专利名称:一种利用图片信息提高信息安全设备验证安全性的方法
技术领域:
本发明涉及信息安全技术,特别涉及一种利用图片信息提高信息安全设 备验证安全性的方法。
背景技术:
随着互联网技术的发展,基于网络的应用越来越普及,例如网上银行、网上交易、虚拟私人网络(VPN)等等。由于涉及金融、财物和重要数据等 敏感信息,这些应用都需要较高的安全性要求,特别是登录时的身份认证和 交易时的确认签名。由于木马等黑客软件的广泛传播,简单的帐号名加静态密码的方式安全 性很低,黑客程序可以很方便的窃取用户输入的密码从而进行非法活动。因 此,在安全性要求较高的应用领域,基于硬件的信息安全设备已被广泛的釆 用。信息安全设备是一种便携的硬件设备,通过计算机数据接口 (通常是 USB)与主机建立连接,信息安全设备内置安全处理芯片和非易失存储器, 具有完善安全机制的操作系统,能实现证书存储、口令认证、密钥生成、存 储和加解密等安全操作功能,抗攻击,具有很高的安全性,因此非常适合用于网络身份认证和交易验证等安全操作。常见的信息安全设备包括网银USB KEY和动态令牌等。在这类应用中,用户的私钥通常被存储在信息安全设备中并受口令保 护,只有输入正确的口令之后才可以用该私钥签名。当用户登录或交易时, 使用私钥对登录信息或交易信息进行签名,签名数据发送给服务器端,服务 器验证签名的合法性后进行相应的操作。信息安全设备中的私钥不允许读 出,因此只有拥有信息安全设备硬件的人才能进行签名,即使黑客程序盗取了用户口令,也无法获得用户的私钥。信息安全设备的使用虽然可以防止认证签名在外部产生,但是黑客仍可 以盗取的用户口令对信息安全设备进行操作。为了防止黑客程序获得私钥的 使用权,信息安全设备通常生成一个动态口令发送给用户,而该口令是计算 机程序无法窃取的。目前, 一些信息安全设备采用加装硬件模块的方法来实 现上述目的,例如加装液晶显示屏或音频播放器,信息安全设备将动态口令 显示或播放出来,用户读取或收听到动态口令后输入给信息安全设备。这类 方法增加信息安全设备的硬件成本,并且使得设备尺寸过大,不便使用和携 带。发明内容有鉴于此,本发明提出了一种利用图片信息提高信息安全设备验证安全 性的方法。根据本发明的一个方面,提供一种利用图片信息提高信息安全设备验证安全性的方法,其特征在于,该方法包含步骤(1) 信息安全设备将动态口令转换为图片信息;(2) 信息安全设备将图片信息发送给主机;(3) 主机显示图片信息;(4) 信息安全设备接收输入的动态口令; (5 )信息安全设备对动态口令进行验证。根据本发明的一个方面,其特征还在于,在步骤(l)中,图片格式可 以是任何常见的计算机图片格式,也可以是自定义的格式。根据本发明的一个方面,其特征还在于,在步骤(l)中,信息安全设 备将动态口令转换成图片信息时,增加计算机自动识别的难度。根据本发明的一个方面,其特征还在于,通过扭曲、变形、加入干扰和 噪声的方法以增加计算机自动识别的难度。根据本发明的一个方面,其特征还在于,采用特定连续背景图案以提高图片的防伪性。根据本发明的一个方面,其特征还在于,图片信息在传送给主机之前被 力口密。根据本发明的一个方面,其特征还在于,信息安全设备可以为图片生成 校验信息。根据本发明的一个方面,其特征还在于,校验信息数字签名或其它方式 的校验信息。根据本发明的一个方面,其特征还在于,在步骤(5)中,信息安全设 备具备提示元件。根据本发明的一个方面,其特征还在于,所述提示元件是发光二极管。根据本发明的一个方面,其特征还在于,当信息安全设备向主机发出动 态口令的图片信息等待口令输入时,点亮或闪烁发光二极管以提示用户。根据本发明的一个方面,其特征还在于,如果发光二极管点亮或闪烁时 未显示动态口令的图片信息,则中止当前操作。根据本发明的一个方面,其特征还在于,如果图片信息难以识别,则发 出重i式^貪^"。
