专利名称:防止用户信息泄漏的方法及系统的制作方法
技术领域:
本发明涉及浏览器技术领域,特别是涉及防止用户信息泄漏的方法及系统。
背景技术:
随着互联网技术的飞速发展,其应用也不限于简单地获取、交换信息,众多需要极 高安全性的关键服务也接入互联网,如在线购物、网上支付和网上银行等。互联网的广泛 性和开放性使得互联网上存在着许多假冒、钓鱼网站,如果用户不小心在这些网站中输入 了关键性的用户名和密码等信息,其信息会被这些网站盗走,可能威胁到自身的财产安全。 例如当前互联网上存在众多与淘宝网域名类似的网站(比如以www. taobaO. com冒充www. taobao. com)。不法分子利用一些手段将此网站当作淘宝网推荐给用户,用户在此网站上使 用淘宝网用户名或密码登陆时其账号信息就泄漏给这些假冒网站。服务器证书是目前广泛应用的帮助用户识别非法网站和钓鱼网站手段之一。服务 器证书是通过第三方认证机构对服务提供者进行认证并颁发数字证书。目前大部分浏览器 支持服务器证书,服务器证书可以通过以下两个方面来保护用户的信息安全一方面,用户在使用浏览器访问网站时,如果该网站拥有该浏览器支持的证书,则 浏览器显示某种特定标识来表明该网站是通过某认证机构认证的,用户可通过该标志来识 别合法网站;这样,如果在浏览某网站时,浏览器没有显示出特定标识,则代表该网站可能 是非法网站,用户在向这种网站输入用户名或密码等信息时,就需要特别注意。另一方面, 对于具有服务器证书的网站而言,浏览器与该网站服务器之间的通信是加密的,即使某不 法分子通过一些手段截获了通信的数据也很难以还原出原始的用户名及密码信息,以此来 保证用户名及密码的安全。但是,这种采用服务器证书对网站的合法性进行验证的方式至少存在以下缺点 这种方式的有效性依赖于用户的认知水平,如果用户对服务器证书的作用不了解,则无法 有效地达到依据服务器证书验证网站合法性的目的,进而导致用户信息容易被泄露,网络 安全性较差。
发明内容
本发明提供防止用户信息泄露的方法及系统,能够提高防止用户信息泄露的有效 性。本发明提供了如下方案一种防止用户信息泄露的方法,包括获取用户在当前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信 息相同,确定用户的信息被泄露的风险; 根据所述用户的信息被泄露的风险,对用户的信息进行保护。 优选的,所述判断所获取的关键用户信息是否与在已知的可靠网站中注册过的用户信息相同包括将所获取的关键用户信息提交到已知可靠网站的服务器进行查询,根据服务器返 回的结果,确定所获取的关键用户信息是否与在已知的可靠网站中注册过的用户信息相 同。优选的,所述判断所获取的用户信息是否与在已知可靠网站中注册过的用户信息 相同包括将所获取的关键用户信息与预先获知的在已知可靠网站中注册过的用户信息进 行比较,根据比较结果判断所获取到的关键用户信息是否与在已知的可靠网站中注册过的 用户信息相同。优选的,还包括通过判断当前网站是否为已知的可靠网站之一,确定用户的信息 被泄露的风险;如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,则确定存在用户的信息被泄露的风险。优选的,还包括通过判断当前网站与已知的可靠网站之间的网站相似度,确定用 户的信息被泄露的风险。优选的如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,并且当 前网站与已知可靠网站之间的网站相似度达到预置条件,则确定存在用户的信息被泄露的 风险;或者,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定 存在所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相似 度确定用户的信息被泄露的风险程度;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度达到 预置条件,则确定存在用户的信息被泄露的风险;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当 前网站与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。优选的,所述判断当前网站与已知的可靠网站之间的网站相似度包括比对当前网站与已知的可靠网站之间的统一资源定位符URL之间的相似度,和/ 或页面内容之间的相似度。优选的如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相 同,则确定存在用户的信息被泄露的风险。优选的,所述根据所述用户的信息被泄露的风险,对用户的信息进行保护包括如果存在用户的信息被泄露的风险,则对用户进行风险提示;或者,
如果所述用户的信息被泄露的风险达到预置程度,则阻止将用户的信息向所述当 前网站的服务器进行提交。一种防止用户信息泄露的方法,包括如果用户在当前网站页面中输入用户信息,则获取所述当前网站的页面内容信 息;通过比对当前网站与预置的可靠网站之间的页面内容相似度,确定用户的信息被 泄露的风险;根据所述用户的信息被泄露的风险,对所述用户的信息进行保护。优选的,包括第一信息获取单元,用于获取用户在当前网站页面中输入的关键用户信息;第一风险确定单元,用于至少通过判断所获取的关键用户信息是否与在已知可靠 网站中注册过的用户信息相同,确定用户的信息被泄露的风险;第一保护单元,用于根据所述用户的信息被泄露的风险,对用户的信息进行保护。优选的,所述第一风险确定单元包括第一判断子单元,用于将所获取的关键用户信息提交到已知可靠网站的服务器进 行查询,根据服务器返回的结果,确定所获取的关键用户信息是否与在已知的可靠网站中 注册过的用户信息相同。优选的,所述第一风险确定单元包括第二判断子单元,用于将所获取的关键用户信息与预先获知的在已知可靠网站中 注册过的用户信息进行比较,根据比较结果判断所获取到的关键用户信息是否与在已知的 可靠网站中注册过的用户信息相同。优选的,所述第一风险确定单元还包括用于通过判断当前网站是否为已知的可 靠网站之一,确定用户的信息被泄露的风险;如果当前网站不是已知的可靠网站之一,并且 所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定存在用户的信 息被泄露的风险。优选的,所述第一风险确定单元还包括用于通过判断当前网站与已知的可靠网 站之间的网站相似度,确定用户的信息被泄露的风险。优选的,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,并且当 前网站与已知可靠网站之间的网站相似度达到预置条件,则确定存在用户的信息被泄露的 风险;或者,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定 存在所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相似 度确定用户的信息被泄露的风险程度;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度达到 预置条件,则确定存在用户的信息被泄露的风险;
或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当 前网站与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。优选的,所述第一风险确定单元在判断当前网站与已知的可靠网站之间的网站相 似度时,具体是比对当前网站与已知的可靠网站之间的统一资源定位符URL之间的相似 度,和/或页面内容之间的相似度。优选的如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相 同,则确定存在用户的信息被泄露的风险。优选的,所述第一保护单元包括提示子单元,用于如果存在用户的信息被泄露的风险,则对用户进行风险提示;或者,阻止子单元,用于如果所述用户的信息被泄露的风险达到预置程度,则阻止将用 户的信息向所述当前网站的服务器进行提交。一种防止用户信息泄露的系统,包括第二信息获取单元,用于如果用户在当前网站页面中输入用户信息,则获取所述 当前网站的页面内容信息;第二风险确定单元,用于通过比对当前网站与预置的可靠网站之间的页面内容相 似度,确定用户的信息被泄露的风险;第二保护单元,用于根据所述用户的信息被泄露的风险,对所述用户的信息进行 保护。一种防止用户信息泄露的方法,包括获取用户在当前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息与用户在已知可靠网站中注册过的信息之 间的相似度是否达到预置条件,确定用户的信息被泄露的风险;根据所述用户的信息被泄露的风险,对用户的信息进行保护。一种防止用户信息泄露的系统,包括第三信息获取单元,用于获取用户在当前网站页面中输入的关键用户信息;第三风险确定单元,用于至少通过判断所获取的关键用户信息与用户在已知可靠 网站中注册过的信息之间的相似度是否达到预置条件,确定用户的信息被泄露的风险;第三保护单元,用于根据所述用户的信息被泄露的风险,对用户的信息进行保护。根据本发明提供的具体实施例,本发明公开了以下技术效果在本发明实施例中,获取用户在当前网站页面中输入的关键用户信息;至少通过 判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信息相同,确定用户的 信息被泄露的风险;或者,如果用户在当前网站页面中输入用户信息,则获取所述当前网站 的页面内容信息,通过比对当前网站与预置的可靠网站之间的页面内容相似度,确定用户 的信息被泄露的风险;根据用户的信息被泄露的风险时,对用户的信息进行保护。这种保护 方法不依赖于用户的认知水平,因此,可以提高对用户信息进行保护的有效性和广泛性,增 强了网络的信息安全。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例中所 需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施 例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获 得其他的附图。图1是本发明实施例提供的方法的流程图;图2是本发明实施例提供的另一方法的流程图;图3是本发明实施例提供的再一方法的流程图;图4是本发明实施例提供的系统的示意图;图5是本发明实施例提供的另一系统的示意图.
