一種服務(wù)器、用戶設(shè)備以及用戶設(shè)備與服務(wù)器的交互方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及網(wǎng)絡(luò)安全����,并且尤其涉及服務(wù)器、用戶設(shè)備以及用戶設(shè)備與服務(wù)器的交互方法�����。
【背景技術(shù)】
[0002]可以通過在用戶端安裝防釣魚的客戶端軟件或是瀏覽器插件來鑒別網(wǎng)站真?zhèn)?�。這種方法包括靜態(tài)鑒別和動態(tài)鑒別��。靜態(tài)鑒別通常通過用戶舉報(bào)、網(wǎng)絡(luò)掃描等在服務(wù)器端維護(hù)惡意網(wǎng)站黑名單�����,該方法應(yīng)用廣泛����、實(shí)施成本低,但由于釣魚網(wǎng)站不斷出現(xiàn)�����,造成黑名單的覆蓋面較窄��、更新頻率過慢�,導(dǎo)致惡意網(wǎng)站漏報(bào)率較高。動態(tài)鑒別方法建立基于網(wǎng)站域名�、圖片、頁面腳本等的網(wǎng)站行為分析模型����,在用戶瀏覽網(wǎng)頁時(shí)實(shí)時(shí)地對網(wǎng)站真?zhèn)芜M(jìn)行鑒另O,其較靜態(tài)的傳統(tǒng)方法�����,鑒別效率有所提升,但由于不斷發(fā)展的網(wǎng)站偽造技術(shù)��,動態(tài)鑒別方法仍存在誤報(bào)和漏報(bào)��,而且由于動態(tài)鑒別方法通過軟件實(shí)現(xiàn)���,其容易受到木馬等惡意程序的干擾和阻斷���,可靠性較低��。
【發(fā)明內(nèi)容】
[0003]提供一種能夠向用戶設(shè)備發(fā)送網(wǎng)站認(rèn)證信息的服務(wù)器���,該服務(wù)器至少存儲一個(gè)或多個(gè)用戶設(shè)備公鑰��、服務(wù)器私鑰�,
該服務(wù)器被配置成執(zhí)行如下過程:
經(jīng)由網(wǎng)站接收用戶設(shè)備簽名��、用戶設(shè)備簽名要素��,并從該網(wǎng)站接收網(wǎng)站信息�����,
根據(jù)所述網(wǎng)站信息判斷該網(wǎng)站是否經(jīng)過認(rèn)證,當(dāng)確定該網(wǎng)站經(jīng)過認(rèn)證時(shí)�����,
根據(jù)所述用戶設(shè)備簽名要素確定用戶設(shè)備公鑰�,并利用所述用戶設(shè)備公鑰驗(yàn)證所述用戶設(shè)備簽名,
當(dāng)所述驗(yàn)證成功時(shí)�,使用動態(tài)口令加密該網(wǎng)站認(rèn)證信息,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認(rèn)證信息簽名得到服務(wù)器簽名���,以及將該服務(wù)器簽名�����、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認(rèn)證信息��、服務(wù)器信息經(jīng)由該網(wǎng)站發(fā)送至該用戶設(shè)備使得該用戶設(shè)備能夠基于所述服務(wù)器信息得到服務(wù)器公鑰來驗(yàn)證所述服務(wù)器簽名���。
[0004]提供一種能夠從服務(wù)器接收網(wǎng)站認(rèn)證信息的用戶設(shè)備,該用戶設(shè)備至少存儲一個(gè)或多個(gè)服務(wù)器公鑰�、用戶設(shè)備私鑰,
該用戶設(shè)備被配置成執(zhí)行如下過程:
使用所述用戶設(shè)備私鑰基于用戶設(shè)備簽名要素產(chǎn)生用戶設(shè)備簽名�,并將該用戶設(shè)備簽名��、該用戶設(shè)備簽名要素經(jīng)由網(wǎng)站發(fā)送至所述服務(wù)器����,
經(jīng)由網(wǎng)站從所述服務(wù)器接收該服務(wù)器簽名��、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認(rèn)證信息��、服務(wù)器信息��,
