CN111586693A - 交易方法、终端设备、服务器、电子设备和介质 - Google Patents

Abstract

本公开提供了一种交易方法，该方法包括：在交易过程中，确定是否存在疑似伪基站劫持事件；响应于确定不存在疑似伪基站劫持事件，向服务器发送交易请求，其中，服务器响应于交易请求，通过移动通信网络向发送交易请求的终端设备发起语音呼叫，以确定终端设备是否已被伪基站劫持；以及响应于服务器确定终端设备未被伪基站劫持，继续进行正常交易。本公开还提供了一种终端设备、一种服务器、一种电子设备以及一种计算机可读存储介质。

Description

交易方法、终端设备、服务器、电子设备和介质

技术领域

本公开涉及网络安全技术领域，特别是涉及一种交易方法、一种终端设备、一种服务器、一种电子设备以及一种计算机可读存储介质。

背景技术

当前，国内的移动通信网络环境还处于2G/3G/4G/5G网络并存的时期。由于中国地域广袤，通信环境复杂多样，在可以预见的未来，很可能还会长时间处于2G/3G/4G/5G网络并存的阶段。

在实现本公开实施例的过程中，发明人发现，国内运营商如移动和联通的2G网络都是GSM网络制式。由于GSM网络格式的先天不足，其加密方式已经被完全破译，导致GSM网络成为伪基站攻击的重灾区，由此导致网络金融交易面临安全风险。

此外，发明人还发现，伪基站攻击可以分为单纯的GSM中间人攻击和结合了LTE重定向的GSM中间人攻击。当用户受到伪基站的中间人攻击时，收到的短信可以由攻击方随意伪造，而当前银行业普遍采用的短信验证码等校验方式也将失去作用。

由此可见，伪基站的识别与防护问题，是网络安全领域的难点问题，这也导致网络金融交易面临安全风险。

发明内容

本公开实施例的一个方面提供了一种交易方法，包括：在交易过程中，确定是否存在疑似伪基站劫持事件；响应于确定不存在所述疑似伪基站劫持事件，向服务器发送交易请求，其中，所述服务器响应于所述交易请求，通过移动通信网络向发送所述交易请求的终端设备发起语音呼叫，以确定所述终端设备是否已被伪基站劫持；以及响应于所述服务器确定所述终端设备未被伪基站劫持，继续进行正常交易。

可选地，所述疑似伪基站劫持事件包括以下中的一个或多个：监测到所述终端设备当前的移动通信网络信号强度不稳定；监测到所述终端设备的移动通信网络由LTE网络切换至GSM网络；监测到所述终端设备接收到疑似钓鱼链接的短信；监测到使用移动通信网络进行交易的所述终端设备存在接收和/或发送确认报文异常。

可选地，所述确认报文包括：加密报文。

可选地，所述确认报文包括：心跳报文。

可选地，所述方法还包括：响应于确定存在所述疑似伪基站劫持事件，向用户发送伪基站预警；和/或向所述服务器发送交易请求，以确定所述疑似伪基站劫持事件是否是真的伪基站劫持事件。

可选地，在确定是否存在疑似伪基站劫持事件之前，所述方法还包括：确定所述终端设备是否在使用除移动通信网络之外的其他网络进行交易；以及响应于确定所述终端设备在使用除移动通信网络之外的其他网络进行交易，向所述服务器发送交易请求，以确定是否存在伪基站劫持事件。

可选地，所述方法还包括：将是否存在所述疑似伪基站劫持事件的确定结果发送给所述服务器。

本公开实施例的另一个方面提供了另一种交易方法，包括：接收终端设备发送的交易请求，其中，所述交易请求为所述终端设备在交易过程中响应于确定不存在针对所述终端设备的疑似伪基站劫持事件后发送的；响应于接收到所述交易请求，通过移动通信网络向所述终端设备发起语音呼叫；以及响应于所述语音呼叫能够被接通，通知所述终端设备继续进行正常交易。

可选地，所述方法还包括：响应于所述语音呼叫无法接通，通过除移动通信网络之外的其他网络向所述终端设备发送确认请求，以确定所述终端设备是否没有插SIM卡和/或所述终端设备的SIM卡是否没有信号。

可选地，所述通过移动通信网络向所述终端设备发起语音呼叫，包括：通信网络向所述终端设备连续发起多次语音呼叫。

本公开实施例的一个方面提供了一种终端设备，用于进行交易，包括：处理器，用于在交易过程中，确定是否存在疑似伪基站劫持事件；信号发送端，用于响应于确定不存在所述疑似伪基站劫持事件，向服务器发送交易请求，其中，所述服务器响应于所述交易请求，通过移动通信网络向发送所述交易请求的终端设备发起语音呼叫，以确定所述终端设备是否已被伪基站劫持；以及所述处理器，还用于响应于所述服务器确定所述终端设备未被伪基站劫持，继续进行正常交易。

