【技术实现步骤摘要】
一种针对短信拦截攻击的防御方法及系统
本专利技术涉及计算机
,特别涉及一种针对短信拦截攻击的防御方法及系统。
技术介绍
随着移动互联网技术的发展,越来越多的应用在用户使用的各种移动设备上实现。用户的各种移动设备不仅仅具有通信功能,还可以实现互联网提供的各种类型应用。用户通过移动设备使用应用服务器提供的某种应用时,特别是对于诸如涉及金融等安全性比较高的应用,常常需要认证。在认证时,应用服务器采用的方式是先对用户身份信息,诸如用户账号及密码进行认证,然后应用服务器再通过通信网络将验证码携带在短信中发送给用户,接收用户通过互联网返回的验证码并认证是否与发送的相同,通过后,提供应用服务;否则,不提供应用服务。但是,采用这种方式认证用户存在问题,攻击者可以对应用服务器发送给用户的短信进行拦截,以获取携带的验证码,发送给互联网络侧提供的应用服务器,进行验证码验证。在获取验证码之前,攻击者还可以非法获取到用户身份信息,仿冒用户进行身份认证,从而达到假冒用户接受应用的服务目的。举一个具体例子,图1为现有技术提供的攻击者假冒用户进行应用验证的方法流程图,以应用为银行提供的金融...
【技术保护点】
1.一种针对短信拦截攻击的防御方法,其特征在于,该方法包括:用户使用的设备从应用服务器接收随机数,基于随机数及用户的主密钥,生成专用共享密钥,发送给应用服务器存储;用户使用的设备在进行用户认证时,通过通信网络从应用服务器接收携带验证码的短信,将所述验证码采用所述专用共享密钥加密后,发送给应用服务器,以使应用服务器采用存储的专用共享密钥对所述验证码进行解密后,认证。
【技术特征摘要】
1.一种针对短信拦截攻击的防御方法,其特征在于,该方法包括:用户使用的设备从应用服务器接收随机数,基于随机数及用户的主密钥,生成专用共享密钥,发送给应用服务器存储;用户使用的设备在进行用户认证时,通过通信网络从应用服务器接收携带验证码的短信,将所述验证码采用所述专用共享密钥加密后,发送给应用服务器,以使应用服务器采用存储的专用共享密钥对所述验证码进行解密后,认证。2.如权利要求1所述的方法,其特征在于,所述主密钥为用户输入的,或者存储在用户使用的设备设置的安全模块中。3.如权利要求1所述的方法,其特征在于,所述基于随机数及用户的主密钥,生成专用共享密钥是基于设置的密钥编排服务算法生成的;所述密钥编排服务算法采用fk(x)实现,其中,f(x)为安全哈希函数算法,fk(x)表示对f(x)采用K次计算,K为正整数。4.如权利要求1所述的方法,其特征在于,在所述用户使用的设备从应用服务器接收随机数之前,还包括:应用服务器对用户的身份认证;或者/和,应用服务器对用户使用的设备进行认证。5.如权利要求4所述的方法,其特征在于,所述对用户使用的设备进行认证包括:针对应用的用户已授权的设备对所述用户使用的设备进行认证;或,采用用户的主密钥生成验证因子,将所述验证因子发送给应用服务器,由应用服务器采用挑战应答认证机制对用户使用的设备进行认证。6.如权利要求5所述的方法,其特征在于,所述验证因子采用一轮或多轮安全哈希算法计算得到,其中,第一轮为计算出专用共享密钥,后续轮是对专用共享密钥进行K次安全哈希算法计算,所述K是从应用服务器发送得到的正整数,所述专用共享密钥是基于应用服务器发送的随机数和用户的主密钥计算得到的;或者,所述验证因子采用专用共享密钥对计算得到的子验证因子进行加密得到,所述子验证因子采用多轮安全哈希算法计算得到,其中,第一轮为计算出专用共享密钥,后续轮是对专用共享密钥进行K次安全哈希算法计算,所述K是从应用服务器发送得到的正整数,所述专用共享密钥是基于应用服务器发送的随机数和用户的主密钥计算得到的。7.如权...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。