CN101340281B - 针对在网络上进行安全登录输入的方法和*** - Google Patents
针对在网络上进行安全登录输入的方法和*** Download PDFInfo
- Publication number
- CN101340281B CN101340281B CN2007101182223A CN200710118222A CN101340281B CN 101340281 B CN101340281 B CN 101340281B CN 2007101182223 A CN2007101182223 A CN 2007101182223A CN 200710118222 A CN200710118222 A CN 200710118222A CN 101340281 B CN101340281 B CN 101340281B
- Authority
- CN
- China
- Prior art keywords
- mode
- webserver
- computing equipment
- input
- operating system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6209—Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/56—Financial cryptography, e.g. electronic payment or e-cash
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种在安全方面不可靠的OS环境和安全性可靠的BIOS之间进行切换的可信的输入技术,以解决用户在网络应用方面的安全登录输入问题。本方案在需要安全输入时,就能够快速地切换到一个诸如BIOS模式的安全环境中,而在用户输入完密码后,又能够快速地回到用户的OS环境,并且,现今没有任何影响到且将来也不会影响到安全交易架构。本方案中,服务器的身份识别是在可信的安全环境中认证的,因此就可以防止“钓鱼”网站的问题。同时,用户密码只是在BIOS环境和服务器中是以明文出现的,中间传输过程都是密码,从而不存在该密码被“木马”等病毒截听的可能。本发明针对当前业界的现状提出了一个具有便利性、有效性、安全性和经济性的解决方案。
Description
技术领域
本发明涉及通信领域,更具体而言,涉及计算设备端和网络服务器之间安全传递加密的数据。
背景技术
在所公开的安全输入技术中,也有很多方案是使用独立安全输入环境的,但其中,有的需要修改硬件,这就增加了成本,而另外有的则是独立创建一个新的操作***或称OS***环境,该环境本身就面临很多涉及安全隐患的问题。
当前限制在网络进行交易的一个最大问题就是安全问题。木马等病毒或恶意软件已经逐渐从破坏用户计算设备为目的转向窃取用户的机密数据,如网上交易、网络游戏、网络服务的账号密码等等。这些机密信息的被盗将会给用户带来灾难,所以解决上网安全的问题中最大的问题就是如何保护用户的密码和口令的安全性。而当前业界已有一些方法来解决这个问题,每种方法都有其各自的优缺点。
第一类方案:软件保护方法,如账号防盗器。
在Windows操作***上面,一个键盘事件从物理键盘的键入到显示到界面上,会经历许多流程,从硬件中断,内核响应,总线驱 动,键盘驱动,Windows消息流等等。在每一条道路上,黑客程序都可以安装一个钩子程序,使得当操作***有键盘事件时,就都能够进行记录下来,从而造成用户的机密数据被泄密。
当前很多基于软件的方法,都能够解决部分的恶意软件。如著名的QQ密码保护器、江民密码保护器等等。
但是,这种基于OS***之上的密码保护器是有很大缺陷的。这种密码保护器的保护能力是和软件的制作水平密切相关的,当新的黑客程序又发现一个新的可以截听的点的时候,这类密码保护器通常就会失效,这是因为它不能从理论上证明所处的环境是可信的环境,也就不能根本上解决问题。
例如,由于硬件平台功能的增强,当前Intel的CPU提供VT特性。最新的恶意软件就可以根据CPU的虚拟技术(VT)特性把整个OS***当作一个GUEST OS来运行。因此,这个虚拟机对于整个OS***来说就是透明的,而任何键盘事件都会被该恶意软件所记录,从而使在OS***之上所做的任何密码防盗软件都会无效。其还可能造成麻痹用户的后果,即,实际上***有漏洞而用户却误以为是安全的。
第二类方案:软件保护方法,证书文件+密码登录形式。
用户申请并下载数字证书,数字证书可以保存成操作***(OS)下的磁盘文件,用户通过所提供证书和密码来加密登录***。在与诸如网上银行进行交易的过程中,用户向银行服务器提交的数据都经过证书加密。与“帐号+密码”登录形式相比,数字证书文件的安全性大大增强。
该方案在安全方面的缺点是:由于数字证书保存为OS***下的磁盘文件,“木马”等病毒仍然有机会复制证书、记录用户帐号和密码,从而造成用户信息被盗。
第三类方案:软硬结合的保护方法,密码+USB KEY的形式。
这种方式是软件方式的改进,把数字证书等重要的用户信息保存在USB KEY中。每次用户进行网上交易的时候,都必须***这个USB KEY,然后再输入密码。这种方法的安全性进一步增加,用户基本上可以放心使用,如,招商银行网络版的USB KEY形式。这种方案的缺点就是,需要特别的硬件支持,用起来不方便。而且,用于需要经常携带如USB KEY的硬件,一旦其丢失,仍旧会造成严重的不安全后果。
第四类方案:提供专有的认证设备,如密码键盘。
这种方式是专门提供独立的密码输入设备,或者改进计算机上的输入/输出部件。使得这种新的输入设备和操作***无关。当用户需要认证的时候,走独立的通道进行认证,可以有效地避免黑客软件的攻击。这种方法的安全性极高。诸如美国专利库的一个Secureboard专利的专利通过这样一种带有“安全键盘”的安全***,使用户个人信息在从键盘读入或输入的时候就进行加密,而且直接从键盘上自带的modem拨号到secure host,不经过公网,防止被恶意窃取。但是这样的安全键盘结构相对复杂,需要专门的设计。而且,这种安全键盘也没有解决“监听键盘”的问题,如果有黑客将“窗口键盘记录器”安装到用户电脑上,则仍然无法防备,虽然可以采用其他反监听的软件保护信息安全。这种解决方案的缺点主要是成本极高,而且局限于专用网络,故通用性不好。
当前业界还有在键盘上面改进,增加一个独立的安全输入模块,来解决安全输入问题。但是这类方案总的缺点是,需要更换标准的硬件设备。这对于计算设备已经非常普及的今天,是比较困难的问题。
第五类方案:特殊的安全输入设备。
这种方案主要是改进计算机***的I/O架构,使得用户输入的环境在一个特有的环境下执行,确保用户输入的安全性。诸如,一个基于可信平台模块(Trusted Platform Module,TPM)安全芯片的实施专利,其可在安全输入单元下完成整个***的输入和加密工作。这种方案安全性也是非常高的。
这种方案的主要缺点是,需要改动计算机的体系架构,增加新的硬件单元,故通用性不是很好。
第六类方案:VT技术的解决方案。
这种方案主要是提供一个虚拟机,并且在虚拟机上运行不同的操作***。不同的操作***之间,***是隔离的。当用户需要进行网上交易时,就切换到专用操作***环境下,进行网络交易操作。这种方案的安全性也非常高,能够保证用户的输入动作不被黑客、木马程序窃取。
