专利名称:一种基于图片标识数字签名的网站认证方法
技术领域:
本发明涉及一种网络安全技术,具体涉及一种互联网中对网站认证的方法。
背景技术:
随着互联网快速发展,信息化已经深入社会的各个领域,并且发挥愈来愈重要的作用,同时网络安全问题对互联网经济的威胁也越来越大,其中假冒网站和钓鱼网站的危害尤为严重,从四大商业银行网站到2008北京奥运会官方网站,再到腾讯、淘宝等知名互联网公司,基本上都曾经遭受假冒网站危害。据统计,2010年新增钓鱼网站175万个,受害网民高达4411万人次,造成的直接损失超过200亿元。因此解决网络诚信,实现网站认证已经成为急需解决的网络安全问题。当前存在一种使用图片对网站标识认证的方法。步骤是在网站首页底部放一个图 片L0G0(静态或者动态),用户访问网站首页后,用户点击图标,系统弹出新的窗口连接到特定网站,页面内容显示用户刚刚访问的网站是否经过验证,并且显示网站信息,域名、注册人、网站所有人、营业执照、经营范围等信息。这种方式虽然简单,但缺点很多(I)图标容易被忽略。普通网民通常不会关注到页面底部标识。(2)简单的图片容易被盗用和仿冒,也可能被不法网站盗用,如果用户不主动去点击,很容易被欺骗。(3)认证信息安全性差,用户在点击图片后,由于是跳转到另外网站地址进行验证,跳转后的网站正确性难以确认,同时跳转信息也容易被仿冒和篡改。从以上几点可以看出,目前的网站图标标识,无论在展现的主动性、图标的防伪性以及验证的安全性方面都存在问题,无法准确对网站进行认证。
发明内容
本发明针对现有网站安全认证所存在的问题,而提供一种可以防伪和认证的图片标识对象,同时提供了标识对象的使用方法,通过该方法可以有效的解决假冒网站和钓鱼网站的问题。为了达到上述目的,本发明所采用的技术方案如下一种基于图片标识数字签名的网站认证方法,该方法基于一标识权威管理机构实施,所述机构具有代表自身的数字证书,其私钥自己拥有,公钥数字证书对外公开,所述认证方法包括如下步骤(I)通过网站向标识权威管理机构提交资料信息进行注册,申请标识;(2)标识权威管理机构审核后,使用私钥对资料信息和图片进行签名,将图片、用户资料以及签名合成网站特有标识对象,发放给网站;(3)网站在web服务器中部署所获得的标识对象;(4)客户端通过可信终端访问网站时,获取网站标识对象,使用标识权威管理机构公钥验证标识对象有效性,核对访问信息与标识对象中信息是否匹配;
(5)对标识对象验证通过后,客户端将标识对象中的内容向用户展示,提示用户正在访问的网站信息。在本发明的一实施例中,所述标识权威管理机构为一个权威的、网站认可的标识制作管理中心,负责接收标识申请、完成标识的签发、标识黑名单管理、审计功能。所述步骤(I)中网站提交的注册资料信息包括但不限于网站logo图片,网站域名证明材料、网站所有者身份证明材料、网站IP地址信息。进一步的,所述网站提交的注册资料信息还包括网站已有数字证书。再进一步的,所述网站已有数字证书包括但不限于第三方CA机构颁发数字证书、标识权威中心颁发给网站的数字证书。所述步骤(2)中标识权威管理机构中生成的网站标识对象为图片对象,信息包含但不限于自身的图像数据,网站的域名,网站的IP地址,网站的所有者名称,标识对象的有效期,标识对象的序列号,标识验证地址及方式,标识权威机构信息,以及标识权威管理机构对以上所有信息的签名数据。进一步的,所述信息还包括网站已有数字证书或网站已有数字证书验证地址及方式。所述步骤(3)中在部署标识对象时将标识对象放在特定路径,作为普通图片在网页中引用。所述步骤⑷中的可信终端包括但不限于浏览器,以及能够获取标识并验证的工具。所述步骤(4)获取标识对象时通过到固定位置获取标识或从网页中解析标识。所述步骤(4)验证标识对象包括但不限于以下验证手段(41)判断对象是否为权威机构签发的对象;(42)使用权威机构公钥验证对象中的签名是否有效,判断对象数据是否被篡改;(43)如果对象包含网站自身数字证书,通过对象中网站已有数字证书验证地址及方式验证网站是否具有与证书对应的私钥;验证对应私钥的操作包括但不限于采用https的SSL访问,以及网站能够使用私钥操作回应验证请求;(44)验证标识对象是否过期;(45)验证标识对象是否已经被废除,验证方式包括但不限于采用标识中的验证地址实时验证,以及采用预先缓存标识黑名单机制;(46)验证标识中的信息是否与访问的网站信息匹配,验证信息包括但不限于域名、IP地址;所述步骤(5)中的展示方式包括但不限于可信终端主动显示信息,以及用户选择后显示信息,显示的内容包括但不限标识中logo图片信息,标识中的网站身份信息,认证机构信息。根据上述技术方案得到的本发明能够很好对网站真实性进行验证,有效防止网站的假冒和钓鱼网站的攻击。
