一種信息交互的安全防范體系及其操作實(shí)現(xiàn)方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種信息交互的安全防范技術(shù)，尤其涉及一種基于多安全因子的信息交互動(dòng)態(tài)安全防范體系及其操作實(shí)現(xiàn)方法，是一種開放平臺(tái)下的隱形賬號(hào)體系的技術(shù)解決方案。
【背景技術(shù)】
[0002]二維碼，又稱二維條碼，它是用特定的幾何圖形按一定規(guī)律在平面(二維方向)上分布的黑白相間的圖形，是所有信息數(shù)據(jù)的一把鑰匙。二維碼是一種比一維碼更高級(jí)的條碼格式，在水平方向和垂直方向都可以存儲(chǔ)信息，一維碼只能由數(shù)字和字母組成，二維碼在此基礎(chǔ)上得到升級(jí)，可以存儲(chǔ)漢字、數(shù)字和圖片等信息，因此在現(xiàn)代商業(yè)活動(dòng)中，二維碼應(yīng)用范圍十分廣泛，如:產(chǎn)品防偽/溯源、廣告推送、網(wǎng)站鏈接、數(shù)據(jù)下載、商品交易、定位/導(dǎo)航、電子憑證、車輛管理、信息傳遞、名片交流等。
[0003]安管云開放平臺(tái)檢測(cè)數(shù)據(jù)，2013年第三方電子市場(chǎng)仍然為惡意軟件最主要的傳播途徑，占比高達(dá)40.0%。二維碼的興起同樣引起黑客關(guān)注，2013年惡意軟件傳播渠道中二維碼占比7%，存在巨大安全風(fēng)險(xiǎn)。二維碼應(yīng)用方式存在主讀模式和被讀模式，前者通過(guò)掃描工具讀取二維碼內(nèi)容，具體應(yīng)用于流量入口場(chǎng)景；后者是生成二維碼供其他終端掃描，具體應(yīng)用于二維碼名片、訂單等場(chǎng)景。由于二維碼主要面向機(jī)器識(shí)別，因此篡改、偽造內(nèi)容很難被發(fā)現(xiàn)，主讀和被讀兩種模式均存在安全隱患。
[0004]首先，主讀模式下二維碼易于生成，通過(guò)人工無(wú)法識(shí)別，黑客將含有木馬的鏈接轉(zhuǎn)換成二維碼形式，并帶有描述(抽獎(jiǎng)、返現(xiàn)等)誘惑用戶掃描二維碼，一旦掃描訪問鏈接自動(dòng)下載并安裝木馬。
[0005]再者，被讀模式下生成二維碼往往帶有特定信息，例如身份、訂單等。以二維碼身份憑證為例，黑客可以通過(guò)偷拍、截屏等方式復(fù)制，盜用身份信息竊取賬戶資金，同時(shí)帶來(lái)隱私泄露的。時(shí)空碼技皮
現(xiàn)有二維碼安全機(jī)制主要采用兩種模式:(1)封閉系統(tǒng)，采用專用掃描器和專用編碼方式；(2)主讀模式下掃描云端實(shí)時(shí)檢查，惡意鏈接預(yù)警避免用戶無(wú)意點(diǎn)擊。這兩種方案仍然存在安全隱患:首先，封閉并不意味著安全，黑客破解專用編碼方式后可隨意偽造、篡改二維碼內(nèi)容；此外，每個(gè)封閉系統(tǒng)使用專用掃描器，無(wú)法互相兼容。掃描一個(gè)二維碼可能需要更換多個(gè)掃描器，直接影響用戶體驗(yàn)。云端校驗(yàn)?zāi)軌蝾A(yù)警已有危險(xiǎn)鏈接，但對(duì)于新出現(xiàn)的惡意鏈接需要一段時(shí)間識(shí)別(例如用戶舉報(bào)惡意鏈接)，在此期間仍然可能產(chǎn)生危害。

【發(fā)明內(nèi)容】

[0006]本發(fā)明針對(duì)上述現(xiàn)有二維碼應(yīng)用安全上的諸多弊端，提出了一種信息交互的安全防范體系及其操作實(shí)現(xiàn)方法，解決交互信息隱形化、安全性提升的問題。
[0007]本發(fā)明的上述第一個(gè)目的，其技術(shù)解決方案為:信息交互的安全防范體系，涉及包含顯示組件、掃描組件和后臺(tái)組件三部分的時(shí)空碼系統(tǒng)。技術(shù)特征體現(xiàn)為:時(shí)空碼系統(tǒng)產(chǎn)生并交互對(duì)應(yīng)每臺(tái)上網(wǎng)設(shè)備跨瀏覽器、跨應(yīng)用的時(shí)空碼，其中顯示組件包括支持現(xiàn)有智能手機(jī)系統(tǒng)并顯現(xiàn)二維碼、條形碼、數(shù)字碼的移動(dòng)端SDK，基于Javascript、Flash與Web應(yīng)用無(wú)縫整合的瀏覽器SDK，以及支持當(dāng)前主流操作系統(tǒng)的應(yīng)用場(chǎng)景終端SDK ;掃描組件為兼容時(shí)空碼和普通二維碼且后臺(tái)支持惡意二維碼校驗(yàn)與識(shí)別的移動(dòng)端SDK ;后臺(tái)組件為整合包括設(shè)備指紋、邏輯加密、動(dòng)態(tài)解析、P2P校驗(yàn)、行為因子、空間因子、時(shí)間因子的多因子運(yùn)算并提供安全策略、規(guī)則定義的后臺(tái)安全服務(wù)器并與對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)相整合。
