專利名稱：一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及一種網(wǎng)絡(luò)安全技術(shù)，具體涉及一種防止釣魚(yú)攻擊的方法，特別防止針對(duì)動(dòng)態(tài)密碼的防釣魚(yú)攻擊的方法。
背景技術(shù)：
動(dòng)態(tài)密碼是一種一次性密碼，每個(gè)密碼只能使用一次。動(dòng)態(tài)密碼可以隨時(shí)間、次數(shù)和挑戰(zhàn)信息而變化。動(dòng)態(tài)密碼與原來(lái)的靜態(tài)密碼相結(jié)合，構(gòu)成雙因素進(jìn)行認(rèn)證，廣泛適用于各類信息系統(tǒng)。網(wǎng)絡(luò)釣魚(yú)是目前非常常見(jiàn)的攻擊手段，主要是指黑客通過(guò)郵件、短信等手段誘使客戶訪問(wèn)假網(wǎng)站(釣魚(yú)網(wǎng)站)，并誘使客戶在假網(wǎng)站上輸入賬戶名、密碼、動(dòng)態(tài)密碼等，從而達(dá)到竊取賬戶和密碼的目的。對(duì)于動(dòng)態(tài)密碼來(lái)說(shuō)，由于存在時(shí)間窗口，超過(guò)時(shí)間窗口動(dòng)態(tài)密碼就失效了。這就要求黑客必須盡快使用竊取的動(dòng)態(tài)密碼。銀行為了提高安全性，往往要求在登錄時(shí)使用一次動(dòng)態(tài)密碼，而在交易時(shí)，再次輸入一次動(dòng)態(tài)密碼。黑客要竊取客戶的資金，就必須竊取到2 個(gè)有效的動(dòng)態(tài)密碼。這在一定程度上增加了黑客攻擊的難度，也就是說(shuō)時(shí)間動(dòng)態(tài)密碼是有一定的防釣魚(yú)攻擊的能力。但對(duì)于銀行應(yīng)用，上述能力完全不夠。目前已經(jīng)出現(xiàn)了一種程序化、自動(dòng)化的攻擊方式。參見(jiàn)

圖1，首先，黑客程序根據(jù)客戶通過(guò)釣魚(yú)網(wǎng)站輸入的賬號(hào)、靜態(tài)密碼和動(dòng)態(tài)密碼，獲取登錄用的動(dòng)態(tài)密碼。接著，黑客程序?qū)?huì)立即用釣到的密碼登錄網(wǎng)絡(luò)銀行，在獲得認(rèn)證后，登錄銀行賬號(hào)，并篡改交易信息，同時(shí)提示客戶密碼不對(duì)?？蛻敉詾閯倓偯艽a輸入錯(cuò)誤，會(huì)再次輸入賬號(hào)、靜態(tài)密碼以及動(dòng)態(tài)密碼，黑客程序?qū)?huì)釣到客戶輸入的第二個(gè)動(dòng)態(tài)密碼，這樣，連續(xù)2個(gè)有效的動(dòng)態(tài)密碼被釣到。最后，黑客程序以釣到的第二個(gè)動(dòng)態(tài)密碼作為交易密碼，對(duì)認(rèn)證服務(wù)器發(fā)出經(jīng)過(guò)篡改過(guò)交易信息的轉(zhuǎn)賬請(qǐng)求，認(rèn)證服務(wù)器在對(duì)動(dòng)態(tài)密碼認(rèn)證通過(guò)后，將完成交易，從而黑客實(shí)現(xiàn)資金的竊取。由此可見(jiàn)，釣魚(yú)攻擊方式對(duì)網(wǎng)絡(luò)銀行的安全性造成了致命的影響。程序化和自動(dòng)化的攻擊方式，很可能造成大面積的危害。因此，如何有效地防止釣魚(yú)攻擊，保護(hù)網(wǎng)絡(luò)銀行的交易，是本領(lǐng)域亟需解決的技術(shù)問(wèn)題。

發(fā)明內(nèi)容
本發(fā)明針對(duì)現(xiàn)有網(wǎng)絡(luò)銀行易受釣魚(yú)攻擊的問(wèn)題，而提供一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法。該方法可以有效的防止黑客的釣魚(yú)攻擊。為了達(dá)到上述目的，本發(fā)明采用如下技術(shù)方案一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，所述方法包括如下步驟