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完 整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于 本发明中的实施例,本领域普通技术人员所获得的所有其他实施例,都属于本发明保护的 范围。实施例一参见图1,本发明实施例一提供的防止用户信息泄露的方法包括以下步骤SlOl 获取用户在当前网站页面中输入的关键用户信息;其中,用户在页面中输入的用户信息可以包括用户名、密码信息,甚至还可以包括 用户的身份证号码或银行卡账号等其他信息。而在本发明实施例中,关键用户信息可以是 指实际需要保护的用户信息,例如,可以选择用户名和密码作为关键用户信息予以保护,也 可以只选择用户名或者只选择密码或只选银行卡账户或只选身份证号码作为关键用户信 息进行保护,或者还可以选择更多的用户信息作为关键用户信息予以保护,甚至可以选择 全部的用户信息都作为关键用户信息予以保护。总之用来做判断依据的关键用户信息是根 据实际需要选择的,可以是用户在页面中输入的全部用户信息,也可以是用户在页面中输 入的用户信息中的一部分,至于用户输入的用户信息具体有哪些,以及哪些是关键用户信 息是根据实际情况而定,本发明实施例对此并没有限制。在获取关键用户信息时,可以通过分析当前网站页面的HTMLOlyperTextMark-up Language,超文本标记语言)代码等方式来获取。当用户在网站页面中输入用户信息时,其 输入的具体内容会体现在页面的HTML代码中,因此,通过分析HTML代码中的标签等信息就 可以获取到关键用户信息。或者,也可以通过其他方式获取。例如,可以使用操作系统提供 的API (ApplicationProgramming hterface,应用程序编程接口 )函数(如钩子函数等) 来抓取用户在网页中输入的用户信息,再通过分析页面元素等方式,选择所需的关键用户 信息,等等。还有很多获取用户信息的方法,但在此不能穷举,只要是可以获取到关键用户 信息的具体实现方式都可以应用到本发明实施例中,本发明对此并不限制。S102:至少通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用 户信息相同,确定用户的信息被泄露的风险;
已知的可靠网站可以是一些大型购物网站、各大网上银行的网站等等,由于这些 网站的服务器中通常会保存一些用户数据,这些用户数据通常具有保密性,只有用户本人 进行操作,例如,在网上银行进行支付等操作。因此网站服务器还需要维护一些用户信息, 用户只有在这些网站中注册了用户信息,才能对用户数据进行操作。相应的,这些用户信息 会被网站服务器识别为用户的身份标识,以此来验证用户的身份,如果用户输入的用户信 息与网站服务器中记录的信息一致,便可以获得相应的用户数据。可见,这些网站通常对安 全性有一定要求,也是不法分子攻击的重点目标,尤其是淘宝等类的购物网站、银行等类的 金融网站等。因此,对于在这些网站中注册的用户信息也需要重点保护。在本发明实施例中,可以预先选择一些重点需要保护的网站作为预置的可靠网站 信息,则在利用这些网站对用户信息进行保护的过程中,这些网站就成为已知的可靠网站。 在选择可靠网站的同时,还可以将这些可靠网站的信息获取到。为了保证信息的准确性,这 些可靠网站的选择以及信息的获取可以是由人工的方式整理的,即通过人工干预的形式, 确定哪些网站中的信息是重点需要保护的。当然也可以通过其他的方式获得,例如,浏览器 可以自动发现;具体的,由于通常是一些重点需要保护的网站才会具有服务器证书,因此, 如果某网站具有服务器证书,则证明该网站中的用户信息可能是重点需要保护的。据此,在 用户浏览网站的过程中,浏览器可以通过识别网站是否具有安全签名等方式,来识别该网 站是否申请了服务器证书,如果是,则可以将该网站视为重点需要保护的网站,即已知的可 靠网站。相应的,这些人工整理的或者浏览器自动发现的网站也就是已知的可靠网站,这种 可靠网站可以是多个,因此可以预置一个保存有可靠网站信息的列表,或者临时通过某种 方式验证哪些是可靠网站。这样,在用户实际在网页中输入用户信息时,就可以获取用户在 该网页中输入的用户信息,然后至少通过判断所获取的用户信息是否为用户在某已知可靠 网站中注册过的信息,就可以判断当前网站是否有可能是非法网站,并进一步确定用户当 前输入的用户信息是否可能存在被泄露的风险。比如,最简单的判断方式是,如果用户在当 前网站输入的关键用户信息与用户在某已知可靠网站中注册过的信息一致,即相同,那么 就确定有被泄露的风险。当然,这是最基本最简单的风险判断,为了提高判断的准确度,还 可以附加其他一些的判断手段,后续实施例会陆续介绍。需要说明的是,本发明实施例所述的已知可靠网站是指一些具有保护价值并且真 实合法的网站,但是并不是指除了这些网站之外就全都不是可靠的网站。其他的没有被列 为可靠网站列表中的网站,可能也是真实合法的,但是可能由于并不具有太高的保护价值, 因此没有被加入到可靠网站列表中。而且,本发明实施例中维护的可靠网站是可以根据实 际需要动态更新的。另外需要说明的是,本发明实施例所述的“确定用户的信息被泄露的风险”,可以 包括确定是否存在用户的信息被泄露的风险,或者确定用户的信息被泄露的风险程度,也 即被泄露的可能性有多高,等等。S103 根据所述用户的信息被泄露的风险,对用户的信息进行保护。如果确定出确实存在用户的信息被泄露的风险,或者被泄露的风险程度很高,则 可以对用户的信息进行保护,其中。可以是保护的用户的信息,可以是指用户在当前网站中 输入的全部或部分用户信息,如果不存在风险,则可以不执行对用户信息保护的步骤。具体 的保护方法有多种,例如,可以在用户发出提交请求后,不执行将请求发送到当前网站服务器的操作,即阻止此次提交操作。当然,还可以同时提示用户“您的请求由于存在风险,已经 被取消”等文字信息。或者,为了避免由于误判对用户的正常登录产生影响,还可以在判断出存在被泄 露的风险或者风险程序较高之后,首先以多种方式向用户展现提示信息,即进行风险提示。 例如,可以通过弹出窗口的方式向用户显示以下提示信息“您可能正在将信息提交给钓鱼 网站或者您正在向可疑网站提交用户信息,请认真核实”,或者还可以以更醒目的图片等方 式进行提示,等等。而且,可以采用强制用户看提示信息的方式予以提示,也可以采用仅仅 是给提示,用户不看提示信息也不影响后续操作的方式予以提示。本发明实施例对提示的 具体方式、内容并没有限制。这样,用户可以很直观地获知到这一信息,并提高警惕,因此, 可以提高防止用户的信息泄露的有效性。其中,关于确定用户的信息被泄露的风险,以及向用户提供提示信息的时机,可以 是在用户在当前网站页面中输入完用户信息,通过点击“提交”等按钮执行提交操作之前, 这样,用户在看到提示信息之后,就可能不再执行提交操作,进而避免用户信息被泄露。或 者,也可以是在用户执行了提交动作之后,浏览器在将用户信息发送到当前网站的服务器 之前进行判断,如果发现可能存在风险,则对用户进行风险提示,同时还可以提供取消这次 提交或者继续此次提交操作的入口,例如,可以提供“放弃”和“继续”按钮等等。如果用户经 过进一步确认之后,确实认为存在风险,则可以点击浏览器提供的“放弃”等按钮,终止此次 提交,浏览器在接收到该指令之后,就可以不再将相应的请求向当前网站的服务器发送。否 则,如果用户进一步确认之后,认为当前网站是安全的,则可以点击浏览器提供的“继续”等 按钮,浏览器接收到该指令之后,再将相应的请求发送到当前网站的服务器。