本發(fā)明專利技術(shù)公開了一種新型的防釣魚的方法,包括以下步驟:(1)在網(wǎng)站運(yùn)營方的用戶操作界面上要引入明顯的強(qiáng)制性的防釣魚檢查功能;(2)顯示通知信息的物理介質(zhì)要與當(dāng)前的用戶訪問網(wǎng)站的設(shè)備的系統(tǒng)物理架構(gòu)隔離;(3)采用另一套專門為具有聯(lián)網(wǎng)功能的手持終端設(shè)備獨(dú)立開發(fā)的安全軟件來呈現(xiàn)通知信息,通知信息以非對(duì)稱的方式加密,公鑰存儲(chǔ)在具有聯(lián)網(wǎng)功能的手持終端設(shè)備上并用其來解密用私鑰加密后的通知信息,在信息內(nèi)容上加入動(dòng)態(tài)密碼實(shí)現(xiàn)一次一密碼;本發(fā)明專利技術(shù)的優(yōu)點(diǎn)是能夠?qū)︶烎~網(wǎng)站進(jìn)行提前防范,能夠降低木馬或惡意程序侵入的可能性,解決了現(xiàn)有傳統(tǒng)的防釣魚方法的滯后性和不確定性,從整體上提高了防釣魚的成功率。
【技術(shù)實(shí)現(xiàn)步驟摘要】
本專利技術(shù)涉及一種新型的防釣魚的方法,屬于網(wǎng)絡(luò)安全
技術(shù)介紹
目前,傳統(tǒng)的防釣魚方法在原理上采用的是黑名單機(jī)制,當(dāng)釣魚網(wǎng)站出現(xiàn)并被發(fā)現(xiàn)后,經(jīng)過人工審核認(rèn)為其確實(shí)是釣魚網(wǎng)站則將其加入到黑名單,這個(gè)黑名單能夠同步到安裝在用戶電腦上的客戶端軟件上或者存放在服務(wù)器端(或稱為云端)。當(dāng)客戶端軟件監(jiān)控到用戶有訪問黑名單所列的網(wǎng)址時(shí),通過某種方式來提醒用戶其行為可能存在一定風(fēng)險(xiǎn)。因此上述這種傳統(tǒng)的防釣魚方法是事后防范,只有在釣魚網(wǎng)站出現(xiàn)以后才能被發(fā)現(xiàn),從目前出現(xiàn)的釣魚事件來看,往往在從出現(xiàn)到被發(fā)現(xiàn)這個(gè)過程中已經(jīng)有大量的受害者了,即現(xiàn)有傳統(tǒng)的防釣魚方法具有明顯的滯后性和不確定性。同時(shí),由于對(duì)是否是釣魚網(wǎng)站的確認(rèn)工作是由提供保護(hù)軟件的公司來主導(dǎo)完成的,盡管各方組成了反釣魚聯(lián)盟,但仍不可避免會(huì)出現(xiàn)遺漏、誤判或人為故意等情況,因此給用戶和運(yùn)營商帶來較大的損失。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)的目的在于提供一種能夠克服上述技術(shù)問題的新型的防釣魚的方法,本專利技術(shù)包括:本專利技術(shù)的新型的防釣魚方法,是一種由真實(shí)運(yùn)營方來主導(dǎo)進(jìn)行的事前防范方法,客觀上解決了現(xiàn)有傳統(tǒng)的防釣魚方法的滯后性和不確定性,在網(wǎng)站運(yùn)營方的用戶操作界面上,以顯著的方式加入防釣魚檢查功能,當(dāng)用戶執(zhí)行該防釣魚檢查后,在用戶另一個(gè)與現(xiàn)有界面平臺(tái)足夠分離的、私有的物理介質(zhì)上以安全的、難以偽造的方式顯示通知信息,告知用戶其當(dāng)前使用的網(wǎng)站是真實(shí)正確的,而如果用戶沒有收到這樣的通知信息則可明確判斷其當(dāng)前使用的是虛假的釣魚界面。同時(shí)用戶在這個(gè)物理介質(zhì)上輸入靜態(tài)密碼,之后物理介質(zhì)上的軟件以安全的方式將這個(gè)靜態(tài)密碼以及動(dòng)態(tài)密碼傳送至后臺(tái)系統(tǒng),后臺(tái)系統(tǒng)驗(yàn)證數(shù)據(jù)來源的可靠性和密碼的準(zhǔn)確性后,決定是否放行用戶的操作行為。本專利技術(shù)包括以下步驟:(1)在網(wǎng)站運(yùn)營方的用戶操作界面上要引入明顯的強(qiáng)制性的防釣魚檢查功能,如果這個(gè)功能以輔助旁路的方式加入到現(xiàn)有流程中,往往會(huì)造成用戶的忽視,難以養(yǎng)成用戶使用防釣魚檢查功能的習(xí)慣,這樣會(huì)降低防釣魚的成功率;而如果這種防釣魚檢查功能是強(qiáng)制性的,則客觀上提高了用戶的安全意識(shí)和保護(hù)意識(shí),從整體上提高了防釣魚的成功率。(2)顯示通知信息的物理介質(zhì)要與當(dāng)前的用戶訪問網(wǎng)站的設(shè)備的系統(tǒng)物理架構(gòu)隔離,如果在與用戶當(dāng)前操作的界面所在的同一系統(tǒng)上顯示通知信息,則由于木馬或惡意程序的影響,其通知信息往往會(huì)被劫持或偽造;假設(shè)用戶的單一設(shè)備被侵入的概率為x,則兩個(gè)設(shè)備被同時(shí)侵入的概率約等于為x2,木馬或惡意程序侵入的可能性大大降低。(3)通知信息的呈現(xiàn)要足夠安全,信息呈現(xiàn)不能采用短信、彩信等方式,原因是此類方式只需要知道用戶的手機(jī)號(hào),而由于木馬或惡意程序的存在,例如,釣魚方能夠?qū)⒂脩舻碾娔X和手機(jī)聯(lián)系起來,從而可以在用戶用其電腦訪問釣魚網(wǎng)站時(shí),向該用戶的手機(jī)發(fā)送虛假的通知信息。因此,本專利技術(shù)是采用另一套專門為具有聯(lián)網(wǎng)功能的手持終端設(shè)備獨(dú)立開發(fā)的安全軟件來呈現(xiàn)通知信息,這樣能夠大大降低木馬或惡意程序侵入的可能性,通知信息以非對(duì)稱的方式加密,公鑰存儲(chǔ)在具有聯(lián)網(wǎng)功能的手持終端設(shè)備上并用其來解密用私鑰加密后的通知信息,在不知道私鑰的情況下用公鑰解密出來的將是人所不能識(shí)別的字符,從而達(dá)到了攻擊方不能呈現(xiàn)通知信息的目的;同時(shí)公鑰是存儲(chǔ)在具有聯(lián)網(wǎng)功能的手持終端設(shè)備上,私鑰是存儲(chǔ)在更安全的服務(wù)器上,兩者均不通過網(wǎng)絡(luò)進(jìn)行傳輸,不能被中間人攻擊,即便公鑰被攻擊方篡改,但由于公私鑰的不匹配,因此木馬或惡意程序也不能達(dá)到攻擊的目的;同時(shí)在信息內(nèi)容上加入動(dòng)態(tài)密碼實(shí)現(xiàn)一次一密碼,避免了被木馬或惡意程序重復(fù)攻擊的可能性。本專利技術(shù)的優(yōu)點(diǎn)是能夠?qū)︶烎~網(wǎng)站進(jìn)行提前防范,能夠大大降低木馬或惡意程序侵入的可能性,解決了現(xiàn)有傳統(tǒng)的防釣魚方法的滯后性和不確定性,從整體上提高了防釣魚的成功率。具體實(shí)施方式下面結(jié)合實(shí)施例對(duì)本專利技術(shù)進(jìn)行詳細(xì)描述。本專利技術(shù)包括以下步驟:(1)在網(wǎng)站運(yùn)營方的用戶操作界面上要引入明顯的強(qiáng)制性的防釣魚檢查功能;(2)顯示通知信息的物理介質(zhì)要與當(dāng)前的用戶訪問網(wǎng)站的設(shè)備的系統(tǒng)物理架構(gòu)隔離;(3)通知信息的呈現(xiàn)要足夠安全,信息呈現(xiàn)不能采用短信、彩信等方式;采用另一套專門為具有聯(lián)網(wǎng)功能的手持終端設(shè)備獨(dú)立開發(fā)的安全軟件來呈現(xiàn)通知信息,通知信息以非對(duì)稱的方式加密,公鑰存儲(chǔ)在具有聯(lián)網(wǎng)功能的手持終端設(shè)備上并用其來解密用私鑰加密后的通知信息,在信息內(nèi)容上加入動(dòng)態(tài)密碼實(shí)現(xiàn)一次一密碼,避免了被木馬或惡意程序重復(fù)攻擊的可能性。在本實(shí)施例中,例如,釣魚網(wǎng)站一般是在用戶使用電腦時(shí),通過某種宣傳方式將用戶引入虛假的界面來盜取用戶的賬戶信息,包括賬戶名、密碼等,所以在官方網(wǎng)站只提供賬號(hào)中的用戶名輸入界面,并在這個(gè)界面告訴用戶如何下載并安裝專門為本專利技術(shù)的方法所開發(fā)的手機(jī)端軟件以及如何將這個(gè)軟件綁定到用戶賬號(hào)和手機(jī)上。當(dāng)用戶在安裝及綁定后,在網(wǎng)站上輸入用戶名并點(diǎn)擊登錄按鈕后,以預(yù)先分配給該官方網(wǎng)站的私鑰加密通知信息并傳送給手機(jī)端軟件,手機(jī)端軟件收到通知信息后用存儲(chǔ)在本地的公鑰進(jìn)行解密并提示用戶輸入密碼。這個(gè)通知信息可以是靜態(tài)的,也可以使用動(dòng)態(tài)信息并由用戶來比對(duì)顯示在電腦端的信息和顯示在手機(jī)端的信息是否相同。當(dāng)用戶閱讀這個(gè)通知信息并輸入密碼后,將明文數(shù)據(jù)以及有時(shí)效性的動(dòng)態(tài)密碼經(jīng)雜湊算法加密后僅將加密后的傳送回系統(tǒng)服務(wù)端。系統(tǒng)服務(wù)端也以相同的方式加密原始數(shù)據(jù)并比對(duì)加密后的內(nèi)容,相同則認(rèn)為是正常用戶成功登錄,否則在網(wǎng)站頁面上提示相應(yīng)的錯(cuò)誤原因。以上所述,僅為本專利技術(shù)的具體實(shí)施方式,但本專利技術(shù)的保護(hù)范圍并不局限于此,任何熟悉本
的技術(shù)人員在本專利技術(shù)公開的范圍內(nèi),能夠輕易想到的變化或替換,都應(yīng)涵蓋在本專利技術(shù)權(quán)利要求的保護(hù)范圍內(nèi)。本文檔來自技高網(wǎng)...
【技術(shù)保護(hù)點(diǎn)】
一種新型的防釣魚的方法,其特征在于,包括以下步驟:(1)在網(wǎng)站運(yùn)營方的用戶操作界面上引入明顯的強(qiáng)制性的防釣魚檢查功能;(2)顯示通知信息的物理介質(zhì)要與當(dāng)前的用戶訪問網(wǎng)站的設(shè)備的系統(tǒng)物理架構(gòu)隔離;(3)通知信息的呈現(xiàn)要足夠安全,信息呈現(xiàn)不能采用短信、彩信等方式以防用戶的手機(jī)號(hào)被木馬或惡意程序竊取后釣魚方將電腦和手機(jī)聯(lián)系起來,從而能夠在用戶用其電腦訪問釣魚網(wǎng)站時(shí),向該用戶的手機(jī)發(fā)送虛假的通知信息。
【技術(shù)特征摘要】
1.一種新型的防釣魚的方法,其特征在于,包括以下步驟:
(1)在網(wǎng)站運(yùn)營方的用戶操作界面上引入明顯的強(qiáng)制性的防釣魚檢查功能;
(2)顯示通知信息的物理介質(zhì)要與當(dāng)前的用戶訪問網(wǎng)站的設(shè)備的系統(tǒng)物理架構(gòu)隔離;
(3)通知信息的呈現(xiàn)要足夠安全,信息呈現(xiàn)不能采用短信、彩信等方式以防用戶的
手機(jī)號(hào)被木馬或惡意程序竊取后釣魚方將電腦和手機(jī)聯(lián)系起來,從而能夠在用戶用其電
腦訪問釣魚網(wǎng)站時(shí),向該...
【專利技術(shù)屬性】
技術(shù)研發(fā)人員:葛海龍,王黎明,陳易,左飛,周小猛,
申請(qǐng)(專利權(quán))人:時(shí)代億寶北京科技有限公司,
類型:發(fā)明
國別省市:
還沒有人留言評(píng)論。發(fā)表了對(duì)其他瀏覽者有用的留言會(huì)獲得科技券。