专利名称:一种利用声音信息提高信息安全设备验证安全性的方法
技术领域:
本发明涉及信息安全技术,特别涉及一种利用声音信息提高信息安全设 备验证安全性的方法。
背景技术:
随着互联网技术的发展,基于网络的应用越来越普及,例如网上银行、网上交易、虚拟私人网络(VPN)等等。由于涉及金融、财物和重要数据等 敏感信息,这些应用都需要较高的安全性要求,特别是登录时的身份认证和 交易时的确认签名。由于木马等黑客软件的广泛传播,简单的帐号名加静态密码的方式安全 性很低,黑客程序可以很方便的窃取用户输入的密码从而进行非法活动。因 此,在安全性要求较高的应用领域,基于硬件的信息安全设备已被广泛的采 用。信息安全设备是一种独立于计算机的便携式硬件设备,通过计算机数据 接口 (通常是USB)与主机建立连接,内置安全处理芯片和非易失存储器, 具有完善安全机制的操作系统,能实现证书存储、口令认证、密钥生成、存 储和加解密等安全操作功能,抗攻击,具有很高的安全性,因此非常适合用 于网络身份认证和交易验证等安全操作。常见的信息安全设备包括网银USB KEY和动态令牌等。在这类应用中,用户的私钥通常被存储在信息安全设备中并受口令保 护,只有输入正确的口令之后才可以用该私钥签名。当用户登录或交易时, 使用私钥对登录信息或交易信息进行签名,签名数据发送给服务器端,服务 器验证签名的合法性后进行相应的操作。信息安全设备中的私钥不允许读 出,因此只有拥有信息安全设备硬件的人才能进行签名,即使黑客程序盗取了用户口令,也无法获得用户的私钥。信息安全设备的使用虽然可以防止认证签名在外部产生,但是黑客仍可 以盗取的用户口令对信息安全设备进行操作。为了防止黑客程序获得私钥的 使用权,信息安全设备通常生成一个动态口令发送给用户,而该口令是计算 机程序无法窃取的。目前, 一些信息安全设备采用加装硬件模块的方法来实 现上述目的,例如加装液晶播放屏或音频播放器,信息安全设备将动态口令 播放或播放出来,用户读取或收听到动态口令后输入给信息安全设备。这类 方法增加信息安全设备的硬件成本,并且使得设备尺寸过大,不便使用和携 带。发明内容有鉴于此,本发明提出了 一种利用声音信息提高信息安全设备验证安全 性的方法。根据本发明的一个方面,提供一种利用声音信息提高信息安全设备验证安全性的方法,其特征在于(1) 信息安全设备将动态口令转换为声音信息;(2) 信息安全设备将转换后的声音信息发送给主机,由主机播放声音信息;(3) 信息安全设备接收用户输入的动态口令;(4) 信息安全设备验证动态口令的正确性。根据本发明的一个方面,其特征还在于,在步骤(1)中,声音信息格 式可以是任何常见的计算机声音格式,也可以是自定义的声音格式。根据本发明的一个方面,其特征还在于,在步骤(1)中,信息安全设 备将动态口令转换成声音信息时增加计算机自动识别的难度。根据本发明的一个方面,其特征还在于,通过变速、变频、加入干扰和 噪声的方法增加计算机自动识别的难度。根据本发明的一个方面,其特征还在于,采用特定连续背景声音以提高声音的防伪性。根据本发明的一个方面,其特征还在于,声音信息在传送给主机之前可 以被信息安全设备加密。根据本发明的一个方面,其特征还在于,信息安全设备可以为声音生成 校验信息。根据本发明的一个方面,其特征还在于,校验信息是数字签名或其它方 式的校验信息。根据本发明的一个方面,其特征还在于,在步骤(4)中,信息安全设 备具备提示元件。根据本发明的一个方面,其特征还在于,所述提示元件是发光二极管。根据本发明的一个方面,其特征还在于,当信息安全设备向主机发出动 态口令的声音信息等待口令输入时,点亮或闪烁发光二极管以提示用户。根据本发明的一个方面,其特征还在于,如果发光二极管点亮或闪烁时 未播放动态口令的声音信息,则中止当前操作。根据本发明的一个方面,其特征还在于,如果声音信息难以识别,则发 出重试i青求。
