伪网站的识别方法和系统转让专利
申请号 : CN200910084761.9
文献号 : CN101552674B
文献日 : 2011-09-07
发明人 : 不公告发明人
申请人 : 中国民生银行股份有限公司
摘要 :
本发明公开了一种伪网站的识别方法和系统,该方法包括浏览器进程获取用户认证信息,并将用户认证信息发送给网站服务器,网站服务器根据用户认证信息向浏览器进程返回防伪信息;浏览器进程对防伪信息进行显示处理。该系统包括浏览器进程处理模块,用于获取用户认证信息,并在接收到防伪信息时对防伪信息进行显示处理;网站服务器模块,用于接收浏览器进程处理模块发送的用户认证信息,根据用户认证信息查询获取相应的防伪信息并将防伪信息返回给浏览器进程处理模块。本发明使得用户能够方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
权利要求 :
1.一种伪网站的识别方法,其特征在于,包括:
浏览器进程实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器;
所述网站服务器接收到所述字符串后,对接收下一个字符串的间隔时间进行计时,当判断所述间隔时间大于预设间隔时间时,将当前接收的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与当前接收的字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;或者,所述网站服务器接收到字符串后,对字符串的结尾字符进行判断,在判断所述结尾字符为输入完成标识时将所述结尾字符前的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与所述结尾字符前的字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;
所述浏览器进程对所述防伪信息进行显示处理。
2.根据权利要求1所述的伪网站的识别方法,其特征在于,所述浏览器进程对所述防伪信息进行显示处理具体为:所述浏览器进程将所述防伪信息显示在输入所述用户认证信息的网页上或所述浏览器进程生成新网页,并将所述防伪信息显示在所述新网页上。
3.根据权利要求1所述的伪网站的识别方法,其特征在于,所述用户认证信息为登陆用户名信息。
4.根据权利要求1~3中任一权利要求所述的伪网站的识别方法,其特征在于,所述防伪信息具体为用户预存的照片信息或私密信息。
5.一种伪网站的识别系统,其特征在于,包括:
浏览器进程处理模块,用于实时读取网页上用于输入用户认证信息的编辑框中的字符串,并在接收到防伪信息时对所述防伪信息进行显示处理;
网站服务器模块,用于接收所述浏览器进程处理模块发送的字符串,对接收下一个字符串的间隔时间进行计时,当判断所述间隔时间大于预设间隔时间时,将当前接收的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与当前接收的字符串相匹配的防伪信息,则向浏览器进程处理模块返回该防伪信息;或者,对当前接收的字符串的结尾字符进行判断,在判断所述结尾字符为输入完成标识时将所述结尾字符前的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与所述结尾字符前的字符串相匹配的防伪信息,则向浏览器进程处理模块返回该防伪信息。
6.根据权利要求5所述的伪网站的识别系统,其特征在于,所述浏览器进程处理模块包括认证信息获取单元和显示单元,所述认证信息获取单元,用于实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取的字符串发送给所述网站服务器模块;
所述显示单元,用于接收所述网站服务器模块返回的所述防伪信息并对所述防伪信息进行显示处理。
7.根据权利要求6所述的伪网站的识别系统,其特征在于,所述网站服务器模块包括查询匹配单元和用户注册信息数据库单元,所述查询匹配单元用于根据接收到的字符串和判断规则确定用户认证信息,根据所述用户认证信息从所述用户注册信息数据库单元中获取匹配的防伪信息,并将所述防伪信息发送给所述显示单元;
用户注册信息数据库单元,用于存储所述防伪信息。
说明书 :
伪网站的识别方法和系统
技术领域
