CN102307180A - 一种用于挑战应答令牌的交易确认方法 - Google Patents
一种用于挑战应答令牌的交易确认方法 Download PDFInfo
- Publication number
- CN102307180A CN102307180A CN201110106472A CN201110106472A CN102307180A CN 102307180 A CN102307180 A CN 102307180A CN 201110106472 A CN201110106472 A CN 201110106472A CN 201110106472 A CN201110106472 A CN 201110106472A CN 102307180 A CN102307180 A CN 102307180A
- Authority
- CN
- China
- Prior art keywords
- challenge
- user
- token
- dynamic password
- input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种用于挑战应答令牌的交易确认方法,其在用户输入挑战后,首先根据业务规则对挑战进行解析,提示挑战代表的真正的业务意义,并请用户确认或者取消;如果用户确认确实要进行这个交易,那么就计算并显示动态密码,如果用户取消交易,那么就直接退出。本发明可以有效的防止黑客对用户的欺骗,从而达到防止欺诈交易的目的。
Description
技术领域
本发明涉及一种网络安全技术,具体涉及一种用于挑战应答令牌的交易确认方法。
背景技术
动态密码是一种一次性密码,每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码与原来的镜头密码相结合,构成双因素进行认证,广泛适用于各类信息系统。动态令牌是一种密码设备,用于产生动态密码。
钓鱼攻击是黑客盗窃各类密码(包括静态密码和动态密码)、实现欺诈交易的主要的攻击方式。
挑战应答动态密码具有一定程度的防范钓鱼攻击能力。特别是以交易要素为挑战的动态密码,在技术层面,可以有效防止交易伪造和交易篡改,在技术上可以有效防止钓鱼攻击和中间人攻击。但是仅仅依靠技术层面,还不能完全杜绝欺诈交易。如果黑客采用了伪造挑战的方式,通过钓鱼网站诱使用户将该挑战输入令牌,获得动态口令后输入钓鱼网站,那么这个黑客就盗窃到了该挑战对应的动态密码。如果该挑战恰恰是黑客的欺诈交易所需的挑战,那么黑客就可以用该挑战和该动态密码去实现欺诈交易了。
现有针对挑战应答动态密码的钓鱼攻击过程如下:
参见图1,首先用户受到诱骗,访问钓鱼网站;
钓鱼网站发送伪造的挑战信息给用户,要求用户输入到令牌;
用户在不明白输入挑战意义的情况下,将伪造的挑战输入令牌;
令牌根据输入的挑战信息计算生成相应的动态密码;
用户将令牌生成的动态密码输入钓鱼网站;
黑客通过钓鱼网站钓到用户输入的动态密码,从而可利用伪造的挑战和钓到的动态密码进行欺诈交易,使得用户蒙受巨大损失。
黑客攻击成功的关键在于:用户并不明白其输入挑战的意义是什么,令牌虽然在用户手中,但用户受到了黑客的诱骗输入伪造的挑战,并将获得的动态密码输入钓鱼网站,那么相当于令牌在黑客手中一样,交易签名的技术手段就无法起到保护交易的作用。
因此,如何确保挑战应答动态密码的安全性是本领域亟需解决的问题。
发明内容
本发明需要解决的技术问题是防止用户由于不清楚交易的具体内容而受到欺骗。
为了解决上述问题,本发明采用如下技术方案:
一种用于挑战应答令牌的交易确认方法,所述方法包括如下步骤:
(1)在令牌中固化有用于解析用户输入挑战含义的挑战业务规则;
(2)用户对令牌输入挑战;
(3)令牌利用挑战业务规则解析用户输入挑战含义,并进行确认提示;
(4)若用户确认后,令牌计算并显示动态密码;若用户取消确认,令牌将不计算动态密码。
本发明通过对用户输入挑战信息的解析,并对输入挑战所代表的交易内容进行提醒,再通过增加令牌上的交易信息确认,可以有效的防止黑客对用户的欺骗,从而达到防止欺诈交易的目的。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为钓鱼攻击的流程示意图。
图2为本发明原理流程图。
图3为本发明防止欺诈交易的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明是根据用户输入的挑战信息,对交易内容进行提示,并要求用户确认或取消交易,从而避免用户输入伪造的挑战信息,
基于上述原理,本发明提供的用于挑战应答令牌的交易确认方法,其过程如下(参见图2):
(1)确定用于解析用户输入挑战含义的挑战业务规则,并将其固化在令牌中。比如输入挑战的规则为目标帐号后6位和交易金额,如果存在多项业务,也可引进业务编号,如01为转账,02为缴费等。
(2)用户对令牌输入挑战,用户可能明白挑战的规则,也可能按照网站上的提示进行输入,并不清楚挑战代表的意义。
(3)令牌利用挑战业务规则解析用户输入挑战意义,并进行提示。如挑战为1234569999,业务规则为目标帐号后6为和交易金额,那么令牌在解析后将对用户提示:“转账交易,目标帐号为123456,转账金额为9999,您确认进行转账吗?如果确认请按确认键,否则按删除键取消交易”
(4)用户进行确认或取消。
(5)根据用户选择进行:如果用户确认交易,就计算并显示动态密码,然后退出;如果用户取消交易,那么不计算动态密码,直接退出。
通过增加令牌上的交易信息确认,可以有效防止黑客对用户的欺骗,从而达到防止欺诈交易的目的。
基于上述方案,其防止欺诈交易的过程如下(参见图3):
首先,用户受到诱骗,访问黑客开设的钓鱼网站。
接着,钓鱼网站将要求用户输入伪造的挑战到令牌,如输入信息“3749599999”。
再者,用户由于不知道该伪造的挑战所代表的意义,将伪造的挑战输入到令牌。
接着,当用户输入挑战后,首先令牌根据业务规则对输入挑战进行解析,提示挑战代表的真正的业务意义,并请用户确认或者取消。如果用户确认确实要进行这个交易,那么就计算并显示动态密码。如果用户取消交易,那么就直接退出。比如挑战的业务规则为目标账户后6位和交易金额。由于用户输入的挑战为:3749599999,,用户输完后,令牌将进行如下提示:“转账交易,目标账号后6位:374959,金额:9999元,确认请按确认键,否则按取消键。”
