CN101026599A - 基于网关、网桥防范网络钓鱼网站的方法 - Google Patents

基于网关、网桥防范网络钓鱼网站的方法 Download PDF

Info

Publication number
CN101026599A
CN101026599A CN 200710072997 CN200710072997A CN101026599A CN 101026599 A CN101026599 A CN 101026599A CN 200710072997 CN200710072997 CN 200710072997 CN 200710072997 A CN200710072997 A CN 200710072997A CN 101026599 A CN101026599 A CN 101026599A
Authority
CN
China
Prior art keywords
bridge
user
ssl
security gateway
gateway
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN 200710072997
Other languages
English (en)
Other versions
CN100553242C (zh
Inventor
蔡成志
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Shenxinfu Electronic Technology Co Ltd filed Critical Shenzhen Shenxinfu Electronic Technology Co Ltd
Priority to CNB2007100729971A priority Critical patent/CN100553242C/zh
Publication of CN101026599A publication Critical patent/CN101026599A/zh
Application granted granted Critical
Publication of CN100553242C publication Critical patent/CN100553242C/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种识别钓鱼网站的方法,步骤:1.在上网终端与被访问网站中间加入安全网关设备,使经过SSL加密的数据可被安全网关捕获;2.在安全网关上提供设置界面,让用户导入可信任的X.509证书列表;3.在安全网关上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.过滤并阻止证书链不合法的SSL连接。或用步骤:1.把安全网关接入可监听用户上网数据的设备,使安全网关可捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;2.在安全网关上提供设置界面,导入X.509证书列表;3.在安全网关捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.对证书链的合法性进行验证,安全网关发出命令切断证书链非法的SSL连接。

Description

基于网关、网桥防范网络钓鱼网站的方法
技术领域
本发明涉及一种帮助用户过滤伪装成使用SSL协议加密的可信网站(如网上银行、证券网站)的方法,即一种识别网络钓鱼网站的方法。
背景技术
为防止用户数据穿过非信任网络区时被窃取,用户与使用SSL协议加密的网站(如网上银行、证券网站等)的通讯数据都经过SSL协议加密。但加密只是防止数据在传输过程中被窃取,而和用户通讯的另一端(被访问的网站)的身份并没有经过核实。比如与用户通讯的另一端可能是一个伪装成网上银行网站的恶意网站。这种通过伪装成可信网站,以欺骗手段获取用户机密数据(包括用户名,密码等)的实体统称为钓鱼网站。由于数据已经经过加密,传统防火墙对这些钓鱼网站的控制显得无能为力。普通用户出于对SSL协议高强度加密的信任与对SSL协议专业知识的缺乏,往往无法判断出所访问的网站提供的SSL证书是否合法,而导致个人机密数据被钓鱼网站骗取的事件时有发生。因此,在安全方面存在缺陷,无法过滤伪装成可信网站的钓鱼网站。
发明内容
本发明的目是提供一种能够过滤网络钓鱼网站的方法,防止用户被网络钓鱼网站骗取用户名,密码等个人私秘数据而造成经济损失。
本发明的目可以通过以下方法实现,该方法包含以下步骤:
第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关所捕获;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
本方法中用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
本发明的目还可以通过以下方法实现,该方法包含以下步骤:
第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
本方法中用户也可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
基于如上所述,本发明对与使用SSL协议的用户通讯的另一端(网站)的身份进行核实,能过滤掉网络钓鱼网站,从而防止了用户遭受网络钓鱼而导致经济受损或个人私秘信息外泄,无疑具有重大意义。
附图说明
图1是本发明的第一种网络连接示意图。
图2是本发明的第二种网络连接示意图。
图3是本发明的流程图。
具体实施方式
本发明的第一种实现方法如图1所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
首先说明本方法的工作方式。如图3所示,安全网关或网桥捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取X.509证书链。根据PKI的相关标准以及用户提供的可信任证书列表对所提取握手过程所传输的X.509证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接。
按图1所示,把安全网关或网桥布置在用户上网终端与被访问网站的网络链路中间,访问外部网络的内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据都需经过安全网关或网桥。安全网关可以捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取SSL协议的握手过程的证书链,根据PKI的相关标准以及用户提供的可信任证书列表对所提取的证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接,从而允许终端用户和可信网站的网络连接,切断许终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关、网桥上导入或删除可信任的证书列表。
本发明的另一种实现方法如图2所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
按图2所示,把安全网关或网桥接入可以监听到用户上网数据的设备上。比如三层交换机的镜像口,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站的SSL连接A的数据拷贝或者钓鱼网站的SSlB连接数据拷贝。安全网关或网桥根据PKI的相关标准以及用户提供的可信任证书列表对所提取SSL连接的证书链的合法性进行验证,安全网关或网桥区分合法的SSL连接A与非法的SSLB连接,并发出命令切断非法的SSL连接,从而允许终端用户和可信网站的网络连接,切断终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关或网桥上导入或删除可信任的证书列表。
本发明不限于上述实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明权利要求的涵盖范围。

Claims (4)

1、一种基于网关、网桥防范网络钓鱼网站的方法,包含以下步骤:
第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关所捕获;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
2、根据权利要求1所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
3、一种基于网关或网桥防范网络钓鱼网站的方法,包含以下步骤:
第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;
第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;
第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
4、根据权利要求3所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
CNB2007100729971A 2007-01-19 2007-01-19 基于网关、网桥防范网络钓鱼网站的方法 Active CN100553242C (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CNB2007100729971A CN100553242C (zh) 2007-01-19 2007-01-19 基于网关、网桥防范网络钓鱼网站的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CNB2007100729971A CN100553242C (zh) 2007-01-19 2007-01-19 基于网关、网桥防范网络钓鱼网站的方法

Publications (2)

Publication Number Publication Date
CN101026599A true CN101026599A (zh) 2007-08-29
CN100553242C CN100553242C (zh) 2009-10-21

Family

ID=38744502

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2007100729971A Active CN100553242C (zh) 2007-01-19 2007-01-19 基于网关、网桥防范网络钓鱼网站的方法

Country Status (1)

Country Link
CN (1) CN100553242C (zh)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101971559A (zh) * 2008-01-11 2011-02-09 北方电讯网络有限公司 能够合法截取加密的业务的方法和装置
CN102664890A (zh) * 2012-04-23 2012-09-12 沈阳通用软件有限公司 网络安全控制服务器识别终端计算机合法性的方法
WO2013018028A2 (en) * 2011-08-04 2013-02-07 International Business Machines Corporation Authentication policy enforcement
CN103209200A (zh) * 2012-01-16 2013-07-17 上海耀诚通信科技有限公司 云服务交换系统及服务查询和交换方法
CN103229479A (zh) * 2012-12-28 2013-07-31 华为技术有限公司 一种网站识别方法、装置及网络系统
CN103281312A (zh) * 2013-05-10 2013-09-04 金硕澳门离岸商业服务有限公司 信息过滤方法
CN103314550A (zh) * 2011-01-04 2013-09-18 高通股份有限公司 用于防范流氓证书的方法和装置
CN103843003A (zh) * 2011-07-08 2014-06-04 Uab研究基金会 句法指纹识别
CN103916849A (zh) * 2012-12-31 2014-07-09 上海贝尔股份有限公司 用于无线局域网通信的方法和设备
US20140196108A1 (en) * 2011-08-04 2014-07-10 International Business Machines Corporation Security policy enforcement
US20160044023A1 (en) * 2014-01-30 2016-02-11 Globalfoundries Inc. Authentication policy enforcement
CN108234519A (zh) * 2013-09-30 2018-06-29 瞻博网络公司 检测和防止加密连接上的中间人攻击
CN108306878A (zh) * 2018-01-30 2018-07-20 平安科技(深圳)有限公司 钓鱼网站检测方法、装置、计算机设备和存储介质
CN111683089A (zh) * 2020-06-08 2020-09-18 绿盟科技集团股份有限公司 一种识别钓鱼网站的方法、服务器、介质及计算机设备
CN112152966A (zh) * 2019-06-27 2020-12-29 北京观成科技有限公司 非法ssl证书的识别方法及装置
CN113904767A (zh) * 2021-09-29 2022-01-07 深圳市惠尔顿信息技术有限公司 一种基于ssl建立通信的系统

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101971559A (zh) * 2008-01-11 2011-02-09 北方电讯网络有限公司 能够合法截取加密的业务的方法和装置
CN103314550B (zh) * 2011-01-04 2016-10-05 高通股份有限公司 用于防范流氓证书的方法和装置
CN103314550A (zh) * 2011-01-04 2013-09-18 高通股份有限公司 用于防范流氓证书的方法和装置
CN103843003B (zh) * 2011-07-08 2016-06-08 Uab研究基金会 识别网络钓鱼网站的方法
CN103843003A (zh) * 2011-07-08 2014-06-04 Uab研究基金会 句法指纹识别
WO2013018028A3 (en) * 2011-08-04 2013-03-28 International Business Machines Corporation Authentication policy enforcement
WO2013018028A2 (en) * 2011-08-04 2013-02-07 International Business Machines Corporation Authentication policy enforcement
US20140196108A1 (en) * 2011-08-04 2014-07-10 International Business Machines Corporation Security policy enforcement
US9288234B2 (en) * 2011-08-04 2016-03-15 International Business Machines Corporation Security policy enforcement
CN103209200A (zh) * 2012-01-16 2013-07-17 上海耀诚通信科技有限公司 云服务交换系统及服务查询和交换方法
CN102664890B (zh) * 2012-04-23 2014-06-25 沈阳通用软件有限公司 网络安全控制服务器识别终端计算机合法性的方法
CN102664890A (zh) * 2012-04-23 2012-09-12 沈阳通用软件有限公司 网络安全控制服务器识别终端计算机合法性的方法
CN103229479A (zh) * 2012-12-28 2013-07-31 华为技术有限公司 一种网站识别方法、装置及网络系统
CN103229479B (zh) * 2012-12-28 2016-03-09 华为技术有限公司 一种网站识别方法、装置及网络系统
WO2014101112A1 (zh) * 2012-12-28 2014-07-03 华为技术有限公司 一种网站识别方法、装置及网络系统
CN103916849B (zh) * 2012-12-31 2018-08-24 上海诺基亚贝尔股份有限公司 用于无线局域网通信的方法和设备
CN103916849A (zh) * 2012-12-31 2014-07-09 上海贝尔股份有限公司 用于无线局域网通信的方法和设备
CN103281312B (zh) * 2013-05-10 2016-02-17 金硕澳门离岸商业服务有限公司 信息过滤方法
CN103281312A (zh) * 2013-05-10 2013-09-04 金硕澳门离岸商业服务有限公司 信息过滤方法
CN108234519A (zh) * 2013-09-30 2018-06-29 瞻博网络公司 检测和防止加密连接上的中间人攻击
CN108234519B (zh) * 2013-09-30 2020-11-24 瞻博网络公司 检测和防止加密连接上的中间人攻击
US20160044023A1 (en) * 2014-01-30 2016-02-11 Globalfoundries Inc. Authentication policy enforcement
CN108306878A (zh) * 2018-01-30 2018-07-20 平安科技(深圳)有限公司 钓鱼网站检测方法、装置、计算机设备和存储介质
CN112152966A (zh) * 2019-06-27 2020-12-29 北京观成科技有限公司 非法ssl证书的识别方法及装置
CN112152966B (zh) * 2019-06-27 2022-07-12 北京观成科技有限公司 非法ssl证书的识别方法及装置
CN111683089A (zh) * 2020-06-08 2020-09-18 绿盟科技集团股份有限公司 一种识别钓鱼网站的方法、服务器、介质及计算机设备
CN111683089B (zh) * 2020-06-08 2022-12-30 绿盟科技集团股份有限公司 一种识别钓鱼网站的方法、服务器、介质及计算机设备
CN113904767A (zh) * 2021-09-29 2022-01-07 深圳市惠尔顿信息技术有限公司 一种基于ssl建立通信的系统

Also Published As

Publication number Publication date
CN100553242C (zh) 2009-10-21

Similar Documents

Publication Publication Date Title
CN100553242C (zh) 基于网关、网桥防范网络钓鱼网站的方法
Cekerevac et al. Internet of things and the man-in-the-middle attacks–security and economic risks
US10326756B2 (en) Management of certificate authority (CA) certificates
Wilson et al. Trust but verify: Auditing the secure Internet of things
CN101662359B (zh) 电力专用公网通信数据安全防护方法
US20110023109A1 (en) Network Firewall Host Application Identification and Authentication
Alharbi et al. An IoT analysis framework: An investigation of IoT smart cameras' vulnerabilities
CN101355459B (zh) 一种基于可信协议的网络监控方法
US20170063557A1 (en) Detection of fraudulent certificate authority certificates
CN103441991A (zh) 一种移动终端安全接入平台
Avolio et al. A network perimeter with secure external access
JP2009515232A (ja) ネットワークユーザ認証システム及び方法
US20090313691A1 (en) Identity verification system applicable to virtual private network architecture and method of the same
CN106941491A (zh) 用电信息采集系统的安全应用数据链路层设备及通信方法
CN110198297A (zh) 流量数据监控方法、装置、电子设备及计算机可读介质
US20170026184A1 (en) Detection of fraudulent digital certificates
CN103188254A (zh) 一种兼顾内外网信息通畅性和安全性的网络安全保护方法
CN111277607A (zh) 通信隧道模块、应用监控模块及移动终端安全接入系统
CN115378625B (zh) 一种跨网信息安全交互方法及系统
CN101369995A (zh) 一种基于安全可信连接技术的拨号网关
CN113904767A (zh) 一种基于ssl建立通信的系统
KR101047994B1 (ko) 네트워크 기반 단말인증 및 보안방법
CN116248405A (zh) 一种基于零信任的网络安全访问控制方法及采用该方法的网关系统、存储介质
CN106982191A (zh) 用于商业WiFi的内嵌证书安全认证通讯机制
Wells Better Practices for IoT Smart Home Security

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: Nanshan District Xueyuan Road in Shenzhen city of Guangdong province 518000 No. 1001 Nanshan Chi Park building A1 layer

Patentee after: SINFOR Polytron Technologies Inc

Address before: 518052 Shenzhen City, Guangdong, Shenzhen, Kirin Road, No. 1 science and technology entrepreneurship center four

Patentee before: Shenxinfu Electronics Science and Technology Co., Ltd., Shenzhen