专利名称:防御伪网站的网站系统及伪网站防御方法
技术领域:
本发明涉及能够防御伪网站的网站系统及网站防伪方法,尤其涉及能够有效保护网站用户信息的防伪网站系统及网站防伪方法。
背景技术:
随着网络技术的发展,电子商务正在以惊人的速度发展,同时,黑客的攻击、病毒和木马程序的泛滥,网络的安全性正在日益受到挑战。虚假网站、电子邮件炸弹(E-mailBomb)、冰河木马、红色代码、冲击波病毒、蠕虫病毒、震荡波等等,病毒样木不断变换翻新,表现特征也千奇百怪,其目的要么是更改计算机信息使其不能正常运行或宕机,要么猛增网络流量增加网络带宽,使网络拥挤阻塞以至瘫痪,要么盗取别人的隐私,得到其不可告人的目的。其中,虚假银行网站作为一种主要的网络钓鱼方法,屡屡成功的骗得用户的真实密码,对银行客户造成了很大损失,对银行声誉也造成不利影响,也成为社会不安定因素之一。
伪网站又称虚假网站,是一套外观与真实网站类似的网站,用于盗取网站的真实登录信息(通常包括用户号和密码),其域名也设置得近似于真实网站。这些网站在各种搜索引擎中往往能够查到。真实用户如果在伪网站进行登录,则伪网站将会记录下客户的登录信息,并提示客户一个合理的错误信息。目前的伪网站大多以网上银行等提供金融服务的网站为攻击目标,犯罪分子在获得用户的真实登陆信息后,就可利用客户的登录信息以客户的身份进入真实网站,实施对客户不利的行为,例如,将客户的资金转出或用客户的账户进行网上购物。
国内各家银行的个人网上银行大多采用了说服教育、区分不同版本、对只有数字证书版的个人网上银行才提供转帐等手段防御伪网站的攻击。虽然犯罪分子很难进入需要数字证书才能登录的个人专业版,但即使能够登录大众版进行查询,也违背了银行为客户保密的承诺,个别银行由于各业务之间的组合流程存在逻辑漏洞,客户小额资金被盗用的报道也时有发生。
发明内容
本发明的目的在于针对现有技术所存在的缺陷,提供防御伪网站的网站系统及伪网站防御方法,提供鉴别网站真伪的功能,从而防止他人通过伪网站盗取用户的登录信息,对用户信息进行有效保护。
为了实现上述目的,本发明提供了一种防御伪网站的网站系统,其中包括网站服务器,用于提供用户请求浏览的数据,该网站服务器包括网络通信模块,用于与互联网的数据交互;防伪模块,与所述网络通信模块连接,用于提供防伪信息;认证模块,与所述网络通信模块连接,用于对用户身份进行认证;中央处理模块,与所述网络通信模块及认证模块连接,用于为用户提供请求浏览的数据;以及用户终端,与网站服务器通过互联网连接,用于通过互联网访问网站服务器,与网站服务器进行数据交互。
其中,所述防伪模块可包括防伪信息数据库,用于存储用户的防伪信息;防伪信息查询模块,与所述网络通信模块及防伪信息数据库连接,用于根据接收到的用户信息,从防伪信息数据库中提取相应的防伪信息;以及防伪信息输出模块,与所述防伪信息查询模块及网络通信模块连接,用于将防伪信息通过互联网发送至用户终端。
所述系统还可包括防伪信息输入单元,与所述防伪信息数据库及中央处理模块连接,用于将用户的防伪信息保存到所述防伪信息数据库中;移动通信模块,与所述防伪模块连接,用于将防伪信息通过移动网络发送至用户的移动终端。
本发明还提供了一种伪网站防御方法,包括步骤A、将用户的防伪信息存储于网站服务器的防伪信息数据库中;步骤B、网站服务器接收到防伪认证请求后,根据该防伪认证请求中携带的用户信息查询防伪信息;步骤C、网站服务器将防伪信息发送至相应的用户终端;步骤D、在接收到防伪认证确认信息、用户帐户名及密码信息后,网站服务器对用户身份进行认证,若认证通过,则向用户终端发送登录成功信息,否则,向用户终端发送错误信息。
其中该方法还可包括在用户终端访问网站服务器时,显示防伪认证提示信息,提示用户进行网站防伪认证。所述防伪认证提示信息可显示于登陆网页的指定位置,用户输入帐户名并点击防伪认证按钮后,用户终端向网站服务器发送携带有用户帐户名的防伪认证请求;所述防伪网站的提示信息也可以弹出页面的形式显示,在弹出的防伪认证页面中设有用于输入防伪认证用户名的编辑框,在用户输入防伪认证用户名并点击防伪认证请求后,用户终端向网站服务器发送携带有防伪认证用户名的防伪认证请求。
在接收到防伪认证确认信息后,网站服务器向用户终端发送登录页面数据,该登陆页面中设有用于输入用户帐户名及密码的编辑框。为了方便用户使用,使用户不用输入过多的信息,当所述防伪认证用户名及用户帐户名一致时,用户终端在显示登录页面时,在用于输入用户帐户名的编辑框中显示用户帐户名。
可将防伪认证用户名与用户帐户名设置为不同的信息,此时,若想在显示登录页面时自动显示用户帐户名,则需要在防伪信息数据库中将防伪认证用户名与用户帐户名相关联;网站服务器在接收到防伪认证确认信息后,根据防伪认证用户名查询用户帐户名;网站服务器向用户终端发送的的登录页面数据中携带有用户帐户名信息;用户终端在显示登录页面时,将用户帐户名显示于用于输入用户帐户名的编辑框中。
该方法还可包括网站服务器将用户的防伪信息通过移动网络发送至与防伪认证用户名绑定的移动终端。
在用户身份认证通过后,网站服务器根据用户终端发送的防伪信息修改请求修改相应用户的防伪信息。网站服务器在修改防伪信息时,根据防伪帐户用户名及用户帐号名的关联关系,修改相应防伪帐户用户名对应的防伪信息。
本发明方便用户提供鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
图1为本发明的防御伪网站的网站系统结构示意图;图2为本发明的防伪模块一具体实施例结构示意图;图3为本发明的本发明的伪网站防御方法流程图;图4为本发明的防伪模块另一具体实施例结构示意图。
具体实施例方式
如图1所示,为本发明的防御伪网站的网站系统结构示意图,包括网站服务器1及用户终端2。网站服务器与用户终端通过互联网进行数据交互,为用户提供请求浏览的数据。
网站服务器包括网络通信模块11、防伪模块12、认证模块13及中央处理模块14。网络通信模块11用于与互联网的数据交互;防伪模块12与网络通信模块11连接,用于提供防伪信息;认证模块13与网络通信模块11连接,用于对用户身份进行认证;中央处理模块14与所述网络通信模块11及认证模块13连接,用于为通过身份认证的用户提供请求浏览的数据。
本发明对现有的网站系统的改进主要在于加入了防伪认证,网站的其他功能,如查询浏览等,均与现有网站相同。防伪认证功能由防伪模块12实现,该模块可在用户请求对网站进行防伪认证时,将用户预留或预先设置的防伪信息发送至用户,供用户鉴别网站的真伪。用户预留或预先设置的防伪信息可以是文字、数字、图片、音频、视频或上述各种格式数据的任意组合。
如图2所示,为防伪模块一具体实施例结构示意图,包括防伪信息数据库121、防伪信息查询模块122及防伪信息输出模块123。防伪信息数据库121用于存储用户的防伪信息;防伪信息查询模块122与网络通信模块11及防伪信息数据库121连接,用于根据接收到的用户信息,从防伪信息数据库121中提取相应的防伪信息;防伪信息输出模块123与防伪信息查询模块122及网络通信模块11连接,用于将防伪信息通过互联网发送至用户终端2。
如图3所示,为本发明的伪网站防御方法流程图,包括步骤A、将用户的防伪信息存储于网站服务器的防伪信息数据库中;步骤B、网站服务器接收到防伪认证请求后,根据该防伪认证请求中携带的用户信息查询防伪信息;步骤C、网站服务器将防伪信息发送至相应的用户终端;步骤D、在接收到防伪认证确认信息、用户帐户名及密码信息后,网站服务器对用户身份进行认证,若认证通过,则向用户终端发送登录成功信息,否则,向用户终端发送错误信息。
用户可将防伪信息预留给网站工作人员,由网站工作人员存储到防伪信息数据库中,也可由用户在通过身份认证后登录修改。如图4所示,在本发明的防伪模块另一具体实施例中,进一步加入了防伪信息输入单元124,与防伪信息数据库121及中央处理器14连接,当工作人员或用户通过身份认证后,可通过防伪信息输入模块124输入或修改防伪信息数据库121中的防伪信息。根据用户身份的不同,修改权限不同,工作人员可对所有用户的防伪信息进行修改,而用户只可对当前登录帐户的防伪信息进行修改。
