CN102571803B - 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 - Google Patents
一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 Download PDFInfo
- Publication number
- CN102571803B CN102571803B CN201210018212.3A CN201210018212A CN102571803B CN 102571803 B CN102571803 B CN 102571803B CN 201210018212 A CN201210018212 A CN 201210018212A CN 102571803 B CN102571803 B CN 102571803B
- Authority
- CN
- China
- Prior art keywords
- application server
- client
- quick response
- response code
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统,其使用双链路数据进行认证,双链路是指由PC客户端到应用服务器的使用用户名和静态密码的认证为第一条链路,基于移动终端的客户端到应用服务器通过认证服务进行认证为第二条链路;本发明的系统包括:移动终端、PC客户端、应用服务器、认证系统服务器、认证系统灾备服务器,本发明的优点是基于应用服务器与移动终端所传输信息的双链路数据并结合移动终端及应用服务器的图形二位码信息在应用服务器上进行验证,从而为防钓鱼、防订单篡改、防盗号提供一种全新的行之有效的解决方案,大大提高了网络安全性,具有较强的实用价值和现实意义。
Description
技术领域
本发明涉及一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统,属于网络通信技术领域。
背景技术
随着信息技术的迅猛发展,特别是无线通信、网络通信技术日趋成熟,越来越多的企业改变了以前业务系统在企业内部局域网孤立运行的方式而放在互联网上运行,互联网应用得到了长足的发展,但由此导致的信息共享与信息保护问题日益突出,网络安全与犯罪在一定程度上长期制约着互联网应用前景。常见的网络安全问题包括篡改用户订单信息、窃取账户以及钓鱼攻击。目前,大多数互联网应用采用传统的用户名加静态密码的认证方式,这种方式的账号信息非常容易被窃取,相应的用户订单信息也很容易被篡改,同时,基于用户名和静态密码的认证方式容易被钓鱼攻击,如果采用动态密码方式,同样也存在被钓鱼的风险。目前,采用的各种防止钓鱼攻击、防止订单篡改、防止盗号的方法都有明显的技术不足。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统。
本发明的一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法基本原理如下:
使用双链路数据进行认证,双链路是指由PC客户端到应用服务器的使用用户名和静态密码的认证为第一条链路,基于移动终端的客户端到应用服务器通过认证服务进行认证为第二条链路;
第一条链路认证通过后,应用服务器通过算法生成图形二维码,回传给PC客户端,同时将图形二维码保存在应用服务器。图形二维码包括订单信息、账号及其它有用数据;
移动终端使用视频等设备获得PC客户端的图形二维码进行第二链路的认证。第二链路认证信息包括图形二位码、用户ID等信息。第二链路认证时通过GPRS的方式将认证信息传递给应用服务器;
应用服务器将用户ID等信息传递给认证系统服务器,认证系统服务器验证当前用户的合法性,如果合法,则返回给应用服务器进行图形二维码比对;
应用服务器的图形二维码来源于第一条链路认证通过后保存在应用服务器上的图形二维码和移动终端通过视频等设备获得的PC客户端的图形二维码;
应用服务器通过图形二维码解码算法解密来源于双链路的二维码信息,包括订单数据、账号数据等等,同时,对这些数据进行比对,判断订单数据是否被篡改、账号是否合法,从而实现本发明目的。
本发明的一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法步骤如下:
实现本方法的前提是安装在移动终端上的客户端与用户在应用服务器上注册的账户进行绑定,绑定过程涉及到安装在移动终端上的客户端程序、应用服务程序、认证系统程序三个部分,步骤如下:
第一步,用户使用移动终端通过客户端程序发起绑定请求,可以通过激活码或直接使用用户在应用服务器上注册的账号申请绑定;当使用激活码方式时,激活码由应用服务器生成;
第二步,移动终端上的客户端向应用服务器申请账号绑定。可以通过GPRS或上行短信的方式进行;
第三步,应用服务器进行绑定请求验证,验证的内容包括从客户端传递过来的与用户相关的关键信息,诸如用户账号或激活码;
第四步,应用服务器的绑定验证通过后,请求认证系统服务器进行数据分发;
第五步,认证系统服务器根据客户端传递过来的相关信息通过相关算法为当前绑定用户生成ID(唯一标示)和私钥等信息并返回给应用服务器。算法可以为AES或SM3;
第六步,应用服务器将认证系统服务器分发的数据回传给移动终端,客户端存储接收到的数据,比如ID、私钥的信息;