(1)將用戶計(jì)算機(jī)的硬件信息通過(guò)加密運(yùn)算生成一個(gè)唯一的計(jì)算機(jī)ID ；(2)在認(rèn)證服務(wù)器上建立對(duì)用戶計(jì)算機(jī)ID與用戶動(dòng)態(tài)令牌序列號(hào)對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證的認(rèn)證策略；(3)用戶進(jìn)行動(dòng)態(tài)密碼認(rèn)證時(shí)，所用計(jì)算機(jī)ID與動(dòng)態(tài)密碼一起被送到認(rèn)證服務(wù)器；(4)認(rèn)證服務(wù)器根據(jù)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系確定認(rèn)證策略，并以確定的認(rèn)證策略進(jìn)行認(rèn)證；(5)若認(rèn)證通過(guò)，認(rèn)證服務(wù)器將進(jìn)行動(dòng)態(tài)密碼認(rèn)證。在本發(fā)明的一實(shí)施例中，所述認(rèn)證策略包括對(duì)應(yīng)關(guān)系認(rèn)證策略、對(duì)應(yīng)關(guān)系建立策略、超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略，所述對(duì)應(yīng)關(guān)系建立策略建立動(dòng)態(tài)令牌序列號(hào)與相應(yīng)計(jì)算機(jī)ID相對(duì)應(yīng)的關(guān)系，所述對(duì)應(yīng)關(guān)系認(rèn)證策略根據(jù)建立的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系對(duì)交易信息中動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證，所述超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略對(duì)超出認(rèn)證通過(guò)范圍的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證，在認(rèn)證通過(guò)后更新相應(yīng)的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系。進(jìn)一步的，所述動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系為1對(duì)多、多對(duì)多或1對(duì) 1。進(jìn)一步的，所述超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略通過(guò)輔助認(rèn)證方法對(duì)超出認(rèn)證通過(guò)范圍的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證。本發(fā)明通過(guò)將包含計(jì)算機(jī)硬件信息的ID與動(dòng)態(tài)令牌序列號(hào)建立對(duì)應(yīng)關(guān)系，并以此進(jìn)行認(rèn)證，從而能夠有效的防止黑客針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊，極大的提高網(wǎng)絡(luò)交易的安全性。本發(fā)明可終結(jié)現(xiàn)有黑客的程序化和自動(dòng)化的攻擊方式，避免造成大面積的危害。
以下結(jié)合附圖和具體實(shí)施方式
來(lái)進(jìn)一步說(shuō)明本發(fā)明。圖1為釣魚(yú)攻擊的流程示意圖。圖2為本發(fā)明的原理圖。圖3為本發(fā)明實(shí)施示意圖。
具體實(shí)施例方式為了使本發(fā)明實(shí)現(xiàn)的技術(shù)手段、創(chuàng)作特征、達(dá)成目的與功效易于明白了解，下面結(jié)合具體圖示，進(jìn)一步闡述本發(fā)明。針對(duì)現(xiàn)有釣魚(yú)攻擊的原理，本發(fā)明提供的防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法， 其包括如下步驟(參見(jiàn)圖2)(1)將用戶計(jì)算機(jī)的硬件信息(如CPU ID、MAC地址等固有信息)通過(guò)加密運(yùn)算生成一個(gè)唯一的計(jì)算機(jī)ID，以此作為該計(jì)算唯一的識(shí)別信息。(2)在認(rèn)證服務(wù)器上建立認(rèn)證策略，該認(rèn)證策略用來(lái)管理哪些令牌序列號(hào)與哪些計(jì)算機(jī)ID相對(duì)應(yīng)，以及對(duì)應(yīng)關(guān)系的更新方法，并建立超出的對(duì)應(yīng)關(guān)系所采取的認(rèn)證方法。