CN102638465B - 一种防止钓鱼攻击的挑战应答动态密码生成方法 - Google Patents
一种防止钓鱼攻击的挑战应答动态密码生成方法 Download PDFInfo
- Publication number
- CN102638465B CN102638465B CN201210088854.0A CN201210088854A CN102638465B CN 102638465 B CN102638465 B CN 102638465B CN 201210088854 A CN201210088854 A CN 201210088854A CN 102638465 B CN102638465 B CN 102638465B
- Authority
- CN
- China
- Prior art keywords
- challenge
- information
- dynamic
- input
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Landscapes
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
Abstract
本发明公开了一种防止钓鱼攻击的挑战应答动态密码生成方法,该方法基于动态令牌实施,所述动态令牌上设置触发输入对应挑战信息的若干触发按键,且若干触发按键上分别设有其所对应挑战信息的含义说明,由此实现挑战信息的分段输入;基于该动态令牌,所述答动态密码生成方法如下:(1)根据令牌中挑战业务规则,输入相应的挑战信息;(2)通过待输入挑战信息所对应的触发按键触发后,由动态令牌上输入按键输入待输入挑战信息;(3)在根据挑战业务规则输完挑战信息后,动态令牌利用种子密钥生成动态密码。本发明可以有效的防止黑客对用户的欺骗,从而达到防止欺诈交易的目的。
Description
技术领域
本发明涉及一种网络安全技术,具体涉及一种用于挑战应答令牌的交易确认方法。
背景技术
动态密码是一种一次性密码,每个密码只能使用一次。动态密码可以随时间、次数和挑战信息而变化。动态密码与原来的镜头密码相结合,构成双因素进行认证,广泛适用于各类信息系统。动态令牌是一种密码设备,用于产生动态密码。
钓鱼攻击是黑客盗窃各类密码(包括静态密码和动态密码)、实现欺诈交易的主要的攻击方式。
挑战应答动态密码具有一定程度的防范钓鱼攻击能力。特别是以交易要素为挑战的动态密码,在技术层面,可以有效防止交易伪造和交易篡改,在技术上可以有效防止钓鱼攻击和中间人攻击。但是仅仅依靠技术层面,还不能完全杜绝欺诈交易。如果黑客采用了伪造挑战的方式,通过钓鱼网站诱使用户将该挑战输入令牌,获得动态口令后输入钓鱼网站,那么这个黑客就盗窃到了该挑战对应的动态密码。如果该挑战恰恰是黑客的欺诈交易所需的挑战,那么黑客就可以用该挑战和该动态密码去实现欺诈交易了。
现有针对挑战应答动态密码的钓鱼攻击过程如下:
参见图1,首先用户受到诱骗,访问钓鱼网站;
钓鱼网站发送伪造的挑战信息给用户,要求用户输入到令牌;
用户在不明白输入挑战意义的情况下,将伪造的挑战输入令牌;
令牌根据输入的挑战信息计算生成相应的动态密码;
用户将令牌生成的动态密码输入钓鱼网站;
黑客通过钓鱼网站钓到用户输入的动态密码,从而可利用伪造的挑战和钓到的动态密码进行欺诈交易,使得用户蒙受巨大损失。
黑客攻击成功的关键在于:用户并不明白其输入挑战的意义是什么,令牌虽然在用户手中,但用户受到了黑客的诱骗输入伪造的挑战,并将获得的动态密码输入钓鱼网站,那么相当于令牌在黑客手中一样,交易签名的技术手段就无法起到保护交易的作用。
因此,如何确保挑战应答动态密码的安全性是本领域亟需解决的问题。
发明内容
本发明针对现有用户易受钓鱼攻击错误输入挑战信息,造成动态密码泄漏,从而使得用户蒙受巨大损失的问题,而提供一种防止钓鱼攻击的挑战应答动态密码生成方法。该方法使得用户在输入挑战信息时需要在动态令牌上的相应按键触发后才可输入,并且这些按键对应相应挑战的实际意义,由此来提醒用户注意自己输入挑战的最终意义,避免受钓鱼网站的欺骗泄漏动态密码,从而达到提高挑战应答动态密码的安全性。
为了达到上述目的,本发明采用如下的技术方案:
一种防止钓鱼攻击的挑战应答动态密码生成方法,该方法基于动态令牌实施,所述动态令牌上设置触发输入对应挑战信息的若干触发按键,且若干触发按键上分别设有其所对应挑战信息的含义说明,由此实现挑战信息的分段输入;基于该动态令牌,所述答动态密码生成方法如下:
(1)根据令牌中挑战业务规则,输入相应的挑战信息;
(2)通过待输入挑战信息所对应的触发按键触发后,由动态令牌上输入按键输入待输入挑战信息;
(3)在根据挑战业务规则输完挑战信息后,动态令牌利用种子密钥生成动态密码。
进一步的,所述挑战信息为金额、对方账号信息和其他业务信息中的一项或多项。
进一步的,所述挑战信息还包括自己账号信息。
进一步的,所述挑战业务规则至少包括所需的挑战信息。
进一步的,所述动态令牌上设置有动态密码生成触发按钮。
本发明通过挑战信息的分段输入,并且由对应的触发按钮来触发输入相应的挑战信息,由触发按钮上对应的待输入挑战信息的说明来提醒用户所输入挑战的最终含义,再通过增加令牌上的动态密码生成触发按钮来最终确认是否生成动态密码,可以有效的防止黑客对用户的欺骗,从而提高挑战应答动态密码的安全性继而达到阻止用户动态密码泄露,防止欺诈交易的目的。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为钓鱼攻击的流程示意图。
图2为本发明中挑战令牌的示意图。
图3为本发明原理流程图。
图4为本发明防止欺诈交易的流程图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本发明通过分段输入相应的挑战信息,对每段输入的挑战信息的含义进行提醒,从而让用户知晓自己输入挑战信息的最终含义,从而避免用户输入伪造的挑战信息,造成自己动态密码的泄露,给自己造成损失。
