一种密码输入方法及系统技术方案

本发明专利技术提供一种密码输入方法及系统，采用软键盘接受用户密码的输入；组成所述软键盘的每个键均标注有对应的可视信息，所述软键盘中的某个键被点击后在内存中生成与该键的可视信息有编码关系的内存信息，对所述的内存信息进行解码，还原该键的可视信息。以防止木马通过监听键盘或读取用户终端内存而窃取密码。

【技术实现步骤摘要】

本专利技术涉及网络安全应用领域，特别涉及网络安全应用的用户密码输入技术，具体的讲是一种密码输入方法及系统。
技术介绍
在网络环境中，各种计算资源(如文件、数据库、应用系统)需要认证机制的保护，以确保这些资源被有权使用的人使用。比如网上银行业务，首先必须在网上银行设置一个个人账户，并设定密码。当通过网络访问该网上银行业务时，需要输入账户名和密码。只有在账户名和密码被确认之后才可以使用网上银行的服务。然而，在通过互联网获取各式各样的服务，如网上银行、网上购物时，均面临一个问题，那就是，大部分系统都是通过用户名和密码来验证用户的身份，于是出现了多个系统要求同一用户提供密码的情况，因此出于记忆的原因，可能大多数用户会在不同的系统设定同一个好记的密码，这样一旦密码泄露，密码所有者的所有系统便存在被盗用的危险。在现有技术中，对密码的攻击方式有很多，以下例举出几种网络数据流窃听(Sniffer)，由于认证信息要通过网络传递，并且很多认证系统的口令是未经加密的明文，攻击者通过窃听网络数据，就很容易分辨出某种特定系统的认证数据，并提取出用户名和密码。对于采用安全套接层(SSL)传输的方式可以认为是安全的，但它职责有限，可确保的是传输层的安全，至于底层的键盘输入，是没办法保护的；认证信息截取/重放(Record/Replay)，有的系统会将认证信息进行简单加密后进行传输，如果攻击者无法用第一种方式推算出密码，可以使用截取/重放方式；字典攻击，由于多数用户习惯使用有意义的单词或数字作为密码，某些攻击者会使用人们常用来作为密码的单词、数字等编为字典，然后通过此字典逐个尝试密码的正确性，来攻击系统；穷举尝试(Brute Force)，这是一种特殊的字典攻击，它使用字符串的全集作为字典，如果用户的密码较短，很容易被穷举出来；暴力破解，就是针对网上银行这类的系统，不是破解某个用户的密码，而是通过知道用户卡号的生成算法，通过计算机，用某些密码，去穷举多个卡号的方式，来完成破解某些密码的目的；窥探，攻击者利用与被攻击系统接近的机会，安装监视器或亲自窥探合法用户输入口令的过程以得到口令，由于计算机的键盘的固定排列，导致此种方法比较凑效；假系统欺骗，是指通过假冒真实的系统，如最近频繁出现的假网上银行系统，诱使真实系统的用户使用，输入了其用户ID和密码，从而得到用户的ID和密码的方式；社交工程，是指通过社交的方式，接近用户并取得用户的信任，最终从用户得到用户ID和密码，或者攻击者冒充合法用户发送邮件或打电话给管理人员，以骗取用户口令；垃圾搜索，攻击者通过搜索被攻击者的废弃物，得到与攻击系统有关的信息，如果用户将口令写在纸上又随便丢弃，则很容易成为垃圾搜索的攻击对象。猜测，是指直接猜测用户的密码，通常用户的密码都是一些有意义的单词或生日等，所以这种方式，往往是比较容易凑效的攻击方式，虽然用户可以通过经常更换密码和增加密码长度来保证安全，但这同时也给用户带来了很大麻烦。总结上述的密码问题，可以看到，易用性和私密性往往是一对矛盾，比如说为了好用，人们通常选用好记的密码，而从系统角度又是不安全的。这种矛盾可以通过表1的对照而一幕了然表1 面对这样的问题，随机分配密码是一种解决方式，但其也解决不了穷举法的攻击，另外键盘的固定排列也容易被人窥视。为了解决网络的安全登陆的问题，中国专利申请200410028026.3公开了一种安全登陆的方法及系统，其通过激活并显示软键盘，并对软键盘的背景进行图案化处理、对软键盘进行嘈点修饰等，用以防止病毒木马根据用户终端输入密码时的键盘记录对合法用户的帐号和密码进行监听。这样的方法在一定程度上可以防止间谍软件和木马程序，但是，合法用户通过点击软键盘而键入的真实密码会出现在用户终端的内存中，密码攻击者仍可以使用内存扫描等办法窃取合法用户的登录信息，给合法用户造成损失。因此，需要更为安全的密码输入方法。
