能够检测应用程序篡改的双通道认证代理系统及其方法技术方案

本发明专利技术涉及一种能够检测应用程序篡改的双通道认证代理系统及其方法，本发明专利技术提供一种检测安装于便携式终端的认证应用程序的篡改的方法以及认证代理系统，就该认证代理系统而言，并不是用户在N(N≥1)个网站进行个别认证而是利用便携式终端在认证代理服务器进行双通道设备认证，并将其结果中继到所要认证的网站，且留下中继记录，从而能够防止否认。

【技术实现步骤摘要】
【国外来华专利技术】能够检测应用程序篡改的双通道认证代理系统及其方法
本专利技术涉及一种能够检测应用程序篡改的双通道认证代理系统及其方法，本专利技术将便携式终端用作认证用工具。更详细地讲，涉及一种检测安装于用作认证用工具的便携式终端的特定应用程序的篡改的方法以及代理认证的系统及其方法，就代理认证的系统而言，并不是对于N(N≥1)个网站按各网站进行个别认证，而是利用便携式终端在可靠的认证代理服务器进行认证，并将其结果中继到需要认证的已注册网站。
技术介绍
由于智能手机的普及，因而在智能手机上能够容易地安装应用程序(Application，以下称为“应用程序”)，通过安装了应用程序的智能手机的便携式终端设备信息就能够特定智能手机的所有者。从而仅凭设备认证就能够进行特定用户的认证而无需输入ID(账号)/密码。然而，在获取应用程序开发源之后，通过篡改就能够重新安装(重新打包)。为了防止应用程序篡改，在应用程序商店(APPStore)提倡各开发人员在发布应用程序之前进行源混淆化。另外，移动银行应用程序在广泛普及，如银行的认证信息那样的各种重要信息通过执行篡改的应用程序而会泄露，因而也在使用若执行应用程序则与篡改检测服务器联动而验证应用程序的完整性的技术。另一方面，作为涉及利用移动通信终端以进行认证、会员加入、结算服务的应用程序的技术，在公开号为10-2013-0112786的“利用了移动通信终端的用于认证、会员注册以及结算服务的应用程序(金主汉)”(文献1)中，公开了如下技术：利用安装于便携式终端的应用程序并通过QR码(快速响应矩阵码)或NFC(近场通信)而获取数据，若为约定的格式的数据，则启动认证应用程序而传递约定的格式的数据或在便携式终端的移动网页浏览器启动认证应用程序而传递约定的格式的数据(参照图7)，从而即使客户并不在终端输入账号和密码也能够进行认证、会员加入以及结算。然而，就安装于智能手机的应用程序而言，通过逆向工程(反编译)进行分析之后就能够提取源代码。即使将源代码混淆化也不能保障混淆化技术总是完整，而且还存在源代码通过内部开发人员而被泄露的可能性。若分析源代码，则能够知道向认证代理服务器传递的参数种类和加密算法，从而能够在参数中设置伪数据并进行加密之后传输到认证代理服务器。另外，在一些移动OS(MobileOperatingSystem，移动操作系统)中，通过应用程序就能够收集应用程序用户的设备信息。恶意目的的攻击者在确保攻击对象的密码和设备信息之后，将在攻击者的智能手机安装能够伪造参数的经过篡改的应用程序而收集的设备信息设置到参数中而企图认证，因此在认证代理服务器中会作为已设置的设备信息而进行认证。在上述移动银行应用程序的情况下，须在执行应用程序之后立即与篡改检测服务器联动而确认应用程序的完整性，因此需要有另外的篡改检测系统，但在没有另外的篡改检测系统的情况下能够检测应用程序的篡改则更理想。
技术实现思路