(3)用戶進(jìn)行動(dòng)態(tài)密碼認(rèn)證時(shí)，所用計(jì)算機(jī)ID與動(dòng)態(tài)密碼一起被送到認(rèn)證服務(wù)ο(4)認(rèn)證服務(wù)器根據(jù)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系確定認(rèn)證策略，并以確定的認(rèn)證策略對(duì)接收的令牌序列號(hào)與計(jì)算機(jī)ID關(guān)系進(jìn)行認(rèn)證。(5)若認(rèn)證通過(guò)，認(rèn)證服務(wù)器將進(jìn)行動(dòng)態(tài)密碼認(rèn)證；若失敗，將通過(guò)郵件或信息方式通知客戶進(jìn)行確認(rèn)，或直接終止交易。在上述方案的基礎(chǔ)上，本發(fā)明如下的進(jìn)一步改進(jìn)本發(fā)明基于方案，設(shè)計(jì)一種動(dòng)態(tài)密碼輸入保護(hù)控件，其用于輸入動(dòng)態(tài)令牌產(chǎn)生的動(dòng)態(tài)密碼。再者，該保護(hù)控件在安裝過(guò)程中，根據(jù)用戶計(jì)算機(jī)的硬件信息，如CPUID、MAC地址等固有信息，按照加密算法，得到一個(gè)唯一的計(jì)算機(jī)ID。從而使得，用戶在通過(guò)該控件輸入動(dòng)態(tài)密碼時(shí)，能夠?qū)⑺糜?jì)算機(jī)ID與動(dòng)態(tài)密碼一起被送到認(rèn)證服務(wù)器。本發(fā)明所建立的認(rèn)證策略包括對(duì)應(yīng)關(guān)系建立策略，其用于建立動(dòng)態(tài)令牌序列號(hào)與相應(yīng)計(jì)算機(jī)ID相對(duì)應(yīng)的關(guān)系， 同時(shí)可規(guī)定該對(duì)應(yīng)關(guān)系的時(shí)間性。對(duì)應(yīng)關(guān)系認(rèn)證策略，根據(jù)建立的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系對(duì)交易信息中動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證。超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略，其對(duì)超出認(rèn)證通過(guò)范圍的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證，在認(rèn)證通過(guò)后更新相應(yīng)的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系?；谏鲜龇桨?，本發(fā)明的具體實(shí)施方式
可以分為3個(gè)部分，分別為控件的下載和安裝、動(dòng)態(tài)口令認(rèn)證以及認(rèn)證策略的管理。參見(jiàn)圖3，一、控件的下載和安裝1、用戶如果沒(méi)有安裝控件，瀏覽器將自動(dòng)提醒安裝，沒(méi)有安裝控件，將不能輸入動(dòng)態(tài)密碼；2、用戶下載安全控件；3、用戶進(jìn)行安全控件安裝。二、動(dòng)態(tài)密碼認(rèn)證1、用戶訪問(wèn)動(dòng)態(tài)密碼提交頁(yè)面，安全控件自動(dòng)運(yùn)行，根據(jù)用戶計(jì)算機(jī)的硬件信息生成計(jì)算機(jī)ID ；2、用戶輸入動(dòng)態(tài)密碼和其他信息，并點(diǎn)擊提交；3、控件將動(dòng)態(tài)密碼和計(jì)算機(jī)ID提交給Web服務(wù)器；4、Web服務(wù)器在進(jìn)行自身的認(rèn)證(如靜態(tài)密碼、附加碼等)并通過(guò)后，將計(jì)算機(jī)ID 和動(dòng)態(tài)密碼以及用戶名或者令牌序列號(hào)提交認(rèn)證系統(tǒng)(即認(rèn)證服務(wù)器)；5、認(rèn)證系統(tǒng)根據(jù)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系確定認(rèn)證策略，并通過(guò)該認(rèn)證策略對(duì)計(jì)算機(jī)ID與動(dòng)態(tài)令牌序列號(hào)的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證。如果認(rèn)證通過(guò)，則說(shuō)明該令牌可以在該ID對(duì)應(yīng)的計(jì)算機(jī)上使用，而且該計(jì)算機(jī)ID可以使用該令牌，則直接跳轉(zhuǎn)到步驟 (9)進(jìn)行動(dòng)態(tài)密碼認(rèn)證。6、若策略認(rèn)證沒(méi)有通過(guò)，認(rèn)證系統(tǒng)將進(jìn)行超出對(duì)應(yīng)關(guān)系認(rèn)證，即通過(guò)其他的通道認(rèn)證，包括短信確認(rèn)或郵件確認(rèn)。