图1为本发明提出的一种利用图片信息提高信息安全设备验证安全性 的方法流程图。图2为本发明实施例中将动态口令转换成图片信息的流程示意图。 图3为本发明实施例中信息安全设备利用图片信息进行动态口令的生 成与校验的流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举 实施例,对本发明进一步详细说明。信息安全设备将动态口令转换为图片信息数据发送给主机,主机显示图 片信息,用户识别出动态口令并输入给信息安全设备,信息安全设备验证动 态口令的正确性。本发明交易验证的具体步骤如下步骤IOI,信息安全设备生成动态口令,转换成图片信息数据;步骤102,信息安全设备将图片信息数据传给主机,主机显示图片信 台 步骤103, 信息安全设备接收用户输入动态口令;步骤104,信息安全设备-睑证动态口令的正确性。步骤101中,图片数据格式可以是任何常见的计算机图片格式,也可以 是自定义的格式。信息安全设备将动态口令转换成图片信息数据时,可以通 过扭曲、变形、加入干扰和噪声等方法增加计算机自动识别的难度,可以采 用特定连续背景图案以提高图片的防伪性 图片信息数据传送给主机之前可 以被信息安全设备加密,以使得图片只能被主机中特定的程序解密并显示。 信息安全设备可以为图片生成数字签名或其它方式的校验信息,以使得显示 软件可以验证图片的真实性。目前计算机自动识别图片信息技术尚不成熟,很难准确快速的从数据中 分辨和提取动态口令。因此黑客程序无法获得动态口令,从而保证了交易的 确认操作只可能由用户进行,不可能被黑客程序自动完成。本发明无需为信息安全设备加装任何输入输出设备,可以为用户提供安 全的交易确认方法,保证了使用信息安全设备进行网络交易的安全性。为了使得图片信息难以被计算机程序自动识别,本实施例中信息安全设 备需要对输出的图片信息进行处理,增加识别的难度。信息安全设备中的非 易失存储器中存储有以下图片数据库数字0-9和字母A Z共36个字符 图片,若干,(记为m)组背景图片,若干(记为n)组干扰图片。信息安全 设备具有以下图形处理算法拼接、叠加、拉伸、扭曲、旋转、降低分辨率、 加入噪声。动态口令转换成图片信息的流程如下步骤201,随机生成包含数字0-9和字母A~Z的字符串作为动态口令;步骤202,对于每个字符,从字符图片库中取出该字符的图片数据,并 进4亍如下处理步骤221,降低字符图片分辨率,使得字符边缘模糊;步骤222,对该字符图片进行拉伸处理,即使得该图片在长度和/或宽度上按一定比率延长或压缩,其比率值是在适当范围内的随机数;步骤223, 对该字符图片进行扭曲处理,即使得该图片在水平和/ 或垂直方位上按一定比率歪斜,其比率值是在适当范围内的随机 数;步骤224, 对该字符图片进行旋转处理,即使得该图片围绕其中心 上按一定角度旋转,角度值是在适当范围内的随机数;步骤225,对该字符图片加入噪声,并引入噪点;步骤226,随机选取一个干扰图片,叠加到上述字符图片上; 步骤203,将步骤202中得到所有字符图片按动态口令中的字符顺序拼接成单幅字符串图片; 步骤204,随机的选取一组背景图片,重复、拼接成与步骤203中得到的字符串图片尺寸相当的背景图片,将字符串图片叠加到该背景图片上。在步骤202对字符图片的处理过程中,可以选取步骤221 ~226中的一 项或多项,可以采用任意的组合次序进行处理。由于进行了上述处理,有时图片信息识别难度过大,导致用户也难以识 别,因此本实施例中的信息安全设备还提供了重试功能,即用户可以要求重 新生成动态口令进4于识别i人证。为了防止黑客程序对图片信息的截获和篡改,本实施例中信息安全设备 对图片信息进行加密后发送给主机,只有通过特定的图片显示程序或控件才能解密并显示图片,因此黑客程序无法直接从信息安全设备与主机的通信数 据中获得图片信息。