基于上述原理,本发明提供的防止钓鱼攻击的挑战应答动态密码生成方法,基于支持挑战信息分段输入的动态令牌实施。
参见图2,本发明中的动态令牌100上除了常规的挑战信息输入按键101外还设置有触发输入对应挑战信息的若干触发按键102和密码生成按键103。
每个触发按键102用于触发输入不同的挑战信息,如本发明中触发按键102a用于触发输入的挑战信息为用户账号,只有用户通过该触发按键102a后,用户才能够通过常规按键101输入为用户账号的挑战信息;再者触发按键102b用于触发输入的挑战信息为对方账号,只有用户通过该触发按键102b后,用户才能够通过常规按键101输入为对方账号的挑战信息;再者触发按键102c用于触发输入的挑战信息为交易金额,只有用户通过该触发按键102c后,用户才能够通过常规按键101输入为交易金额的挑战信息。由此通过不同的触发按键102触发输入不同的挑战信息,从而实现挑战信息的分段输入,从而强制提醒用户输入挑战信息的含义。但是具体触发按键102所对应的挑战信息并不限于上述,其可根据每个动态令牌的挑战业务规则所对应的挑战信息进行设定。
为了进一步提醒用户输入挑战信息的含义,本发明在触发按键102上设置有对应输入挑战信息含义的说明,如文字说明、或图形标志等,例如本发明中触发按键102a上设置“用户账号”文字,在触发按键102b上设置“对方账号”文字,在触发按键102c上设置“交易金额”文字,这样用户将非常清楚自己输入的挑战信息的含义,从而提高自己的警觉性,避免上当。
密码生成按键103用于触发动态令牌根据用户输入的挑战信息计算生成相应的动态密码。这样避免动态令牌自动生成相应的动态密码,给用户提醒,再次确认是否需要生成动态密码,有效避免动态密码的随意生成。
基于上述分段输入挑战信息的动态令牌,本发明提供一种防钓鱼的动态密码生成方法,其具体流程如下(参见图3):
(1)根据令牌中挑战业务规则,输入相应的挑战信息,在本发明中涉及的挑战信息与用户的开户要求相对应,可以包括自己账号信息、金额、对方账号信息等等,但并不限于此,比如包括金额、对方账号和其他的一些业务信息等等。再者为了进一步提高安全性,挑战信息还可包括没有业务意义的信息,如随机数等。而相应的挑战业务规则至少包括所需的挑战信息,对于所需的挑战信息可为金额、对方账号信息和其他业务信息中的一项或多项,根据需要还可以包括自己账号信息等等,同时可以是这三种之间的任意组合,如自己账号信息和金额,或者金额和对方账号信息等等,也可以为这三种中的任一种,同时也可以不需要输入任何的挑战信息。
如上所述当用多种挑战信息需要输入时,根据实际的安全要求,还可包括其他的一些要求,比如挑战业务规则还包括不同挑战信息的输入顺序,该规则规定多种挑战信息之间的输入顺序,如需要输入的挑战信息包括自己账号信息、金额以及对方账号信息,这时要求第一次需要输入自己账号信息,第二次需要输入相应的金额,第三次需要输入对方账号信息,只有按照这样的挑战业务规则输入相应的挑战信息后才能够计算得到相应的动态密码。
(2)获取相应的挑战信息,如经过最终确认后的交易信息等。
(3)基于上述的挑战业务规则,通过待输入挑战信息所对应的触发按键触发后,由动态令牌上输入按键输入待输入挑战信息。如上所述,第一次需要输入自己的账号信息,用户需要摁一下动态令牌上为“用户账号”的触发按键,通过该按键触发后,使得动态令牌处于信息输入状态,此时用户便可通过动态令牌上的常规按键输入自己账号的信息;在完成自己账号信息的输入后,需要输入相应的金额,用户需要摁一下动态令牌上为“交易金额”的触发按键,通过该按键触发后,使得动态令牌处于信息输入状态,此时用户便可通过动态令牌上的常规按键对令牌输入相应的交易金额;在完成交易金额信息的输入后,需要输入相应的对方账号信息,用户需要摁一下动态令牌上为“对方账号”的触发按键,通过该按键触发后,使得动态令牌处于信息输入状态,此时用户便可通过动态令牌上的常规按键对令牌输入相应的对方账号信息。
(4)在根据挑战业务规则(需要在相应的触发按键触发下依次输入自己账号信息、金额以及对方账号信息)输完挑战信息后,用户在对上述信息核实无误后便可生成动态密码,此时用户可通过动态令牌上的密码生成按键来触发生成动态密码;当用户核实上述挑战信息有问题时,不去触发动态令牌上的密码生成按键,此时令牌便不会计算相应的动态密码,有效提高用户对输入挑战信息真实含义的认知度,避免受骗上当泄露动态密码,给自己造成不必要的损失。
上述方案通过增加令牌上的交易信息确认,可以有效防止黑客对用户的欺骗,从而达到防止欺诈交易的目的。
基于上述方案,其防止欺诈交易的过程如下(参见图4):
在该实例中,涉及的动态令牌100上除了常规的挑战信息输入按键101外还设置有触发输入对应挑战信息的若干触发按键102和密码生成按键103。该动态令牌中固化的挑战业务规则是依次输入:自己账号信息、交易金额、对方账号信息,然后才可以进行动态密码的计算。
由此,在动态令牌100上设置有用户账号触发按键102a、交易金额触发按键102c、对方账号触发按键102b以及密码生成按键103,并且这些按键设置有相应的文字说明。
基于该动态令牌,具体的交易过程如下:
首先,用户受到诱骗,访问黑客开设的钓鱼网站。
接着,钓鱼网站将要求用户输入伪造的挑战到令牌,由于本实例中的动态令牌要求客户依次分段输入挑战信息,并且需要在相应的按键触发下才可输入。为了能够获得正确的动态密码,钓鱼网站只能够给出明确的要求,例如:用户账号:123456,交易金额:5555,对方账号:258369。若给出一些模糊或不清的挑战信息,如1234565555258369,用户根本不知道哪段是用户账号信息、哪段是交易金额、哪段是对方账号信息。
