专利名称:一种提高网络信息产品使用安全性的方法及系统的制作方法
技术领域:
本发明涉及信息安全技术领域,特别涉及一种利用信息安全设备提高网络信息产品安全性的方法及系统。
背景技术:
随着计算机技术的高速发展,越来越多的用户习惯利用网络的便捷和丰富的资源来完成各项工作。这在一定程度上节约了时间,提高了办事效率,促进了互联网的进一步发展和完善。但是,随着高科技手段的不断发展,在网络给人们带来便利和娱乐的同时,也存在着极大的安全隐患。
网络信息产品包括网络游戏、网络点播、网络教育等一系列付费使用的网上资源。
用户身份认证技术的发展在一定程度上提高了用户网络ID的安全性,但现有技术在验证用户身份合法性,保护用户网上账号及密码安全性方面存在着很多缺陷,一般情况下,用户若想登录某些网站,或者使用某些网络信息产品(如进入网络游戏系统,或下载某些软件),都要经过繁琐的身份验证过程,对于一些付费性的网络信息产品,则需用户在指定的销售处够买一定面值的点卡,通过输入点卡的账号及密码完成充值过程,获取使用网络信息产品的资格或增加使用时间。
对称密钥密码体制是常用的PKI体系的认证方式,在非对称密钥密码体制中,加密密钥与解密密钥各不相同,用公钥加密的数据只能用与之对应的私钥解密。公钥体制的数字签名既保证了信息的机密性,又保证了信息具有不可抵赖性,其原理是首先将明文用被验证方私钥签名,得到数字签名,然后将数字签名发向验证方,验证方用被验证方的公钥进行解密,最后与原文进行比较,进行验证。
HMAC-Hash是一种常用的冲击响应认证方式。HMAC-Hash是对Hash(哈希)算法的加强,Hash算法也称单向散列算法,是指在已知运算结果和算法的情况下也不可能反向计算出原始信息的算法。哈希函数具有这样一种功能它对不同长度的输入信息(俗称种子)产生固定长度的输出,这个固定长度的输出称为原输入信息的“散列”或“Message digest(消息摘要)”。HMAC(keyed-Hashing Message Authentication Code)将密钥结合Hash运算,并且每次运算都有随机数据参与,以保证每次认证过程产生的结果数据不同,这样即使有恶意分子截获了某一次认证数据,也无法通过下一次的认证。
网络系统确认用户身份的过程,一般都是通过要求用户输入账号和密码来确认其合法性,这就给用户带来身份验证方面的繁琐性和不安全性。以游戏玩家为例,一方面,用户若想成为不同游戏的玩家,就需要注册与之匹配的特定账号及密码,方法比较繁琐;另一方面,游戏玩家所持有的不同账号及密码不但繁琐,而且注册的账号和密码很容易被别人通过网络监听所盗取极易,或使用特殊技术所盗取,一但被盗取,将给游戏玩家和运营商带来经济或精神损失。
发明内容
本发明为了解决现有技术中使用网络信息产品安全性差和操作繁琐的问题,提供了一种提高网络信息产品使用安全性的方法及系统。所述技术方案如下一种提高网络信息产品使用安全性的方法,所述方法包括以下步骤步骤A代理商获取信息安全设备后,对信息安全设备进行初始化生成密钥,并将所述密钥反馈给网络信息产品运营商;步骤B运营商收到所述密钥后,将所述密钥与网络信息产品进行绑定存储在服务器上;步骤C用户获得经过绑定的信息安全设备后进行身份认证,认证通过后,用户使用所述网络信息产品。
所述步骤A还包括代理商在所述信息安全设备内部写入标识号,并把所述标识号反馈给网络信息产品运营商。
所述步骤A之前还包括网络信息产品运营商获取信息安全设备后,在所述信息安全设备内部写入标识号,并将所述标识号存入服务器中,然后将所述信息安全设备发放给代理商。
所述步骤C包括C1通过用户输入所述信息安全设备的PIN码或者用户的生物特征验证用户是否是该信息安全设备的合法持有者;C2所述服务器利用信息安全设备上的密钥对用户进行认证,认证通过后,用户使用所述网络信息产品。
所述步骤C2为网络信息产品运营商服务器利用非对称密钥机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
所述步骤C2为网络信息产品运营商服务器利用冲击响应机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
所述网络信息产品包括网络游戏软件、网络教育软件或网络媒体点播软件。
所述信息安全设备存储至少一个密钥。
所述信息安全设备通过USB接口与主机建立连接。