第七步,客户端向应用服务器发起绑定请求;绑定请求包括用户ID、私钥与其它相关信息;
第八步,应用服务器向认证系统服务器请求绑定认证;
第九步,应用服务器认证通过后,绑定成功。
本发明的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统包括:移动终端、PC客户端、应用服务器、认证系统服务器、认证系统灾备服务器。所述移动终端、PC客户端分别与应用服务器连接,所述认证系统服务器和认证系统灾备服务器分别与应用服务器连接,所述认证系统服务器与认证系统灾备服务器连接。
所述PC客户端相对于应用服务器而言,所述PC客户端通过浏览器访问应用服务器,合法用户能够对应用服务器功能进行相关操作。PC客户端在硬件方面没有特定要求,只要能安装主流浏览器就可以。
所述移动终端安装第二链路认证的客户端程序。所述移动终端包括手机、pda、ipad等设备。
所述应用服务器安装应用系统,根据应用系统的特定要求,应用服务器可以是PCServer或小型机。部署方式可以依据应用系统非功能性要求进行集群式部署。负载均衡器采用软件或硬件的方式。
所述认证系统服务器可以是PCServer或小型机。部署方式可以根据认证系统的非功能性要求进行集群式部署。所述认证系统服务器包括数据库服务器,数据库服务器存储用户ID、种子密钥信息及认证日志数据。数据库服务器最基本的部署方式为主从服务,根据数据库负载情况可以进行集群式部署。
为了防止非正常原因导致所述认证系统服务器不可用,对所述认证系统服务器建立同城异地及异城异地的认证系统灾备服务器,所述认证系统灾备服务器与认证系统服务器配置一致。
本发明的优点是采用成熟的二维码技术,基于应用服务器与移动终端所传输信息的双链路数据并结合移动终端及应用服务器的图形二位码信息在应用服务器上进行验证,从而为防钓鱼、防订单篡改、防盗号提供一种全新的行之有效的解决方案,大大提高了网络安全性,具有较强的实用价值和现实意义。
附图说明
图1是本发明所述的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法的工作原理图;
图2是本发明所述的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统的结构示意图。
具体实施方式
下面结合附图和实施例对本发明进行详细描述。本发明的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法工作原理如图1所示,
PC客户端2通过浏览器访问应用服务器3,拥有展现图形二维码的容器;
应用服务器3能够分发静态账号、图形二维码算法生成及解码器;
认证系统服务器4为基于移动终端1的客户端绑定应用服务器3的账户提供支撑服务,它能为注册在应用服务器3上的账户分发唯一标识、进行身份认证;
安装在移动终端1上的客户端能够获得PC客户端2的图形二维码,并可以根据二次认证结果对用户账户采取通过认证、锁定账号、解除账号锁定等操作。
如图2所示,本发明的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统包括:移动终端1、PC客户端2、应用服务器3、认证系统服务器4、认证系统灾备服务器5。移动终端1、PC客户端2分别与应用服务器3连接,认证系统服务器4和认证系统灾备服务器5分别与应用服务器3连接,认证系统服务器4与认证系统灾备服务器5连接。
PC客户端2相对于应用服务器3而言,PC客户端2通过浏览器访问应用服务器3,合法用户能够对应用服务器3的功能进行相关操作。PC客户端2安装主流浏览器。
移动终端1安装第二链路认证的客户端程序。移动终端1包括手机、pda、ipad等设备。
应用服务器3安装应用系统,根据应用系统的特定要求,应用服务器3可以是PCServer或小型机。
认证系统服务器4可以是PCServer或小型机。认证系统服务器4包括数据库服务器,数据库服务器存储用户ID、种子密钥信息及认证日志数据。
为了防止非正常原因导致认证系统服务器4不可用,对认证系统服务器4建立同城异地及异城异地的认证系统灾备服务器5,认证系统灾备服务器5与认证系统服务器4配置一致。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
Claims (2)
1.一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法,其特征在于,使用双链路数据进行认证,双链路是指由PC客户端到应用服务器的使用用户名和静态密码的认证为第一条链路,基于移动终端的客户端到应用服务器通过认证服务进行认证为第二条链路;
第一条链路认证通过后,应用服务器通过算法生成图形二维码,回传给PC客户端,同时将图形二维码保存在应用服务器,图形二维码包括订单信息、账号;
移动终端使用视频设备获得PC客户端的图形二维码进行第二链路的认证,第二链路认证信息包括图形二位码、用户ID信息,第二链路认证时通过GPRS的方式将认证信息传递给应用服务器;
应用服务器将用户ID信息传递给认证系统服务器,认证系统服务器验证当前用户的合法性,如果合法,则返回给应用服务器进行图形二维码比对;
应用服务器的图形二维码来源于第一条链路认证通过后保存在应用服务器上的图形二维码和移动终端通过视频设备获得的PC客户端的图形二维码;
应用服务器通过图形二维码解码算法解密来源于双链路的二维码信息,包括订单数据、账号数据,同时,对这些数据进行比对,判断订单数据是否被篡改、账号是否合法。
