一种显示网站已经通过认证的系统和方法
技术领域
本发明涉及一种安全认证方法,尤其是涉及一种防止钓鱼网站的显示网站已经通过认证的系统和方法。
背景技术
互联网已经广泛应用在生产、服务、生活等各个方面,大量应用服务诸如电子商务、金融服务、商业服务等等都已经在互联网上提供。随着互联网上提供的业务不断丰富,假冒这些服务的诈骗等违法行为也不断出现,如假冒各种服务的钓鱼网站等,这些假冒服务正在对社会造成危害。
现有的服务网站在用户终端上显示内容的方法,是由用户终端向服务网站发送请求,服务网站向用户发送请求响应,用户终端通过浏览器或客户端软件将服务网站的响应内容显示在用户终端;也就是说,用户终端通过网址、域名与服务网站连接,打开网页或通过点击打开网页后,服务网站将包括图标标记、文字等显示内容发送到用户终端,用户终端显示这些内容,实现服务网站在用户终端上显示内容。
以上显示方法,由于用户终端显示的内容由服务网站直接发送,而网页的内容包括图形、标记或网页等可以复制;同时,网址和域名数量庞大,用户难以记忆清楚。因此,用户既难以通过图标标记辨认网站服务真假,也很难通过记忆网址和域名确保连接正确的服务网站。从而使假冒各种服务的钓鱼网站等诈骗等违法行为有可乘之机。
另一方面,对正常提供服务的网站,如果涉及第三方的服务内容,由于网页的内容包括特殊显示图标标记或网页等可以复制,因此,用户难以判断所述第三方的服务内容是否能在该网站提供,从而为使用这些服务带来风险。
中华人民共和国国家知识产权局于2009年9月16日公开了公开号为CN101534306A的专利文献,名称是一种钓鱼网站的检测方法及装置,其中的方法包括:检测装置根据接收的URL请求,获取网站的最终页面信息;将最终页面信息解析成DOM树结构,并在DOM树中根据最终页面信息的标签建立索引;根据建立的索引,提取DOM树中最终页面信息的特征,遍历预先设置的特征数据库,将最终页面新的特征与特征数据库中的参照特征进行匹配,输出命中的所述参照特征;遍历预先设置的模型数据库,根据命中的参照特征在模型数据库中查找命中的参照模型,确定网站是否为钓鱼网站。此方案需要对页面进行解析处理,步骤繁琐,耗时长,并且需要及时更新数据库中的参照模型,难以适应现在更新快、更新时间无规律的互联网络。
发明内容
本发明主要是解决现有技术所存在的辨别困难、容易被仿冒、步骤繁琐、需要不断更新数据库的技术问题,提供一种步骤简单、难以被仿冒、无需不断更新数据库的显示网站已经通过认证的系统和方法。
本发明针对上述技术问题主要是通过下述技术方案得以解决的:一种显示网站已经通过认证的系统,包括:
用户终端,向网站服务器发送包含自身IP地址的请求,并将接收到的网站服务器返回的用户身份信息进行全部或部分显示;
网站服务器,用于将接收到的用户终端的IP地址发送给身份服务器,并将接收到的身份服务器返回的用户身份信息发送给用户终端;
IP地址分配单元,用于给用户终端指定或分配IP地址;
信息采集单元,用于采集IP地址分配单元中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器;
和设置有身份数据库的身份服务器,用于接收信息采集单元发送过来的用户身份信息和IP地址并存储到身份数据库中,当收到网站服务器发送的用户终端IP地址后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器。
作为优选,所述IP地址分配单元为有线接入网络或无线接入网络的固定地址分配服务单元。
作为优选,所述IP地址分配单元为有线接入网络或无线接入网络的动态地址分配服务单元。
作为优选,所述IP地址分配单元为2G或2.5G或3G或4G无线通信接入网络的网关支持节点(GGSN, Gateway GPRS Support Node)。
本发明还公开了一种显示网站已经通过认证的方法,包括以下步骤:
a、在身份服务器建立身份数据库;
b、在身份数据库存储用户身份信息与用户终端互联网协议IP地址,所述用户身份信息包括用户名或用户终端ISDN号码或两者的结合;
c、用户终端连接至网站服务器;
d、所述网站服务器将用户终端IP地址发送至身份服务器;
e、所述身份服务器在判断网站服务器为通过认证的网站服务器后,在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则身份服务器向网站服务器发送用户身份信息并由网站服务器转发至用户终端;如果网站服务器未通过认证,则身份服务器不进行响应;从安全角度考虑,如果某个未通过认证的网站服务器多次发送查询请求(如超过10次),则判断其具有假冒网站的嫌疑或者认证以及过期而未及时重新认证,作为重点事故向管理人员发出警报;