以下结合附图
和具体实施方式
来进一步说明本发明。
图I为本发明的实施框架图。图2为本发明标识对象组成示意图。图3为本发明实施的效果图。
具体实施例方式为了使本发明实现的技术手段、创作特征、达成目的与功效 易于明白了解,下面结合具体图示,进一步阐述本发明。如图I所示,在实施本发明方法的过程中,首先由可信第三方利用PKI信任体系建立一个标识权威管理机构,其为一个权威的、网站认可的标识制作管理中心,负责接收标识申请、完成标识的签发、标识黑名单管理、审计功能。其中,可信的第三方可以是国家的权威部门,也可以是一个具有公信力的中介机构。该机构具有代表自身的数字证书,其私钥自己拥有,公钥数字证书对外公开,基于上述机构实施的网站认证方法的具体步骤如下(I)网站向标识权威管理机构提交资料信息进行注册,申请标识。其中提交的资料信息包括网站logo图片,网站域名证明材料,网站IP地址,网站营业执照,网站已经申请的数字证书,申请标识。其中网站已经申请的数字证书包括第三方CA机构颁发数字证书、标识权威中心颁发给网站的数字书。(2)标识权威管理机构对网站提交的资料进行核实,确认其真实性,附加标识的特征数据,对以上资料进行签名,将原始数据与签名数据合成特有的网站标识对象。标识对象格式如图2,该标识对象为图片对象,信息包含自身的图像数据,网站的域名,网站的IP地址,网站的所有者名称,网站已有数字证书(可选),网站已有数字证书验证地址及方式(可选),标记对象的有效期,标记对象的序列号,标记验证地址及方式,标记权威机构信息,以及标识权威管理机构对以上所有信息的签名数据。(3)网站收到标识后放到网站的特定位置进行部署,作为普通图片在网页中引用,如 http: //www. cs j. sh. Rov. cn/id. jpR0(4)用户使用浏览器访问网站,如http://www. csj. sh. rov. cn/,浏览器从特定位置http://www. csj. sh. rov. cn/id. i'pr获取到标识对象,并从该网页中解析标识。(5)浏览器对标识对象进行验证,主要包括以下步骤a)查看标识中的标识中心信息是否为浏览器信任的标识中心。b)使用标识中心的公钥验证标识中的签名,判断标识是否伪造或者数据被篡改。c)如果对象包含网站自身数字证书,通过对象中网站已有数字证书验证地址及方式验证网站是否具有与证书对应的私钥;验证对应私钥的操作包括但不限于采用https的SSL访问,以及网站能够使用私钥操作回应验证请求。例如,使用https://www. csj.sh. rov. cn/建立安全连接,检查安全连接中使用的网站证书是否为标识中包含的证书。d)检查标识中的有效期是否正确。e)使用https://www. utn. com安全连接查询此标识ID是否被废除。f)角军析获取标识中的实体特征数据如www. csj. sh. rov. cn和对应的IP,然后与iH在访问的域名和IP进行比对,看是否正确。(6)浏览器对标识验证通过后,展现标识中的logo信息、所有者信息以及认证机构信息等,如图3。根据上述方案可知,本发明通过第三方利用PKI信任体系建立一个标识权威管理机构对网站的图像标识对象进行认证,从而能够很好对网站真实性进行验证,有效防止网站的假冒和钓鱼网站的攻击。以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其 等效物界定。
权利要求
1.一种基于图片标识数字签名的网站认证方法,其特征在于,所述方法基于一标识权威管理机构实施,所述机构具有代表自身的数字证书,其私钥自已拥有,公钥数字证书对外公开,所述认证方法包括如下步骤 (1)通过网站向标识权威管理机构提交资料信息进行注册,申请标识; (2)标识权威管理机构审核后,使用私钥对资料信息和图片进行签名,将图片、用户资料以及签名合成网站特有标识对象,发放给网站; (3)网站在web服务器中部署所获得的标识对象; (4)客户端通过可信终端访问网站时,获取网站标识对象,使用标识权威管理机构公钥验证标识对象有效性,核对访问信息与标识对象中信息是否匹配; (5)对标识对象验证通过后,客户端将标识对象中的内容向用户展示,提示用户正在访问的网站信息。