最后,用户通过令牌的解析提示,获知自己输入挑战所代表的意思,将知道自己受骗,在看到提示后会取消交易,从而防止了欺诈交易。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (1)
1.一种用于挑战应答令牌的交易确认方法,其特征在于,所述方法包括如下步骤:
(1)在令牌中固化有用于解析用户输入挑战含义的挑战业务规则;
(2)用户对令牌输入挑战;
(3)令牌利用挑战业务规则解析用户输入挑战含义,并进行确认提示;
(4)若用户确认后,令牌计算并显示动态密码;若用户取消确认,令牌将不计算动态密码。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110106472A CN102307180A (zh) | 2011-04-27 | 2011-04-27 | 一种用于挑战应答令牌的交易确认方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110106472A CN102307180A (zh) | 2011-04-27 | 2011-04-27 | 一种用于挑战应答令牌的交易确认方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102307180A true CN102307180A (zh) | 2012-01-04 |
Family
ID=45380989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110106472A Pending CN102307180A (zh) | 2011-04-27 | 2011-04-27 | 一种用于挑战应答令牌的交易确认方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102307180A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638465A (zh) * | 2012-03-29 | 2012-08-15 | 上海动联信息技术有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102655454A (zh) * | 2012-04-20 | 2012-09-05 | 深圳市文鼎创数据科技有限公司 | 动态令牌交易确认方法及装置 |
| CN102664736A (zh) * | 2012-04-13 | 2012-09-12 | 天地融科技股份有限公司 | 电子密码生成方法、装置和设备以及电子密码认证系统 |
| CN102752311A (zh) * | 2012-07-16 | 2012-10-24 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
| CN102769624A (zh) * | 2012-07-24 | 2012-11-07 | 天地融科技股份有限公司 | 一种动态口令生成系统、装置及方法 |
| CN104125064A (zh) * | 2013-04-28 | 2014-10-29 | 阿里巴巴集团控股有限公司 | 一种动态密码认证方法、客户端及认证系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296078A (zh) * | 2007-04-23 | 2008-10-29 | 北京深思洛克数据保护中心 | 网络通信中的信息交互确认装置 |
| WO2009158214A2 (en) * | 2008-06-27 | 2009-12-30 | Microsoft Corporation | Communication authentication |
| CN101635076A (zh) * | 2009-05-31 | 2010-01-27 | 北京飞天诚信科技有限公司 | 一种交易装置及实现方法 |
| CN101789864A (zh) * | 2010-02-05 | 2010-07-28 | 中国工商银行股份有限公司 | 一种网上银行后台身份认证方法、装置及系统 |
-
2011
- 2011-04-27 CN CN201110106472A patent/CN102307180A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101296078A (zh) * | 2007-04-23 | 2008-10-29 | 北京深思洛克数据保护中心 | 网络通信中的信息交互确认装置 |
| WO2009158214A2 (en) * | 2008-06-27 | 2009-12-30 | Microsoft Corporation | Communication authentication |
| CN101635076A (zh) * | 2009-05-31 | 2010-01-27 | 北京飞天诚信科技有限公司 | 一种交易装置及实现方法 |
| CN101789864A (zh) * | 2010-02-05 | 2010-07-28 | 中国工商银行股份有限公司 | 一种网上银行后台身份认证方法、装置及系统 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102638465A (zh) * | 2012-03-29 | 2012-08-15 | 上海动联信息技术有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102638465B (zh) * | 2012-03-29 | 2015-01-07 | 上海动联信息技术股份有限公司 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
| CN102664736A (zh) * | 2012-04-13 | 2012-09-12 | 天地融科技股份有限公司 | 电子密码生成方法、装置和设备以及电子密码认证系统 |