由此可见,采 用本发明技术方案,如果通过浏览器来实现,则可以更好的控制是否对可疑网站进行信息 提交以及何时提交,因此,相对通过其他客户端程序实现本发明实施例而言,效果更好。需 要说明的是,当判断出存在用户的信息被泄露的风险或者风险程度较高之后,提示的方式、 提示的时机,以及提示之后的具体处理方式多种多样,但无法穷尽,因此只给出了前面实施 例中的几种典型情况,但本发明实施例并不限于此,只要是在判断出存在用户信息被泄露 的风险或者风险程度较高之后采取任何一种提示处理方式,均在本发明的保护范围内。在实际应用中,可以保存关于各个可靠网站的一些信息,例如,可以保存可靠网站 的URL (统一资源定位符)信息,也即,可以保存一份各个可靠网站的URL信息名单,该名单 可以称之为白名单。这样就可以根据获取到的关键用户信息,以及关于各个可靠网站的信 息,来判断获取到的关键用户信息是否与在某已知的可靠网站中注册过的用户信息相同, 如果获取到的关键用户信息与在某可靠网站中注册过的用户信息相同,则证明可能存在用 户的信息被泄露的风险或者风险程度较高。具体实现时,可以通过多种方式判断获取到的关键用户信息是否与在已知的可靠 网站中注册过的信息相同。例如,其中一种方式可以是将获取到的关键用户信息提交到可 靠网站的服务器进行查询,根据服务器返回的结果确定获取到的关键用户信息是否与在某 可靠网站中注册过的用户信息相同。具体的实现时,可以根据各个可靠网站的URL,将获取到的关键用户信息,分别提 交到各个可靠网站的服务器,可靠网站的服务器可以按照正常的程序处理该请求,包括对 用户信息进行验证等等,并将验证结果返回给浏览器。浏览器在接收到可靠网站的服务器返回的响应消息之后,就可以通过对响应消息的分析获知是否通过验证。如果某可靠网站 的服务器返回的结果是验证通过,则证明获取到的关键用户信息与在该可靠网站注册过的 用户信息相同。需要说明的是,上述查询过程可以由浏览器在后台完成,即用户可以不必感知浏 览器的这一查询操作,当各个可靠网站的服务器返回响应消息之后,浏览器可以不必针对 这些响应消息进行网页的渲染等工作,直接提取出是否验证通过的消息进行判断即可。另外需要说明的是,在上述判断获取到的关键用户信息是否与在某可靠网站中注 册过的用户信息相同时,需要将用户信息发送到各个可靠网站服务器,但是这样并不会造 成用户信息的泄露。这是因为,造成用户信息泄露的原因,通常是由于将用户信息发送到一 些非法网站的服务器造成的;而这些预先统计的这些可靠网站,都是合法的网站,并不会以 获取用户信息为目的,对于可靠网站而言,当接收到带有用户信息的登录请求后,如果用户 信息验证不通过,则不会对用户信息进行保存,更不会利用用户信息进行一些非法行为。在本发明的其他实施例中,还可以预先获取用户在各个可靠网站中注册的信息并 进行保存,比如用户登陆可靠网站或在可靠网站填写注册信息时浏览器获取并存储的用户 在可靠网站的注册信息。或者,提供一个接口给用户,用户主动告知它想保护的用户信息 (比如是用户在某些可靠网站上注册过的信息),或者与某些可靠网站有合作、可靠网站提 供相关信息,等等,只要能够获取到用户在可靠网站注册过的信息即可。这样,可以根据获 取到的关键用户信息与预先存储的在可靠网站中注册过的用户信息进行比较,来判断获取 到的关键用户信息是否与在某可靠网站中注册过的用户信息相同。例如,假设可靠网站有网站A、B、C三个,则可以保存用户在这三个可靠网站中注 册的用户信息a、b、c。在用户实际进行浏览网页的过程中,假设当前网站是网站X,用户在 该网站的页面中输入了用户信息a。此时,浏览器通过将该用户信息与各个可靠网站中注册 的用户信息进行比对,即可获知用户在网站X的页面中输入的用户信息实际上应该是用户 在网站A中注册的用户信息。而如果用户直接将该用户信息a发送到网站X的服务器,则 可能存在泄漏该用户信息a的风险。因此,就可以对用户信息执行保护措施。其中,获取到的用户在可靠网站中注册过的用户信息可以保存在用户的客户端, 例如可以保存在用户自己的计算机中。当然,在这种情况下,只有当用户使用这台计算机 时,浏览器才可以用该方式来确定用户的信息被泄露的风险。因此,也可以将用户在各个可 靠网站注册的用户信息保存到浏览器的服务器,这样,只要用户登录浏览器的服务器,则无 论在哪台计算机上,浏览器都可以用该方式来确定用户的信息被泄露的风险。需要说明的是,用户信息列表中的记录可以是由浏览器抓取的,具体的,由于预先 建立了可靠网站列表,则对于具体的用户而言,如果用户在某可靠网站中注册用户信息,或 者用已有的用户信息登录某可靠网站时,浏览器就可以将用户在该可靠网站中的用户信息 抓取到并进行存储。当然,如果用户进行过修改用户信息,例如修改密码等操作时,浏览器 也可以对已存储的记录进行相应的更新。当然,也可以通过其他方式来获取用户在可靠网 站中注册的用户信息,例如,可以通过专用接口的方式,在浏览器的选项菜单等处提供用户 输入在各个可靠网站中注册的用户信息的入口,用户可以通过该入口将自己在各个可靠网 站中注册的用户信息告诉浏览器,浏览器就可以自动将其作为可靠网站的相关信息保存起 来。
存储可靠网站相关信息时,可以以明文的方式进行存储。即,在获取到用户在可靠 网站中注册的用户信息后,就可以将其以明文的方式保存起来。这样,当需要判断获取到的 关键用户信息是否与在某可靠网站中注册过的用户信息相同时,直接将获取到的关键用户 信息与存储的信息进行比对即可,如果保存的信息中存在与获取到的关键的用户信息相同 的信息,则证明获取到的关键用户信息与在某可靠网站中注册过的用户信息相同。当然,为了保证客户端或者服务器中存储的可靠网站相关信息的安全性,还可以 以密文的方式进行存储。也即,在获取到用户在各个可靠网站中注册的用户信息之后,可以 首先利用一种加密算法对用户信息进行加密,然后再将加密后的用户信息进行存储。这样, 在判断获取到的关键用户信息是否与在某可靠网站中注册过的用户信息相同时,可以首先 利用同样的加密算法对获取到的关键用户信息进行加密,然后再与存储的各条记录进行比 对,如果存在相匹配的记录,则证明该获取到的关键用户信息与在某可靠网站中注册过的 用户信息相同。需要说明的是,前面通过服务器验证关键用户信息与通过比对获知的在可靠网站 注册过的信息两种实现方式,也可以结合使用。比如,可以选择,能找到用户在可靠网站注 册过的信息,就用比对的方式进行;如果找不到,则可以发到服务器去进行验证。或者,反之 亦然。当然,在实际应用中,如果当前网站就是已知的可靠网站之一,则可以认为用户在 当前网站的页面中输入的用户信息不会存在风险,也就不需要对用户在该网站页面中输入 的用户信息进行保护。因此,在本发明的其他实施例中,可以通过判断所获取的关键用户信 息是否与在已知的可靠网站中注册过的用户信息相同,以及判断当前网站是否为已知的可 靠网站之一,来确定用户的信息被泄露的风险。具体的,可以首先识别当前网站是否为所述已知的可靠网站之一,如果不是,再判 断所获取的关键用户信息是否与在已知的可靠网站中注册过的用户信息相同,确定用户的 信息被泄露的风险;如果是已知可靠网站,就可以认为没有信息泄露风险。或者,也可以先 判断获取到的关键用户信息是否与在某可靠网站中注册过的用户信息相同,如果是,再识 别该当前网站是否就是该可靠网站,如果是,则不需要进行保护(认为没有泄露风险),如 果不是,则证明存在用户信息被泄露的风险或者风险程度很高,需要对用户的信息进行保 护。