CN102957703A - 一种新型的防钓鱼的方法 - Google Patents

一种新型的防钓鱼的方法 Download PDF

Info

Publication number
CN102957703A
CN102957703A CN2012104476179A CN201210447617A CN102957703A CN 102957703 A CN102957703 A CN 102957703A CN 2012104476179 A CN2012104476179 A CN 2012104476179A CN 201210447617 A CN201210447617 A CN 201210447617A CN 102957703 A CN102957703 A CN 102957703A
Authority
CN
China
Prior art keywords
fishing
user
phishing
website
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN2012104476179A
Other languages
English (en)
Other versions
CN102957703B (zh
Inventor
葛海龙
王黎明
陈易
左飞
周小猛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SHIDAI YIBAO (BEIJING) TECHNOLOGY Co Ltd
Original Assignee
SHIDAI YIBAO (BEIJING) TECHNOLOGY Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SHIDAI YIBAO (BEIJING) TECHNOLOGY Co Ltd filed Critical SHIDAI YIBAO (BEIJING) TECHNOLOGY Co Ltd
Priority to CN201210447617.9A priority Critical patent/CN102957703B/zh
Priority claimed from CN201210447617.9A external-priority patent/CN102957703B/zh
Publication of CN102957703A publication Critical patent/CN102957703A/zh
Application granted granted Critical
Publication of CN102957703B publication Critical patent/CN102957703B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Landscapes

  • Information Transfer Between Computers (AREA)

Abstract

本发明公开了一种新型的防钓鱼的方法,包括以下步骤:(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码;本发明的优点是能够对钓鱼网站进行提前防范,能够降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼的成功率。

Description

一种新型的防钓鱼的方法
技术领域
本发明涉及一种新型的防钓鱼的方法,属于网络安全技术领域。
背景技术
目前,传统的防钓鱼方法在原理上采用的是黑名单机制,当钓鱼网站出现并被发现后,经过人工审核认为其确实是钓鱼网站则将其加入到黑名单,这个黑名单能够同步到安装在用户电脑上的客户端软件上或者存放在服务器端(或称为云端)。当客户端软件监控到用户有访问黑名单所列的网址时,通过某种方式来提醒用户其行为可能存在一定风险。
因此上述这种传统的防钓鱼方法是事后防范,只有在钓鱼网站出现以后才能被发现,从目前出现的钓鱼事件来看,往往在从出现到被发现这个过程中已经有大量的受害者了,即现有传统的防钓鱼方法具有明显的滞后性和不确定性。同时,由于对是否是钓鱼网站的确认工作是由提供保护软件的公司来主导完成的,尽管各方组成了反钓鱼联盟,但仍不可避免会出现遗漏、误判或人为故意等情况,因此给用户和运营商带来较大的损失。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的新型的防钓鱼的方法,本发明包括:
本发明的新型的防钓鱼方法,是一种由真实运营方来主导进行的事前防范方法,客观上解决了现有传统的防钓鱼方法的滞后性和不确定性,在网站运营方的用户操作界面上,以显著的方式加入防钓鱼检查功能,当用户执行该防钓鱼检查后,在用户另一个与现有界面平台足够分离的、私有的物理介质上以安全的、难以伪造的方式显示通知信息,告知用户其当前使用的网站是真实正确的,而如果用户没有收到这样的通知信息则可明确判断其当前使用的是虚假的钓鱼界面。同时用户在这个物理介质上输入静态密码,之后物理介质上的软件以安全的方式将这个静态密码以及动态密码传送至后台系统,后台系统验证数据来源的可靠性和密码的准确性后,决定是否放行用户的操作行为。
本发明包括以下步骤:
(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能,如果这个功能以辅助旁路的方式加入到现有流程中,往往会造成用户的忽视,难以养成用户使用防钓鱼检查功能的习惯,这样会降低防钓鱼的成功率;而如果这种防钓鱼检查功能是强制性的,则客观上提高了用户的安全意识和保护意识,从整体上提高了防钓鱼的成功率。
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离,如果在与用户当前操作的界面所在的同一系统上显示通知信息,则由于木马或恶意程序的影响,其通知信息往往会被劫持或伪造;假设用户的单一设备被侵入的概率为x,则两个设备被同时侵入的概率约等于为x2,木马或恶意程序侵入的可能性大大降低。
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式,原因是此类方式只需要知道用户的手机号,而由于木马或恶意程序的存在,例如,钓鱼方能够将用户的电脑和手机联系起来,从而可以在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息。
因此,本发明是采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,这样能够大大降低木马或恶意程序侵入的可能性,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在不知道私钥的情况下用公钥解密出来的将是人所不能识别的字符,从而达到了攻击方不能呈现通知信息的目的;同时公钥是存储在具有联网功能的手持终端设备上,私钥是存储在更安全的服务器上,两者均不通过网络进行传输,不能被中间人攻击,即便公钥被攻击方篡改,但由于公私钥的不匹配,因此木马或恶意程序也不能达到攻击的目的;同时在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。
本发明的优点是能够对钓鱼网站进行提前防范,能够大大降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼的成功率。
具体实施方式
下面结合实施例对本发明进行详细描述。本发明包括以下步骤:
(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式;采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。
在本实施例中,例如,钓鱼网站一般是在用户使用电脑时,通过某种宣传方式将用户引入虚假的界面来盗取用户的账户信息,包括账户名、密码等,所以在官方网站只提供账号中的用户名输入界面,并在这个界面告诉用户如何下载并安装专门为本发明的方法所开发的手机端软件以及如何将这个软件绑定到用户账号和手机上。当用户在安装及绑定后,在网站上输入用户名并点击登录按钮后,以预先分配给该官方网站的私钥加密通知信息并传送给手机端软件,手机端软件收到通知信息后用存储在本地的公钥进行解密并提示用户输入密码。这个通知信息可以是静态的,也可以使用动态信息并由用户来比对显示在电脑端的信息和显示在手机端的信息是否相同。当用户阅读这个通知信息并输入密码后,将明文数据以及有时效性的动态密码经杂凑算法加密后仅将加密后的传送回系统服务端。系统服务端也以相同的方式加密原始数据并比对加密后的内容,相同则认为是正常用户成功登录,否则在网站页面上提示相应的错误原因。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。

Claims (2)

1.一种新型的防钓鱼的方法,其特征在于,包括以下步骤:
(1)在网站运营方的用户操作界面上引入明显的强制性的防钓鱼检查功能;
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式以防用户的手机号被木马或恶意程序窃取后钓鱼方将电脑和手机联系起来,从而能够在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息。
2.根据权利要求1所述的一种新型的防钓鱼的方法,其特征在于,所述步骤(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上,并用其来解密用私钥加密后的通知信息,同时在信息内容上加入动态密码实现一次一密码以防被木马或恶意程序重复攻击的可能性。
CN201210447617.9A 2012-11-09 一种防钓鱼的方法 Active CN102957703B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201210447617.9A CN102957703B (zh) 2012-11-09 一种防钓鱼的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201210447617.9A CN102957703B (zh) 2012-11-09 一种防钓鱼的方法

Publications (2)

Publication Number Publication Date
CN102957703A true CN102957703A (zh) 2013-03-06
CN102957703B CN102957703B (zh) 2016-11-30

Family

ID=

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577917A (zh) * 2009-06-16 2009-11-11 深圳市星龙基电子技术有限公司 一种安全的基于手机的动态密码验证方法
CN102082788A (zh) * 2010-12-15 2011-06-01 北京信安世纪科技有限公司 一种防止网络钓鱼的设备和系统
CN102448061A (zh) * 2011-11-18 2012-05-09 王黎明 一种基于移动终端防钓鱼攻击的方法和系统

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101577917A (zh) * 2009-06-16 2009-11-11 深圳市星龙基电子技术有限公司 一种安全的基于手机的动态密码验证方法
CN102082788A (zh) * 2010-12-15 2011-06-01 北京信安世纪科技有限公司 一种防止网络钓鱼的设备和系统
CN102448061A (zh) * 2011-11-18 2012-05-09 王黎明 一种基于移动终端防钓鱼攻击的方法和系统

Similar Documents

Publication Publication Date Title
US10277577B2 (en) Password-less authentication system and method
CN107294937B (zh) 基于网络通信的数据传输方法、客户端及服务器
US8677466B1 (en) Verification of digital certificates used for encrypted computer communications
TWI424726B (zh) 消除中間人電腦駭客技術之方法及系統
CN105162764A (zh) 一种ssh安全登录的双重认证方法、系统和装置
US20140208405A1 (en) Simplified and Safe User Authentication
CN107979467B (zh) 验证方法及装置
KR20150038157A (ko) 로그인 인증 방법 및 시스템
CN103825738A (zh) 一种登陆信息认证方法与设备
CN112987942B (zh) 键盘输入信息的方法、装置、系统、电子设备和存储介质
CN104717224A (zh) 一种登录方法及装置
CN101924635B (zh) 一种用户身份认证的方法及装置
US9734313B2 (en) Security mode prompt method and apparatus
US20170091483A1 (en) Method and Device for Protecting Address Book, and Communication System
GB2501069A (en) Authentication using coded images to derive an encrypted passcode
CN109726578B (zh) 一种动态二维码防伪解决办法
CA2793422C (en) Hypertext link verification in encrypted e-mail for mobile devices
CN110830507B (zh) 资源访问方法、装置、电子设备及系统
CN109379371B (zh) 证书验证方法、装置及系统
CA2706582C (en) Method and system for defeating the man in the middle computer hacking technique
CN114297597B (zh) 一种账户管理方法、系统、设备及计算机可读存储介质
CN106961417B (zh) 基于密文的身份验证方法
CN106878233A (zh) 安全数据的读取方法、安全服务器、终端及系统
CN102957703A (zh) 一种新型的防钓鱼的方法
CN105871788B (zh) 一种登录服务器的密码生成方法及装置

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Address after: 100142 East 9A, Hui Hui building, No. 158 West Fourth Ring Road, Beijing, Haidian District

Applicant after: Beijing Yuanjian Technologies Co.,Ltd.

Address before: 100195, No. 1, building 65, apricot Road, Haidian District, Beijing

Applicant before: Shidai Yibao (Beijing) Technology Co., Ltd.

COR Change of bibliographic data
C14 Grant of patent or utility model
GR01 Patent grant