2.根据权利要求1所述的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法,其特征在于,实现本方法的前提是安装在移动终端上的客户端与用户在应用服务器上注册的账户进行绑定,绑定过程涉及到安装在移动终端上的客户端程序、应用服务程序、认证系统程序三个部分,具体步骤如下:
(1)用户使用移动终端通过客户端程序发起绑定请求,通过激活码或直接使用用户在应用服务器上注册的账号申请绑定;当使用激活码方式时,激活码由应用服务器生成;
(2)移动终端上的客户端向应用服务器申请账号绑定,通过GPRS或上行短信的方式进行;
(3)应用服务器进行绑定请求验证,验证的内容包括从客户端传递过来的与用户相关的关键信息;
(4)应用服务器的绑定验证通过后,请求认证系统服务器进行数据分发;
(5)认证系统服务器根据客户端传递过来的相关信息通过相关算法为当前绑定用户生成唯一标示用户ID信息和私钥信息并返回给应用服务器;
(6)应用服务器将认证系统服务器分发的数据回传给移动终端,客户端存储接收到的数据;
(7)客户端向应用服务器发起绑定请求;绑定请求包括用户ID信息、私钥信息;
(8)应用服务器向认证系统服务器请求绑定认证;
(9)应用服务器认证通过后,绑定成功。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210018212.3A CN102571803B (zh) | 2012-01-19 | 2012-01-19 | 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210018212.3A CN102571803B (zh) | 2012-01-19 | 2012-01-19 | 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102571803A CN102571803A (zh) | 2012-07-11 |
| CN102571803B true CN102571803B (zh) | 2016-04-27 |
Family
ID=46416277
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210018212.3A Expired - Fee Related CN102571803B (zh) | 2012-01-19 | 2012-01-19 | 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102571803B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108648286A (zh) * | 2018-04-26 | 2018-10-12 | 常州信息职业技术学院 | 一种停车场收费系统及其工作方法 |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103685206B (zh) * | 2012-09-25 | 2017-09-22 | 阿里巴巴集团控股有限公司 | 识别信息的生成方法和系统 |
| CN102930429B (zh) * | 2012-11-19 | 2016-08-24 | 北京子衿晨风科技有限公司 | 一种验证系统和方法 |
| CN103841140B (zh) * | 2012-11-22 | 2019-05-28 | 北京百度网讯科技有限公司 | 一种终端间信息互传的方法、系统和装置 |
| CN103023918B (zh) * | 2012-12-26 | 2016-08-31 | 百度在线网络技术(北京)有限公司 | 为多个网络服务统一提供登录的方法、系统和装置 |
| CN103067378B (zh) * | 2012-12-26 | 2016-08-03 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN103001973B (zh) * | 2012-12-26 | 2016-08-31 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103001974B (zh) * | 2012-12-26 | 2016-11-16 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103036902B (zh) * | 2012-12-26 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法和系统 |
| CN103001975B (zh) * | 2012-12-26 | 2016-12-28 | 百度在线网络技术(北京)有限公司 | 基于二维码的登录控制方法、系统和装置 |
| CN103078862A (zh) * | 2013-01-06 | 2013-05-01 | 广州市建乔自动化科技有限公司 | 二维码双因素认证系统及其认证方法、终端设备和服务器 |
| CN103927464A (zh) * | 2013-01-11 | 2014-07-16 | 深圳市腾讯计算机系统有限公司 | 共同验证方法、二维码生成方法、设备和系统 |
