专利名称:网站信息验证系统及方法
技术领域:
本发明涉及一种网站信息验证系统及方法,特别是一种通过全面的信息验证来帮助用户识别网站真伪的信息—睑证系统及方法。
背景纟支术
互联网络的蓬勃发展使网络安全成为一个日益严峻的问题。2005年,网络钓鱼曾经给美国和英国造成了巨大的经济损失。中国之前遭遇到的网络钓鱼攻击比较少,主要原因是网络钓鱼的攻击目标大多是网上银行和电子商务,而当时中国企业应用网上银行和电子商务的普及程度还不高。但现在随着中国经济的快速发展,电子商务的应用越来越广泛,网上银行的建设也逐渐成熟,连传统企业也都在逐步互联网化。网上银行和电子商务的普及催生出了越来越多的网络安全事件,网络钓鱼作为 一种欺诈手段给中国的众多企业和个人用户造成越来越大的威胁。而且这种诈骗事件可能会快速蔓延到通过电子邮件与客户通信的所有商业领域,以致任何拥有在线业务的公司都成为潜在受害者。
为了避免上述事件的发生, 一些公司推出了不同的信息验证系统,通过向使用者展示网站相关企业的工商信息、域名信息等,帮助用户识别网站或相关企业的真伪。但是,这些系统向使用者展示的信息只是来自于网站在系统中注册时提供的信息, 一般未经过权威机构认证,或者只为保证企业的真实性而对工商信息进行认证。也就是说,这样的验证系统最多只能保证企业是真实存在的,至于企业和注册网站之间是否有联系,注册网站是否确实是此企业的官方网站等,则不做任何验证,只以网站在系统中注册时提供的信息为准。显然,这样的系统仍然不能完全避免网络钓鱼事件的发生。比如,某些钓鱼网站可能以其他企业的真实信息在系统中注册,由于企业是真实存在的,此网站也就能顺利通过上述系统的认证,如果使用者基于对系统的信任而在此钓鱼网站进行
4操作,以致遭受诈骗损失,那么上述验证系统反而成为钓鱼网站的帮凶。
因此,为了有效防止网络钓鱼事件的发生,有必要建立一套能准确、全面地验证网站真伪的信息验证系统及方法。
发明内容
本发明的目的在于提供一种能准确、全面地验证网站真伪的信息验证系统及方法。
为了达成上述目的,本发明提供了一种网站信息验证系统,用于帮助用户
验证网站的真伪,所述网站信息验证系统包括系统数据库及分别与所述系统数
据库相连的注册服务器、审核服务器和至少一个解析服务器,所述解析服务器
用于接收用户通过网站发送的解析请求、对请求网站的域名信息进行解析和验证,并将结果返回给用户。
所述注册服务器用于从企业网站服务器接收网站注册信息,并将这些注册信息写入用于存储这些网站注册信息的系统数据库中,所述注册信息至少包括域名信息和企业信息。
所述系统数据库中存储的网站注册信息均需要通过审核服务器向权威数据库—睑证过。
所述解析服务器是从用户请求中解析出网站域名,并根据系统数据库中的注册域名相关信息对解析出的网站域名进行验证的。
网站信息验证系统还包括访问服务器及与访问服务器分别相连的域名数据库和通用网址数据库,所述访问服务器与解析服务器相连,用于根据解析服务器的指令从域名数据库和通用网址数据库中获取请求域名的详细域名/网址信息,并将取得的信息提供给解析服务器。
所述系统数据库中的域名信息是通过访问服务器访问域名数据库来验证的,所述系统数据库中的企业信息是通过系统外的权威机构数据服务器验证的。
所述网站信息验证系统是通过加密的网络链接与系统外的硬件进行数据传输的。
为了达成上述目的,本发明还提供了一种网站信息验证方法,其包括以下
步骤
接收用户浏览器从请求网站发送的网站解析请求;
从解析请求中获取待验证网站的域名信息和来源信息;
根据请求的域名信息从系统数据库中查询域名注册信息和企业信息;
判断请求域名及其来源是否完全符合系统数据库中的相关注册域名及其网
址;
若是,则生成包括域名信息、企业信息的解析结果页面,并将解析结果页 面返回用户浏览器;
若否,则向用户浏览器返回验证方式错误的页面。
所述获取待验证网站的域名信息和来源信息的步骤还包括判断域名信息 是否正确,如是,继续进行下一步骤,如否,直接向用户浏览器返回验证方式 错误的页面。
生成解析结果页面包括以下步骤通过访问服务器从域名数据库和通用网 址数据库获取更详细的域名/网址相关信息,并将访问服务器返回的信息与之前
