[发明专利]一种抗肩窥的智能手机上安全口令输入方法

说明书

本发明涉及一种抗肩窥的智能手机上安全口令输入方法，属于信息安全领域。该方法设计了口令输入界面和口令输入方法，支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入。方法使用人们熟悉的12生肖作为输入标记，用户使用随机指定的生肖作为标记模糊输入口令，攻击者无法通过肩窥获取正确口令，达到有效抵抗肩窥攻击的目的。本发明适用于日常中智能手机的各类口令输入。

技术领域

本发明属于信息安全领域，具体涉及一种抗肩窥的智能手机上安全口令输入方法。

背景技术

口令，俗称“密码”，是一种广泛应用的身份认证机制。当前，智能手机和无线网络(3G/4G，WIFI等)的普及率很高，用户可以通过智能手机连接互联网，并使用各种互联网服务，包括购物、理财、出行等。因为口令认证具有成本低、更换方便等特点，在智能手机中，口令认证依然是最常用的用户身份认证手段之一。由于智能手机方便携带，人们使用智能手机的环境非常多样，这其中包括了很多公共场合，比如公共交通工具上，会议室里等。在这些公共场合在智能手机上使用口令进行身份认证时，用户口令输入过程很容易被他人偷窥到，甚至被偷拍。这种用户口令输入过程被他人偷窥或者偷拍，而导致口令泄漏的情况，称为对用户口令的肩窥攻击。

传统的口令输入机制难以防止肩窥攻击，即使攻击者通过偷窥或者偷拍的方式只获得了用户输入口令过程中手指的轨迹，通过和智能手机软键盘的对比，依然很容易分析出用户口令。为了保护用户信息的安全，构建抗肩窥的智能手机上安全口令输入机制，具有很强的现实意义和重要的应用价值。

文献[Volker Roth，Kai Richter，Rene Freidinger.“A PIN-Entry MethodResilient Against Shoulder Surfing”，Proceedings of the 11th ACM Conference onComputer and Communications Security，2004.]和[Taekyoung Kwon，Jin Hong.“Analysis and Improvement of a PIN-Entry Method Resilient to Shoulder-Surfingand Recording Attacks”，IEEE Transactions on Information Forensics andSecurity，10(2)：278-292，2015]提出了两种抗肩窥的口令输入方法，然而这两种方法都只能支持纯数字的口令输入，无法输入含有字母或者特殊字符的口令，严重限制了其适用范围。中国专利20051014303.7提出了利用随机键盘映射的方法进行防偷窥的口令输入方法。在用户输入时，该方法通过生成随机键盘，实现实体键盘按键的随机映射，用户通过随机键盘查找随机映射关系，在真实的键盘上进行口令输入。然而如果攻击者能够同时偷窥用户物理键盘和随机键盘，该方法就会导致用户口令泄漏；此外，该方法需要使用真实的物理键盘进行口令输入，并且不适用于智能手机。

发明内容

本发明针对上述抗肩窥口令输入方法适用范围小或不适用于智能手机的问题，提供了一种抗肩窥的智能手机上口令输入方法。本发明支持含有数字、大小写字母和特殊字符中一种或多种符号的口令输入，适用于智能手机，并在用户口令输入过程被偷窥或者偷拍的情况下，依然确保用户口令的安全，有效降低用户口令在输入过程中被肩窥泄漏的概率。

本发明的目的就是为了解决抗肩窥口令输入方法适用范围小或不适用于智能手机的问题，提供了一种抗肩窥的智能手机上口令输入方法。本发明采用了间接输入口令的方法，用户输入口令时使用随机显示的生肖名称作为标记，将要输入的字符同该标记相关联后模糊输入，攻击者无法得知用户使用的标记，从而不能获取用户真正的输入内容，因而能有效地抵抗肩窥攻击。本发明的目的通过以下技术方案来实现。