可选地，所述疑似伪基站劫持事件包括以下中的一个或多个：监测到所述终端设备当前的移动通信网络信号强度不稳定；监测到所述终端设备的移动通信网络由LTE网络切换至GSM网络；监测到所述终端设备接收到疑似钓鱼链接的短信；监测到使用移动通信网络进行交易的所述终端设备存在接收和/或发送确认报文异常。

可选地，所述确认报文包括：加密报文。

可选地，所述确认报文包括：心跳报文。

可选地，所述信号发送端：还用于响应于确定存在所述疑似伪基站劫持事件，向用户发送伪基站预警；和/或向所述服务器发送交易请求，以确定所述疑似伪基站劫持事件是否是真的伪基站劫持事件。

可选地，所述处理器，还用于在确定是否存在疑似伪基站劫持事件之前，确定所述终端设备是否在使用除移动通信网络之外的其他网络进行交易；以及所述信号发送端，还用于响应于确定所述终端设备在使用除移动通信网络之外的其他网络进行交易，向所述服务器发送交易请求，以确定是否存在伪基站劫持事件。

可选地，所述信号发送端，还用于将是否存在所述疑似伪基站劫持事件的确定结果发送给所述服务器。

本公开实施例的另一个方面提供了另一种服务器，用于针对交易进行伪基站识别，包括：信号接收端，用于接收终端设备发送的交易请求，其中，所述交易请求为所述终端设备在交易过程中响应于确定不存在针对所述终端设备的疑似伪基站劫持事件后发送的；信号发送端，用于响应于接收到所述交易请求，通过移动通信网络向所述终端设备发起语音呼叫；以及所述信号接收端，还用于响应于所述语音呼叫能够被接通，通知所述终端设备继续进行正常交易。

可选地，所述信号发送端，还用于响应于所述语音呼叫无法接通，通过除移动通信网络之外的其他网络向所述终端设备发送确认请求，以确定所述终端设备是否没有插SIM卡和/或所述终端设备的SIM卡是否没有信号。

可选地，所述信号发送端，还用于通信网络向所述终端设备连续发起多次语音呼叫。

本公开的另一方面提供了一种电子设备，包括：一个或多个处理器；存储器，用于存储一个或多个程序，其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现本公开实施例的所述方法。

本公开的另一方面提供了一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现本公开实施例的所述方法。

本公开的另一方面提供了一种计算机程序，所述计算机程序包括计算机可执行指令，所述指令在被执行时用于实现本公开实施例的所述方法。

附图说明

为了更完整地理解本公开及其优势，现在将参考结合附图的以下描述，其中：

图1A和图1B示意性示出了适于根据本公开实施例的交易方法、终端设备和服务器的系统架构；

图2示意性示出了根据本公开实施例的交易方法的流程图；

图3示意性示出了根据本公开另一实施例的交易方法的流程图；

图4示意性示出了根据本公开又一实施例的交易方法的流程图；

图5示意性示出了根据本公开又一实施例的交易方法的流程图；

图6示意性示出了根据本公开又一实施例的交易方法的流程图；

图7示意性示出了根据本公开又一实施例的交易方法的流程图；

图8示意性示出了根据本公开实施例的终端设备的框图；

图9示意性示出了根据本公开实施例的服务器的框图；以及

图10示意性示出了根据本公开实施例的电子设备的框图。

具体实施方式

以下，将参照附图来描述本公开的实施例。但是应该理解，这些描述只是示例性的，而并非要限制本公开的范围。在下面的详细描述中，为便于解释，阐述了许多具体的细节以提供对本公开实施例的全面理解。然而，明显地，一个或多个实施例在没有这些具体细节的情况下也可以被实施。此外，在以下说明中，省略了对公知结构和技术的描述，以避免不必要地混淆本公开的概念。

在此使用的术语仅仅是为了描述具体实施例，而并非意在限制本公开。在此使用的术语“包括”、“包含”等表明了所述特征、步骤、操作和/或部件的存在，但是并不排除存在或添加一个或多个其他特征、步骤、操作或部件。

在此使用的所有术语(包括技术和科学术语)具有本领域技术人员通常所理解的含义，除非另外定义。应注意，这里使用的术语应解释为具有与本说明书的上下文相一致的含义，而不应以理想化或过于刻板的方式来解释。

在使用类似于“A、B和C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B和C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。在使用类似于“A、B或C等中至少一个”这样的表述的情况下，一般来说应该按照本领域技术人员通常理解该表述的含义来予以解释(例如，“具有A、B或C中至少一个的系统”应包括但不限于单独具有A、单独具有B、单独具有C、具有A和B、具有A和C、具有B和C、和/或具有A、B、C的系统等)。

附图中示出了一些方框图和/或流程图。应理解，方框图和/或流程图中的一些方框或其组合可以由计算机程序指令来实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，从而这些指令在由该处理器执行时可以创建用于实现这些方框图和/或流程图中所说明的功能/操作的装置。本公开的技术可以硬件和/或软件(包括固件、微代码等)的形式来实现。另外，本公开的技术可以采取存储有指令的计算机可读存储介质上的计算机程序产品的形式，该计算机程序产品可供指令执行系统使用或者结合指令执行系统使用。