技术实现思路
本专利技术的目的在于提供一种密码输入方法及系统，以防止木马通过监听键盘或读取用户终端内存而窃取密码。本专利技术的技术方案为一种密码输入方法，采用软键盘接受用户密码的输入；组成所述软键盘的每个键均标注有对应的可视信息，所述软键盘中的某个键被点击后在内存中生成与该键的可视信息有编码关系的内存信息，对所述的内存信息进行解码，还原该键的可视信息。所述的可视信息包括数字、字母、符号、字、词。所述的可视信息还包括背景图案和/或干扰图形。根据所述的可视信息点击软键盘的对应键将所述的密码输入，在内存中生成与该密码有编码关系的内存密码信息，对所述的内存密码信息进行解码，还原所述的密码。本专利技术还提供了一种密码输入方法，在服务器端生成一个软键盘，组成所述软键盘的键为随机排列，每个键均标注有对应的可视信息；为所述的可视信息建立编码关系；将所述的软键盘传送到用户端进行显示；用户根据所述的可视信息点击软键盘的对应键将所述的密码输入，在用户端内存中生成与该密码有所述编码关系的内存密码信息；将所述的内存密码信息传送给所述的服务器端；所述的服务器端根据所述的编码关系对所述的内存密码信息进行解码，还原所述的密码。组成软键盘的每个键均是服务器端动态生成的图片，所述的图片中包含有符合所述编码关系的信息。本专利技术还提供了一种密码输入系统，包括服务器、用户终端，所述的服务器经网络与所述的用户终端相联接；所述的服务器具有软键盘生成单元，用于生成一个软键盘，组成所述软键盘的键为随机排列，每个键均标注有对应的可视信息；编码关系建立单元，用于为所述的可视信息建立编码关系；密码解码单元，用于根据所述的编码关系对接收的内存密码信息进行解码，还原所述的密码；所述的用户终端具有软键盘执行单元，用于将所述的软键盘进行显示，并接受用户根据所述的可视信息点击软键盘的对应键而输入的密码；内存密码信息传送单元，将在用户端内存中生成的与输入的密码有编码关系的内存密码信息传送给所述的服务器。所述的用户终端还具有鼠标，用于点击所述的软键盘。本专利技术的有益效果在于，采用本专利技术进行密码输入，使得通过算法破解密码的方式不能得逞，即使通过木马得到了用户输入的内存中的密码，也无法还原出真实密码。鼠标点击增加了安全性，用户是通过鼠标点击的方式来输入用户的密码的，避免了键盘输入，可以有效防止木马通过监听键盘窃取密码。通过随机键位隐藏了真实密码，通过动态图片有效防止通过程序分析输入的密码。总之，本专利技术防止了木马通过监听键盘或读取用户终端内存而窃取密码。附图说明图1为本专利技术密码输入方法的流程图；图2为根据本专利技术的密码输入系统框图；图3为本专利技术的用户进行密码输入的软键盘的示意图。具体实施例方式下面结合附图说明本专利技术的具体实施方式，本专利技术的核心思想是，采用软键盘接受用户密码的输入，其中组成所述软键盘的每个键均标注有对应的可视信息，所述软键盘中的某个键被点击后在内存中生成与该键的可视信息有编码关系的内存信息，对所述的内存信息进行解码，还原该键的可视信息。所述的可视信息包括0-9的数字、汉语拼音字母或英文字母等、数学符号、汉字、汉字的词组等。所述的可视信息还包括背景图案和/或干扰图形。用户可以根据所述的可视信息点击软键盘的对应键将所述的密码输入，在内存中生成与该密码有编码关系的内存密码信息，对所述的内本文档来自技高网...

【技术保护点】
一种密码输入方法，采用软键盘接受用户密码的输入；其特征在于，组成所述软键盘的每个键均标注有对应的可视信息，所述软键盘中的某个键被点击后在内存中生成与该键的可视信息有编码关系的内存信息，对所述的内存信息进行解码，还原该键的可视信息。

【技术特征摘要】

【专利技术属性】
技术研发人员：钟明昌，
申请(专利权)人：北京易诚世纪科技有限公司，
类型：发明
国别省市：11[中国|北京]