CN100553242C - 基于网关、网桥防范网络钓鱼网站的方法 - Google Patents
基于网关、网桥防范网络钓鱼网站的方法 Download PDFInfo
- Publication number
- CN100553242C CN100553242C CNB2007100729971A CN200710072997A CN100553242C CN 100553242 C CN100553242 C CN 100553242C CN B2007100729971 A CNB2007100729971 A CN B2007100729971A CN 200710072997 A CN200710072997 A CN 200710072997A CN 100553242 C CN100553242 C CN 100553242C
- Authority
- CN
- China
- Prior art keywords
- bridge
- security gateway
- ssl
- user
- certificate chain
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种识别钓鱼网站的方法,步骤:1.在上网终端与被访问网站中间加入安全网关设备,使经过SSL加密的数据可被安全网关捕获;2.在安全网关上提供设置界面,让用户导入可信任的X.509证书列表;3.在安全网关上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.过滤并阻止证书链不合法的SSL连接。或用步骤:1.把安全网关接入可监听用户上网数据的设备,使安全网关可捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;2.在安全网关上提供设置界面,导入X.509证书列表;3.在安全网关捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.对证书链的合法性进行验证,安全网关发出命令切断证书链非法的SSL连接。
Description
技术领域
本发明涉及一种帮助用户过滤伪装成使用SSL协议加密的可信网站(如网上银行、证券网站)的方法,即一种识别网络钓鱼网站的方法。
背景技术
为防止用户数据穿过非信任网络区时被窃取,用户与使用SSL协议加密的网站(如网上银行、证券网站等)的通讯数据都经过SSL协议加密。但加密只是防止数据在传输过程中被窃取,而和用户通讯的另一端(被访问的网站)的身份并没有经过核实。比如与用户通讯的另一端可能是一个伪装成网上银行网站的恶意网站。这种通过伪装成可信网站,以欺骗手段获取用户机密数据(包括用户名,密码等)的实体统称为钓鱼网站。由于数据已经经过加密,传统防火墙对这些钓鱼网站的控制显得无能为力。普通用户出于对SSL协议高强度加密的信任与对SSL协议专业知识的缺乏,往往无法判断出所访问的网站提供的SSL证书是否合法,而导致个人机密数据被钓鱼网站骗取的事件时有发生。因此,在安全方面存在缺陷,无法过滤伪装成可信网站的钓鱼网站。
发明内容
本发明的目是提供一种能够过滤网络钓鱼网站的方法,防止用户被网络钓鱼网站骗取用户名,密码等个人私秘数据而造成经济损失。
本发明的目可以通过以下方法实现,该方法包含以下步骤:
第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关或网桥设备所捕获;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
本方法中用户通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
本发明的目还可以通过以下方法实现,该方法包含以下步骤:
第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
本方法中用户通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
基于如上所述,本发明对与使用SSL协议的用户通讯的另一端(网站)的身份进行核实,能过滤掉网络钓鱼网站,从而防止了用户遭受网络钓鱼而导致经济受损或个人私秘信息外泄,无疑具有重大意义。
附图说明
图1是本发明的第一种网络连接示意图。
图2是本发明的第二种网络连接示意图。
图3是本发明的流程图。
具体实施方式
本发明的第一种实现方法如图1所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
首先说明本方法的工作方式。如图3所示,安全网关或网桥捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取X.509证书链。根据PK工的相关标准以及用户提供的可信任证书列表对所提取握手过程所传输的X.509证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接。
按图1所示,把安全网关或网桥布置在用户上网终端与被访问网站的网络链路中间,访问外部网络的内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据都需经过安全网关或网桥。安全网关可以捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取SSL协议的握手过程的证书链,根据PKI的相关标准以及用户提供的可信任证书列表对所提取的证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接,从而允许终端用户和可信网站的网络连接,切断许终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关、网桥上导入或删除可信任的证书列表。
本发明的另一种实现方法如图2所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
按图2所示,把安全网关或网桥接入可以监听到用户上网数据的设备上。比如三层交换机的镜像口,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站的SSL连接A的数据拷贝或者钓鱼网站的SSIB连接数据拷贝。安全网关或网桥根据PKI的相关标准以及用户提供的可信任证书列表对所提取SSL连接的证书链的合法性进行验证,安全网关或网桥区分合法的SSL连接A与非法的SSLB连接,并发出命令切断非法的SSL连接,从而允许终端用户和可信网站的网络连接,切断终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关或网桥上导入或删除可信任的证书列表。
本发明不限于上述实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明权利要求的涵盖范围。
Claims (4)
1、一种基于网关或网桥防范网络钓鱼网站的方法,包含以下步骤:
第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关或网桥设备所捕获;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
2、根据权利要求1所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
3、一种基于网关或网桥防范网络钓鱼网站的方法,包含以下步骤:
第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
4、根据权利要求3所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2007100729971A CN100553242C (zh) | 2007-01-19 | 2007-01-19 | 基于网关、网桥防范网络钓鱼网站的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNB2007100729971A CN100553242C (zh) | 2007-01-19 | 2007-01-19 | 基于网关、网桥防范网络钓鱼网站的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101026599A CN101026599A (zh) | 2007-08-29 |
CN100553242C true CN100553242C (zh) | 2009-10-21 |
Family
ID=38744502
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2007100729971A Active CN100553242C (zh) | 2007-01-19 | 2007-01-19 | 基于网关、网桥防范网络钓鱼网站的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN100553242C (zh) |
Families Citing this family (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090182668A1 (en) * | 2008-01-11 | 2009-07-16 | Nortel Networks Limited | Method and apparatus to enable lawful intercept of encrypted traffic |
US20120173874A1 (en) * | 2011-01-04 | 2012-07-05 | Qualcomm Incorporated | Method And Apparatus For Protecting Against A Rogue Certificate |
CA2840992C (en) * | 2011-07-08 | 2017-03-14 | Brad WARDMAN | Syntactical fingerprinting |
WO2013018028A2 (en) * | 2011-08-04 | 2013-02-07 | International Business Machines Corporation | Authentication policy enforcement |
US9288234B2 (en) * | 2011-08-04 | 2016-03-15 | International Business Machines Corporation | Security policy enforcement |
CN103209200B (zh) * | 2012-01-16 | 2017-06-23 | 上海耀诚通信科技有限公司 | 云服务交换系统及服务查询和交换方法 |
CN102664890B (zh) * | 2012-04-23 | 2014-06-25 | 沈阳通用软件有限公司 | 网络安全控制服务器识别终端计算机合法性的方法 |
EP2940954B1 (en) * | 2012-12-28 | 2019-10-02 | Huawei Technologies Co., Ltd. | Website identification method and device |
CN103916849B (zh) * | 2012-12-31 | 2018-08-24 | 上海诺基亚贝尔股份有限公司 | 用于无线局域网通信的方法和设备 |
CN103281312B (zh) * | 2013-05-10 | 2016-02-17 | 金硕澳门离岸商业服务有限公司 | 信息过滤方法 |
US9722801B2 (en) * | 2013-09-30 | 2017-08-01 | Juniper Networks, Inc. | Detecting and preventing man-in-the-middle attacks on an encrypted connection |
US20160044023A1 (en) * | 2014-01-30 | 2016-02-11 | Globalfoundries Inc. | Authentication policy enforcement |
CN108306878A (zh) * | 2018-01-30 | 2018-07-20 | 平安科技(深圳)有限公司 | 钓鱼网站检测方法、装置、计算机设备和存储介质 |
CN112152966B (zh) * | 2019-06-27 | 2022-07-12 | 北京观成科技有限公司 | 非法ssl证书的识别方法及装置 |
CN111683089B (zh) * | 2020-06-08 | 2022-12-30 | 绿盟科技集团股份有限公司 | 一种识别钓鱼网站的方法、服务器、介质及计算机设备 |
CN113904767A (zh) * | 2021-09-29 | 2022-01-07 | 深圳市惠尔顿信息技术有限公司 | 一种基于ssl建立通信的系统 |
-
2007
- 2007-01-19 CN CNB2007100729971A patent/CN100553242C/zh active Active
Also Published As
Publication number | Publication date |
---|---|
CN101026599A (zh) | 2007-08-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100553242C (zh) | 基于网关、网桥防范网络钓鱼网站的方法 | |
Cekerevac et al. | Internet of things and the man-in-the-middle attacks–security and economic risks | |
US20190354709A1 (en) | Enforcement of same origin policy for sensitive data | |
Wilson et al. | Trust but verify: Auditing the secure Internet of things | |
CN101662359B (zh) | 电力专用公网通信数据安全防护方法 | |
WO2015176445A1 (zh) | 移动终端预设联网地址防火墙隔离应用系统 | |
Alharbi et al. | An IoT analysis framework: An investigation of IoT smart cameras' vulnerabilities | |
CN101355459B (zh) | 一种基于可信协议的网络监控方法 | |
US20070220602A1 (en) | Methods and Systems for Comprehensive Management of Internet and Computer Network Security Threats | |
CN103441991A (zh) | 一种移动终端安全接入平台 | |
Avolio et al. | A network perimeter with secure external access | |
US20090313691A1 (en) | Identity verification system applicable to virtual private network architecture and method of the same | |
CN115378625B (zh) | 一种跨网信息安全交互方法及系统 | |
Mani et al. | An extensive evaluation of the internet's open proxies | |
CN101369995A (zh) | 一种基于安全可信连接技术的拨号网关 | |
Watkins et al. | Hack the stack: Using snort and ethereal to master the 8 layers of an insecure network | |
CN103618613A (zh) | 网络接入控制系统 | |
CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
KR101047994B1 (ko) | 네트워크 기반 단말인증 및 보안방법 | |
CN116248405A (zh) | 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质 | |
Wells | Better practices for IoT smart home security | |
Sharp | Network Security | |
Chen et al. | Narrowing Down the Secrets of the Internet-A Review of Privacy Leakages and Prevention Methods | |
Liu | Ethical Hacking of a Smart Video Doorbell | |
CN114567479B (zh) | 一种智能设备安全管控加固及监测预警方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP03 | Change of name, title or address |
Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer Patentee after: SINFOR Polytron Technologies Inc Address before: 518052 Shenzhen City, Guangdong, Shenzhen, Kirin Road, No. 1 science and technology entrepreneurship center four Patentee before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen |
|
CP03 | Change of name, title or address |