本公开的实施例提供了一种能够防止伪基站攻击的安全的交易方法以及能够应用该方法的终端设备和服务器。该方法包括：在交易过程中，确定是否存在疑似伪基站劫持事件；响应于确定不存在上述疑似伪基站劫持事件，向服务器发送交易请求，其中，上述服务器响应于上述交易请求，通过移动通信网络向发送上述交易请求的终端设备发起语音呼叫，以确定上述终端设备是否已被伪基站劫持；以及响应于上述服务器确定上述终端设备未被伪基站劫持，继续进行正常交易。

图1A和图1B示意性示出了适于根据本公开实施例的交易方法、终端设备和服务器的系统架构。需要注意的是，图1A和图1B所示仅为可以应用本公开实施例的系统架构的示例，以帮助本领域技术人员理解本公开的技术内容，但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。

如图1A和图1B所示，该系统架构100包括：终端设备101、基站102(真基站)、中继器103、服务器104。

如图1A所示，在没有伪基站劫持的情况下，终端设备101与基站102可以建立并保持连接。终端设备101与服务器104之间可以通过基站102和一个或者多个中继器103转发信息而保持通信畅通，尤其可以保持语音通信畅通。

由于终端设备一次只能与一个基站建立并保持连接，因而如图1B所示，终端设备101被伪基站102’劫持后，会断开之前与基站102建立的连接，并与伪基站102’建立并保持连接。此时，由于伪基站102’无法接入主干网(即移动通信网络)，因而无法转发语音信号。由此，终端设备101与服务器104之间即无法通过基站102和一个或者多个中继器103转发语音信号而保持通话畅通，也无法通过伪基站102’转发语音信号而保持通话畅通。

并且，如果在交易过程中终端设备101被伪基站102’劫持，则无法保证交易安全，甚至在这种情况下继续交易可能给用户造成经济损失。

考虑到当前的网路金融交易的大量用户流量来自移动终端，并且对于动账类的金融交易，交易安全是摆在第一位的，针对当前的伪基站攻击的现状与识别难点，本公开实施例提供了较安全的交易方案。该方案可以提高伪基站识别的准确率，提高移动终端交易的安全性。

应该理解，伪基站攻击，其本质在于：利用移动终端的入网机制漏洞，欺骗移动终端断开与主干网基站的连接，然后自身伪装成主干网基站，劫持用户的移动终端。

以下将结合具体实施例和附图详细阐述本公开。

作为一个实施例，本公开提供了一种应用于终端设备侧的能够防止伪基站攻击的安全的交易方法。

图2示意性示出了根据本公开实施例的交易方法的流程图。

如图2所示，该方法例如可以包括操作S201～S203。

在操作S201，在交易过程中，确定是否存在疑似伪基站劫持事件。

作为一个实施例，当用户启动交易App时，交易App可以启动一个后台监控进程，用于在整个交易过程中，确定是否存在疑似伪基站劫持事件。其中，上述疑似伪基站劫持事件例如可以包括以下(1)～(4)中的一个或多个。

(1)监测到终端设备当前的移动通信网络信号强度不稳定。

由于攻击方只需要持有一台伪基站设备，通过采用信号增强的策略，就能够完成对终端设备进行中间人攻击劫持。由此可能造成终端设备的移动通信网络信号(如手机信号)强度忽高忽低。

因此，在交易过程中，可以通过后台监控进程监测终端设备当前的移动通信网络信号强度是否稳定来确定是否存在疑似伪基站劫持事件。其中，如果监测到终端设备当前的移动通信网络信号强度不稳定(如手机信号强度忽高忽低)，则认为终端设备疑似遭受了伪基站的劫持。如果监测到终端设备当前的移动通信网络信号强度稳定(如手机信号强度平稳)，则认为终端设备没有遭受伪基站的劫持。

(2)监测到终端设备的移动通信网络由LTE网络切换至GSM网络。

在GSM网络中，伪基站劫持十分常见。由于GSM网络的加密协议早在20年前便已经被破解，因此一直是伪基站攻击的重灾区。例如，攻击方只需要持有一台伪基站设备，通过采用信号增强的策略，就能够完成对终端设备进行中间人攻击劫持。

在LTE时代，网络安全性有了较大提升。但是由于我国移动通信网络覆盖面积广阔，长时间处于2G/3G/4G/5G并存的时期。对于接入LTE网络的终端设备，伪基站攻击升级为LTE重定向中间人攻击劫持，即将终端设备强行从LTE网络拉到GSM网络，转而进行中间人攻击劫持。

