專利名稱:基于加密鍵盤的服務(wù)器登陸認(rèn)證的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機(jī)領(lǐng)域的安全認(rèn)證技術(shù)���,具體是一種采用加密鍵盤進(jìn)行服務(wù)器登陸認(rèn)證的方法����。
背景技術(shù):
隨著互聯(lián)網(wǎng)的快速普及和發(fā)展����,越來越多的網(wǎng)絡(luò)應(yīng)用會直接和用戶的財產(chǎn)掛鉤, 例如網(wǎng)上銀行�、網(wǎng)絡(luò)購物、網(wǎng)上證券交易等等�����。目前互聯(lián)網(wǎng)的安全問題日益突出��,木馬病毒 直接威脅到網(wǎng)民的個人財產(chǎn)安全�����。這些木馬病毒絕大多數(shù)以用戶的各種帳戶和密碼為目 標(biāo)�����,通過竊取這些信息登陸到用戶的賬戶中進(jìn)行非法操作����。當(dāng)前存在的客戶端/服務(wù)器認(rèn)證技術(shù)幾乎都是基于用戶名/密碼方式的��。主要有 下面幾類簡單的加密保護(hù)����,客戶端程序直接將用戶鍵盤輸入的用戶名和密碼進(jìn)行加密之后 傳遞給服務(wù)器進(jìn)行認(rèn)證�����。通過鍵盤加密控件�����,這類方案通過在用戶計算機(jī)中安裝專用的驅(qū)動程序��,從操作 系統(tǒng)底層直接獲得用戶輸入的密碼��,加密后傳遞給服務(wù)器進(jìn)行認(rèn)證�����。密?����??����,和賬戶綁定一張包含數(shù)十個數(shù)字的矩陣卡���,每次登陸服務(wù)器的時候��,提示 用戶輸入隨機(jī)指定的行�、列位置處的數(shù)字���。盜號者如果沒有獲得矩陣卡上足夠多的信息�,就 無法登陸服務(wù)器�。動態(tài)口令卡,動態(tài)口令卡是一個帶有數(shù)字液晶屏幕的硬件���,用戶登陸使用的密碼 會顯示在口令卡的屏幕上����,顯示的密碼每隔一定時間就會更換��,服務(wù)器上采取同樣的運(yùn)算 方式和口令卡的密碼進(jìn)行同步。殺毒軟件和系統(tǒng)安全軟件�,通過在用戶電腦上安裝殺毒軟件查殺木馬病毒,降低 密碼被盜的風(fēng)險?,F(xiàn)有的認(rèn)證技術(shù)存在以下這些缺陷1、對于簡單加密保護(hù)��、鍵盤加密控件這兩種方式無法保證用戶輸入的絕對安全���。 由于現(xiàn)在的木馬通常采用了 rootkit等比較高級的黑客技術(shù)����,能夠完全控制用戶計算機(jī)�����。 任何出現(xiàn)在用戶電腦中的信息都是不安全的����。這兩種方式由于涉及到的領(lǐng)域都局限在電腦 軟件中�,因此不能保證比木馬程序更早對密碼進(jìn)行加密處理。2��、密??ūWo(hù)和動態(tài)口令卡方式由于需要將用戶信息和特定的數(shù)據(jù)或者硬件進(jìn) 行綁定,一旦它們被遺失,服務(wù)提供商難以有效確認(rèn)掛失用戶的身份�����,常常需要為此降低對 用戶的服務(wù)質(zhì)量��,并且維持龐大的客服團(tuán)隊�����。另外��,由于使用不便���,在用戶中的推廣會受到 很多限制����。3����、密保卡方式也不能做到完全安全?���,F(xiàn)有的木馬程序能夠分次記錄用戶輸入的密 ?��?ㄌ囟ㄗ鴺?biāo)上的信息,經(jīng)過數(shù)次或者數(shù)十次登陸過程之后�,盜號者能夠獲得接近完整的 密保卡信息��,從而成功登陸服務(wù)器����。要避免這個問題必須讓用戶頻繁更換密保卡��,一方面增 加用戶使用的復(fù)雜度�,另一方面增加密保卡分發(fā)的成本�。
4、殺毒軟件由于目前木馬的生產(chǎn)�、銷售、盜號等已經(jīng)非常流程化�、專業(yè)化�。殺毒軟 件的更新往往跟不上木馬的更新速度?���;ヂ?lián)網(wǎng)上大多數(shù)木馬都經(jīng)過特殊的免殺處理,殺毒 軟件難以做到面面俱到。
發(fā)明內(nèi)容
針對上述的各種安全認(rèn)證方式的缺點�����,本發(fā)明擬采用完全不同的技術(shù)來保障認(rèn)證 過程中的密碼安全���,提供一種基于加密鍵盤的服務(wù)器登陸認(rèn)證的方法���,實現(xiàn)終端用戶和網(wǎng) 絡(luò)服務(wù)器之間安全的通信渠道。為達(dá)到該技術(shù)目的�����,本發(fā)明的方案為一種基于加密鍵盤的服務(wù)器登陸認(rèn)證的方 法����,所述加密鍵盤包括微處理器模塊,其連接于終端計算機(jī)上�;所述終端計算機(jī)上安裝有充 當(dāng)硬件和軟件之間的接口,提供數(shù)據(jù)交換功能的程序庫�����;所述服務(wù)器安裝有為登陸認(rèn)證提 供加密算法支持的程序庫����;所述認(rèn)證方法包括如下步驟將加密鍵盤與終端計算機(jī)連接好后�,所需服務(wù)器認(rèn)證的應(yīng)用軟件即通過方案提供 的程序庫和加密鍵盤建立起連接����;用戶輸入密碼并開始登陸,計算機(jī)網(wǎng)絡(luò)將登陸動作連接到服務(wù)器并由服務(wù)器發(fā)送 配置信息至用戶終端���;終端計算機(jī)上的程序庫將上述服務(wù)器發(fā)送的配置信息傳遞給加密鍵盤�;加密鍵盤根據(jù)所接受的服務(wù)器配置�����,對密碼進(jìn)行加密處理后傳遞給應(yīng)用程序���,應(yīng) 用程序再將從加密鍵盤獲得的數(shù)據(jù)直接上報服務(wù)器��,服務(wù)器根據(jù)上報數(shù)據(jù)進(jìn)行登陸認(rèn)證�。所述密碼的輸入和加密處理過程是在加密鍵盤中完成��,用戶的終端計算機(jī)僅參與 數(shù)據(jù)交換和信息反饋����。所述加密算法采用公開的RSA非對稱算法和MD5、SHAl等Hash算法�����。所述方法中所涉及的硬件和軟件中沒有任何和特定用戶進(jìn)行綁定的私有數(shù)據(jù)����。傳統(tǒng)的保護(hù)方案絕大多數(shù)基于軟件技術(shù),也就是和盜號木馬處于同一技術(shù)層面�����, 安全性來自于編程技術(shù)的比拼��,即誰能對系統(tǒng)底層有更多了解����,誰能通過逆向工程分析清 楚對方的實現(xiàn)原理,誰就能勝出�。這種方式無法保證在技術(shù)上比對方擁有絕對的優(yōu)勢。本方 案的設(shè)計將安全性建立在數(shù)學(xué)算法基礎(chǔ)上����,只要相應(yīng)的加密算法沒有被破解,那么本方案 就是安全的�。而目前有名的加密算法的安全性一般都是經(jīng)過了數(shù)十年實踐檢驗的�����,被廣泛 應(yīng)用于各種高保密性系統(tǒng)中���。本方案存放在認(rèn)證服務(wù)器、用戶計算機(jī)�����、硬件中的數(shù)據(jù)����,即使 因為偷盜、破解等手段被盜號者獲得�����,也不會對整套系統(tǒng)的安全性造成持續(xù)性的不利影響�, 相對依賴于軟件開發(fā)技術(shù)的安全性來說,要更加可靠���。
圖1為本發(fā)明優(yōu)選方案的認(rèn)證流程圖�����。
具體實施例方式本發(fā)明方法的技術(shù)方案的組成部分包括有可連接到終端用戶計算機(jī)上的密碼輸入鍵盤����,其包括了進(jìn)行數(shù)據(jù)和程序處理的微 處理器模塊��。這種鍵盤的接口可以是PS2/USB接口的標(biāo)準(zhǔn)鍵盤��,也可以USB�、串口等接口的專用鍵盤。用于在登陸認(rèn)證時輸入密碼�。終端計算機(jī)上的程序庫。安裝在用戶計算機(jī)上��,由應(yīng)用程序調(diào)用以使用本方案的功能�����。該程序庫充當(dāng)硬件和軟件之間的接口���,提供數(shù)據(jù)交換功能��。服務(wù)器程序庫�。安裝在認(rèn)證服務(wù)器上的程序庫����。為登陸認(rèn)證提供算法支持�。本方案的認(rèn)證方法包括如下步驟將加密鍵盤與終端計算機(jī)連接好后����,所需服務(wù)器認(rèn)證的應(yīng)用軟件即通過方案提供 的程序庫和加密鍵盤建立起連接;用戶輸入密碼并開始登陸����,計算機(jī)網(wǎng)絡(luò)將登陸動作連接到服務(wù)器并由服務(wù)器發(fā)送 配置信息至用戶終端;終端計算機(jī)上的程序庫將上述服務(wù)器發(fā)送的配置信息傳遞給加密鍵盤����;加密鍵盤根據(jù)所接受的服務(wù)器配置,對密碼進(jìn)行加密處理后傳遞給應(yīng)用程序�,應(yīng) 用程序再將從加密鍵盤獲得的數(shù)據(jù)直接上報服務(wù)器,服務(wù)器根據(jù)上報數(shù)據(jù)進(jìn)行登陸認(rèn)證����。在優(yōu)選實施方式中1、密碼的輸入和加密處理過程在加密鍵盤中完成�����,用戶的計算機(jī)僅參與數(shù)據(jù)交換 和向用戶反饋信息的工作。2��、加密算法采用公開的RSA非對稱算法和MD5�、SHA1等Hash算法。整個交互過程 中�,暴露在用戶計算機(jī)中的重要數(shù)據(jù)只有經(jīng)根證書簽名之后的服務(wù)器私有證書、配置數(shù)據(jù) 和加密結(jié)果數(shù)據(jù)�����,即使這些信息被盜號程序截獲���,也沒有辦法還原用戶的原始密碼,或偽造 證書騙取密碼����。盜號者只有通過攻擊算法的方式來破解本方案。3�����、硬件和軟件中沒有任何和特定用戶進(jìn)行綁定的私有數(shù)據(jù)���,因此即使軟硬件和各 種數(shù)據(jù)遺失����,也不會對用戶密碼造成任何潛在威脅,只需要更換新的鍵盤或重新安裝系統(tǒng) 即可��。4���、服務(wù)器的私有證書(包含加密密鑰)��,如果被黑客通過入侵等方式盜取�,可以在 修復(fù)系統(tǒng)后更換新證書�,并作廢舊的證書。不會對整套系統(tǒng)的安全性造成長遠(yuǎn)影響��。本發(fā)明相對其他技術(shù)的優(yōu)點有1��、安全性高����。系統(tǒng)的安全性基于經(jīng)過了論證和實踐檢測的數(shù)學(xué)算法,而不是基于 軟件開發(fā)技術(shù)����。2、和終端用戶有關(guān)的部件中不存在私有信息�����,即使軟硬件遺失也不會造成安全性 上的危險,并且不存在像動態(tài)口令卡那種遺失硬件用戶身份確認(rèn)的問題�����。只需要重新購買 新硬件即可�。3、兼容性強(qiáng)����。通過應(yīng)用程序庫的支持�,可以在各種需要服務(wù)器/客戶端密碼認(rèn)證 的軟件中使用。并且同一個硬件可以用于不同的應(yīng)用軟件�����,節(jié)省終端用戶的成本�����。4��、操作簡單�。本方案應(yīng)用在傳統(tǒng)鍵盤上時����,用戶可以直接在鍵盤上輸入�,輸入前后 不會對其他程序的使用造成影響。方案應(yīng)用在專用鍵盤上時��,用戶只需要將它插入電腦��,在 輸入密碼時使用即可����,不需要專門進(jìn)行設(shè)置和操作。
權(quán)利要求
一種基于加密鍵盤的服務(wù)器登陸認(rèn)證的方法�,其特征在于所述加密鍵盤包括微處理器模塊,其連接于終端計算機(jī)上���;所述終端計算機(jī)上安裝有充當(dāng)硬件和軟件之間的接口���,提供數(shù)據(jù)交換功能的程序庫;所述服務(wù)器安裝有為登陸認(rèn)證提供加密算法支持的程序庫�����;所述認(rèn)證方法包括如下步驟將加密鍵盤與終端計算機(jī)連接好后���,所需服務(wù)器認(rèn)證的應(yīng)用軟件即通過方案提供的程序庫和加密鍵盤建立起連接�;用戶輸入密碼并開始登陸,計算機(jī)網(wǎng)絡(luò)將登陸動作連接到服務(wù)器并由服務(wù)器發(fā)送配置信息至用戶終端����;終端計算機(jī)上的程序庫將上述服務(wù)器發(fā)送的配置信息傳遞給加密鍵盤;加密鍵盤根據(jù)所接受的服務(wù)器配置�,對密碼進(jìn)行加密處理后傳遞給應(yīng)用程序,應(yīng)用程序再將從加密鍵盤獲得的數(shù)據(jù)直接上報服務(wù)器�����,服務(wù)器根據(jù)上報數(shù)據(jù)進(jìn)行登陸認(rèn)證���。
2.根據(jù)權(quán)利要求1所述的服務(wù)器登陸認(rèn)證的方法���,其特征在于�,所述密碼的輸入和加 密處理過程是在加密鍵盤中完成,用戶的終端計算機(jī)僅參與數(shù)據(jù)交換和信息反饋����。
3.根據(jù)權(quán)利要求2所述的服務(wù)器登陸認(rèn)證的方法,其特征在于�,所述加密算法采用公 開的RSA非對稱算法和MD5��、SHAl等Hash算法���。
4.根據(jù)權(quán)利要求3所述的服務(wù)器登陸認(rèn)證的方法,其特征在于所述方法中涉及的硬件 和軟件中沒有任何和特定用戶進(jìn)行綁定的私有數(shù)據(jù)�。
全文摘要
本發(fā)明公開了一種基于加密鍵盤的服務(wù)器登陸認(rèn)證的方法,通過采用完全不同的技術(shù)來保障認(rèn)證過程中的密碼安全���,用以實現(xiàn)終端用戶和網(wǎng)絡(luò)服務(wù)器之間安全的通信渠道�。按本方案存放在認(rèn)證服務(wù)器�、用戶計算機(jī)、硬件中的數(shù)據(jù)����,即使因為偷盜、破解等手段被盜號者獲得��,也不會對整套系統(tǒng)的安全性造成持續(xù)性的不利影響�,相對于依賴軟件開發(fā)技術(shù)的安全性來說,要更加可靠���。
文檔編號H04L9/32GK101814992SQ20091010808
公開日2010年8月25日 申請日期2009年6月16日 優(yōu)先權(quán)日2009年6月16日
發(fā)明者陳成 申請人:陳成