这种方案的缺点是,虚拟机软件也是基于软件方式实现的,要想保证专用操作***的安全,首先要保证虚拟机的安全可靠。进而,在专用的GUEST OS上面,对于如何防止操作***的未知漏洞以及如何更新操作***来说,也可能存在安全隐患。
第七类方案:计算机体系架构的解决方案。
这类方案主要是整个计算机从硬件到OS***,以及应用程序的整体可信计算环境的解决方案。如微软的NGSCB以及INTEL的LT技术。
这类技术是未来的技术,目的不仅仅是解决一个小的安全输入问题,而且包括各种各样的可信计算机问题,是一个庞大的***工程,目前并没有进行完全的实现,也不可能在近几年来解决用户急需的网络交易安全问题。
因此,人们需要一种其它的解决方案,能够解决上述现有和/或相关技术中的问题。而当前BIOS和OS在安全方面是脱节的,利用这一点,本发明针对当前业界的现状提出了一个便利、有效、安全和经济的解决方案。
发明内容
本发明旨在提供一种安全方面不可靠的OS环境和安全性可靠的BIOS环境之间进行切换的可信的输入技术解决方案,能够解决便利性、有效性、安全性和经济性等问题。
根据本发明的一个方面,提供了一种用于在网络上进行安全登录输入的方法,其包括以下步骤:
步骤102,在客户端计算设备和网络服务器之间建立安全通道,并下载所述网络服务器的服务器公钥证书;
步骤104,将所述客户端计算设备的操作***工作模式切换为待机模式,并使所述客户端计算设备进入到BIOS工作模式;
步骤106,在所述BIOS工作模式中进行用户认证信息的输入,然后,使所述客户端计算设备退出所述BIOS工作模式,并被切换回到所述操作***工作模式;以及
步骤108,如果使用所述用户认证信息登录到所述网络服务器,则所述网络服务器验证所述用户认证信息,从而实现所述客户端计算设备的安全登录。
进一步来说,所述建立安全通道的步骤又包括以下步骤:
步骤1021,在所述客户端计算设备上启动用于登录的客户端程序或浏览器;
步骤1022,输入所述网络服务器的地址,并打开人机交互界面或网页;
步骤1023,所述客户端计算设备与所述网络服务器建立连接,并下载所述网络服务器的服务器公钥证书到所述计算设备的内存;
步骤1024,所述用于登录的客户端程序或浏览器显示所述网络服务器的人机交互界面或网页;以及
步骤1025,在所述人机交互界面或网页上显示信息,以等待所述用户认证信息的输入。
进一步来说,所述切换到操作***的待机模式并进入到BIOS工作模式的步骤又包括以下步骤:
步骤1041,触发计算设备键钮;
步骤1042,从所述计算设备的内存中读取所述服务器公钥证书;
步骤1043,把所述服务器公钥证书回写到所述计算设备的内存或者是通过SMI方式写入到所述计算设备的NVRAM中;
步骤1044,使操作***进入待机模式;
步骤1045,进入BIOS工作模式;
步骤1046,验证所述服务器公钥证书的合法性;以及
步骤1047,如果合法,则等待所述用户认证信息的输入。
进一步来说,所述从BIOS工作模式进行用户认证信息的输入并被切换回到所述操作***工作模式的步骤又包括以下步骤:
步骤1061,在BIOS工作模式下输入所述用户认证信息;
步骤1062,使用所述服务器公钥证书来加密所述用户认证信息,以生成用户加密的数据包;
步骤1063,把所述用户加密的数据包写入到内存或者是NVRAM这两者其中之一个位置;以及
步骤1064,触发所述计算设备键钮以从所述BIOS的工作模式恢复到所述操作***的工作模式。
进一步来说,登录所述网络服务器并用其验证所述用户认证信息的步骤进一步包括以下步骤:
步骤1081,在所述操作***的工作模式下读取所述用户加密的数据包;
步骤1082,登录所述网络服务器;
步骤1083,所述用户加密的数据包通过建立连接而被发送给所述网络服务器;
步骤1084,在所述网络服务器上解密所述用户加密的数据包;
步骤1085,在所述网络服务器上验证所述用户认证信息;以及
步骤1086,如果合法登录,则允许访问所述网络服务器。
进一步来说,所述建立连接包括:建立SSL加密信道的连接。
进一步来说,所述用户认证信息包括:用户的账号和密码、身份证号、PIN、信用/借记卡的验证码和动态码。
进一步来说,所述网络为无线网络或有线网络。
进一步来说,所述网络包括:互联网和/或局域网。
进一步来说,所述计算设备包括:个人计算机、图形工作站、
手持计算设备以及智能手机。
进一步来说,所述操作***包括:Windows、MacOS、Linux和Unix操作***。
所述BIOS工作模式和所述操作***工作模式之间无需所述计算设备的***重启就可相互切换。
所述计算设备键钮是唯一的。
根据本发明的另一方面,一种用于在网络上进行安全登录输入的***,包括客户端计算设备和网络服务器,并在所述客户端计算机和所述网络服务器之间建立安全通道,其特征在于,在所述客户端计算设备一侧设置有网络安全输入单元、安全环境切换单元、安全环境工作单元、和安全存储单元,以及在所述网络服务器一侧设置有安全输入验证单元,其中:
网络安全输入单元,由所述客户端计算设备的操作***所控制,用于与所述网络服务器的通信接口;
安全环境切换单元,由计算设备的键钮所触发并由所述操作***所控制,用于操作***工作模式和BIOS***工作模式之间进行切换以建立一条所述网络安全输入单元与所述安全环境工作单元之间的通道;
安全环境工作单元,由所述客户端计算设备的BIOS***所控制和启动,用于读取和验证所述网络服务器的服务器公钥证书以及输入和加密用户认证信息;
安全存储单元,由所述客户端计算设备的BIOS***所控制并可被读写访问,并用于存储所述服务器公钥证书的CA根证书;以及
安全输入验证单元,由所述服务器进行控制,并用于对从所述网络安全输入单元所登录传输的被加密的用户认证信息进行解密并验证。
所述网络安全输入单元进一步用于:
在所述客户端计算设备上启动用于登录的客户端程序或浏览器;
输入所述网络服务器的地址,并打开人机交互界面或网页;
所述客户端计算设备与所述网络服务器建立连接,并下载所述网络服务器的服务器公钥证书到所述计算设备的内存;
所述用于登录的客户端程序或浏览器显示所述网络服务器的人机交互界面或网页;以及
在所述人机交互界面或网页上显示信息,以等待所述用户认证信息的输入。
所述安全环境切换单元进一步用于:
通过计算设备键钮被触发来从所述计算设备的内存中读取所述服务器公钥证书;
把所述服务器公钥证书信息回写到所述计算设备的内存或者是通过SMI方式写入到所述计算设备的NVRAM中;以及
使操作***从工作模式切换到待机模式,然后进入BIOS工作模式;以及
通过所述计算设备键钮被触发来从BIOS的工作模式切换恢复到操作***的工作模式;以及
在所述操作***的工作模式下读取在所述BIOS工作模式下的用户加密数据包。
所述安全环境工作单元进一步用于:
验证所述服务器公钥证书是否合法,以及,如果合法,则等待所述用户认证信息的输入;
在BIOS工作模式下,输入所述用户认证信息;
使用所述服务器公钥证书来加密所述用户认证信息以生成用户加密的数据包;以及
把所述用户加密数据包写入到内存或者是NVRAM这两者其中之一个位置。
所述网络安全输入单元进一步用于:
读取所述安全环境切换单元所提供的用户加密数据包,并通过所述建立的连接来发送给所述网络服务器。
所述安全输入验证单元进一步用于:
解密所述用户加密的数据包;以及
验证所述用户认证信息,以及,如果合法登录,则允许访问所述网络服务器。