2.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述标识权威管理机构为一个权威的、网站认可的标识制作管理中心,负责接收标识申请、完成标识的签发、标识黑名单管理、审计功能。
3.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述步骤(I)中网站提交的注册资料信息包括但不限于网站logo图片,网站域名证明材料、网站所有者身份证明材料、网站IP地址信息。
4.根据权利要求3所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述网站提交的注册资料信息还包括网站已有数字证书。
5.根据权利要求4所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述网站已有数字证书包括但不限于第三方CA机构颁发数字证书、标识权威中心颁发给网站的数字证书。
6.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述步骤(2)中标识权威管理机构中生成的网站标识对象为图片对象,信息包含但不限于自身的图像数据,网站的域名,网站的IP地址,网站的所有者名称,标识对象的有效期,标识对象的序列号,标识验证地址及方式,标识权威机构信息,以及标识权威管理机构对以上所有信息的签名数据。
7.根据权利要求6所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述信息还包括网站已有数字证书或网站已有数字证书验证地址及方式。
8.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所 述步骤(3)中在部署标识对象时将标识对象放在特定路径,作为普通图片在网页中引用
9.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于, 述步骤(4)中的可信终端包括但不限于浏览器,以及能够获取标识并验证的工具。
10.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述步骤(4)获取标识对象时通过到固定位置获取标识或从网页中解析标识。
11.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述步骤(4)验证标识对象包括但不限于以下验证手段 (41)判断对象是否为权威机构签发的对象;(42)使用权威机构公钥验证对象中的签名是否有效,判断对象数据是否被篡改; (43)如果对象包含网站自身数字证书,通过对象中网站已有数字证书验证地址及方式验证网站是否具有与证书对应的私钥;验证对应私钥的操作包括但不限于采用https的SSL访问,以及网站能够使用私钥操作回应验证请求; (44)验证标识对象是否过期; (45)验证标识对象是否已经被废除,验证方式包括但不限于采用标识中的验证地址实时验证,以及采用预先缓存标识黑名单机制; (46)验证标识中的信息是否与访问的网站信息匹配,验证信息包括但不限于域名、IP地址;
12.根据权利要求I所述的一种基于图片标识数字签名的网站认证方法,其特征在于,所述步骤(5)中的展示方式包括但不限于可信终端主动显示信息,以及用户选择后显示信息,显示的内容包括但不限标识中logo图片信息,标识中的网站身份信息,认证机构信息。
全文摘要
本发明公开了一种基于图片标识数字签名的网站认证方法,围绕特定标识对象的认证方法包括以下步骤(1)网站到标识权威管理机构提交资料信息注册,申请标识;(2)标识权威管理机构审核后,使用私钥对资料信息和图片标识进行签名,形成网站特有标识,发放给网站;(3)网站在web服务器中部署标识;(4)客户端通过可信终端访问网站时,获取网站标识,使用标识权威管理机构公钥验证标识对象有效性,核对访问信息与标识中信息是否匹配;(5)对标记验证通过后,客户端将标识中的内容向用户展示,提示用户正在访问的网站信息。本发明能够对网站进行很好的标识,标识直观形象,容易部署,具有唯一性,可以有效解决假冒网站和钓鱼网站问题。
文档编号H04L9/32GK102761529SQ20111011018
公开日2012年10月31日 申请日期2011年4月29日 优先权日2011年4月29日
发明者张义民, 掌晓愚, 许俊, 韩洪慧 申请人:上海格尔软件股份有限公司