| CN103152399B (zh) * | 2013-02-07 | 2016-05-25 | 百度在线网络技术(北京)有限公司 | 登录方法、系统和云端服务器 |
| CN103152330A (zh) * | 2013-02-07 | 2013-06-12 | 百度在线网络技术(北京)有限公司 | 登录方法、系统和云端服务器 |
| CN103237034A (zh) * | 2013-04-28 | 2013-08-07 | 北京小米科技有限责任公司 | 登录方法及装置 |
| CN104166827B (zh) * | 2013-05-16 | 2017-08-25 | 北大方正集团有限公司 | 基于二维码的业务处理系统和基于二维码的业务处理方法 |
| CN103685255B (zh) * | 2013-12-06 | 2017-02-01 | 上海众人网络安全技术有限公司 | 一种基于二维码扫描的文件加密方法 |
| CN103684791A (zh) * | 2013-12-19 | 2014-03-26 | 华为软件技术有限公司 | 登录处理装置、方法和系统 |
| CN103679114A (zh) * | 2014-01-06 | 2014-03-26 | 武汉瑞普思信息技术有限公司 | 一种基于二维码的移动信息获取方法及系统 |
| CN103945380A (zh) * | 2014-04-10 | 2014-07-23 | 深圳市信锐网科技术有限公司 | 基于图形码的网络登录认证方法和系统 |
| CN105260692B (zh) * | 2014-05-26 | 2018-04-03 | 阿里巴巴集团控股有限公司 | 一种doi 的验证方法、装置和系统 |
| CN105306202B (zh) * | 2014-06-24 | 2019-11-05 | 腾讯科技(深圳)有限公司 | 身份验证方法、装置及服务器 |
| CN105809536A (zh) * | 2014-12-29 | 2016-07-27 | 北京握奇智能科技有限公司 | 一种网银交易系统 |
| CN105227556A (zh) * | 2015-10-10 | 2016-01-06 | 罗子聪 | 服务器及终端防伪验证方法、系统 |
| CN105933353B (zh) * | 2016-07-05 | 2019-05-17 | 北京万维星辰科技有限公司 | 安全登录的实现方法及系统 |
| CN107483504A (zh) * | 2017-09-29 | 2017-12-15 | 南京中高知识产权股份有限公司 | 安全交易认证方法及系统 |
| CN107454111A (zh) * | 2017-09-29 | 2017-12-08 | 南京中高知识产权股份有限公司 | 安全认证设备及其工作方法 |
| CN107578517A (zh) * | 2017-09-29 | 2018-01-12 | 南京中高知识产权股份有限公司 | 高级别安防门禁系统及系统 |
| CN109600340B (zh) * | 2017-09-30 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 操作授权方法、装置、终端以及服务器 |
| CN109257338A (zh) * | 2018-08-29 | 2019-01-22 | 厦门快快网络科技有限公司 | 一种服务器登录二次认证的系统与方法 |
| CN109508527A (zh) * | 2018-11-16 | 2019-03-22 | 聚好看科技股份有限公司 | 一种实现不同终端账户统一的方法、终端及服务器 |
| CN111181722A (zh) * | 2020-03-06 | 2020-05-19 | 联想(北京)有限公司 | 一种认证方法及系统 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1959727A (zh) * | 2005-11-02 | 2007-05-09 | 中国银联股份有限公司 | 基于二维码技术的手机购物方法及系统 |
| JP2008099058A (ja) * | 2006-10-13 | 2008-04-24 | Murata Mach Ltd | ネットワークシステム |
| CN101281581A (zh) * | 2007-09-27 | 2008-10-08 | 北京数字证书认证中心有限公司 | 一种检验纸制文档内容是否被篡改的方法 |
| WO2009034696A1 (ja) * | 2007-09-10 | 2009-03-19 | Nec Corporation | 端末装置の認証方法、端末装置及びプログラム |
| CN101917408A (zh) * | 2010-07-23 | 2010-12-15 | 南昌大学 | 一种基于c/s构架的手机二维码电子回执方法 |
-
2012
- 2012-01-19 CN CN201210018212.3A patent/CN102571803B/zh not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1959727A (zh) * | 2005-11-02 | 2007-05-09 | 中国银联股份有限公司 | 基于二维码技术的手机购物方法及系统 |