| CN102655454A (zh) * | 2012-04-20 | 2012-09-05 | 深圳市文鼎创数据科技有限公司 | 动态令牌交易确认方法及装置 |
| CN102752115A (zh) * | 2012-07-04 | 2012-10-24 | 北京天龙融和软件有限公司 | 挑战码生成方法及装置、动态口令认证方法及系统 |
| CN102752311A (zh) * | 2012-07-16 | 2012-10-24 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102752311B (zh) * | 2012-07-16 | 2016-04-06 | 天地融科技股份有限公司 | 一种认证方法、系统和装置 |
| CN102769624A (zh) * | 2012-07-24 | 2012-11-07 | 天地融科技股份有限公司 | 一种动态口令生成系统、装置及方法 |
| CN102769624B (zh) * | 2012-07-24 | 2016-01-20 | 天地融科技股份有限公司 | 一种动态口令生成系统、装置及方法 |
| CN104125064A (zh) * | 2013-04-28 | 2014-10-29 | 阿里巴巴集团控股有限公司 | 一种动态密码认证方法、客户端及认证系统 |
| CN104125064B (zh) * | 2013-04-28 | 2018-04-03 | 阿里巴巴集团控股有限公司 | 一种动态密码认证方法、客户端及认证系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102307180A (zh) | 一种用于挑战应答令牌的交易确认方法 | |
| JP2022140732A (ja) | 通信検証のためのシステムおよび方法 | |
| JP2011502311A (ja) | ダイナミック口座番号を用いた口座取引管理 | |
| CN105227317B (zh) | 一种支持认证器隐私的云数据完整性检测方法和系统 | |
| CN106027501B (zh) | 一种在移动设备中进行交易安全认证的系统和方法 | |
| CN103916244A (zh) | 验证方法及装置 | |
| WO2015116998A2 (en) | Electronic transfer and obligation enforcement system | |
| KR102227578B1 (ko) | 블록체인 네트워크를 이용한 영지식 증명 기반의 인증서 서비스 방법, 이를 이용한 인증 지원 서버 및 사용자 단말 | |
| KR20150077446A (ko) | 추가적 검증에 의해 아날로그 디지털 서명으로 전자문서에 사인하는 방법 | |
| CN101764800A (zh) | 一种动态密码的多终端联合验证方法 | |
| CN107534668A (zh) | 交易安全的方法和系统 | |
| JP2016170761A (ja) | 不正送金防止方法、及び不正送金防止システム | |
| CN105431843A (zh) | 以通信装置识别码作为网络身份验证 | |
| CN103220288A (zh) | 一种社交平台的安全运行方法 | |
| CN110458539A (zh) | 一种加密货币自动提取方法及系统 | |
| CN110634072B (zh) | 一种基于多签和硬件加密的区块链交易系统 | |
| Matwyshyn et al. | Broken | |
| JP2016015107A5 (zh) | ||
| JP2015097003A (ja) | 認証システム、認証方法および認証プログラム | |
| CN109697368A (zh) | 用户信息数据安全使用的方法、设备及系统、存储介质 | |
| Muntode et al. | An Overview on Phishing-its types and Countermeasures | |
| Von Solms et al. | Critical information infrastructure protection (CIIP) and cyber security in Africa–Has the CIIP and cyber security Rubicon been crossed? | |
| CN101369894A (zh) | 通过验证不完整密码进行反钓鱼的登录方法 | |
| CN104484801A (zh) | 一种网吧安全支付方法 | |
| CN101355426A (zh) | 基于动态口令的身份认证方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 201203 Shanghai City Chenhui Road, Zhangjiang High Tech Park of Pudong New Area No. 88 Building No. 2 room 2401 Applicant after: DynamiCode Company Limited Address before: 200003 Shanghai Guo Shou Jing Road, Zhangjiang High Tech Park of Pudong New Area No. 498 building 14 room 22301-1306 Applicant before: DynamiCode Company Limited |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHANGHAI DYNAMICODE TECHNOLOGY CO., LTD. TO: SHANGHAI DYNAMICODE INFORMATION TECHNOLOGY CO., LTD. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20120104 |