[0008]所述顯示組件與后臺(tái)組件之間通過(guò)基于IBE加密體制和賬號(hào)證書、設(shè)備證書的雙證書加密體制的管保護(hù)通道通信相連，生成對(duì)應(yīng)指定設(shè)備、指定賬號(hào)、指定時(shí)間范圍內(nèi)的時(shí)空碼并顯現(xiàn)于顯示組件。
[0009]所述掃描組件面向顯示組件的時(shí)空碼圖像采集并與后臺(tái)組件通信相連。
[0010]所述后臺(tái)組件與安全云平臺(tái)通信相連并交互動(dòng)態(tài)算法，安全云平臺(tái)基于海量交易數(shù)據(jù)架構(gòu)設(shè)有反欺詐的分析建模和判定規(guī)則。
[0011]進(jìn)一步地，所述應(yīng)用場(chǎng)景終端SDK包括至少對(duì)應(yīng)移動(dòng)支付、門禁、自動(dòng)售貨機(jī)和交通刷卡通道的功能型SKD。
[0012]進(jìn)一步地，后臺(tái)組件中設(shè)有實(shí)時(shí)監(jiān)控各應(yīng)用場(chǎng)景中應(yīng)用分發(fā)渠道、真?zhèn)螒?yīng)用鑒別、偽應(yīng)用預(yù)警及限制逆向工程破壞安全架構(gòu)的應(yīng)用盾。
[0013]本發(fā)明的上述第二個(gè)目的，其技術(shù)解決方案為:信息交互安全防范的操作實(shí)現(xiàn)方法，包括時(shí)空碼產(chǎn)生機(jī)制、認(rèn)證關(guān)聯(lián)機(jī)制和時(shí)空碼驗(yàn)證機(jī)制三部分，簡(jiǎn)述如下。
[0014]時(shí)空碼產(chǎn)生機(jī)制，基于顯示組件與用戶賬號(hào)的對(duì)應(yīng)關(guān)系和顯示組件所具備唯一識(shí)別的設(shè)備證書，由后臺(tái)組件將基于設(shè)備證書、時(shí)段有效性、地域有效性的動(dòng)態(tài)算法同步傳輸至顯示組件，顯示組件將待交互信息提交后臺(tái)組件保存并加密轉(zhuǎn)換成特定令牌，而后將特定令牌返回至顯示組件并根據(jù)動(dòng)態(tài)算法生成時(shí)空碼。
[0015]認(rèn)證關(guān)聯(lián)機(jī)制，掃描組件通過(guò)掃描獲取時(shí)空碼，并且直接在掃描組件的后臺(tái)對(duì)時(shí)空碼執(zhí)行有效性驗(yàn)證，包括時(shí)空碼偽造、篡改的判斷和時(shí)空碼顯示與掃描是否屬于同一應(yīng)用場(chǎng)景。
[0016]時(shí)空碼驗(yàn)證機(jī)制，掃描組件在時(shí)空碼有效性驗(yàn)證成功后提交后臺(tái)組件，后臺(tái)組件執(zhí)行解密操作，并基于已保存的待交互信息進(jìn)行匹配驗(yàn)證，通過(guò)驗(yàn)證后將待交互信息返回業(yè)務(wù)系統(tǒng)。
[0017]進(jìn)一步地，在后臺(tái)組件中設(shè)有提供端保護(hù)的應(yīng)用盾，所述應(yīng)用盾實(shí)時(shí)監(jiān)控各應(yīng)用場(chǎng)景中應(yīng)用分發(fā)渠道，對(duì)至少包括二次打包應(yīng)用、假冒應(yīng)用、釣魚應(yīng)用的非法應(yīng)用及時(shí)鑒另O，并發(fā)出預(yù)警通知業(yè)務(wù)系統(tǒng)及時(shí)下架非法應(yīng)用，并且所述應(yīng)用盾對(duì)各應(yīng)用執(zhí)行基于設(shè)備證書的動(dòng)態(tài)校驗(yàn)。
[0018]進(jìn)一步地，在顯示組件和后臺(tái)組件之間設(shè)置基于IBE加密體制和賬號(hào)證書、設(shè)備證書的雙證書加密體制的管保護(hù)通道，其中IBE加密體制采用動(dòng)態(tài)加密算法，并且在安全云平臺(tái)和后臺(tái)組件之間通過(guò)算法分發(fā)、算法集中兩步驟實(shí)現(xiàn)動(dòng)態(tài)加密算法的同步；雙證書加密體制為基于設(shè)備證書的加密通信方式，利用設(shè)備指紋DID作為IBE算法的標(biāo)識(shí)，并結(jié)合時(shí)間、系統(tǒng)公共參數(shù)生成對(duì)應(yīng)顯示組件的設(shè)備證書DCA，與待交互信息對(duì)應(yīng)的賬號(hào)證書CA一并參與加、解密運(yùn)算。
[0019]更進(jìn)一步地，所述管保護(hù)通道通過(guò)動(dòng)態(tài)簽名的方法進(jìn)行不定時(shí)的DID校驗(yàn)，確保設(shè)備證書的安全性。
[0020]進(jìn)一步地，時(shí)空碼驗(yàn)證機(jī)制中提交至后臺(tái)組件的時(shí)空碼上傳至安全云平臺(tái)進(jìn)行惡意二維碼識(shí)別和反欺詐識(shí)別、警示；而安全云平臺(tái)具有規(guī)則模塊和模型模塊兩部分，規(guī)則模塊負(fù)責(zé)定義各具體應(yīng)用場(chǎng)景下業(yè)務(wù)的過(guò)濾規(guī)則，經(jīng)過(guò)規(guī)則的請(qǐng)求記錄、綜合各個(gè)維度的分?jǐn)?shù)，形成最終的欺詐評(píng)分，并實(shí)時(shí)標(biāo)記所上傳的時(shí)空碼的請(qǐng)求拒絕或通過(guò)；模型模塊應(yīng)用數(shù)據(jù)挖掘分類算法，用已有的數(shù)據(jù)記錄訓(xùn)練得出分類器，并利用該分類器對(duì)實(shí)時(shí)的請(qǐng)求進(jìn)行評(píng)判，而將通過(guò)評(píng)價(jià)體系驗(yàn)證的分類器存入分類器歷史數(shù)據(jù)庫(kù)中，供隨時(shí)調(diào)用。
[0021]應(yīng)用本發(fā)明安全防范體系的技術(shù)方案，其較之于現(xiàn)有技術(shù)具有顯著的進(jìn)步性:通過(guò)時(shí)空碼系統(tǒng)融合多安全因子、動(dòng)態(tài)算法、P2P校驗(yàn)等技術(shù)所形成的時(shí)空碼，有效保護(hù)了近程信息的安全，防偷拍、防截屏，同時(shí)保護(hù)遠(yuǎn)程憑證安全，防病毒、防木馬。時(shí)空碼為每臺(tái)上網(wǎng)設(shè)備生成跨瀏覽器、跨應(yīng)用的唯一智能設(shè)備號(hào)，提供二維碼安全的整體解決方案，從端、管、云的全流程保護(hù)，為開放平臺(tái)打造隱形的賬號(hào)體系。
【附圖說(shuō)明】
[0022]圖1為本發(fā)明安全防范體系的組件架構(gòu)及信息流轉(zhuǎn)示意圖。
[0023]圖2為本發(fā)明基于設(shè)備證書的IBE加解密通訊示意圖。
[0024]圖3為本發(fā)明與后臺(tái)組件相關(guān)聯(lián)的安全云平臺(tái)進(jìn)行反欺詐分析建模和判定規(guī)則的圖形化示意圖。
[0025]圖4為本發(fā)明應(yīng)用于收銀移動(dòng)支付場(chǎng)景的較佳實(shí)施例的流程示意圖。
[0026]圖5為圖4所述實(shí)施例的網(wǎng)絡(luò)架構(gòu)示意圖。
【具體實(shí)施方式】
[0027]本發(fā)明針對(duì)現(xiàn)有二維碼安全機(jī)制多方面的不足，為保障日益推廣、多元應(yīng)用的二維碼技術(shù)的安全性能，創(chuàng)新提出了一種信息交互的安全防范體系及其操作實(shí)現(xiàn)方法。該方案融合多安全因子、動(dòng)態(tài)算法、P2P校驗(yàn)等技術(shù)生成一種安全動(dòng)態(tài)多維碼，支持二維碼、條形碼和數(shù)字碼等多種顯示方式，這里可以概述定義為“時(shí)空碼”，而本發(fā)明技術(shù)方案便是圍繞該時(shí)空碼的產(chǎn)生、關(guān)聯(lián)、驗(yàn)證實(shí)現(xiàn)所依賴的組件系統(tǒng)和實(shí)現(xiàn)過(guò)程所展開的。
[0028]概括來(lái)看，該信息交互的安全防范體系，如圖1所示涉及包含顯示組件、掃描組件和后臺(tái)組件三部分的時(shí)空碼系統(tǒng)。技術(shù)特征體現(xiàn)為:時(shí)空碼系統(tǒng)產(chǎn)生并交互對(duì)應(yīng)每臺(tái)上網(wǎng)設(shè)備跨瀏覽器、跨應(yīng)用的時(shí)空碼，其中顯示組件包括支持現(xiàn)有智能手機(jī)系統(tǒng)并顯現(xiàn)二維碼、條形碼、數(shù)字碼的移動(dòng)端SDK，基于Javascript、Flash與W