但是,由于一些用户帐户名已被他人通过伪网站恶意盗取,他人通过输入用户帐户名也可获取用户预留的防伪信息,若防伪功能和被盗取的用户帐户名的防伪信息被加入伪网站,那么用户仍难以辨别网站的真伪。可采用下面两种方式增强安全性一种是将防伪信息发送至与用户帐户名绑定的移动终端;另一种是用户设置与用户帐户名不同的防伪认证用户名,从而他人只要不知道用户新设置的防伪认证帐户名就不会得到用户设置的防伪信息。
在本发明的网站服务器一具体实施例中,还可加入移动通信模块,与防伪模块连接,用于将防伪信息通过移动网络发送至用户的移动终端。
当用户帐户名与防伪认证用户名不同时,为了使用户在登录帐户后可修改防伪信息,需将二者相关联。二者的对应关系可存储于防伪信息数据库,也可存储于中央处理模块。网站服务器在接收到防伪信息修改请求后,需要根据用户帐户名及用户帐户名与防伪认证用户名的关联关系,确定防伪认证用户名,并进而修改相应的防伪信息。
在用户终端访问网站服务器时,显示防伪认证提示信息,提示用户进行网站防伪认证。防伪认证提示信息可显示于登陆网页的指定位置,用户输入帐户名并点击防伪认证按钮后,用户终端向网站服务器发送携带有用户帐户名的防伪认证请求;当网站服务器设定用户帐户名与防伪认证用户名一致时,网站服务器可直接根据用户帐户名查询用户的防伪信息,并将该防伪信息通过互联网发送至用户终端,或通过移动网络发送至移动终端。当网站服务器支持设置专门用于防伪认证的防伪认证用户名时,需要根据该防伪认证请求中的用户帐户名查询防伪帐户用户名,并进而查询获取防伪信息。
防伪网站的提示信息也可以弹出页面的形式显示,在弹出的防伪认证页面中设置用于输入防伪认证用户名的编辑框,在用户输入防伪认证用户名并点击防伪认证请求后,用户终端向网站服务器发送携带有防伪认证用户名的防伪认证请求,网站服务器根据防伪认证用户名查询防伪信息,并向用户发送。
用户在确认防伪信息后,用户终端向网站服务器发送防伪认证确认信息。在接收到防伪认证确认信息后,网站服务器向用户终端发送登录页面数据,该登陆页面中设有用于输入用户帐户名及密码的编辑框。
为了使用户不必输入过多的帐户信息,当防伪认证用户名及用户帐户名一致时,用户终端可在显示登录页面时,直接将用户帐户名显示于相应的编辑框中。当防伪认证用户名与用户帐户名不同时,网站服务器可根据防伪认证用户名查询用户帐户名,然后在向用户终端发送的的登录页面数据中携带用户帐户名信息,用户终端在显示登录页面时,就可将用户帐户名显示于用于输入用户帐户名的编辑框中。
本发明方便用户提供鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
最后应当说明的是以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解,依然可以对本发明的具体实施方式
进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
权利要求
1.一种防御伪网站的网站系统,其中包括网站服务器,用于提供用户请求浏览的数据,该网站服务器包括网络通信模块,用于与互联网的数据交互;防伪模块,与所述网络通信模块连接,用于提供防伪信息;认证模块,与所述网络通信模块连接,用于对用户身份进行认证;中央处理模块,与所述网络通信模块及认证模块连接,用于为用户提供请求浏览的数据;用户终端,与网站服务器通过互联网连接,用于通过互联网访问网站服务器,与网站服务器进行数据交互。
2.根据权利要求1所述的防御伪网站的网站系统,其中所述防伪模块包括防伪信息数据库,用于存储用户的防伪信息;防伪信息查询模块,与所述网络通信模块及防伪信息数据库连接,用于根据接收到的用户信息,从防伪信息数据库中提取相应的防伪信息;防伪信息输出模块,与所述防伪信息查询模块及网络通信模块连接,用于将防伪信息通过互联网发送至用户终端。