7、用戶根據(jù)收到的短信確認(rèn)碼或郵件確認(rèn)碼，輸入瀏覽器進(jìn)行確認(rèn)碼認(rèn)證。8、如果確認(rèn)碼認(rèn)證通過(guò)，進(jìn)行下一步操作，如果認(rèn)證失敗則退出認(rèn)證。9、進(jìn)行動(dòng)態(tài)密碼認(rèn)證。并在認(rèn)證系統(tǒng)上記錄計(jì)算機(jī)ID和令牌序列號(hào)的對(duì)應(yīng)關(guān)系， 從而實(shí)現(xiàn)對(duì)應(yīng)關(guān)系的更新。三、認(rèn)證策略的管理1、對(duì)應(yīng)關(guān)系認(rèn)證策略計(jì)算機(jī)ID與令牌序列號(hào)之間存在的對(duì)應(yīng)關(guān)系，即一個(gè)令牌可以對(duì)應(yīng)幾個(gè)計(jì)算機(jī)ID，或者一個(gè)ID確定的計(jì)算機(jī)上可以使用幾個(gè)令牌。這個(gè)對(duì)應(yīng)關(guān)系根據(jù)安全的需求確定，最嚴(yán)格的方式為1對(duì)1的關(guān)系，即一個(gè)令牌只能在一個(gè)計(jì)算機(jī)上使用， 而且一個(gè)計(jì)算機(jī)上只能使用一個(gè)令牌。也可以是多對(duì)多的關(guān)系，如2對(duì)2，2對(duì)3等。2、對(duì)應(yīng)關(guān)系建立策略對(duì)應(yīng)關(guān)系的建立，按照策略進(jìn)行。該策略可以比較寬松，如不需要輔助認(rèn)證；也可以比較嚴(yán)格，如需要短信或郵件確認(rèn)碼認(rèn)證。3、超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略超出對(duì)應(yīng)關(guān)系的認(rèn)證策略可以靈活設(shè)定。超出對(duì)應(yīng)關(guān)系的認(rèn)證依據(jù)該策略進(jìn)行，如超出對(duì)應(yīng)關(guān)系將導(dǎo)致認(rèn)證失敗，或者超出對(duì)應(yīng)關(guān)系需要其他輔助認(rèn)證。超出對(duì)應(yīng)關(guān)系的成功認(rèn)證可以導(dǎo)致對(duì)應(yīng)關(guān)系更新。由上述實(shí)施過(guò)程可知，即使黑客通過(guò)釣魚(yú)攻擊方式獲得客戶的動(dòng)態(tài)密碼，由于黑客實(shí)施釣魚(yú)工具的計(jì)算機(jī)ID與用戶的計(jì)算機(jī)ID肯定是不一致的，其與客戶動(dòng)態(tài)令牌序列號(hào)之間的對(duì)應(yīng)關(guān)系肯定是無(wú)法獲得認(rèn)證的，即使其能夠釣到客戶的動(dòng)態(tài)密碼，也無(wú)法獲得認(rèn)證服務(wù)器的認(rèn)證，從而無(wú)法竊取客戶的資金。以上顯示和描述了本發(fā)明的基本原理、主要特征和本發(fā)明的優(yōu)點(diǎn)。本行業(yè)的技術(shù)人員應(yīng)該了解，本發(fā)明不受上述實(shí)施例的限制，上述實(shí)施例和說(shuō)明書(shū)中描述的只是說(shuō)明本發(fā)明的原理，在不脫離本發(fā)明精神和范圍的前提下，本發(fā)明還會(huì)有各種變化和改進(jìn)，這些變化和改進(jìn)都落入要求保護(hù)的本發(fā)明范圍內(nèi)。本發(fā)明要求保護(hù)范圍由所附的權(quán)利要求書(shū)及其等效物界定。
權(quán)利要求
1.一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，其特征在于，所述方法包括如下步驟(1)將用戶計(jì)算機(jī)的硬件信息通過(guò)加密運(yùn)算生成一個(gè)唯一的計(jì)算機(jī)ID；(2)在認(rèn)證服務(wù)器上建立對(duì)用戶計(jì)算機(jī)ID與用戶動(dòng)態(tài)令牌序列號(hào)對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證的認(rèn)證策略；(3)用戶進(jìn)行動(dòng)態(tài)密碼認(rèn)證時(shí)，所用計(jì)算機(jī)ID與動(dòng)態(tài)密碼一起被送到認(rèn)證服務(wù)器；(4)認(rèn)證服務(wù)器根據(jù)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系確定認(rèn)證策略，并以確定的認(rèn)證策略進(jìn)行認(rèn)證；(5)若認(rèn)證通過(guò)，認(rèn)證服務(wù)器將進(jìn)行動(dòng)態(tài)密碼認(rèn)證。
2.根據(jù)權(quán)利要求1所述的一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，其特征在于，所述認(rèn)證策略包括對(duì)應(yīng)關(guān)系認(rèn)證策略、對(duì)應(yīng)關(guān)系建立策略、超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略，所述對(duì)應(yīng)關(guān)系建立策略建立動(dòng)態(tài)令牌序列號(hào)與相應(yīng)計(jì)算機(jī)ID相對(duì)應(yīng)的關(guān)系，所述對(duì)應(yīng)關(guān)系認(rèn)證策略根據(jù)建立的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系對(duì)交易信息中動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證，所述超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略對(duì)超出認(rèn)證通過(guò)范圍的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證，在認(rèn)證通過(guò)后更新相應(yīng)的動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系。
3.根據(jù)權(quán)利要求2所述的一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，其特征在于，所述動(dòng)態(tài)令牌序列號(hào)與計(jì)算機(jī)ID的對(duì)應(yīng)關(guān)系為1對(duì)多、多對(duì)多或1對(duì)1。
4.根據(jù)權(quán)利要求2所述的一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，其特征在于，所述超出對(duì)應(yīng)關(guān)系認(rèn)證及更新策略通過(guò)輔助認(rèn)證方法對(duì)超出認(rèn)證通過(guò)范圍的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證。
全文摘要
本發(fā)明公開(kāi)了一種防止針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊的方法，該方法首先根據(jù)計(jì)算機(jī)的硬件信息得到一個(gè)唯一的計(jì)算機(jī)ID；在認(rèn)證服務(wù)器建立上建立對(duì)應(yīng)認(rèn)證策略，用戶進(jìn)行動(dòng)態(tài)密碼認(rèn)證時(shí)，該計(jì)算機(jī)ID與動(dòng)態(tài)密碼一起被送到認(rèn)證服務(wù)器，認(rèn)證服務(wù)器根據(jù)認(rèn)證策略對(duì)計(jì)算機(jī)ID與動(dòng)態(tài)令牌序列號(hào)的對(duì)應(yīng)關(guān)系進(jìn)行認(rèn)證。本發(fā)明能夠有效的防止黑客針對(duì)動(dòng)態(tài)密碼的釣魚(yú)攻擊，極大的提高網(wǎng)絡(luò)交易的安全性。
文檔編號(hào)H04L9/32GK102307181SQ20111010649
公開(kāi)日2012年1月4日 申請(qǐng)日期2011年4月27日 優(yōu)先權(quán)日2011年4月27日
發(fā)明者楊波, 胡永剛 申請(qǐng)人:上海動(dòng)聯(lián)信息技術(shù)有限公司