一種基於移動終端防釣魚攻擊的方法和系統的製作方法

2023-04-29 22:46:51 1

專利名稱：一種基於移動終端防釣魚攻擊的方法和系統的製作方法
技術領域：
本發明涉及無線通信、網絡通信與密碼校驗以及網際網路安全相結合的技術，具體涉及一種基於移動可信終端的防止釣魚攻擊的方法和系統。
背景技術：
隨著網際網路的普及以及3G移動網際網路的快速發展，越來越多的應用系統在公網上運行，網絡安全問題日益突出，一種普遍的犯罪攻擊是「釣魚」，其試圖騙取用戶向釣魚攻擊者提供個人信息，釣魚攻擊者使用所獲取的網際網路用戶信息進行犯罪活動。目前大多數應用系統採用傳統用戶名加密碼的認證方式，這種認證方式容易被釣魚攻擊，採用動態密碼方式，同樣也存在被釣魚攻擊的問題。目前已進行多種嘗試以防止釣魚攻擊。有採用專門的硬體方案、一次性密碼、伺服器端證書、客戶端瀏覽器擴展、客戶端本地黑名單方式，以及採取雙向認證等方式互相鑑別，仍然很難防止被釣魚攻擊。中國專利申請CN201010587753.9公開了一種防止網絡釣魚的設備和系統，包括以下步驟(一)業務系統客戶端訪問業務系統，請求進行身份認證和伺服器驗證；(二)產生伺服器驗證碼；(三)伺服器驗證碼返回業務系統；(四)驗證碼返回到用戶的業務系統客戶端；(五)用戶輸入業務系統客戶端令牌上顯示的動態密碼並提交到業務系統；(六) 驗證動態密碼的正確性；(七)驗證結果返回業務系統。設備由實時時鐘、電源、液晶屏、單片微型計算機、注入接口構成。本發明利用動態密碼技術，通過帶外通道實現在設備上顯示提示信息與伺服器上提供的信息進行比對，從而發現釣魚伺服器。但仍存在很大的安全隱
串
)Qi、O

發明內容
為了克服現有技術的不足，本發明的目的之一是提供一種可有效解決釣魚問題的認證方法，該方法中認證伺服器端根據應用伺服器端與移動終端所傳輸信息的雙線鏈路數據並結合移動終端以及應用伺服器登錄位置信息進行驗證，從而解決釣魚攻擊問題。本發明的另一目的是提供實現上述方法的系統。本發明提供的基於移動終端防釣魚攻擊的方法，包括步驟(1)數據初始化用戶向應用服務系統發起綁定請求，通過正常身份認證，等待客戶端向應用服務系統發起初始化請求，認證伺服器根據客戶端攜帶的相關帳號信息通過算法為所述用戶生成ID和私有密鑰，和初始化位置信息等保存於相應的資料庫伺服器的同時，並通過應用伺服器分發到用戶的客戶端；( 帳號綁定用戶在客戶端向應用伺服器發起綁定請求，並在客戶端建立用戶相關資料庫，存入ID、私有密鑰以及相關數據信息，經認證伺服器認證通過後，綁定成功；C3)認證應用用戶向應用伺服器發起第一鏈路登錄申請並等待第二鏈路終端認證結果，同時客戶端通過應用伺服器向認證伺服器發起第二鏈路終端認證請求，得到終端認證結果返回用戶；所述客戶端安裝於移動終端。
進一步，所述客戶端向認證伺服器發起的第二鏈路終端認證請求包括動態密碼認證和位置信息認證。進一步，所述客戶端向認證伺服器發起的第二鏈路終端認證請求還包括終端可信認證。進一步，所述認證伺服器按照對稱加密算法或者雜湊算法生成私有密鑰，所述移動終端使用每個客戶端的私有密鑰作為客戶身份要素之一、採用時間以及事件作為同步因子生成動態密碼。保證移動鏈路傳輸數據的隨機性、一次性有效和時效性。進一步，所述密鑰分發數據傳輸採用非對稱加密算法。進一步，所述移動終端為手機、掌上電腦或平板電腦。本發明提供的實現上述基於移動終端防釣魚攻擊方法的系統，包括移動終端、應用伺服器端和認證伺服器端，所述移動終端分別與應用伺服器端、認證伺服器端之間無線通訊連接，所述應用伺服器端與認證伺服器端通過網際網路通訊連接。進一步，所述移動終端具有動態密碼生成單元，位置服務單元，數據加密單元和終端可信任單元；其中動態密碼生成單元根據當前時間或事件次數，通過客戶端所存儲的密鑰採用對稱加密算法或者哈希算法計算出動態密碼；位置服務單元比對歷史資料庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息，將檢測異常反饋給用戶；；數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成動態密碼以及位置信息用客戶端所存放的公鑰進行加密，採用非對稱加密算法保證數據傳輸安全，然後上傳至認證伺服器端進行身份鑑別。進一步，所述認證伺服器端具有數據解密模塊，密碼校驗模塊，位置校驗模塊和可信任終端校驗模塊；其中數據解密模塊採用非對稱算法解出移動終端認證數據；密碼校驗模塊根據伺服器端所存儲相對的密鑰、時間或者事件，採用時間或事件窗口策略校驗客戶端上行的動態密碼；位置校驗模塊比對歷史資料庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息，將檢測異常反饋給用戶；可信任終端校驗模塊校驗移動終端可信度。可信任終端校驗模塊，綜合判斷移動終端上傳移動終端的串號、IMEI號、以及手機號等綜合因素，來確保第二鏈路所傳認證數據是從確定的移動終端傳輸過來。進一步，所述應用伺服器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日誌模塊、審計模塊、資料庫模塊、位置比對模塊和行為分析模塊，數據解密模塊採用非對稱算法解出移動終端認證數據；密碼校驗模塊根據伺服器端所存儲相對的密鑰、時間或者事件，採用一定時間、 事件窗口策略，校驗客戶端上行的動態密碼；訪問控制模塊識別已使用過的動態密碼，保證已經使用過的動態密碼不會被再次使用，，並且控制異常登錄認證行為；日誌模塊接收來自認證服務日誌，按照日誌的級別將日誌寫入資料庫或者日誌文件中；資料庫模塊用來存儲密鑰、相關操作和行為日誌；位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析；行為分析模塊對用戶各種行為進行記錄和分析。進一步，所述系統還包括管理伺服器，管理伺服器與移動終端無線通訊連接，完成移動終端客戶的生成、刪除、凍結、解凍和信息查詢功能。本發明的有益效果在於1.本發明中客戶端作為軟體可以被安裝在用戶的各類移動終端上去，如手機、 pda、pad等，用以解決目前使用硬體客戶端的成本問題。2.本發明中認證伺服器端根據應用伺服器端與移動終端所傳輸信息的雙線鏈路數據進行驗證，以保證登陸安全性。3.本發明中軟體客戶端提供基於位置與一次性動態密碼的第二鏈路認證服務，使用每個客戶端的私有密鑰作為客戶身份要素、採用時間以及事件作為同步因子生成動態密碼。保證客戶端鏈路傳輸數據的隨機性、一次性有效和時效性。同時認證伺服器端解決了相關的同步問題。從根本上解決了釣魚攻擊問題。4.移動終端的可信任單元與認證伺服器中的可信任終端校驗模塊，綜合判斷移動終端上傳移動終端的串號、IMEI號、以及手機號等綜合因素，來確保第二鏈路所傳認證數據是從確定的移動終端傳輸過來，進一步杜絕安全隱患。5.數據傳輸時採用非對稱加密算法，保證數據鏈路的安全與傳輸的安全。


圖1.本發明系統工作原理2.本發明系統工作流程圖(步驟(1)、(2))圖3.本發明系統工作流程圖(步驟(3))
具體實施例方式本發明提供的一種基於移動終端防釣魚攻擊的方法，按照如下過程實現的(1)數據初始化首先用戶向應用服務系統發起綁定請求，正常身份認證通過後， 等待移動終端發起初始化請求，初始化時移動終端攜帶相關的帳號信息，此時認證伺服器通過算法為此用戶生成一個ID和私有密鑰，伺服器端與此用戶相關的信息，並且存到相應的資料庫伺服器，通過應用伺服器分發到通過安全渠道分發到用戶的客戶端。( 帳號綁定此時用戶在移動終端發起綁定請求，進行第一次綁定認證，並且建立用戶的相關資料庫，存入ID、私有密鑰以及相關位置信息，認證通過後，綁定成功。(3)認證應用用戶在登錄應用伺服器時，需要先做第一次身份鑑別，在第一次鑑別(第一鏈路)通過，讓用戶進行二次驗證(第二鏈路)，二次驗證是基於可信任移動終端，用戶需要使用基於移動終端的應用軟體，應用軟體內置密碼算法並且獲取用戶的位置信息，通過無線網絡上傳至後臺認證伺服器，認證伺服器通過第二鏈路傳輸過來的認證信息進行鑑別，並回傳鑑別結果。二次驗證通過後用戶即可安全登錄。
所述客戶端向認證伺服器發起的第二鏈路終端認證請求包括動態密碼認證、位置信息認證，以及終端可信認證。基於移動可信終端防釣魚方法的系統，包括移動終端、應用伺服器端和認證系統， 所述移動終端分別與應用伺服器端、認證伺服器端之間無線通訊連接，所述應用伺服器端與認證伺服器端通過網際網路通訊連接。所述移動終端具有動態密碼生成單元，根據當前時間或者事件次數、並且通過客戶端所存儲的密鑰採用對稱加密算法或者哈希算法計算出動態密碼；位置服務單元通過運營商的無線網絡(如GSM網、CDMA網)或外部定位方式獲取終端的位置信息以及移動終端的校驗信息，並將這幾個因素結合，採用非對稱加密算法，無線網絡通訊上傳至認證伺服器端，數據加密單元。還具有終端可信任單元。所述動態密碼生成單元是運行於移動終端設備上的應用程式，內置密碼生成算法和數據，每次認證時，用戶需運行此程序，生成動態密碼，動態密碼生成模塊可適用於多種移動應用平臺。password = OTP (seed)，password為動態密碼，OTP為生成密碼採用的加密算法，對稱加密算法或者雜湊算法，seed 存在客戶端的密鑰與時間同步因子抑或時間同步因子構成序列，保證生成動態密碼數據的隨機性。所述位置服務單元是運行於移動終端設備上的應用程式，藉助於運營商提供的通道與相關的API接口，獲取終端所在位置，並且上傳至伺服器。所述數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成動態密碼、以及位置信息等用客戶端所存放的公鑰進行加密，採用非對稱加密算法，來保證數據傳輸安全，然後上傳至伺服器端進行身份鑑別。認證伺服器端具有數據解密模塊採用非對稱算法解出移動終端認證數據；密碼校驗單元根據伺服器端所存儲相對的密鑰、時間或者事件，採用一定同步窗口策略，校驗客戶端上行的動態密碼；位置校驗模塊並且在歷史資料庫裡比對包括用戶登錄的常用IP分析，常用移動終端位置分析，檢測異常，並且及時反饋給使用者。還有可信任終端校驗模塊校驗移動終端可信度。應用伺服器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日誌模塊、審計模塊、資料庫模塊、位置比對模塊，行為分析模塊、可信任終端校驗模塊等。所述數據解密模塊運行於伺服器端的應用程式，根據用戶所提交的認證信息，採用相應的私鑰進行解密，解密採用高效非對稱解密算法。所述密碼驗證模塊與客戶端採用同樣的算法，以及相同的密鑰和同步因子，進行加密計算出密碼進行比對。考慮到同步因子會有誤差，採用同步窗口方式進行比對。時間方式的同步因子，採用時間窗口方式，由於移動終端時間相對比較準確，採用普通時間窗口比對方式，正負2分鐘。採用事件同步方式則採用單向遞增同步方式，兩次次數同步則動態密碼校驗通過。所述訪問控制模塊同一個密碼只能使用一次，認證控制服務提供了識別已經使用過的動態密碼的功能，保證已經使用過的動態密碼不會被再次使用，並且控制異常登錄認證行為。所述日誌模塊認證控制服務接收來自認證服務以及其他相關服務的日誌，按照日誌的級別將日誌寫入資料庫或者日誌文件中。
所述資料庫模塊用來存儲密鑰、相關操作和行為日誌。所有的用戶數據加密後存儲在資料庫中，並且需要有完善的數據安全保護功能，以及具有安全完備的資料庫管理、備份功能。所述位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析，對移動終端所提供位置信息以及應用伺服器所登錄的PC的IP位址，根據用戶經常登錄存儲的位置與IP位址等信息進行比對，一旦捕獲異常，採取相應的措施。所述行為分析模塊對用戶各種行為進行記錄，並且分析提供相應的分析結果。一旦發現異常信息，採取相應安全措施。所述可信任終端校驗模塊分析確定第二鏈路認證發起是在綁定、確定的終端上。所描述的系統還包括管理伺服器，用戶完成移動終端客戶的生成、刪除、凍結、解凍、信息查詢等功能。儘管通過參照發明的某些優選實施例，已經對本發明進行了描述，但本領域的普通技術人員應當理解，可以在形式上和細節上對其作出各種各樣的改變，而不偏離所附權利要求書所限定的本發明的精神和範圍。
權利要求
1.一種基於移動終端防釣魚攻擊的方法，其特徵在於，包括步驟(1)數據初始化用戶向應用服務系統發起綁定請求，通過正常身份認證後，等待客戶端向應用服務系統發起初始化請求，認證伺服器根據客戶端攜帶的相關帳號信息通過算法為所述用戶生成ID和私有密鑰，保存於相應的資料庫伺服器的同時，通過應用伺服器分發到用戶的客戶端；(2) 帳號綁定用戶在客戶端向應用伺服器發起綁定請求，並在客戶端建立用戶相關資料庫，存入ID、私有密鑰以及相關位置信息，經認證伺服器認證通過後，綁定成功；C3)認證應用用戶向應用伺服器發起第一鏈路登錄申請並等待第二鏈路終端認證結果，同時客戶端向認證伺服器發起第二鏈路終端認證請求，得到終端認證結果返回用戶；所述客戶端安裝於移動終端。
2.按照權利要求1所述的基於移動終端防釣魚攻擊的方法，其特徵在於，所述客戶端向認證伺服器發起的第二鏈路終端認證請求包括動態密碼認證和位置信息認證。
3.按照權利要求2所述的基於移動終端防釣魚攻擊的方法，其特徵在於，所述客戶端向認證伺服器發起的第二鏈路終端認證請求還包括終端可信認證。
4.按照權利要求2所述的基於移動終端防釣魚攻擊的方法，其特徵在於，所述認證伺服器按照對稱加密算法或雜湊算法生成私有密鑰，所述移動終端使用每個客戶端的私有密鑰作為客戶身份要素、採用時間以及事件作為同步因子生成動態密碼。
5.按照權利要求1所述的基於移動終端防釣魚攻擊的方法，其特徵在於，所述密鑰分發數據傳輸採用非對稱加密算法。
6.按照權利要求1所述的基於移動終端防釣魚攻擊的方法，其特徵在於，所述移動終端為手機、掌上電腦或平板電腦。
7.一種實現權利要求1所述基於移動終端防釣魚攻擊方法的系統，其特徵在於，包括移動終端、應用伺服器端和認證伺服器端，所述移動終端分別與應用伺服器端、認證伺服器端之間無線通訊連接，所述應用伺服器端與認證伺服器端通過網際網路通訊連接。
8.按照權利要求7所述基於移動終端防釣魚攻擊的系統，其特徵在於，所述移動終端具有動態密碼生成單元，位置服務單元，數據加密單元和終端可信任單元；其中動態密碼生成單元根據當前時間或事件次數，通過客戶端所存儲的密鑰採用對稱加密算法或哈希算法計算出動態密碼；位置服務單元通過運營商的無線網絡或外部定位方式獲取終端的位置信息；數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成一次性密碼以及位置信息用客戶端所存放的公鑰進行加密，採用非對稱加密算法保證數據傳輸安全，然後上傳至認證伺服器端進行身份鑑別。
9.按照權利要求7所述基於移動終端防釣魚攻擊的系統，其特徵在於，所述認證伺服器端具有數據解密模塊，密碼校驗模塊，位置校驗模塊和可信任終端校驗模塊；其中數據解密模塊採用非對稱算法解出移動終端認證數據；密碼校驗模塊根據伺服器端所存儲相對的密鑰、時間或者事件，採用時間窗口策略校驗客戶端上行的動態密碼；位置校驗模塊比對歷史資料庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息，將檢測異常反饋給用戶；可信任終端校驗模塊根據移動終端上行的特徵信息，校驗移動終端可信度。
10.按照權利要求7所述基於移動終端防釣魚攻擊的系統，其特徵在於，所述應用伺服器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日誌模塊、審計模塊、資料庫模塊、 位置比對模塊和行為分析模塊，數據解密模塊採用非對稱算法解出移動終端認證數據；密碼校驗模塊根據伺服器端所存儲相對的密鑰、時間或者事件，採用一定時間窗口策略，校驗客戶端上行的動態密碼；訪問控制模塊識別已使用過的動態密碼，保證已經使用過的動態密碼不會被再次使用，並且控制異常登錄認證行為；日誌模塊接收來自認證服務日誌，按照日誌的級別將日誌寫入資料庫或日誌文件中；資料庫模塊用來存儲密鑰、相關操作和行為日誌；位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析； 行為分析模塊對用戶各種行為進行記錄和分析。
11.按照權利要求7所述的基於移動終端防釣魚攻擊的系統，其特徵在於，所述系統還包括管理伺服器，管理伺服器與移動終端無線通訊連接，完成移動終端客戶的生成、刪除、 凍結、解凍和信息查詢功能。
全文摘要
本發明提供一種基於移動終端防釣魚攻擊的方法和系統，方法包括步驟(1)帳號綁定與數據初始化用戶在客戶端向應用伺服器發起綁定請求，經認證伺服器認證通過後，綁定成功；(2)認證應用用戶向應用伺服器發起登錄申請，同時客戶端向認證伺服器發起終端認證請求，經認證伺服器得到終端認證結果返回用戶；所述系統包括移動終端、應用伺服器端和認證系統。本發明中客戶端作為軟體可被安裝在用戶的各類移動終端上去，以解決目前使用硬體客戶端的成本問題。認證伺服器端根據應用伺服器端與移動終端所傳輸信息的雙線鏈路數據並結合移動終端的位置信息與終端信息進行驗證，從根本上解決了釣魚攻擊問題。
文檔編號H04W12/06GK102448061SQ201110369729
公開日2012年5月9日 申請日期2011年11月18日 優先權日2011年11月18日
發明者左飛, 李俊, 段克強, 王濤, 王黎明, 陳易 申請人:王黎明