再者,用户在钓鱼网上给出的信息依次输入相应的挑战信息,首先触发动态令牌上的用户账号触发按键102a,此时动态令牌处于接收用户账号信息输入状态,用户通过动态令牌上的常规按键输入自己的用户账号信息:123456,这一步一般不会有问题。
接着,用户要输入相应的交易金额,用户将触发动态令牌上的交易金额触发按键102c,使得动态令牌处于接收交易金额信息输入状态,处于该步骤时,作为付费者,用户肯定会对自己所需要付的费用进行核实,看看是否是之前所确定的需付的费用,如果不是用户至少知道,这次交易有问题将会停止该交易,不会对动态令牌输入相应的交易金额,更加不会去生成动态密码;如果所需费用属实,用户将会通过动态令牌上的常规按键输入交易金额信息:5555。
最后,用户根据提示输入对方账号信息,用户将触发动态令牌上的对方账号触发按键102b,使得动态令牌处于接收对方账号信息输入状态。处于该步骤时,用户不管是出于避免上当还是避免错误,肯定会对账号信息进行反复的核实,看看是否是自己最终需要付费的账号,由于这是钓鱼网,其给出的账号肯定是有问题的,所以用户肯定会发现问题,而终止对方账号信息的输入,更加不会去生成动态密码,从而终止此次交易。
该实例中,通过动态令牌的分段输入挑战信息的要求,在动态密码的生成过程中多次的由触发按键上的信息对用户进行多次的强制提醒,使得用户能够明白自己所输入挑战信息的含义以及要进行交易的情况,有效避免相应的欺诈交易信息给用户带来严重的损失。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (5)
1.一种防止钓鱼攻击的挑战应答动态密码生成方法,该方法基于动态令牌实施,其特征在于,所述动态令牌上设置触发输入对应挑战信息的若干触发按键,且若干触发按键上分别设有其所对应挑战信息的含义说明,通过若干触发按键实现挑战信息的分段输入,同时在动态密码的生成过程中多次的由触发按键上的信息对用户进行多次的强制提醒;基于该动态令牌,所述答动态密码生成方法如下:
(1)根据令牌中挑战业务规则,输入相应的挑战信息;
(2)通过待输入挑战信息所对应的触发按键触发后,由动态令牌上输入按键输入待输入挑战信息;
(3)在根据挑战业务规则输完挑战信息后,动态令牌利用种子密钥生成动态密码。
2.根据权利要求1所述的一种防止钓鱼攻击的挑战应答动态密码生成方法,其特征在于,所述挑战信息为金额、对方账号信息和其他业务信息中的一项或多项。
3.根据权利要求1所述的一种防止钓鱼攻击的挑战应答动态密码生成方法,其特征在于,所述挑战信息还包括自己账号信息。
4.根据权利要求1所述的一种防止钓鱼攻击的挑战应答动态密码生成方法,其特征在于,所述挑战业务规则至少包括所需的挑战信息。
5.根据权利要求1所述的一种防止钓鱼攻击的挑战应答动态密码生成方法,其特征在于,所述动态令牌上设置有动态密码生成触发按钮。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210088854.0A CN102638465B (zh) | 2012-03-29 | 2012-03-29 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201210088854.0A CN102638465B (zh) | 2012-03-29 | 2012-03-29 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102638465A CN102638465A (zh) | 2012-08-15 |
| CN102638465B true CN102638465B (zh) | 2015-01-07 |
Family
ID=46622708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210088854.0A Active CN102638465B (zh) | 2012-03-29 | 2012-03-29 | 一种防止钓鱼攻击的挑战应答动态密码生成方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN102638465B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103338109B (zh) * | 2013-05-29 | 2016-12-28 | 上海动联信息技术股份有限公司 | 一种追溯密码器使用记录的方法以及可追溯密码器 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
-
2012
- 2012-03-29 CN CN201210088854.0A patent/CN102638465B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102307094A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种动态口令签名方法 |
| CN102307180A (zh) * | 2011-04-27 | 2012-01-04 | 上海动联信息技术有限公司 | 一种用于挑战应答令牌的交易确认方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN102638465A (zh) | 2012-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Kumar et al. | Social engineering threats and awareness: a survey | |
