一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统

摘要

本发明公开了一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统，其使用双链路数据进行认证，双链路是指由PC客户端到应用服务器的使用用户名和静态密码的认证为第一条链路，基于移动终端的客户端到应用服务器通过认证服务进行认证为第二条链路；本发明的系统包括：移动终端、PC客户端、应用服务器、认证系统服务器、认证系统灾备服务器，本发明的优点是基于应用服务器与移动终端所传输信息的双链路数据并结合移动终端及应用服务器的图形二位码信息在应用服务器上进行验证，从而为防钓鱼、防订单篡改、防盗号提供一种全新的行之有效的解决方案，大大提高了网络安全性，具有较强的实用价值和现实意义。

说明书

技术领域

本发明涉及一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法和系统，属于 网络通信技术领域。

背景技术

随着信息技术的迅猛发展，特别是无线通信、网络通信技术日趋成熟，越来越多的企业 改变了以前业务系统在企业内部局域网孤立运行的方式而放在互联网上运行，互联网应用得 到了长足的发展，但由此导致的信息共享与信息保护问题日益突出，网络安全与犯罪在一定 程度上长期制约着互联网应用前景。常见的网络安全问题包括篡改用户订单信息、窃取账户 以及钓鱼攻击。目前，大多数互联网应用采用传统的用户名加静态密码的认证方式，这种方 式的账号信息非常容易被窃取，相应的用户订单信息也很容易被篡改，同时，基于用户名和 静态密码的认证方式容易被钓鱼攻击，如果采用动态密码方式，同样也存在被钓鱼的风险。 目前，采用的各种防止钓鱼攻击、防止订单篡改、防止盗号的方法都有明显的技术不足。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的基于图形二维码保护账户、防止订 单篡改及钓鱼攻击的方法和系统。

本发明的一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼 攻击的方法基本原理如下：

使用双链路数据进行认证，双链路是指由PC客户端到应用服务器的使用用户名和静态密 码的认证为第一条链路，基于移动终端的客户端到应用服务器通过认证服务进行认证为第二 条链路；

第一条链路认证通过后，应用服务器通过算法生成图形二维码，回传给PC客户端，同时 将图形二维码保存在应用服务器。图形二维码包括订单信息、账号及其它有用数据；

移动终端使用视频等设备获得PC客户端的图形二维码进行第二链路的认证。第二链路认 证信息包括图形二位码、用户ID等信息。第二链路认证时通过GPRS的方式将认证信息传递 给应用服务器；

应用服务器将用户ID等信息传递给认证系统服务器，认证系统服务器验证当前用户的合 法性，如果合法，则返回给应用服务器进行图形二维码比对；

应用服务器的图形二维码来源于第一条链路认证通过后保存在应用服务器上的图形二维 码和移动终端通过视频等设备获得的PC客户端的图形二维码；

应用服务器通过图形二维码解码算法解密来源于双链路的二维码信息，包括订单数据、 账号数据等等，同时，对这些数据进行比对，判断订单数据是否被篡改、账号是否合法，从 而实现本发明目的。

本发明的一种能够克服上述技术问题的基于图形二维码保护账户、防止订单篡改及钓鱼 攻击的方法步骤如下：

实现本方法的前提是安装在移动终端上的客户端与用户在应用服务器上注册的账户进行 绑定，绑定过程涉及到安装在移动终端上的客户端程序、应用服务程序、认证系统程序三个 部分，步骤如下：

第一步，用户使用移动终端通过客户端程序发起绑定请求，可以通过激活码或直接使用 用户在应用服务器上注册的账号申请绑定；当使用激活码方式时，激活码由应用服务器生成；

第二步，移动终端上的客户端向应用服务器申请账号绑定。可以通过GPRS或上行短信的 方式进行；

第三步，应用服务器进行绑定请求验证，验证的内容包括从客户端传递过来的与用户相 关的关键信息，诸如用户账号或激活码；

第四步，应用服务器的绑定验证通过后，请求认证系统服务器进行数据分发；

第五步，认证系统服务器根据客户端传递过来的相关信息通过相关算法为当前绑定用户 生成ID(唯一标示)和私钥等信息并返回给应用服务器。算法可以为AES或SM3；

第六步，应用服务器将认证系统服务器分发的数据回传给移动终端，客户端存储接收到 的数据，比如ID、私钥的信息；

第七步，客户端向应用服务器发起绑定请求；绑定请求包括用户ID、私钥与其它相关信 息；

第八步，应用服务器向认证系统服务器请求绑定认证；

第九步，应用服务器认证通过后，绑定成功。

本发明的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统包括：移动终 端、PC客户端、应用服务器、认证系统服务器、认证系统灾备服务器。所述移动终端、PC 客户端分别与应用服务器连接，所述认证系统服务器和认证系统灾备服务器分别与应用服务 器连接，所述认证系统服务器与认证系统灾备服务器连接。

所述PC客户端相对于应用服务器而言，所述PC客户端通过浏览器访问应用服务器，合 法用户能够对应用服务器功能进行相关操作。PC客户端在硬件方面没有特定要求，只要能安 装主流浏览器就可以。

所述移动终端安装第二链路认证的客户端程序。所述移动终端包括手机、pda、ipad等 设备。

所述应用服务器安装应用系统，根据应用系统的特定要求，应用服务器可以是PC Server 或小型机。部署方式可以依据应用系统非功能性要求进行集群式部署。负载均衡器采用软件 或硬件的方式。

所述认证系统服务器可以是PC Server或小型机。部署方式可以根据认证系统的非功能 性要求进行集群式部署。所述认证系统服务器包括数据库服务器，数据库服务器存储用户ID、 种子密钥信息及认证日志数据。数据库服务器最基本的部署方式为主从服务，根据数据库负 载情况可以进行集群式部署。

为了防止非正常原因导致所述认证系统服务器不可用，对所述认证系统服务器建立同城 异地及异城异地的认证系统灾备服务器，所述认证系统灾备服务器与认证系统服务器配置一 致。

本发明的优点是采用成熟的二维码技术，基于应用服务器与移动终端所传输信息的双链 路数据并结合移动终端及应用服务器的图形二位码信息在应用服务器上进行验证，从而为防 钓鱼、防订单篡改、防盗号提供一种全新的行之有效的解决方案，大大提高了网络安全性， 具有较强的实用价值和现实意义。

附图说明

图1是本发明所述的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的方法的 工作原理图；

图2是本发明所述的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统的 结构示意图。

具体实施方式

下面结合附图和实施例对本发明进行详细描述。本发明的一种基于图形二维码保护账户、 防止订单篡改及钓鱼攻击的方法工作原理如图1所示，

PC客户端2通过浏览器访问应用服务器3，拥有展现图形二维码的容器；

应用服务器3能够分发静态账号、图形二维码算法生成及解码器；

认证系统服务器4为基于移动终端1的客户端绑定应用服务器3的账户提供支撑服务， 它能为注册在应用服务器3上的账户分发唯一标识、进行身份认证；

安装在移动终端1上的客户端能够获得PC客户端2的图形二维码，并可以根据二次认证 结果对用户账户采取通过认证、锁定账号、解除账号锁定等操作。

如图2所示，本发明的一种基于图形二维码保护账户、防止订单篡改及钓鱼攻击的系统 包括：移动终端1、PC客户端2、应用服务器3、认证系统服务器4、认证系统灾备服务器5。 移动终端1、PC客户端2分别与应用服务器3连接，认证系统服务器4和认证系统灾备服务 器5分别与应用服务器3连接，认证系统服务器4与认证系统灾备服务器5连接。

PC客户端2相对于应用服务器3而言，PC客户端2通过浏览器访问应用服务器3，合 法用户能够对应用服务器3的功能进行相关操作。PC客户端2安装主流浏览器。

移动终端1安装第二链路认证的客户端程序。移动终端1包括手机、pda、ipad等设备。

应用服务器3安装应用系统，根据应用系统的特定要求，应用服务器3可以是PC Server 或小型机。

认证系统服务器4可以是PC Server或小型机。认证系统服务器4包括数据库服务器， 数据库服务器存储用户ID、种子密钥信息及认证日志数据。

为了防止非正常原因导致认证系统服务器4不可用，对认证系统服务器4建立同城异地 及异城异地的认证系统灾备服务器5，认证系统灾备服务器5与认证系统服务器4配置一致。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉 本技术领域的技术人员在本发明公开的范围内，能够轻易想到的变化或替换，都应涵盖在本 发明权利要求的保护范围内。