[发明专利]防止盗取密码的方法及系统

说明书

技术领域

本发明涉及一种信息安全技术，特别是一种可以防止盗取密码的方法及系统，属于信息安全技术领域。

背景技术

密码是身份验证的重要工具，在银行、证券公司、通信、互联网购物等需要身份验证的场合，密码是不可或缺的身份验证要素。例如:当储户到银行提取现金的时候，银行方面除了需要储户提供存折、银行卡以及身份证件以外，往往还需要输入密码，以验证储户的身份。当验证无误后，方能将存款交付储户。目前，利用互联网技术为用户提供网上银行、网上购物的服务越来越多。为了保证交易的安全，服务的提供者一定会要求的用户输入其密码，该密码会经由互联网传输到服务提供者的计算机系统，在那里得到验证后，用户将会得到他需要的服务。

但是，现今的互联网上也大量存在各种各样的病毒，尤其是一类被称作“木马”的病毒，对网上交易的安全产生了巨大的威胁。“木马”病毒本身是一种带有恶意性质的远程控制软件，是一种专门用来偷取用户资料的病毒。它发作时，会在用户的机器里设置后门，收集重要的信息和口令，特别是网络的帐号与密码，再定时地发送该用户的隐私信息到木马程序指定的地址或电子邮箱中。一些不法分子往往利用这种手段来盗取用户的密码和身份信息，达到盗取用户钱财的目的。

目前网上银行包括使用电子证书强调安全性的专业版网上银行，普遍采用键盘输入密码。键盘输入密码无疑是最方便快捷的方式。但此种输入方式存在巨大的安全隐患，尤其在公共场合，很容易被恶意黑客软件窃取密码。

有许多黑客软件会偷偷隐藏在电脑的操作系统中，记录用户操作电脑的所有按键，甚至可仅在特定软件启动执行后才开始记录。更有甚者，该软件会自动将按键记录通过电子邮件发送给安插黑客软件的黑客。黑客利用收到的按键记录，对用户登陆网上银行所使用的用户名和密码就一目了然了，有了上述条件，黑客自然可登陆用户的网上银行而为所欲为了。虽然在没有电子证书的前提下，还不能使用诸如转账这样的高级功能，但依旧可利用网上银行，进行一些其他的破坏活动。

木马病毒盗取用户密码的方式实际上很简单，实际上就是监控用户的键盘操作。例如:当用户在网上银行进行交易，或者在网上商城选择选购商品时，相应的网站会发送要求用户输入帐号、密码的浏览页面，当用户在该页面中通过键盘输入相应的帐号和密码后，木马病毒就会检测到这些键盘操作，并利用互联网络将这些键盘操作的信息发送出去。

为了防止木马病毒盗取用户的帐户信息和密码，除了建议用户及时利用防病毒软硬件对木马病毒进行查杀以外，业界还开发了大量防止密码或信息盗取的技术。例如:申请号为03106565.1的中国专利申请披露了一种反口令密码验证技术，它是在对密码的验证过程中加入一段时间的延迟或者加入冗余的运算，以延长每次验证所需的时间，从而延长破解密码所需的时间，增强密码的安全性。再例如:申请号为200710065234.4的中国专利申请披露了一种电子签名工具的密码校验方法。该方法通过安全输入的方式输入电子签名工具的工作密码，通过计算机输入校验指令；当允许校验尝试的次数减少至设定值时，只允许通过安全输入的方式输入校验指令。这样即能方便用户在正常情况下的使用，同时如果出现了黑客或病毒攻击计算机等情况，用户也能通过最后一次的强制安全输入功能来校验工作密码，从而防止了工作密码被恶意锁定而为用户带来的麻烦，而且也能变相提醒用户受到了某种恶意攻击。又例如:专利号为ZL02808251.6的中国专利公开了一种利用瞬时模数的密码验证方法，该方法采用公用瞬时模块、公用指数、瞬时公用数字和瞬时专用数字，产生签名专用密钥和瞬时证书。

还有一些防止木马病毒盗取用户密码的技术，其主要的技术方案是:利用下载到用户计算机的安全证书或硬件密钥产生用于交易的加密密码，这样会使木马病毒无法检测到真正的密码信息；还有就是利用一些图形码信息对密码进行加密，也即并不一定对真正的密码进行加密，而是在浏览页面上显示一个图形，该图形中是一些随机产生的数字字符的图形。用户只有将密码和图形中所示的数字字符都输入正确，才能完成验证。由于木马病毒不具有图像识别的能力，因此，即使获得了键盘输入的信息，也没有办法区别哪些字符是密码，哪些字符是图像中携带的验证信息。