进一步来说,所述建立连接包括:建立SSL加密信道的连接。
进一步来说,所述用户认证信息包括:用户的账号和密码、身份证号、PIN、信用/借记卡的验证码和动态码。
进一步来说,所述网络为无线网络和/或有线网络。
进一步来说,所述网络包括:互联网和局域网。
进一步来说,所述计算设备包括:个人计算机、图形工作站、手持计算设备以及智能手机。
进一步来说,所述操作***包括:Windows、MacOS、Linux和Unix操作***。
进一步来说,所述BIOS工作模式和所述操作***工作模式之间无需所述计算设备的***重启就可相互切换。
进一步来说,所述计算设备键钮包括以下其中之一:所述计算设备的屏幕所显示的按钮图标;所述计算设备的键盘上的***快捷键;以及所述计算设备上的一个特定硬件按钮。
通过上述技术方案,本发明实现了如下技术效果:
其优越性在于,不需要修改任何计算设备的硬件设备,即,不仅能够适用未来的计算***,而且能够基本不需要增加任何硬件成本而只需诸如对BIOS进行版本升级和保留一定的可用空间就可应用到当今的广大计算设备上面。
本发明的其它特征和优点将在随后的说明书中阐述,并且,部分因说明书而变得非常清楚,或者通过实施本发明而被了解。本发明的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
此处所说明的附图用来提供对本发明的进一步理解,并构成本申请的一部分;本发明的示意性实施例及其说明用于解释本发明,而并不构成对本发明的不当限定。在附图中:
图1示出了本发明的逻辑***单元框图;
图2示出了根据本发明一个实施例在图1逻辑***的基础上的整个可信安全输入环境信任链的流程图;
图3示出了根据本发明一个实施例的流程图,用于在客户端计算设备和网络服务器之间建立安全通道以下载网络安全输入单元的流程;
图4示出了根据本发明一个实施例的流程图,用于描述进入BIOS安全工作环境的流程;
图5示出了根据本发明一个实施例的流程图,用于描述用户在BIOS安全工作环境中完成用户认证信息的输入,并从BIOS模式切换到操作***工作模式的流程;
图6示出了根据本发明一个实施例的流程图,用于描述用户登录服务器的网站,服务器网站验证用户认证信息的合法性的流程。
具体实施方式
本发明的主要思想就是:以可信的安全环境工作单元作为基础,建立一条从安全环境工作单元->安全环境切换单元->网络安全输入单元->服务器的安全输入验证单元的动态输入信任链,再加之用于存储的安全存储单元,从而保护用户的重要机密数据以保证整个网络安全交易的顺利进行。
下面将参考附图并结合实施例,来详细说明本发明。
根据本发明的一个实施例,首先参见图1及图2:
1.在每个网站的用户需要登录的网页上,都提供一个网络安全输入单元。该单元将能够提供网站的公钥证书,表明网站的合法身份。然后,还能够接收经过该网站的公钥证书加密后的用户加密数据包。网站收到这个用户加密数据包之后,就使用网站的私钥证书进行解密,从而读取用户输入的帐户、口令、以及证书等信息。该单元可从网页下载到用户的计算机中,以控件的方式被启动执行。
2.在用户的计算机***上增加一个安全环境切换单元。该单元将从网络安全输入单元中获取网站的公钥证书,并写入到随机内存RAM的某个地方,或者通过SMI接口的方式写入到非易失性的NVRAM的某个位置。该单元在接收到用户的快捷键输入动作时,就使当前的操作***快速地进入待机模式,并使BIOS进入安全输入环境。
3.在BIOS模式中,增加一个安全环境工作单元。该单元首先读取安全环境切换单元所写入的网站公钥证书,并验证该证书的可靠性。通过在后述的安全存储单元中维护一个CA中心的根证书,就能够经过验证而有效地判断该网站的合法性。然后该单元将提示用户输入账号和密码信息,并使用合法的网站公钥证书进行加密。最后,该单元将回写经过加密的用户加密数据包到***的内存或者将其保存在NVRAM的某个位置,并且恢复到操作***的待机工作模式。
4.在网站服务器上增加一个安全输入验证单元。当用户机的操作***回到工作模式后,在该操作***上的安全环境切换单元将读取用户加密后的数据包,并把这个加密数据包发送给网络安全输入单元。在用户点击网页上的登录按钮后,网络安全输入单元就将这个数据包的内容传送给网站服务器。在网站服务器上的安全输入 验证单元将使用网站的私钥证书进行解密,并验证用户身份的可靠性。
5.为了防止黑客软件的重放攻击,可在每次登录认证的时候都增加一项诸如GUID格式的动态码。这个动态码将包含时间信息、网站连接的信息等。这个动态码将与用户的账号和密码等机密数据一起被网站的公钥证书所加密。这样,网站服务器就能够有效地防止用户机密数据的重放攻击。
6.为了防止用户口令的字典攻击,可在安全环境工作单元和网站服务器的安全输入验证单元中增加用户的证书的认证模块。即认证用户的身份不仅仅是通过口令,而且还要提供更加安全的证书。另外,用户的证书只能在BIOS环境下进行访问,以防止黑客软件的复制。这样,黑客无法获取用户的证书,也就没有办法进行用户口令的字典攻击。
7.增加一个安全存储单元。该单元逻辑上处于BIOS级,而物理上既可在flash闪存也可在计算设备的随机存储器的某个区域之中等等。安全存储单元能够安全地存储CA中心的根证书列表,用于验证用户访问的网站的公钥证书是否合法。因为该单元只能在BIOS工作模式下读写访问,所以能够有效保护CA中心根证书列表的安全。该中心还能够存储用户的证书,保证用户的证书不会被黑客软件复制。
| 安全问题 | 解决办法 |
| 密码键盘输入事件被截听 | 在防火墙(FW)里面提供密码输入环境,没有被“木马”等病毒入侵的机会 |
| 密码内容在OS上面被截听 | 通过使用服务器的公钥证书进行加密,密码在输入完毕后,就是加密的状态,只有到达网络服务器设备上,才能够被服务器解开。 |
| FW安全环境的输入被窜改 | 在进入FW的安全环境之前,需要提供服务器的公钥证书。这个公钥证书需要在FW环境中进行验证。 |
| OS上钓鱼网站的攻击 | 在操作***之上,就需要对网站的公钥证书进行验证。如果不合法,就会提示用户当前连入的是非法网站。 |
| OS上恶意软件的重放攻击 | 恶意软件能够截获压缩后的密码包,当恶意软件需要登录的时候,就以这个密码包发送过去。对于这种方式,增加一种动态码的方式,每次在OS连接网站下载服务器证书的时候,服务器给每个连接都提供一个唯一的动态码。在FW环境下,使用公钥证书除了加密报文外,还要加密这个唯一动态码。并且回到OS环境后,在向服务器发送加密后的密码包,服务器将会对密码和动态码进行校验,确保该数据包不会是重放的数据包。 |
| 伪装窗口 | 这类“木马”首先向IE浏览器注入一个DLL,用以监视当前网页的网址,同时记录键盘。当发现用户输入了***、密码并进行提交以后,迅速隐藏浏览器,弹出自己的窗口。“木马”弹出的窗口看上去和在线理财的页面非常相似,并且包含一些“钓鱼”文字:称由于***维护需要,用户必须重新输入密码。只有当用户再次输入的密码和最初登录时的密码吻合时,“木马”才会把密码发送给“木马”作者。伪装成浏览器界面的“木马”实现起来较简单,虽然技术上听起来比较幼稚,但破坏效果却很大。由于用户在FW环境中输入帐户名和密码,所以不需要担心伪装窗口的问题。 |
| 屏幕“录像” | 用户输入关键的口令和密码是在FW环境中,所以也不需要担心屏幕“录像”的问题。 |
以下根据本发明的一个实施例并结合图2至6分别来描述各个***单元的工作情况以及相互关系。
