一種防止針對動態密碼的釣魚攻擊的方法
2024-03-30 00:54:05
專利名稱:一種防止針對動態密碼的釣魚攻擊的方法
技術領域:
本發明涉及一種網絡安全技術,具體涉及一種防止釣魚攻擊的方法,特別防止針對動態密碼的防釣魚攻擊的方法。
背景技術:
動態密碼是一種一次性密碼,每個密碼只能使用一次。動態密碼可以隨時間、次數和挑戰信息而變化。動態密碼與原來的靜態密碼相結合,構成雙因素進行認證,廣泛適用於各類信息系統。網絡釣魚是目前非常常見的攻擊手段,主要是指黑客通過郵件、簡訊等手段誘使客戶訪問假網站(釣魚網站),並誘使客戶在假網站上輸入帳戶名、密碼、動態密碼等,從而達到竊取帳戶和密碼的目的。對於動態密碼來說,由於存在時間窗口,超過時間窗口動態密碼就失效了。這就要求黑客必須儘快使用竊取的動態密碼。銀行為了提高安全性,往往要求在登錄時使用一次動態密碼,而在交易時,再次輸入一次動態密碼。黑客要竊取客戶的資金,就必須竊取到2 個有效的動態密碼。這在一定程度上增加了黑客攻擊的難度,也就是說時間動態密碼是有一定的防釣魚攻擊的能力。但對於銀行應用,上述能力完全不夠。目前已經出現了一種程序化、自動化的攻擊方式。參見
圖1,首先,黑客程序根據客戶通過釣魚網站輸入的帳號、靜態密碼和動態密碼,獲取登錄用的動態密碼。接著,黑客程序將會立即用釣到的密碼登錄網絡銀行,在獲得認證後,登錄銀行帳號,並篡改交易信息,同時提示客戶密碼不對。客戶往往以為剛剛密碼輸入錯誤,會再次輸入帳號、靜態密碼以及動態密碼,黑客程序將會釣到客戶輸入的第二個動態密碼,這樣,連續2個有效的動態密碼被釣到。最後,黑客程序以釣到的第二個動態密碼作為交易密碼,對認證伺服器發出經過篡改過交易信息的轉帳請求,認證伺服器在對動態密碼認證通過後,將完成交易,從而黑客實現資金的竊取。由此可見,釣魚攻擊方式對網絡銀行的安全性造成了致命的影響。程序化和自動化的攻擊方式,很可能造成大面積的危害。因此,如何有效地防止釣魚攻擊,保護網絡銀行的交易,是本領域亟需解決的技術問題。
發明內容
本發明針對現有網絡銀行易受釣魚攻擊的問題,而提供一種防止針對動態密碼的釣魚攻擊的方法。該方法可以有效的防止黑客的釣魚攻擊。為了達到上述目的,本發明採用如下技術方案一種防止針對動態密碼的釣魚攻擊的方法,所述方法包括如下步驟
(1)將用戶計算機的硬體信息通過加密運算生成一個唯一的計算機ID ;(2)在認證伺服器上建立對用戶計算機ID與用戶動態令牌序列號對應關係進行認證的認證策略;(3)用戶進行動態密碼認證時,所用計算機ID與動態密碼一起被送到認證伺服器;(4)認證伺服器根據令牌序列號與計算機ID的對應關係確定認證策略,並以確定的認證策略進行認證;(5)若認證通過,認證伺服器將進行動態密碼認證。在本發明的一實施例中,所述認證策略包括對應關係認證策略、對應關係建立策略、超出對應關係認證及更新策略,所述對應關係建立策略建立動態令牌序列號與相應計算機ID相對應的關係,所述對應關係認證策略根據建立的動態令牌序列號與計算機ID的對應關係對交易信息中動態令牌序列號與計算機ID的對應關係進行認證,所述超出對應關係認證及更新策略對超出認證通過範圍的對應關係進行認證,在認證通過後更新相應的動態令牌序列號與計算機ID的對應關係。進一步的,所述動態令牌序列號與計算機ID的對應關係為1對多、多對多或1對 1。進一步的,所述超出對應關係認證及更新策略通過輔助認證方法對超出認證通過範圍的對應關係進行認證。本發明通過將包含計算機硬體信息的ID與動態令牌序列號建立對應關係,並以此進行認證,從而能夠有效的防止黑客針對動態密碼的釣魚攻擊,極大的提高網絡交易的安全性。本發明可終結現有黑客的程序化和自動化的攻擊方式,避免造成大面積的危害。
以下結合附圖和具體實施方式
來進一步說明本發明。圖1為釣魚攻擊的流程示意圖。圖2為本發明的原理圖。圖3為本發明實施示意圖。
具體實施例方式為了使本發明實現的技術手段、創作特徵、達成目的與功效易於明白了解,下面結合具體圖示,進一步闡述本發明。針對現有釣魚攻擊的原理,本發明提供的防止針對動態密碼的釣魚攻擊的方法, 其包括如下步驟(參見圖2)(1)將用戶計算機的硬體信息(如CPU ID、MAC地址等固有信息)通過加密運算生成一個唯一的計算機ID,以此作為該計算唯一的識別信息。(2)在認證伺服器上建立認證策略,該認證策略用來管理哪些令牌序列號與哪些計算機ID相對應,以及對應關係的更新方法,並建立超出的對應關系所採取的認證方法。(3)用戶進行動態密碼認證時,所用計算機ID與動態密碼一起被送到認證服務ο(4)認證伺服器根據令牌序列號與計算機ID的對應關係確定認證策略,並以確定的認證策略對接收的令牌序列號與計算機ID關係進行認證。(5)若認證通過,認證伺服器將進行動態密碼認證;若失敗,將通過郵件或信息方式通知客戶進行確認,或直接終止交易。在上述方案的基礎上,本發明如下的進一步改進本發明基於方案,設計一種動態密碼輸入保護控制項,其用於輸入動態令牌產生的動態密碼。再者,該保護控制項在安裝過程中,根據用戶計算機的硬體信息,如CPUID、MAC地址等固有信息,按照加密算法,得到一個唯一的計算機ID。從而使得,用戶在通過該控制項輸入動態密碼時,能夠將所用計算機ID與動態密碼一起被送到認證伺服器。本發明所建立的認證策略包括對應關係建立策略,其用於建立動態令牌序列號與相應計算機ID相對應的關係, 同時可規定該對應關係的時間性。對應關係認證策略,根據建立的動態令牌序列號與計算機ID的對應關係對交易信息中動態令牌序列號與計算機ID的對應關係進行認證。超出對應關係認證及更新策略,其對超出認證通過範圍的對應關係進行認證,在認證通過後更新相應的動態令牌序列號與計算機ID的對應關係。基於上述方案,本發明的具體實施方式
可以分為3個部分,分別為控制項的下載和安裝、動態口令認證以及認證策略的管理。參見圖3,一、控制項的下載和安裝1、用戶如果沒有安裝控制項,瀏覽器將自動提醒安裝,沒有安裝控制項,將不能輸入動態密碼;2、用戶下載安全控制項;3、用戶進行安全控制項安裝。二、動態密碼認證1、用戶訪問動態密碼提交頁面,安全控制項自動運行,根據用戶計算機的硬體信息生成計算機ID ;2、用戶輸入動態密碼和其他信息,並點擊提交;3、控制項將動態密碼和計算機ID提交給Web伺服器;4、Web伺服器在進行自身的認證(如靜態密碼、附加碼等)並通過後,將計算機ID 和動態密碼以及用戶名或者令牌序列號提交認證系統(即認證伺服器);5、認證系統根據令牌序列號與計算機ID的對應關係確定認證策略,並通過該認證策略對計算機ID與動態令牌序列號的對應關係進行認證。如果認證通過,則說明該令牌可以在該ID對應的計算機上使用,而且該計算機ID可以使用該令牌,則直接跳轉到步驟 (9)進行動態密碼認證。6、若策略認證沒有通過,認證系統將進行超出對應關係認證,即通過其他的通道認證,包括簡訊確認或郵件確認。
7、用戶根據收到的簡訊確認碼或郵件確認碼,輸入瀏覽器進行確認碼認證。8、如果確認碼認證通過,進行下一步操作,如果認證失敗則退出認證。9、進行動態密碼認證。並在認證系統上記錄計算機ID和令牌序列號的對應關係, 從而實現對應關係的更新。三、認證策略的管理1、對應關係認證策略計算機ID與令牌序列號之間存在的對應關係,即一個令牌可以對應幾個計算機ID,或者一個ID確定的計算機上可以使用幾個令牌。這個對應關係根據安全的需求確定,最嚴格的方式為1對1的關係,即一個令牌只能在一個計算機上使用, 而且一個計算機上只能使用一個令牌。也可以是多對多的關係,如2對2,2對3等。2、對應關係建立策略對應關係的建立,按照策略進行。該策略可以比較寬鬆,如不需要輔助認證;也可以比較嚴格,如需要簡訊或郵件確認碼認證。3、超出對應關係認證及更新策略超出對應關係的認證策略可以靈活設定。超出對應關係的認證依據該策略進行,如超出對應關係將導致認證失敗,或者超出對應關係需要其他輔助認證。超出對應關係的成功認證可以導致對應關係更新。由上述實施過程可知,即使黑客通過釣魚攻擊方式獲得客戶的動態密碼,由於黑客實施釣魚工具的計算機ID與用戶的計算機ID肯定是不一致的,其與客戶動態令牌序列號之間的對應關係肯定是無法獲得認證的,即使其能夠釣到客戶的動態密碼,也無法獲得認證伺服器的認證,從而無法竊取客戶的資金。以上顯示和描述了本發明的基本原理、主要特徵和本發明的優點。本行業的技術人員應該了解,本發明不受上述實施例的限制,上述實施例和說明書中描述的只是說明本發明的原理,在不脫離本發明精神和範圍的前提下,本發明還會有各種變化和改進,這些變化和改進都落入要求保護的本發明範圍內。本發明要求保護範圍由所附的權利要求書及其等效物界定。
權利要求
1.一種防止針對動態密碼的釣魚攻擊的方法,其特徵在於,所述方法包括如下步驟(1)將用戶計算機的硬體信息通過加密運算生成一個唯一的計算機ID;(2)在認證伺服器上建立對用戶計算機ID與用戶動態令牌序列號對應關係進行認證的認證策略;(3)用戶進行動態密碼認證時,所用計算機ID與動態密碼一起被送到認證伺服器;(4)認證伺服器根據令牌序列號與計算機ID的對應關係確定認證策略,並以確定的認證策略進行認證;(5)若認證通過,認證伺服器將進行動態密碼認證。
2.根據權利要求1所述的一種防止針對動態密碼的釣魚攻擊的方法,其特徵在於,所述認證策略包括對應關係認證策略、對應關係建立策略、超出對應關係認證及更新策略,所述對應關係建立策略建立動態令牌序列號與相應計算機ID相對應的關係,所述對應關係認證策略根據建立的動態令牌序列號與計算機ID的對應關係對交易信息中動態令牌序列號與計算機ID的對應關係進行認證,所述超出對應關係認證及更新策略對超出認證通過範圍的對應關係進行認證,在認證通過後更新相應的動態令牌序列號與計算機ID的對應關係。
3.根據權利要求2所述的一種防止針對動態密碼的釣魚攻擊的方法,其特徵在於,所述動態令牌序列號與計算機ID的對應關係為1對多、多對多或1對1。
4.根據權利要求2所述的一種防止針對動態密碼的釣魚攻擊的方法,其特徵在於,所述超出對應關係認證及更新策略通過輔助認證方法對超出認證通過範圍的對應關係進行認證。
全文摘要
本發明公開了一種防止針對動態密碼的釣魚攻擊的方法,該方法首先根據計算機的硬體信息得到一個唯一的計算機ID;在認證伺服器建立上建立對應認證策略,用戶進行動態密碼認證時,該計算機ID與動態密碼一起被送到認證伺服器,認證伺服器根據認證策略對計算機ID與動態令牌序列號的對應關係進行認證。本發明能夠有效的防止黑客針對動態密碼的釣魚攻擊,極大的提高網絡交易的安全性。
文檔編號H04L9/32GK102307181SQ20111010649
公開日2012年1月4日 申請日期2011年4月27日 優先權日2011年4月27日
發明者楊波, 胡永剛 申請人:上海動聯信息技術有限公司