[发明专利]一种基于移动终端防钓鱼攻击的方法和系统

权利要求书

1.一种基于移动终端防钓鱼攻击的方法，其特征在于，包括步骤：(1)数据初始化：用户向应用服务系统发起绑定请求，通过正常身份认证后，等待客户端向应用服务系统发起初始化请求，认证服务器根据客户端携带的相关账号信息通过算法为所述用户生成ID和私有密钥，保存于相应的数据库服务器的同时，通过应用服务器分发到用户的客户端；(2)账号绑定：用户在客户端向应用服务器发起绑定请求，并在客户端建立用户相关数据库，存入ID、私有密钥以及相关位置信息，经认证服务器认证通过后，绑定成功；(3)认证应用：用户向应用服务器发起第一链路登录申请并等待第二链路终端认证结果，同时客户端向认证服务器发起第二链路终端认证请求，得到终端认证结果返回用户；所述客户端安装于移动终端。

2.按照权利要求1所述的基于移动终端防钓鱼攻击的方法，其特征在于，所述客户端向认证服务器发起的第二链路终端认证请求包括动态密码认证和位置信息认证。

3.按照权利要求2所述的基于移动终端防钓鱼攻击的方法，其特征在于，所述客户端向认证服务器发起的第二链路终端认证请求还包括终端可信认证。

4.按照权利要求2所述的基于移动终端防钓鱼攻击的方法，其特征在于，所述认证服务器按照对称加密算法或杂凑算法生成私有密钥，所述移动终端使用每个客户端的私有密钥作为客户身份要素、采用时间以及事件作为同步因子生成动态密码。

5.按照权利要求1所述的基于移动终端防钓鱼攻击的方法，其特征在于，所述密钥分发数据传输采用非对称加密算法。

6.按照权利要求1所述的基于移动终端防钓鱼攻击的方法，其特征在于，所述移动终端为手机、掌上电脑或平板电脑。

7.一种实现权利要求1所述基于移动终端防钓鱼攻击方法的系统，其特征在于，包括移动终端、应用服务器端和认证服务器端，所述移动终端分别与应用服务器端、认证服务器端之间无线通讯连接，所述应用服务器端与认证服务器端通过互联网通讯连接。

8.按照权利要求7所述基于移动终端防钓鱼攻击的系统，其特征在于，所述移动终端具有：动态密码生成单元，位置服务单元，数据加密单元和终端可信任单元；

其中：动态密码生成单元：根据当前时间或事件次数，通过客户端所存储的密钥采用对称加密算法或哈希算法计算出动态密码；

位置服务单元：通过运营商的无线网络或外部定位方式获取终端的位置信息；

数据加密单元：把用户终端的身份标识信息、动态密码生成单元生成一次性密码以及位置信息用客户端所存放的公钥进行加密，采用非对称加密算法保证数据传输安全，然后上传至认证服务器端进行身份鉴别。

9.按照权利要求7所述基于移动终端防钓鱼攻击的系统，其特征在于，所述认证服务器端具有：数据解密模块，密码校验模块，位置校验模块和可信任终端校验模块；

其中：数据解密模块：采用非对称算法解出移动终端认证数据；

密码校验模块：根据服务器端所存储相对的密钥、时间或者事件，采用时间窗口策略校验客户端上行的动态密码；

位置校验模块：比对历史数据库中用户登录常用IP位置、移动终端所处历史和现在位置信息，将检测异常反馈给用户；

可信任终端校验模块：根据移动终端上行的特征信息，校验移动终端可信度。

10.按照权利要求7所述基于移动终端防钓鱼攻击的系统，其特征在于，所述应用服务器端具有：数据解密模块、密码验证模块、访问控制模块、日志模块、审计模块、数据库模块、位置比对模块和行为分析模块，

数据解密模块：采用非对称算法解出移动终端认证数据；

密码校验模块：根据服务器端所存储相对的密钥、时间或者事件，采用一定时间窗口策略，校验客户端上行的动态密码；

访问控制模块：识别已使用过的动态密码，保证已经使用过的动态密码不会被再次使用，并且控制异常登录认证行为；

日志模块：接收来自认证服务日志，按照日志的级别将日志写入数据库或日志文件中；

数据库模块：用来存储密钥、相关操作和行为日志；

位置比对模块：对用户登录IP信息以及相应的移动终端的位置信息进行存储和分析；

行为分析模块：对用户各种行为进行记录和分析。

11.按照权利要求7所述的基于移动终端防钓鱼攻击的系统，其特征在于，所述系统还包括管理服务器，管理服务器与移动终端无线通讯连接，完成移动终端客户的生成、删除、冻结、解冻和信息查询功能。