因此，在交易过程中，可以通过后台监控进程监测终端设备当前的移动通信网络是否突然由LTE网络切换至GSM网络来确定是否存在疑似伪基站劫持事件。其中，如果监测到终端设备的移动通信网络突然由LTE网络切换至GSM网络(如手机信号突然由LTE网络切换为GSM网络)，则认为终端设备疑似遭受了伪基站的劫持。如果监测到终端设备的一直在使用LTE网络而没有切换至GSM网络，则认为终端设备没有遭受伪基站的劫持。

(3)监测到终端设备接收到疑似钓鱼链接的短信。

由于一台终端设备，在某时某地只能连接一个基站(即信号最强的基站)。用户终端设备被伪基站劫持之后，与主干网断开，无法再接收正常的通讯服务信息。而与此同时，伪基站便可以随意向用户终端设备发送短信/彩信，比如钓鱼链接的短信、验证信息等。

因此，在交易过程中，可以通过后台监控进程监测终端设备是否接收到疑似钓鱼链接的短信来确定是否存在疑似伪基站劫持事件。其中，如果监测到终端设备接收到疑似钓鱼链接的短信，则认为终端设备疑似遭受了伪基站的劫持。如果监测到终端设备没有接收到疑似钓鱼链接的短信，则认为终端设备没有遭受伪基站的劫持。

考虑到短信可能涉及隐私信息，因此，在一个实施例中，后台监测进程可以在用户允许的情况下，再监测终端设备接收的短信内容。

(4)监测到使用移动通信网络进行交易的终端设备存在接收反馈报文(服务器针对确认报文的应答)和/或发送确认报文(也称确认报文，用于确认终端设备是否已被伪基站劫持)异常。

用户使用终端设备进行在线交易时，如果终端设备使用的是移动通信网络(如手机流量)，那么一旦终端设备被伪基站劫持，则终端设备与真基站之间的连接便会断开。由此导致终端设备与移动通信网络中的服务器无法正常通信。

并且，伪基站无法正常入网，因此，传统伪基站无法获取确认报文和校验信息。进一步，即便经过其他伪基站二次转发给劫持终端设备的伪基站，该伪基站也无法识别校验信息内容。

此外，伪基站通常不会连接互联网，所以用户终端一旦被劫持，也无法接收互联网的相关信息。

因此，在一个实施例中，终端设备在交易过程中可以通过向服务器发送确认报文来确定是否存在疑似伪基站劫持事件。其中，如果终端设备发送确认报文失败或者发送确认报文成功但接收反馈报文失败(即无法接收到服务器的应答信息)，则认为终端设备疑似遭受了伪基站的劫持。如果终端设备发送确认报文成功且接收反馈报文也成功，则认为终端设备没有遭受伪基站的劫持。

但是，如果攻击方采用了带网络转发功能的中间人劫持攻击，那么伪基站便可以通过互联网转发信息。这种情况下，如果确认报文是非加密的，那么通过确认报文对伪基站进行确认则可能会失效。

为了克服上述缺陷，在另一个实施例中，上述确认报文例如可以包括：加密报文。由此，即便伪基站截获了确认报文也难以破解确认报文的加密算法。具体地，在交易过程中，交易App向服务器发送加密确认报文，如果交易App可以正常接收到来自服务器的加密反馈报文，则可以完成入网确认，即认为终端设备没有被伪基站劫持。

在一个实施例中，可以使用RSA非对称加密算法对确认报文进行加密，该算法需要公钥跟私钥配合方能正常解密。

此外，为了防止伪基站漏监，在另一个实施例中，上述确认报文例如可以包括：心跳报文(即以心跳监测方式发送的报文)。进一步，心跳报文可以包括加密或者非加密报文，本公开实施例在此不做限定。

具体地，后台监控进程例如可以以心跳监测方式，定时向服务器发送加密报文。服务器对应地根据接收到的报文向终端返回加密反馈报文。其中，心跳监测方案如下：

交易App启动，后台监控进程同步启动，该进程自动向服务器发送心跳确认报文。即，该进程定时持续发送确认报文，持续接收服务器返回的反馈报文，直到用户关闭交易App。如果交易App能够正常向服务端发送加密确认报文，且能够正常接收到并正确解密服务端返回的加密反馈报文，则可以完成入网确认。该报文监测涵盖整个交易流程，任意时刻发生预警，均中断交易。

在本公开实施例中，确认报文由终端率先发起。确认报文的主要内容例如包括终端ID、时间戳、数字证书、发送报文的序列号。确认报文如果使用RSA非对称加密算法进行加密，则交易App在第一次安装并进行初始化的时候，用户终端与服务器交互生成私钥。当一次交易完成之后，用户终端与服务器再次交互，更新私钥。

服务器接收到用户终端上送的加密确认报文之后，使用自己的私钥进行RSA解密，然后使用预留算法，对确认报文进行处理，并重新加密返回给用户终端上的交易App。

交易App接收服务器返回的加密反馈报文，并使用预留算法进行解密确认。接着发出下一个确认报文。

需要说明的是，当用户终端使用移动通信网络服务商提供的流量服务发起确认请求时，则该请求的上送和针对该请求的应答的返回需经由基站转发。因此，心跳确认报文的监控结果可以作为判断是否存在伪基站劫持的参考依据。而当用户终端使用WLAN(无线局域网)发起确认请求时，则该请求的上送和针对该请求的应答的返回无需经由基站转发。因而该监控结果无法作为判断是否存在伪基站劫持的参考依据，此时跳过报文校验操作，直接进入语音校验操作。

