技術領域

本發(fā)明涉及無線通信、網(wǎng)絡通信與密碼校驗以及互聯(lián)網(wǎng)安全相結合的技術，具體涉及一種基于移動可信終端的防止釣魚攻擊的方法和系統(tǒng)。?

背景技術

隨著互聯(lián)網(wǎng)的普及以及3G移動互聯(lián)網(wǎng)的快速發(fā)展，越來越多的應用系統(tǒng)在公網(wǎng)上運行，網(wǎng)絡安全問題日益突出，一種普遍的犯罪攻擊是“釣魚”，其試圖騙取用戶向釣魚攻擊者提供個人信息，釣魚攻擊者使用所獲取的因特網(wǎng)用戶信息進行犯罪活動。目前大多數(shù)應用系統(tǒng)采用傳統(tǒng)用戶名加密碼的認證方式，這種認證方式容易被釣魚攻擊，采用動態(tài)密碼方式，同樣也存在被釣魚攻擊的問題。?

目前已進行多種嘗試以防止釣魚攻擊。有采用專門的硬件方案、一次性密碼、服務器端證書、客戶端瀏覽器擴展、客戶端本地黑名單方式，以及采取雙向認證等方式互相鑒別，仍然很難防止被釣魚攻擊。?

中國專利申請CN201010587753.9公開了一種防止網(wǎng)絡釣魚的設備和系統(tǒng)，包括以下步驟：(一)業(yè)務系統(tǒng)客戶端訪問業(yè)務系統(tǒng)，請求進行身份認證和服務器驗證；(二)產(chǎn)生服務器驗證碼；(三)服務器驗證碼返回業(yè)務系統(tǒng)；(四)驗證碼返回到用戶的業(yè)務系統(tǒng)客戶端；(五)用戶輸入業(yè)務系統(tǒng)客戶端令牌上顯示的動態(tài)密碼并提交到業(yè)務系統(tǒng)；(六)驗證動態(tài)密碼的正確性；(七)驗證結果返回業(yè)務系統(tǒng)。設備由實時時鐘、電源、液晶屏、單片微型計算機、注入接口構成。本發(fā)明利用動態(tài)密碼技術，通過帶外通道實現(xiàn)在設備上顯示提示信息與服務器上提供的信息進行比對，從而發(fā)現(xiàn)釣魚服務器。但仍存在很大的安全隱患。?

發(fā)明內(nèi)容

為了克服現(xiàn)有技術的不足，本發(fā)明的目的之一是提供一種可有效解決釣魚問題的認證方法，該方法中認證服務器端根據(jù)應用服務器端與移動終端所傳輸信息的雙線鏈路數(shù)據(jù)并結合移動終端以及應用服務器登錄位置信息進行驗證，從而解決釣魚攻擊問題。?

本發(fā)明的另一目的是提供實現(xiàn)上述方法的系統(tǒng)。?

本發(fā)明提供的基于移動終端防釣魚攻擊的方法，包括步驟：(1)數(shù)據(jù)初始化：用戶向應?用服務系統(tǒng)發(fā)起綁定請求，通過正常身份認證，等待客戶端向應用服務系統(tǒng)發(fā)起初始化請求，認證服務器根據(jù)客戶端攜帶的相關賬號信息通過算法為所述用戶生成ID和私有密鑰，和初始化位置信息等保存于相應的數(shù)據(jù)庫服務器的同時，并通過應用服務器分發(fā)到用戶的客戶端；(2)賬號綁定：用戶在客戶端向應用服務器發(fā)起綁定請求，并在客戶端建立用戶相關數(shù)據(jù)庫，存入ID、私有密鑰以及相關數(shù)據(jù)信息，經(jīng)認證服務器認證通過后，綁定成功；(3)認證應用：用戶向應用服務器發(fā)起第一鏈路登錄申請并等待第二鏈路終端認證結果，同時客戶端通過應用服務器向認證服務器發(fā)起第二鏈路終端認證請求，得到終端認證結果返回用戶；所述客戶端安裝于移動終端。?

進一步，所述客戶端向認證服務器發(fā)起的第二鏈路終端認證請求包括動態(tài)密碼認證和位置信息認證。?

進一步，所述客戶端向認證服務器發(fā)起的第二鏈路終端認證請求還包括終端可信認證。?

進一步，所述認證服務器按照對稱加密算法或者雜湊算法生成私有密鑰，所述移動終端使用每個客戶端的私有密鑰作為客戶身份要素之一、采用時間以及事件作為同步因子生成動態(tài)密碼。保證移動鏈路傳輸數(shù)據(jù)的隨機性、一次性有效和時效性。?

進一步，所述密鑰分發(fā)數(shù)據(jù)傳輸采用非對稱加密算法。?

進一步，所述移動終端為手機、掌上電腦或平板電腦。?

本發(fā)明提供的實現(xiàn)上述基于移動終端防釣魚攻擊方法的系統(tǒng)，包括移動終端、應用服務器端和認證服務器端，所述移動終端分別與應用服務器端、認證服務器端之間無線通訊連接，所述應用服務器端與認證服務器端通過互聯(lián)網(wǎng)通訊連接。?

進一步，所述移動終端具有：動態(tài)密碼生成單元，位置服務單元，數(shù)據(jù)加密單元和終端可信任單元；?

其中：動態(tài)密碼生成單元：根據(jù)當前時間或事件次數(shù)，通過客戶端所存儲的密鑰采用對稱加密算法或者哈希算法計算出動態(tài)密碼；?

位置服務單元：比對歷史數(shù)據(jù)庫中用戶登錄常用IP位置、移動終端所處歷史和現(xiàn)在位置信息，將檢測異常反饋給用戶；；?

數(shù)據(jù)加密單元：把用戶終端的身份標識信息、動態(tài)密碼生成單元生成動態(tài)密碼以及位置信息用客戶端所存放的公鑰進行加密，采用非對稱加密算法保證數(shù)據(jù)傳輸安全，然后上傳至認證服務器端進行身份鑒別。?

進一步，所述認證服務器端具有：數(shù)據(jù)解密模塊，密碼校驗模塊，位置校驗模塊和可信?任終端校驗模塊；?

其中：數(shù)據(jù)解密模塊：采用非對稱算法解出移動終端認證數(shù)據(jù)；?