[发明专利]一种基于移动终端防钓鱼攻击的方法和系统

说明书

技术领域

本发明涉及无线通信、网络通信与密码校验以及互联网安全相结合的技术，具体涉及一种基于移动可信终端的防止钓鱼攻击的方法和系统。 

背景技术

随着互联网的普及以及3G移动互联网的快速发展，越来越多的应用系统在公网上运行，网络安全问题日益突出，一种普遍的犯罪攻击是“钓鱼”，其试图骗取用户向钓鱼攻击者提供个人信息，钓鱼攻击者使用所获取的因特网用户信息进行犯罪活动。目前大多数应用系统采用传统用户名加密码的认证方式，这种认证方式容易被钓鱼攻击，采用动态密码方式，同样也存在被钓鱼攻击的问题。 

目前已进行多种尝试以防止钓鱼攻击。有采用专门的硬件方案、一次性密码、服务器端证书、客户端浏览器扩展、客户端本地黑名单方式，以及采取双向认证等方式互相鉴别，仍然很难防止被钓鱼攻击。 

中国专利申请CN201010587753.9公开了一种防止网络钓鱼的设备和系统，包括以下步骤：(一)业务系统客户端访问业务系统，请求进行身份认证和服务器验证；(二)产生服务器验证码；(三)服务器验证码返回业务系统；(四)验证码返回到用户的业务系统客户端；(五)用户输入业务系统客户端令牌上显示的动态密码并提交到业务系统；(六)验证动态密码的正确性；(七)验证结果返回业务系统。设备由实时时钟、电源、液晶屏、单片微型计算机、注入接口构成。本发明利用动态密码技术，通过带外通道实现在设备上显示提示信息与服务器上提供的信息进行比对，从而发现钓鱼服务器。但仍存在很大的安全隐患。 

发明内容

为了克服现有技术的不足，本发明的目的之一是提供一种可有效解决钓鱼问题的认证方法，该方法中认证服务器端根据应用服务器端与移动终端所传输信息的双线链路数据并结合移动终端以及应用服务器登录位置信息进行验证，从而解决钓鱼攻击问题。 

本发明的另一目的是提供实现上述方法的系统。 

本发明提供的基于移动终端防钓鱼攻击的方法，包括步骤：(1)数据初始化：用户向应 用服务系统发起绑定请求，通过正常身份认证，等待客户端向应用服务系统发起初始化请求，认证服务器根据客户端携带的相关账号信息通过算法为所述用户生成ID和私有密钥，和初始化位置信息等保存于相应的数据库服务器的同时，并通过应用服务器分发到用户的客户端；(2)账号绑定：用户在客户端向应用服务器发起绑定请求，并在客户端建立用户相关数据库，存入ID、私有密钥以及相关数据信息，经认证服务器认证通过后，绑定成功；(3)认证应用：用户向应用服务器发起第一链路登录申请并等待第二链路终端认证结果，同时客户端通过应用服务器向认证服务器发起第二链路终端认证请求，得到终端认证结果返回用户；所述客户端安装于移动终端。 

进一步，所述客户端向认证服务器发起的第二链路终端认证请求包括动态密码认证和位置信息认证。 

进一步，所述客户端向认证服务器发起的第二链路终端认证请求还包括终端可信认证。 

进一步，所述认证服务器按照对称加密算法或者杂凑算法生成私有密钥，所述移动终端使用每个客户端的私有密钥作为客户身份要素之一、采用时间以及事件作为同步因子生成动态密码。保证移动链路传输数据的随机性、一次性有效和时效性。 

进一步，所述密钥分发数据传输采用非对称加密算法。 

进一步，所述移动终端为手机、掌上电脑或平板电脑。 

本发明提供的实现上述基于移动终端防钓鱼攻击方法的系统，包括移动终端、应用服务器端和认证服务器端，所述移动终端分别与应用服务器端、认证服务器端之间无线通讯连接，所述应用服务器端与认证服务器端通过互联网通讯连接。 

进一步，所述移动终端具有：动态密码生成单元，位置服务单元，数据加密单元和终端可信任单元； 

其中：动态密码生成单元：根据当前时间或事件次数，通过客户端所存储的密钥采用对称加密算法或者哈希算法计算出动态密码； 

位置服务单元：比对历史数据库中用户登录常用IP位置、移动终端所处历史和现在位置信息，将检测异常反馈给用户；； 

数据加密单元：把用户终端的身份标识信息、动态密码生成单元生成动态密码以及位置信息用客户端所存放的公钥进行加密，采用非对称加密算法保证数据传输安全，然后上传至认证服务器端进行身份鉴别。 

进一步，所述认证服务器端具有：数据解密模块，密码校验模块，位置校验模块和可信 任终端校验模块； 

其中：数据解密模块：采用非对称算法解出移动终端认证数据；