因此，对于使用SIM卡的流量服务的用户，在发出确认报文后，如果长时间没有收到服务器返回的心跳报文，或者接收到的报文有误，则认为用户终端已经被伪基战劫持，此时拒绝交易，并上送监测结果到服务器。如果监测结果正常，交易正常进行。当终端使用流量之外的互联网服务(如WLAN)进行交易时，报文监测的结果无法作为伪基站劫持的依据，可以直接进入下一步校验(即语音校验)。

此外，上述后台监控进程例如可以用于监控交易是否受到第三方攻击。第三方攻击的类型例如可以包括但不限于伪基站劫持。

在本公开实施例中，以上策略(1)～(4)中，如果任意一条校验失败，则可以均拒绝交易。如此可以提高对伪基站攻击识别的准确率，便于保证用户交易安全。

在操作S202，响应于确定不存在疑似伪基站劫持事件，向服务器发送交易请求。其中，服务器响应于交易请求，通过移动通信网络向发送交易请求的终端设备发起语音呼叫，以确定终端设备是否已被伪基站劫持。

作为一个实施例，为了防止网络抖动而导致语音校验不准，例如可以通信网络向终端设备在一段时间内连续发起多次语音呼叫。其中，有一次呼叫成功，则认为终端设备没有被伪基站劫持，并通知终端设备继续进行正常交易。如果所有呼叫都失败，则认为终端设备疑似被伪基站劫持，此时作为一个实施例，可以通知终端设备放弃交易。或者，作为另一个实施例，还可以通过除移动通信网络之外的其他网络向终端设备发送确认请求，以确定终端设备是否没有插SIM卡和/或终端设备的SIM卡是否没有信号。

在本公开实施例中，服务器发起建立的语音链路是点对点的连接，走的是主干网，只有当用户终端在主干网中时，才能收到呼叫信息。这一步确认，可以为有感确认，也可以为无感确认。而对于伪基站而言，即便截获并破译了针对加密确认报文的校验密文算法，也无法建立起有效的点对点的语音连接通道。如此可以有效防范伪基站带来的交易安全隐患。

在操作S203，响应于服务器确定终端设备未被伪基站劫持，继续进行正常交易。

通过本公开实施例，在交易过程中使用多种伪基站识别方法分层级对伪基站劫持事件进行识别(例如，如果监测发现不存在疑似伪基站劫持事件，则通过语音校验进一步确定是否存在伪基站劫持事件)，可以提高交易过程中对伪基站识别的准确率，以便保证用户交易安全。

作为一种可选的实施例，如图3所示，该方法除了包括如图2所示的操作之外，例如还可以包括：响应于确定存在疑似伪基站劫持事件，执行操作S301和/或操作S302。

在操作S301，向用户发送伪基站预警。由此可以提醒用户当前交易存在安全风险，注意防范。

在操作S302，向服务器发送交易请求，以确定疑似伪基站劫持事件是否是真的伪基站劫持事件。由此可以通过语音校验进一步确定是否存在伪基站劫持事件，提高伪基站识别的准确率，以便保证用户交易安全。

其中，操作S302同操作操作S202，在此不再赘述。

作为另一个可选的实施例，如图4所示，该方法除了包括图3和/或图2所示的操作之外，例如在确定是否存在疑似伪基站劫持事件之前，还可以包括操作S401和操作S402。

在操作S401，确定终端设备是否在使用除移动通信网络之外的其他网络进行交易。

在操作S402，响应于确定终端设备在使用除移动通信网络之外的其他网络进行交易，向服务器发送交易请求，以确定是否存在伪基站劫持事件。

其中，操作S402与操作S202类似，在此不再赘述。

通过本公开实施例，如果终端设备使用的是互联网提供的通信服务，则报文确认会失效，为了避免由此导致的伪基站漏监，在这种场景下，可以直接进行语音验证，以确认是否存在伪基站，从而实现为安全交易保驾护航。

作为另一个可选的实施例，该方法例如还可以包括：将是否存在疑似伪基站劫持事件的确定结果发送给服务器。

以下结合图5，以一个具体实施例详细阐述本公开。

如图5所示，该交易方法包括操作S501～S512。

在操作S501，启动交易App。

在操作S502，启动后台监控进程。例如，可以监控手机信号强度是否忽高忽低、手机使用的网络是否突然切换至GSM网络、手机是否收到了疑似钓鱼链接的短息、确定报文是否存在收发异常等以确定是否存在疑似伪基站劫持事件。

在操作S503，发起交易。

在操作S504，监测是否存在疑似伪基站劫持事件。如果监测发现存在，则执行操作S505；如果监测发现不存在，则执行操作S510。

在操作S505，预警提醒。例如，交易App可以以弹窗或者震动的方式向用户发送伪基站预警提醒。

在操作S506，向用户确定是否继续进行交易。如果用户确定继续交易，则执行操作S507；如果用户确定终止交易，则执行操作S511。

在操作S507，检查用户终端的网络制式是否是手机流量上网。如果是手机流量上网，则执行操作S508；如果不是手机流量上网，则执行操作S509。

在操作S508，利用心跳确认报文校验是否存在疑似伪基站劫持事件。如果校验发现存在，则执行操作S511；如果校验发现不存在，则执行操作S509。

在操作S509，服务器发起语音校验，结合用户终端的网络制式判断用户终端是否已被伪基站劫持。如果校验发现用户终端已被伪基站劫持，则执行操作S511；如果校验发现用户终端并没有被伪基站劫持，则执行操作S510。

语音呼叫的原理图如图1A和图1B所示。其中图1A是校验成功的情形，图1B为校验失败的情形(即，用户终端已被伪基站劫持)。

在操作S510，正常进行交易。

在操作S511，终止交易。

作为另一个实施例，本公开还提供了一种应用于服务器侧的能够防止伪基站攻击的安全的交易方法。

图6示意性示出了根据本公开又一实施例的交易方法的流程图。

如图6所示，该方法例如可以包括操作S601～S603。

在操作S601，接收终端设备发送的交易请求。

其中，上述交易请求为终端设备在交易过程中响应于确定不存在针对终端设备的疑似伪基站劫持事件后发送的，它是用于请求服务器校验上述终端设备是否已被伪基站劫持的。

在操作S602，响应于接收到交易请求，通过移动通信网络向终端设备发起语音呼叫。例如，可以采用多次呼叫机制，通信网络向终端设备在一定时间段内连续发起多次语音呼叫。由此可以防止因为网络抖动引起呼叫失败，进而导致误认为存在伪基站攻击。采用多次呼叫机制时，只要有一次呼叫成功，则认为不存在伪基站劫持。

在一个实施例中，语音验证校验可以作为伪基站劫持校验的最后一步。其中，在语音验证校验中，语音链路的建立，可以由服务器端发起。

在操作S603，响应于语音呼叫能够被接通，通知终端设备继续进行正常交易。

通过本公开实施例，在交易过程中使用多种伪基站识别方法分层级对伪基站劫持事件进行识别(例如，如果监测发现不存在疑似伪基站劫持事件，则通过语音校验进一步确定是否存在伪基站劫持事件)，可以提高交易过程中对伪基站识别的准确率，以便保证用户交易安全。

作为一个可选实施例，如图7所示，该方法除了如图6所示的操作之外，例如还可以包括操作S701。

在操作S701，响应于语音呼叫无法接通，通过除移动通信网络之外的其他网络向终端设备发送确认请求，以确定终端设备是否没有插SIM卡和/或终端设备的SIM卡是否没有信号。

通过本公开实施例，如果用户终端没有插SIM卡和/或SIM卡没有信号，则认为不存在伪基站劫持，否则SIM卡有信号，则认为存在伪基站劫持。

具体地，在一个实施例中，当服务器收到用户的交易请求时，可以通过主干网向用户终端发起语音呼叫。该语音呼叫的目的在于，确认用户终端是否在主干网内。因此可以采用用户有感或者用户无感的方式。

如果用户终端可以正常接通，则认为用户终端在主干网内，并没有伪基站攻击，此时用户可以正常交易。接通方式例如可以包括用户已接听、用户占线未接听。因为不论接通还是占线，均表示用户终端连接的是主干网基站，而不是伪基站。

如果通过语音呼叫无法正常联系到用户，则还可以通过互联网向用户终端发送确认请求。该确认请求的目的在于，用户终端是否没有插SIM卡或用户终端的SIM卡是否没有信号。如果确认用户终端没有插SIM卡或用户终端的SIM卡没有信号，那么用户终端没有连接主干网基站，也不会连接伪基站，因而用户终端在这种情况下是不存在伪基站劫持可能的，此时允许正常交易。

如果语音呼叫用户，无法正常联系到用户，且通过互联网确认用户终端的SIM卡信号正常，则认为用户终端存在伪基站劫持风险，拒绝交易。

作为一个实施例，本公开提供了一种能够防止伪基站攻击的用于进行安全交易的终端设备。

图8示意性示出了根据本公开实施例的终端设备的框图。

如图8所示，该终端设备800包括处理器801、信号发送端802、信号接收端803。该终端设备800可以执行上面参考方法实施例部分描述的相关交易方法，在此不再赘述。

具体地，处理器801，用于在交易过程中，确定是否存在疑似伪基站劫持事件。

信号发送端802，用于响应于确定不存在疑似伪基站劫持事件，向服务器发送交易请求。其中，服务器响应于交易请求，通过移动通信网络向发送交易请求的终端设备800发起语音呼叫，以确定终端设备800是否已被伪基站劫持。