本发明同时提供了一种提高网络信息产品使用安全性的系统,所述系统包括信息安全设备,用于存储网络信息产品或用户信息;代理商初始化模块,用于代理商获取信息安全设备后,对信息安全设备进行初始化生成密钥;运营商存储信息模块,用于存放密钥及标识号;密钥认证模块,用于服务器利用信息安全设备上的密钥对用户进行认证。
所述代理商初始化模块还用于代理商在所述信息安全设备内部写入标识号。
所述信息安全设备具体包括用户身份认证模块,用于信息安全设备内部验证用户是否是信息安全设备的合法持有者;密钥存储模块,用于存储代理商在对信息安全设备进行初始化时生成的密钥;通信模块,用于实现信息安全设备与主机之间的数据通信;运算模块,用于利用密钥进行算法运算。
所述密钥认证模块具体包括非对称密钥认证单元,用于网络信息产品运营商服务器利用非对称密钥机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格;冲击响应认证单元,用于网络信息产品运营商服务器利用冲击响应机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
本发明的技术方案带来的有益效果是通过将密钥设置在信息安全设备内,简化用户使用网络信息产品的操作量及工作流程,容易普及;提高网络用户私有信息的安全性,防止因私有信息被盗带来的损失。
图1是本发明实施例1提供的对信息安全设备初始化的方法流程图;图2是本发明实施例1提供的验证用户身份及密钥的方法流程图;图3是本发明实施例2提供的另一种对信息安全设备初始化的方法流程图;
图4是本发明实施例3提供的提高网络信息产品使用安全性的系统示意图。
具体实施例方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为对本发明的限定。
由网络信息产品代理商(简称代理商)通过对信息安全设备的初始化,在其内部生成密钥,用户获取该信息安全设备后,利用该信息安全设备可以对多种网络信息产品进行使用。该信息安全设备是一种带有处理器和存储器的装置,主要用于信息传输、信息存储的安全以及对网络传输信息内容的审计和身份认证领域,具有抗攻击的特性,安全性极高。
具体使用网络信息产品的方法包括以下步骤1)代理商获取信息安全设备后,对信息安全设备进行初始化,生成密钥,并将其反馈到网络信息产品运营商处。
2)用户获取上述信息安全设备,只需通过相关认证便可使用所需的网络信息产品。
在下述实施例中,网络信息产品以网络游戏为例进行说明,运营商为网络游戏运营商,负责搭建网络游戏服务器,完成对各种网络游戏的更新、升级、授权等工作,并对代理商提供技术支持;代理商为网络游戏代理商,负责在信息安全设备内部生成密钥,完成对信息安全设备的初始化,并将信息安全设备发放给用户;用户为游戏玩家。
实施例1如图1所示,对信息安全设备初始化的方法具体包括以下步骤步骤101游戏代理商从信息安全设备生产厂家获取信息安全设备。
步骤102代理商对信息安全设备初始化,即在信息安全设备内部生成密钥,并将标识号写入该信息安全设备。
密钥可以不只一个,一个标识号可以只对应一个密钥,也可以对应多个密钥。一个信息安全设备写入的标识号不只一个,根据具体情况进行选择。标识号包括用户账号、硬件序列号或网络信息产品中所包含的特定数据,在本实施例中,标识号为用户账号,主要用于当用户登录网络游戏服务器进行密钥校验时,游戏服务器程序通过标识号检索用户数据库中预先存放的与之相匹配的密钥,并通过客户端程序访问信息安全设备,对其内部相应的密钥进行校验。
步骤103代理商把对信息安全设备所设置的密钥及标识号反馈给游戏运营商。
一个游戏运营商对应多个代理商,代理商可以把信息安全设备中的密钥及标识号刻入光盘给游戏运营商,或通过安全通道发送给游戏运营商。
步骤104游戏运营商收到代理商发送的密钥及标识号后,将其存入用户数据库记录中。
在进行存储时,将每个标识号与对应的密钥进行绑定存储,并且一个密钥对应一个游戏。
步骤105游戏运营商向代理商发送确认信息,即向代理商发送信息安全设备使用许可信息。
使用许可指当游戏运营商将代理商反馈的相关信息存入用户数据库后,实现了网络游戏相关信息与硬件设备的绑定,用户获取到信息安全设备后便可使用。
步骤106用户从代理商处获取到上述信息安全设备后,将信息安全设备与计算机相连接,获取游戏玩家资格,具体获取游戏玩家资格的过程如图2所示。