f、所述用户终端接收用户身份信息,并将用户身份信息部分或全部显示在用户终端。
作为优选,所述步骤b具体包括:
b11、用户终端向固定地址分配服务单元申请固定的IP地址;
b12、所述固定地址分配服务单元在其因特网IP地址集合中分配固定的IP地址和用户名;
b13、信息采集单元接收所述用户名和分配的IP地址,所述信息采集单元建立所述用户名和分配的IP地址的对应关系,并将用户名和分配的IP地址发送至身份服务器;
b14、身份服务器在身份数据库中存储所述的用户名和分配的IP地址。
作为优选,所述步骤b具体包括:
b21、用户终端发送用户名和密码至动态地址分配服务单元,申请IP地址;
b22、所述动态地址分配服务单元指定IP地址;
b23、信息采集单元接收指定的IP地址和所述用户名,所述信息采集单元建立指定的IP地址和所述用户名的对应关系,并将用户名和指定的IP地址发送至身份服务器;
b24、身份服务器在身份数据库中存储所述用户名和指定的IP地址。
作为优选,所述步骤b22指定IP地址具体是动态地址分配服务单元从所述动态地址分配服务单元的因特网IP地址集合中分配IP地址。
作为优选,所述步骤b具体包括:
b31、用户终端发送附着(Attach)请求至业务支持节点(SGSN,Serving GPRS SUPPORT NODE);
b32、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
b33、用户终端发送激活分组报文协议(PDP,Packet Data Protocol)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),;
b34、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议上下文应答到业务支持节点(SGSN),业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;;
b35、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(IMSI, International Mobile Subscriber Identification Number),信息采集单元通过国际移动用户识别号(IMSI)获取对应的移动用户ISDN(Integrated Services Digital Network)号码(MSISDN,Mobile Subscriber International ISDN number),所述信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
b36、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码(MSISDN)。
作为优选,所述步骤b34指定IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址。
在互联网或移动互联网上,每个网络终端都有唯一的地址与其他终端或网络设备相区别,这个区别的地址可以是IP地址。当前IP地址包括IPV4和IPV6地址,代表当前的设备;在某一子网中某一时刻,IP地址与网络终端是一一对应的;同时,在互联网上传输的各种应用数据包中,IP地址是必不可少的。
用户终端通过有线或无线网络连接互联网时,通常接受互联网接入服务的提供运营商的认证;如手机终端需要经过2G、2.5G、3G、或4G接入服务提供商中国移动或中国电信或中国联通的认证才能使用。认证过程使用的用户身份信息与用户终端是对应关系,而一个IP地址只能被相同用户名接入因特网的用户终端使用。因此,一个IP地址对应一个用户身份信息。
在2G、2.5G、3G、或4G接入网络,一个移动用户ISDN号码(MSISDN)只允许一个用户终端接入,而有的接入网络一个用户身份信息允许多个用户终端接入;因此,一个用户身份信息可以对应一个或多个IP地址。
本发明所采用的技术方案通过建立用户终端IP地址与用户身份信息之间的对应关系,实现向用户终端IP地址发送用户身份信息,从而实现网站在用户终端显示用户身份信息。具体地,用户终端通过网址、域名与服务网站连接,打开网页或通过点击打开网页时,所述网页或网页程序或服务网站通过发送用户终端IP地址到身份服务器,获取用户终端对应的用户身份信息,然后将用户身份信息与提供的网站服务信息对应显示在用户终端上。
本发明的有益效果是:使用第三方建立的网站服务认证系统,避免假冒网站,在打开网站时就可以确认网站是否经过认证,防止向假冒网站输入用户自己的账号、密码导致泄密的问题。具体地,网站服务认证系统连接2G、3G、4G、WALN、无线或有线接入网络的接入服务提供运营商通信网络,获取用户终端IP地址与用户身份信息的对应关系;被认证的网站连接网站服务认证系统;网站服务认证系统判断接入的网站身份,通过认证后,响应被认证的网站请求;被认证的网站或其网页程序发送终端IP地址到网站服务认证系统,获取IP地址对应的用户身份信息,并将用户身份信息发送到对应的终端IP地址;在用户终端上显示用户身份信息,如果所显示的用户身份信息与用户终端连接接入网络时使用的用户身份信息一致,则表示网站已经通过认证。需要说明的是,为了保密原因,用户终端可以只显示部分用户身份信息。
由于用户的用户身份信息与IP地址的对应关系由提供接入服务的通信网络运营商掌握,因此,第三方网站服务认证系统必须由运营商认证才能获取用户身份信息与IP地址的对应关系信息,而没有连接第三方网站服务认证系统的网站,不能获取所述用户身份信息与IP地址的对应关系。对于假冒各种服务的诈骗网站、钓鱼网站或不能提供服务的非认证网站,由于没有连接所述第三方的网站服务认证,并不知道请求服务的用户终端的IP地址所对应的用户身份信息;因此,就不能在其网页上正确显示用户终端IP地址对应的用户身份信息。
附图说明
图1是本发明的一种显示网站已经通过认证的系统的结构示意图;
图2是本发明的一种显示网站已经通过认证的方法的流程图;
图3是本发明的一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图4是本发明的另一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图5是本发明的又一种在身份数据库存储用户身份信息与用户终端IP地址的方法的流程图;
图中:11、用户终端,12、IP地址分配单元,13、身份服务器,14、网站服务器,15、信息采集单元,16、网络。
具体实施方式
下面通过实施例,并结合附图,对本发明的技术方案作进一步具体的说明。
实施例1:本实施例的一种显示网站已经通过认证的系统,如图1所示,包括用户终端11、IP地址分配单元12、身份服务器13、网站服务器14和信息采集单元15。用户终端11和网站服务器14经由网络16连接,身份服务器13和网站服务器14经由网络16连接,用户终端11和IP地址分配单元12经由网络16连接,IP地址分配单元12通过信息采集单元15连接身份服务器13。网络16由因特网、专用通信线路、移动通信网络(包括基站)、宽带无线网络(包括AP)、网关等构成。
网站服务器14通过网络16提供各种服务,包括电子商务、金融服务等。
用户终端可以是个人电脑、其中安装了浏览器程序的手机或PDA等等。
身份服务器13可以由一台服务器实现或由运行相同或不同应用的服务器组实现。身份服务器的管理要充分考虑安全因素,综合采用多种网络安全技术,如不间断电源、防火墙、各种系统漏洞检测与修复技术等。
信息采集单元15可以是采集IP地址分配单元信令和IP地址分配单元与用户终端之间信令的信令采集装置或读取IP地址分配单元的IP地址数据库的数据库读取装置等。
用户终端11向网站服务器14发送包含自身IP地址的请求,并将接收到的网站服务器14返回的用户身份信息进行全部或部分显示;
网站服务器14用于将接收到的用户终端的IP地址发送给身份服务器13,并将接收到的身份服务器13返回的用户身份信息发送给用户终端11;
IP地址分配单元12用于给用户终端11指定或分配IP地址;
信息采集单元15用于采集IP地址分配单元12中已经指定或分配的IP地址及其对应的用户身份信息并发送给身份服务器13;
身份服务器13设置有身份数据库,用于接收信息采集单元15发送过来的用户身份信息和IP地址并存储到身份数据库中,当收到网站服务期发送的用户终端IP地址后,在身份数据库进行用户终端IP地址对应的用户身份信息的查询,并将查询到的用户身份信息返回给网站服务器14。
身份服务器13上的身份数据库为根据本发明所述方法建立的存储用户IP地址与身份信息对应关系的数据库。
本实施例中,IP地址分配单元为有线接入网络或无线接入网络的固定地址分配服务单元。
图2为一种显示网站已经通过认证的方法的流程图,具体为:
S101、在身份服务器建立身份数据库;
S102、在身份数据库存储用户身份信息与用户终端互联网协议IP地址,所述用户身份信息包括用户名或用户终端ISDN号码(MSISDN)或两者的结合,此步骤具体为:
S211、用户终端向固定地址分配服务单元申请固定的IP地址;
S212、所述固定地址分配服务单元在其因特网IP地址集合中分配固定的IP地址和用户名;
S213、信息采集单元接收所述用户名和分配的IP地址,所述信息采集单元建立所述用户名和分配的IP地址的对应关系,并将用户名和分配的IP地址发送至身份服务器;
S214、身份服务器在身份数据库中存储所述的用户名和分配的IP地址。
至此步骤S102结束。
S103、用户终端连接至网站服务器;
S104、所述网站服务器将用户终端IP地址发送至身份服务器;
S105、身份服务器判断网站服务器是否已通过认证,如果是,则跳转到步骤S106;如果否,则跳转到步骤S110;
S106、身份服务器在身份数据库中查询用户终端IP地址对应的用户身份信息;如果查到该用户终端IP地址对应的用户身份信息,则跳转到步骤S107;如果查询失败,则跳转到步骤S111;
S107、身份服务器向网站服务器发送用户身份信息;
S108、网站服务器转发用户身份信息至用户终端;
S109、用户终端接收用户身份信息,并将用户身份信息部分或全部显示在用户终端,至此,显示网站已经通过认证的方法整个处理流程结束;部分显示用户身份信息,是在符合用户身份信息的保密要求下,尽可能多地显示用户身份信息;
S110、不进行响应,流程结束;如果某个未通过认证的网站服务器多次发送查询请求(超过10次),则判断其具有假冒网站的嫌疑或者认证以及过期而未及时重新认证,作为重点事故向管理人员发出警报站。
S111、进行失败处理,流程结束;失败处理可以是返回查询失败消息;或不进行任何操作。
在以上步骤中,在互联网上进行的用户身份信息传输,可以采用加密技术进行保密。
实施例2:本实施例的一种显示网站已经通过认证的系统,其中的IP地址分配单元为有线接入网络或无线接入网络的动态地址分配服务单元,其余部分与实施例1相同,所述动态地址分配服务单元可以是配置动态主机设置协议(DHCP,Dynamic Host Configuration Protocol)的服务器或配置DHCP服务的路由器等等,而提供的一种显示网站已经通过认证的方法,步骤S102具体为:
S221、用户终端发送用户名和密码至动态地址分配服务单元,申请IP地址;
S222、所述动态地址分配服务单元指定IP地址,具体是动态地址分配服务单元从所述动态地址分配服务单元的因特网IP地址集合中分配IP地址;
S223、信息采集单元接收指定的IP地址和所述用户名,所述信息采集单元建立指定的IP地址和所述用户名的对应关系,并将用户名和指定的IP地址发送至身份服务器;
S224、身份服务器在身份数据库中存储所述用户名和指定的IP地址,步骤S102结束。
其余步骤与实施例1相同。
实施例3:本实施例的一种显示网站已经通过认证的系统,其中的IP地址分配单元为2G或2.5G或3G或4G无线通信接入网络的网关支持节点(GGSN),其余部分与实施例1相同。本实施例的一种显示网站已经通过认证的方法,步骤S102具体为:
S231、用户终端发送附着(Attach)请求至业务支持节点(SGSN);
S232、所述业务支持节点(SGSN)对用户终端进行身份验证,通过验证后,向用户终端发送附着(Attach)接受;
S233、用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN);
S234、所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN),指定IP地址具体是网关支持节点(GGSN)从所述网关支持节点(GGSN)的因特网IP地址集合中分配IP地址或者由网关支持节点(GGSN)连接的DHCP服务器分配IP地址;
S235、业务支持节点(SGSN)发送激活分组报文协议(PDP)上下文接受到用户终端;
S236、信息采集单元接收指定的IP地址和对应的国际移动用户识别号(IMSI),信息采集单元通过国际移动用户识别号(IMSI)获取对应的移动用户ISDN号码(MSISDN);
S237、信息采集单元建立移动用户ISDN号码(MSISDN)和指定的IP地址的对应关系,并将移动用户ISDN号码(MSISDN)和指定的IP地址发送至身份服务器;
S238、身份服务器在身份数据库中存储所述指定的IP地址和移动用户ISDN号码(MSISDN),至此步骤S102结束。
所述步骤S236信息采集单元获取移动用户ISDN号码(MSISDN)具体按下述方式进行:信令采集单元与网关支持节点单元(GGSN)和业务支持节点(SGSN)等网元连接,采集、存储和分析业务支持节点(SGSN)和网关支持节点单元(GGSN)的通信信令,获取国际移动用户识别码(IMSI)和指定IP地址的对应关系;信令采集单元连接HLR或者BOSS系统,查询和接收国际移动用户识别码(IMSI)对应的移动用户ISDN号码(MSISDN);信令采集单元建立移动用户ISDN号码(MSISDN)与IP地址的对应关系。
其中所述的信令采集单元获取国际移动用户识别码(IMSI)和指定IP地址的对应关系,具体按下述方式进行:
信令采集单元采集、存储和分析用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程的信令信息,所述采集的信令信息包括国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI,Network Service Access Point Identifier)等,并建立和存储网络服务区域点标识(NSAPI)、分组临时移动用户标识号(P-TMSI)和国际移动用户识别码(IMSI)之间的对应关系;信令采集单元采集、存储和分析业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程的信令信息,所述采集的的信令信息包括网络服务区域点标识(NSAPI)、静态PDP地址和动态PDP地址等信息,并建立和存储静态PDP或动态PDP地址与网络服务区域点标识(NSAPI)之间对应关系。国际移动用户识别码(IMSI)通过网络服务区域点标识(NSAPI),与静态PDP地址或动态PDP地址建立对应关系,而静态PDP或动态PDP地址是所述指定的IP地址,因此,国际移动用户识别码(IMSI)与指定的IP地址建立对应关系。
所述的用户终端与业务支持节点(SGSN)之间执行的附着(Attach)流程,可以按下述方式进行:用户终端在开始使用数据业务,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送国际移动用户识别码(IMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI,Packet Temporary Mobile Subscriber Identity);用户终端在使用数据业务过程中移动切换,与业务支持节点(SGSN)之间执行附着(Attach)流程时发送分组临时移动用户标识号(P-TMSI)和网络服务区域点标识(NSAPI)等参数,并接收业务支持节点(SGSN)返回的分组临时移动用户标识号(P-TMSI,Packet Temporary Mobile Subscriber Identity)。信息采集单元采集用户终端与业务支持节点(SGSN)之间的附着(Attach)流程的信令信息,并存储国际移动用户识别码(IMSI)、网络服务区域点标识(NSAPI)和最后返回的分组临时移动用户标识号(P-TMSI)的对应关系。
所述的业务支持节点(SGSN)与网关支持节点(GGSN)之间执行分组报文协议(PDP)上下文激活流程,可以按下述方式进行:用户终端发送激活分组报文协议(PDP)上下文请求到业务支持节点(SGSN),所述激活分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;业务支持节点(SGSN)发送建立分组报文协议(PDP)上下文请求到网关支持节点(GGSN),所述建立分组报文协议(PDP)上下文请求包括网络服务区域点标识(NSAPI)等参数;所述网关支持节点(GGSN)指定IP地址,并发送建立分组报文协议(PDP)上下文应答到业务支持节点(SGSN),其中建立分组报文协议(PDP)上下文应答的动态PDP地址参数即为指定IP地址。
其余步骤与实施例1相同。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
尽管本文较多地使用了用户身份信息、用户终端、身份服务器等术语,但并不排除使用其它术语的可能性。使用这些术语仅仅是为了更方便地描述和解释本发明的本质;把它们解释成任何一种附加的限制都是与本发明精神相违背的。