基于所述服務(wù)器信息得到服務(wù)器公鑰來驗(yàn)證所述服務(wù)器簽名�����,
當(dāng)所述驗(yàn)證成功時(shí)�,使用動態(tài)口令來解密所述經(jīng)加密的網(wǎng)站認(rèn)證信息���。
[0005]提供一種用戶設(shè)備與服務(wù)器的交互方法��,該服務(wù)器至少存儲一個(gè)或多個(gè)用戶設(shè)備公鑰�����、服務(wù)器私鑰�����,
該方法包括:
所述服務(wù)器經(jīng)由網(wǎng)站接收用戶設(shè)備簽名�、用戶設(shè)備簽名要素,并從該網(wǎng)站接收網(wǎng)站信息��,
所述服務(wù)器根據(jù)所述網(wǎng)站信息判斷該網(wǎng)站是否經(jīng)過認(rèn)證�,
當(dāng)確定該網(wǎng)站經(jīng)過認(rèn)證時(shí),所述服務(wù)器根據(jù)所述用戶設(shè)備簽名要素確定用戶設(shè)備公鑰�����,并利用所述用戶設(shè)備公鑰驗(yàn)證所述用戶設(shè)備簽名���,
當(dāng)所述驗(yàn)證成功時(shí)���,所述服務(wù)器使用動態(tài)口令加密該網(wǎng)站認(rèn)證信息,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認(rèn)證信息簽名得到服務(wù)器簽名�����,以及將該服務(wù)器簽名��、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認(rèn)證信息�、服務(wù)器信息經(jīng)由該網(wǎng)站發(fā)送至該用戶設(shè)備使得該用戶設(shè)備能夠基于所述服務(wù)器信息得到服務(wù)器公鑰來驗(yàn)證所述服務(wù)器簽名��。
[0006]提供一種用戶設(shè)備與服務(wù)器的交互方法����,
該用戶設(shè)備至少存儲一個(gè)或多個(gè)服務(wù)器公鑰�、用戶設(shè)備私鑰,
該方法包括:
該用戶設(shè)備使用所述用戶設(shè)備私鑰基于用戶設(shè)備簽名要素產(chǎn)生用戶設(shè)備簽名��,并將該用戶設(shè)備簽名���、該用戶設(shè)備簽名要素經(jīng)由網(wǎng)站發(fā)送至所述服務(wù)器����,
該用戶設(shè)備經(jīng)由網(wǎng)站從所述服務(wù)器接收該服務(wù)器簽名�、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認(rèn)證信息、服務(wù)器信息���,
該用戶設(shè)備基于所述服務(wù)器信息得到服務(wù)器公鑰來驗(yàn)證所述服務(wù)器簽名,
當(dāng)所述驗(yàn)證成功時(shí)���,該用戶設(shè)備使用動態(tài)口令來解碼所述經(jīng)加密的網(wǎng)站認(rèn)證信息��。
[0007]根據(jù)實(shí)施例的一個(gè)場景�����,網(wǎng)站真?zhèn)斡山y(tǒng)一的服務(wù)器進(jìn)行鑒別�����,鑒別結(jié)果真實(shí)可信�。
[0008]根據(jù)實(shí)施例的一個(gè)場景,服務(wù)器與用戶設(shè)備間建立雙向認(rèn)證安全信道�����,并且返回的鑒別結(jié)果通過用戶設(shè)備顯示�,鑒別方法安全可靠。
[0009]根據(jù)實(shí)施例的一個(gè)場景����,在不影響用戶設(shè)備的在線支付體驗(yàn)的同時(shí),能幫助用戶判斷網(wǎng)站的合法性����,而且鑒別過程方便快捷。
[0010]根據(jù)一個(gè)或多個(gè)實(shí)施例�����,在物理鏈路上,僅網(wǎng)站可以與后臺服務(wù)器通信�,驗(yàn)證信息通過透傳經(jīng)過安全控件、網(wǎng)站到達(dá)用戶設(shè)備��,中間環(huán)節(jié)無法解密�����。
[0011]根據(jù)一個(gè)或多個(gè)實(shí)施例���,通過用戶設(shè)備的安全芯片進(jìn)行解密和顯示�����,可靠性高�����。
【附圖說明】
[0012]在參照附圖閱讀了本發(fā)明的【具體實(shí)施方式】以后���,本領(lǐng)域技術(shù)人員將會更清楚地了解本發(fā)明的各個(gè)方面。本領(lǐng)域技術(shù)人員應(yīng)當(dāng)理解的是���,這些附圖僅僅用于配合【具體實(shí)施方式】說明本發(fā)明的技術(shù)方案�����,而并非意在對本發(fā)明的保護(hù)范圍構(gòu)成限制�����。
[0013]圖1是根據(jù)一個(gè)實(shí)施例的用戶設(shè)備與服務(wù)器的交互架構(gòu)示意圖�����。
[0014]圖2是根據(jù)一個(gè)實(shí)施例的服務(wù)器與用戶設(shè)備的交互示意圖���。
[0015]圖3是根據(jù)一個(gè)實(shí)施例的服務(wù)器與用戶設(shè)備的交互示意圖。
[0016]圖4是根據(jù)一個(gè)實(shí)施例的鑒別網(wǎng)站的流程圖�。
【具體實(shí)施方式】
[0017]下面參照附圖,對本發(fā)明的【具體實(shí)施方式】作進(jìn)一步的詳細(xì)描述���。在下面的描述中�����,為了解釋的目的����,陳述許多具體細(xì)節(jié)以便提供對實(shí)施例的一個(gè)或多個(gè)方面的透徹理解。然而�����,對于本領(lǐng)域技術(shù)人員可以顯而易見的是���,可以這些具體細(xì)節(jié)的較少程度來實(shí)踐實(shí)施例的一個(gè)或多個(gè)方面�。另外����,盡管可以僅關(guān)于實(shí)施例的一個(gè)公開了該實(shí)施例的特定特征或方面,但可針對任何給定的或特定的應(yīng)用所期望和有利的那樣���,該特征或方面可與其它實(shí)施例的一個(gè)或多個(gè)特征或方面相組合�����。因此下面的描述不被視為局限性的�,而是通過所附權(quán)利要求來限定保護(hù)范圍��。
[0018]圖1是用戶設(shè)備與服務(wù)器的交互架構(gòu)示意圖���。用戶設(shè)備與服務(wù)器的交互經(jīng)由網(wǎng)站進(jìn)行����。用戶設(shè)備與服務(wù)器的交互可以基于雙向驗(yàn)證����,從而建立安全通道?��?梢栽谟脩粼O(shè)備中配置服務(wù)器公鑰證書����、用戶設(shè)備公私鑰對��,在服務(wù)器中配置用戶設(shè)備公鑰證書�、服務(wù)器公私鑰對用于雙向驗(yàn)證。
[0019]在一個(gè)實(shí)例中���,可以由服務(wù)器對用戶設(shè)備進(jìn)行管理�,在其中預(yù)置服務(wù)器公鑰證書��、用戶設(shè)備公私鑰對���。
[0020]在一個(gè)實(shí)例中��,用戶設(shè)備可以是移動通信裝置例如手機(jī)�����,或者個(gè)人計(jì)算機(jī)�����。
[0021]在一個(gè)實(shí)例中���,可以在用戶設(shè)備中裝載安全芯片��,在安全芯片中設(shè)置服務(wù)器公鑰證書��、用戶設(shè)備公私鑰對���。安全芯片也可以被設(shè)置在能夠與用戶設(shè)備通信的獨(dú)立硬件設(shè)備。
[0022]用戶設(shè)備與服務(wù)器的交互可以在服務(wù)器對網(wǎng)站進(jìn)行認(rèn)證的基礎(chǔ)上進(jìn)行�����。在一個(gè)實(shí)例中���,服務(wù)器對通過認(rèn)證的網(wǎng)站簽發(fā)站點(diǎn)證書���,并維護(hù)經(jīng)認(rèn)證網(wǎng)站的白名單�。
[0023]以下是服務(wù)器認(rèn)證網(wǎng)站的一個(gè)示例性實(shí)例:
網(wǎng)站向服務(wù)器發(fā)起“站點(diǎn)證書”的申請請求����,該申請請求包含網(wǎng)站身份信息��;
服務(wù)器收到請求后����,對網(wǎng)站身份信息進(jìn)行核實(shí),判斷是否為合法網(wǎng)站����;
若為合法網(wǎng)站,則服務(wù)器簽發(fā)“站點(diǎn)證書”����,否則拒絕申請。
[0024]在一個(gè)實(shí)例中���,經(jīng)認(rèn)證的網(wǎng)站可以在其頁面上添加該網(wǎng)站支持真?zhèn)舞b別的標(biāo)識�。
[0025]在一個(gè)實(shí)例中,服務(wù)器可以在網(wǎng)站上設(shè)置安全控件�����,用戶設(shè)備經(jīng)由該安全控件與服務(wù)器交互���。
[0026]圖2是根據(jù)一個(gè)實(shí)施例的服務(wù)器與用戶設(shè)備的交互示意圖�����。在圖2中����,服務(wù)器至少存儲一個(gè)或多個(gè)用戶設(shè)備公鑰�����、服務(wù)器私鑰�。其中,服務(wù)器與用戶設(shè)備的交互包括服務(wù)器被配置成執(zhí)行如下過程:
經(jīng)由網(wǎng)站接收用戶設(shè)備簽名�����、用戶設(shè)備簽名要素��,并從網(wǎng)站接收網(wǎng)站信息,
根據(jù)網(wǎng)站信息判斷網(wǎng)站是否經(jīng)過認(rèn)證���,
當(dāng)確定網(wǎng)站經(jīng)過認(rèn)證時(shí)����,根據(jù)用戶設(shè)備簽名要素確定用戶設(shè)備公鑰��,并利用用戶設(shè)備公鑰驗(yàn)證用戶設(shè)備簽名��,
當(dāng)驗(yàn)證成功時(shí)����,使用動態(tài)口令加密網(wǎng)站認(rèn)證信息���,并使用服務(wù)器私鑰對經(jīng)加密的網(wǎng)站認(rèn)證信息簽名得到服務(wù)器簽名��,以及將服務(wù)器簽名����、作為服務(wù)器簽名要素的經(jīng)加密的網(wǎng)站認(rèn)證信息��、服務(wù)器信息經(jīng)由網(wǎng)站發(fā)送至用戶設(shè)備使得用戶設(shè)備能夠基于服務(wù)器信息得到服務(wù)器公鑰來驗(yàn)證服務(wù)器簽名�����。
[0027]在一個(gè)實(shí)例中,用戶設(shè)備簽名要素基于用戶設(shè)備序列號����、用戶簽名時(shí)間戳,服務(wù)器被配置成根據(jù)用戶設(shè)備序列號確定用戶設(shè)備公鑰�。
[0028]在一個(gè)實(shí)例中,網(wǎng)站信息包括用于讓服務(wù)器判斷網(wǎng)站是否經(jīng)過認(rèn)證的站點(diǎn)證書�,服務(wù)器被配置成判斷站點(diǎn)證書是否由其簽發(fā)。
[0029]可以在用戶設(shè)備與服務(wù)器中分別設(shè)置用戶設(shè)備種子密鑰�����,用于對網(wǎng)站認(rèn)證信息加解密����。由此,在一個(gè)實(shí)例中���,服務(wù)器還存儲一個(gè)或多個(gè)用戶設(shè)備種子密鑰����,服務(wù)器被配置成基于用戶設(shè)備種子密鑰產(chǎn)生動態(tài)口令�����。
[0030]在一個(gè)實(shí)例中,該服務(wù)器被配置成接收來自一個(gè)或多個(gè)網(wǎng)站的認(rèn)證請求��,并且在認(rèn)證通過后向該一個(gè)或多個(gè)網(wǎng)站發(fā)送站點(diǎn)證書��,該服務(wù)器被配置成通過判斷來自該網(wǎng)站的站點(diǎn)證書是否真實(shí)來判斷該網(wǎng)站是否適于用戶設(shè)備訪問��。