技术问题本专利技术的目的在于提供一种移动应用程序篡改检测方法，该方法即使恶意目的的攻击者获取应用程序源创建并安装能够伪造参数的虚假应用程序并获取认证所需的设备信息和认证信息而企图认证，也由于掌握设备认证和安装于设备的应用程序的真伪，因此阻止恶意目的的认证企图。本专利技术的目的在于提供一种认证代理系统，该系统对于恶意目的的攻击者制作肉眼难以辨别真伪的精致的网页之后诱导连接的网络钓鱼/域欺骗网站，阻止用户连接未注册的网站，因而防止被其损害。本专利技术的目的在于提供一种认证代理系统，该系统对于根据年龄而限制连接的年龄限制网站，基于便携式终端用户的出生年月日而在年龄未达到基准年龄的情况下彻底阻止在网站进行会员加入或登录(认证)。本专利技术的目的在于提供一种认证代理系统，该系统是在第三方可靠的机构代理认证并保存认证记录，从而在发生与认证相关的纠纷时能够进行数据跟踪，使得认证请求的执行者不能否认认证请求并不是自己所为，且防止中间者在网络上进行攻击以及进行重新传输攻击，从而能够防止否认。解决问题方案为了解决上述问题，本专利技术的一个方案的利用了便携式终端的认证代理系统其特征在于，包括：认证代理服务器200的客户终端10，其在已确认本人的便携式终端100的设备及认证应用程序注册中，接受便携式终端100的电话号码和确认用应用程序密码键入而申请使用认证应用程序110；认证代理服务器200，其包括认证应用程序使用接受部205和终端信息注册部206，其中，认证应用程序使用接受部205对于来自客户终端10的认证应用程序110使用申请将便携式终端100的电话号码和应用程序密码注册到终端信息表291中，终端信息注册部206若通过来自便携式终端100的连接而接收终端信息和确认用应用程序密码则发行一次性应用程序ID并注册终端信息；以及具备认证应用程序110的便携式终端100，其在认证应用程序110最初被启动并经使用同意之后，获取终端信息，接受确认用应用程序密码输入而请求终端注册，并通过响应将一次性应用程序ID和一次解密确认码、二次解密确认码从认证代理服务器200接收并存储于私有区域111。本专利技术的所述认证代理系统其特征在于，上述终端信息注册部206进一步包括：基于所接收的电话号码和上述应用程序密码参照终端信息表291而确认是否申请使用认证应用程序110，若申请有效，则发行最初的一次性应用程序ID，并基于所接收的电话号码参照用户信息表293而获取用户ID，且在终端信息表291更新终端标识号、用户ID、一次性应用程序ID而注册终端的单元，其中，上述终端信息包括终端标识号和便携式终端100的电话号码；以及注册终端信息之后对于请求了终端注册的便携式终端100响应上述一次性应用程序ID和一次、二次解密确认码202的内容的单元。本专利技术的所述认证代理系统其特征在于，上述私有区域111是赋予有读写仅限于认证应用程序110的权限的专用区域，其至少存储一次性应用程序ID、一次解密确认码、二次解密确认码，若应用程序被删除或被重新安装(重新打包)，则存储于私有区域111的数据被删除。本专利技术的所述认证代理系统其特征在于，包括便携式终端100和认证代理服务器200，其中，安装于便携式终端100的认证应用程序110包括：网络密钥接收部112，其随应用程序被启动而接收由标头(header)部和数据部构成的参数，并确认参数是否一致；加密及认证请求部113，其生成并加密认证请求数据而请求认证；认证结果接收部114，其至少接收结果代码、用户名、网站名称、加密的新的一次性应用程序ID；一次性应用程序ID更新部115，其将加密的新的一次性应用程序ID解密并在私有区域111进行更新；以及认证结果显示部116，其根据结果代码生成并显示包括用户名和网站名称的消息，认证应用程序110的最新版本信息和一次、二次解密确认码信息与系统启动同时驻留于存储器，上述认证代理服务器200包括：解密及认证代理部210，其对于来自便携式终端100的认证请求，对加密的认证请求数据进行解密并代理认证；令牌中继部220，其至少将用户ID和令牌中继到服务服务器300并接收结果代码；中继日志记录部230，其为了防止否认而记录所中继的令牌的明细；一次性应用程序ID发行部240，其发行并更新新的一次性应用程序ID；以及认证结果发送部250，其生本文档来自技高网...