3.根据权利要求2所述的防御伪网站的网站系统,其中所述防伪模块还包括防伪信息输入单元,与所述防伪信息数据库及中央处理模块连接,用于将用户的防伪信息保存到所述防伪信息数据库中。
4.根据权利要求1-3任一所述的防御伪网站的网站系统,其中所述网站服务器还包括移动通信模块,与所述防伪模块连接,用于将防伪信息通过移动网络发送至用户的移动终端。
5.一种伪网站防御方法,其中包括步骤A、将用户的防伪信息存储于网站服务器的防伪信息数据库中;步骤B、网站服务器接收到防伪认证请求后,根据该防伪认证请求中携带的用户信息查询防伪信息;步骤C、网站服务器将防伪信息发送至相应的用户终端;步骤D、在接收到防伪认证确认信息、用户帐户名及密码信息后,网站服务器对用户身份进行认证,若认证通过,则向用户终端发送登录成功信息,否则,向用户终端发送错误信息。
6.根据权利要求5所述的伪网站防御方法,其中还包括在用户终端访问网站服务器时,显示防伪认证提示信息,提示用户进行网站防伪认证。
7.根据权利要求6所述的伪网站防御方法,其中所述防伪认证提示信息显示于登陆网页的指定位置,用户输入帐户名并点击防伪认证按钮后,用户终端向网站服务器发送携带有用户帐户名的防伪认证请求。
8.根据权利要求6所述的伪网站防御方法,其中所述防伪网站的提示信息以弹出页面的形式显示,在弹出的防伪认证页面中设有用于输入防伪认证用户名的编辑框,在用户输入防伪认证用户名并点击防伪认证请求后,用户终端向网站服务器发送携带有防伪认证用户名的防伪认证请求。
9.根据权利要求8所述的伪网站防御方法,其中在所述步骤B之后还包括在接收到防伪认证确认信息后,网站服务器向用户终端发送登录页面数据,该登陆页面中设有用于输入用户帐户名及密码的编辑框。
10.根据权利要求9所述的伪网站防御方法,其中所述防伪认证用户名及用户帐户名一致,用户终端在显示登录页面时,在用于输入用户帐户名的编辑框中显示用户帐户名。
11.根据权利要求10所述的伪网站防御方法,其中还包括在防伪信息数据库中将防伪认证用户名与用户帐户名相关联;网站服务器在接收到防伪认证确认信息后,根据防伪认证用户名查询用户帐户名;网站服务器向用户终端发送的登录页面数据中携带有用户帐户名信息;用户终端将用户帐户名显示于用户登录页面上的用于输入用户帐户名的编辑框中。
12.根据权利要求5-11任一所述的伪网站防御方法,其中还包括网站服务器将用户的防伪信息通过移动网络发送至与防伪认证用户名绑定的移动终端。
13.根据权利要求5-11任一所述的伪网站防御方法,其中还包括在用户身份认证通过后,网站服务器根据用户终端发送的防伪信息修改请求修改相应用户的防伪信息。
14.根据权利要求13所述的伪网站防御方法,其中网站服务器在修改防伪信息时,根据防伪帐户用户名及用户帐号名的关联关系,修改相应防伪帐户用户名对应的防伪信息。
全文摘要
本发明涉及一种防御伪网站的网站系统,包括网站服务器与用户终端,该网站服务器包括网络通信模块、防伪模块、认证模块以及中央处理模块。本发明还涉及一种伪网站防御方法,将用户的防伪信息存储于网站服务器的防伪信息数据库中;网站服务器接收到防伪认证请求后,根据该防伪认证请求中携带的用户信息查询防伪信息,并发送至相应的用户终端;在接收到防伪认证确认信息、用户帐户名及密码信息后,网站服务器对用户身份进行认证,若认证通过,则向用户终端发送登录成功信息,否则,向用户终端发送错误信息。本发明方便用户提供鉴别网站的真伪,可预防用户登录伪网站,防止他人通过伪网站盗取用户的登录信息,从而可对用户信息进行有效保护。
文档编号H04L9/32GK1874227SQ20061009291
公开日2006年12月6日 申请日期2006年6月9日 优先权日2006年6月9日
发明者郝付国, 王婷 申请人:中国民生银行股份有限公司