处理器801，还用于响应于服务器确定终端设备未被伪基站劫持，继续进行正常交易。

信号接收端803，用于接收服务器针对上述交易请求返回的应答信息。

通过本公开实施例，在交易过程中使用多种伪基站识别方法分层级对伪基站劫持事件进行识别(例如，如果监测发现不存在疑似伪基站劫持事件，则通过语音校验进一步确定是否存在伪基站劫持事件)，可以提高交易过程中对伪基站识别的准确率，以便保证用户交易安全。

作为一种可选的实施例，疑似伪基站劫持事件包括以下中的一个或多个：监测到终端设备当前的移动通信网络信号强度不稳定；监测到终端设备的移动通信网络由LTE网络切换至GSM网络；监测到终端设备接收到疑似钓鱼链接的短信；监测到使用移动通信网络进行交易的终端设备存在接收和/或发送确认报文异常。

作为一种可选的实施例，确认报文包括：加密报文。

作为一种可选的实施例，确认报文包括：心跳报文。

作为一种可选的实施例，信号发送端：还用于响应于确定存在疑似伪基站劫持事件，向用户发送伪基站预警；和/或向服务器发送交易请求，以确定疑似伪基站劫持事件是否是真的伪基站劫持事件。

作为一种可选的实施例，处理器，还用于在确定是否存在疑似伪基站劫持事件之前，确定终端设备是否在使用除移动通信网络之外的其他网络进行交易；以及信号发送端，还用于响应于确定终端设备在使用除移动通信网络之外的其他网络进行交易，向服务器发送交易请求，以确定是否存在伪基站劫持事件。

作为一种可选的实施例，信号发送端，还用于将是否存在疑似伪基站劫持事件的确定结果发送给服务器。

作为一个实施例，本公开提供了一种能够防止伪基站攻击的用于进行安全交易的服务器。

图9示意性示出了根据本公开实施例的服务器的框图。

如图9所示，该服务器900例如可以包括信号接收端901和信号发送端902。该服务器900可以执行上面参考方法实施例部分描述的相关交易方法，在此不再赘述。

具体地，信号接收端901，用于接收终端设备发送的交易请求，其中，交易请求为终端设备在交易过程中响应于确定不存在针对终端设备的疑似伪基站劫持事件后发送的。

信号发送端902，用于响应于接收到交易请求，通过移动通信网络向终端设备发起语音呼叫。

信号接收端901，还用于响应于语音呼叫能够被接通，通知终端设备继续进行正常交易。

通过本公开实施例，在交易过程中使用多种伪基站识别方法分层级对伪基站劫持事件进行识别(例如，如果监测发现不存在疑似伪基站劫持事件，则通过语音校验进一步确定是否存在伪基站劫持事件)，可以提高交易过程中对伪基站识别的准确率，以便保证用户交易安全。

作为一种可选的实施例，信号发送端，还用于响应于语音呼叫无法接通，通过除移动通信网络之外的其他网络向终端设备发送确认请求，以确定终端设备是否没有插SIM卡和/或终端设备的SIM卡是否没有信号。

作为一种可选的实施例，信号发送端，还用于通信网络向终端设备连续发起多次语音呼叫。

需要说明的是，装置部分的实施例方式与方法部分的实施例方式对应类似，并且所达到的技术效果也对应类似，在此不再赘述。

图10示意性示出了根据本公开实施例的电子设备的框图。图10示出的电子设备仅仅是一个示例，不应对本公开实施例的功能和使用范围带来任何限制。

如图10所示，电子设备1000包括处理器1010、计算机可读存储介质1020、信号接收端1030和信号发送端1040。该电子设备1000可以执行根据本公开实施例的方法。

具体地，处理器1010例如可以包括通用微处理器、指令集处理器和/或相关芯片组和/或专用微处理器(例如，专用集成电路(ASIC))，等等。处理器1010还可以包括用于缓存用途的板载存储器。处理器1010可以是用于执行根据本公开实施例的方法流程的不同动作的单一处理单元或者是多个处理单元。

计算机可读存储介质1020，例如可以是非易失性的计算机可读存储介质，具体示例包括但不限于：磁存储装置，如磁带或硬盘(HDD)；光存储装置，如光盘(CD-ROM)；存储器，如随机存取存储器(RAM)或闪存；等等。

计算机可读存储介质1020可以包括计算机程序1021，该计算机程序1021可以包括代码/计算机可执行指令，其在由处理器1010执行时使得处理器1010执行根据本公开实施例的方法或其任何变形。

计算机程序1021可被配置为具有例如包括计算机程序模块的计算机程序代码。例如，在示例实施例中，计算机程序1021中的代码可以包括一个或多个程序模块，例如包括1021A、模块1021B、……。应当注意，模块的划分方式和个数并不是固定的，本领域技术人员可以根据实际情况使用合适的程序模块或程序模块组合，当这些程序模块组合被处理器1010执行时，使得处理器1010可以执行根据本公开实施例的方法或其任何变形。

本公开还提供了一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中描述的设备/装置/系统中所包含的；也可以是单独存在，而未装配入该设备/装置/系统中。上述计算机可读存储介质承载有一个或者多个程序，当上述一个或者多个程序被执行时，实现根据本公开实施例的方法。

附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

本领域技术人员可以理解，尽管已经参照本公开的特定示例性实施例示出并描述了本公开，但是本领域技术人员应该理解，在不背离所附权利要求及其等同物限定的本公开的精神和范围的情况下，可以对本公开进行形式和细节上的多种改变。因此，本公开的范围不应该限于上述实施例，而是应该不仅由所附权利要求来进行确定，还由所附权利要求的等同物来进行限定。

Claims (14)

1.一种交易方法，包括：

在交易过程中，确定是否存在疑似伪基站劫持事件；

响应于确定不存在所述疑似伪基站劫持事件，向服务器发送交易请求，

其中，所述服务器响应于所述交易请求，通过移动通信网络向发送所述交易请求的终端设备发起语音呼叫，以确定所述终端设备是否已被伪基站劫持；以及

响应于所述服务器确定所述终端设备未被伪基站劫持，继续进行正常交易。

2.根据权利要求1所述的方法，其中，所述疑似伪基站劫持事件包括以下中的一个或多个：

监测到所述终端设备当前的移动通信网络信号强度不稳定；

监测到所述终端设备的移动通信网络由LTE网络切换至GSM网络；

监测到所述终端设备接收到疑似钓鱼链接的短信；

监测到使用移动通信网络进行交易的所述终端设备存在接收和/或发送确认报文异常。

3.根据权利要求2所述的方法，其中，所述确认报文包括：加密报文。

4.根据权利要求2或3所述的方法，其中，所述确认报文包括：心跳报文。

5.根据权利要求1所述的方法，还包括：响应于确定存在所述疑似伪基站劫持事件，

向用户发送伪基站预警；和/或

向所述服务器发送交易请求，以确定所述疑似伪基站劫持事件是否是真的伪基站劫持事件。

6.根据权利要求1所述的方法，在确定是否存在疑似伪基站劫持事件之前，所述方法还包括：

确定所述终端设备是否在使用除移动通信网络之外的其他网络进行交易；以及

响应于确定所述终端设备在使用除移动通信网络之外的其他网络进行交易，向所述服务器发送交易请求，以确定是否存在伪基站劫持事件。

7.根据权利要求1所述的方法，还包括：

将是否存在所述疑似伪基站劫持事件的确定结果发送给所述服务器。

8.一种交易方法，包括：

接收终端设备发送的交易请求，其中，所述交易请求为所述终端设备在交易过程中响应于确定不存在针对所述终端设备的疑似伪基站劫持事件后发送的；

响应于接收到所述交易请求，通过移动通信网络向所述终端设备发起语音呼叫；以及

响应于所述语音呼叫能够被接通，通知所述终端设备继续进行正常交易。

9.根据权利要求8所述的方法，还包括：

响应于所述语音呼叫无法接通，通过除移动通信网络之外的其他网络向所述终端设备发送确认请求，以确定所述终端设备是否没有插SIM卡和/或所述终端设备的SIM卡是否没有信号。

10.根据权利要求8所述的方法，其中，所述通过移动通信网络向所述终端设备发起语音呼叫，包括：

通信网络向所述终端设备连续发起多次语音呼叫。

11.一种终端设备，用于进行交易，包括：

处理器，用于在交易过程中，确定是否存在疑似伪基站劫持事件；

信号发送端，用于响应于确定不存在所述疑似伪基站劫持事件，向服务器发送交易请求，

其中，所述服务器响应于所述交易请求，通过移动通信网络向发送所述交易请求的终端设备发起语音呼叫，以确定所述终端设备是否已被伪基站劫持；以及

所述处理器，还用于响应于所述服务器确定所述终端设备未被伪基站劫持，继续进行正常交易。

12.一种服务器，用于针对交易进行伪基站识别，包括：

信号接收端，用于接收终端设备发送的交易请求，其中，所述交易请求为所述终端设备在交易过程中响应于确定不存在针对所述终端设备的疑似伪基站劫持事件后发送的；

信号发送端，用于响应于接收到所述交易请求，通过移动通信网络向所述终端设备发起语音呼叫；以及

所述信号接收端，还用于响应于所述语音呼叫能够被接通，通知所述终端设备继续进行正常交易。

13.一种电子设备，包括：

一个或多个处理器；

存储器，用于存储一个或多个程序，

其中，当所述一个或多个程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现权利要求1至10中任一项所述的方法。

14.一种计算机可读存储介质，存储有计算机可执行指令，所述指令在被执行时用于实现权利要求1至10中任一项所述的方法。

Images