基于挑战口令令牌实现钓鱼网站识别的系统及方法

专利名称：基于挑战口令令牌实现钓鱼网站识别的系统及方法
技术领域：
本发明涉及一种信息技术领域，尤其涉及一种基于挑战口令令牌实现钓鱼网站识别的系统及方法。
背景技术：
随着智能卡应用领域的发展，用户对智能卡的应用功能的要求也越来越高，希望智能卡能够提供越来越多的应用功能，以满足人们在使用过程中的安全性、便利性和多样化需求。但是信息应用系统的网络化实现信息共享和广泛深入应用的同时，也带来了数据安全性的问题，如果没有足够的安全保障，信息在公共通信网络上存储、共享和传输就有可能会被非法窃听、截取、篡改或毁坏，信息技术的发展使得信息安全问题也越来越为人们关注。在信息网络中最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户身份的真实性。然而传统的静态密码存在很多缺陷，例如，密码容易被人猜测或通过交际工程学等途径获取，输入密码时容易被人窥视等。虽然一次性密码比可重用的静态密码强壮，但它们仍存在被利用的弱点，而且一次性密码的依然是单因素认证，而不是强力用户认证。解决静态密码安全性的一种办法是使用动态密码(One-time Password-OTP),它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。由于用户每次使用的密码都不同，即使黑客截获了一次密码，也无法利用这个密码仿冒合法用户身份。动态密码认证从一定程度加强了用户进行帐户信息存取和其他操作的安全性， 但在存在信息窃取时仍然无法保证。例如现在的一些钓鱼网站，它通过将用户引入非法网站，提供与正规网上银行网站非常相似的用户界面，诱使用户在不够警惕的情况下就输入了用户自己的账户信息，如用户名密码甚至动态认证密码，钓鱼网站获取该信息后立即到正规网银网站进行登录，继而进行网上银行的操作，如转账或网银消费，给用户造成了很大的损失。因此，银行及其他交易或支付类网站除了需要对用户身份进行认证外，还需要防止钓鱼类网站对用户信息的窃取，避免用户登录不正常的网站还能进行交易。

发明内容
本发明的目的是针对信息窃取的现状以及现有技术存在的缺陷，提供一种基于挑战口令令牌实现钓鱼网站识别的系统及方法，其通过在用户使用挑战口令令牌时，挑战口令令牌根据银行网站生成的一组动态识别码，再生成动态认证码，进行动态密码认证，进一步在现有动态密码生成的基础上基于更复杂的交易因子生成更具安全性和及时性的动态密码，进行网站身份认证，识别不明或非法网站。为了达到上述目的，本发明提出了一种基于挑战口令令牌实现钓鱼网站识别的系统，所述系统是通过以下的技术方案实现的
一种基于挑战口令令牌实现钓鱼网站识别的系统，所述系统包括识别码生成模块，所述识别码生成模块位于网站中，用来当用户进行帐户操作时，根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；
挑战口令令牌，用来生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。进一步优选的，所述挑战口令令牌具体包括 输入模块，用来输入所述动态识别码；
认证码生成模块，用来根据输入的所述动态识别码生成一组动态认证码； 认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，所述挑战口令令牌具体包括 输入模块，用来输入所述动态识别码；
认证码生成模块，用来根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；
认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，所述个人帐号信息包括用户名和密码。进一步优选的，所述系统还包括 显示模块，用来显示所述认证结果给用户。进一步优选的，所述动态识别码通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。为了实现前述发明目的，本发明还提出了一种基于挑战口令令牌实现钓鱼网站识别的方法，所述方法包括
当用户进行帐户操作时，网站根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；
挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。进一步优选的，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括
输入所述动态识别码；
根据输入的所述动态识别码生成一组动态认证码； 将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括
输入所述动态识别码；
根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；
将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，所述方法输入所述动态识别码具体包括 通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。进一步优选的，所述方法还包括 显示所述认证结果给用户。
