专利名称:一种新型的防钓鱼的方法
技术领域:
本发明涉及一种新型的防钓鱼的方法,属于网络安全技术领域。
背景技术:
目前,传统的防钓鱼方法在原理上采用的是黑名单机制,当钓鱼网站出现并被发现后,经过人工审核认为其确实是钓鱼网站则将其加入到黑名单,这个黑名单能够同步到安装在用户电脑上的客户端软件上或者存放在服务器端(或称为云端)。当客户端软件监控到用户有访问黑名单所列的网址时,通过某种方式来提醒用户其行为可能存在一定风险。因此上述这种传统的防钓鱼方法是事后防范,只有在钓鱼网站出现以后才能被发现,从目前出现的钓鱼事件来看,往往在从出现到被发现这个过程中已经有大量的受害者·了,即现有传统的防钓鱼方法具有明显的滞后性和不确定性。同时,由于对是否是钓鱼网站的确认工作是由提供保护软件的公司来主导完成的,尽管各方组成了反钓鱼联盟,但仍不可避免会出现遗漏、误判或人为故意等情况,因此给用户和运营商带来较大的损失。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的新型的防钓鱼的方法,本发明包括本发明的新型的防钓鱼方法,是一种由真实运营方来主导进行的事前防范方法,客观上解决了现有传统的防钓鱼方法的滞后性和不确定性,在网站运营方的用户操作界面上,以显著的方式加入防钓鱼检查功能,当用户执行该防钓鱼检查后,在用户另一个与现有界面平台足够分离的、私有的物理介质上以安全的、难以伪造的方式显示通知信息,告知用户其当前使用的网站是真实正确的,而如果用户没有收到这样的通知信息则可明确判断其当前使用的是虚假的钓鱼界面。同时用户在这个物理介质上输入静态密码,之后物理介质上的软件以安全的方式将这个静态密码以及动态密码传送至后台系统,后台系统验证数据来源的可靠性和密码的准确性后,决定是否放行用户的操作行为。本发明包括以下步骤(I)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能,如果这个功能以辅助旁路的方式加入到现有流程中,往往会造成用户的忽视,难以养成用户使用防钓鱼检查功能的习惯,这样会降低防钓鱼的成功率;而如果这种防钓鱼检查功能是强制性的,则客观上提高了用户的安全意识和保护意识,从整体上提高了防钓鱼的成功率。(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离,如果在与用户当前操作的界面所在的同一系统上显示通知信息,则由于木马或恶意程序的影响,其通知信息往往会被劫持或伪造;假设用户的单一设备被侵入的概率为X,则两个设备被同时侵入的概率约等于为X2,木马或恶意程序侵入的可能性大大降低。(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式,原因是此类方式只需要知道用户的手机号,而由于木马或恶意程序的存在,例如,钓鱼方能够将用户的电脑和手机联系起来,从而可以在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息。因此,本发明是采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,这样能够大大降低木马或恶意程序侵入的可能性,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在不知道私钥的情况下用公钥解密出来的将是人所不能识别的字符,从而达到了攻击方不能呈现通知信息的目的;同时公钥是存储在具有联网功能的手持终端设备上,私钥是存储在更安全的服务器上,两者均不通过网络进行传输,不能被中间人攻击,即便公钥被攻击方篡改,但由于公私钥的不匹配,因此木马或恶意程序也不能达到攻击的目的;同时在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。本发明的优点是能够对钓鱼网站进行提前防范,能够大大降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼 的成功率。
具体实施例方式下面结合实施例对本发明进行详细描述。本发明包括以下步骤(I)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式;采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。在本实施例中,例如,钓鱼网站一般是在用户使用电脑时,通过某种宣传方式将用户引入虚假的界面来盗取用户的账户信息,包括账户名、密码等,所以在官方网站只提供账号中的用户名输入界面,并在这个界面告诉用户如何下载并安装专门为本发明的方法所开发的手机端软件以及如何将这个软件绑定到用户账号和手机上。当用户在安装及绑定后,在网站上输入用户名并点击登录按钮后,以预先分配给该官方网站的私钥加密通知信息并传送给手机端软件,手机端软件收到通知信息后用存储在本地的公钥进行解密并提示用户输入密码。这个通知信息可以是静态的,也可以使用动态信息并由用户来比对显示在电脑端的信息和显示在手机端的信息是否相同。当用户阅读这个通知信息并输入密码后,将明文数据以及有时效性的动态密码经杂凑算法加密后仅将加密后的传送回系统服务端。系统服务端也以相同的方式加密原始数据并比对加密后的内容,相同则认为是正常用户成功登录,否则在网站页面上提示相应的错误原因。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
权利要求
1.一种新型的防钓鱼的方法,其特征在于,包括以下步骤 (1)在网站运营方的用户操作界面上引入明显的强制性的防钓鱼检查功能; (2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离; (3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式以防用户的手机号被木马或恶意程序窃取后钓鱼方将电脑和手机联系起来,从而能够在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息。
2.根据权利要求I所述的一种新型的防钓鱼的方法,其特征在于,所述步骤(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上,并用其来解密用私钥加密后的通知信息,同时在信息内容上加入动态密码实现一次一密码以防被木马或恶意程序重复攻击的可能性。
全文摘要
本发明公开了一种新型的防钓鱼的方法,包括以下步骤(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码;本发明的优点是能够对钓鱼网站进行提前防范,能够降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼的成功率。
文档编号H04L29/06GK102957703SQ20121044761
公开日2013年3月6日 申请日期2012年11月9日 优先权日2012年11月9日
发明者葛海龙, 王黎明, 陈易, 左飞, 周小猛 申请人:时代亿宝(北京)科技有限公司