短信验证码的网站识别方法及识别终端与流程

本发明涉及信息安全技术领域，更具体地，涉及短信验证码的网站识别方法及识别终端。

背景技术：

现在很多第三方互联网支付公司，包括手机银行，开始广泛应用动态手机验证码的方式，短信验证码因其方便易用、覆盖面广，已经成为当下最主要的移动支付认证手段。然而短信作为一种通信方式的固有属性，决定了其安全防护等级不高，易受到木马拦截、网络钓鱼、电信诈骗、信道窃听等攻击。而安全性更高的USBKey和OTP令牌等硬件认证设备，因为携带不便、操作复杂、兼容性低，在移动互联网的场景下不被用户所接受，最终造成了“安全的没人用、便捷的不安全”这样尴尬的局面。

短信验证码的认证方式从商用密码技术本身来讲全球没有破解算法攻击的案例，都是在应用过程中产生的攻击漏洞。比如说，实际生活中发生的案例有犯罪分子通过购买电信运营商提供的USIM卡，也就是传统意义上的空卡，然后通过短信指令向电信运营商发出换卡的申请，运营商就会给用户正使用的手机发去验证码。在此之前，犯罪分子通过假冒电商平台或电商应用APP给用户发送钓鱼网页，假称用户刚刚订购了某商品，如果要取消订购，就要回复收到的验证码。此时，有相当一部分用户会信以为真，并把验证码回复给犯罪分子。然后，利用得到的验证码，空中换卡功能完成，犯罪分子手中的空卡顺利地转变为用户的手机号码，而用户手中的手机号码则成为空卡。此时，用户的手机无法收发短信，接听拨打电话，但用户会误以为自己可能信号不好。在这短暂的时间里，犯罪分子就可以拿着手中的SIM卡去盗取用户的账号和密码，因为有相当一部分网站都提供手机号码登录和找回密码功能。这种损失有可能让用户倾家荡产。

