[发明专利]一种防止针对动态密码的钓鱼攻击的方法

说明书

技术领域

本发明涉及一种网络安全技术，具体涉及一种防止钓鱼攻击的方法，特别防止针对动态密码的防钓鱼攻击的方法。

背景技术

动态密码是一种一次性密码，每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码与原来的静态密码相结合，构成双因素进行认证，广泛适用于各类信息系统。

网络钓鱼是目前非常常见的攻击手段，主要是指黑客通过邮件、短信等手段诱使客户访问假网站(钓鱼网站)，并诱使客户在假网站上输入账户名、密码、动态密码等，从而达到窃取账户和密码的目的。

对于动态密码来说，由于存在时间窗口，超过时间窗口动态密码就失效了。这就要求黑客必须尽快使用窃取的动态密码。银行为了提高安全性，往往要求在登录时使用一次动态密码，而在交易时，再次输入一次动态密码。黑客要窃取客户的资金，就必须窃取到2个有效的动态密码。这在一定程度上增加了黑客攻击的难度，也就是说时间动态密码是有一定的防钓鱼攻击的能力。

但对于银行应用，上述能力完全不够。目前已经出现了一种程序化、自动化的攻击方式。

参见图1，首先，黑客程序根据客户通过钓鱼网站输入的账号、静态密码和动态密码，获取登录用的动态密码。

接着，黑客程序将会立即用钓到的密码登录网络银行，在获得认证后，登录银行账号，并篡改交易信息，同时提示客户密码不对。

客户往往以为刚刚密码输入错误，会再次输入账号、静态密码以及动态密码，黑客程序将会钓到客户输入的第二个动态密码，这样，连续2个有效的动态密码被钓到。

最后，黑客程序以钓到的第二个动态密码作为交易密码，对认证服务器发出经过篡改过交易信息的转账请求，认证服务器在对动态密码认证通过后，将完成交易，从而黑客实现资金的窃取。

由此可见，钓鱼攻击方式对网络银行的安全性造成了致命的影响。程序化和自动化的攻击方式，很可能造成大面积的危害。因此，如何有效地防止钓鱼攻击，保护网络银行的交易，是本领域亟需解决的技术问题。

发明内容

本发明针对现有网络银行易受钓鱼攻击的问题，而提供一种防止针对动态密码的钓鱼攻击的方法。该方法可以有效的防止黑客的钓鱼攻击。

为了达到上述目的，本发明采用如下技术方案：

一种防止针对动态密码的钓鱼攻击的方法，所述方法包括如下步骤：

(1)将用户计算机的硬件信息通过加密运算生成一个唯一的计算机ID；

(2)在认证服务器上建立对用户计算机ID与用户动态令牌序列号对应关系进行认证的认证策略；

(3)用户进行动态密码认证时，所用计算机ID与动态密码一起被送到认证服务器；

(4)认证服务器根据令牌序列号与计算机ID的对应关系确定认证策略，并以确定的认证策略进行认证；

(5)若认证通过，认证服务器将进行动态密码认证。

在本发明的一实施例中，所述认证策略包括对应关系认证策略、对应关系建立策略、超出对应关系认证及更新策略，所述对应关系建立策略建立动态令牌序列号与相应计算机ID相对应的关系，所述对应关系认证策略根据建立的动态令牌序列号与计算机ID的对应关系对交易信息中动态令牌序列号与计算机ID的对应关系进行认证，所述超出对应关系认证及更新策略对超出认证通过范围的对应关系进行认证，在认证通过后更新相应的动态令牌序列号与计算机ID的对应关系。

进一步的，所述动态令牌序列号与计算机ID的对应关系为1对多、多对多或1对1。

进一步的，所述超出对应关系认证及更新策略通过辅助认证方法对超出认证通过范围的对应关系进行认证。

本发明通过将包含计算机硬件信息的ID与动态令牌序列号建立对应关系，并以此进行认证，从而能够有效的防止黑客针对动态密码的钓鱼攻击，极大的提高网络交易的安全性。

本发明可终结现有黑客的程序化和自动化的攻击方式，避免造成大面积的危害。

附图说明

以下结合附图和具体实施方式来进一步说明本发明。

图1为钓鱼攻击的流程示意图。

图2为本发明的原理图。

图3为本发明实施示意图。

具体实施方式

为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体图示，进一步阐述本发明。

针对现有钓鱼攻击的原理，本发明提供的防止针对动态密码的钓鱼攻击的方法，其包括如下步骤(参见图2)：