[发明专利]一种密码输入方法、装置和系统

说明书

技术领域

本发明涉及信息安全技术领域，更具体地，涉及一种密码输入方法、装 置和系统。

背景技术

随着网络应用的不断普及，人们经常需要访问各种各样的网站，如电子 购物、收发电子邮件(Email)、网上聊天、网络游戏等。在登录网站之前， 通常都需要用户输入自己的用户名和密码。然而，目前网上存在着各种病毒， 可以在用户输入密码时偷偷记录下用户通过键盘所输入的字符，从而盗取用 户的密码，这就给用户带来很大的风险。

在现有技术中，一般采用软键盘来防止键盘输入被病毒程序截获。具体 包括：在需要输入密码时，应用程序提供一个图形化的键盘界面，用户使用 鼠标点击其中图形化的字符按钮，代替键盘的敲击将密码字符输入给应用程 序。在这种技术中，当用户点击字符图片按钮时，计算机系统只是接收到了 鼠标点击的位置信息，而不是真正的字符，因而即使输入被病毒程序截获， 病毒也无法知道输入的到底是哪个字符，只有应用程序才知道各图形字符的 位置信息与字符之间的对应关系。

软键盘的使用在某种程度上能够阻止键盘记录器等病毒对键盘输入的 窃听，但是一些病毒程序仍然可以采用其它方法盗取输入的密码，比如：

(1)屏幕快照：

例如，2004年江民反病毒中心截获“证券大盗”病毒。该病毒作者已 考虑到软键盘输入密码保护技术。病毒在运行后，会通过屏幕快照将用户的 登陆界面连续保存为两张黑白图片，然后通过自带的发信模块将图片发向指 定的邮件接受者。黑客通过对照图片中鼠标的点击位置，就很有可能破译出 用户的登陆账号和密码，从而突破软键盘密码保护技术，严重威胁股民网上 证券交易安全。

(2)直接捕获软键盘输入后的字符：

软键盘只是模拟了键盘的输入，经过应用程序的转换处理后，仍然会向 输入密码的文本框中提供真实的字符。病毒可以通过网络浏览器的COM接 口获取密码输入文本框中的内容，或者直接拦截浏览器发送的超文本传输协 议(Http)报文，从中也可以获得用户输入的密码信息。

由此可见，尽管现在已经出现了一些防止密码被非法截取的技术，随着 病毒技术的进步，目前的密码输入安全性仍然有待提高。

发明内容

本发明实施例提出一种密码输入方法，以提高密码输入安全性。

本发明实施例还提出一种密码输入系统，以提高密码输入安全性。

本发明实施例还提出一种键盘输入装置，以提高密码输入安全性。

本发明实施例的技术方案如下：

一种密码输入方法，在密码认证方和密码输入方之间约定散列Hash函 数，该方法还包括：

密码认证方向密码输入方提供动态密钥；

密码输入方根据用户密码、所述动态密钥以及该约定Hash函数生成加密 值，并将该加密值发送到密码认证方进行认证；

密码认证方根据自身保存的用户密码、所述动态密钥以及该约定Hash函数 生成加密值，并当密码认证方生成的加密值与密码输入方发送来的加密值相同 时，判定密码输入方提供的用户密码正确。

所述密码认证方向密码输入方提供动态密钥包括：

密码认证方以图片或字符的形式向密码输入方提供所述动态密钥。

所述密码输入方根据用户密码、动态密钥以及该约定Hash函数生成加密值 为：密码输入方根据用户密码、所述动态密钥以及该约定Hash函数生成用于消 息认证的密钥散列HMAC值；

所述密码认证方根据自身保存的用户密码、所述动态密钥以及该约定Hash 函数生成加密值为：密码认证方根据自身保存的用户密码、所述动态密钥以及 该约定Hash函数生成HMAC值；

当密码认证方生成的该HMAC值与密码输入方发送来的HMAC值相同时， 判定密码输入方提供的用户密码正确。

进一步建立一个字节所表示的数值与键盘上可见字符之间的映射关系；

所述密码输入方在生成HMAC值后，进一步将所述HMAC值根据该映射 关系转换成可见字符序列，并将所述可见字符序列发送到密码认证方进行认证。

一种密码输入系统，包括密码认证方和密码输入方，其中在密码认证方和 密码输入方之间约定散列Hash函数；