[发明专利]一种安全支付的系统及方法

说明书

技术领域

本申请涉及一种网络上数据处理领域，尤其涉及一种在网上进行安全支付的方法及系统。

背景技术

网络技术和计算机技术的发展使得信息处理无处不在。网络和电信技术的发展也使信息处理不断网络化。当今，海量内容和服务可通过相互连接的公共和/或专用网络来获得。人们通过网络来改善生活和给工作带来便利，比如进行网上支付、资金转移等金融活动。但是，这种信息处理无处不在的方便性也已导致诸如拒绝服务攻击、病毒、垃圾信息和网络钓鱼等的泛滥。其中钓鱼诈骗是一种非常普遍的网上诈骗方式，这样的诈骗方式往往会带给用户经济上的损失。

在典型的网络钓鱼诈骗中，诱使终端用户将他们的账户名和口令等输入貌似合法网站的网站。攻击者获得该些信息，进行非法的活动。为了防止这一类的网上诈骗活动，在申请号为200810210117.7和申请号为200580049325.8的专利申请中公开了防网络钓鱼的相似的方法，即网络钓鱼通知服务方法：获得新确定的网络钓鱼对应的站点识别符，比较新的网络钓鱼站点识别符与在过去本客户端向其提供过钓鱼网站的站点识别符，在确定该新的网络钓鱼站点识别符中的至少一者与所述站点识别符中的至少一者匹配之后，提供在过去曾对用户成功地施以网络钓鱼的网络钓鱼通知。也就是说，在客户端设置一钓鱼站点记忆器，该钓鱼站点记忆器保存有网络钓鱼的站点识别符，所述站点识别符主要是包括站点的URL或IP地址，后续访问网站时，先比较欲访问的网站和钓鱼站点记忆器中的站点识别符信息，若相同，则禁止访问，以此来达到用户所在的客户端尽量少访问钓鱼网站。

但是上述公开的方法，并不能阻止“动态代理”的攻击，信息简单地通过中间服务器，在客户端及银行或服务提供商之间双向地传递信息。对于银行或服务提供商来说，其好像直接连接至客户端，对于用户来说，好像直接连接合法的网站，但是通过中间服务器可以做不利于用户的事情。比如，用户注销对账户操作时，而中间服务器未在银行或服务提供商上进行注销，直接进行转账等操作。

约维申有限公司在2007年10月25日申请的PCT/US2007/082553中，公开了一种用于检测和防止中间人网络钓鱼攻击的方法，包括：防止诈骗服务器处从客户端接收设备特定信息，并向设备特定信息附加互联网协议(IP)地址和/或时间戳中的至少一项，以及将附加后的设备特定信息转发回客户端，以提供给网络服务器，由网络服务器使用，以便于通过IP地址和/或时间戳中至少一项，对客户端进行识别。

通过其公开的实例可知，预先在客户端增设一控制软件，用于接收并保存设备特定信息。在客户端向网络服务器要求提供对应的服务和/内容时，需通过设备特定信息使网络服务器能够对客户端进行识别操作。为了提高安全性，该控制软件向网络服务器提供设备特定信息时需要进行加密工作。

上述的专利提案在理论上能够实现检测和防止中间人网络钓鱼攻击的效果，但是，在实现过程中，还是存在以下的问题：

首先，为了实现检测和防止中间人网络钓鱼攻击的目的，需要在每一客户端上装设相应控制软件，在实际操作过程中，并不是所有的用户都愿意在本端装设该控制软件的，也就是说，不装设该控制软件的客户端上是不能起到检测和防止中间人网络钓鱼的效果的，通常情况下，网络服务器上需要设置两套处理流程，一套是针对装设有控制软件的客户端，另一套是针对没有装设有控制软件的客户端，由此降低网络服务器的处理效率。

其次，整个验证的过程，需要完成的步骤复杂，至少需要以下步骤：首先，需要在客户端装设有对应控制软件；其次，客户端需要将本端的设备特定信息发送至防止诈骗服务器；随后，防止诈骗服务器将其进行加密等处理后又将该些设备特定信息转发至对应的客户端；再后，需检测时，网络服务器需要对客户端的设备特定信息进行验证，并且，网络服务器需要和防止诈骗服务器进行客户端的设备特定信息的资料交互。整个验证过程，非常复杂，占用很多的网络资源及网络服务器的资源，并且实施性比较差。

再次，为了实现检测和防止中间人网络钓鱼攻击的目的，还需要增设一防止诈骗服务器这一硬件，提高成本。若将该防止诈骗服务器集成在当前的网络服务器上，更降低网络服务器的处理效率。

最后，该检测和防止中间人网络钓鱼攻击的实现方式，是针对客户端来设置对应的处理流程。事实上，很多用户会选择多个客户端来登录网络服务器，或者是一个客户端可能存在多个用户来使用。现有的这种处理模式，不适合上述的这两种情况，存在使用受限的缺陷。