技术实现要素：

鉴于上述问题，本发明提出了一种短信验证码的网站识别方法及识别终端，能够弥补短信验证码认证方式的安全漏洞，避免用户的信息泄露。

本发明实施例中提供了一种短信验证码的网站识别方法，包括：

根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信；

通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息；

当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。

优选地，当本地浏览器已经登陆与所述网站信息相对应的网页时，切换至该网页。

优选地，切换至该网页之前，还包括：

从所述验证短信提取验证码。

优选地，切换至该网页之后，还包括：

进入所述网页相应安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册。

优选地，向云端服务器查询对应的企业账户及该企业账号下的网站信息的步骤之后，包括：

当云端服务器反馈的查询不到所述企业账号的结果时，发出第二风险提示，以提醒用户当前接收到的验证短信存在安全风险。

优选地，向云端服务器查询对应的企业账户及该企业账号下的网站信息的步骤之后，包括：

当云端服务器反馈的查询到的网站信息属于风险网页时，发出第三风险提示，以提醒用户所登录的网页存在安全风险。

优选地，发出第一风险提示之后，还包括：

删除所述验证短信。

优选地，发出第一风险提示之后，还包括：

当监听到用户编辑的短信当中包含所述验证码时，发出第四风险提示，以避免用户泄露所述验证码。

相应地，本发明实施例提供了一种短信验证码的网站识别终端，包括：

短信监听单元，用于根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信；

号码查询单元，用于通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息；

第一风险提醒单元，用于当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。

优选地，包括：

程序切换单元，用于当本地浏览器已经登陆与所述网站信息相对应的网页时，切换至该网页。

优选地，还包括：

验证码提取单元，用于从所述验证短信提取验证码。

优选地，还包括：

验证码输入单元，用于进入所述网页相应安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册。

优选地，包括：

与所述号码查询单元相连的第二风险提醒单元，用于当云端服务器反馈的查询不到所述企业账号的结果时，发出第二风险提示，以提醒用户当前接收到的验证短信存在安全风险。

优选地，包括：

与所述号码查询单元相连的第三风险提醒单元，用于当云端服务器反馈的查询到的网站信息属于风险网页时，发出第三风险提示，以提醒用户所登录的网页存在安全风险。

优选地，还包括：

短信删除单元，用于删除所述验证短信。

优选地，还包括：

第四风险提醒单元，用于当监听到用户编辑的短信当中包含所述验证码时，发出第四风险提示，以避免用户泄露所述验证码。

相对于现有技术，本发明提供的方案，根据接收到的短信的信息内容中包含预设的关键字，比如信息内容中包含“验证”/“验证码”/“交易码”/“动态码”/“银行”/“电信”/“移动”等等，判断该短信为验证短信。由于商用密码技术本身来讲被攻击的可能性几乎没有，但却忽视了在应用过程中存在的安全漏洞。所以，用户的风险真正存在于拿到验证短信之后。本发明方案对用户接收到的验证短信进行监控，弥补短信验证码认证方式的安全漏洞，避免用户的信息泄露。通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息。借助云端的大数据信息库，将验证短信的发送方号码、真实的企业账号、真实的网页三者关联起来。当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明短信验证码的网站识别方法的流程图。

图2为本发明短信验证码的网站识别方法的施例流程图。

图3为本发明短信验证码的网站识别终端的示意图。

图4为本发明短信验证码的网站识别终端的施例示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。

在本发明的说明书和权利要求书及上述附图中的描述的一些流程中，包含了按照特定顺序出现的多个操作，但是应该清楚了解，这些操作可以不按照其在本文中出现的顺序来执行或并行执行，操作的序号如101、102等，仅仅是用于区分开各个不同的操作，序号本身不代表任何的执行顺序。另外，这些流程可以包括更多或更少的操作，并且这些操作可以按顺序执行或并行执行。需要说明的是，本文中的“第一”、“第二”等描述，是用于区分不同的消息、设备、模块等，不代表先后顺序，也不限定“第一”和“第二”是不同的类型。

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明短信验证码的网站识别方法的流程图，包括：

S101：根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信；

S102：通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息；

S103：当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。

相对于现有技术，本发明提供的方案，根据接收到的短信的信息内容中包含预设的关键字，比如信息内容中包含“验证”/“验证码”/“交易码”/“动态码”/“银行”/“电信”/“移动”等等，判断该短信为验证短信。由于商用密码技术本身来讲被攻击的可能性几乎没有，但却忽视了在应用过程中存在的安全漏洞。所以，用户的风险真正存在于拿到验证短信之后。本发明方案对用户接收到的验证短信进行监控，弥补短信验证码认证方式的安全漏洞，避免用户的信息泄露。通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息。借助云端的大数据信息库，将验证短信的发送方号码、真实的企业账号、真实的网页三者关联起来。当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。例如，可以提示用户不能将收到的验证码输入到当前的终端上任一网页插件或网页浏览器上。

图2为本发明短信验证码的网站识别方法的施例流程图。图2与图1相比，在确定本地浏览器已经登陆通过验证短信查询到的网页后，从验证短信中提取验证码和/或切换至该网页，以便于用户输入验证码，提高用户的验证效率。

S201：根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信；

S202：通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息；

步骤S202之后，根据本地浏览器并未登录或已经打开与所述网站信息相对应的网页，切换至步骤S203或步骤S204；

S203：当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页；

S204：当本地浏览器已经登陆与所述网站信息相对应的网页时，从所述验证短信提取验证码；

步骤S204之后，转入步骤S205或步骤S206；

S205：切换至该网页，进入所述网页相应安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册；

S206：当监听到用户编辑的短信当中包含所述验证码时，发出第四风险提示，以避免用户泄露所述验证码。

在本实施例当中，例如，用户使用网上银行进行支付操作，银行的企业账号、以该银行作为发送方的发送方号码、该银行下属的官方银行网站或网页插件程序三者都记录在云端服务器之中。用户收到短信，信息内容为“***验证码：123456，请妥善保管。【***银行】”。本实施例预设关键字至少包括“验证码”、“银行”，根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信。通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息。判断该验证短信，确实由该银行所发出。当本地浏览器已经登陆与所述网站信息相对应的网页时，判断用户终端浏览器上的网页也确实为有效真实的网页，此时，切换至该网页，以便于用户输入收到的验证码“123456”。其中，所述网站信息可以包括网页的标签，网址，网站插件，网站开发者名称，等等。通过上述信息来判断用户终端浏览器上是否打开有效真实的网页或网页插件。

