[发明专利]一种防钓鱼的方法

说明书

技术领域

本发明涉及一种新型的防钓鱼的方法,属于网络安全技术领域。

背景技术

目前，传统的防钓鱼方法在原理上采用的是黑名单机制，当钓鱼网站出现并被发现后，经过人工审核认为其确实是钓鱼网站则将其加入到黑名单，这个黑名单能够同步到安装在用户电脑上的客户端软件上或者存放在服务器端（或称为云端）。当客户端软件监控到用户有访问黑名单所列的网址时，通过某种方式来提醒用户其行为可能存在一定风险。

因此上述这种传统的防钓鱼方法是事后防范，只有在钓鱼网站出现以后才能被发现，从目前出现的钓鱼事件来看，往往在从出现到被发现这个过程中已经有大量的受害者了，即现有传统的防钓鱼方法具有明显的滞后性和不确定性。同时，由于对是否是钓鱼网站的确认工作是由提供保护软件的公司来主导完成的，尽管各方组成了反钓鱼联盟，但仍不可避免会出现遗漏、误判或人为故意等情况，因此给用户和运营商带来较大的损失。

发明内容

本发明的目的在于提供一种能够克服上述技术问题的新型的防钓鱼的方法，本发明包括：

本发明的新型的防钓鱼方法，是一种由真实运营方来主导进行的事前防范方法，客观上解决了现有传统的防钓鱼方法的滞后性和不确定性，在网站运营方的用户操作界面上，以显著的方式加入防钓鱼检查功能，当用户执行该防钓鱼检查后，在用户另一个与现有界面平台足够分离的、私有的物理介质上以安全的、难以伪造的方式显示通知信息，告知用户其当前使用的网站是真实正确的，而如果用户没有收到这样的通知信息则可明确判断其当前使用的是虚假的钓鱼界面。同时用户在这个物理介质上输入静态密码，之后物理介质上的软件以安全的方式将这个静态密码以及动态密码传送至后台系统，后台系统验证数据来源的可靠性和密码的准确性后，决定是否放行用户的操作行为。

本发明包括以下步骤：

（1）在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能，如果这个功能以辅助旁路的方式加入到现有流程中，往往会造成用户的忽视，难以养成用户使用防钓鱼检查功能的习惯，这样会降低防钓鱼的成功率；而如果这种防钓鱼检查功能是强制性的，则客观上提高了用户的安全意识和保护意识，从整体上提高了防钓鱼的成功率。

（2）显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离，如果在与用户当前操作的界面所在的同一系统上显示通知信息，则由于木马或恶意程序的影响，其通知信息往往会被劫持或伪造；假设用户的单一设备被侵入的概率为x，则两个设备被同时侵入的概率约等于为x²，木马或恶意程序侵入的可能性大大降低。

（3）通知信息的呈现要足够安全，信息呈现不能采用短信、彩信等方式，原因是此类方式只需要知道用户的手机号，而由于木马或恶意程序的存在，例如，钓鱼方能够将用户的电脑和手机联系起来，从而可以在用户用其电脑访问钓鱼网站时，向该用户的手机发送虚假的通知信息。

因此，本发明是采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息，这样能够大大降低木马或恶意程序侵入的可能性，通知信息以非对称的方式加密，公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息，在不知道私钥的情况下用公钥解密出来的将是人所不能识别的字符，从而达到了攻击方不能呈现通知信息的目的；同时公钥是存储在具有联网功能的手持终端设备上，私钥是存储在更安全的服务器上，两者均不通过网络进行传输，不能被中间人攻击，即便公钥被攻击方篡改，但由于公私钥的不匹配，因此木马或恶意程序也不能达到攻击的目的；同时在信息内容上加入动态密码实现一次一密码，避免了被木马或恶意程序重复攻击的可能性。

本发明的优点是能够对钓鱼网站进行提前防范，能够大大降低木马或恶意程序侵入的可能性，解决了现有传统的防钓鱼方法的滞后性和不确定性，从整体上提高了防钓鱼的成功率。

具体实施方式

下面结合实施例对本发明进行详细描述。本发明包括以下步骤：

（1）在网站运营方的用户操作界面上要引入明显的强制性的防钓鱼检查功能；

（2）显示通知信息的物理介质要与当前的用户访问网站的设备的系统物理架构隔离；

（3）通知信息的呈现要足够安全，信息呈现不能采用短信、彩信等方式；采用另一套专门为具有联网功能的手持终端设备独立开发的安全软件来呈现通知信息，通知信息以非对称的方式加密，公钥存储在具有联网功能的手持终端设备上并用其来解密用私钥加密后的通知信息，在信息内容上加入动态密码实现一次一密码，避免了被木马或恶意程序重复攻击的可能性。