图1为本发明提出的一种利用声音信息提高信息安全设备验证安全性 的方法流程图。图2为本发明实施例中将动态口令转换成声音信息的流程示意图。 图3为本发明实施例中信息安全设备利用声音信息进行动态口令的生 成与校验的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明进一步详细说明。信息安全设备将动态口令转换为声音信息数据发送给主机,主机播放声 音信息,信息安全设备接收用户输入的动态口令,验证动态口令的正确性。本发明交易验证的具体步骤如下步骤IOI,信息安全设备生成动态口令,转换成声音信息数据;步骤102,信息安全设备将声音信息数据传给主机,主机播放声音信 自.步骤103, 信息安全设备接收用户输入动态口令;步骤104, 信息安全i殳备验证动态口令的正确性。步骤101中,声音数据格式可以是任何常见的计算机声音格式,也可以 是自定义的格式。信息安全设备将动态口令转换成声音信息数据时,可以通 过变速、变频、加入干扰和噪声等方法增加计算机自动识别的难度,可以采 用特定连续背景声音以提高声音的防伪性。声音信息数据传送给主机之前可 以被信息安全设备加密,以使得声音只能被主机中特定的程序解密并播放。 信息安全设备可以为声音生成数字签名或其它方式的校验信息,以使得播放 软件可以验证声音的真实性。目前计算机自动识别声音信息技术尚不成熟,很难准确快速的从数据中 分辨和提取动态口令。因此黑客程序无法获得动态口令,从而保证了交易的 确认操作只可能由用户进行,不可能被黑客程序自动完成。本发明无需为信息安全设备加装任何输入输出设备,可以为用户提供安 全的交易确认方法,保证了使用信息安全设备进行网络交易的安全性。为了使得声音信息难以被计算机程序自动识别,本实施例中信息安全设 备需要对输出的声音信息进行处理,增加识别的难度。信息安全设备中的非 易失存储器中存储有以下声音数据库数字Q 9和字母A Z共36个字符 语音,若干组背景声音,若干组干扰声音。信息安全设备具有以下音频处理 算法拼接、叠加、变速、变频、降低采样率、加入噪声。动态口令转换成 声音信息的流程如下步骤201,随机生成包含数字0~9和字母A-Z的字符串作为动态口令;步骤202,对于每个字符,从字符语音库中取出该字符的声音数据,并 进行如下处理步骤221,降低字符声音采样率,使得字符发音模糊;步骤222,对该字符声音进行变速处理,即使得该声音的语速按一定比率变快或变慢,其比率值是在适当范围内的随机数; 步骤223,对该字符声音进行变频处理,即使得该声音的声调按一定比率升高或降低,其比率值是在适当范围内的随机数; 步骤224, 对该字符声音加入噪声;步骤225,随机选取一个干扰声音,叠加到上述字符声音上; 步骤203,将步骤202中得到所有字符声音按动态口令中的字符顺序拼接成连续字符串声音; 步骤204,随机的选取一组背景声音,重复、拼接成与步骤203中得到的字符串声音时间相当的背景声音,将字符串声音叠加到该背景声音上。在步骤202对字符声音的处理过程中,可以选取步骤221 ~ 225中的一 项或多项,可以采用任意的组合次序进行处理。由于进行了上述处理,有时声音信息识别难度过大,导致用户也难以识 别,因此本实施例中的信息安全设备还提供了重试功能,即用户可以要求重 新生成动态口令进行识别认证。为了防止黑客程序对声音信息的截获和篡改,本实施例中信息安全设备 对声音信息进行加密后发送给主机,只有通过特定的声音播放程序或控件才 能解密并播放声音,因此黑客程序无法直接从信息安全设备与主机的通信数 据中获得声音信息。高级的黑客程序还可能通过盗取解密密钥,或直接从播放程序或控件的 内存中或音频播放卡存储器中读取声音数据,进行计算机自动识别,或将声音数据经网络发送给黑客进行人工识别并返回识别结果。