步骤201用户将信息安全设备连接到计算机后,登录网络游戏服务器端选择所需游戏。
其中,信息安全设备通过USB接口与计算机连接。
步骤202客户端程序对用户身份进行认证,以确认用户为硬件设备的合法持有者,若用户通过身份认证,则执行步骤203,否则执行步骤205。
确认用户为硬件设备合法持有者的认证方式包括PIN码认证、生物特征认证。在本实施例中,认证的过程是通过用户输入的信息安全设备PIN码来验证其是否为该信息安全设备的合法持有者,该过程由信息安全设备内部程序执行,具体为信息安全设备内部程序通过校验用户输入的PIN码是否正确,判断用户是否为合法信息安全设备持有者。
步骤203运营商服务器对信息安全设备内部的密钥进行认证。
具体认证方法可以采用非对称密钥密码体制或HMAC-Hash算法来进行。采用非对称密钥密码体制认证的具体步骤包括用户选定网络游戏后,网络游戏服务器端产生一随机字符串并通过客户端发送给信息安全设备;信息安全设备利用密钥对随机字符串进行数字签名;信息安全设备通过客户端将数字签名返回给网络游戏服务器端;网络游戏服务器端利用与之对应的公钥验证数字签名。
采用HMAC-Hash算法认证的具体步骤包括用户选定网络游戏后,网络游戏服务器端产生一随机字符串并通过客户端发送给信息安全设备;信息安全设备利用密钥和HMAC-Hash算法对随机字符串进行计算,得到摘要A,并通过客户端返回给网络游戏服务器端;网络游戏服务器端利用密钥和HMAC-Hash算法对其产生的随机字符串进行计算,得到摘要B;网络游戏服务器端比较A和B是否相同。若比较结果相同,则执行步骤204,否则执行步骤205。
步骤204用户获准进入所选的游戏系统,成为该游戏的玩家。
步骤205游戏服务器拒绝用户登录进入该游戏系统。
实施例2在本实施例中,用户使用信息安全设备的过程同实施例1,但在本实施例中,游戏代理商从运营商处获取的信息安全设备内部已预先写入了标识号,如图3所示步骤301网络游戏运营商从硬件生产商处获取信息安全设备。
步骤302游戏运营商在信息安全设备内部写入标识号,并将其存入游戏服务器的数据库中。
在本实施例中,标识号主要用于当用户登录网络游戏服务器进行密钥校验时,游戏服务器程序通过标识号检测用户数据库中预先存放的与之相匹配的密钥,并通过客户端程序访问信息安全设备,对其内部相应的密钥进行校验。
步骤303代理商从运营商处获取信息安全设备。
步骤304代理商根据信息安全设备内部的游戏标识号在每个硬件设备内部生成与之匹配的密钥,并反馈给游戏运营商。
步骤305游戏运营商将代理商反馈的密钥存入用户数据库记录中。
步骤306游戏运营商向代理商发送确认信息,即向代理商发送信息安全设备使用许可信息。
使用许可指当游戏运营商将代理商反馈的相关信息存入数据库后,实现了网络游戏相关信息与信息安全设备的绑定,用户获取到信息安全设备后便可使用。
步骤307用户从代理商处获取到上述信息安全设备,就可以进入不同网络游戏,获取游戏玩家资格,其过程如图2所示,这里不再赘述。
实施例3参见图4,本发明还提高了一种提高网络信息产品使用安全性的系统,包括信息安全设备,用于存储网络信息产品或用户信息;代理商初始化模块,用于代理商获取信息安全设备后,对信息安全设备进行初始化生成密钥;运营商存储信息模块,用于存放密钥及标识号;
密钥认证模块,用于服务器利用信息安全设备上的密钥对用户进行认证。
其中,代理商初始化模块还用于代理商在信息安全设备内部写入标识号。
信息安全设备具体包括用户身份认证模块,用于信息安全设备内部验证用户是否是信息安全设备的合法持有者;密钥存储模块,用于存储代理商在对信息安全设备进行初始化时生成的密钥;通信模块,用于实现信息安全设备与主机之间的数据通信;运算模块,用于利用密钥进行算法运算。
密钥认证模块具体包括非对称密钥认证单元,用于网络信息产品运营商服务器利用非对称密钥机制对信息安全设备中的密钥进行验证,验证通过后,用户获得使用网络软件的资格;冲击响应认证单元,用于网络信息产品运营商服务器利用冲击响应机制对信息安全设备中的密钥进行验证,验证通过后,用户获得使用网络软件的资格。
以上实施例只是本发明较优选的具体实施方式
的一种,本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。
权利要求
1.一种提高网络信息产品使用安全性的方法,其特征在于,所述方法包括以下步骤步骤A代理商获取信息安全设备后,对信息安全设备进行初始化生成密钥,并将所述密钥反馈给网络信息产品运营商;步骤B运营商收到所述密钥后,将所述密钥与网络信息产品进行绑定存储在服务器上;步骤C用户获得经过绑定的信息安全设备后进行身份认证,认证通过后,用户使用所述网络信息产品。
2.如权利要求1所述的提高网络信息产品使用安全性的方法,其特征在于,所述步骤A还包括代理商在所述信息安全设备内部写入标识号,并把所述标识号反馈给网络信息产品运营商。
3.如权利要求1所述的提高网络信息产品使用安全性的方法,其特征在于,所述步骤A之前还包括网络信息产品运营商获取信息安全设备后,在所述信息安全设备内部写入标识号,并将所述标识号存入服务器中,然后将所述信息安全设备发放给代理商。
4.如权利要求1所述的提高网络信息产品使用安全性的方法,其特征在于,所述步骤C包括C1通过用户输入所述信息安全设备的PIN码或者用户的生物特征验证用户是否是该信息安全设备的合法持有者;C2所述服务器利用信息安全设备上的密钥对用户进行认证,认证通过后,用户使用所述网络信息产品。
5.如权利要求4所述的提高网络信息产品使用安全性的方法,其特征在于,所述步骤C2为网络信息产品运营商服务器利用非对称密钥机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
6.如权利要求4所述的提高网络信息产品使用安全性的方法,其特征在于,所述步骤C2为网络信息产品运营商服务器利用冲击响应机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
7.如权利要求1-6中的任意一项权利要求所述的提高网络信息产品使用安全性的方法,其特征在于,所述网络信息产品包括网络游戏软件、网络教育软件或网络媒体点播软件。
8.如权利要求1-6中的任意一项权利要求所述的提高网络信息产品使用安全性的方法,其特征在于,所述信息安全设备存储至少一个密钥。
9.如权利要求1-6中的任意一项权利要求所述的提高网络信息产品使用安全性的方法,其特征在于,所述信息安全设备通过USB接口与主机建立连接。
10.一种提高网络信息产品使用安全性的系统,其特征在于,所述系统包括信息安全设备,用于存储网络信息产品或用户信息;代理商初始化模块,用于代理商获取信息安全设备后,对信息安全设备进行初始化生成密钥;运营商存储信息模块,用于存放密钥及标识号;密钥认证模块,用于服务器利用信息安全设备上的密钥对用户进行认证。
11.如权利要求10所述的提高网络信息产品使用安全性的系统,其特征在于,所述代理商初始化模块还用于代理商在所述信息安全设备内部写入标识号。
12.如权利要求10所述的提高网络信息产品使用安全性的系统,其特征在于,所述信息安全设备具体包括用户身份认证模块,用于信息安全设备内部验证用户是否是信息安全设备的合法持有者;密钥存储模块,用于存储代理商在对信息安全设备进行初始化时生成的密钥;通信模块,用于实现信息安全设备与主机之间的数据通信;运算模块,用于利用密钥进行算法运算。
13.如权利要求10所述的提高网络信息产品使用安全性的系统,其特征在于,所述密钥认证模块具体包括非对称密钥认证单元,用于网络信息产品运营商服务器利用非对称密钥机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格;冲击响应认证单元,用于网络信息产品运营商服务器利用冲击响应机制对所述信息安全设备中的密钥进行验证,验证通过后,用户获得使用所述网络软件的资格。
全文摘要
本发明提供了一种提高网络信息产品使用安全性的方法及系统,属于信息安全技术领域。为了解决现有技术中使用网络信息产品不安全及操作繁琐的问题,本发明提供了一种提高网络信息产品使用安全性的方法,所述方法包括初始化信息安全设备、通过验证在代理商处生成的信息安全设备中的密钥对用户进行认证、验证通过后用户正常使用网络信息产品的步骤。本发明还提供了一种提高网络信息产品使用安全性的系统,所述系统包括信息安全设备、代理商初始化模块、运营商存储信息模块和密钥认证模块。采用本发明提供的技术方案提高了使用网络信息产品的安全性,并且简化了用户的操作程序。
文档编号H04L29/06GK1925396SQ20061011313
公开日2007年3月7日 申请日期2006年9月15日 优先权日2006年9月15日
发明者陆舟, 于华章 申请人:北京飞天诚信科技有限公司