專利名稱:一種基于移動終端防釣魚攻擊的方法和系統的制作方法
技術領域:
本發明涉及無線通信、網絡通信與密碼校驗以及互聯網安全相結合的技術,具體涉及一種基于移動可信終端的防止釣魚攻擊的方法和系統。
背景技術:
隨著互聯網的普及以及3G移動互聯網的快速發展,越來越多的應用系統在公網上運行,網絡安全問題日益突出,一種普遍的犯罪攻擊是“釣魚”,其試圖騙取用戶向釣魚攻擊者提供個人信息,釣魚攻擊者使用所獲取的因特網用戶信息進行犯罪活動。目前大多數應用系統采用傳統用戶名加密碼的認證方式,這種認證方式容易被釣魚攻擊,采用動態密碼方式,同樣也存在被釣魚攻擊的問題。目前已進行多種嘗試以防止釣魚攻擊。有采用專門的硬件方案、一次性密碼、服務器端證書、客戶端瀏覽器擴展、客戶端本地黑名單方式,以及采取雙向認證等方式互相鑒別,仍然很難防止被釣魚攻擊。中國專利申請CN201010587753.9公開了一種防止網絡釣魚的設備和系統,包括以下步驟(一)業務系統客戶端訪問業務系統,請求進行身份認證和服務器驗證;(二)產生服務器驗證碼;(三)服務器驗證碼返回業務系統;(四)驗證碼返回到用戶的業務系統客戶端;(五)用戶輸入業務系統客戶端令牌上顯示的動態密碼并提交到業務系統;(六) 驗證動態密碼的正確性;(七)驗證結果返回業務系統。設備由實時時鐘、電源、液晶屏、單片微型計算機、注入接口構成。本發明利用動態密碼技術,通過帶外通道實現在設備上顯示提示信息與服務器上提供的信息進行比對,從而發現釣魚服務器。但仍存在很大的安全隱
串
)Qi、O
發明內容
為了克服現有技術的不足,本發明的目的之一是提供一種可有效解決釣魚問題的認證方法,該方法中認證服務器端根據應用服務器端與移動終端所傳輸信息的雙線鏈路數據并結合移動終端以及應用服務器登錄位置信息進行驗證,從而解決釣魚攻擊問題。本發明的另一目的是提供實現上述方法的系統。本發明提供的基于移動終端防釣魚攻擊的方法,包括步驟(1)數據初始化用戶向應用服務系統發起綁定請求,通過正常身份認證,等待客戶端向應用服務系統發起初始化請求,認證服務器根據客戶端攜帶的相關賬號信息通過算法為所述用戶生成ID和私有密鑰,和初始化位置信息等保存于相應的數據庫服務器的同時,并通過應用服務器分發到用戶的客戶端;( 賬號綁定用戶在客戶端向應用服務器發起綁定請求,并在客戶端建立用戶相關數據庫,存入ID、私有密鑰以及相關數據信息,經認證服務器認證通過后,綁定成功;C3)認證應用用戶向應用服務器發起第一鏈路登錄申請并等待第二鏈路終端認證結果,同時客戶端通過應用服務器向認證服務器發起第二鏈路終端認證請求,得到終端認證結果返回用戶;所述客戶端安裝于移動終端。
進一步,所述客戶端向認證服務器發起的第二鏈路終端認證請求包括動態密碼認證和位置信息認證。進一步,所述客戶端向認證服務器發起的第二鏈路終端認證請求還包括終端可信認證。進一步,所述認證服務器按照對稱加密算法或者雜湊算法生成私有密鑰,所述移動終端使用每個客戶端的私有密鑰作為客戶身份要素之一、采用時間以及事件作為同步因子生成動態密碼。保證移動鏈路傳輸數據的隨機性、一次性有效和時效性。進一步,所述密鑰分發數據傳輸采用非對稱加密算法。進一步,所述移動終端為手機、掌上電腦或平板電腦。本發明提供的實現上述基于移動終端防釣魚攻擊方法的系統,包括移動終端、應用服務器端和認證服務器端,所述移動終端分別與應用服務器端、認證服務器端之間無線通訊連接,所述應用服務器端與認證服務器端通過互聯網通訊連接。進一步,所述移動終端具有動態密碼生成單元,位置服務單元,數據加密單元和終端可信任單元;其中動態密碼生成單元根據當前時間或事件次數,通過客戶端所存儲的密鑰采用對稱加密算法或者哈希算法計算出動態密碼;位置服務單元比對歷史數據庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息,將檢測異常反饋給用戶;;數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成動態密碼以及位置信息用客戶端所存放的公鑰進行加密,采用非對稱加密算法保證數據傳輸安全,然后上傳至認證服務器端進行身份鑒別。