从系统数据库中获取的企业信息相组合而生成解析结果页面。
本发明网站信息验证系统及方法通过对解析请求网站的企业工商信息和域 名信息进行全面的解析和验证,使冒用其他注册企业验证标志的钓鱼网站因域 名不符而无法通过验证,从而有效地防止网络钓鱼事件的发生。
图1为本发明网站信息验证系统及其相关硬件的架构图; 图2为本发明网站信息验证方法的流程图3为本发明网站信息验证方法的一实施例对网站信息进行验证的解析处 理流程图。
具体实施例方式
'请参阅图1,为本发明网站信息验证系统及其相关硬件的架构图。本发明网
站信息验证系统包括一个注册服务器11、 一个审核服务器13、 一组解析服务器 15、 一个访问服务器23、 一个系统数据库17、 一个域名数据库24和一个通用 网址数据库25。其中,注册服务器ll、审核服务器13、解析服务器15分别与 系统数据库17相连。审核服务器13和解析服务器15还分别与访问服务器23 相连。访问服务器23则与域名数据库24及通用网址数据库25分别相连。
与本系统相关的硬件则包括为本系统提供验证服务的权威机构数据服务器 21,及接受本系统服务的企业网站服务器27和用户浏览器29。其中,权威机构 数据服务器21通过网络与审核服务器13相连。企业网站服务器27通过网络与 注册服务器11相连。用户浏览器29则通过网络分别与企业网站服务器27及解 析服务器15相连。
使用本系统的企业网站服务器27可以通过网络在注册服务器11上进行网 站注册,注册时按要求填写企业工商信息、网站域名等注册信息。注册服务器 11中设有注册模块,用于从企业网站服务器27接收网站注册信息,并将这些注 册信息写入系统数据库17中。系统数据库17即用于存储所有注册网站的注册 信息。审核服务器13内设有审核模块,用于从系统数据库17中调取企业网站 的域名信息、工商信息等注册信息,并通过权威机构数据服务器21验证企业网 站在本系统注册时提供的工商信息的真伪,通过访问服务器23查询域名数据库 24中的数据记录以验证域名信息的真伪。只有注册网站提供的企业工商信息和 域名信息都通过了权威数据库的认证,也就是说,域名所有者、网站使用者、 企业及其工商信息都与权威数据库的记录相吻合时,该企业网站在本系统的注 册才能生效。成功注册本系统的企业网站上将显示一个验证标志,如本系统的 标记、商标等。如果网站注册信息与权威数据库的纪录不符,则无法通过审核 服务器13的审核,注册服务器11将向企业网站服务器27返回注册失败的页面。这就使钓鱼网站无法盗用其他企业的真实信息进行注册,因为以此种方式注册
的网站与域名数据库24中记录的该网站域名并不吻合,也就无法通过审核服务 器13的审核。另外,企业网站服务器27与注册服务器11、审核服务器13与权 威机构数据服务器21之间的数据传输使用的是https加密链接,有效保证信息 传递的秘密性,不会被非法截取或篡改,使钓鱼网站没有可乘之机。
用户通过企业网站服务器27登陆注册了本系统的企业网站时,点击网站页 面上的验证标志,网站即将用户重定向到解析服务器15。用户浏览器29通过企 业网站以https加密链接向解析服务器15提交验证企业网站真伪的解析请求。 解析服务器15内设有解析模块,用于接收解析请求、从解析请求中获取域名信 息和从http请求信息中获取来源信息、根据从解析请求中获取的域名和来源信 息从系统数据库17中查询请求的域名及其来源是否为正确的注册域名、从系统 数据库17中读取相关企业的信息、通过访问服务器23从域名数据库24和通用 网址数据库25中获取该域名的相关的详细信息和通用网址、将访问服务器23 返回的信息和从系统数据库17中查得的企业信息组合成解析结果页面返回给用 户浏览器29或向用户浏览器29返回验证方式错误的页面。 请参阅图2,本发明网站信息验证方法包括以下步骤 步骤101,接收用户浏览器从请求网站发送的网站解析请求; 步骤102,从解析请求中获舉^待^险^E网站的域名信息和来源信息; 步骤103,根据请求的域名信息从系统数据库中查询域名注册信息和企业信自'.
W ,
步骤104,判断请求域名及其来源是否完全符合系统数据库中的相关注册域 名及其网址;
步骤105,若是,则生成包括域名信息、企业信息的解析结果页面,并将解 析结果页面返回用户浏览器;
步骤106,若否,则向用户浏览器返回验证方式错误的页面。
8进一步,请参阅图3,为本发明网站信息验证方法对网站信息进行验证的解
析处理流程图。在开始之后,解析服务器15首先接收到一个用户浏览器29从 某一网站发起的解析请求(步骤S30)。解析服务器15中的解析模块对用户的解 析请求进行解析,从中获取待验证网站的域名信息,并从http请求信息中获取 其来源信息(步骤S31 )。之后判断获取的请求域名信息是否正确(步骤S32 ), 即检查输入的数据是否合法、是否存在格式错误或参数不全等情况如果判断 结果是域名信息不正确,则通过网络向用户浏览器29返回验证方式错误的页面
(步骤S33),然后结束解析流程;如果判断结果是域名信息正确,则根据此域 名信息在系统数据库17中查询域名注册信息和相关企业信息(步骤S34)。根据 查询结果判断请求域名及其来源是否符合系统内注册的域名及网址(步骤S36 ): 如果判断结果为否,则通过网络向用户浏览器29返回-险-〖正方式错误的页面(步 骤S33),然后结束解析流程;如果判断结果为是,则根据取得的注册域名、通 过访问服务器23从域名数据库24和通用网址数据库25中获取更详细的域名相 关信息(步骤S38 )。解析服务器15将访问服务器23返回的信息与之前从系统 数据库17中获取的企业信息相组合,生成解析结果页面并返回给用户浏览器29
(步骤S39),之后结束解析流程。
下面以一个企业网站为例,假i殳www.cnni.cn是一个安装了上述网站信息验 i正系统的企业网站,并在该 www.cnni.cn网站主页上安装了验证标志;某釣鱼网 站www.cnnl.cn为了才莫仿www.cnni.cn也在主页上i文置了马全i正才示志;当互联网用 户访问www.cnnl.cn点击验证标志时,用户浏览器被重定向到解析服务器;解 析模块得到查询www.cnni.cn企业网站真伪的解析请求,通过与系统数据库交互 后得知www.c皿i.cn的注册信息正确;接下来-险证用户来源时,发现用户来源于 www.cnnl.cn与注册信息中的 www.cnni.cn不符,贝U返回另全i正方式4昔i吴页面。 有用户通过真实网站www.cnni.c点击验证标志后,验证用户来源才和注册信息 匹配,才会返回正确的验证结果页面,向用户展示www.cnni.cn网站的可信信息。需要说明的是,为了能向浏览用户提供更准确的信息数据,企业网站在本 系统注册的信息有一定的有效期,如一年,到期后需要重新进行信息验证,验 证通过才能继续保持注册的有效性。否则即使是真实企业的注册网站,过期后 也会被当作未注册或注册错误处理,在用户验证时返回验证方式错误的页面。
另外,在其他实施方式中,本系统的解析服务器15也可以是单个服务器, 上述实施方式采用多个服务器只是为了增加系统的负载能力,以增强系统的解 析能力和稳定性而设计,只要能保证系统的支持压力和稳定性,此处完全可以 采用单个服务器。
综上所述,在注册过程中,本系统通过对注册网站的域名、网站、企业信 息等进行全面、严密的注册信息审核,保证了只有真实企业的官方网站才能通 过马全证注册成功,而钓鱼网站即使用其他企业的真实信息也无法通过审核而注 册生效;在信息验证过程中,本系统根据系统数据库17中的注册信息对待验证 网站的域名、来源等信息进行验证,保证只向从注册网站发起解析请求的用户 浏览器返回解析页面,使冒用其他注册企业验证标志的钓鱼网站因域名不符而 无法蒙混过关;而且,在注册/解析过程中,系统外的数据传递都采用加密链接, 能保证这些数据不会被钓鱼网站截取或篡改。因此,本系统的各个环节都能够 屏蔽钓鱼网站,使其没有可乘之机,从而能够保证通过本系统验证的网站全部 都是真实企业的真实网站,有效地防止了网络钓鱼事件的发生。
根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述 实施方式进行变更和修改。因此,本发明并不局限于上面揭示和描述的具体实 施方式,对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围 内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便 说明,并不对本发明构成任何限制。
权利要求
1、一种网站信息验证系统,其特征在于网站信息验证系统包括系统数据库及分别与所述系统数据库相连的注册服务器、审核服务器和至少一个解析服务器,所述解析服务器用于接收用户通过网站发送的解析请求、对请求网站的域名信息进行解析和验证,并将结果返回给用户。
2、 根据权利要求1所述的网站信息验证系统,其特征在于所述注册服务器用于从企业网站服务器接收网站注册信息,并将这些注册信息写入用于存储这些网站注册信息的系统数据库中,所述注册信息至少包括域名信息和企业信 自
3、 根据权利要求2所述的网站信息验证系统,其特征在于所述系统数据 库中存储的网站注册信息均需要通过审核服务器向权威数据库验证过。
4、 根据权利要求3所述的网站信息验证系统,其特征在于所述解析服务 器是从用户请求中解析出网站域名,并根据系统数据库中的注册域名相关信息 对解析出的网站域名进行验证的。
5、 根据权利要求4所述的网站信息验证系统,其特征在于所述网站信息 验证系统还包括访问服务器及与访问服务器分别相连的域名数据库和通用网址 数据库,所述访问服务器与解析服务器相连,用于根据解析服务器的指令从域 名数据库和通用网址数据库中获取请求域名的详细域名/网址信息,并将取得的 信息提供给解析服务器。
6、 根据权利要求5所述的网站信息验证系统,其特征在于所述系统数据库中的域名信息是通过访问服务器访问域名数据库来验证的,所述系统数据库 中的企业信息是通过系统外的权威机构数据服务器验证的。
7、 根据权利要求1至6中任意一项所述的网站信息验证系统,其特征在于 所述网站信息验证系统是通过加密的网络链接与系统外的硬件进行数据传输 的。
8、 一种网站信息验证方法,其特征在于,该方法包括以下步骤a) 接收用户浏览器发送的网站解析请求;b) 获取待验证网站的域名信息和来源信息;c) 根据请求的域名信息从系统数据库中查询域名注册信息和企业信息;d) 判断请求的域名及其来源是否完全符合系统数据库中的相关注册域名及 其网址;e) 若是,则生成包括域名信息、企业信息的解析结果页面,并将解析结果 页面返回用户浏览器;f) 若否,则向用户浏览器返回验证方式错误的页面。
9、 根据权利要求8所述的网站信息验证方法,其特征在于,获取待验证网 站的域名信息和来源信息还包括以下步骤判断域名信息是否正确,如是,继 续进行下一步骤,如否,直接向用户浏览器返回验证方式错误的页面。
10、 根据权利要求8或9所述的网站信息验证方法,其特征在于,生成解 析结果页面包括以下步骤通过访问服务器从域名数据库和通用网址数据库获 取更详细的域名/网址相关信息,并将访问服务器返回的信息与之前从系统数据 库中获取的企业信息相组合而生成解析结果页面。
全文摘要
一种网站信息验证系统及其方法,用于帮助用户验证网站的真伪,所述网站信息验证系统包括系统数据库及分别与所述系统数据库相连的注册服务器、审核服务器和至少一个解析服务器,所述解析服务器用于接收用户通过网站发送的解析请求、对请求网站的域名信息进行解析和验证,并将结果返回给用户。本发明网站信息验证系统通过对解析请求网站的企业工商信息和域名信息进行全面的解析和验证,使冒用其他注册企业验证标志的钓鱼网站因域名不符而无法通过验证,从而有效地防止网络钓鱼事件的发生。
文档编号H04L29/06GK101656711SQ200810118809
公开日2010年2月24日 申请日期2008年8月22日 优先权日2008年8月22日
发明者卢文哲, 李晓东, 伟 毛, 王国栋, 翟凤红, 蔡志宏, 宁 高 申请人:中国科学院计算机网络信息中心