动态令牌防钓鱼方法及装置制造方法

动态令牌防钓鱼方法及装置制造方法
【专利摘要】本发明提供了一种动态令牌防钓鱼方法及装置，所述的动态令牌防钓鱼方法包括：接收用户输入的交易请求信息；根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码；接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。本发明可以使动态令牌在最大程度上提醒客户，降低钓鱼风险。
【专利说明】动态令牌防钓鱼方法及装置
【技术领域】
[0001]本发明是关于电子银行交易认证技术，特别是关于一种动态令牌防钓鱼方法及装置。
【背景技术】
[0002]动态口令是根据专门的算法生成一个不可预测的随机数字组合，一个密码使用一次有效，目前在电子银行领域有广泛应用。动态令牌是用来生成动态口令的终端，用于电子银行交易认证，用户输入挑战码后，动态令牌以内置于令牌中的种子密钥和挑战因子作为计算要素，使用摘要算法(DM5，SHA1，SM3等)计算出动态口令，并显示动态口令。动态令牌分为:时间型动态令牌、挑战型动态令牌及挑战加时间型的动态令牌等。
[0003]时间型动态令牌以时间作为唯一的挑战因子，产生随时间变化的动态口令。
[0004]挑战型动态令牌以外部输入的挑战码(网银或手机银行上进行交易时，要求用户输入动态令牌的一串数字)为挑战因子，产生动态口令；时间加挑战型动态令牌以时间和外部输入的挑战码一起作为挑战因子，产生动态口令。
[0005]时间型动态令牌极易被钓鱼，钓鱼网站可能会伪造一个一模一样的网银，骗用户输入动态口令，之后即可将此动态口令用于网银转账等交易，造成用户的资金损失。
[0006]挑战加时间型的动态令牌的安全级别比时间型动态令牌要高，因为每次交易会生成不同的挑战码，一条动态口令只对一笔特定的交易有效(时间型令牌产生的口令对所有交易均有效)。但是挑战加时间型动态令牌也有可能被钓鱼网站(攻击者建立的用于骗取动态口令等敏感信息的网站)进行钓鱼攻击，例如钓鱼通过伪造场景，首先骗取受害者的登录名和登录密码，然后在后台使用受害者的用户登录网银，进入转账交易，获取真实的挑战码，将此挑战码在钓鱼网站上显示出来，要求用户将此挑战码输入令牌，由于用户不知道该挑战码的意义，也无法从令牌上看到本次交易的信息，因此容易受骗，将令牌产生的动态口令输入钓鱼网站，而钓鱼网站后台获得此动态口令后即可完成转账交易，盗取用户账户资金。

【发明内容】

[0007]本发明提供一种动态令牌防钓鱼方法及装置，以使动态令牌在最大程度上提醒客户，降低钓鱼风险。
[0008]为了实现上述目的，本发明提供一种动态令牌防钓鱼方法，所述的动态令牌防钓鱼方法包括:
[0009]接收用户输入的交易请求信息；
[0010]根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码；
[0011]接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
[0012]在一实施例中，所述的动态口令包括:用户将所述挑战码输入所述动态令牌后生成的令牌显示信息中包含的动态口令，所述的令牌显示信息还包含所述本次交易的交易信
肩、O
[0013]在一实施例中，根据所述的交易请求信息生成挑战码，包括:
[0014]获取本次交易的具体信息与对应的信息代码的映射关系；
[0015]将所述对应的信息代码加入所述的挑战码中。
[0016]为了实现上述目的，本发明提供一种动态令牌防钓鱼装置，所述的动态令牌防钓鱼装置包括:
[0017]交易信息接收单元，用于接收用户输入的交易请求信息；
[0018]挑战码生成单元，用于根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码；
[0019]口令接收单元，用于接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
[0020]在一实施例中，所述的动态口令包括:用户将所述挑战码输入所述动态令牌后生成的令牌显示信息中包含的动态口令，所述的令牌显示信息还包含所述本次交易的交易信
肩、O
[0021]在一实施例中，所述的挑战码生成单元包括:
[0022]映射关系获取模块，用于获取本次交易的具体信息与对应的信息代码的映射关系;
[0023]信息加入模块，用于将所述对应的信息代码加入所述的挑战码中。
[0024]为了实现上述目的，本发明提供一种动态令牌防钓鱼方法，其特征在于，所述的动态令牌防钓鱼方法包括:
[0025]接收用户从网银系统获取的挑战码，所述的挑战码中包含本次交易的信息代码；
[0026]根据所述的挑战码生成本次交易的交易信息及动态口令；
[0027]显示所述的交易信息及动态口令。
[0028]在一实施例中，根据所述的挑战码生成本次交易的交易信息及动态口令，包括:
[0029]获取本次交易的具体信息与对应的信息代码的映射关系；
[0030]根据所述的映射关系将所述本次交易的信息代码翻译成本次交易的交易信息；
[0031]根据所述挑战码生成所述的动态口令。
[0032]为了实现上述目的，本发明提供一种动态令牌防钓鱼装置，其特征在于，所述的动态令牌防钓鱼装置包括:
[0033]挑战码接收单元，用于接收用户从网银系统获取的挑战码，所述的挑战码中包含本次交易的信息代码；
[0034]信息生成单元，用于根据所述的挑战码生成本次交易的交易信息及动态口令；
[0035]信息显示单元,用于显示所述的交易信息及动态口令。
[0036]在一实施例中，所述的信息生成单元包括:
[0037]信息获取模块，用于获取本次交易的具体信息与对应的信息代码的映射关系；
[0038]信息反映模块，用于根据所述的映射关系将所述本次交易的信息代码翻译成本次交易的交易信息；
[0039]口令生成模块，用于根据所述挑战码生成所述的动态口令。[0040]本发明的有益效果在于，本发明通过在挑战码中加入交易的信息代码，可以在动态令牌上显示交易信息，最大程度上提醒客户，降低钓鱼风险。
【专利附图】

【附图说明】
[0041]为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
[0042]图1为本发明实施例的动态令牌防钓鱼方法流程图一；
[0043]图2为本发明实施例的动态令牌防钓鱼装置的结构框图一；
[0044]图3为本发明实施例的挑战码生成单元202的结构框图；
[0045]图4为本发明实施例的动态令牌防钓鱼方法流程图二 ；
[0046]图5为本发明实施例的图4中步骤402的方法流程图；
[0047]图6为本发明实施例的动态令牌防钓鱼装置的结构框图二 ；
[0048]图7为本发明实施例的信息生成单元602的结构框图。
【具体实施方式】
[0049]下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0050]如图1所示，本发明实施例提供一种动态令牌防钓鱼方法，包括如下步骤:
[0051]步骤101:接收用户输入的交易请求信息；
[0052]步骤102:根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码；
[0053]步骤103:接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
[0054]由图1的流程可知，网银系统接收用户输入的交易请求信息，在挑战码中加入本次交易的信息代码，并将该挑战码发送给用户。用户将包含本次交易的信息代码的挑战码输入到动态令牌后，动态令牌将生成动态口令及本次交易的交易信息并显示动态口令及交易信息，用户可以根据交易信息选择是否向网银系统发送动态口令。网银系统接收用户输入的动态口令，可以完成本次交易。本发明通过网银系统在挑战码中加入交易代码，可以使动态令牌在最大程度上提醒客户，降低钓鱼风险。
[0055]步骤101中，用户可以通过计算机或者手机登陆网银系统进行交易操作，向网银系统发送交易请求信息，例如发送转账交易请求信息、修改手机号请求信息等。
[0056]网银系统中，对应不同的交易类型，分别存储了网银交易的各种具体信息与挑战码中对应信息代码的映射关系。
[0057]例如，对于网银转账交易，具体信息可以包括交易类型(转账)、金额、账号等，t匕如挑战码中的前两位信息代码为01，代表交易类型为转账。第3位与第4位信息代表金额的区间，第3位与第4位的具体数值可以预先设置，例如可以预先设置33代表的金额区间为[3000,4000],第5位与第6位信息代表账号的后两位,第5位与第6位信息的具体数值决定于具体的账号。
[0058]例如，对于手机号的修改交易，具体信息可以包括交易类型(手机号修改)、手机号等，挑战码中的前两位信息代码为15，代表交易类型为手机号的修改，第3位与第4位信息代表手机号的后两位，第3位与第4位信息的具体数值决定于具体的手机号。
[0059]步骤102具体实施时，网银系统根据用户输入的交易请求信息，能够得到交易的各种具体信息，就可以获取本次交易的具体信息与对应的信息代码的映射关系，进而得到本次交易的各种具体信息对应的代码信息，然后将对应的代码信息加入挑战码中。
[0060]例如，对于网银转账交易，对方账户为62226002200010729，金额为3200元，该交易需使用动态令牌的动态口令。网银系统生成该交易的挑战码为01332958，其中，01表示交易类型为网银转账交易，33表示金额为3000 - 4000之间，29表示对方账户后两位为29，58为随机数。
[0061]用户将网银系统生成的上述挑战码01332958输入动态令牌，动态令牌的显示屏上显示:
[0062]您正在做转账交易，金额为大于3000小于4000，对方账户后二位为29
[0063]动态口令为:689536，防范钓鱼，请勿外泄。
[0064]用户根据动态令牌上显示的交易信息，可以判断出本次交易不是钓鱼攻击，可以在网银上输入动态口令689536，网银系统将根据动态口令689536完成转账交易。
[0065]钓鱼网站对动态令牌的攻击一般情况是伪造一些场景骗取用户信任，比如制作网银系统升级页面，要求用户输入网银的用户名、登录密码、动态令牌的口令等，最终使用骗取的动态口令完成非法转账等交易。采用本发明后，用户在令牌上输入挑战码后确认，令牌上即会显示交易信息，用户可以看到他正在做转账交易，而不是钓鱼网站所声称的网银系统升级，从而引起用户对钓鱼网站的警觉。
[0066]另一种攻击类型是钓鱼网站引导用户做小额支付，而实际使用骗取的动态口令做大额转账，对于转账等交易，由于在转账操作交易中，本发明的挑战码中携带了金额信息，令牌上会显示交易的金额区间。用户可以看到他正在做大额转账而非钓鱼网站所声称的小额支付，从而中止交易。
[0067]本发明可在用户使用动态令牌的过程中，对用户进行不可篡改的明确提示，告知用户本次交易的类型和金额。即使用户误入钓鱼网站，仍可从动态令牌上得到正确的交易信息，提示风险，引导用户停止在钓鱼网站上操作。
[0068]例如，对于手机号的修改交易，修改后的手机号的13564184758,该交易需使用动态令牌的动态口令。网银系统生成该交易的挑战码为15582341，其中，15表示交易类型为手机号修改，58表手机号末两位为58,2341为随机数。
[0069]用户将网银系统生成的上述挑战码15582341输入动态令牌，动态令牌的显示屏上显示:
[0070]您正在做手机号修改交易，手机号末二位为58
[0071]动态口令为:587451，防范钓鱼，请勿外泄
[0072]用户根据动态令牌上显示的交易信息，可以判断出本次交易不是钓鱼攻击，可以在网银上输入动态口令587451，网银系统将根据动态口令587451完成转账交易。
[0073]如图2所示，本发明实施例提供一种动态令牌防钓鱼装置，该动态令牌防钓鱼装置包括:交易信息接收单元201，挑战码生成单元202及口令接收单元203。
[0074]交易信息接收单元201可以用于接收用户输入的交易请求信息。
[0075]挑战码生成单元202可以用于根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码；
[0076]口令接收单元203可以用于接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
[0077]上述的动态口令为:用户将挑战码输入动态令牌后生成的令牌显示信息中包含的动态口令，另外，令牌显示信息中还包含本次交易的交易信息。例如，对于网银转账交易，交易信息可以为:您正在做转账交易，金额为大于****小于****，对方账户后二位为
[0078]具体实施时，如图3所示，挑战码生成单元202包括:映射关系获取模块301及信息加入模块302。
[0079]映射关系获取模块301用于获取本次交易的具体信息与对应的信息代码的映射关系；信息加入模块302用于根据该映射关系，得到具体信息对应的信息代码，并将这些信息代码加入挑战码中。
[0080]如图4所示，本发明提供一种动态令牌防钓鱼方法，包括如下步骤:
[0081]步骤401:接收用户从网银系统获取的挑战码，所述的挑战码中包含本次交易的Ih息代码。
[0082]步骤402:根据所述的挑战码生成本次交易的交易信息及动态口令。
[0083]步骤403:显示所述的交易信息及动态口令。
[0084]上述动态令牌防钓鱼方法的执行主体为动态令牌，由图4所示的流程可知，动态令牌接收用户从网银系统获取包含本次交易的信息代码的挑战码，根据该挑战码生成本次交易的交易信息及动态口令，并显示该交易信息及动态口令。由于挑战码中加入本次交易的信息代码，动态令牌可以将根据该挑战码生成本次交易的交易信息及动态口令并显示该交易信息及动态口令，使得用户可以判断本次交易是否为钓鱼攻击，保证了用户不受钓鱼攻击。
[0085]如图5所示，步骤402具体实施时，包括:
[0086]步骤501:获取本次交易的具体信息与对应的信息代码的映射关系。动态令牌中存储了网银交易的各种具体信息与挑战码中对应信息代码的映射关系。
[0087]例如，对于网银转账交易，具体信息可以包括交易类型(转账)、金额、账号等，t匕如挑战码中的前两位信息代码为01，代表交易类型为转账。第3位与第4位信息代表金额的区间，第3位与第4位的具体数值可以预先设置，例如可以预先设置33代表的金额区间为[3000,4000],第5位与第6位信息代表账号的后两位,第5位与第6位信息的具体数值决定于具体的账号。
[0088]例如，对于手机号的修改交易，具体信息可以包括交易类型(手机号修改)、手机号等，挑战码中的前两位信息代码为15，代表交易类型为手机号的修改，第3位与第4位信息代表手机号的后两位，第3位与第4位信息的具体数值决定于具体的手机号。
[0089]步骤502:根据映射关系将挑战码中本次交易的信息代码翻译成本次交易的交易信息。
[0090]例如，网银系统生成该交易的挑战码01332958，动态令牌的翻译过程如下:
[0091]挑战码01332958中，前两位信息代码01表示交易类型为网银转账交易，第3位与第4位信息代码33表不金额为3000 — 4000之间，第5位与第6位信息代码29表不对方账户后两位为29，最后两位信息代码58为随机数。
[0092]动态令牌的翻译结果是:您正在做转账交易，金额为大于3000小于4000，对方账户后二位为29。
[0093]例如，网银系统生成该交易的挑战码15582341，动态令牌的翻译过程如下:
[0094]挑战码15582341中，前两位信息代码15表不交易类型为手机号修改,第3位与第4位信息代码58表示手机号末两位为58，后四位信息代码2341为随机数。
[0095]动态令牌的翻译结果是:您正在做手机号修改交易，手机号末二位为58。
[0096]步骤503:根据挑战码生成所述的动态口令。动态令牌还可以根据挑战加时间的方式生成动态口令。例如对于网银转账交易的挑战码01332958，可以生成动态口令689536，对于手机号修改交易的挑战码15582341，可以生成动态指令587451。
[0097]如图6所示，本发明实施例提供一种动态令牌防钓鱼装置，该动态令牌防钓鱼装置包括:挑战码接收单元601,信息生成单元602及信息显示单元603。
[0098]挑战码接收单元601可以接收用户从网银系统获取的挑战码，该挑战码中包含本次交易的信息代码。信息生成单元602可以用于根据上述的挑战码生成本次交易的交易信息及动态口令。信息显示单元603可以显示信息生成单元602生成的交易信息及动态口令。
[0099]具体实施时，如图7所示，信息生成单元602包括:信息获取模块701，信息反映模块702及口令生成模块703。
[0100]信息获取模块701可以获取本次交易的具体信息与对应的信息代码的映射关系，该映射关系存储在动态令牌中。信息反映模块702可以根据该映射关系将挑战码中本次交易的信息代码翻译成本次交易的交易信息。口令生成模块703可以根据挑战码生成动态口令。信息显示单元603为动态令牌的显示屏,可以显示上述的动态口令及本次交易的交易信息。用户根据信息显示单元603上显示的本次交易的交易信息，可以判断出是否为钓鱼攻击，如果不是钓鱼攻击，用户可以在网银系统的用户界面中指定的位置输入动态口令，使网银系统完成本次交易。
[0101]本发明通过在挑战码中加入交易的信息代码，可以在动态令牌上显示交易信息，最大程度上提醒客户，降低钓鱼风险。
[0102]本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
[0103]本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0104]这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0105]这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0106]本发明中应用了具体实施例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在【具体实施方式】及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对本发明的限制。
【权利要求】
1.一种动态令牌防钓鱼方法，其特征在于，所述的动态令牌防钓鱼方法包括: 接收用户输入的交易请求信息； 根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码； 接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
2.根据权利要求1所述的动态令牌防钓鱼方法，其特征在于，所述的动态口令包括:用户将所述挑战码输入所述动态令牌后生成的令牌显示信息中包含的动态口令，所述的令牌显示信息还包含所述本次交易的交易信息。
3.根据权利要求1所述的动态令牌防钓鱼方法，其特征在于，根据所述的交易请求信息生成挑战码，包括: 获取本次交易的具体信息与对应的信息代码的映射关系； 将所述对应的信息代码加入所述的挑战码中。
4.一种动态令牌防钓鱼装置，其特征在于，所述的动态令牌防钓鱼装置包括: 交易信息接收单元，用于接收用户输入的交易请求信息； 挑战码生成单元，用于根据所述的交易请求信息生成挑战码，并将所述的挑战码发送给所述用户，其中，所述的挑战码中包含本次交易的信息代码； 口令接收单元，用于接收所述用户根据所述挑战码从动态令牌获取的动态口令，完成所述本次交易。
5.根据权利要求4所述的动态令牌防钓鱼装置，其特征在于，所述的动态口令包括:用户将所述挑战码输入所述动态令牌后生成的令牌显示信息中包含的动态口令，所述的令牌显示信息还包含所述本次交易的交易信息。
6.根据权利要求4所述的动态令牌防钓鱼装置，其特征在于，所述的挑战码生成单元包括: 映射关系获取模块，用于获取本次交易的具体信息与对应的信息代码的映射关系； 信息加入模块，用于将所述对应的信息代码加入所述的挑战码中。
7.一种动态令牌防钓鱼方法，其特征在于，所述的动态令牌防钓鱼方法包括: 接收用户从网银系统获取的挑战码，所述的挑战码中包含本次交易的信息代码； 根据所述的挑战码生成本次交易的交易信息及动态口令； 显示所述的交易信息及动态口令。
8.根据权利要求7所述的动态令牌防钓鱼方法，其特征在于，根据所述的挑战码生成本次交易的交易信息及动态口令，包括: 获取本次交易的具体信息与对应的信息代码的映射关系； 根据所述的映射关系将所述本次交易的信息代码翻译成本次交易的交易信息； 根据所述挑战码生成所述的动态口令。
9.一种动态令牌防钓鱼装置，其特征在于，所述的动态令牌防钓鱼装置包括: 挑战码接收单元，用于接收用户从网银系统获取的挑战码，所述的挑战码中包含本次交易的信息代码； 信息生成单元，用于根据所述的挑战码生成本次交易的交易信息及动态口令； 信息显示单元，用于显示所述的交易信息及动态口令。
10.根据权利要求9所述的动态令牌防钓鱼装置，其特征在于，所述的信息生成单元包括: 信息获取模块，用于获取本次交易的具体信息与对应的信息代码的映射关系； 信息反映模块，用于根据所述的映射关系将所述本次交易的信息代码翻译成本次交易的交易信息； 口令生成模块，用于 根据所述挑战码生成所述的动态口令。
【文档编号】H04L9/32GK103957104SQ201410162654
【公开日】2014年7月30日 申请日期:2014年4月22日 优先权日:2014年4月22日
【发明者】戴凯宇 申请人:交通银行股份有限公司