其中,具体在识别当前网站是否为已知的可靠网站之一时,可以获取当前网站的 URL信息,判断该当前网站的URL是否与某个可靠网站的URL相同,如果与某个可靠网站的 URL相同,则证明该网站是合法的网站,不用对用户进行风险提示。如果该当前网站的URL 与各个可靠网站的URL均不相同,则证明用户的此次输入可能有一定的泄露用户信息的风险。当然,还可以通过其他方式,来识别当前网站是否为已知的可靠网站之一,例如, 可以获取当前网站的logo(徽标,主要是网站用来与其它网站链接的图形标志,代表一个 网站或网站的一个板块)图片等信息,或者当前网站页面的DOM(Document Object Model, 文档对象模型)结构信息,通过将当前网站的Logo或DOM结构信息与可靠网站的Logo或 DOM结构信息进行比较的方式,来识别当前网站是否为已知的可靠网站之一。如果不是, 再根据所获取的用户信息以及已知的可靠网站的信息,确定是否存在用户信息被泄露的风险。当然,由于通过比对网站logo或者页面DOM来判断是否为可靠网站,有时不是百分百 准确,因此,为了谨慎起见,也可以对于那些通过网站logo或者页面DOM比对认为是可靠网 站的情况,也可以给出一定的风险提示,以便用户参考。如果是通过比对URL确定是否为已 知可靠网站,一般是相对准确的,因此,在通过这种方式确认当前网站是已知可靠网站时, 则可以不再对用户进行风险提示,认为是安全的。此外,如果通过某种手段(比如比较网站Logo)判断当前网站是否为已知可靠网 站可能不是百分百准确时,也可以不做这个步骤的判断,直接仅判断用户在当前网站输入 的用户关键信息是否与在已知可靠网站注册过的用户信息相同,如果是就给出风险提示; 如果不是,就不给出风险提示。如果通过某种手段(如比对URL)判断当前网站是否为已知 可靠网站是比较准确的,则可以先判断当前网站是否为已知可靠网站,如果是,则不再进行 后续步骤,也不给出风险提示,即认为是安全的;如果不是已知可靠网站,再进一步判断用 户在当前网站输入的关键用户信息是否与在已知可靠网站注册过的用户信息相同,如果是 则给出风险提示,如果不是则不给出风险提示。也就是说,假设用户在某可靠网站A中注册了某用户信息a,则当用户在某当前网 站的页面中进行用户信息输入时,如果该当前网站并不是网站A,而是网站B,并且用户在 网站B的页面中输入的用户信息却是用户信息a,则证明用户可能是误将在网站A中注册的 用户信息输入到网站B的页面中,一旦用户点击了提交操作,则会将具有隐私性质的用户 信息a发送到网站B的服务器,使得网站B的服务器获知了用户信息a。除去用户在网站A 和网站B中确实使用了相同的用户名和密码进行注册的情况以外,产生这种现象的原因就 可能是网站B是假冒或钓鱼网站,是故意将自己的URL做得与网站A的URL具有很高的相 似性,使得用户将网站B误认为是网站A。如果确实是这样,那么这些用户信息将会被网站 B的服务器所利用,可能会进行一些非法操作,显然,这将会很危险。因此,在本发明实施例 中,就可以认为在这种情况下,可能存在用户信息被泄露的风险,可以通过判断用户信息是 否与在某可靠网站中注册过的用户信息相同,来进一步确定用户的信息被泄露的风险,如 果存在风险或者风险程序很高,则可以对用户的信息执行保护。例如,向用户展现风险提示 信息,用户在发现风险提示信息之后,就可以提高警惕性,可能会想到需要验证一下当前网 站的合法性,如果经验证,该当前网站确实是一个不合法的网站,则用户可以取消将用户信 息提交到该网站服务器的操作,这样,用户信息就不会被该网站服务器获知,保证了用户信 息不会被泄露。在其他的具体实施方式
中,还可以通过其他方式来确定用户的信息被泄露的风 险。例如,可以通过比较当前网站与已知的可靠网站之间的网站相似度的方式来进行判断。 下面对此进行详细地介绍。实施例二参见图2,本发明实施例二提供的防止用户信息泄露的方法包括以下步骤S201 如果用户在当前网站页面中输入用户信息,则获取所述当前网站的网站信 息;S202 通过比对所述当前网站与已知的可靠网站的网站相似度,确定用户的信息 被泄露的风险;实际上,由于假冒网站或钓鱼网站的目的就是骗取用户的用户信息,让用户误以为该假冒网站或钓鱼网站是另一个网站。因此,为了避免引起用户的怀疑,不法分子在制作 某网站A的假冒网站或钓鱼网站时,通常会将自己网站的URL和/或页面做得与网站A很 相似。而如果某网站并不是假冒网站或钓鱼网站,则通常不会具有这样的特点。因此,在该具体实施方式
中,可以利用这一特点,即通过比较当前网站与预置的可 靠网站之间的网站相似度,来判断当前网站是否可能为假冒网站或钓鱼网站,进而判断用 户信息是否存在被泄露的风险。S203:根据所述用户的信息被泄露的风险,对用户的信息进行保护。具体对用户的信息进行保护的方法,可以如实施例一所述,这里不再赘述。具体实现时,一种方式是可以判断网站URL的相似度,根据判断结果,来确定是否 存在用户的信息被泄露的风险,或者风险程度很高。也即判断当前网站的URL是否与某个 可靠网站的URL很相似,如果确实很相似,则需要对用户的信息进行保护。其中,在判断网站URL之间的相似度时,由于URL通常是由一系列字符组成的字符 串,因此,可以通过逐个比对各个字符的方式,来判断其中有多少字符是相同的,不同的字 符之间字符的是否相似等方式进行判断。另一种方式是可以判断网站页面内容之间的相似度,根据判断结果,来确定用户 的信息被泄露的风险。也即判断当前网站的页面内容是否与某个可靠网站的页面内容很相 似,如果确实很相似,则需要对用户的信息进行保护。具体的,参见图3,在这种方式下,防止用户信息泄露的方法可以包括以下步骤S301 如果用户在当前网站页面中输入用户信息,则获取所述当前网站的页面内
容信息;S302 通过比对当前网站与预置的可靠网站之间的页面内容相似度,确定用户的 信息被泄露的风险;S303:根据所述用户的信息被泄露的风险时,对用户的信息进行保护。在这种实现方式下,可以获取当前网站的页面内容信息,通过比对当前网站与预 置的可靠网站之间的页面内容相似度,确定是否存在用户信息被泄露的风险,当存在用户 信息被泄露的风险时,对所述用户信息进行保护。例如,页面内容信息可以包括页面的DOM 结构、Logo图片或网页截图等信息。这样,在判断网站页面内容之间的相似度时,就可以采 用比较页面的DOM结构、比对页面Logo图片或网页截图等方式进行。具体判断页面是否相 似的方法还有很多,由于无法穷尽,因此仅举出几个典型的比较方式,但只要是比较页面相 似度来协助确定用户的信息被泄露的风险方式,都在本发明的保护范围内。如前文实施例一及实施例二所述,介绍了多种确定用户的信息被泄露的风险的具 体实现方式,在实际应用中,还可以将各种方式配合使用,以获得更加准确的判断结果。例如,在实际应用中,有些用户为了方便记忆,可能确实存在不同的网站中用相同 的用户名及密码进行注册的情况。如,用户在某可靠网站中注册的用户信息是用户信息a, 而在另一网站Y中也是使用用户信息a进行注册的,并且该网站Y并不是预先设置的可靠 网站之一,但是该网站Y是合法的;这样,当用户在网站Y中输入用户信息a时,浏览器会发 现该用户信息a是用户在可靠网站A中注册的用户信息,因此,可能会认为存在用户的信息 被泄露的风险。但是,显然,由于网站Y本身是合法的,并且用户信息a确实是用户在该网 站注册过程,因此,此时可能是不存在用户的信息被泄露风险的。因此,一种可选的方案是,在这种情况下不对用户信息执行保护措施。因此,为了提高判断的准确度,就可以通过判断所获取的关键用户信息是否与在 已知的可靠网站中注册过的用户信息相同,以及比对当前网站与已知的可靠网站之间的网 站相似度,来确定是否存在用户信息被泄露的风险。也即,在通过判断获取到的关键用户信 息是否与在某可靠网站中注册过的用户信息相同,来确定是否存在用户信息被泄露的风险 的基础上,还可以通过比较网站相似度等方式来进一步对判断的结果进行验证。具体的,可以判断所获取的关键用户信息是否与在已知的可靠网站中注册过的用 户信息相同,以及比对当前网站与已知的可靠网站之间的网站相似度,如果判断出所获取 的关键用户信息为用户在某已知的可靠网站中注册过的信息,并且所述当前网站与该可靠 网站之间网站相似度达到预置条件,则存在用户信息被泄露的风险。例如,在判断出获取到 的关键用户信息确实与在某可靠网站中注册过的信息相同之后,则证明可能存在用户的信 息被泄露的风险;此时,还可以进一步判断当前网站与该可靠网站之间是否具有很高的网 站相似度(即相似度达到预置条件),如果是,则证明该当前网站是假冒网站或钓鱼网站的 可能性比较高,也即,用户信息一旦提交到该网站服务器,被泄露的风险比较高,此时,再对 用户信息执行保护措施。当然,在这种两种方式相结合的情况下,还可以先进行网站相似度的判断,然后再 判断获取的关键用户信息是否与在某可靠网站中注册过的用户信息相同。例如,如果当前 网站与某可靠网站的网站相似度比较高,则可以进一步判断用户当前输入的用户信息是否 与在该可靠网站中注册过的用户信息相同,如果是,则证明当前网站极有可能为钓鱼网站, 用户信息有被泄露的风险。也即,在上述结合的情况下,如果所获取的关键用户信息与在已知可靠网站中注 册过的用户信息相同,并且当前网站与已知可靠网站之间的网站相似度达到预置条件,则 确定存在用户的信息被泄露的风险。或者,如果所获取的关键用户信息与在已知可靠网站 中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当前网站 与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。此外,在上述结合的基础上,还可以进一步与判断当前网站不是已知的可靠网站 之一相结合。如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已 知可靠网站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度 达到预置条件,则确定存在用户的信息被泄露的风险;或者,如果当前网站不是已知的可靠 网站之一,并且所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确 定存在所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相 似度确定用户的信息被泄露的风险程度。在这种多种方式相结合的情况下,在对用户的信息执行保护措施时,也可以采用 如实施例一所述的方式。例如,在为用户提供提示信息的情况下,可以只有获取的关键用户 信息与在某可靠网站中注册的用户信息相同,并且当前网站又与该可靠网站具有很高的网 站相似度时才进行风险提示;否则,即便获取的关键用户信息与在某可靠网站中注册过的 用户信息相同,只要当前网站与该可靠网站的网站相似度不高,也不进行风险提示。当然,也可以采用更加细分的提示方式。例如,可以采用分级风险提示,具体可以 是,只要获取的关键用户信息与在某可靠网站中注册的用户信息相同就可以提示,但如果当前网站与该可靠网站的相似程度不同,则提示的风险级别以及提示的内容都可以不同。 例如,如果获取的关键用户信息与在某可靠网站中注册的用户信息相同,并且当前网站又 与该可靠网站具有很高的网站相似度,则提示的风险级别最高,例如,可以采用强制用户查 看提示信息的提示方式。而如果获取的关键用户信息与在某可靠网站中注册的用户信息相 同,但是当前网站与该可靠网站之间的网站相似度非常低,则提示的风险级别(一种代表 风险程度的方式,还可以有其他代表风险程度的方式)次之,例如,可以采用不强制用户查 看提示信息的提示方式;当然,如果获取的关键用户信息与在某可靠网站中注册的用户信 息不相同,则可以不进行风险提示,等等。需要说明的是,在实际应用中,还可能存在以下情况用户在某可靠网站A中注册 了用户信息a,在另一个网站B中注册的用户信息也是a。此时,虽然,该网站B不是一个钓 鱼网站,但是由于网站B自身并没有注重对用户信息的保护,则同样可能会造成用户信息 的泄露。因此,在本发明实施例中,如果判断出获取的关键用户信息与在某可靠网站中注册 过的用户信息相同之后,发现当前网站与该可靠网站并不具有很强的网站相似性,即该当 前网站是钓鱼网站的可能性并不是很高时,同样可以对用户进行提示,例如提示用户“您的 用户信息与某可靠网站中的用户信息相同,建议修改”等等。以上所述对本发明实施例提供的防止用户信息泄露的方法进行了详细地介绍。 当然,在实际应用中,还可以有其他一些替代方案,形成新的防止用户信息泄露的方法,比 如替代方案一可以将前述实施例中“判断所获取的关键用户信息与在已知可靠网站中注册过的 用户信息是否相同”这一技术手段,变换为“判断所获取的关键用户信息与在已知可靠网 站中注册过的用户信息之间的相似度是否达到预置条件”,而实施例中的其余相关技术手 段做类似处理即可。比如,“判断所获取的关键用户信息与在已知可靠网站中注册过的用户 信息之间的相似度是否达到预置条件”的具体判断方式,可以与“判断所获取的关键用户信 息是否与在已知可靠网站中注册过的用户信息相同”的具体判断方式类似,只要将“是否相 同”修改为“相似度是否达到预置条件”即可,比如通过去服务器端验证得到相似度是否达 到预置条件,或者通过将获取的关键用户信息与获知的在可靠网站注册的用户信息进行比 较来得到,等等,前面实施例中适用于判断两者是否相同的具体实现方式,也均适用于用来 判断两者相似度是否达到预置条件。对判断结果为“获取的关键用户信息与在已知可靠网 站中注册过的用户信息之间的相似度达到预置条件”的后续处理方式,与对判断结果为“所 获取的关键用户信息与在已知可靠网站中注册过的用户信息相同”的后续处理方式相同。 关于与判断网站相似度等其他方式的结合,也可以与前述实施例相同,等等,如此类推,此 处不再赘述。基于该实施例,形成另外一种防止用户信息泄露的方法,包括获取用户在当 前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息与用户在已知可 靠网站中注册过的信息之间的相似度是否达到预置条件,确定用户的信息被泄露的风险; 根据所述用户的信息被泄露的风险,对用户的信息进行保护。其中,在通过判断所获取的关键用户信息与在已知可靠网站中注册过的用户信 息之间的相似度是否达到预置条件,来确定用户的信息被泄露的风险时,判决方式可以有 多种,例如,最简单的判断方式是,可以设置相似度的预置条件,例如,当相似度达到百分之八十或百分之九十等某个阈值或者其他条件时,就确定存在被泄露的风险,否则不存在被 泄露的风险。等等。对于上述部分相似即认为可能存在泄漏风险的情况,在实际应用中的意义是假 设某用户在某网站中注册时使用的用户信息,与该用户在某涉及经济利益等重要网站(即 本发明实施例所述已知可靠网站)中注册时使用的用户信息非常接近,例如,可能是用户 名相同,密码中只有一位或两位不同,其他全部相同,或者密码相同,只是用户名略有不同, 等等,那么由于当前网站自身对安全性方面的考虑不足等原因,认为用户在重要网站中注 册的用户信息也很可能会因此而泄漏,因此,也相当于存在用户信息被泄露的风险。替代方案二可以将前述实施例中“判断所获取的关键用户信息是否与在已知可靠网站中注册 过的用户信息相同”这一技术手段,变换为“判断所获取的关键用户信息是否与用户主动 提交的需要保护的用户信息相同”,而实施例中的其余相关技术手段做类似处理即可。比 如,“判断所获取的关键用户信息是否与用户主动提交的需要保护的用户信息相同”的具体 判断方式,可以与“判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信 息相同”的具体判断方式类似;对判断结果为“获取的关键用户信息与用户主动提交的需要 保护的用户信息相同”的后续处理方式,与对判断结果为“所获取的关键用户信息与在已知 可靠网站中注册过的用户信息相同”的后续处理方式相同。关于与判断网站相似度等其他 方式的结合,也可以与前述实施例相同,等等,如此类推,此处不再赘述。在该替代方案二中,关于“用户主动提交的需要保护的用户信息”相当于提供一个 接口给用户,用户通过该接口主动告知浏览器他想保护的用户信息。替代方案三可以将前述实施例中“判断所获取的关键用户信息是否与在已知可靠网站中注册 过的用户信息相同”这一技术手段,变换为“判断所获取的关键用户信息与用户主动提交 的需要保护的用户信息之间的相似度是否达到预置条件”,而实施例中的其余相关技术手 段做类似处理即可。比如,“判断所获取的关键用户信息与用户主动提交的需要保护的用 户信息之间的相似度是否达到预置条件”的具体判断方式,可以与“判断所获取的关键用户 信息是否与在已知可靠网站中注册过的用户信息相同”的具体判断方式类似;对判断结果 为“获取的关键用户信息与用户主动提交的需要保护的用户信息之间的相似度达到预置条 件”的后续处理方式,与对判断结果为“所获取的关键用户信息与在已知可靠网站中注册过 的用户信息相同”的后续处理方式相同。关于与判断网站相似度等其他方式的结合,也可以 与前述实施例相同,等等,如此类推,此处不再赘述。本领域普通技术人员可以理解实现上述实施例方法中的全部或部分步骤是可以 通过程序来指令相关的硬件来完成,所述的程序可以存储于一计算机可读取存储介质中, 该程序在执行时,包括如下步骤获取用户在当前网站页面中输入的关键用户信息;至少 通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信息相同,确定用 户的信息被泄露的风险;根据所述用户的信息被泄露的风险,对用户的信息进行保护。或 者,如果用户在当前网站页面中输入用户信息,则获取所述当前网站的页面内容信息;通过 比对当前网站与预置的可靠网站之间的页面内容相似度,确定用户的信息被泄露的风险; 根据所述用户的信息被泄露的风险,对所述用户的信息进行保护。所述的存储介质,如ROM/RAM、磁碟、光盘等。与本发明实施例提供的方法用户信息泄露的方法相对应,本发明实施例还提供了 一种防止用户信息泄露的系统,参见图4,该系统包括第一信息获取单元401,用于获取用户在当前网站页面中输入的关键用户信息;第一风险确定单元402,用于至少通过判断所获取的关键用户信息是否与在已知 可靠网站中注册过的用户信息相同,确定用户的信息被泄露的风险;第一保护单元403,用于根据所述用户的信息被泄露的风险,对用户的信息进行保 护。其中,第一风险确定单元402可以包括第一判断子单元,用于将所获取的关键用户信息提交到已知可靠网站的服务器进 行查询,根据服务器返回的结果,确定所获取的关键用户信息是否与在已知的可靠网站中 注册过的用户信息相同。或者,所述第一风险确定单元402也可以包括第二判断子单元,用于将所获取的关键用户信息与预先获知的在已知可靠网站中 注册过的用户信息进行比较,根据比较结果判断所获取到的关键用户信息是否与在已知的 可靠网站中注册过的用户信息相同。在实际应用中,除了判断所获取的关键用户信息是否与在已知的可靠网站中注册 过的用户信息相同以外,还可以判断当前网站是否为已知的可靠网站之一,通过两个判断 结果,来最终确定是否存在用户信息被泄露的风险,此时,第一风险确定单元还包括用于 通过判断当前网站是否为已知的可靠网站之一,确定用户的信息被泄露的风险;如果当前 网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网站中注册过的 用户信息相同,则确定存在用户的信息被泄露的风险。或者,除了判断所获取的关键用户信息是否与在已知的可靠网站中注册过的用户 信息相同(可选的,还有判断是否为可靠网站)以外,还可以考虑网站相似度,来最终确定 是否存在用户信息被泄露的风险,此时,第一风险确定单元还可以包括通过判断当前网站 与已知的可靠网站之间的网站相似度,确定用户的信息被泄露的风险。这样,在上述多种方式相结合的情况下,判决方式可以有多种,例如如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,并且当 前网站与已知可靠网站之间的网站相似度达到预置条件,则确定存在用户的信息被泄露的 风险;或者,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定 存在所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相似 度确定用户的信息被泄露的风险程度;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度达到 预置条件,则确定存在用户的信息被泄露的风险;或者,
如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当 前网站与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。当然,在仅依据一种方式进行判断的情况下,可以是,如果所获取的关键用户信息 与在已知可靠网站中注册过的用户信息相同,则确定存在用户的信息被泄露的风险。具体的,所述第一风险确定单元在判断当前网站与已知的可靠网站之间的网站相 似度时具体可以比对当前网站与已知的可靠网站之间的统一资源定位符URL之间的相似 度,和/或页面内容之间的相似度。具体实现时,第一保护单元403可以包括提示子单元,用于如果存在用户的信息被泄露的风险,则对用户进行风险提示;或者,阻止子单元,用于如果所述用户的信息被泄露的风险达到预置程度,则阻止将用 户的信息向所述当前网站的服务器进行提交。与本发明实施例提供的另一种防止用户信息泄露的方法相对应,本发明实施例还 提供了另一种防止用户信息泄露的系统,参见图5,该系统包括第二信息获取单元501,用于如果用户在当前网站页面中输入用户信息,则获取所 述当前网站的页面内容信息;第二风险确定单元502,用于通过比对当前网站与预置的可靠网站之间的页面内 容相似度,确定用户的信息被泄露的风险;第二保护单元503,用于根据所述用户的信息被泄露的风险,对所述用户的信息进 行保护。通过本发明实施例提供的系统,能够获取用户在当前网站页面中输入的关键用户 信息,至少通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信息相 同,确定用户的信息被泄露的风险;或者,如果用户在当前网站页面中输入用户信息,则获 取所述当前网站的页面内容信息,通过比对当前网站与预置的可靠网站之间的页面内容相 似度,确定用户的信息被泄露的风险;根据用户的信息被泄露的风险时,对用户的信息进行 保护。这种保护方法不依赖于用户的认知水平,因此,可以提高对用户信息进行保护的有效 性。以上所述对本发明实施例提供的防止用户信息泄露的系统进行了详细地介绍。 当然,在实际应用中,还可以有其他一些替代方案,形成新的防止用户信息泄露的系统,比 如替代方案一可以将前述系统实施例中“判断所获取的关键用户信息与在已知可靠网站中注册 过的用户信息是否相同”这一技术手段,变换为“判断所获取的关键用户信息与在已知可 靠网站中注册过的用户信息之间的相似度是否达到预置条件”,而实施例中的其余相关技 术手段做类似处理即可。比如,“判断所获取的关键用户信息与在已知可靠网站中注册过的 用户信息之间的相似度是否达到预置条件”的具体判断方式,可以与“判断所获取的关键用 户信息是否与在已知可靠网站中注册过的用户信息相同”的具体判断方式类似,只要将“是 否相同”修改为“相似度是否达到预置条件”即可,比如通过去服务器端验证得到相似度是否达到预置条件,或者通过将获取的关键用户信息与获知的在可靠网站注册的用户信息进 行比较来得到,等等,前面实施例中适用于判断两者是否相同的具体实现方式,也均适用于 用来判断两者相似度是否达到预置条件。对判断结果为“获取的关键用户信息与在已知可 靠网站中注册过的用户信息之间的相似度达到预置条件”的后续处理方式,与对判断结果 为“所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同”的后续处理方式 相同。关于与判断网站相似度等其他方式的结合,也可以与前述实施例相同,等等,如此类 推,此处不再赘述。基于该实施例,形成另外一种防止用户信息泄露的系统,包括第三信息 获取单元,用于获取用户在当前网站页面中输入的关键用户信息;第三风险确定单元,用于 至少通过判断所获取的关键用户信息与用户在已知可靠网站中注册过的信息之间的相似 度是否达到预置条件,确定用户的信息被泄露的风险;第三保护单元,用于根据所述用户的 信息被泄露的风险,对用户的信息进行保护。其中,在通过判断所获取的关键用户信息与在已知可靠网站中注册过的用户信 息之间的相似度是否达到预置条件,来确定用户的信息被泄露的风险时,判决方式可以有 多种,例如,最简单的判断方式是,可以设置相似度的预置条件,例如,当相似度达到百分之 八十或百分之九十等某个阈值或者其他条件时,就确定存在被泄露的风险,否则不存在被 泄露的风险,等等。对于上述部分相似即认为可能存在泄漏风险的情况,在实际应用中的意义是假 设某用户在某网站中注册时使用的用户信息,与该用户在某涉及经济利益等重要网站(即 本发明实施例所述已知可靠网站)中注册时使用的用户信息非常接近,例如,可能是用户 名相同,密码中只有一位或两位不同,其他全部相同,或者密码相同,只是用户名略有不同, 等等,那么由于当前网站自身对安全性方面的考虑不足等原因,认为用户在重要网站中注 册的用户信息也很可能会因此而泄漏,因此,也相当于存在用户信息被泄露的风险。替代方案二可以将前述系统实施例中“判断所获取的关键用户信息是否与在已知可靠网站中 注册过的用户信息相同”这一技术手段,变换为“判断所获取的关键用户信息是否与用户 主动提交的需要保护的用户信息相同”,而实施例中的其余相关技术手段做类似处理即可。 比如,“判断所获取的关键用户信息是否与用户主动提交的需要保护的用户信息相同”的具 体判断方式,可以与“判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户 信息相同”的具体判断方式类似;对判断结果为“获取的关键用户信息与用户主动提交的需 要保护的用户信息相同”的后续处理方式,与对判断结果为“所获取的关键用户信息与在已 知可靠网站中注册过的用户信息相同”的后续处理方式相同。关于与判断网站相似度等其 他方式的结合,也可以与前述实施例相同,等等,如此类推,此处不再赘述。在该替代方案二中,关于“用户主动提交的需要保护的用户信息”相当于提供一个 接口给用户,用户通过该接口主动告知浏览器他想保护的用户信息。替代方案三可以将前述系统实施例中“判断所获取的关键用户信息是否与在已知可靠网站中 注册过的用户信息相同”这一技术手段,变换为“判断所获取的关键用户信息与用户主动 提交的需要保护的用户信息之间的相似度是否达到预置条件”,而实施例中的其余相关技 术手段做类似处理即可。比如,“判断所获取的关键用户信息与用户主动提交的需要保护的用户信息之间的相似度是否达到预置条件”的具体判断方式,可以与“判断所获取的关键用 户信息是否与在已知可靠网站中注册过的用户信息相同”的具体判断方式类似;对判断结 果为“获取的关键用户信息与用户主动提交的需要保护的用户信息之间的相似度达到预置 条件”的后续处理方式,与对判断结果为“所获取的关键用户信息与在已知可靠网站中注册 过的用户信息相同”的后续处理方式相同。关于与判断网站相似度等其他方式的结合,也可 以与前述实施例相同,等等,如此类推,此处不再赘述。需要说明的是,前述本发明实施例的系统可以是浏览器或者插件,即一种防止用 户信息泄露的浏览器或者一种防止用户信息泄露的插件,这样,只要浏览器本身或者通过 插件实现了前述功能,就可以有效地防止用户信息泄露。而且,前述本发明系统的各个组成 部分是基于逻辑上的划分,在实际应用中,可以拆分或组合,即一个逻辑组成部分可以通过 多个实际组成部件来实现,或者多个逻辑组成部分可以通过一个实际组成部件来实现,本 发明对此并没有限制。系统实施例中各组成部分的具体实现方式,参见前述方法实施例中 的对应内容。以上对本发明所提供的防止用户信息泄露的方法及系统,进行了详细介绍,本文 中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮 助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思 想,在具体实施方式
及应用范围上均会有改变之处。综上所述,本说明书内容不应理解为对 本发明的限制。
权利要求
1.一种防止用户信息泄露的方法,其特征在于,包括获取用户在当前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信息相 同,确定用户的信息被泄露的风险;根据所述用户的信息被泄露的风险,对用户的信息进行保护。
2.根据权利要求1所述的方法,其特征在于,所述判断所获取的关键用户信息是否与 在已知的可靠网站中注册过的用户信息相同包括将所获取的关键用户信息提交到已知可靠网站的服务器进行查询,根据服务器返回的 结果,确定所获取的关键用户信息是否与在已知的可靠网站中注册过的用户信息相同。
3.根据权利要求1所述的方法,其特征在于,所述判断所获取的用户信息是否与在已 知可靠网站中注册过的用户信息相同包括将所获取的关键用户信息与预先获知的在已知可靠网站中注册过的用户信息进行比 较,根据比较结果判断所获取到的关键用户信息是否与在已知的可靠网站中注册过的用户 信息相同。
4.根据权利要求1所述的方法,其特征在于,还包括通过判断当前网站是否为已知的 可靠网站之一,确定用户的信息被泄露的风险;如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网 站中注册过的用户信息相同,则确定存在用户的信息被泄露的风险。
5.根据权利要求1至4任一项所述的方法,其特征在于,还包括通过判断当前网站与 已知的可靠网站之间的网站相似度,确定用户的信息被泄露的风险。
6.根据权利要求5所述的方法,其特征在于如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,并且当前 网站与已知可靠网站之间的网站相似度达到预置条件,则确定存在用户的信息被泄露的风 险;或者,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定存在 所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相似度确 定用户的信息被泄露的风险程度;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网 站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度达到预置 条件,则确定存在用户的信息被泄露的风险;或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网 站中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当前网 站与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。
7.根据权利要求5所述的方法,其特征在于,所述判断当前网站与已知的可靠网站之 间的网站相似度包括比对当前网站与已知的可靠网站之间的统一资源定位符URL之间的相似度,和/或页面内容之间的相似度。
8.根据权利要求1所述的方法,其特征在于如果所获取的关键用户信息与在已知可 靠网站中注册过的用户信息相同,则确定存在用户的信息被泄露的风险。
9.根据权利要求1所述的方法,其特征在于,所述根据所述用户的信息被泄露的风险, 对用户的信息进行保护包括如果存在用户的信息被泄露的风险,则对用户进行风险提示;或者,如果所述用户的信息被泄露的风险达到预置程度,则阻止将用户的信息向所述当前网 站的服务器进行提交。
10.一种防止用户信息泄露的方法,其特征在于,包括如果用户在当前网站页面中输入用户信息,则获取所述当前网站的页面内容信息;通过比对当前网站与预置的可靠网站之间的页面内容相似度,确定用户的信息被泄露 的风险;根据所述用户的信息被泄露的风险,对所述用户的信息进行保护。
11.一种防止用户信息泄露的系统,其特征在于,包括第一信息获取单元,用于获取用户在当前网站页面中输入的关键用户信息;第一风险确定单元,用于至少通过判断所获取的关键用户信息是否与在已知可靠网站 中注册过的用户信息相同,确定用户的信息被泄露的风险;第一保护单元,用于根据所述用户的信息被泄露的风险,对用户的信息进行保护。
12.根据权利要求11所述的系统,其特征在于,所述第一风险确定单元包括第一判断子单元,用于将所获取的关键用户信息提交到已知可靠网站的服务器进行查 询,根据服务器返回的结果,确定所获取的关键用户信息是否与在已知的可靠网站中注册 过的用户信息相同。
13.根据权利要求11所述的系统,其特征在于,所述第一风险确定单元包括第二判断子单元,用于将所获取的关键用户信息与预先获知的在已知可靠网站中注册 过的用户信息进行比较,根据比较结果判断所获取到的关键用户信息是否与在已知的可靠 网站中注册过的用户信息相同。
14.根据权利要求11所述的系统,其特征在于,所述第一风险确定单元还包括用于通 过判断当前网站是否为已知的可靠网站之一,确定用户的信息被泄露的风险;如果当前网 站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网站中注册过的用 户信息相同,则确定存在用户的信息被泄露的风险。
15.根据权利要求11至14任一项所述的系统,其特征在于,所述第一风险确定单元还 包括用于通过判断当前网站与已知的可靠网站之间的网站相似度,确定用户的信息被泄 露的风险。
16.根据权利要求15所述的系统,其特征在于,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,并且当前 网站与已知可靠网站之间的网站相似度达到预置条件,则确定存在用户的信息被泄露的风 险;或者,如果所获取的关键用户信息与在已知可靠网站中注册过的用户信息相同,则确定存在 所述关键用户信息被泄露的风险,并根据当前网站与已知的可靠网站之间的网站相似度确 定用户的信息被泄露的风险程度; 或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网 站中注册过的用户信息相同,并且当前网站与已知的可靠网站之间的网站相似度达到预置 条件,则确定存在用户的信息被泄露的风险; 或者,如果当前网站不是已知的可靠网站之一,并且所获取的关键用户信息与在已知可靠网 站中注册过的用户信息相同,则确定存在所述关键用户信息被泄露的风险,并根据当前网 站与已知的可靠网站之间的网站相似度确定用户的信息被泄露的风险程度。
17.根据权利要求15所述的系统,其特征在于,所述第一风险确定单元在判断当前网 站与已知的可靠网站之间的网站相似度时,具体是比对当前网站与已知的可靠网站之间的 统一资源定位符URL之间的相似度,和/或页面内容之间的相似度。
18.根据权利要求11所述的系统,其特征在于如果所获取的关键用户信息与在已知 可靠网站中注册过的用户信息相同,则确定存在用户的信息被泄露的风险。
19.根据权利要求11至15中任一项所述的系统,其特征在于,所述第一保护单元包括提示子单元,用于如果存在用户的信息被泄露的风险,则对用户进行风险提示; 或者,阻止子单元,用于如果所述用户的信息被泄露的风险达到预置程度,则阻止将用户的 信息向所述当前网站的服务器进行提交。
20.一种防止用户信息泄露的系统,其特征在于,包括第二信息获取单元,用于如果用户在当前网站页面中输入用户信息,则获取所述当前 网站的页面内容信息;第二风险确定单元,用于通过比对当前网站与预置的可靠网站之间的页面内容相似 度,确定用户的信息被泄露的风险;第二保护单元,用于根据所述用户的信息被泄露的风险,对所述用户的信息进行保护。
21.一种防止用户信息泄露的方法,其特征在于,包括 获取用户在当前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息与用户在已知可靠网站中注册过的信息之间的 相似度是否达到预置条件,确定用户的信息被泄露的风险;根据所述用户的信息被泄露的风险,对用户的信息进行保护。
22.一种防止用户信息泄露的系统,其特征在于,包括第三信息获取单元,用于获取用户在当前网站页面中输入的关键用户信息; 第三风险确定单元,用于至少通过判断所获取的关键用户信息与用户在已知可靠网站 中注册过的信息之间的相似度是否达到预置条件,确定用户的信息被泄露的风险; 第三保护单元,用于根据所述用户的信息被泄露的风险,对用户的信息进行保护。
全文摘要
本发明公开了防止用户信息泄露的方法及系统,其中一种方法包括获取用户在当前网站页面中输入的关键用户信息;至少通过判断所获取的关键用户信息是否与在已知可靠网站中注册过的用户信息相同,确定用户的信息被泄露的风险;根据所述用户的信息被泄露的风险,对用户的信息进行保护。通过本发明,能够提高防止用户信息泄露的有效性。
文档编号G06F21/00GK102073822SQ20111003301
公开日2011年5月25日 申请日期2011年1月30日 优先权日2011年1月30日
发明者刘焱, 武健, 赵丰 申请人:北京搜狗科技发展有限公司