网络安全输入单元
该单元可在网页下载到客户端计算机之后提供诸如服务器网站的公钥证书读取接口等的服务器网站的通信接口。通过在安全环 境工作单元中验证该公钥证书,就能够表明网站的身份是否合法,并且使用这个公钥证书,就能够保证使用该证书加密过后的任何数据信息都只能够被该网站读取。在本方案中,网站服务器的公钥证书用于加密用户的各种认证信息,如用户名、口令、PIN、身份证号、信用/借记卡的验证码以及动态码等信息。这个单元在收到安全环境工作单元中加密后的用户认证信息后,就将传送给网络服务器。在网络安全输入单元和网站服务器的安全认证单元之间的通道采用SSL的加密信道,以保证来自本机上的数据不被网络的黑客所获取。
为了防止黑客软件的重放攻击,网络服务器可在每次诸如银行交易网页的网络安全输入单元下载到用户的计算机后都自动产生一项诸如GUID格式的动态码。这个动态码将包含时间信息、网站连接的信息等等。这个动态码将与用户的账号、密码等机密数据一起被网站的公钥证书加密。通过动态码的标签,网站服务器就能够有效地防止用户机密数据的重放攻击。
安全环境切换单元
这个单元建立一条从运行在客户机操作***上面的网络安全输入单元和运行在BIOS环境下的安全环境工作单元之间的通道。当用户需要进入安全环境中输入用户认证信息的时候,就按下一个***快捷键或者机器上的一个特定硬件按钮,或者用鼠标或手写笔输入设备移动光标来按动所述计算设备屏幕所显示的按钮图标,再或者,如果是触摸屏的话,则直接用手指或硬笔等来按动所述计算设备屏幕所显示的按钮图标,安全环境切换单元将会读取网络安全输入单元的服务器公钥证书、动态码的数据,写入到***的内存的某个特定位置或者通过SMI的方式写入到***的NVRAM的某个位置。。
安全环境切换单元把所需的信息写到特定位置后,就调用***的待机模式,使当前的操作***进入待机模式,并启动BIOS的安全执行环境。由于操作***处于待机模式,使得***的切换速度非常快,而且内存的数据可一直保留在内存当中,并不会受任何影响,当从BIOS切换回来的时候,操作***又可以继续迅速地进行工作。
当在BIOS中的安全环境工作单元的任务执行完毕后,将会回到***的运行模式,但是原来在内存中或NVRAM中存放服务器的公钥证书和动态码数据等***息的位置变为存放加密的用户认证信息,安全环境切换单元能够读取这些用户加密信息到网络安全输入单元。
安全环境工作单元
该单元是运行在BIOS的工作模式下面,由于BIOS是防火墙(FW)级别的环境,所以在这种模式下面,能够提供一个非常安全的工作环境。当安全环境切换单元切换操作***模式到待机模式并进入BIOS的工作模式后,安全环境工作单元将会自动启动,并且在指定的内存地址或者NVRAM地址读取安全环境切换单元所提供的服务器公钥证书和动态码信息。
该单元将会读取存储于安全存储单元之中的CA认证中心的根证书列表,并对服务器公钥证书进行认证。如果用户访问的服务器公钥证书无法经过认证,那么用户访问该网站就是不安全的。
该单元在服务器公钥证书通过认证后,将提示用户输入账号和密码信息,并使其被认证过的网站公钥证书加密。在加密这些数据的同时,对诸如GUID格式的动态码也一起进行加密,确保用户数据包的安全。为了增强用户认证的可靠性,可以使用存储在安全存 储单元中的用户私钥证书对加密数据包进行签名,以进一步保证用户认证信息的可靠性。
最后,该单元将回写加密后的数据包到***的内存的某个位置或者保存在NVRAM的某个位置,并且恢复到操作***的待机工作模式。
安全存储单元
该单元能够存储的CA中心的根证书列表,该根证书列表用于验证用户访问的网站的公钥证书是否合法。该单元只能在BIOS模式下读写访问,所以能够有效保护CA中心根证书列表的安全。该中心还能够存储用户的证书,以保证用户的证书不会被黑客软件复制。
安全输入验证单元
用户在完成密码的输入操作后,将回到操作***的运行模式下面。这个时候,按照服务器网站的登录提示进行登录,网页上的网络安全输入单元将从安全环境切换单元读取用户加密后的认证信息数据包,并把这个加密的数据包通过安全的SSL信道传送到网络服务器上的安全输入验证单元。该单元将使用服务器的私钥证书解密用户的数据包,获取用户的信息,并利用数据库中的用户信息进行验证。也可使用用户的公钥证书对用户的签名(如果有的话)进行验证,以保证该数据包是该合法用户所加密的。
从以上的描述中,可以看出,本发明实现了如下技术效果:
1.不需要附加的硬件设备和成本,仅利用现有的计算机体系架构,就能够建立一条安全的输入信任链通道。本方案能够充分利 用防火墙的可信安全环境,完成用户的密码输入过程和验证过程,从而保证整个网络交易的安全进行。
2.能够验证服务器网站的合法性,防止“钓鱼”网站的攻击。保证用户正在输入密码时的网站就是用户想去的网站。
3.提供用户证书的认证方式,加密保存在独立的区域。在读取用户证书的同时,需要输入用户证书的访问密码。这样就可以避免证书被非法程序复制。
4.网络服务器生成一个临时的GUID格式的动态码,在使用网站公钥证书加密用户机密数据的同时,也加密这个临时的动态码,以保证用户的机密信息不会被用于重放攻击。
显然,本领域的技术人员应该明白,除了安全输入验证模块在网络服务器一侧以外,上述的本发明的其它各模块或各步骤还可以用通用和/或专用的计算设备,诸如,附加的网络服务器、计算机图形工作站、台式计算机、笔记本电脑、手持计算设备(如PDA)以及智能手机等等来实现。因此,它们的CPU或中央处理器可以是各种类型的。可选地,它们可以用这些计算设备可执行的程序代码来实现,从而,可以将它们存储在存储设备中由计算设备来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。另外,操作***(OS)也不仅仅限于微软的Windows、MacOS、Linux和Unix操作***。在操作***下的用于登录的客户端程序或浏览器还可以是各种各样的,包括,但不限于,诸如微软的IE等通用的浏览器,也可包括用于诸如证券交易登录等其它各种客户端程序。这样,可不必输入或者每次都输入所述网络服务器的地址,也可不必每次都从网络服务器把网络安全输入单元下载到用户的计算机,进而也可不必具有动态码,动态码由于是公开的也可不必加密。再者,触发OS***的工作 环境和BIOS的工作环境的进行切换的装置可以是硬件的也可以是软件的、自动或手动的、硬或软材质设备(包括人的身体)输入的、以及接触式或非接触式的(包括遥控等)。还有,本文所支持的操作***工作环境和BIOS的工作环境的切换只是一个优选实施例,也可用于其它等同于BIOS的工作环境。更进一步,甚至可以有用于多用户多任务分时共享单台计算设备的情形。总之,本发明并不限制于任何特定的硬件和软件结合。应该明白,这些具体实施中的变化对于本领域的技术人员来说是很显而易见的,并不脱离本发明精神的保护范围。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。因此,凡在本发明的精神和原则之内所作的任何修改、等同替换、改进以及更新等等,均应包含在本发明的保护范围之内。
Claims (28)
1.一种用于在网络上进行安全登录输入的方法,其包括以下步骤:
步骤102,在客户端计算设备和网络服务器之间建立安全通道,并下载所述网络服务器的服务器公钥证书;
步骤104,将所述客户端计算设备的操作***工作模式切换为待机模式,并使所述客户端计算设备进入到BIOS工作模式;
