专利名称:一种防止针对动态密码的钓鱼攻击的方法
技术领域:
本发明涉及一种网络安全技术,具体涉及一种防止钓鱼攻击的方法,特别防止针对动态密码的防钓鱼攻击的方法。
背景技术:
动态密码是一种一次性密码,每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码与原来的静态密码相结合,构成双因素进行认证,广泛适用于各类信息系统。网络钓鱼是目前非常常见的攻击手段,主要是指黑客通过邮件、短信等手段诱使客户访问假网站(钓鱼网站),并诱使客户在假网站上输入账户名、密码、动态密码等,从而达到窃取账户和密码的目的。对于动态密码来说,由于存在时间窗口,超过时间窗口动态密码就失效了。这就要求黑客必须尽快使用窃取的动态密码。银行为了提高安全性,往往要求在登录时使用一次动态密码,而在交易时,再次输入一次动态密码。黑客要窃取客户的资金,就必须窃取到2 个有效的动态密码。这在一定程度上增加了黑客攻击的难度,也就是说时间动态密码是有一定的防钓鱼攻击的能力。但对于银行应用,上述能力完全不够。目前已经出现了一种程序化、自动化的攻击方式。参见
图1,首先,黑客程序根据客户通过钓鱼网站输入的账号、静态密码和动态密码,获取登录用的动态密码。接着,黑客程序将会立即用钓到的密码登录网络银行,在获得认证后,登录银行账号,并篡改交易信息,同时提示客户密码不对。客户往往以为刚刚密码输入错误,会再次输入账号、静态密码以及动态密码,黑客程序将会钓到客户输入的第二个动态密码,这样,连续2个有效的动态密码被钓到。最后,黑客程序以钓到的第二个动态密码作为交易密码,对认证服务器发出经过篡改过交易信息的转账请求,认证服务器在对动态密码认证通过后,将完成交易,从而黑客实现资金的窃取。由此可见,钓鱼攻击方式对网络银行的安全性造成了致命的影响。程序化和自动化的攻击方式,很可能造成大面积的危害。因此,如何有效地防止钓鱼攻击,保护网络银行的交易,是本领域亟需解决的技术问题。
发明内容
本发明针对现有网络银行易受钓鱼攻击的问题,而提供一种防止针对动态密码的钓鱼攻击的方法。该方法可以有效的防止黑客的钓鱼攻击。为了达到上述目的,本发明采用如下技术方案一种防止针对动态密码的钓鱼攻击的方法,所述方法包括如下步骤
(1)将用户计算机的硬件信息通过加密运算生成一个唯一的计算机ID ;(2)在认证服务器上建立对用户计算机ID与用户动态令牌序列号对应关系进行认证的认证策略;(3)用户进行动态密码认证时,所用计算机ID与动态密码一起被送到认证服务器;(4)认证服务器根据令牌序列号与计算机ID的对应关系确定认证策略,并以确定的认证策略进行认证;(5)若认证通过,认证服务器将进行动态密码认证。在本发明的一实施例中,所述认证策略包括对应关系认证策略、对应关系建立策略、超出对应关系认证及更新策略,所述对应关系建立策略建立动态令牌序列号与相应计算机ID相对应的关系,所述对应关系认证策略根据建立的动态令牌序列号与计算机ID的对应关系对交易信息中动态令牌序列号与计算机ID的对应关系进行认证,所述超出对应关系认证及更新策略对超出认证通过范围的对应关系进行认证,在认证通过后更新相应的动态令牌序列号与计算机ID的对应关系。进一步的,所述动态令牌序列号与计算机ID的对应关系为1对多、多对多或1对 1。进一步的,所述超出对应关系认证及更新策略通过辅助认证方法对超出认证通过范围的对应关系进行认证。本发明通过将包含计算机硬件信息的ID与动态令牌序列号建立对应关系,并以此进行认证,从而能够有效的防止黑客针对动态密码的钓鱼攻击,极大的提高网络交易的安全性。本发明可终结现有黑客的程序化和自动化的攻击方式,避免造成大面积的危害。
以下结合附图和具体实施方式
来进一步说明本发明。图1为钓鱼攻击的流程示意图。图2为本发明的原理图。图3为本发明实施示意图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。针对现有钓鱼攻击的原理,本发明提供的防止针对动态密码的钓鱼攻击的方法, 其包括如下步骤(参见图2)(1)将用户计算机的硬件信息(如CPU ID、MAC地址等固有信息)通过加密运算生成一个唯一的计算机ID,以此作为该计算唯一的识别信息。(2)在认证服务器上建立认证策略,该认证策略用来管理哪些令牌序列号与哪些计算机ID相对应,以及对应关系的更新方法,并建立超出的对应关系所采取的认证方法。(3)用户进行动态密码认证时,所用计算机ID与动态密码一起被送到认证服务ο(4)认证服务器根据令牌序列号与计算机ID的对应关系确定认证策略,并以确定的认证策略对接收的令牌序列号与计算机ID关系进行认证。(5)若认证通过,认证服务器将进行动态密码认证;若失败,将通过邮件或信息方式通知客户进行确认,或直接终止交易。在上述方案的基础上,本发明如下的进一步改进本发明基于方案,设计一种动态密码输入保护控件,其用于输入动态令牌产生的动态密码。再者,该保护控件在安装过程中,根据用户计算机的硬件信息,如CPUID、MAC地址等固有信息,按照加密算法,得到一个唯一的计算机ID。从而使得,用户在通过该控件输入动态密码时,能够将所用计算机ID与动态密码一起被送到认证服务器。本发明所建立的认证策略包括对应关系建立策略,其用于建立动态令牌序列号与相应计算机ID相对应的关系, 同时可规定该对应关系的时间性。对应关系认证策略,根据建立的动态令牌序列号与计算机ID的对应关系对交易信息中动态令牌序列号与计算机ID的对应关系进行认证。超出对应关系认证及更新策略,其对超出认证通过范围的对应关系进行认证,在认证通过后更新相应的动态令牌序列号与计算机ID的对应关系。基于上述方案,本发明的具体实施方式