進一步,所述認證服務器端具有數據解密模塊,密碼校驗模塊,位置校驗模塊和可信任終端校驗模塊;其中數據解密模塊采用非對稱算法解出移動終端認證數據;密碼校驗模塊根據服務器端所存儲相對的密鑰、時間或者事件,采用時間或事件窗口策略校驗客戶端上行的動態密碼;位置校驗模塊比對歷史數據庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息,將檢測異常反饋給用戶;可信任終端校驗模塊校驗移動終端可信度。可信任終端校驗模塊,綜合判斷移動終端上傳移動終端的串號、IMEI號、以及手機號等綜合因素,來確保第二鏈路所傳認證數據是從確定的移動終端傳輸過來。進一步,所述應用服務器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日志模塊、審計模塊、數據庫模塊、位置比對模塊和行為分析模塊,數據解密模塊采用非對稱算法解出移動終端認證數據;密碼校驗模塊根據服務器端所存儲相對的密鑰、時間或者事件,采用一定時間、 事件窗口策略,校驗客戶端上行的動態密碼;訪問控制模塊識別已使用過的動態密碼,保證已經使用過的動態密碼不會被再次使用,,并且控制異常登錄認證行為;日志模塊接收來自認證服務日志,按照日志的級別將日志寫入數據庫或者日志文件中;數據庫模塊用來存儲密鑰、相關操作和行為日志;位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析;行為分析模塊對用戶各種行為進行記錄和分析。進一步,所述系統還包括管理服務器,管理服務器與移動終端無線通訊連接,完成移動終端客戶的生成、刪除、凍結、解凍和信息查詢功能。本發明的有益效果在于1.本發明中客戶端作為軟件可以被安裝在用戶的各類移動終端上去,如手機、 pda、pad等,用以解決目前使用硬件客戶端的成本問題。2.本發明中認證服務器端根據應用服務器端與移動終端所傳輸信息的雙線鏈路數據進行驗證,以保證登陸安全性。3.本發明中軟件客戶端提供基于位置與一次性動態密碼的第二鏈路認證服務,使用每個客戶端的私有密鑰作為客戶身份要素、采用時間以及事件作為同步因子生成動態密碼。保證客戶端鏈路傳輸數據的隨機性、一次性有效和時效性。同時認證服務器端解決了相關的同步問題。從根本上解決了釣魚攻擊問題。4.移動終端的可信任單元與認證服務器中的可信任終端校驗模塊,綜合判斷移動終端上傳移動終端的串號、IMEI號、以及手機號等綜合因素,來確保第二鏈路所傳認證數據是從確定的移動終端傳輸過來,進一步杜絕安全隱患。5.數據傳輸時采用非對稱加密算法,保證數據鏈路的安全與傳輸的安全。
圖1.本發明系統工作原理2.本發明系統工作流程圖(步驟(1)、(2))圖3.本發明系統工作流程圖(步驟(3))
具體實施例方式本發明提供的一種基于移動終端防釣魚攻擊的方法,按照如下過程實現的(1)數據初始化首先用戶向應用服務系統發起綁定請求,正常身份認證通過后, 等待移動終端發起初始化請求,初始化時移動終端攜帶相關的賬號信息,此時認證服務器通過算法為此用戶生成一個ID和私有密鑰,服務器端與此用戶相關的信息,并且存到相應的數據庫服務器,通過應用服務器分發到通過安全渠道分發到用戶的客戶端。( 賬號綁定此時用戶在移動終端發起綁定請求,進行第一次綁定認證,并且建立用戶的相關數據庫,存入ID、私有密鑰以及相關位置信息,認證通過后,綁定成功。(3)認證應用用戶在登錄應用服務器時,需要先做第一次身份鑒別,在第一次鑒別(第一鏈路)通過,讓用戶進行二次驗證(第二鏈路),二次驗證是基于可信任移動終端,用戶需要使用基于移動終端的應用軟件,應用軟件內置密碼算法并且獲取用戶的位置信息,通過無線網絡上傳至后臺認證服務器,認證服務器通過第二鏈路傳輸過來的認證信息進行鑒別,并回傳鑒別結果。二次驗證通過后用戶即可安全登錄。
所述客戶端向認證服務器發起的第二鏈路終端認證請求包括動態密碼認證、位置信息認證,以及終端可信認證。基于移動可信終端防釣魚方法的系統,包括移動終端、應用服務器端和認證系統, 所述移動終端分別與應用服務器端、認證服務器端之間無線通訊連接,所述應用服務器端與認證服務器端通過互聯網通訊連接。所述移動終端具有動態密碼生成單元,根據當前時間或者事件次數、并且通過客戶端所存儲的密鑰采用對稱加密算法或者哈希算法計算出動態密碼;位置服務單元通過運營商的無線網絡(如GSM網、CDMA網)或外部定位方式獲取終端的位置信息以及移動終端的校驗信息,并將這幾個因素結合,采用非對稱加密算法,無線網絡通訊上傳至認證服務器端,數據加密單元。還具有終端可信任單元。所述動態密碼生成單元是運行于移動終端設備上的應用程序,內置密碼生成算法和數據,每次認證時,用戶需運行此程序,生成動態密碼,動態密碼生成模塊可適用于多種移動應用平臺。password = OTP (seed),password為動態密碼,OTP為生成密碼采用的加密算法,對稱加密算法或者雜湊算法,seed 存在客戶端的密鑰與時間同步因子抑或時間同步因子構成序列,保證生成動態密碼數據的隨機性。所述位置服務單元是運行于移動終端設備上的應用程序,借助于運營商提供的通道與相關的API接口,獲取終端所在位置,并且上傳至服務器。所述數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成動態密碼、以及位置信息等用客戶端所存放的公鑰進行加密,采用非對稱加密算法,來保證數據傳輸安全,然后上傳至服務器端進行身份鑒別。認證服務器端具有數據解密模塊采用非對稱算法解出移動終端認證數據;密碼校驗單元根據服務器端所存儲相對的密鑰、時間或者事件,采用一定同步窗口策略,校驗客戶端上行的動態密碼;位置校驗模塊并且在歷史數據庫里比對包括用戶登錄的常用IP分析,常用移動終端位置分析,檢測異常,并且及時反饋給使用者。還有可信任終端校驗模塊校驗移動終端可信度。應用服務器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日志模塊、審計模塊、數據庫模塊、位置比對模塊,行為分析模塊、可信任終端校驗模塊等。所述數據解密模塊運行于服務器端的應用程序,根據用戶所提交的認證信息,采用相應的私鑰進行解密,解密采用高效非對稱解密算法。所述密碼驗證模塊與客戶端采用同樣的算法,以及相同的密鑰和同步因子,進行加密計算出密碼進行比對。考慮到同步因子會有誤差,采用同步窗口方式進行比對。時間方式的同步因子,采用時間窗口方式,由于移動終端時間相對比較準確,采用普通時間窗口比對方式,正負2分鐘。采用事件同步方式則采用單向遞增同步方式,兩次次數同步則動態密碼校驗通過。所述訪問控制模塊同一個密碼只能使用一次,認證控制服務提供了識別已經使用過的動態密碼的功能,保證已經使用過的動態密碼不會被再次使用,并且控制異常登錄認證行為。所述日志模塊認證控制服務接收來自認證服務以及其他相關服務的日志,按照日志的級別將日志寫入數據庫或者日志文件中。
所述數據庫模塊用來存儲密鑰、相關操作和行為日志。所有的用戶數據加密后存儲在數據庫中,并且需要有完善的數據安全保護功能,以及具有安全完備的數據庫管理、備份功能。所述位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析,對移動終端所提供位置信息以及應用服務器所登錄的PC的IP地址,根據用戶經常登錄存儲的位置與IP地址等信息進行比對,一旦捕獲異常,采取相應的措施。所述行為分析模塊對用戶各種行為進行記錄,并且分析提供相應的分析結果。一旦發現異常信息,采取相應安全措施。所述可信任終端校驗模塊分析確定第二鏈路認證發起是在綁定、確定的終端上。所描述的系統還包括管理服務器,用戶完成移動終端客戶的生成、刪除、凍結、解凍、信息查詢等功能。盡管通過參照發明的某些優選實施例,已經對本發明進行了描述,但本領域的普通技術人員應當理解,可以在形式上和細節上對其作出各種各樣的改變,而不偏離所附權利要求書所限定的本發明的精神和范圍。
權利要求
1.一種基于移動終端防釣魚攻擊的方法,其特征在于,包括步驟(1)數據初始化用戶向應用服務系統發起綁定請求,通過正常身份認證后,等待客戶端向應用服務系統發起初始化請求,認證服務器根據客戶端攜帶的相關賬號信息通過算法為所述用戶生成ID和私有密鑰,保存于相應的數據庫服務器的同時,通過應用服務器分發到用戶的客戶端;(2) 賬號綁定用戶在客戶端向應用服務器發起綁定請求,并在客戶端建立用戶相關數據庫,存入ID、私有密鑰以及相關位置信息,經認證服務器認證通過后,綁定成功;C3)認證應用用戶向應用服務器發起第一鏈路登錄申請并等待第二鏈路終端認證結果,同時客戶端向認證服務器發起第二鏈路終端認證請求,得到終端認證結果返回用戶;所述客戶端安裝于移動終端。