步骤106,在所述BIOS工作模式中进行用户认证信息的输入,然后,使所述客户端计算设备退出所述BIOS工作模式,并被切换回到所述操作***工作模式;以及
步骤108,如果使用所述用户认证信息登录到所述网络服务器,则所述网络服务器验证所述用户认证信息,从而实现所述客户端计算设备的安全登录。
2.根据权利要求1所述的方法,其特征在于,所述建立安全通道的步骤进一步包括以下步骤:
步骤1021,在所述客户端计算设备上启动用于登录的客户端程序或浏览器;
步骤1022,输入所述网络服务器的地址,并打开人机交互界面或网页;
步骤1023,所述客户端计算设备与所述网络服务器建立连接,并下载所述网络服务器的服务器公钥证书到所述计算设备的内存;
步骤1024,所述用于登录的客户端程序或浏览器显示所述网络服务器的人机交互界面或网页;以及
步骤1025,在所述人机交互界面或网页上显示信息,以等待所述用户认证信息的输入。
3.根据权利要求1所述的方法,其特征在于,所述切换到操作***的待机模式并进入到BIOS工作模式的步骤进一步包括以下步骤:
步骤1041,触发计算设备键钮;
步骤1042,从所述计算设备的内存中读取所述服务器公钥证书;
步骤1043,把所述服务器公钥证书回写到所述计算设备的内存或者是通过SMI方式写入到所述计算设备的NVRAM中;
步骤1044,使操作***进入待机模式;
步骤1045,进入BIOS工作模式;
步骤1046,验证所述服务器公钥证书的合法性;以及
步骤1047,如果合法,则等待所述用户认证信息的输入。
4.根据权利要求3所述的方法,其特征在于,所述从BIOS工作模式进行用户认证信息的输入并被切换回到所述操作***工作模式的步骤进一步包括以下步骤:
步骤1061,在BIOS工作模式下输入所述用户认证信息;
步骤1062,使用所述服务器公钥证书来加密所述用户认证信息,以生成用户加密的数据包;
步骤1063,把所述用户加密的数据包写入到内存或者是NVRAM这两者其中之一个位置;以及
步骤1064,触发所述计算设备键钮以从BIOS工作模式恢复到操作***的工作模式。
5.根据权利要求4所述的方法,其特征在于,登录所述网络服务器并用其验证所述用户认证信息的步骤进一步包括以下步骤:
步骤1081,在所述操作***的工作模式下读取所述用户加密的数据包;
步骤1082,登录所述网络服务器;
步骤1083,所述用户加密的数据包通过建立连接而被发送给所述网络服务器;
步骤1084,在所述网络服务器上解密所述用户加密的数据包;
步骤1085,在所述网络服务器上验证所述用户认证信息;以及
步骤1086,如果合法登录,则允许访问所述网络服务器。
6.根据权利要求2或5所述的方法,其中,所述建立连接的步骤包括:建立SSL加密信道的连接。
7.根据权利要求1所述的方法,其中,所述用户认证信息包括:用户的账号和密码、身份证号、PIN、信用/借记卡的验证码和动态码。
8.根据权利要求1所述的方法,其中,所述网络为无线网络或有线网络。
9.根据权利要求1所述的方法,其中,所述网络包括:互联网和/或局域网。
10.根据权利要求1所述的方法,其中,所述计算设备包括:个人计算机、图形工作站、手持计算设备以及智能手机。
11.根据权利要求1所述的方法,其中,所述操作***包括:Windows、MacOS、Linux和Unix操作***。
12.根据权利要求1所述的方法,其中,所述BIOS工作模式和所述操作***工作模式之间无需所述计算设备的***重启就可相互切换。
13.根据权利要求3所述的方法,其中,触发所述计算设备键钮的步骤包括以下步骤其中之一:用鼠标、触控屏输入设备或手写笔输入设备按动所述计算设备屏幕所显示的按钮图标;按下所述计算设备键盘上的***快捷键;以及按下所述计算设备上的一个特定硬件按钮。
14.根据权利要求3或4或13所述的方法,其中,所述计算设备键钮具有唯一性。
15.一种用于在网络上进行安全登录输入的***,包括客户端计算设备和网络服务器,并在所述客户端计算设备和所述网络服务器之间建立安全通道,其特征在于,在所述客户端计算设备一侧设置有网络安全输入单元、安全环境切换单元、安全环境工作单元、和安全存储单元,以及在所述网络服务器一侧设置有安全输入验证单元,其中:
网络安全输入单元,由所述客户端计算设备的操作***所控制,用于与所述网络服务器的通信接口;
安全环境切换单元,由所述客户端计算设备的计算设备键钮所触发并由所述操作***所控制,用于所述客户端计算设备操作***工作模式和所述客户端计算设备BIOS***工作模式之间进行切换以建立一条所述网络安全输入单元与所述安全环境工作单元之间的通道;
安全环境工作单元,由所述客户端计算设备的BIOS***所控制和启动,用于读取和验证所述网络服务器的服务器公钥证书以及输入和加密用户认证信息;
安全存储单元,由所述客户端计算设备的BIOS***所控制并可被读写访问,并用于存储所述服务器公钥证书的CA根证书;以及
安全输入验证单元,由所述服务器进行控制,并用于对从所述网络安全输入单元所登录传输的被加密的用户认证信息进行解密并验证。
16.根据权利要求15所述的***,其特征在于,所述网络安全输入单元进一步用于:
在所述客户端计算设备上启动用于登录的客户端程序或浏览器;
输入所述网络服务器的地址,并打开人机交互界面或网页;所述客户端计算设备与所述网络服务器建立连接,并下载所述网络服务器的服务器公钥证书到所述计算设备的内存;
所述用于登录的客户端程序或浏览器显示所述网络服务器的人机交互界面或网页;以及
在所述人机交互界面或网页上显示信息,以等待所述用户认证信息的输入。
17.根据权利要求15所述的***,其特征在于,所述安全环境切换单元进一步用于:
通过所述计算设备键钮被触发来从所述计算设备的内存中读取所述服务器公钥证书;
把所述服务器公钥证书信息回写到所述计算设备的内存或者是通过SMI方式写入到所述计算设备的NVRAM中;以及
使操作***从工作模式切换到待机模式,然后进入BIOS工作模式;以及
通过所述计算设备键钮被触发来从BIOS的工作模式切换恢复到操作***的工作模式;以及
在所述操作***的工作模式下读取在所述BIOS工作模式下的用户加密数据包。
18.根据权利要求15所述的***,其特征在于,所述安全环境工作单元进一步用于:
验证所述服务器公钥证书是否合法,以及,如果合法,则等待所述用户认证信息的输入;
在BIOS工作模式下,输入所述用户认证信息;
使用所述服务器公钥证书来加密所述用户认证信息以生成用户加密的数据包;以及
把所述用户加密数据包写入到内存或者是NVRAM这两者其中之一个位置。
19.根据权利要求15所述的***,其特征在于,所述网络安全输入单元进一步用于:
读取所述安全环境切换单元所提供的用户加密数据包,并通过建立连接来发送给所述网络服务器。
20.根据权利要求18所述的***,其特征在于,所述安全输入验证单元进一步用于:
解密所述用户加密的数据包;以及
验证所述用户认证信息,以及,如果合法登录,则允许访问所述网络服务器。
21.根据权利要求16或19所述的***,其特征在于,所述建立连接包括:建立SSL加密信道的连接。
22.根据权利要求15所述的***,其特征在于,所述用户认证信息包括:用户的账号和密码、身份证号、PIN、信用/借记卡的验证码和动态码。
23.根据权利要求15所述的***,其特征在于,所述网络为无线网络或有线网络。
24.根据权利要求15所述的***,其特征在于,所述网络包括:互联网和局域网。
