到步骤(3)执行；否则执行步骤(4)。

(4)用户点击“登录”按钮，向系统提交用户名和口令。

(5)系统收到用户提交的信息后，首先验证用户名是否存在。如果用户名不存在，直接返回“用户名或密码输入错误”；如果用户名存在，则通过如下方式验证用户输入的口令是否正确：

(5.1)系统根据用户在步骤(2)和步骤(3)中的输入信息，分别尝试每个生肖，每个生肖可以获得一个字符串，那么系统通过所有尝试可以获得12个不同的字符串，其中有且只有一个是用户实际输入的口令。

(5.2)系统验证所获得12个字符串是否包括系统存储的用户正确口令。如果包括，则认定用户口令输入正确；否则返回“用户名或密码输入错误”。

所述步骤(1)中用户登录时先输入用户名再输入口令。系统开始时显示界面a，因为日常使用的英文键盘显示小写字母，显示大写字母则要切换，本发明同样采用这一顺序，在界面a显示小写字母，界面b中显示大写字母，让用户更习惯。本发明将数字放置在界面a中同样符合了常用键盘上方带有数字的规律。12生肖作为标记，每个生肖都对应一个字符方框。

所述步骤(2.1)中，这时的界面a和界面b都不显示“向左”键和“向右”键，以防用户误以为输入第一个字符时可以滚动12生肖显示条。

所述步骤(2.2)中，用户观察随机出现在要输入字符所在方框下的生肖，将其作为输入口令的标记，口令剩余部分的输入也都要使用该生肖作为标记来对应输入字符所在的方框。一些用户对某一生肖有特别的偏好，若让用户指定使用生肖，该生肖使用频率可能会很高。对于知晓用户喜好的攻击者，攻击者观察用户输入过程时只看该生肖对应的方框以及字符方位的选择，就很可能获得正确的口令。为了避免这一情况的出现，方法让系统随机显示生肖，用户不能选择使用特定生肖。

所述步骤(2.3)中方框有四个方位：左上、右上、左下和右下。方框的四个方位对应屏幕下方的四个按键，四个按键也分别按照左上、右上、左下和右下的方位来排列。

所述步骤(2.4)中用户每输入一个字符，系统都会随机打乱生肖顺序，这能有效妨碍攻击者的观察和记忆。

所述步骤(3.2)中用户使用屏幕上的“向左”键和“向右”键水平滚动12生肖条，将默记的生肖移动到输入字符所在方框下方后，再选择方位输入字符。

所述步骤(5)中为了避免向攻击者暴露具体出错原因，本发明一律使用“用户名或密码错误”来提示出错。

所述步骤(5.1)中在每次输入口令，系统不知道用户默记的生肖，在解析用户输入时，会解析出12个不同的结果，其中一个用户实际输入，另外11个是随机输入。系统只验证这12个解析结果中是否包括用户的正确口令，而不是找到其中的实际输入进行验证。只要从其中验证到正确口令，就认为用户登录成功。

所述步骤(5.1)中攻击者对用户肩窥攻击时，不能知道用户使用哪个生肖作为标记，由于观察能力和短时记忆量有限，攻击者只能选择其中一个生肖作为可能标记进行观察。由于每输入一个字符，生肖的顺序就会改变，这给攻击者观察带来困难，同时用户操作的速度也对观察造成很大影响。文献[ga.miller，″themagicalnumberseven，plusorminustwo：somelimitsonourcapacityforprocessinginformation″，psychol.rev.，vol.63，no.2，pp.81-97，1956.]表明人类短时记忆量只有7±2个简单符号，攻击者攻击时需要记忆选择的标记和每次输入标记和方位对应的字符，因而对于日常使用的8到20位口令，攻击者在实际中难以在肩窥攻击中获得一串完整的口令。假设攻击者观察力和记忆力很好，可以获得一串某生肖对应的口令，由于一共有12个生肖对应12串可能的口令，理论上攻击者的成功率为1/12。若攻击者使用设备偷拍用户认证，之后反复观看可获得全部候选口令，但一般系统设有保护机制，3次认证失败就会冻结账号，因而攻击者尝试次数也是有限的，同时攻击者实施偷拍比偷看更容易被发现。除了用户实际输入的口令，其他的11个随机输入得到的口令起到保护用户实际输入口令的效果，但也会导致系统验证过程出现一定的误差。攻击者在尝试认证时不知道正确的口令但进行了输入正确口令时所需的操作，同样能登录成功。假设攻击者不知道用户的口令，但通过肩窥攻击获得了每次输入时字符的方位，这时攻击者需要让初始位于正确字符所在方框下方的生肖在每次输入时都能对应上正确字符所在的方框。每次输入时，12生肖同12个方框一共有12种对应关系。令k为用户口令的位数，第一位输入只选字符方位，剩余字符输入选择对应关系和字符方位，所以让该生肖每次输入都对应正确方框的概率为(1/12)^k-1，即攻击者成功的概率为(1/12)^k-1，对于常用的8到20位口令，这种因系统验证误差造成的攻击成功率是极小的。

本发明的目的在于解决抗肩窥口令输入方法适用范围小或不适用于智能手机的问题，本发明提出了一种抗肩窥的智能手机上安全口令输入方法。通过本发明的设计，攻击者无法得知用户使用的标记，不能获取同正确标记相关联的字符，从而有效地抵抗了肩窥攻击，同时本发明支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入，适用于日常中智能手机的口令输入。

本发明目的中所要解决问题的具体设置环境可以为：用户在公共场合下在移动设备上输入口令，攻击者在不被用户发现的情况下偷窥或偷拍用户的输入和设备屏幕上的内容。攻击者在之后根据记忆或回放拍摄的录像，推测用户的正确口令，尝试登录。本发明通过设计新的口令输入界面和口令输入方法，用户使用随机指定的生肖作为标记进行模糊输入口令，攻击者不能知晓所使用的标记，不能判断其中正确的口令，解决上述摄像攻击的问题。

本发明突出的实质性特点和显著性进步主要体现在以下几点：本发明设计了口令输入界面和口令输入方法，使用人们熟悉的12生肖作为输入标记，用户使用随机指定的生肖作为标记模糊输入口令，攻击者无法通过肩窥获取正确口令，解决了口令输入方法无法抵抗肩窥攻击的问题；本发明支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入，适用于日常中智能手机的口令输入，解决了抗肩窥口令输入方法在智能手机上适用范围小的问题。

本发明的目的、优点和特点，将通过下面优选实施例的非限制性说明进行解释。这些实施例仅是应用本发明技术方案的典型范例，凡采取等同替换或者等效变换而形成的技术方案，均落在本发明要求保护的范围之内。

附图说明

下面结合附图及实施例对本发明作进一步描述：

图1为本发明的界面a示意图

图2为本发明的界面b示意图

图3为本发明的口令输入方法流程图

具体实施方式

以下结合具体实施例对上述方案做进一步说明。应理解，这些实施例是用于说明本发明而不限于限制本发明的范围。基于本发明的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明的保护范围。

图1出示了本发明界面a的示意图，界面包括：

用户名输入栏；

密码输入栏；

字符方框显示区，显示可输入的字符；

12生肖显示条，显示随机打乱的12生肖；

“向左”键和“向右”键，用于12生肖显示条的水平滚动，点击一下，滚动一格；

左上、右上、左下和右下4个方位的按键，用于方框中不同方位的字符输入；

切换键，用于界面a和界面b的切换；

删除键，用于删除已输入的口令；

登录键。

图2出示了本发明界面b的示意图，除了字符方框显示区中字符不同，其余部分与界面a一致。右数第二个方框中字符w右边的″表示空格键。

本实施例的抗肩窥的智能手机上安全口令输入方法实施步骤如下：

步骤一：系统显示界面a，并对其中12个生肖名称进行随机排列。

步骤二：用户输入口令的第一位字符。用户检查需要输入的字符是否在当前界面的字符区中，如果不在，则通过左下角的“切换”按钮，切换到界面b。这时的界面a和界面b都不显示“向左”键和“向右”键，以防用户误以为可以滚动生肖条。用户找到待输入字符所在的方框，观察该方框正下方的生肖名称，默记该生肖，将其作为此次口令输入的标记。用户观察需要输入的字符在方框中的方位，选择屏幕下方对应方位的按键输入字符，例如该字符在方框的左上方，就选择左上的按键。用户选择后，系统会自动将12个生肖名称重新随机排列，等待用户输入下一个字符。

步骤三：用户输入口令的剩余字符。用户检查需要输入的字符是否在当前界面的字符区中，如果不在，则通过左下角的“切换”按钮，切换到另一界面。用户找到需要输入的字符所在的方框，通过左右移动，将之前默记的生肖名称调整到该方框的下方。用户观察需要输入的字符在方框中的方位，选择屏幕下方对应方位的按键输入字符。用户选择后，系统会自动将12个生肖名称重新随机排列，等待用户输入下一个字符。如果用户口令还有字符没有输入，跳回到步骤三执行；否则执行步骤四。

步骤四：用户点击“登录”按钮，向系统提交用户名和口令。

步骤五：系统收到用户提交的信息后，首先验证用户名是否存在。如果用户名不存在，直接返回“用户名或密码输入错误”；如果用户名存在，系统根据用户在步骤二和步骤三中的输入信息，分别尝试每个生肖，每个生肖可以获得一个字符串，那么系统通过所有尝试可以获得12个不同的字符串，其中有且只有一个是用户实际输入的口令。系统验证所获得12个字符串是否包括系统存储的用户正确口令。如果包括，则验证用户口令输入正确；否则返回“用户名或密码输入错误”。

结合图3，抗肩窥的智能手机上安全口令输入方法具体实施步骤如下：

步骤一：系统显示界面a，其中的12个生肖随机排列。

步骤二：用户准备输入口令的第一位字符。用户判断待输入字符是否在当前界面中，不在则切换界面。用户找到待输入字符，查看字符所在方框正下方对应的生肖，将其作为此次口令输入的标记。用户根据要输入字符所在的方位点击对应的按键输入该字符。

步骤三：系统记录当前生肖排序后显示新的打乱顺序的12生肖。

步骤四：用户准备输入口令的剩余字符。用户判断待输入字符是否在当前界面中，不在则切换界面。用户找到待输入字符，使用“向左”键和“向右”键将标记生肖移动至该字符所在方框的正下方。用户根据要输入字符所在的方位点击对应的按键输入该字符。

步骤五：系统记录当前生肖排序后显示新的打乱顺序的12生肖。

步骤六：若用户输完口令，点击“登录”；若用户还未输完，返回步骤四。

步骤七：系统检查提交的用户名是否存在，若存在，则系统继续对用户输入的口令进行判断；若不存在，系统提示用户出错。

步骤八：用户的输入信息和每一轮12个生肖的排列顺序，生成12生肖对应的12串字符串。系统判断12串字符串是否存在和正确口令相同的字符串。若存在，则用户验证通过；若不存在，系统提示用户出错。

下面为口令输入方法的输入用时。

在android手机上安装实现抗肩窥的智能手机上安全口令输入方法的软件，10名用户使用软件注册登录。

抗肩窥的智能手机上安全口令输入方法输入平均用时，实验结果如表1。从表中可以看出，相比常用的直接输入口令的方法，抗肩窥的智能手机上安全口令输入方法输入用时较长，这是因为用户在输入的过程需要找到标记生肖所在位置并调整该生肖的位置。抵抗肩窥攻击的口令输入方案在安全性与可用性上一直都存在权衡关系，在大大提高安全性的情况下，牺牲部分可用性是可以接受的。

表1抗肩窥的智能手机上安全口令输入方法输入平均用时

本发明涉及抗肩窥的智能手机上安全口令输入方法。本发明支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入，适用于智能手机上任何用户口令的输入，并在用户口令输入过程被偷窥或者偷拍的情况下，依然确保用户口令的安全，有效降低用户口令在输入过程中被肩窥泄漏的概率。