| JP2008099058A (ja) * | 2006-10-13 | 2008-04-24 | Murata Mach Ltd | ネットワークシステム |
| WO2009034696A1 (ja) * | 2007-09-10 | 2009-03-19 | Nec Corporation | 端末装置の認証方法、端末装置及びプログラム |
| CN101281581A (zh) * | 2007-09-27 | 2008-10-08 | 北京数字证书认证中心有限公司 | 一种检验纸制文档内容是否被篡改的方法 |
| CN101917408A (zh) * | 2010-07-23 | 2010-12-15 | 南昌大学 | 一种基于c/s构架的手机二维码电子回执方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108648286A (zh) * | 2018-04-26 | 2018-10-12 | 常州信息职业技术学院 | 一种停车场收费系统及其工作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102571803A (zh) | 2012-07-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102571803B (zh) | 一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统 | |
| CN102394887B (zh) | 基于OAuth协议的开放平台安全认证方法和系统 | |
| CN111079136B (zh) | 一种基于区块链技术的雾计算入侵检测特征共享系统 | |
| CN102457376B (zh) | 一种云计算服务统一认证的方法和系统 | |
| CN105188055A (zh) | 无线网络接入方法、无线接入点以及服务器 | |
| HUE030543T2 (en) | Mobile handset identification and communication authentication | |
| CN103581108A (zh) | 一种登录验证方法、客户端、服务器及系统 | |
| CN105007280A (zh) | 一种应用登录方法和装置 | |
| CN103517273A (zh) | 认证方法、管理平台和物联网设备 | |
| CN106487743A (zh) | 用于支持多用户集群身份验证的方法和设备 | |
| CN103249045A (zh) | 一种身份识别的方法、装置和系统 | |
| CN103220344A (zh) | 微博授权使用方法和系统 | |
| CN102868702B (zh) | 系统登录装置和系统登录方法 | |
| CN101860549B (zh) | 一种Web Service下访问会话数据处理方法及装置 | |
| CN103067372B (zh) | 云终端登录云服务器的方法及登录系统 | |
| CN103001965A (zh) | 服务器证书更新方法及服务器 | |
| CN104869102A (zh) | 基于xAuth协议的授权方法、装置和系统 | |
| CN104468550A (zh) | 一种Windows桌面的用户登录方法、设备及系统 | |
| CN103905399A (zh) | 一种帐号登录管理的方法和装置 | |
| CN104168304A (zh) | Vdi环境下的单点登录系统及方法 | |
| CN104754009A (zh) | 一种服务获取调用方法、装置以及客户端和服务器 | |
| CN111818088A (zh) | 授权模式管理方法、装置、计算机设备及可读存储介质 | |
| CN103856539A (zh) | 私有云系统、智能家庭系统及家庭数据保护方法 | |
| CN105553920A (zh) | 数据交互方法及装置、系统 | |
| CN102143131B (zh) | 用户注销方法及认证服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 100142 East 9A, Hui Hui building, No. 158 West Fourth Ring Road, Beijing, Haidian District Applicant after: Beijing Yuanjian Technologies Co.,Ltd. Address before: 100080, room 610, SOHO building, 8 North two street, Beijing, Zhongguancun, Haidian District Applicant before: TimeSafer (Beijing) Technology Co.,Ltd. |
|
| COR | Change of bibliographic data | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160427 Termination date: 20220119 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |