专利名称:基于网关、网桥防范网络钓鱼网站的方法
技术领域:
本发明涉及一种帮助用户过滤伪装成使用SSL协议加密的可信网站(如网上银行、证券网站)的方法,即一种识别网络钓鱼网站的方法。
背景技术:
为防止用户数据穿过非信任网络区时被窃取,用户与使用SSL协议加密的网站(如网上银行、证券网站等)的通讯数据都经过SSL协议加密。但加密只是防止数据在传输过程中被窃取,而和用户通讯的另一端(被访问的网站)的身份并没有经过核实。比如与用户通讯的另一端可能是一个伪装成网上银行网站的恶意网站。这种通过伪装成可信网站,以欺骗手段获取用户机密数据(包括用户名,密码等)的实体统称为钓鱼网站。由于数据已经经过加密,传统防火墙对这些钓鱼网站的控制显得无能为力。普通用户出于对SSL协议高强度加密的信任与对SSL协议专业知识的缺乏,往往无法判断出所访问的网站提供的SSL证书是否合法,而导致个人机密数据被钓鱼网站骗取的事件时有发生。因此,在安全方面存在缺陷,无法过滤伪装成可信网站的钓鱼网站。
发明内容
本发明的目是提供一种能够过滤网络钓鱼网站的方法,防止用户被网络钓鱼网站骗取用户名,密码等个人私秘数据而造成经济损失。
本发明的目可以通过以下方法实现,该方法包含以下步骤第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关所捕获;第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;
第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
本方法中用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
本发明的目还可以通过以下方法实现,该方法包含以下步骤第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
本方法中用户也可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
基于如上所述,本发明对与使用SSL协议的用户通讯的另一端(网站)的身份进行核实,能过滤掉网络钓鱼网站,从而防止了用户遭受网络钓鱼而导致经济受损或个人私秘信息外泄,无疑具有重大意义。
图1是本发明的第一种网络连接示意图。
图2是本发明的第二种网络连接示意图。
图3是本发明的流程图。
具体实施例方式
本发明的第一种实现方法如图1所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
首先说明本方法的工作方式。如图3所示,安全网关或网桥捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取X.509证书链。根据PKI的相关标准以及用户提供的可信任证书列表对所提取握手过程所传输的X.509证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接。
按图1所示,把安全网关或网桥布置在用户上网终端与被访问网站的网络链路中间,访问外部网络的内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据都需经过安全网关或网桥。安全网关可以捕获经过SSL加密的数据,捕获SSL协议的握手过程,提取SSL协议的握手过程的证书链,根据PKI的相关标准以及用户提供的可信任证书列表对所提取的证书链的合法性进行验证,安全网关或网桥允许证书链合法的SSL连接通过,过滤并阻止证书链不合法的SSL连接,从而允许终端用户和可信网站的网络连接,切断许终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关、网桥上导入或删除可信任的证书列表。
本发明的另一种实现方法如图2所示,其安全网关或网桥的电气特性与一般的Internet网关相同。
按图2所示,把安全网关或网桥接入可以监听到用户上网数据的设备上。比如三层交换机的镜像口,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站的SSL连接A的数据拷贝或者钓鱼网站的SSlB连接数据拷贝。安全网关或网桥根据PKI的相关标准以及用户提供的可信任证书列表对所提取SSL连接的证书链的合法性进行验证,安全网关或网桥区分合法的SSL连接A与非法的SSLB连接,并发出命令切断非法的SSL连接,从而允许终端用户和可信网站的网络连接,切断终端用户和网络钓鱼网站的连接。在本方法中,管理员可以在网关或网桥上导入或删除可信任的证书列表。
本发明不限于上述实施例,凡依本发明权利要求范围所做的均等变化与修饰,皆应属本发明权利要求的涵盖范围。
权利要求
1.一种基于网关、网桥防范网络钓鱼网站的方法,包含以下步骤第一步,在用户上网终端与被访问网站中间加入安全网关或网桥设备,使经过SSL加密的数据可以被安全网关所捕获;第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;第三步,在安全网关或网桥上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,过滤并阻止证书链不合法的SSL连接。
2.根据权利要求1所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
3.一种基于网关或网桥防范网络钓鱼网站的方法,包含以下步骤第一步,把安全网关或网桥接入可以监听到用户上网数据的设备上,使得安全网关或网桥可以捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;第二步,在该安全网关或网桥上提供设置界面,让用户导入可信任的X.509证书列表;第三步,在安全网关或网桥上捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;第四步,根据PKI的相关标准以及用户提供的可信任证书列表对证书链的合法性进行验证,安全网关或网桥发出命令切断证书链非法的SSL连接。
4.根据权利要求3所述的基于网关或网桥防范网络钓鱼网站的方法,其特征在于,用户可以通过在该安全网关或网桥上提供的设置界面自行导入或删除可信任的X.509证书列表。
全文摘要
一种识别钓鱼网站的方法,步骤1.在上网终端与被访问网站中间加入安全网关设备,使经过SSL加密的数据可被安全网关捕获;2.在安全网关上提供设置界面,让用户导入可信任的X.509证书列表;3.在安全网关上截获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.过滤并阻止证书链不合法的SSL连接。或用步骤1.把安全网关接入可监听用户上网数据的设备,使安全网关可捕获内部用户经过SSL加密隧道访问正常网站或者钓鱼网站的数据的一份拷贝;2.在安全网关上提供设置界面,导入X.509证书列表;3.在安全网关捕获SSL协议的握手过程,提取握手过程所传输的X.509证书链;4.对证书链的合法性进行验证,安全网关发出命令切断证书链非法的SSL连接。
文档编号H04L9/32GK101026599SQ20071007299
公开日2007年8月29日 申请日期2007年1月19日 优先权日2007年1月19日
发明者蔡成志 申请人:深圳市深信服电子科技有限公司