高级的黑客程序还可能通过盗取解密密钥,或直接从显示程序或控件的 内存中或图形显示卡存储器中读取图片数据,进行计算机自动识别,或将图 片数据经网络发送给黑客进行人工识别并返回识别结果。由于黑客程序的上 述行为都需要在特定的图片显示程序或控件显示图片之前截取图片数据进行处理,比较耗时,因此本实施例中的信息安全设备还装有LED (发光二极 管),当信息安全设备向主机发出动态口令图片信息等待口令输入时,点亮 或闪烁LED,以提示用户。如果用户发现LED点亮或闪烁时特定的显示程 序或控件并未显示动态口令图片,说明很可能有黑客程序在活动,应中止交 易。参见图3,本实施例中信息安全设备利用图片信息进行动态口令的生成 与校验流程如下步骤301, 信息安全设备随机生成一个字符串作为动态口令; 步骤302,信息安全设备使用内部的图片数据库和图形处理算法将动态口令转换成图片信息,并对数据加密; 步骤303,信息安全设备将数据传给主机,点亮LED; ^ 步骤304,主机中的特定图片显示程序或控件解密数据并显示动态口令;步骤305,信息安全设备接收用户输入,关闭LED; 步骤306,如果用户输入的是重试请求则返回到步骤301; 步骤307,如果用户输入的是口令则与在步骤301中生成的动态口令 比较,若相同则验证成功允许交易进行,否则返回错误信息。
权利要求
1. 一种利用图片信息提高信息安全设备验证安全性的方法,其特征在于,该方法包含步骤(1)信息安全设备将动态口令转换为图片信息;(2)信息安全设备将图片信息发送给主机;(3)主机显示图片信息;(4)信息安全设备接收输入的动态口令;(5)信息安全设备对动态口令进行验证。
2、 根据权利要求1所述的方法,其特征在于,在步骤(l)中,图片格 式可以是任何常见的计算机图片格式,也可以是自定义的格式。
3、 根据权利要求1所述的方法,其特征在于,在步骤(l)中,信息安 全设备将动态口令转换成图片信息时,增加计算机自动识别的难度。
4、 根据权利要求3所述的方法,其特征在于,通过扭曲、变形、加入 干扰和噪声的方法以增加计算机自动识别的难度。
5、 根据权利要求1所述的方法,其特征在于,采用特定连续背景图案 以提高图片的防伪性。
6、 根据权利要求1所述的方法,其特征在于,图片信息在传送给主机 之前被力口密。
7、 根据权利要求1所述的方法,其特征在于,信息安全设备可以为图 片生成校验信息。
8、 根据权利要求7所述的方法,其特征在于,校验信息是数字签名或 其它方式的校验信息。
9、 根据权利要求1所述的方法,其特征在于,在步骤(5)中,信息安 全设备具备提示元件。
10、 根据权利要求9所述的方法,其特征在于,所述提示元件是发光二 极管。
11、根据权利要求10所述的方法,其特征在于,当信息安全设备向主机发出动态口令的图片信息等待口令输入时,点亮或闪烁发光二极管以提示 用户。
12、 根据权利要求11所述的方法,其特征在于,如果发光二极管点亮 或闪烁时未显示动态口令的图片信息,则中止当前操作。
13、 根据权利要求l-12所述的任一方法,其特征在于,如果图片信息 难以识别,则发出重试请求。
全文摘要
本发明公开了一种利用图片信息提高信息安全设备验证安全性的方法。信息安全设备将动态口令转换为图片信息数据发送给主机,主机显示图片信息,信息安全设备接收用户输入动态口令,验证口令的正确性。本发明无需为信息安全设备加装任何输入输出设备,可以为用户提供安全的交易确认方法,保证了使用信息安全设备进行网络交易的安全性。
文档编号H04L9/32GK101291226SQ20081011195
公开日2008年10月22日 申请日期2008年5月19日 优先权日2008年5月19日
发明者孙吉平, 勇 韩 申请人:北京深思洛克数据保护中心