[发明专利]一种实现对PIN码进行安全保护的系统及方法

说明书

技术领域

本发明涉及网络安全认证处理技术领域，特别是涉及一种实现对PIN码进行安全保护的系统及方法。

背景技术

随着我国网上银行的迅速发展，各种以窃取资金为目的的攻击技术和手段层出不穷、攻击手法花样翻新，对网上交易安全构成严重威胁。

目前，我国商业银行的网上银行在安全认证方面多采用数字证书，数字证书的载体目前有USB KEY、芯片卡等，比如：申请号为200410028723.9(专利名为：对网上银行数据进行加密、认证的装置和方法)的专利申请公开了一种利用USB KEY数字证书进行网上银行安全认证的装置和方法，如图1所示。这种认证方法将客户的密钥放在USB KEY的芯片加密装置中，对数据的加密通过USB KEY完成，因此计算机中的木马等非法软件无法盗取到客户密钥，提高了网络认证的安全性。

但是，目前对于USB KEY的PIN码一般都采用静态密码的方式，PIN码相当于是访问USB KEY的钥匙，因此，PIN码还是存在被木马等非法软件盗取的可能，从而使得USB KEY本身的安全性受到挑战。

对于USB KEY用户来说，PIN码验证是保护客户USB KEY使用的关键，确保客户遗失USB KEY后不被他人直接使用，目前PIN码存在安全风险，具体分为3个方面：

1、客户键盘输入方面：

目前USB KEY的PIN码输入过程中均未采用保护机制，客户的PIN码在输入过程中存在被黑客窃取的可能性。

2、客户端内存方面：

目前USB KEY的PIN码输入后在内存中以明文方式记录，未作加密保护，USB KEY的PIN码在客户端内存中存在被黑客窃取的可能性。

3、接口访问方面：

目前一般采用明文的方式调用USB KEY的访问接口，将PIN码以明文方式送入USB KEY中验证，客户的PIN码在客户端各层接口传输过程中明文传输，存在被黑客窃取的可能性。

发明内容

(一)要解决的技术问题

有鉴于此，本发明的主要目的在于提供一种实现对PIN码进行安全保护的系统及方法，以克服目前USB KEY的PIN码认证过程中采用明文方式的缺陷，解决PIN码在键盘输入、客户端内存存放及接口访问等方面存在的安全隐患问题，实现对PIN码的有效保护，进一步提高USB KEY安全性。

(二)技术方案

为达到上述目的，本发明提供了一种实现对PIN码进行安全保护的系统，该PIN码为USB KEY的PIN码，该系统包括：

安全应用程序装置，用于运行与网上银行安全相关的应用程序、安全控件及签名控件，并将需要进行加密、签名的数据发送给完全自我保护装置；

完全自我保护装置，用于实现安全应用程序装置与USB KEY硬件装置以及安全装置与USB KEY硬件装置之间的数据通信；

USB KEY硬件装置，用于在接收到完全自我保护装置发送的需要进行加密、签名的数据后产生一随机数，然后将产生的随机数通过完全自我保护装置发送给安全装置，并对接收自安全装置的摘要处理结果进行验证，在验证通过后对需要进行加密、签名的数据进行加密和签名，然后通过完全自我保护装置返回给安全应用程序装置；以及

安全装置，用于对客户输入的PIN码和接收自USB KEY硬件装置的随机数进行摘要处理，得到摘要处理结果，并将该摘要处理结果通过完全自我保护装置发送给USB KEY硬件装置；

其中，该安全装置包括微软安全模块，微软安全模块是实现键盘输入到调用所述微软安全模块的装置之间通信安全的单元。

上述方案中，所述完全自我保护装置实现安全应用程序装置与USBKEY硬件装置以及安全装置与USB KEY硬件装置之间的数据通信，是将接收自安全应用程序装置的需要进行加密、签名的数据发送给USB KEY硬件装置，将接收自USB KEY硬件装置的随机数发送给安全装置，并将接收自安全装置的摘要处理结果发送给USB KEY硬件装置。

上述方案中，所述USB KEY硬件装置对接收自安全装置的摘要处理结果进行验证，是USB KEY硬件装置对接收自安全装置的PIN码和自身产生的用于发送给安全装置的随机数进行摘要处理，得到摘要处理结果，并判断该摘要处理结果与接收自安全装置的摘要处理结果是否一致，如果一致，则客户输入的PIN码正确，验证通过；否则，客户输入的PIN码不正确，验证失败。