进一步优选的，所述个人帐户信息包括用户名和密码。与现有技术相比，本发明基于挑战口令令牌实现钓鱼网站识别系统及方法通过实时加入网站识别因子和时间因子，并根据该因子生成动态网站识别码，挑战口令令牌也根据网站识别码生成动态认证码并进行网站身份认证，使得用户在进行登录或帐户操作时， 对网站身份进行增强验证，避免用户交易动作被篡改，并对关联信息进行多样化扩展，增加了密码认证时的安全性，因交易因子更加复杂，提高了用户使用帐户的安全性，防止用户财产损失，增强了用户体验。


通过下面结合附图对其示例性实施例进行的描述，本发明上述特征和优点将会变得更加清楚和容易理解。图1为本发明实施例1 一种基于挑战口令令牌实现钓鱼网站识别系统的组成示意图2为本发明实施例2另一种基于挑战口令令牌实现钓鱼网站识别系统的组成示意
图3为本发明实施例3又一种基于挑战口令令牌实现钓鱼网站识别系统的组成示意
图4为本发明实施例4又一种基于挑战口令令牌实现钓鱼网站识别系统的组成示意
图5为本发明实施例5 —种基于挑战口令令牌实现钓鱼网站识别的方法的流程图。
具体实施例方式下面结合附图对本发明作进一步详细说明。如图1所示，为本发明实施例1 一种基于挑战口令令牌实现钓鱼网站识别系统的组成示意图，所述系统包括
识别码生成模块，所述识别码生成模块位于网站中，用来当用户进行帐户操作时，根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；
挑战口令令牌，用来生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。所述网站包括银行或其他支付性网站。用户在初次登陆银行网站或其他支付性网站时，或者后续需要进行其他帐户操作如转帐时，往往需要输入或读取帐户个人秘钥，但由于现在网络或数据通信时的信息窃取手段很多，造成信息的不安全性，所以有必要对用户信息进行强认证，避免不法分子盗取信息而进行帐户财产的不法操作。如图2所示，进一步优选的，本发明实施例2的基于挑战口令令牌实现钓鱼网站识别系统，所述挑战口令令牌具体包括
输入模块，用来输入所述动态识别码；
认证码生成模块，用来根据输入的所述动态识别码生成一组动态认证码； 认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。
进一步优选的，所述个人帐号信息包括用户名和密码。进一步优选的，本发明另一优选的实施例的基于挑战口令令牌实现钓鱼网站识别系统，所述挑战口令令牌具体包括
输入模块，用来输入所述动态识别码；
认证码生成模块，用来根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；
认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。如图3所示，进一步优选的，本发明实施例3的基于挑战口令令牌实现钓鱼网站识别系统，所述系统还包括
显示模块，用来显示所述认证结果给用户，所述显示模块位于网站中，以用户窗口或另外对话框方式显示给用户。如图4所示，进一步优选的，本发明实施例4的基于挑战口令令牌实现钓鱼网站识别系统，所述系统还包括
显示模块，与所述认证模块相连，用来显示所述认证结果给用户，所述显示模块位于挑战口令令牌中，以显示屏方式显示给用户。进一步优选的，所述动态识别码通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。与现有技术相比，本发明基于挑战口令令牌实现钓鱼网站识别系统通过在实时加入网站识别因子和时间因子，并根据该因子生成动态网站识别码，挑战口令令牌再根据网站识别码生成动态认证码并进行网站身份认证，使得用户在进行登录或帐户操作时，对网站身份进行增强验证，避免用户交易动作被纂改，并对关联信息进行多样化扩展，增加了密码认证时的安全性，因交易因子更加复杂，提高了用户使用帐户的安全性，防止用户财产损失，增强了用户体验。如图5所示，为本发明实施例5提供的一种基于挑战口令令牌实现钓鱼网站识别的方法，所述方法具体包括以下步骤
步骤一、当用户进行帐户操作时，网站根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；
步骤二、挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。所述网站包括银行或其他支付性网站。进一步优选的，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括
输入所述动态识别码；
根据输入的所述动态识别码生成一组动态认证码； 将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，本本发明另一优选的实施例，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括
输入所述动态识别码；
根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；
将所述动态识别码和动态认证码进行匹配，得到认证结果。进一步优选的，所述方法输入所述动态识别码具体包括 通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。进一步优选的，所述方法还包括 显示所述认证结果给用户。用户在初次登陆银行网站或支付性网站，或后续需要进行其他帐户操作如转帐时，往往需要输入或读取帐户秘钥，但由于现在网络或数据通信时的信息窃取手段很多， 造成信息的不安全性，所以有必要对用户信息进行强认证，避免不法分子盗取信息而进行帐户财产的不法操作。动态网站识别码生成因子不仅包含用户自身的信息，还包含银行等网站识别码和当前时间信息，这样，根据以上因子生成动态密码，进行用户信息的认证，避免不法分子窃取到认证码后进行多次转帐，如要进行多次转帐，则需要进行多次认证，且认证密码信息包含的因子为不法网站不可见，这样就可以避免因信息窃取造成的财产损失。综上，本发明基于挑战口令令牌实现钓鱼网站识别的方法通过在实时加入网站识别因子和时间因子，并根据该因子生成动态网站识别码，挑战口令令牌再根据网站识别码生成动态认证码并进行网站身份认证，使得用户在进行登录或帐户操作时，对网站身份进行增强验证，避免用户交易动作被纂改，并对关联信息进行多样化扩展，增加了密码认证时的安全性，因交易因子更加复杂，提高了用户使用帐户的安全性，防止用户财产损失，增强了用户体验。需要注意的是，以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施方式
仅限于此，在本发明的上述指导下，本领域技术人员可以在上述实施例的基础上进行各种改进和变形，而这些改进或者变形落在本发明的保护范围内。
权利要求
1. 一种基于挑战口令令牌实现钓鱼网站识别的系统，其特征在于，所述系统包括 识别码生成模块，所述识别码生成模块位于网站中，用来当用户进行帐户操作时，根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；挑战口令令牌，用来生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。
2.根据权利要求1所述的系统，其特征在于，所述挑战口令令牌具体包括 输入模块，用来输入所述动态识别码；认证码生成模块，用来根据输入的所述动态识别码生成一组动态认证码； 认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。
3.根据权利要求1所述的系统，其特征在于，所述挑战口令令牌具体包括 输入模块，用来输入所述动态识别码；认证码生成模块，用来根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；认证模块，用来将所述动态识别码和动态认证码进行匹配，得到认证结果。
4.根据权利要求2或3所述的系统，其特征在于，所述个人帐号信息包括用户名和密码。
5.根据权利要求4所述的系统，其特征在于，所述系统还包括显示模块，用来显示所述认证结果给用户。
6.根据权利要求5所述的系统，其特征在于，所述动态识别码通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。
7.根据权利要求1至6任意一项所述的系统，其特征在于，所述网站包括银行或其他支付性网站。
8.一种基于挑战口令令牌实现钓鱼网站识别的方法，其特征在于，所述方法包括 当用户进行帐户操作时，网站根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。
9.根据权利要求8所述的方法，其特征在于，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括输入所述动态识别码；根据输入的所述动态识别码生成一组动态认证码； 将所述动态识别码和动态认证码进行匹配，得到认证结果。
10.根据权利要求8所述的方法，其特征在于，所述挑战口令令牌生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证具体包括输入所述动态识别码；根据与所述动态识别码生成时间同步的时间因子、网站识别码和所述个人账号信息生成一组动态认证码；将所述动态识别码和动态认证码进行匹配，得到认证结果。
11.根据权利要求9或10所述的方法，其特征在于，所述方法输入所述动态识别码具体包括通过网站用户界面手动输入挑战口令令牌或自动写入挑战口令令牌。
12.根据权利要求11所述的方法，其特征在于，所述方法还包括 显示所述认证结果给用户。
13.根据权利要求8至12任意一项所述的方法，其特征在于，所述个人帐户信息包括用户名和密码。
14.根据权利要求8至13任意一项所述的方法，其特征在于，所述网站包括银行或其他支付性网站。
全文摘要
本发明公开了一种基于挑战口令令牌实现钓鱼网站识别的系统及方法，用于信息技术领域，以解决账户信息被窃取进行不法利用的问题,所述系统包括:识别码生成模块，所述识别码生成模块位于网站中,用来当用户进行帐户操作时，根据网站识别码、用户输入的个人帐号信息及当前时间因子生成一组动态识别码；挑战口令令牌，用来生成一组动态认证码，并匹配所述动态识别码和动态认证码，进行网站身份认证。本发明通过实时加入网站识别因子和时间因子，并根据该因子生成动态网站识别码，挑战口令令牌也根据网站识别码生成动态认证码并进行网站身份认证，使得用户在进行登录或帐户操作时，对网站身份进行增强验证，避免用户交易动作被篡改，并对关联信息进行多样化扩展，增加了密码认证时的安全性。
文档编号G06F21/00GK102170437SQ201110098108
公开日2011年8月31日 申请日期2011年4月19日 优先权日2011年4月19日
发明者谈剑锋 申请人:上海众人网络安全技术有限公司