【技术保护点】
1.一种能够检测应用程序篡改的双通道认证代理系统，其构成为客户终端(10)和便携式终端(100)能够经由通信网(900)而与认证代理服务器(200)相互通信，且客户终端(10)和便携式终端(100)和认证代理服务器(200)能够经由通信网(900)而与服务服务器(300)相互通信，所述能够检测应用程序篡改的双通道认证代理系统其特征在于，包括：认证代理服务器(200)的客户终端(10)，其为了在认证代理服务器(200)注册已确认本人的便携式终端(100)的设备及认证应用程序(110)，接受便携式终端(100)的电话号码和确认用应用程序密码键入而申请使用认证应用程序(110)；认证代理服务器(200)，其包括认证应用程序使用接受部(205)和终端信息注册部(206)，其中，认证应用程序使用接受部(205)对于来自客户终端(10)的认证应用程序(110)使用申请将至少包括便携式终端(100)的电话号码和应用程序密码的信息注册到终端信息表(291)中，终端信息注册部(206)若通过来自便携式终端(100)的连接而接收终端信息和确认用应用程序密码则发行一次性应用程序ID并注册终端信息；以及，具备认证应用程序(110)的便携式终端(100)，其在认证应用程序(110)最初被启动并经使用同意之后，获取终端信息，接受确认用应用程序密码输入而请求终端注册，并通过响应将一次性应用程序ID和一次解密确认码、二次解密确认码从认证代理服务器(200)接收并存储于私有区域(111)。...

【技术特征摘要】
【国外来华专利技术】2016.07.12 KR 10-2016-00880621.一种能够检测应用程序篡改的双通道认证代理系统，其构成为客户终端(10)和便携式终端(100)能够经由通信网(900)而与认证代理服务器(200)相互通信，且客户终端(10)和便携式终端(100)和认证代理服务器(200)能够经由通信网(900)而与服务服务器(300)相互通信，所述能够检测应用程序篡改的双通道认证代理系统其特征在于，包括：认证代理服务器(200)的客户终端(10)，其为了在认证代理服务器(200)注册已确认本人的便携式终端(100)的设备及认证应用程序(110)，接受便携式终端(100)的电话号码和确认用应用程序密码键入而申请使用认证应用程序(110)；认证代理服务器(200)，其包括认证应用程序使用接受部(205)和终端信息注册部(206)，其中，认证应用程序使用接受部(205)对于来自客户终端(10)的认证应用程序(110)使用申请将至少包括便携式终端(100)的电话号码和应用程序密码的信息注册到终端信息表(291)中，终端信息注册部(206)若通过来自便携式终端(100)的连接而接收终端信息和确认用应用程序密码则发行一次性应用程序ID并注册终端信息；以及，具备认证应用程序(110)的便携式终端(100)，其在认证应用程序(110)最初被启动并经使用同意之后，获取终端信息，接受确认用应用程序密码输入而请求终端注册，并通过响应将一次性应用程序ID和一次解密确认码、二次解密确认码从认证代理服务器(200)接收并存储于私有区域(111)。2.根据权利要求1所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述终端信息注册部(206)进一步包括：基于所接收的电话号码和上述应用程序密码参照终端信息表(291)而确认是否申请使用认证应用程序(110)，若申请有效，则发行最初的一次性应用程序ID，并基于所接收的电话号码参照用户信息表(293)而获取用户ID，且在终端信息表(291)更新终端标识号、用户ID、一次性应用程序ID而注册终端的单元，其中，上述终端信息至少包括终端标识号和便携式终端(100)的电话号码；以及，注册终端信息之后对于请求了终端注册的便携式终端(100)响应上述一次性应用程序ID和一次、二次解密确认码(202)的内容的单元。3.根据权利要求1所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述私有区域(111)是赋予有读写仅限于认证应用程序(110)的权限的专用区域，其至少存储一次性应用程序ID、一次解密确认码、二次解密确认码，若认证应用程序被删除或被重新安装，则存储于私有区域(111)的数据被删除。4.根据权利要求1所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述认证应用程序(110)包括：网络密钥接收部(112)，其随应用程序被启动而接收由标头部和数据部构成的参数，并确认参数是否一致；加密及认证请求部(113)，其生成并加密认证请求数据而请求认证；认证结果接收部(114)，其至少接收结果代码、用户名、网站名称、加密的新的一次性应用程序ID；一次性应用程序ID更新部(115)，其将加密的新的一次性应用程序ID解密并在私有区域(111)进行更新；以及，认证结果显示部(116)，其根据结果代码生成并显示包括用户名和网站名称的消息。5.根据权利要求1所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，认证应用程序(110)的最新版本信息和一次、二次解密确认码信息与系统启动同时驻留于存储器，上述认证代理服务器(200)进一步包括：解密及认证代理部(210)，其对于来自便携式终端(100)的认证请求，对加密的认证请求数据进行解密并代理认证；令牌中继部(220)，其至少将用户ID和令牌中继到服务服务器(300)并接收结果代码；中继日志记录部(230)，其为了防止否认而记录所中继的令牌的明细；一次性应用程序ID发行部(240)，其发行并更新新的一次性应用程序ID；以及，认证结果发送部(250)，其生成认证结果数据而响应认证请求。6.根据权利要求4所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述加密及认证请求部(113)进一步包括：信息获取单元，其获取终端标识号，从私有区域(111)获取一次性应用程序ID、一次解密确认码、二次解密确认码，获取认证应用程序(110)的应用程序版本，并接受应用程序密码键入；一次加密单元，其在上述参数的数据部附加二次解密确认码而将上述应用程序密码用作密钥进行加密；二次加密单元，其在一次加密数据附加一次解密确认码和应用程序版本而将上述一次性应用程序ID用作密钥进行加密；以及，数据生成单元，其在二次加密的数据附加终端标识号而生成认证请求数据，并以生成的认证请求数据向认证代理服务器(200)请求认证。7.根据权利要求5所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述解密及认证代理部(210)进一步包括：便携式终端(100)的设备认证单元，其从所接收的认证请求数据中提取终端标识号和加密数据，并将终端标识号作为密钥参照终端信息表(291)而获取用户ID、一次性应用程序ID、应用程序密码；应用程序认证单元，其将上述一次性应用程序ID作为解密密钥而对上述加密数据进行一次解密，从一次解密数据中提取一次解密确认码，并确认该一次解密确认码是否与存储器的一次解密确认码一致，从而检测是否重新安装了篡改的应用程序；应用程序版本确认单元，其从一次解密数据中提取应用程序版本，并确认该应用程序版本是否与存储器的应用程序版本一致；应用程序密码认证单元，其从一次解密数据中提取加密数据并将上述应用程序密码作为解密密钥而实施二次解密，从二次解密数据中提取二次解密确认码，并根据该二次解密确认码与存储器的二次解密确认码是否一致来确认密码一致；网站认证单元，其从二次解密数据中提取加盟店ID，并将所提取的加盟店ID作为密钥参照加盟店信息表(292)而获取服务服务器(300)的统一资源定位符和加盟店名称、连接限制年龄、连接密钥；以及，限制年龄认证单元，其从二次解密数据中提取限制年龄，通过上述用户ID参照用户信息表(293)而获取用户名和出生年月日，将系统的日期和出生年月日进行比较而计算便携式终端(100)用户的年龄，在年龄不到上述限制年龄或上述连接限制年龄的情况下限制网站的连接。8.根据权利要求5所述的能够检测应用程序篡改的双通道认证代理系统，其特征在于，上述中继日志记录部(230)在中继日志表(294)中注册设定于令牌发行者ID字段的特定发行了上述令牌的服务服务器(300)的加盟店ID、设定于已处理的令牌字段的上述令牌、设定于认证结果字段的从服务服务器(300)接收的上述结果代码、设定于用户ID字段的便携式终端(100)的用户ID、以及设定于令牌处理时间戳字段的认证代理服务器(200)的系统时间，从而在发生认证相关纠纷时能够进行数据跟踪而能够防止对于认证结果的否认。9.一种能够检测应用程序篡改的双通道认证代理方法，其中，认证代理服务器(200)和便携式终端(100)通过通信网相互通信，在认证代理服务器(200)注册已确认本人的便携式终端(100)的设备和安装于便携式终端(100)的认证应用程序(110)之后检测应用程序篡改，所述能够检测...

【专利技术属性】
技术研发人员：金主汉，
申请(专利权)人：金主汉，
类型：发明
国别省市：韩国,KR