2.按照權利要求1所述的基于移動終端防釣魚攻擊的方法,其特征在于,所述客戶端向認證服務器發起的第二鏈路終端認證請求包括動態密碼認證和位置信息認證。
3.按照權利要求2所述的基于移動終端防釣魚攻擊的方法,其特征在于,所述客戶端向認證服務器發起的第二鏈路終端認證請求還包括終端可信認證。
4.按照權利要求2所述的基于移動終端防釣魚攻擊的方法,其特征在于,所述認證服務器按照對稱加密算法或雜湊算法生成私有密鑰,所述移動終端使用每個客戶端的私有密鑰作為客戶身份要素、采用時間以及事件作為同步因子生成動態密碼。
5.按照權利要求1所述的基于移動終端防釣魚攻擊的方法,其特征在于,所述密鑰分發數據傳輸采用非對稱加密算法。
6.按照權利要求1所述的基于移動終端防釣魚攻擊的方法,其特征在于,所述移動終端為手機、掌上電腦或平板電腦。
7.一種實現權利要求1所述基于移動終端防釣魚攻擊方法的系統,其特征在于,包括移動終端、應用服務器端和認證服務器端,所述移動終端分別與應用服務器端、認證服務器端之間無線通訊連接,所述應用服務器端與認證服務器端通過互聯網通訊連接。
8.按照權利要求7所述基于移動終端防釣魚攻擊的系統,其特征在于,所述移動終端具有動態密碼生成單元,位置服務單元,數據加密單元和終端可信任單元;其中動態密碼生成單元根據當前時間或事件次數,通過客戶端所存儲的密鑰采用對稱加密算法或哈希算法計算出動態密碼;位置服務單元通過運營商的無線網絡或外部定位方式獲取終端的位置信息;數據加密單元把用戶終端的身份標識信息、動態密碼生成單元生成一次性密碼以及位置信息用客戶端所存放的公鑰進行加密,采用非對稱加密算法保證數據傳輸安全,然后上傳至認證服務器端進行身份鑒別。
9.按照權利要求7所述基于移動終端防釣魚攻擊的系統,其特征在于,所述認證服務器端具有數據解密模塊,密碼校驗模塊,位置校驗模塊和可信任終端校驗模塊;其中數據解密模塊采用非對稱算法解出移動終端認證數據;密碼校驗模塊根據服務器端所存儲相對的密鑰、時間或者事件,采用時間窗口策略校驗客戶端上行的動態密碼;位置校驗模塊比對歷史數據庫中用戶登錄常用IP位置、移動終端所處歷史和現在位置信息,將檢測異常反饋給用戶;可信任終端校驗模塊根據移動終端上行的特征信息,校驗移動終端可信度。
10.按照權利要求7所述基于移動終端防釣魚攻擊的系統,其特征在于,所述應用服務器端具有數據解密模塊、密碼驗證模塊、訪問控制模塊、日志模塊、審計模塊、數據庫模塊、 位置比對模塊和行為分析模塊,數據解密模塊采用非對稱算法解出移動終端認證數據;密碼校驗模塊根據服務器端所存儲相對的密鑰、時間或者事件,采用一定時間窗口策略,校驗客戶端上行的動態密碼;訪問控制模塊識別已使用過的動態密碼,保證已經使用過的動態密碼不會被再次使用,并且控制異常登錄認證行為;日志模塊接收來自認證服務日志,按照日志的級別將日志寫入數據庫或日志文件中;數據庫模塊用來存儲密鑰、相關操作和行為日志;位置比對模塊對用戶登錄IP信息以及相應的移動終端的位置信息進行存儲和分析; 行為分析模塊對用戶各種行為進行記錄和分析。
11.按照權利要求7所述的基于移動終端防釣魚攻擊的系統,其特征在于,所述系統還包括管理服務器,管理服務器與移動終端無線通訊連接,完成移動終端客戶的生成、刪除、 凍結、解凍和信息查詢功能。
全文摘要
本發明提供一種基于移動終端防釣魚攻擊的方法和系統,方法包括步驟(1)賬號綁定與數據初始化用戶在客戶端向應用服務器發起綁定請求,經認證服務器認證通過后,綁定成功;(2)認證應用用戶向應用服務器發起登錄申請,同時客戶端向認證服務器發起終端認證請求,經認證服務器得到終端認證結果返回用戶;所述系統包括移動終端、應用服務器端和認證系統。本發明中客戶端作為軟件可被安裝在用戶的各類移動終端上去,以解決目前使用硬件客戶端的成本問題。認證服務器端根據應用服務器端與移動終端所傳輸信息的雙線鏈路數據并結合移動終端的位置信息與終端信息進行驗證,從根本上解決了釣魚攻擊問題。
文檔編號H04W12/06GK102448061SQ201110369729
公開日2012年5月9日 申請日期2011年11月18日 優先權日2011年11月18日
發明者左飛, 李俊, 段克強, 王濤, 王黎明, 陳易 申請人:王黎明