[发明专利]一种针对短信拦截攻击的防御方法及系统

说明书

本发明公开了一种针对短信拦截攻击的防御方法、系统及设备，本发明实施例为用户设置对应应用标识及用户标识的专用共享密钥，所述专用共享密钥是基于用户的主密钥及应用服务器发送的随机数生成的，在用户接收到应用服务器通过通信网络发送的携带验证码的短信后，采用对应于应用标识及用户标识的专用共享密钥，对验证码加密后，再发送给应用服务器，由应用服务器对加密后的验证码采用所述专用共享密钥解密后，再认证。因此，本发明实施例在不降低用户体验的情况下针对短信拦截攻击进行防御，保证验证码认证的安全性。

技术领域

本发明涉及计算机技术领域，特别涉及一种针对短信拦截攻击的防御方法及系统。

背景技术

随着移动互联网技术的发展，越来越多的应用在用户使用的各种移动设备上实现。用户的各种移动设备不仅仅具有通信功能，还可以实现互联网提供的各种类型应用。用户通过移动设备使用应用服务器提供的某种应用时，特别是对于诸如涉及金融等安全性比较高的应用，常常需要认证。在认证时，应用服务器采用的方式是先对用户身份信息，诸如用户账号及密码进行认证，然后应用服务器再通过通信网络将验证码携带在短信中发送给用户，接收用户通过互联网返回的验证码并认证是否与发送的相同，通过后，提供应用服务；否则，不提供应用服务。

但是，采用这种方式认证用户存在问题，攻击者可以对应用服务器发送给用户的短信进行拦截，以获取携带的验证码，发送给互联网络侧提供的应用服务器，进行验证码验证。在获取验证码之前，攻击者还可以非法获取到用户身份信息，仿冒用户进行身份认证，从而达到假冒用户接受应用的服务目的。

举一个具体例子，图1为现有技术提供的攻击者假冒用户进行应用验证的方法流程图，以应用为银行提供的金融应用举例说明，其具体步骤为：

步骤101、攻击设备设置并发布应用的木马程序，被感染的计算机设备的用户身份信息被窃取；

在本步骤中，计算机设备可以为用户使用的移动终端或其他可以接入互联网网络的设备，比如计算机或便携式终端设备等；

在本步骤中，用户身份信息包括账户登录密码、电话号码及账户余额等；

在本步骤中，应用提供的该服务是银行转账，攻击者在进行恶意转账时会遇到阻碍，金融应用服务器会以短信形式发送给用户用于授权账户之间转账的一次性验证码；

步骤102、攻击设备通过互联网使用用户身份信息接入到应用服务器，请求应用服务时，应用服务器基于用户的电话号码向用户发送验证码；

步骤103、攻击设备通过通信网络建立重定向连接，根据用户的电话号码将短信重定向到攻击设备上，截获到应用服务器发送的携带验证码的短信；

在本步骤中，短信是采用通信网络中的7号信令(SS7)发送的，攻击设备通过通信网络获取了用户的访问权限，采用通信网络中的7号信令漏洞将发送给用户的包含验证码的短信重定向到了攻击设备上；

步骤104、攻击设备将拦截到的验证码通过互联网络发送应用服务器验证通过，应用服务器提供攻击设备所请求的金融服务；

在本步骤中，应用服务器对假冒用户的攻击设备验证通过后，就可以将用户在应用账号中的钱采用转账形式转走。

目前，为了防止上述问题的发生，可以采用对短信进行加密的方式，以防御攻击者截获验证码并认证的过程。比如，在用户使用的计算机设备上设置证书，然后对应用服务器通过通信网络发送给用户的承载验证码的短信进行加密，然后用户使用的计算机设备基于设置的证书对接收的短信进行解密后，获取到验证码。