由于黑客程序的上 述行为都需要在特定的声音播放程序或控件播放声音之前截取声音数据进行处理,比较耗时,因此本实施例中的信息安全设备还装有LED(发光二极 管),当信息安全设备向主机发出动态口令声音信息等待口令输入时,点亮 或闪烁LED,以提示用户。如果用户发现LED点亮或闪烁时特定的播方丈程 序或控件并未播放动态口令声音,说明很可能有黑客程序在活动,应中止交 易。参见图3,本实施例中信息安全设备利用声音信息进行动态口令的生成 与校验流程如下步骤301, 信息安全设备随机生成一个字符串作为动态口令; 步骤302,信息安全设备使用内部的声音数据库和音频处理算法将动 态口令转换成声音信息,并对数据加密;步骤303,信息安全设备将数据传给主机,点亮LED;步骤304, 主机中的特定声音播放程序或控件解密数据并播放动态口令;步骤305,用户识別出动态口令,输入信息安全设备,如果声音难以识另寸,则发出重试请求;步骤306,信息安全设备接收用户输入,关闭LED; 步骤307,如果用户输入的是重试请求则返回到步骤301; 步骤308,如果用户输入的是口令则与在步骤301中生成的动态口令 比较,若相同则验证成功允许交易进行,否则返回错误信息。
权利要求
1、一种利用声音信息提高信息安全设备验证安全性的方法,其特征在于(1)信息安全设备将动态口令转换为声音信息;(2)信息安全设备将转换后的声音信息发送给主机,由主机播放声音信息;(3)信息安全设备接收用户输入的动态口令;(4)信息安全设备验证动态口令的正确性。
2、 根据权利要求1所述的方法,其特征在于,在步骤(l)中,声音信 息格式可以是任何常见的计算机声音格式,也可以是自定义的声音格式。
3、 根据权利要求1所述的方法,其特征在于,在步骤(l)中,信息安 全设备将动态口令转换成声音信息时增加计算机自动识别的难度。
4、 根据权利要求3所述的方法,其特征在于,通过变速、变频、加入 干扰和噪声的方法增加计算机自动识别的难度。
5、 根据权利要求1所述的方法,其特征在于,采用特定连续背景声音 以提高声音的防伪性。
6、 根据权利要求1所述的方法,其特征在于,声音信息在传送给主机 之前可以;故信息安全设备加密。
7、 根据权利要求1所述的方法,其特征在于,信息安全设备可以为声 音生成4交-验<言息。
8、 根据权利要求7所述的方法,其特征在于,校验信息是数字签名或 其它方式的校验信息。
9、 根据权利要求1所述的方法,其特征在于,在步骤(4)中,信息安 全设备具备提示元件。
10、 根据权利要求9所述的方法,其特征在于,所述提示元件是发光二 极管。
11、 根据权利要求10所述的方法,其特征在于,当信息安全设备向主机发出动态口令的声音信息等待口令输入时,点亮或闪烁发光二极管以提示 用户。
12、 根据权利要求11所述的方法,其特征在于,如果发光二极管点亮 或闪烁时未播放动态口令的声音信息,则中止当前操作。
13、 根据权利要求1-12所述的任一方法,其特征在于,如果声音信息 难以识别,则发出重试请求。
全文摘要
本发明公开了一种利用声音信息提高信息安全设备验证安全性的方法。信息安全设备将动态生成的口令转换为声音信息数据发送给主机,主机播放声音信息,信息安全设备接收用户输入动态口令,验证动态口令的正确性。本发明无需为信息安全设备加装任何输入输出设备,可以为用户提供安全的交易确认方法,保证了使用信息安全设备进行网络交易的安全性。
文档编号H04L9/32GK101335755SQ200810111948
公开日2008年12月31日 申请日期2008年5月19日 优先权日2008年5月19日
发明者孙吉平, 勇 韩 申请人:北京深思洛克数据保护中心