[发明专利]一种防止网络钓鱼的设备和系统

说明书

技术领域

本发明涉及用于网络中防止网络钓鱼的设备和系统。

背景技术

随着电子商务、电子政务等应用系统的飞速发展，在给人们带来极大的方便的同时其本身的安全性也不容忽视，比如现在比较难以解决的“网络钓鱼”，就是一个比较难以解决的问题。

网络钓鱼(Phishing)击者利用欺骗性的电子邮件和伪造的Web站点来进行网络诈骗活动，受骗者往往会泄露自己的私人资料，如信用卡号、银行卡账户、身份证号等内容。诈骗者通常会将自己伪装成网络银行、在线零售商或信用卡公司等可信的品牌，骗取用户的私人信息。

中国互联网络信息中心联合国家互联网应急中心发布的《2009年中国网民网络信息安全状况调查报告》显示，2009年有超过九成网民遇到过网络钓鱼攻击，在遭遇过网络钓鱼攻击的网民中，有4500万网民蒙受了经济损失，占网民总数11.9％。网络钓鱼给网民造成的损失已达76亿元。

发明内容

本发明的目的是提供一种防止网络钓鱼的设备和系统，本发明针对网络钓鱼，从技术上还没有彻底的解决方案，本发明将利用动态密码技术从一定程度上解决网络钓鱼问题。本发明是一种设备和后台系统，通过带外通道实现在设备上显示提示信息与服务器上提供的信息进行比对，从而发现钓鱼服务器。

本发明的特点在于：用户利用带外通道对服务器进行验证；用户验证的结果不通过网络传递；用户利用不联网设备显示服务器验证码和已经验证次数；后台系统产生服务器验证码并将已验证次数返回用户；采用预先共享秘密的方式使客户端和服务器获得秘密；客户端和服务器按照使用次数同步产生新的服务器验证码。

一种防止网络钓鱼的系统，包括如下步骤：

(一)业务系统客户端访问业务系统，请求进行身份认证和服务器验证；

(二)业务系统调用动态密码接口产生服务器验证码；

(三)服务器验证码返回业务系统；

(四)业务系统将服务器验证码返回到用户的业务系统客户端；

(五)用户比对业务系统客户端上的服务器验证码和客户端令牌上的服务器验证码是否一致；如果不一致，则检查是否次数一致，若次数一致，但验证码不一致，则直接退出，否则，从服务器请求新的服务器验证码，直到次数一致为止，如果服务器验证码还是不一致，则退出，如果一致了，则继续下面的操作；

(六)用户输入业务系统客户端令牌上显示的动态密码并提交到业务系统；

(七)业务系统调用动态密码接口来验证动态密码的正确性；

(八)动态密码服务器将验证结果返回业务系统，业务系统根据验证结果决定业务系统下一步的操作。

在第(五)步骤所述次数对应令牌已验证计数器的数字，如果令牌是事件型令牌，即每按一次键产生一个动态密码，那么次数对应于已经令牌使用的次数，如果令牌是基于时间同步的，则次数对应于时间的步进次数(如果步进的间隔是一分钟，那么就对应于当前的分钟数)，当然服务器也会遵循这一机制，根据令牌类型来计算次数，同时服务器还应能够提供一种机制来调整可能出现的步调不一致的情形。

本发明的一种防止网络钓鱼的设备，由实时时钟、电源、液晶屏、单片微型计算机、注入接口构成；其中：

实时时钟：由高精度石英晶体提供脉冲信号，作为时钟，保持与服务器端的时间同步；

电源：高容量锂电池，整个设备提供电力；

液晶屏：用于显示密码和提示信息；

注入接口：用于进行系统初始化和种子注入的一次性接口；

单片微型计算机：具有密码计算能力的处理器，内部带有RAM存储器，用于存储程序和种子数据；单片微型计算机分别连接键盘、实时时钟、电源、液晶屏和注入接口。

本发明提供一种设备，该设备不仅能够与普通动态令牌一样产生动态密码，而且能够根据使用次数产生服务器验证码，这个服务器验证码不需要用户输入到任何设备中，仅仅是用户用来比对是否和服务器传递来的服务器验证码是否一致，同时能够对用户使用的次数进行累计，在令牌上显示计数器的全部或部分内容，显示计数器内容的目的是帮助用户在比对服务器验证码是确保双方是同步的，即服务器产生的验证码和令牌产生的验证码是同一次。

本发明提供一个服务器系统，服务器系统简单地说是在动态令牌服务器系统的基础上增加防钓鱼功能的。具体地说，动态令牌服务器具备产生服务器验证码的功能，每次用户请求验证码时产生一个验证码；具备验证动态密码的功能，业务系统可以调用相应的接口来验证动态密码。

附图说明

图1是本发明动态令牌与动态密码系统的交互过程流程图；

图2是本发明用户端设备连接示意图；