钓鱼攻击防御方法和授权服务器技术

技术编号:20520087 阅读:27 留言:0更新日期:2019-03-06 03:49
本发明专利技术公开了一种利用OAuth认证的钓鱼攻击防御方法和授权服务器,涉及网络安全领域。其中的防御方法包括:授权服务器响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;授权服务器将客户端身份提示给用户,以便用户根据提示内容决定是否给予客户端授权。从而,为用户决策是否授权提供支撑,防御部分利用OAuth认证的钓鱼攻击,降低OAuth授权被窃取的安全风险。

【技术实现步骤摘要】
钓鱼攻击防御方法和授权服务器
本专利技术涉及网络安全领域,特别涉及一种利用开放授权(OAuth,OpenAuthorization)认证的钓鱼攻击防御方法和授权服务器。
技术介绍
OAuth是一个广泛运用的开放标准。第三方应用可在用户授权的前提下访问用户在服务商存储的信息,而这种授权不会触及用户账号信息,例如用户名和密码等。钓鱼式攻击是一种通过伪装成信誉卓著的法人媒体,以获得如用户名、密码和信用卡明细等个人敏感信息的犯罪诈骗过程。目前有一种精准钓鱼攻击非常不容易辨识。如果用户收到一封提示账号异常,需要重新确认登录的邮件,由于是仿冒OAuth界面,证书也是绿标安全状态的,故很难区分真假。这样用户的授权码信息将被攻击者窃取,从而导致用户信息泄露。
技术实现思路
本专利技术提出一种利用OAuth认证的钓鱼攻击防御方案,可以降低OAuth授权被窃取的安全风险。本专利技术提出一种利用OAuth认证的钓鱼攻击防御方法,包括:授权服务器响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;授权服务器将客户端身份提示给用户,以便用户根据提示内容决定是否给予客户端授权。在一个实施例中,授权服务器根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份包括:授权服务器将客户端认证申请中的重定向URI与授权服务器端的应用列表进行比对,找到与重定向URI匹配的应用之后,将与重定向URI匹配的应用的身份属性确定为客户端的身份。在一个实施例中,防御方法还包括:授权服务器响应于用户给予客户端授权的操作,获取用户的手机号码,生成短信验证码,发送到用户的手机上;其中,短信验证码与客户端认证申请中的客户端ID、状态随机值在授权服务器端关联存储;授权服务器接收用户提交的短信验证码,将用户提交的短信验证码与关联存储的客户端ID和状态随机值对应的短信验证码进行比对;授权服务器在比对结果一致的情况下向客户端下发授权码。在一个实施例中,防御方法还包括:授权服务器响应于客户端的令牌申请,核对令牌申请中的重定向URI和授权码无误后,向客户端发送令牌,以便客户端利用令牌访问用户存放在资源服务器的资源。在一个实施例中,授权服务器将客户端身份在授权界面中提示给用户。本专利技术还提出一种利用OAuth认证的钓鱼攻击防御授权服务器,包括:身份验证模块,用于响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;身份提示模块,用于将客户端身份提示给用户,以便用户根据提示内容决定是否给予客户端授权。在一个实施例中,所述身份验证模块,具体用于:将客户端认证申请中的重定向URI与授权服务器端的应用列表进行比对,找到与重定向URI匹配的应用之后,将与重定向URI匹配的应用的身份属性确定为客户端的身份。在一个实施例中,授权服务器还包括:短信发送模块,用于响应于用户给予客户端授权的操作,获取用户的手机号码,生成短信验证码,发送到用户的手机上;其中,短信验证码与客户端认证申请中的客户端ID、状态随机值在授权服务器端关联存储;短信验证模块,用于接收用户提交的短信验证码,将用户提交的短信验证码与关联存储的客户端ID和状态随机值对应的短信验证码进行比对;授权码模块,用于在比对结果一致的情况下向客户端下发授权码。在一个实施例中,授权服务器还包括:令牌模块,用于响应于客户端的令牌申请,核对令牌申请中的重定向URI和授权码无误后,向客户端发送令牌,以便客户端利用令牌访问用户存放在资源服务器的资源。在一个实施例中,所述身份提示模块,具体用于将客户端身份在授权界面中提示给用户。本专利技术还提供一种利用OAuth认证的钓鱼攻击防御装置,包括:存储器;以及耦接至所述存储器的处理器,所述处理器被配置为基于存储在所述存储器中的指令,执行前述的钓鱼攻击防御方法。本专利技术还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的钓鱼攻击防御方法的步骤。本专利技术针对客户端认证申请提供身份认证机制,并将客户端身份提示给用户,为用户决策是否授权提供支撑,从而防御部分利用OAuth认证的钓鱼攻击,降低OAuth授权被窃取的安全风险。此外,通过短信验证机制,可以防范由于用户被仿冒而受到的钓鱼攻击,降低OAuth授权被窃取的安全风险。通过以下参照附图对本专利技术的示例性实施例的详细描述,本专利技术的其它特征及其优点将会变得清楚。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。图1是本专利技术基于身份提示实现的利用开放授权OAuth认证的钓鱼攻击防御方法一个实施例的流程示意图。图2是本专利技术基于短信验证机制实现的利用开放授权OAuth认证的钓鱼攻击防御方法一个实施例的流程示意图。图3是本专利技术基于双重认证实现的利用开放授权OAuth认证的钓鱼攻击防御方法一个实施例的流程示意图。图4是本专利技术利用开放授权OAuth认证的钓鱼攻击防御授权服务器一个实施例的结构示意图。图5是本专利技术利用开放授权OAuth认证的钓鱼攻击防御授权服务器再一个实施例的结构示意图。图6是本专利技术利用开放授权OAuth认证的钓鱼攻击防御装置一个实施例的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述。为了防御利用OAuth认证的钓鱼攻击,降低OAuth授权被窃取的安全风险,提出本专利技术。实施例1本实施例针对客户端认证申请提供身份认证机制,并将客户端身份提示给用户,为用户决策是否授权提供支撑,从而防御部分利用OAuth认证的钓鱼攻击,降低OAuth授权被窃取的安全风险。图1是本专利技术基于身份提示实现的利用开放授权OAuth认证的钓鱼攻击防御方法一个实施例的流程示意图。如图1所示,本实施例的方法包括:步骤110:用户通过用户代理(如浏览器)访问客户端,客户端将用户导向服务提供商的授权服务器申请认证。其中,客户端的认证申请例如包括如下参数:response_type:表示授权类型,client_id:表示客户端ID,redirect_uri:表示重定向统一资源标识符(URI),scope:表示申请的权限范围,state:表示客户端的当前状态,可以指定任意值,也称状态随机值,授权服务器会原封不动地返回这个值。步骤120:授权服务器根据客户端认证申请中的重定向URI验证客户端身份。其中,授权服务器验证客户端身份的一种示例性方式为:授权服务器将客户端重定向URI(redirect_uri)与授权服务器端的应用列表进行比对,找到与重定向URI(redirect_uri)匹配的应用之后,确定与重定向URI(redirect_uri)匹配的应用的身份属性,将其作为客户端的身份。客户端的身份例如属于官方应用还是第三方应用,或者,属于经认证的应用还是未经认证的应用等,但不限于所举示例。客户端的身份可以表示客户端的可信程度。通常来说,官方应用比第三方应用更可信,经认证的应用比未经认证的应用更可信。为了提高比对效率,可以利用正则表达式描述重本文档来自技高网...

【技术保护点】
1.一种利用开放授权OAuth认证的钓鱼攻击防御方法,其特征在于,包括:授权服务器响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;授权服务器将客户端身份提示给用户,以便用户根据提示内容决定是否给予客户端授权。

【技术特征摘要】
1.一种利用开放授权OAuth认证的钓鱼攻击防御方法,其特征在于,包括:授权服务器响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;授权服务器将客户端身份提示给用户,以便用户根据提示内容决定是否给予客户端授权。2.如权利要求1所述的方法,其特征在于,授权服务器根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份包括:授权服务器将客户端认证申请中的重定向URI与授权服务器端的应用列表进行比对,找到与重定向URI匹配的应用之后,将与重定向URI匹配的应用的身份属性确定为客户端的身份。3.如权利要求1所述的方法,其特征在于,还包括:授权服务器响应于用户给予客户端授权的操作,获取用户的手机号码,生成短信验证码,发送到用户的手机上;其中,短信验证码与客户端认证申请中的客户端ID、状态随机值在授权服务器端关联存储;授权服务器接收用户提交的短信验证码,将用户提交的短信验证码与关联存储的客户端ID和状态随机值对应的短信验证码进行比对;授权服务器在比对结果一致的情况下向客户端下发授权码。4.如权利要求3所述的方法,其特征在于,还包括:授权服务器响应于客户端的令牌申请,核对令牌申请中的重定向URI和授权码无误后,向客户端发送令牌,以便客户端利用令牌访问用户存放在资源服务器的资源。5.如权利要求1所述的方法,其特征在于,授权服务器将客户端身份在授权界面中提示给用户。6.一种利用开放授权OAuth认证的钓鱼攻击防御授权服务器,其特征在于,包括:身份验证模块,用于响应于客户端对用户的导向操作,根据客户端认证申请中的重定向统一资源标识符URI验证客户端身份;...

【专利技术属性】
技术研发人员:周能侯艳芳
申请(专利权)人:中国电信股份有限公司
类型:发明
国别省市:北京,11

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1