[0001] 本发明涉及能够防御伪网站的网站防伪方法和系统,尤其涉及能够有效保护网站用户信息的伪网站的识别方法和系统,属于网络安全领域。
背景技术
[0002] 随着网络技术以及电子商务的快速发展,黑客攻击、病毒和木马程序大肆泛滥,网络的安全性正在日益受到挑战。其中,虚假银行网站作为一种主要的网络钓鱼方法,屡屡成功地骗得用户的真实密码,对银行客户造成了很大损失,对银行声誉也造成不利影响,也成为社会不安定因素之一。
[0003] 所谓伪网站即为一种外观与真实网站类似,其域名也设置得近似于真实网站的虚假网站,用于盗取网站的真实登录信息(通常包括用户号和密码)。真实用户如果在伪网站进行登录,则伪网站将会记录下客户的登录信息,并提示客户一个合理的错误信息。目前的伪网站大多以网上银行等提供金融服务的网站为攻击目标,犯罪分子在获得用户的真实登陆信息后,就可利用客户的登录信息以客户的身份进入真实网站,实施对客户不利的行为,例如,将客户的资金转出或用客户的账户进行网上购物。
[0004] 国内各家银行的个人网上银行大多采用了说服教育、区分不同版本、对只有数字证书版的个人网上银行才提供转账等手段防御伪网站的攻击。虽然犯罪分子很难进入需要数字证书才能登录的个人专业版,但即使能够登录大众版进行查询,也违背了银行为客户保密的承诺,个别银行由于各业务之间的组合流程存在逻辑漏洞,客户小额资金被盗用的报道也时有发生。
发明内容
[0005] 本发明的目的是针对现有技术的缺陷,提供一种伪网站的识别方法和系统,以实现鉴别网站真伪的功能,从而防止他人通过伪网站盗取用户的登录信息,对用户信息进行有效保护。
[0006] 为实现上述目的,本发明提供了一种伪网站的识别方法,包括: [0007] 浏览器进程实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器;
[0008] 所述网站服务器接收到所述字符串后,对接收下一个字符串的间隔时间进行计时,当判断所述间隔时间大于预设间隔时间时,将当前接收的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与当前接收的字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;或者,所述网站服务器接收到字符串后,对字符串的结尾字符进行判断,在判断所述结尾字符为输入完成标识时将所述结尾字符前的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与所述结尾字符前的字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;
[0009] 所述浏览器进程对所述防伪信息进行显示处理。
[0010] 为实现上述目的,本发明还提供了一种伪网站的识别系统,包括: [0011] 浏览器进程处理模块,用于实时读取网页上用于输入用户认证信息的编辑框中的字符串,并在接收到防伪信息时对所述防伪信息进行显示处理;
[0012] 网站服务器模块,用于字符串,对接收下一个字符串的间隔时间进行计时,当判断所述间隔时间大于预设间隔时间时,将当前接收的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与当前接收的字符串相匹配的防伪信息,则向浏览器进程处理模块返回该防伪信息;或者,对当前接收的字符串的结尾字符进行判断,在判断所述结尾字符为输入完成标识时将所述结尾字符前的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与所述结尾字符前的字符串相匹配的防伪信息,则向浏览器进程处理模块返回该防伪信息。
[0013] 当用户在登陆页面上输入用户认证信息时,本发明伪网站的识别方法和系统为用户提供了与该用户认证信息匹配的防伪信息,使得用户能够方 便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
[0014] 下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。 [0015] 附图说明
[0016] 图1为本发明伪网站的识别方法第一实施例的流程图;
[0017] 图2为本发明伪网站的识别方法第二实施例的流程图;
[0018] 图3为本发明伪网站的识别方法第三实施例的流程图;
[0019] 图4为本发明伪网站的识别系统一实施例的结构框图。
[0020] 具体实施方式
[0021] 本发明提供的伪网站的识别方法包括:
[0022] 浏览器进程获取用户认证信息,并将用户认证信息发送给网站服务器,网站服务器根据用户认证信息向浏览器进程返回防伪信息;浏览器进程对防伪信息进行显示处理。 [0023] 当用户在登陆页面上输入用户认证信息时,本发明伪网站的识别方法为用户提供了与该用户认证信息匹配的防伪信息,使得用户能够方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。 [0024] 图1为本发明伪网站的识别方法第一实施例的流程图。如图1所示,该方法包括: [0025] 步骤101、浏览器进程实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器;
[0026] 浏览器进程每隔一个很短的时间就会从用于输入用户认证信息的编辑框中读取字符串,该用户认证信息即为登陆用户名信息。然后浏览器进程将读取到的字符串发送给网站服务器。
[0027] 步骤103、网站服务器接收到字符串后,将该字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与该字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;
[0028] 网站服务器接收到当前浏览器进程发送过来的字符串,并可以将该字符串认定为是当前用户输入的用户认证信息,然后去用户注册信息数据库中进行检索。 [0029] 该用户注册信息数据库中存储着用户认证信息和与该用户认证信息对应的防伪信息。该防伪信息可以为用户预存的照片信息或私密信息,具体来说,该私密信息可以为用户在银行开户时预设的提示语句信息,如我母亲的名字叫某某,也可以为用户的身份证号码这种能够唯一标识用户身份的防伪信息。
[0030] 当检索到与该字符串相匹配的防伪信息时,网站服务器就向浏览器进程返回该防伪信息。
[0031] 步骤105、浏览器进程将该防伪信息显示在输入用户认证信息的网页上。 [0032] 在步骤105中,浏览器进程也可以生成新网页,并将该防伪信息显示在新网页上。 [0033] 因此,当用户将完整的用户认证信息输入到编辑框中后,通过上述方法即可以在用户登陆的网页上显示防伪信息。用户通过查看该防伪信息是否与自己注册时提供的防伪信息相同即可判断当前访问的网站的真伪。
[0034] 需要说明的是,由于用户在银行开设账户时会预存照片信息和私密信息。因此,对于防伪信息采用用户预存的照片信息或者私密信息的情况,用户在通过网站进行网上银行注册时不需要再额外提供防伪信息。这杜绝了用户在网上银行注册提供的防伪信息时非法用户截获该防伪信息的可能,进一步保障了伪网站识别的可靠性。
[0035] 综合上述本发明伪网站的识别方法第一实施例可知,当用户在用于输入用户认证信息的编辑框中输入字符串时,浏览器进程能够实时获取该字符串信息,网站服务器能够根据该字符串信息为用户提供防伪信息,当用户认证信息输入完成时,用户通过观察该防伪信息即可方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
[0036] 图2为本发明伪网站的识别方法第二实施例的流程图。如图2所示, 该方法包括:
[0037] 步骤201、浏览器进程实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器;
[0038] 浏览器进程每隔一个很短的时间就会从用于输入用户认证信息的编辑框中读取字符串,该用户认证信息即为登陆用户名信息。然后浏览器进程将读取到的字符串发送给网站服务器。
[0039] 步骤203、网站服务器接收到字符串后,对接收下一个字符串的间隔时间进行计时,当判断间隔时间大于预设间隔时间时,将字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与该字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;
[0040] 网站服务器接收到当前浏览器进程发送过来的字符串,然后启动计时器,在该计时器中存储了预设间隔时间。在该预设时间间隔内收到新的字符串时,则说明用户认证信息没有输入完成,此时计时器清零,从接收到这一新的字符串的时刻开始重新计时。如果在该预设时间间隔内没有收到新的字符串时,则认定用户认证信息输入完成,网站服务器将该字符串作为用户认证信息,然后去用户注册信息数据库中进行检索。 [0041] 该用户注册信息数据库中存储着用户认证信息和与该用户认证信息对应的防伪信息。该防伪信息可以为用户预存的照片信息或私密信息,具体来说,该私密信息可以为用户在银行开户时预设的提示语句信息,如我母亲的名字叫某某,也可以为用户的身份证号码这种能够唯一标识用户身份的防伪信息。
[0042] 当检索到与该字符串相匹配的防伪信息时,网站服务器就向浏览器进程返回该防伪信息。
[0043] 步骤205、浏览器进程将该防伪信息显示在输入用户认证信息的网页上。 [0044] 在步骤205中,浏览器进程也可以生成新网页,并将该防伪信息显示在新网页上。 [0045] 因此,当用户将完整的用户认证信息输入到编辑框中后,通过上述方法在时间间隔到达时即可以在用户登陆的网页上显示防伪信息。用户通过查看该防伪信息是否与自己注册时提供的防伪信息相同即可判断当前访问的网站的真伪。
[0046] 需要说明的是,由于用户在银行开设账户时会预存照片信息和私密信息。因此,对于防伪信息采用用户预存的照片信息或者私密信息的情况,用户在通过网站进行网上银行注册时不需要再额外提供防伪信息。这杜绝了用户在网上银行注册提供的防伪信息时非法用户截获该防伪信息的可能,进一步保障了伪网站识别的可靠性。
[0047] 综合上述本发明伪网站的识别方法第二实施例可知,当用户在用于输入用户认证信息的编辑框中输入字符串时,浏览器进程能够实时获取该字符串信息,网站服务器能够在接收到该字符串信息后启动计时器,在时间间隔到达后没有接收到新的字符串信息,即认为当前接收到的字符串信息为用户认证信息,从而为用户提供防伪信息,用户通过观察该防伪信息即可方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
[0048] 图3为本发明伪网站的识别方法第三实施例的流程图。如图3所示,该方法包括: [0049] 步骤301、浏览器进程实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器;
[0050] 浏览器进程每隔一个很短的时间就会从用于输入用户认证信息的编辑框中读取字符串,该用户认证信息即为登陆用户名信息。然后浏览器进程将读取到的字符串发送给网站服务器。
[0051] 步骤303、网站服务器接收到字符串后,对字符串的结尾字符进行判断,在判断结尾字符为输入完成标识时将结尾字符前的字符串作为用户认证信息在用户注册信息数据库中进行检索,如果检索到与结尾字符前的字符串相匹配的防伪信息,则向浏览器进程返回该防伪信息;
[0052] 网站服务器接收到当前浏览器进程发送过来的字符串,然后提取该字符串的结尾字符,该结尾字符即该字符串的最后一个字符。然后网站服务器判断该结尾字符是否是输入完成标识。该输入完成标识可以为回车,也可以是“#”号键等。当该结尾字符是输入完成标识时,则认定用户认证信息输入完成,网站服务器将结尾字符前的字符串作为用户认证信息,然后去用户注册信息数据库中进行检索。
[0053] 该用户注册信息数据库中存储着用户认证信息和与该用户认证信息对应的防伪信息。该防伪信息可以为用户预存的照片信息或私密信息,具体来说,该私密信息可以为用户在银行开户时预设的提示语句信息,如我母亲的名字叫某某,也可以为用户的身份证号码这种能够唯一标识用户身份的防伪信息。
[0054] 当检索到与该字符串相匹配的防伪信息时,网站服务器就向浏览器进程返回该防伪信息。
[0055] 步骤305、浏览器进程将该防伪信息显示在输入用户认证信息的网页上。 [0056] 在步骤305中,浏览器进程也可以生成新网页,并将该防伪信息显示在新网页上。 [0057] 因此,当用户将完整的用户认证信息输入到编辑框中后再加上一个输入完成标识,网站服务器即可判断当前的字符串即为用户认证信息,并将与该用户认证信息匹配的防伪信息返回给浏览器进程进行显示。用户通过查看该防伪信息是否与自己注册时提供的防伪信息相同即可判断当前访 问的网站的真伪。
[0058] 需要说明的是,由于用户在银行开设账户时会预存照片信息和私密信息。因此,对于防伪信息采用用户预存的照片信息或者私密信息的情况,用户在通过网站进行网上银行注册时不需要再额外提供防伪信息。这杜绝了用户在网上银行注册提供的防伪信息时非法用户截获该防伪信息的可能,进一步保障了伪网站识别的可靠性。
[0059] 综合上述本发明伪网站的识别方法第三实施例可知,当用户在用于输入用户认证信息的编辑框中输入字符串时,浏览器进程能够实时获取该字符串信息,网站服务器能够在接收到该字符串信息后对其结尾字符进行判断,当结尾字符是输入完成标识时即认为当前接收到的字符串信息为用户认证信息,从而为用户提供防伪信息,用户通过观察该防伪信息即可方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
[0060] 本发明伪网站的识别系统包括:浏览器进程处理模块和网站服务器模块。具体来说,浏览器进程处理模块用于获取用户认证信息,并在接收到防伪信息时对防伪信息进行显示处理;网站服务器模块用于接收浏览器进程处理模块发送的用户认证信息,根据用户认证信息查询获取相应的防伪信息并将该防伪信息返回给浏览器进程处理模块。 [0061] 图4为本发明伪网站的识别系统一实施例的结构框图。如图4所示,该系统包括浏览器进程处理模块1和网站服务器模块2。其中,浏览器进程处理模块1包括认证信息获取单元11和显示单元12,网站服务器模块2包括查询匹配单元21和用户注册信息数据库单元22。
[0062] 具体来说,浏览器进程处理模块1中的认证信息获取单元11实时读取网页上用于输入用户认证信息的编辑框中的字符串,并将读取到的字符串发送给网站服务器模块2中的查询匹配单元21。认证信息获取单元11 每隔一个很短的时间就会从用于输入用户认证信息的编辑框中读取字符串,该用户认证信息即为登陆用户名信息。然后认证信息获取单元11将读取到的字符串发送给查询匹配单元21。
[0063] 查询匹配单元21接收到字符串后,采用判断规则对接收到的字符串进行判断以确定用户认证信息。该判断规则可以具体包括三种:
[0064] 其一是直接将该字符串作为用户认证信息;
[0065] 其二是是对接收下一个字符串的间隔时间进行计时,当判断间隔时间大于预设间隔时间时,将该字符串作为用户认证信息;
[0066] 其三是对字符串的结尾字符进行判断,在判断结尾字符为输入完成标识时将结尾字符前的字符串作为用户认证信息。
[0067] 在确定了用户认证信息后,查询匹配单元21在用户注册信息数据库单元22中进行检索,如果检索到与该字符串相匹配的防伪信息,则向显示单元12返回该防伪信息; [0068] 该用户注册信息数据库单元22中存储着用户认证信息和与该用户认证信息对应的防伪信息。该防伪信息可以为用户预存的照片信息或私密信息,具体来说,该私密信息可以为用户在银行开户时预设的提示语句信息,如我母亲的名字叫某某,也可以为用户的身份证号码这种能够唯一标识用户身份的防伪信息。
[0069] 显示单元12既可以将该防伪信息显示在输入用户认证信息的网页上,也可以生成新网页,并将该防伪信息显示在新网页上。
[0070] 需要说明的是,由于用户在银行开设账户时会预存照片信息和私密信息。因此,对于防伪信息采用用户预存的照片信息或者私密信息的情况,用户在通过网站进行网上银行注册时不需要向用户注册信息数据库单元22再额外提供防伪信息。这杜绝了用户在网上银行注册提供的防伪信息时非法用户截获该防伪信息的可能,进一步保障了伪网站识别的可靠性。
[0071] 综合上述本发明伪网站的识别系统实施例可知,当用户在用于输入用户认证信息的编辑框中输入字符串时,浏览器进程处理模块能够实时获取该字符串信息,网站服务器能够根据该字符串信息和判断规则确定用户认证信息,并在查询匹配后为用户提供相应的防伪信息,当用户认证信息输入完成时,用户通过观察该防伪信息即可方便地鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
[0072] 最后应说明的是:以上实施例仅用以说明本发明的技术方案而非对其进行限制,尽管参照较佳实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对本发明的技术方案进行修改或者等同替换,而这些修改或者等同替换亦不能使修改后的技术方案脱离本发明技术方案的精神和范围。