一種服務(wù)器��、用戶設(shè)備以及用戶設(shè)備與服務(wù)器的交互方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全�����,并且尤其涉及服務(wù)器���、用戶設(shè)備以及用戶設(shè)備與服務(wù)器的交互方法。
【背景技術(shù)】
[0002]可以通過在用戶端安裝防釣魚的客戶端軟件或是瀏覽器插件來鑒別網(wǎng)站真?zhèn)?��。這種方法包括靜態(tài)鑒別和動態(tài)鑒別����。靜態(tài)鑒別通常通過用戶舉報、網(wǎng)絡(luò)掃描等在服務(wù)器端維護惡意網(wǎng)站黑名單�,該方法應(yīng)用廣泛、實施成本低�,但由于釣魚網(wǎng)站不斷出現(xiàn),造成黑名單的覆蓋面較窄�����、更新頻率過慢���,導(dǎo)致惡意網(wǎng)站漏報率較高����。動態(tài)鑒別方法建立基于網(wǎng)站域名�����、圖片�、頁面腳本等的網(wǎng)站行為分析模型,在用戶瀏覽網(wǎng)頁時實時地對網(wǎng)站真?zhèn)芜M行鑒另O,其較靜態(tài)的傳統(tǒng)方法�����,鑒別效率有所提升�,但由于不斷發(fā)展的網(wǎng)站偽造技術(shù),動態(tài)鑒別方法仍存在誤報和漏報���,而且由于動態(tài)鑒別方法通過軟件實現(xiàn)�����,其容易受到木馬等惡意程序的干擾和阻斷�����,可靠性較低��。
【發(fā)明內(nèi)容】
[0003]提供一種能夠向用戶設(shè)備發(fā)送網(wǎng)站認證信息的服務(wù)器�,該服務(wù)器至少存儲一個或多個用戶設(shè)備公鑰���、服務(wù)器私鑰����,
該服務(wù)器被配置成執(zhí)行如下過程:
經(jīng)由網(wǎng)站接收用戶設(shè)備簽名、用戶設(shè)備簽名要素���,并從該網(wǎng)站接收網(wǎng)站信息,
根據(jù)所述網(wǎng)站信息判斷該網(wǎng)站是否經(jīng)過認證�����,當確定該網(wǎng)站經(jīng)過認證時�,
根據(jù)所述用戶設(shè)備簽名要素確定用戶設(shè)備公鑰,并利用所述用戶設(shè)備公鑰驗證所述用戶設(shè)備簽名�,
當所述驗證成功時,使用動態(tài)口令加密該網(wǎng)站認證信息�����,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認證信息簽名得到服務(wù)器簽名��,以及將該服務(wù)器簽名���、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認證信息��、服務(wù)器信息經(jīng)由該網(wǎng)站發(fā)送至該用戶設(shè)備使得該用戶設(shè)備能夠基于所述服務(wù)器信息得到服務(wù)器公鑰來驗證所述服務(wù)器簽名��。
[0004]提供一種能夠從服務(wù)器接收網(wǎng)站認證信息的用戶設(shè)備��,該用戶設(shè)備至少存儲一個或多個服務(wù)器公鑰�����、用戶設(shè)備私鑰���,
該用戶設(shè)備被配置成執(zhí)行如下過程:
使用所述用戶設(shè)備私鑰基于用戶設(shè)備簽名要素產(chǎn)生用戶設(shè)備簽名��,并將該用戶設(shè)備簽名����、該用戶設(shè)備簽名要素經(jīng)由網(wǎng)站發(fā)送至所述服務(wù)器��,
經(jīng)由網(wǎng)站從所述服務(wù)器接收該服務(wù)器簽名��、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認證信息�����、服務(wù)器信息�,
基于所述服務(wù)器信息得到服務(wù)器公鑰來驗證所述服務(wù)器簽名,
當所述驗證成功時�����,使用動態(tài)口令來解密所述經(jīng)加密的網(wǎng)站認證信息。
[0005]提供一種用戶設(shè)備與服務(wù)器的交互方法�����,該服務(wù)器至少存儲一個或多個用戶設(shè)備公鑰�����、服務(wù)器私鑰����,
該方法包括:
所述服務(wù)器經(jīng)由網(wǎng)站接收用戶設(shè)備簽名����、用戶設(shè)備簽名要素,并從該網(wǎng)站接收網(wǎng)站信息����,
所述服務(wù)器根據(jù)所述網(wǎng)站信息判斷該網(wǎng)站是否經(jīng)過認證,