25.根据权利要求15所述的***,其特征在于,所述计算设备包括:个人计算机、图形工作站、手持计算设备以及智能手机。
26.根据权利要求15所述的***,其特征在于,所述操作***包括:Windows、MacOS、Linux和Unix操作***。
27.根据权利要求15所述的***,其特征在于,所述BIOS工作模式和所述操作***工作模式之间无需所述计算设备的***重启就可相互切换。
28.根据权利要求17所述的***,其特征在于,所述计算设备键钮包括以下其中之一:所述计算设备的屏幕所显示的按钮图标;所述计算设备的键盘上的***快捷键;以及所述计算设备上的一个特定硬件按钮。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101182223A CN101340281B (zh) | 2007-07-02 | 2007-07-02 | 针对在网络上进行安全登录输入的方法和*** |
| US12/163,215 US8281364B2 (en) | 2007-07-02 | 2008-06-27 | Method and system for performing secure logon input on network |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101182223A CN101340281B (zh) | 2007-07-02 | 2007-07-02 | 针对在网络上进行安全登录输入的方法和*** |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101340281A CN101340281A (zh) | 2009-01-07 |
| CN101340281B true CN101340281B (zh) | 2010-12-22 |
Family
ID=40214246
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101182223A Active CN101340281B (zh) | 2007-07-02 | 2007-07-02 | 针对在网络上进行安全登录输入的方法和*** |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US8281364B2 (zh) |
| CN (1) | CN101340281B (zh) |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9112681B2 (en) * | 2007-06-22 | 2015-08-18 | Fujitsu Limited | Method and apparatus for secure information transfer to support migration |
| CN101483658B (zh) * | 2009-01-09 | 2012-11-28 | 招商银行股份有限公司 | 浏览器输入内容保护的***和方法 |
| CN101521576B (zh) * | 2009-04-07 | 2011-10-05 | 中国电信股份有限公司 | 互联网用户身份认证的方法和*** |
| US8566610B2 (en) * | 2009-12-18 | 2013-10-22 | Intel Corporation | Methods and apparatus for restoration of an anti-theft platform |
| US8429735B2 (en) * | 2010-01-26 | 2013-04-23 | Frampton E. Ellis | Method of using one or more secure private networks to actively configure the hardware of a computer or microchip |
| CN101848218A (zh) * | 2010-05-14 | 2010-09-29 | 山东泰信电子有限公司 | 一种互联网电视终端安全访问互联网的方法 |
| CN102402820B (zh) * | 2010-09-13 | 2014-06-11 | ***通信有限公司 | 电子交易方法及终端设备 |
| US8858662B2 (en) * | 2011-03-04 | 2014-10-14 | Baker Hughes Incorporated | Methods of forming polycrystalline tables and polycrystalline elements |
| EP2689304A4 (en) * | 2011-03-21 | 2014-09-10 | Assa Abloy Ab | SYSTEM AND METHOD FOR SECURE DATA ENTRY |
| CN102983969B (zh) * | 2011-09-05 | 2015-06-24 | 国民技术股份有限公司 | 一种操作***的安全登录***及安全登录方法 |
| US8726385B2 (en) * | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
| DE102011116489A1 (de) * | 2011-10-20 | 2013-04-25 | Giesecke & Devrient Gmbh | Mobiles Endgerät, Transaktionsterminal und Verfahren zur Durchführung einer Transaktion an einem Transaktionsterminal mittels eines mobilen Endgeräts |
| US9195838B2 (en) * | 2012-07-02 | 2015-11-24 | At&T Intellectual Property I, L.P. | Method and apparatus for providing provably secure user input/output |
| CN103634265B (zh) * | 2012-08-20 | 2019-01-11 | 腾讯科技(深圳)有限公司 | 安全认证的方法、设备及*** |
| TWI467487B (zh) * | 2012-10-01 | 2015-01-01 | Walton Advanced Eng Inc | An automatic guided portable dish |
| US9338522B2 (en) * | 2012-10-18 | 2016-05-10 | Broadcom Corporation | Integration of untrusted framework components with a secure operating system environment |