| US20060020812A1 (en) | System and method of using human friendly representations of mathematical function results and transaction analysis to prevent fraud | |
| CN104537300A (zh) | 安全密码设置及验证方式 | |
| Dierks | Computer network abuse | |
| CN109919614A (zh) | 一种区块链中使用零知识证明保护智能合约隐私的方法 | |
| Khelifi et al. | M-Vote: a reliable and highly secure mobile voting system | |
| CN102307180A (zh) | 一种用于挑战应答令牌的交易确认方法 | |
| Gulsezim et al. | Two factor authentication using twofish encryption and visual cryptography algorithms for secure data communication | |
| CN102571341B (zh) | 一种基于动态图像的认证系统及认证方法 | |
| CN102638465B (zh) | 一种防止钓鱼攻击的挑战应答动态密码生成方法 | |
| FATOKI | The influence of cyber security on financial fraud in the Nigerian banking industry | |
| CN101635629B (zh) | 一种安全的口令认证方法 | |
| Ryan | The ransomware revolution: how emerging encryption technologies created a prodigious cyber threat | |
| Eldridge | A trustworthy electronic voting system for australian federal elections | |
| Virmani et al. | M, Mathur V, Saxena S (2020) Analysis of cyber attacks and security intelligence: Identity theft | |
| Aravind et al. | Anti-phishing framework for banking based on visual cryptography | |
| Mahanta et al. | Social engineering attacks and countermeasures | |
| CN101394278A (zh) | 一种和差式动态密码双向认证方法及动态密码卡 | |
| Sharma et al. | Authentication in online banking systems: quantum cryptography perspective | |
| CN101286249A (zh) | 利用双密码进行报警的防暴方法 | |
| Vitus | Cybercrime and Online Safety: Addressing the challenges and solutions related to cybercrime, online fraud, and ensuring a safe digital environment for all users—A Case of African States | |
| Samani et al. | Hacking the human operating system | |
| CN101304317B (zh) | 基于口令卡提高身份认证安全性的方法 | |
| Abinaya et al. | Anti-Phishing Image Captcha Validation Scheme using Visual Cryptography | |
| Сальная | English for Information Security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent for invention or patent application | ||
| CB02 | Change of applicant information |
Address after: 201203 Shanghai City Chenhui Road, Zhangjiang High Tech Park of Pudong New Area No. 88 Building No. 2 room 2401 Applicant after: DynamiCode Company Limited Address before: 201203 Shanghai City Chenhui Road, Zhangjiang High Tech Park of Pudong New Area No. 88 Building No. 2 room 2401 Applicant before: DynamiCode Company Limited |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: SHANGHAI DYNAMICODE TECHNOLOGY CO., LTD. TO: SHANGHAI DYNAMICODE INFORMATION TECHNOLOGY CO., LTD. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |