CN107615704A - 一种网络防钓鱼的装置、方法和系统 - Google Patents
一种网络防钓鱼的装置、方法和系统 Download PDFInfo
- Publication number
- CN107615704A CN107615704A CN201680029862.4A CN201680029862A CN107615704A CN 107615704 A CN107615704 A CN 107615704A CN 201680029862 A CN201680029862 A CN 201680029862A CN 107615704 A CN107615704 A CN 107615704A
- Authority
- CN
- China
- Prior art keywords
- data
- website
- stage apparatus
- random number
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 26
- 238000004891 communication Methods 0.000 claims description 8
- 238000005516 engineering process Methods 0.000 abstract description 7
- 102000005591 NIMA-Interacting Peptidylprolyl Isomerase Human genes 0.000 description 17
- 108010059419 NIMA-Interacting Peptidylprolyl Isomerase Proteins 0.000 description 17
- 150000003839 salts Chemical class 0.000 description 11
- 230000005540 biological transmission Effects 0.000 description 4
- 238000012790 confirmation Methods 0.000 description 3
- 235000014510 cooky Nutrition 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/033—Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/80—Arrangements enabling lawful interception [LI]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Financial Or Insurance-Related Operations Such As Payment And Settlement (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
Abstract
本发明的目的是提出一种网络防钓鱼的装置、方法和系统,可用于网络服务器的登录、游戏登录、银行支付及防钓鱼网站等领域。在使用计算机终端时,可以使用隐藏令牌技术,隐藏付款账户(用户名)。该方法可以用于网络支付,结合好的密码协议,可简单且安全地解决使用银行、游戏等服务中用户标识的保护。
Description
本发明属于信息安全领域。本发明涉及的是一种使用单向函数隐藏标识数据防止网络钓鱼的装置、方法和系统。具体地说,涉及一种利用单向函数保护用户标识数据,隐藏用户标识数据防钓鱼的装置、方法和系统。
普通的使用浏览器网站登录,一般是在网站提供的HTML页面上,用户输入用户名(PAN)和密码(PIN)。可以理解,明文传送这些数据极不安全。为解决该问题,一般采用SSL协议及浏览器插件的方式。
但是这些方法有各种缺点,首先用SSL协议,网站采用HTTPS页面,可以解决加密登录核心数据(标识数据)PAN和PIN的加密问题。但是存在几个问题,其一是当用户进入钓鱼网站,而钓鱼网站有合法的证书,显然可以钓鱼,即钓鱼网站非法获得用户的PAN和PIN;其二是用户进入钓鱼网站,网站提供HTTP的页面,并提供登录,隐藏或伪装成普通网页信息传输,这样用户无法判断或不小心就会被钓鱼网站获得关键信息PAN和PIN。插件方案就有插件是否是木马插件的认证问题,也是普通用户容易被安装钓鱼软件的领域。
所以,为增强现有浏览器对用户关键数据PAN和PIN的保护,需要浏览器只能送出PAN和PIN的加密形式,不使用网页表单形式。在SSL协议中,使用PKI的思想和技术。但是网站证书的管理,分发是一个系统工程,比较复杂。
为此,我们提出使用隐藏令牌技术来解决浏览器网络钓鱼的问题。当然该方案也可以解决其他类似的钓鱼问题。如网站登录后的COOKIE的保护问题。
在本申请文件中,需要用到各种密码技术来说明技术方案。H表示哈希函数或其他单向函数,用于给数据做一个加密标识。
发明内容
大多数用户“潜意识”中,把安全的希望建筑在PIN码或身份认证数据的不泄露上。用PIN码保护安全也成为普通大众的“安全习惯”。从安全的角度,为了保护用户的PIN码。事实上,用户名(PAN)也是应该保护的核心数据。我们可以把(用户名PAN,PIN)统一看成一个用户登录的核心数据,标识数据。
本发明的本质就是用密码函数根据用户标识数据及随机数,生成标识检索数据和标识认证数据,组成隐藏令牌。用隐藏令牌来隐藏真实的用户标识。实质就是利用网站装置与平台装置都共有的用户标识数据(及其他数据),看成已经分配的密钥。使得该系统不需要密钥分配,实现加密认证。当然也可以使用PKI技术来隐藏用户标识数据,这样也不需要分配密钥,但
是还是需要认证公钥(PKI是一个复杂的系统),否则容易遭受“钓鱼攻击”。
根据本发明的一个方面,一种网络防钓鱼的系统,它包括:平台装置,根据标识数据,产生隐藏令牌;网站装置,根据获得的隐藏令牌确认标识数据,决定是否进一步操作;平台装置与网站装置通过网络连接;平台装置获得网站装置网络地址;平台装置获得(输入)标识数据,如PAN及(或)PIN;平台装置根据获得的标识数据,使用单向函数计算得到标识检索数据;平台装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;平台装置把标识检索数据及标识认证数据组成隐藏令牌,根据网络地址传送到网站装置;网站装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据,并决定是否进一步操作。
进一步,平台装置中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息,或身份认证数据,或接收到的随机数及以上组合。
这里,平台装置可以是浏览器,应用装置就是网页。这里进一步操作,可以是登录确认后的操作。也可以是其他身份认证后的操作。
根据本发明的另一个方面,一种网络防钓鱼装置,它包括:计算装置,随机数装置,标识数据装置,通讯装置;网络防钓鱼装置获得网站的网络地址;标识数据装置获得(输入)标识数据,如PAN及(或)PIN;计算装置使用单向函数根据标识数据计算得到标识检索数据;从随机数装置获得随机数,根据随机数及标识数据,计算装置使用密码函数计算得到标识认证数据;标识检索数据及标识认证数据组成隐藏令牌,并把结果通过通讯装置及网络地址传送到网站。
进一步,上述随机数装置可以是产生时间的装置,也可以是存储使用次数的装置,还可以是真随机数生成装置,或地理位置信息装置,或身份认证数据装置,或通信装置接收到的随机数及以上组合。
这里网络防钓鱼装置可以是浏览器。
根据本发明的另外一个方面,一种网络防钓鱼方法,它包括:(步骤A)平台装置获得网站装置网络地址;(步骤B)平台装置获得(输入)标识数据;(步骤C)平台装置根据获得的标识数据,使用单向函数计算得到标识检索数据;(步骤D)平台装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;(步骤E)平台装置把标识检索数据及标识认证数据组成隐藏令牌,根据网络地址,传送到网站装置;(步骤F)网站装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据,并决定是否进一步操作。
进一步,步骤D中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息、或身份认证数据、或接收到的随机数及以上组合。
还可以,有用户标识数据生成对称加密密钥的步骤,用于步骤D的密码函数的密钥,加密标识认证数据或(和)身份认证数据。
还可以,有平台装置与网站装置共享数据,用于标识检索数据的生成。
还可以,有平台装置根据当前应用装置,获得要登录网络地址。
进一步,还可以是上述所有方法的任意组合
这里进一步操作,可以是登录确认后的操作。也可以是其他身份认证后的操作。
下面参照附图描绘本发明,其中
图1表示优选实施例1、2、3网络防钓方法和系统的示意图;
图2表示优选实施例4网络防钓鱼的装置的示意图;
在本发明的实施例描述中,我们始终使用F代表账户(PAN、标识数据,用户名等)、H代表单向函数(如SM3)、PIN代表个人识别码(身份认证数据)、DES代表对称加密算法(如SM4)。
[实施例1]
本实施例一种网络防钓鱼所关联的方法和系统如图1所示。系统由网站装置1、网络2、平台装置3、应用装置4组成。其中网站装置1与平台装置3通过网络2连接;应用装置4与平台装置3连接。普通理解,网站装置就是网站,平台装置就是计算机及浏览器,应用装置就是被浏览器解释执行的HTML网页。
其中平台装置3包括:F、PIN及单向函数H;网站装置1包括:用户表(F,H(F),PIN)及单向函数H。其中F为主账号(PAN)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录网站装置1;
2、输入用户名F及PIN;
3、网站装置1建立用户表项:(F,H(F),PIN)。
登陆的步骤为:
1、平台装置3根据当前应用装置4,获得当前登录的网站装置1的网络地址;
2、用户选择平台装置3的登录功能,输入(获得)F及PIN;
3、平台装置3有随机数R,得到F及PIN,计算H(F)标识检索数据;
4、平台装置3计算(H(F||R||PIN),R)标识认证数据;
5、平台装置3通过网络2,根据步骤1获得的网络地址,传送标识检索数据及标识认证数据组成的隐藏令牌到网站装置1;
6、网站装置1收到隐藏令牌(H(F),H(F||R||PIN),R),根据H(F),查找用户表得(F1,H(F),PIN1);根据R、F1及PIN1,计算H(F1||R||PIN1);如果H(F1||R||PIN1)=H(F||R||PIN),表明F1=F及PIN1=PIN。判定为合法用户,允许进行进一步的工作,如登陆。
步骤1如果从平台装置是浏览器来看,显然浏览器可以同时打开多个网页。而步骤二在平台输入用户名及PIN码与需要登录的网站相关。而浏览器无法知道用户到底希望登录哪个网页对应的网站,所以需要选择或获得当前登录网站的网络地址,一般说来选择当前网页的网站。显然如果把操作系统看成平台装置,那么应用程序就是应用装置,本专利实质要求该应用程序的登录数据是在操作系统中输入,而不是在应用程序中输入。这样才可以防止应用程序的钓鱼。就是说我们信任操作系统不信任应用程序。在浏览器上看,我们信任浏览器的安全性,不信任网页的安全性。
步骤3中的随机数R可以由网站装置1产生,传送到平台装置3,这样可以防止重放攻击。也可以由平台装置3产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是平台装置3的地理位置信息。
本实施例在平台装置上输入用户名及密码,通过单向函数的计算,实现了对用户名标识数据的隐藏。
显然,H(F)的作用就是用于网站装置1查找F对应的数据项,所以称为标识检索数据,而H(F||R||PIN)的作用是确认网站装置1中的用户标识数据F,与用户装置中的F的一致性,所以称为标识认证数据,他同时也认证了PIN的正确性。标识检索数据及标识认证数据组成隐藏令牌。如果随机数R由用户装置产生,显然必须传送R到安全装置进行标识认证;这时隐藏令牌还包括随机数R。
目前网站登陆存在钓鱼网站的攻击。由于平台装置在登陆网站装置之前,如果没有密钥分配共享公开和秘密数据,那么用户名和密码就只能或相当于只能明文传送到安全装置。这样,当平台装置误入钓鱼网站,那么自己的用户名及密码就传送到钓鱼网站。
现在对付钓鱼网站的办法,其一是平台装置是由网站装置通过安全途径发放到使用装置,这样可以认为他们之间可以进行密钥协商,然后加密交互数据,如手机的APP。其二是使用SSL协议,网站装置用HTTPS,平台装置进行签名认证来防止钓鱼网站。
第一个解决方案,本质是每个网站都要分发用户装置。那么分发过程的安全性保证就是一个很大的问题。第二个解决方案的本质是认证签名的正确性,又是PKI的一套,对于没有签名的网站无法区分合法性。同时PKI签名在市场上多家经营,相互认证也是一个困难的工作。而实施例1,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,那么就能实现统一的登陆安全保护。
浏览器可以看成平台装置,这就是浏览器的防钓鱼网站的方法、装置和系统。因为当我们进入钓鱼网站后,钓鱼网站能够得到(H(F),H(F||R||PIN),R),但是他没有F(钓鱼目标),所以无法确定F;他没有PIN(钓鱼目标),也无法确定PIN。唯一的攻击方法是,找到F1及PIN1使得(H(F1)=H(F),H(F1||R||PIN1)=H(F||R||PIN)。首先找到这样的碰撞很困难,同时由于单向函数的特点,即使找到这样的碰撞,也不能得到F1=F,PIN1=PIN的结论。
这里网站装置可以是网站,平台装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
[实施例2]加盐及对称加密算法
本实施例一种网络防钓鱼所关联的方法和系统如图1所示。系统由网站装置1、网络2、
平台装置3、应用装置4组成。其中网站装置1与平台装置3通过网络2连接;应用装置4与平台装置3连接。普通理解,网站装置就是网站,平台装置就是计算机及浏览器,应用装置就是被浏览器解释执行的HTML网页。
平台装置3包括:F、PIN、单向函数H及对称密码算法DES。网站装置1包括:用户表(F,H0(F),H(PIN||SZ))、单向函数H、盐值SZ及对称密码算法DES;其中F为用户名(PAN),SZ为盐。这里H0(F)表示H(F)的前一半字节(如SM3的前128位),H1(F)表示H(F)的后一半字节(如SM3的后128位)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录网站装置1;
2、输入注册用户名F及PIN,网站装置1有盐值SZ及H;
3、网站装置1建立用户表项:(F,H0(F),H(PIN||SZ))。
登陆的步骤为:
1、平台装置3根据当前应用装置4,获得当前登录的网站装置1的网络地址;
2、用户选择平台装置3的登录功能,输入(获得)F及PIN;
3、平台装置3有随机数R,得到F及PIN,计算H0(F)标识检索数据;
4、平台装置3计算DESH1(F)(F⊕R⊕PIN),R)标识认证数据;
5、平台装置3通过网络2,根据步骤1获得的网络地址,传送标识检索数据及标识认证数据组成的隐藏令牌到网站装置1;
6、网站装置1收到隐藏令牌(H0(F),DESH1(F)(F⊕R⊕PIN),R),根据H0(F),查找用户表得到(F1,H0(F),H(PIN1||SZ));根据R并假设F=F1,PIN1=DESH1(F)(DESH1(F)(F⊕R⊕PIN1))⊕R⊕F,有盐值SZ,计算H(PIN1||SZ);如果H(PIN1||SZ)=H(PIN||SZ),表明F1=F;同时表明PIN1=PIN。则判定为合法用户,允许进行进一步的工作,如登陆。
步骤3中的随机数R可以由网站装置1产生,传送到平台装置3,这样可以防止重放攻击。也可以由平台装置3产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放攻击。还可以是平台装置3的地理位置信息。随机数R也可以包含平台装置3的地理位置信息。
这里用H(F)的前半部分为标识检索数据,后半部分为DES的密钥。显然从前半部分不可能得到后半部分。但是在有F的时候,容易得到这两部分。
而实施例1,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,那么就能实现统一的登陆,并防止钓鱼网站的钓鱼。
使用对称加密算法的核心是如何得到加密解密的密钥,本专利申请的核心是不进行密钥分配工作。所以,就只能利用网站装置与平台装置共同拥有的用户名F、PIN及R来实现。实施例用的是H1(F),即H(F)的后一半。其实也可以使用H(F||R)的一部分来实现,只要网站装置能够从H 0(F)找到相关的数据项,然后根据数据项能够得到正确的密钥即可。由于网站装置要保护PIN,并使用加盐来防止攻击;而不同网站装置的盐值不同,也不会对用户装置公开。所
以不能使用PIN的数据来产生密钥,那么有下列满足网站使用加盐保护用户PIN码数据的实施例。
这里网站装置可以是网站,平台装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
实施例1和2都使用H(F)作为标识检索数据,H这个单向函数是公开算法,所以攻击者可以穷举F来获得破解H(F)。所以为增加破解难度,可以使用F||PIN来代替F生成标识检索数据,这样破解难度大为提高。为提高破解难度,还可以用一个网站与用户共享的秘密数据S,使用F||PIN||S来生成标识检索数据。||符号表示前后数据连接成一个数据,即字符串连接。
[实施例3]检索数据捆绑PIN
本实施例一种网络防钓鱼所关联的方法和系统如图1所示。系统由网站装置1、网络2、平台装置3、应用装置4组成。其中网站装置1与平台装置3通过网络2连接;应用装置4与平台装置3连接。普通理解,网站装置就是网站,平台装置就是计算机及浏览器,应用装置就是被浏览器解释执行的HTML网页。
平台装置3包括:F、PIN、单向函数H及对称密码算法DES。网站装置1包括:用户表(F,H0(F||PIN),H(PIN||SZ))、单向函数H及对称密码算法DES;其中F为用户名(PAN),SZ为盐。这里H0(F)表示H(F)的前一半字节(如SM3的前128位),H1(F)表示H(F)的后一半字节(如SM3的后128位)。
安全装置1的用户表建立步骤为:
1、任意安全计算机终端登录网站装置1;
2、输入注册用户名F及PIN,网站装置1有盐值SZ;
3、网站装置1建立用户表项:(F,H0(F||PIN),H(PIN||SZ))。
登陆的步骤为:
1、平台装置3根据当前应用装置4,获得当前登录的网站装置1的网络地址;
2、用户选择平台装置3的登录功能,输入(获得)F及PIN;
3、平台装置3有随机数R,得到F及PIN,计算H0(F||PIN)标识检索数据;
4、平台装置3计算(DESH1(F)(F||PIN⊕R),R)标识认证数据;
5、平台装置3通过网络2,根据步骤1获得的网络地址,传送标识检索数据及标识认证数据组成的隐藏令牌到网站装置1;
6、网站装置1收到(H0(F||PIN),DESH1(F)(F||PIN⊕R),R),根据H0(F||PIN),查找用户表得到(F1,H0(F||PIN),H(PIN1||SZ));有R,假设F1=F,则DESH1(F)(DESH1(F)(F||PIN⊕R))中可以分离的到PIN,网站装置1有盐值SZ,计算H(PIN||SZ);如果H(PIN||SZ)=H(PIN1||SZ),表明F1=F;同时表明PIN1=PIN。则判定为合法用户,允许进行进一步的工作,如登陆。
步骤3中的随机数R可以由网站装置1产生,传送到平台装置3,这样可以防止重放攻击。也可以由平台装置产生一个基于时间的数,如(随机数+时间)作为R,同样也可以防止重放
攻击。还可以是平台装置3的地理位置信息。
这里用H(F)的前半部分为标识检索数据,后半部分为DES的密钥。显然从前半部分不可能得到后半部分。但是在有F的时候,容易得到这两部分。其实也可以使用H(F||R)的一部分来实现,只要网站装置与平台装置的密钥同步即可。
而实施例1,表明只要大家遵守同样的标准数据格式,和使用相同的单向函数,使用相同的对称加密算法,使用同步的密钥算法,那么就能实现统一的登陆,并防止钓鱼网站的钓鱼。
从本实施例可以看出,标识检索数据可以不是单向函数产生的所有数据。也可以使用其中部分作为标识检索数据。使用哪部分只要网站装置与平台装置一致即可。从本实施例也可以看出,还可以用标识数据单向函数结果的部分构建对称加密的密钥,来保证网站装置在有对应用户名时,能够安全传送身份认证数据(如PIN)。
本实施例还说明了一种使用身份认证数据及标识数据,共同生成标识检索数据的实施例。
这里网站装置可以是网站,平台装置可以是浏览器、邮件客户端等需要登录网站的应用程序。
[实施例4]
本发明的第4个实施例如附图2所示,本实施例一种网络防钓鱼装置所关联的装置如图2所示。装置由计算装置11、随机数装置12、标识数据装置13、通讯装置14。
平台装置1通过获得网络地址;平台装置1从标识数据装置13获得(输入)标识数据,如PAN及(或)PIN,平台装置1从随机数装置12获得随机数R,提供给计算装置11;计算装置11计算(H(F),H(F||R),R)隐藏令牌,其中H(F)是标识检索数据;(H(F||R),R)是标识认证数据,并把结果通过通讯装置14及网络地址传送到网站。
平台装置1获得网络地址,显然可以是输入。当然如果平台装置是浏览器,也可以自动选择当前网页的网络地址。(H(F||R),R)中用单向函数计算标识认证数据,根据实施例3,可以知道也可以使用对称密码函数计算,其他需要相应改变。
随机数装置12生产的随机数R,是为了使每次产生的(H(F),H(F||R),R)都不一致。如果攻击者通过连接用户装置计算(H(F),H(F||R),R)来猜测F,由于R为时间+随机数,以利于可以检查隐藏标识产生的时间,增加安全性,防止了重放(H(F),H(F||R),R)攻击。就是说随机数装置,可以生成固定数(不安全)、时间(简单随机,较安全)、时间+真随机数(最安全)。显然也可以是接收的从用户装置外部传送过来的随机数R,最好是外部随机数R+时间+真随机数。显然,还可以加入用户装置1的地理位置信息,这样在用户装置1上还需要增加获得地理位置的装置。
在现有技术中,一般是用户申明用户名(PAN),然后提交相应的身份认证数据。对服务器而言,首先是用用户名(PAN)在客户数据库中查找对应数据项信息,然后用接收到的身份认证数据与数据项中的身份认证数据,进行身份认证。但是,事实上服务器掌握的用户名(PAN)及客户掌握的用户名(PAN),本身也是可以作为秘密。这样,可以把用户名(PAN)看成密钥用传统技术认证两边是否一致,即有很多传统的认证服务器和客户掌握同样用户名(PAN)的认证技术。但是这样产生一个问题,就是客户服务器没法知道,如何选择用户名(PAN)对
客户的用户名(PAN)进行一致性认证。当然可以采用对所有用户名(PAN),进行匹配认证。这样显然效率太差。所以我们选择,用单向函数加密用户名(PAN),实现确认用户名(PAN)一致性的工作。
与传统的动态令牌技术相比,同样可以采用时间、次数及挑战随机数等因素,进行一致性的身份认证。但是本发明没有传统的用于申明用户的用户名,也没有密钥的概念。所以没有任何密钥分配。这样,这种隐藏用户名(PAN)的技术没有限制到任何特定网站。只要加入网站名进入单向函数的计算,就可以实现多个网站的用户名(PAN)的隐藏式输入,条件是认证的网站有与客户一致的用户名(PAN)。
以上用实施例来说明本发明的方法。但是本发明并不完全限定用于网络登录,显然也可以COOKIE的应用,还有其他需要隐藏进行简单身份认证的应用。尽管在以上的实施例中对本发明进行了描述,但可以理解,以上实施例的描述是说明性的而非限制性的,本领域的熟练技术人员可以理解,在不脱离由权利要求书定义的本发明的精神和范围的前提下,可做出各种变形、改进、修改和替换。
Claims (10)
- 一种网络防钓鱼的系统,它包括:平台装置,根据标识数据,产生隐藏令牌;网站装置,根据获得的隐藏令牌确认标识数据,决定是否进一步操作;平台装置与网站装置通过网络连接;平台装置获得网站装置网络地址;平台装置获得(输入)标识数据;平台装置根据获得的标识数据,使用单向函数计算得到标识检索数据;平台装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;平台装置把标识检索数据及标识认证数据组成隐藏令牌,根据网络地址传送到网站装置;网站装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据,并决定是否进一步操作。
- 根据权利要求1的系统,特征在于平台装置中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息,或身份认证数据,或接收到的随机数及以上组合。
- 一种网络防钓鱼装置,它包括:计算装置,随机数装置,标识数据装置,通讯装置;网络防钓鱼装置获得网站的网络地址;标识数据装置获得(输入)标识数据;计算装置使用单向函数根据标识数据计算得到标识检索数据;从随机数装置获得随机数,根据随机数及标识数据,计算装置使用密码函数计算得到标识认证数据;标识检索数据及标识认证数据组成隐藏令牌,并把结果通过通讯装置及网络地址传送到网站。
- 根据权利要求3的装置,特征在于随机数装置可以是产生时间的装置,也可以是存储使用次数的装置,还可以是真随机数生成装置,或地理位置信息装置,或身份认证数据装置,或通信装置接收到的随机数及以上组合。
- 一种网络防钓鱼方法,它包括:A、平台装置获得网站装置网络地址;B、平台装置获得(输入)标识数据;C、平台装置根据获得的标识数据,使用单向函数计算得到标识检索数据;D、平台装置根据随机数及标识数据,使用密码函数计算得到标识认证数据;E、平台装置把标识检索数据及标识认证数据组成隐藏令牌,根据网络地址,传送到网站装置;F、网站装置根据隐藏令牌的标识检索数据,找到相关用户标识数据项,并根据随机数及隐藏令牌的标识认证数据,确认标识数据,并决定是否进一步操作。
- 根据权利要求5的方法,其特征在于步骤D中的随机数可以是时间数据、或使用次数数据、或临时产生的随机数、或地理位置信息、或身份认证数据、或接收到的随机数及以上组合。
- 根据权利要求5的方法,其特征在于还有用户标识数据生成对称加密密钥的步骤,用于步骤D的密码函数的密钥,加密标识认证数据或(和)身份认证数据。
- 根据权利要求5的方法,其特征在于还有平台装置与网站装置共享数据,用于标识检索数据的生成。
- 根据权利要求5的方法,其特征在于还有平台装置根据当前应用装置,获得要登录网络地址。
- 根据权利要求5到9的方法,其特征在于是他们的任意组合。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510268747 | 2015-05-25 | ||
CN201510268747X | 2015-05-25 | ||
PCT/CN2016/083135 WO2016188402A1 (zh) | 2015-05-25 | 2016-05-24 | 一种网络防钓鱼的装置、方法和系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107615704A true CN107615704A (zh) | 2018-01-19 |
CN107615704B CN107615704B (zh) | 2021-06-25 |
Family
ID=57392518
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680029862.4A Expired - Fee Related CN107615704B (zh) | 2015-05-25 | 2016-05-24 | 一种网络防钓鱼的装置、方法和系统 |
CN201680029857.3A Active CN107615797B (zh) | 2015-05-25 | 2016-05-24 | 一种隐藏用户标识数据的装置、方法和系统 |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201680029857.3A Active CN107615797B (zh) | 2015-05-25 | 2016-05-24 | 一种隐藏用户标识数据的装置、方法和系统 |
Country Status (2)
Country | Link |
---|---|
CN (2) | CN107615704B (zh) |
WO (2) | WO2016188401A1 (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108564373A (zh) * | 2018-03-16 | 2018-09-21 | 阿里巴巴集团控股有限公司 | 支付方法、装置及设备 |
CN108805540B (zh) * | 2018-05-04 | 2021-10-29 | 中电信用服务有限公司 | 一种支付处理系统、方法和数字对象标识 |
CN112261005B (zh) * | 2020-09-27 | 2022-12-06 | 中孚安全技术有限公司 | 一种Web安全登录密码的隐藏方法及系统 |
CN115630400B (zh) * | 2022-12-21 | 2023-05-26 | 中电科网络安全科技股份有限公司 | 一种去标识化数据的查询方法、装置、设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471770A (zh) * | 2007-12-24 | 2009-07-01 | 毛华 | 问答式双向身份、交易确认方法和采用该方法的加密装置 |
CN101667255A (zh) * | 2008-09-04 | 2010-03-10 | 华为技术有限公司 | 一种射频识别的安全认证方法、装置及系统 |
CN102143190A (zh) * | 2011-05-11 | 2011-08-03 | 江汉大学 | 一种安全登陆方法和装置 |
CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
US20130226812A1 (en) * | 2012-02-24 | 2013-08-29 | Mads Landrok | Cloud proxy secured mobile payments |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2006523995A (ja) * | 2003-03-21 | 2006-10-19 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 認可証明書におけるユーザ・アイデンティティのプライバシ |
US7751584B2 (en) * | 2003-11-14 | 2010-07-06 | Intel Corporation | Method to provide transparent information in binary drivers via steganographic techniques |
US7434050B2 (en) * | 2003-12-11 | 2008-10-07 | International Business Machines Corporation | Efficient method for providing secure remote access |
US7970143B2 (en) * | 2005-08-05 | 2011-06-28 | Hewlett-Packard Development Company, L.P. | System, method and apparatus to obtain a key for encryption/decryption/data recovery from an enterprise cryptography key management system |
CN102075937B (zh) * | 2011-01-06 | 2013-04-03 | 西安电子科技大学 | 移动ip注册时实现移动节点身份匿名性的方法 |
CN102136079B (zh) * | 2011-03-07 | 2014-08-20 | 中兴通讯股份有限公司 | 一种读写器与标签卡之间的动态认证方法及实现装置 |
CN102195782A (zh) * | 2011-06-07 | 2011-09-21 | 吉林大学 | 身份与口令相融合的邮件系统双向身份认证方法 |
JP5275432B2 (ja) * | 2011-11-11 | 2013-08-28 | 株式会社東芝 | ストレージメディア、ホスト装置、メモリ装置、及びシステム |
CN103139136B (zh) * | 2011-11-22 | 2016-06-08 | 阿里巴巴集团控股有限公司 | 一种密码的管理方法和设备 |
CN103415011B (zh) * | 2013-08-05 | 2015-12-23 | 浙江工商大学 | 车载自组织网络的基于智能卡安全认证方法 |
CN103595710B (zh) * | 2013-10-25 | 2016-11-23 | 北京交通大学 | 一种一体化标识网络连接标识生成方法 |
CN104408623A (zh) * | 2014-10-11 | 2015-03-11 | 福建升腾资讯有限公司 | 一种适用于支付产品的身份认证方法 |
-
2016
- 2016-05-24 WO PCT/CN2016/083130 patent/WO2016188401A1/zh active Application Filing
- 2016-05-24 WO PCT/CN2016/083135 patent/WO2016188402A1/zh active Application Filing
- 2016-05-24 CN CN201680029862.4A patent/CN107615704B/zh not_active Expired - Fee Related
- 2016-05-24 CN CN201680029857.3A patent/CN107615797B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471770A (zh) * | 2007-12-24 | 2009-07-01 | 毛华 | 问答式双向身份、交易确认方法和采用该方法的加密装置 |
CN101667255A (zh) * | 2008-09-04 | 2010-03-10 | 华为技术有限公司 | 一种射频识别的安全认证方法、装置及系统 |
CN102143190A (zh) * | 2011-05-11 | 2011-08-03 | 江汉大学 | 一种安全登陆方法和装置 |
US20130226812A1 (en) * | 2012-02-24 | 2013-08-29 | Mads Landrok | Cloud proxy secured mobile payments |
CN102624740A (zh) * | 2012-03-30 | 2012-08-01 | 奇智软件(北京)有限公司 | 一种数据交互方法及客户端、服务器 |
Also Published As
Publication number | Publication date |
---|---|
CN107615704B (zh) | 2021-06-25 |
CN107615797A (zh) | 2018-01-19 |
CN107615797B (zh) | 2021-01-26 |
WO2016188401A1 (zh) | 2016-12-01 |
WO2016188402A1 (zh) | 2016-12-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9537861B2 (en) | Method of mutual verification between a client and a server | |
CN103944900B (zh) | 一种基于加密的跨站请求攻击防范方法及其装置 | |
CN104219228B (zh) | 一种用户注册、用户识别方法及系统 | |
EP2984782B1 (en) | Method and system for accessing device by a user | |
Hwang et al. | Improvement on Peyravian-Zunic's password authentication schemes | |
CN114679293A (zh) | 基于零信任安全的访问控制方法、设备及存储介质 | |
US8527762B2 (en) | Method for realizing an authentication center and an authentication system thereof | |
US20090307486A1 (en) | System and method for secured network access utilizing a client .net software component | |
Ren et al. | A novel dynamic user authentication scheme | |
US20110179478A1 (en) | Method for secure transmission of sensitive data utilizing network communications and for one time passcode and multi-factor authentication | |
CN101442411A (zh) | 一种p2p网络中对等用户结点间的身份认证方法 | |
EP3360279B1 (en) | Public key infrastructure&method of distribution | |
CN103338201B (zh) | 一种多服务器环境下注册中心参与的远程身份认证方法 | |
Huang et al. | A token-based user authentication mechanism for data exchange in RESTful API | |
CN101282216B (zh) | 带隐私保护的基于口令认证的三方密钥交换方法 | |
Dua et al. | Replay attack prevention in Kerberos authentication protocol using triple password | |
CN107615704A (zh) | 一种网络防钓鱼的装置、方法和系统 | |
JP2017511058A (ja) | ワンタイムパスコードを組み込む持続性認証システム | |
CN106657002A (zh) | 一种新型防撞库关联时间多密码的身份认证方法 | |
CN105187417B (zh) | 权限获取方法和装置 | |
KR102049527B1 (ko) | 사용자 인증 서버 및 시스템 | |
CN105656854B (zh) | 一种验证无线局域网络用户来源的方法、设备及系统 | |
Fukumitsu et al. | A proposal of a password manager satisfying security and usability by using the secret sharing and a personal server | |
CN102014136B (zh) | 基于随机握手的p2p网络安全通信方法 | |
CN103916372A (zh) | 一种第三方登录信息托管方法和系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20210625 |
|
CF01 | Termination of patent right due to non-payment of annual fee |