可以分为3个部分,分别为控件的下载和安装、动态口令认证以及认证策略的管理。参见图3,一、控件的下载和安装1、用户如果没有安装控件,浏览器将自动提醒安装,没有安装控件,将不能输入动态密码;2、用户下载安全控件;3、用户进行安全控件安装。二、动态密码认证1、用户访问动态密码提交页面,安全控件自动运行,根据用户计算机的硬件信息生成计算机ID ;2、用户输入动态密码和其他信息,并点击提交;3、控件将动态密码和计算机ID提交给Web服务器;4、Web服务器在进行自身的认证(如静态密码、附加码等)并通过后,将计算机ID 和动态密码以及用户名或者令牌序列号提交认证系统(即认证服务器);5、认证系统根据令牌序列号与计算机ID的对应关系确定认证策略,并通过该认证策略对计算机ID与动态令牌序列号的对应关系进行认证。如果认证通过,则说明该令牌可以在该ID对应的计算机上使用,而且该计算机ID可以使用该令牌,则直接跳转到步骤 (9)进行动态密码认证。6、若策略认证没有通过,认证系统将进行超出对应关系认证,即通过其他的通道认证,包括短信确认或邮件确认。
7、用户根据收到的短信确认码或邮件确认码,输入浏览器进行确认码认证。8、如果确认码认证通过,进行下一步操作,如果认证失败则退出认证。9、进行动态密码认证。并在认证系统上记录计算机ID和令牌序列号的对应关系, 从而实现对应关系的更新。三、认证策略的管理1、对应关系认证策略计算机ID与令牌序列号之间存在的对应关系,即一个令牌可以对应几个计算机ID,或者一个ID确定的计算机上可以使用几个令牌。这个对应关系根据安全的需求确定,最严格的方式为1对1的关系,即一个令牌只能在一个计算机上使用, 而且一个计算机上只能使用一个令牌。也可以是多对多的关系,如2对2,2对3等。2、对应关系建立策略对应关系的建立,按照策略进行。该策略可以比较宽松,如不需要辅助认证;也可以比较严格,如需要短信或邮件确认码认证。3、超出对应关系认证及更新策略超出对应关系的认证策略可以灵活设定。超出对应关系的认证依据该策略进行,如超出对应关系将导致认证失败,或者超出对应关系需要其他辅助认证。超出对应关系的成功认证可以导致对应关系更新。由上述实施过程可知,即使黑客通过钓鱼攻击方式获得客户的动态密码,由于黑客实施钓鱼工具的计算机ID与用户的计算机ID肯定是不一致的,其与客户动态令牌序列号之间的对应关系肯定是无法获得认证的,即使其能够钓到客户的动态密码,也无法获得认证服务器的认证,从而无法窃取客户的资金。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
权利要求
1.一种防止针对动态密码的钓鱼攻击的方法,其特征在于,所述方法包括如下步骤(1)将用户计算机的硬件信息通过加密运算生成一个唯一的计算机ID;(2)在认证服务器上建立对用户计算机ID与用户动态令牌序列号对应关系进行认证的认证策略;(3)用户进行动态密码认证时,所用计算机ID与动态密码一起被送到认证服务器;(4)认证服务器根据令牌序列号与计算机ID的对应关系确定认证策略,并以确定的认证策略进行认证;(5)若认证通过,认证服务器将进行动态密码认证。
2.根据权利要求1所述的一种防止针对动态密码的钓鱼攻击的方法,其特征在于,所述认证策略包括对应关系认证策略、对应关系建立策略、超出对应关系认证及更新策略,所述对应关系建立策略建立动态令牌序列号与相应计算机ID相对应的关系,所述对应关系认证策略根据建立的动态令牌序列号与计算机ID的对应关系对交易信息中动态令牌序列号与计算机ID的对应关系进行认证,所述超出对应关系认证及更新策略对超出认证通过范围的对应关系进行认证,在认证通过后更新相应的动态令牌序列号与计算机ID的对应关系。
3.根据权利要求2所述的一种防止针对动态密码的钓鱼攻击的方法,其特征在于,所述动态令牌序列号与计算机ID的对应关系为1对多、多对多或1对1。
4.根据权利要求2所述的一种防止针对动态密码的钓鱼攻击的方法,其特征在于,所述超出对应关系认证及更新策略通过辅助认证方法对超出认证通过范围的对应关系进行认证。
全文摘要
本发明公开了一种防止针对动态密码的钓鱼攻击的方法,该方法首先根据计算机的硬件信息得到一个唯一的计算机ID;在认证服务器建立上建立对应认证策略,用户进行动态密码认证时,该计算机ID与动态密码一起被送到认证服务器,认证服务器根据认证策略对计算机ID与动态令牌序列号的对应关系进行认证。本发明能够有效的防止黑客针对动态密码的钓鱼攻击,极大的提高网络交易的安全性。
文档编号H04L9/32GK102307181SQ20111010649
公开日2012年1月4日 申请日期2011年4月27日 优先权日2011年4月27日
发明者杨波, 胡永刚 申请人:上海动联信息技术有限公司