进一步地，在切换至该网页之前，从所述验证短信提取验证码，以供用户黏贴。一般的短信验证码，都有输入时间的限制。例如，如果超过1分钟没有递交验证码，则验证码就作废了。如果由于信号不好而验证短信延迟收到，或用户误将短信内容中的交易金额当作是校验码而输入错误时，验证过程还是无法顺利完成。故此，本方案进一步地，从所述验证短信提取上述验证码“123456”，便于用户黏贴，能够提供用户的验证效率。

在其中一个实施例当中，切换至该网页之后，还包括：

进入所述网页相应安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册。

具体地，自动打开相应的网页的安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册。能够加快注册流程，简化用户操作。

为了避免用户转发验证码而导致信息泄露，当监听到用户编辑的短信当中包含所述验证码时，发出第四风险提示，以避免用户泄露所述验证码。例如，可以提醒用户，不能将验证码以短信方式发送给其他人。

在其中一个实施例当中，向云端服务器查询对应的企业账户及该企业账号下的网站信息的步骤之后，包括：

当云端服务器反馈的查询不到所述企业账号的结果时，发出第二风险提示，以提醒用户当前接收到的验证短信存在安全风险。

当云端服务器反馈的查询到的网站信息属于风险网页时，发出第三风险提示，以提醒用户所登录的网页存在安全风险。

具体地，用户正在登录一个购物网站，准备进行虚拟交易，但该购物网站并非由正规的公司开发的网站。使用它进行虚拟交易，存在风险。该网站没有得到认证，故此不会被记录在云端数据信息库当中，此时，向用户发出第二风险提示，以提醒用户当前接收到的验证短信存在安全风险。例如，可以提醒用户当前收到的验证短信是由非正规渠道的网站所发出，以避免被骗或触发法律。或者，网站在云端信息库有记录，但已经被标记为不安全的钓鱼网站，或者被很多用户标记为差评的网站。此时，向用户发出第三风险提示，以提醒用户所登录的网页存在安全风险。例如，可以提醒用户当前登录的网页存在安全风险，用户需谨慎使用获得的验证码。

在另一实施例当中，发出第一风险提示之后，还包括：删除所述验证短信。删除该验证短信，则用户不会误操作泄露该验证短信的信息内容，也降低了验证短信被盗取的风险，提高用户的交易安全性。

图3为本发明短信验证码的网站识别终端的示意图，包括：

短信监听单元，用于根据接收到的短信的信息内容中包含预设的关键字，判断该短信为验证短信；

号码查询单元，用于通过所述验证短信的发送方号码，向云端服务器查询对应的企业账户及该企业账号下的网站信息；

第一风险提醒单元，用于当本地浏览器并未打开与所述网站信息相对应的网页时，发出第一风险提示，以避免用户将所述验证短信的验证码输入到其他网页。

图3与图1相对应，图中各单元的运行方式与方法中的相同。

图4为本发明短信验证码的网站识别终端的施例示意图。

如图4所示，包括：

程序切换单元，用于当本地浏览器已经登陆与所述网站信息相对应的网页时，切换至该网页。

如图4所示，还包括：

验证码提取单元，用于从所述验证短信提取验证码。

如图4所示，还包括：

第四风险提醒单元，用于当监听到用户编辑的短信当中包含所述验证码时，发出第四风险提示，以避免用户泄露所述验证码。

图4与图2相对应，图中各单元的运行方式与方法中的相同。

优选地，在其中一个实施例当中，包括：

验证码输入单元，用于进入所述网页相应安装注册界面，并把提取的验证码粘贴入对应的输入框，完成注册。

优选地，在另外一个实施例当中，还包括：

与所述号码查询单元相连的第二风险提醒单元，用于当云端服务器反馈的查询不到所述企业账号的结果时，发出第二风险提示，以提醒用户当前接收到的验证短信存在安全风险。

与所述号码查询单元相连的第三风险提醒单元，用于当云端服务器反馈的查询到的网站信息属于风险网页时，发出第三风险提示，以提醒用户所登录的网页存在安全风险。

优选地，在另外一个实施例当中，还包括：

短信删除单元，用于删除所述验证短信。

所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

以上所述实施例仅表达了本发明的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对本发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。