| US9344762B2 (en) * | 2012-10-18 | 2016-05-17 | Broadcom Corporation | Integration of untrusted applications and frameworks with a secure operating system environment |
| CN103024005B (zh) * | 2012-11-30 | 2015-11-25 | 北京奇虎科技有限公司 | 网站登录信息保存方法和装置 |
| CN102999733B (zh) * | 2012-11-30 | 2017-10-27 | 北京奇虎科技有限公司 | 一种浏览器中保存网站登录信息的方法和装置 |
| CN103903155A (zh) * | 2012-12-24 | 2014-07-02 | 珠海市君天电子科技有限公司 | 一种网购保单的生成方法及其装置 |
| JP2014215652A (ja) * | 2013-04-23 | 2014-11-17 | 富士通株式会社 | 情報処理装置、情報処理システム、および認証処理方法 |
| CN104143066A (zh) * | 2013-05-10 | 2014-11-12 | ***股份有限公司 | 用于安全性信息交互的设备 |
| KR20150049596A (ko) * | 2013-10-30 | 2015-05-08 | 삼성전자주식회사 | 보안 입력 방법 및 그 전자 장치 |
| CN103986837B (zh) * | 2014-05-28 | 2017-11-10 | 天地融科技股份有限公司 | 信息处理方法及装置 |
| CN104394171B (zh) * | 2014-12-11 | 2018-12-21 | 北京奇虎科技有限公司 | 一种数据操作方法及装置 |
| CN104573463B (zh) * | 2015-02-10 | 2018-09-14 | 西安酷派软件科技有限公司 | ***切换方法、***切换装置和终端 |
| CN106454528A (zh) | 2015-08-07 | 2017-02-22 | 阿里巴巴集团控股有限公司 | 基于可信执行环境的业务处理方法和客户端 |
| CN106572104A (zh) * | 2016-10-28 | 2017-04-19 | 鄢碧珠 | 一种安全的移动式数据存储方法 |
| CN106570377A (zh) * | 2016-10-28 | 2017-04-19 | 鄢碧珠 | 一种移动式的云端数据存储*** |
| CN106506492A (zh) * | 2016-10-28 | 2017-03-15 | 郑建钦 | 一种安全的移动式数据存储*** |
| CN106453388B (zh) * | 2016-11-10 | 2019-12-03 | 合肥联宝信息技术有限公司 | 登录网站的方法及装置 |
| CN106779697A (zh) * | 2016-11-18 | 2017-05-31 | 合肥联宝信息技术有限公司 | 一种利用智能终端bios实现安全应答的方法和装置 |
| CN109714303B (zh) * | 2017-10-25 | 2022-05-27 | 阿里巴巴集团控股有限公司 | Bios启动方法及数据处理方法 |
| US20200302060A1 (en) * | 2017-12-14 | 2020-09-24 | Hewlett-Packard Development Company, L.P. | Enabling access to capturing devices by basic input and output systems (bios) |
| CN109002718A (zh) * | 2018-06-29 | 2018-12-14 | 郑州云海信息技术有限公司 | 一种bios和操作***复用密码的方法、装置及设备 |
| US10693664B2 (en) * | 2018-07-20 | 2020-06-23 | Dell Products L.P. | Systems and methods to build a trusted hypertext transfer protocol secure session on a limited pre-boot basic input/output system environment |
| CN111131215B (zh) * | 2019-12-18 | 2022-08-05 | 深圳市任子行科技开发有限公司 | 一种无感知审计部署方法及装置 |
| CN111526140A (zh) * | 2020-04-16 | 2020-08-11 | 杭州练链科技有限公司 | 一种基于虚拟化技术的网络安全*** |
| US11165586B1 (en) * | 2020-10-30 | 2021-11-02 | Capital One Services, Llc | Call center web-based authentication using a contactless card |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6477648B1 (en) * | 1997-03-23 | 2002-11-05 | Novell, Inc. | Trusted workstation in a networked client/server computing system |
| JP3714119B2 (ja) * | 2000-06-13 | 2005-11-09 | 日本電気株式会社 | Biosプリブート環境を利用したユーザ認証型ネットワークosブート方法及びシステム |
| US20030208689A1 (en) * | 2000-06-16 | 2003-11-06 | Garza Joel De La | Remote computer forensic evidence collection system and process |
| KR100506528B1 (ko) * | 2003-08-12 | 2005-08-03 | 삼성전자주식회사 | 전자 서명을 이용한 모바일 기기 제어 시스템 및 방법 |
| US20050154889A1 (en) * | 2004-01-08 | 2005-07-14 | International Business Machines Corporation | Method and system for a flexible lightweight public-key-based mechanism for the GSS protocol |
| US7500098B2 (en) * | 2004-03-19 | 2009-03-03 | Nokia Corporation | Secure mode controlled memory |
| US7549048B2 (en) * | 2004-03-19 | 2009-06-16 | Microsoft Corporation | Efficient and secure authentication of computing systems |
| US7210166B2 (en) * | 2004-10-16 | 2007-04-24 | Lenovo (Singapore) Pte. Ltd. | Method and system for secure, one-time password override during password-protected system boot |
| US20060179293A1 (en) * | 2005-02-07 | 2006-08-10 | Dell Products L.P. | Method to boot computer system only to a secure network |
| CN1703004B (zh) * | 2005-02-28 | 2010-08-25 | 联想(北京)有限公司 | 一种实现网络接入认证的方法 |
| US8220042B2 (en) * | 2005-09-12 | 2012-07-10 | Microsoft Corporation | Creating secure interactive connections with remote resources |
| US9262602B2 (en) * | 2006-09-29 | 2016-02-16 | Hewlett-Packard Development Company, L.P. | Extensible bios interface to a preboot authentication module |
| US7765407B2 (en) * | 2006-12-18 | 2010-07-27 | Lenovo (Singapore) Pte. Ltd. | Method and apparatus for providing centralized user authorization to allow secure sign-on to a computer system |
-
2007
- 2007-07-02 CN CN2007101182223A patent/CN101340281B/zh active Active
-
2008
- 2008-06-27 US US12/163,215 patent/US8281364B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1527208A (zh) * | 2003-09-25 | 2004-09-08 | 联想(北京)有限公司 | 基于身份认证的计算机安全及加密的实现方法和装置 |
Non-Patent Citations (2)
| Title |
|---|
| JP特开2004-240637A 2004.08.26 |
| JP特开2005-293116A 2005.10.20 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101340281A (zh) | 2009-01-07 |
| US20090013393A1 (en) | 2009-01-08 |
| US8281364B2 (en) | 2012-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101340281B (zh) | 针对在网络上进行安全登录输入的方法和*** | |
| Wazid et al. | Mobile banking: evolution and threats: malware threats and security solutions | |
| Dai et al. | SBLWT: A secure blockchain lightweight wallet based on trustzone | |
| US8370899B2 (en) | Disposable browser for commercial banking | |
| KR101878149B1 (ko) | 패스워드의 보안 입력 및 처리 장치, 시스템 및 방법 | |
| US8843757B2 (en) | One time PIN generation | |
| CN112074836A (zh) | 通过可信执行环境保护数据的设备和方法 | |
| WO2016110101A1 (zh) | 一种指纹认证方法、装置、智能终端和计算机存储介质 | |
| US20080134314A1 (en) | Automated security privilege setting for remote system users | |
| CN105447406A (zh) | 一种用于访问存储空间的方法与装置 | |
| CN113841145A (zh) | 抑制集成、隔离应用中的勒索软件 | |
| US20120030475A1 (en) | Machine-machine authentication method and human-machine authentication method for cloud computing | |
| US20070288689A1 (en) | USB apparatus and control method therein | |
| WO2008151209A1 (en) | Methods and systems for the authentication of a user | |
| CN108335105B (zh) | 数据处理方法及相关设备 | |
| CN103685277A (zh) | 一种浏览器访问网页安全保护***及方法 | |
| Yoo et al. | Case study of the vulnerability of OTP implemented in internet banking systems of South Korea | |
| WO2017147890A1 (zh) | 一种验证码短信显示方法及移动终端 | |
| US20100257359A1 (en) | Method of and apparatus for protecting private data entry within secure web sessions | |
| US20130104220A1 (en) | System and method for implementing a secure USB application device | |
| CN102195940A (zh) | 一种基于虚拟机技术安全输入和提交数据的方法和*** | |
| TW201108696A (en) | Account identification system, method and peripheral device of performing function thereof | |
| Aravindhan et al. | One time password: A survey | |
| CN110765470A (zh) | 安全键盘实现方法、装置、计算机设备及存储介质 | |
| CN112987942A (zh) | 键盘输入信息的方法、装置、***、电子设备和存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |