CN102957703B - 一种防钓鱼的方法 - Google Patents
一种防钓鱼的方法 Download PDFInfo
- Publication number
- CN102957703B CN102957703B CN201210447617.9A CN201210447617A CN102957703B CN 102957703 B CN102957703 B CN 102957703B CN 201210447617 A CN201210447617 A CN 201210447617A CN 102957703 B CN102957703 B CN 102957703B
- Authority
- CN
- China
- Prior art keywords
- user
- announcement information
- fishing
- information
- website
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000003068 static Effects 0.000 claims description 4
- 230000000875 corresponding Effects 0.000 claims description 2
- 238000007689 inspection Methods 0.000 claims description 2
- 230000005540 biological transmission Effects 0.000 claims 1
- 230000037250 Clearance Effects 0.000 description 1
- 230000035512 clearance Effects 0.000 description 1
- 230000023298 conjugation with cellular fusion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000013011 mating Effects 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000001681 protective Effects 0.000 description 1
- 230000001360 synchronised Effects 0.000 description 1
- 230000021037 unidirectional conjugation Effects 0.000 description 1
Abstract
本发明公开了一种新型的防钓鱼的方法,包括以下步骤:(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码;本发明的优点是能够对钓鱼网站进行提前防范,能够降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼的成功率。
Description
技术领域
本发明涉及一种防钓鱼的方法,属于网络安全技术领域。
背景技术
目前,传统的防钓鱼方法在原理上采用的是黑名单机制,当钓鱼网站出现并被发现后,经过人工审核认为其确实是钓鱼网站则将其加入到黑名单,这个黑名单能够同步到安装在用户电脑上的客户端软件上或者存放在服务器端(或称为云端)。当客户端软件监控到用户有访问黑名单所列的网址时,通过某种方式来提醒用户其行为可能存在一定风险。
因此上述这种传统的防钓鱼方法是事后防范,只有在钓鱼网站出现以后才能被发现,从目前出现的钓鱼事件来看,往往在从出现到被发现这个过程中已经有大量的受害者了,即现有传统的防钓鱼方法具有明显的滞后性和不确定性。同时,由于对是否是钓鱼网站的确认工作是由提供保护软件的公司来主导完成的,尽管各方组成了反钓鱼联盟,但仍不可避免会出现遗漏、误判或人为故意等情况,因此给用户和运营商带来较大的损失。
发明内容
本发明的目的在于提供一种能够克服上述技术问题的防钓鱼的方法,本发明包括:
本发明的防钓鱼方法,是一种由真实运营方来主导进行的事前防范方法,客观上解决了现有传统的防钓鱼方法的滞后性和不确定性,在网站运营方的用户操作界面上,以显著的方式加入防钓鱼检查功能,当用户执行该防钓鱼检查后,在用户另一个与现有界面平台足够分离的、私有的物理介质上以安全的、难以伪造的方式显示通知信息,告知用户其当前使用的网站是真实正确的,而如果用户没有收到这样的通知信息则可明确判断其当前使用的是虚假的钓鱼界面。同时用户在这个物理介质上输入静态密码,之后物理介质上的软件以安全的方式将这个静态密码以及动态密码传送至后台系统,后台系统验证数据来源的可靠性和密码的准确性后,决定是否放行用户的操作行为。
本发明包括以下步骤:
(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能,如果这个功能以辅助旁路的方式加入到现有流程中,往往会造成用户的忽视,难以养成用户使用防钓鱼检查功能的习惯,这样会降低防钓鱼的成功率;而如果这种防钓鱼检查功能是强制性的,则客观上提高了用户的安全意识和保护意识,从整体上提高了防钓鱼的成功率。
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离,如果在与用户当前操作的界面所在的同一系统上显示通知信息,则由于木马或恶意程序的影响,其通知信息往往会被劫持或伪造;假设用户的单一设备被侵入的概率为x,则两个设备被同时侵入的概率约等于为x2,木马或恶意程序侵入的可能性大大降低。
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式,原因是此类方式只需要知道用户的手机号,而由于木马或恶意程序的存在,例如,钓鱼方能够将用户的电脑和手机联系起来,从而可以在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息。
因此,本发明是采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,这样能够大大降低木马或恶意程序侵入的可能性,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在不知道私钥的情况下用公钥解密出来的将是人所不能识别的字符,从而达到了攻击方不能呈现通知信息的目的;同时公钥是存储在具有联网功能的手持终端设备上,私钥是存储在更安全的服务器上,两者均不通过网络进行传输,不能被中间人攻击,即便公钥被攻击方篡改,但由于公私钥的不匹配,因此木马或恶意程序也不能达到攻击的目的;同时在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。
本发明的优点是能够对钓鱼网站进行提前防范,能够大大降低木马或恶意程序侵入的可能性,解决了现有传统的防钓鱼方法的滞后性和不确定性,从整体上提高了防钓鱼的成功率。
具体实施方式
下面结合实施例对本发明进行详细描述。本发明包括以下步骤:
(1)在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能;
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信等方式;采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息,在信息内容上加入动态密码实现一次一密码,避免了被木马或恶意程序重复攻击的可能性。
在本实施例中,例如,钓鱼网站一般是在用户使用电脑时,通过某种宣传方式将用户引入虚假的界面来盗取用户的账户信息,包括账户名、密码等,所以在官方网站只提供账号中的用户名输入界面,并在这个界面告诉用户如何下载并安装专门为本发明的方法所开发的手机端软件以及如何将这个软件绑定到用户账号和手机上。当用户在安装及绑定后,在网站上输入用户名并点击登录按钮后,以预先分配给该官方网站的私钥加密通知信息并传送给手机端软件,手机端软件收到通知信息后用存储在本地的公钥进行解密并提示用户输入密码。这个通知信息可以是静态的,也可以使用动态信息并由用户来比对显示在电脑端的信息和显示在手机端的信息是否相同。当用户阅读这个通知信息并输入密码后,将明文数据以及有时效性的动态密码经杂凑算法加密后仅将加密后的传送回系统服务端。系统服务端也以相同的方式加密原始数据并比对加密后的内容,相同则认为是正常用户成功登录,否则在网站页面上提示相应的错误原因。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明公开的范围内,能够轻易想到的变化或替换,都应涵盖在本发明权利要求的保护范围内。
Claims (1)
1.一种防钓鱼的方法,其特征在于,包括以下步骤:
(1)在网站运营方的用户操作界面上引入强制性的防钓鱼检查功能;
(2)显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离;
(3)通知信息的呈现要足够安全,信息呈现不能采用短信、彩信方式以防用户的手机号被木马或恶意程序窃取后钓鱼方将电脑和手机联系起来,从而能够在用户用其电脑访问钓鱼网站时,向该用户的手机发送虚假的通知信息;所述步骤(3)采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息,通知信息以非对称的方式加密,公钥存储在具有联网功能的手持终端设备上,并用其来解密用私钥加密后的通知信息,同时在信息内容上加入动态密码实现一次一密码以防被木马或恶意程序重复攻击的可能性;
在网站运营方的用户操作界面上,加入防钓鱼检查功能,当用户执行该防钓鱼检查后,在用户另一个与现有界面平台足够分离的、私有的物理介质上以安全的、防止伪造的方式显示通知信息,告知用户其当前使用的网站是真实正确的,而如果用户没有收到这样的通知信息则可明确判断其当前使用的是虚假的钓鱼界面;所述安全的、防止伪造的方式包括以下步骤:当用户在安装及绑定后,在网站上输入用户名并点击登录按钮后,以预先分配给官方网站的私钥加密通知信息并传送给手机端软件,手机端软件收到通知信息后用存储在本地的公钥进行解密并提示用户输入密码,这个通知信息可以是静态的,也可以使用动态信息并由用户来比对显示在电脑端的信息和显示在手机端的信息是否相同,当用户阅读这个通知信息并输入密码后,将明文数据以及有时效性的动态密码经杂凑算法加密后仅将加密后的内容传送回系统服务端,系统服务端也以相同的方式加密原始数据并比对加密后的内容,相同则认为是正常用户成功登录,否则在网站页面上提示相应的错误原因。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210447617.9A CN102957703B (zh) | 2012-11-09 | 一种防钓鱼的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201210447617.9A CN102957703B (zh) | 2012-11-09 | 一种防钓鱼的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN102957703A CN102957703A (zh) | 2013-03-06 |
CN102957703B true CN102957703B (zh) | 2016-11-30 |
Family
ID=
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101577917A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种安全的基于手机的动态密码验证方法 |
CN102082788A (zh) * | 2010-12-15 | 2011-06-01 | 北京信安世纪科技有限公司 | 一种防止网络钓鱼的设备和系统 |
CN102448061A (zh) * | 2011-11-18 | 2012-05-09 | 王黎明 | 一种基于移动终端防钓鱼攻击的方法和系统 |
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101577917A (zh) * | 2009-06-16 | 2009-11-11 | 深圳市星龙基电子技术有限公司 | 一种安全的基于手机的动态密码验证方法 |
CN102082788A (zh) * | 2010-12-15 | 2011-06-01 | 北京信安世纪科技有限公司 | 一种防止网络钓鱼的设备和系统 |
CN102448061A (zh) * | 2011-11-18 | 2012-05-09 | 王黎明 | 一种基于移动终端防钓鱼攻击的方法和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103685282B (zh) | 一种基于单点登录的身份认证方法 | |
CN107294937B (zh) | 基于网络通信的数据传输方法、客户端及服务器 | |
CN101051904B (zh) | 一种保护网络应用程序使用账号密码进行登录的方法 | |
CN109417553A (zh) | 经由内部网络监视来检测使用泄漏证书的攻击 | |
CN106656476A (zh) | 一种密码保护方法及装置 | |
TWI424726B (zh) | 消除中間人電腦駭客技術之方法及系統 | |
CA2894091A1 (en) | Password-less authentication system and method | |
CN107209830A (zh) | 用于识别并抵抗网络攻击的方法 | |
US20130103944A1 (en) | Hypertext Link Verification In Encrypted E-Mail For Mobile Devices | |
CN112784250B (zh) | 身份认证方法、客户端、服务器及存储介质 | |
CN105099676A (zh) | 一种用户登录方法、用户终端及服务器 | |
KR20130131682A (ko) | 웹 서비스 사용자 인증 방법 | |
CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
CN106453361A (zh) | 一种网络信息的安全保护方法及系统 | |
CN103327034A (zh) | 安全登录方法、系统和装置 | |
CN103108028A (zh) | 一种具有安全架构的云计算处理系统 | |
CN112749182B (zh) | 代理访问Oracle数据库的方法、审计终端、装置及计算机可读存储介质 | |
CN109726578B (zh) | 一种动态二维码防伪解决办法 | |
CN104811451A (zh) | 登陆链接方法及系统 | |
CN105591746B (zh) | 一种在线绑定受理终端的处理方法以及处理系统 | |
CA2793422C (en) | Hypertext link verification in encrypted e-mail for mobile devices | |
CN112865965A (zh) | 一种基于量子密钥的列车业务数据处理方法及系统 | |
CN109218026A (zh) | 在服务终端系统和帮助台系统之间执行授权机制的方法和系统 | |
CN105812124A (zh) | 密码生成方法和密码验证方法 | |
WO2014136665A1 (ja) | 通信システム、クライアント端末、サーバ、データ通信方法及びデータ通信プログラム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: 100142 East 9A, Hui Hui building, No. 158 West Fourth Ring Road, Beijing, Haidian District Applicant after: Beijing Yuanjian Technologies Co.,Ltd. Address before: 100195, No. 1, building 65, apricot Road, Haidian District, Beijing Applicant before: Shidai Yibao (Beijing) Technology Co., Ltd. |
|
GR01 | Patent grant |