當確定該網(wǎng)站經(jīng)過認證時����,所述服務(wù)器根據(jù)所述用戶設(shè)備簽名要素確定用戶設(shè)備公鑰,并利用所述用戶設(shè)備公鑰驗證所述用戶設(shè)備簽名�,
當所述驗證成功時�,所述服務(wù)器使用動態(tài)口令加密該網(wǎng)站認證信息�,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認證信息簽名得到服務(wù)器簽名,以及將該服務(wù)器簽名����、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認證信息、服務(wù)器信息經(jīng)由該網(wǎng)站發(fā)送至該用戶設(shè)備使得該用戶設(shè)備能夠基于所述服務(wù)器信息得到服務(wù)器公鑰來驗證所述服務(wù)器簽名�。
[0006]提供一種用戶設(shè)備與服務(wù)器的交互方法,
該用戶設(shè)備至少存儲一個或多個服務(wù)器公鑰��、用戶設(shè)備私鑰�����,
該方法包括:
該用戶設(shè)備使用所述用戶設(shè)備私鑰基于用戶設(shè)備簽名要素產(chǎn)生用戶設(shè)備簽名�,并將該用戶設(shè)備簽名、該用戶設(shè)備簽名要素經(jīng)由網(wǎng)站發(fā)送至所述服務(wù)器�,
該用戶設(shè)備經(jīng)由網(wǎng)站從所述服務(wù)器接收該服務(wù)器簽名、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認證信息���、服務(wù)器信息�����,
該用戶設(shè)備基于所述服務(wù)器信息得到服務(wù)器公鑰來驗證所述服務(wù)器簽名���,
當所述驗證成功時�����,該用戶設(shè)備使用動態(tài)口令來解碼所述經(jīng)加密的網(wǎng)站認證信息�。
[0007]根據(jù)實施例的一個場景�����,網(wǎng)站真?zhèn)斡山y(tǒng)一的服務(wù)器進行鑒別��,鑒別結(jié)果真實可信��。
[0008]根據(jù)實施例的一個場景���,服務(wù)器與用戶設(shè)備間建立雙向認證安全信道,并且返回的鑒別結(jié)果通過用戶設(shè)備顯示�����,鑒別方法安全可靠�。
[0009]根據(jù)實施例的一個場景,在不影響用戶設(shè)備的在線支付體驗的同時����,能幫助用戶判斷網(wǎng)站的合法性����,而且鑒別過程方便快捷���。
[0010]根據(jù)一個或多個實施例�����,在物理鏈路上����,僅網(wǎng)站可以與后臺服務(wù)器通信�,驗證信息通過透傳經(jīng)過安全控件、網(wǎng)站到達用戶設(shè)備�����,中間環(huán)節(jié)無法解密�。
[0011]根據(jù)一個或多個實施例,通過用戶設(shè)備的安全芯片進行解密和顯示�,可靠性高。
【附圖說明】
[0012]在參照附圖閱讀了本發(fā)明的【具體實施方式】以后��,本領(lǐng)域技術(shù)人員將會更清楚地了解本發(fā)明的各個方面。本領(lǐng)域技術(shù)人員應(yīng)當理解的是����,這些附圖僅僅用于配合【具體實施方式】說明本發(fā)明的技術(shù)方案,而并非意在對本發(fā)明的保護范圍構(gòu)成限制��。
[0013]圖1是根據(jù)一個實施例的用戶設(shè)備與服務(wù)器的交互架構(gòu)示意圖��。
[0014]圖2是根據(jù)一個實施例的服務(wù)器與用戶設(shè)備的交互示意圖�。
[0015]圖3是根據(jù)一個實施例的服務(wù)器與用戶設(shè)備的交互示意圖。
[0016]圖4是根據(jù)一個實施例的鑒別網(wǎng)站的流程圖��。
【具體實施方式】
[0017]下面參照附圖�,對本發(fā)明的【具體實施方式】作進一步的詳細描述�。在下面的描述中,為了解釋的目的����,陳述許多具體細節(jié)以便提供對實施例的一個或多個方面的透徹理解。然而�,對于本領(lǐng)域技術(shù)人員可以顯而易見的是,可以這些具體細節(jié)的較少程度來實踐實施例的一個或多個方面����。另外���,盡管可以僅關(guān)于實施例的一個公開了該實施例的特定特征或方面,但可針對任何給定的或特定的應(yīng)用所期望和有利的那樣�,該特征或方面可與其它實施例的一個或多個特征或方面相組合。因此下面的描述不被視為局限性的��,而是通過所附權(quán)利要求來限定保護范圍���。
[0018]圖1是用戶設(shè)備與服務(wù)器的交互架構(gòu)示意圖�����。用戶設(shè)備與服務(wù)器的交互經(jīng)由網(wǎng)站進行�����。用戶設(shè)備與服務(wù)器的交互可以基于雙向驗證���,從而建立安全通道?��?梢栽谟脩粼O(shè)備中配置服務(wù)器公鑰證書����、用戶設(shè)備公私鑰對,在服務(wù)器中配置用戶設(shè)備公鑰證書�����、服務(wù)器公私鑰對用于雙向驗證����。
[0019]在一個實例中,可以由服務(wù)器對用戶設(shè)備進行管理�,在其中預(yù)置服務(wù)器公鑰證書、用戶設(shè)備公私鑰對����。
[0020]在一個實例中,用戶設(shè)備可以是移動通信裝置例如手機�����,或者個人計算機�����。
[0021]在一個實例中��,可以在用戶設(shè)備中裝載安全芯片���,在安全芯片中設(shè)置服務(wù)器公鑰證書����、用戶設(shè)備公私鑰對�����。安全芯片也可以被設(shè)置在能夠與用戶設(shè)備通信的獨立硬件設(shè)備�。
[0022]用戶設(shè)備與服務(wù)器的交互可以在服務(wù)器對網(wǎng)站進行認證的基礎(chǔ)上進行。在一個實例中���,服務(wù)器對通過認證的網(wǎng)站簽發(fā)站點證書�,并維護經(jīng)認證網(wǎng)站的白名單��。
[0023]以下是服務(wù)器認證網(wǎng)站的一個示例性實例:
網(wǎng)站向服務(wù)器發(fā)起“站點證書”的申請請求�����,該申請請求包含網(wǎng)站身份信息���;
服務(wù)器收到請求后��,對網(wǎng)站身份信息進行核實�,判斷是否為合法網(wǎng)站;
若為合法網(wǎng)站�����,則服務(wù)器簽發(fā)“站點證書”�,否則拒絕申請。
[0024]在一個實例中�����,經(jīng)認證的網(wǎng)站可以在其頁面上添加該網(wǎng)站支持真?zhèn)舞b別的標識���。
[0025]在一個實例中�,服務(wù)器可以在網(wǎng)站上設(shè)置安全控件����,用戶設(shè)備經(jīng)由該安全控件與服務(wù)器交互。
[0026]圖2是根據(jù)一個實施例的服務(wù)器與用戶設(shè)備的交互示意圖�。在圖2中,服務(wù)器至少存儲一個或多個用戶設(shè)備公鑰�����、服務(wù)器私鑰�。其中,服務(wù)器與用戶設(shè)備的交互包括服務(wù)器被配置成執(zhí)行如下過程:
經(jīng)由網(wǎng)站接收用戶設(shè)備簽名����、用戶設(shè)備簽名要素,并從網(wǎng)站接收網(wǎng)站信息�����,
根據(jù)網(wǎng)站信息判斷網(wǎng)站是否經(jīng)過認證��,
當確定網(wǎng)站經(jīng)過認證時���,根據(jù)用戶設(shè)備簽名要素確定用戶設(shè)備公鑰��,并利用用戶設(shè)備公鑰驗證用戶設(shè)備簽名�,
當驗證成功時����,使用動態(tài)口令加密網(wǎng)站認證信息,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認證信息簽名得到服務(wù)器簽名��,以及將服務(wù)器簽名�、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認證信息�����、服務(wù)器信息經(jīng)由網(wǎng)站發(fā)送至用戶設(shè)備使得用戶設(shè)備能夠基于服務(wù)器信息得到服務(wù)器公鑰來驗證服務(wù)器簽名���。
[0027]在一個實例中,用戶設(shè)備簽名要素基于用戶設(shè)備序列號�、用戶簽名時間戳,服務(wù)器被配置成根據(jù)用戶設(shè)備序列號確定用戶設(shè)備公鑰�。
[0028]在一個實例中,網(wǎng)站信息包括用于讓服務(wù)器判斷網(wǎng)站是否經(jīng)過認證的站點證書����,服務(wù)器被配置成判斷站點證書是否由其簽發(fā)。
[0029]可以在用戶設(shè)備與服務(wù)器中分別設(shè)置用戶設(shè)備種子密鑰��,用于對網(wǎng)站認證信息加解密�����。由此�����,在一個實例中�,服務(wù)器還存儲一個或多個用戶設(shè)備種子密鑰���,服務(wù)器被配置成基于用戶設(shè)備種子密鑰產(chǎn)生動態(tài)口令���。
[0030]在一個實例中�,該服務(wù)器被配置成接收來自一個或多個網(wǎng)站的認證請求���,并且在認證通過后向該一個或多個網(wǎng)站發(fā)送站點證書�����,該服務(wù)器被配置成通過判斷來自該網(wǎng)站的站點證書是否真實來判斷該網(wǎng)站是否適于用戶設(shè)備訪問���。