一種服務器、用戶設備以及用戶設備與服務器的交互方法
【技術領域】
[0001]本發明涉及網絡安全,并且尤其涉及服務器、用戶設備以及用戶設備與服務器的交互方法。
【背景技術】
[0002]可以通過在用戶端安裝防釣魚的客戶端軟件或是瀏覽器插件來鑒別網站真偽。這種方法包括靜態鑒別和動態鑒別。靜態鑒別通常通過用戶舉報、網絡掃描等在服務器端維護惡意網站黑名單,該方法應用廣泛、實施成本低,但由于釣魚網站不斷出現,造成黑名單的覆蓋面較窄、更新頻率過慢,導致惡意網站漏報率較高。動態鑒別方法建立基于網站域名、圖片、頁面腳本等的網站行為分析模型,在用戶瀏覽網頁時實時地對網站真偽進行鑒另O,其較靜態的傳統方法,鑒別效率有所提升,但由于不斷發展的網站偽造技術,動態鑒別方法仍存在誤報和漏報,而且由于動態鑒別方法通過軟件實現,其容易受到木馬等惡意程序的干擾和阻斷,可靠性較低。
【發明內容】
[0003]提供一種能夠向用戶設備發送網站認證信息的服務器,該服務器至少存儲一個或多個用戶設備公鑰、服務器私鑰,
該服務器被配置成執行如下過程:
經由網站接收用戶設備簽名、用戶設備簽名要素,并從該網站接收網站信息,
根據所述網站信息判斷該網站是否經過認證,當確定該網站經過認證時,
根據所述用戶設備簽名要素確定用戶設備公鑰,并利用所述用戶設備公鑰驗證所述用戶設備簽名,
當所述驗證成功時,使用動態口令加密該網站認證信息,并使用服務器私鑰對經加密的網站認證信息簽名得到服務器簽名,以及將該服務器簽名、作為服務器簽名要素的經加密的網站認證信息、服務器信息經由該網站發送至該用戶設備使得該用戶設備能夠基于所述服務器信息得到服務器公鑰來驗證所述服務器簽名。
[0004]提供一種能夠從服務器接收網站認證信息的用戶設備,該用戶設備至少存儲一個或多個服務器公鑰、用戶設備私鑰,
該用戶設備被配置成執行如下過程:
使用所述用戶設備私鑰基于用戶設備簽名要素產生用戶設備簽名,并將該用戶設備簽名、該用戶設備簽名要素經由網站發送至所述服務器,
經由網站從所述服務器接收該服務器簽名、作為服務器簽名要素的經加密的網站認證信息、服務器信息,
基于所述服務器信息得到服務器公鑰來驗證所述服務器簽名,
當所述驗證成功時,使用動態口令來解密所述經加密的網站認證信息。
[0005]提供一種用戶設備與服務器的交互方法,該服務器至少存儲一個或多個用戶設備公鑰、服務器私鑰,
該方法包括:
所述服務器經由網站接收用戶設備簽名、用戶設備簽名要素,并從該網站接收網站信息,
所述服務器根據所述網站信息判斷該網站是否經過認證,
當確定該網站經過認證時,所述服務器根據所述用戶設備簽名要素確定用戶設備公鑰,并利用所述用戶設備公鑰驗證所述用戶設備簽名,
當所述驗證成功時,所述服務器使用動態口令加密該網站認證信息,并使用服務器私鑰對經加密的網站認證信息簽名得到服務器簽名,以及將該服務器簽名、作為服務器簽名要素的經加密的網站認證信息、服務器信息經由該網站發送至該用戶設備使得該用戶設備能夠基于所述服務器信息得到服務器公鑰來驗證所述服務器簽名。
[0006]提供一種用戶設備與服務器的交互方法,
該用戶設備至少存儲一個或多個服務器公鑰、用戶設備私鑰,
該方法包括:
該用戶設備使用所述用戶設備私鑰基于用戶設備簽名要素產生用戶設備簽名,并將該用戶設備簽名、該用戶設備簽名要素經由網站發送至所述服務器,
該用戶設備經由網站從所述服務器接收該服務器簽名、作為服務器簽名要素的經加密的網站認證信息、服務器信息,
該用戶設備基于所述服務器信息得到服務器公鑰來驗證所述服務器簽名,
當所述驗證成功時,該用戶設備使用動態口令來解碼所述經加密的網站認證信息。
[0007]根據實施例的一個場景,網站真偽由統一的服務器進行鑒別,鑒別結果真實可信。
[0008]根據實施例的一個場景,服務器與用戶設備間建立雙向認證安全信道,并且返回的鑒別結果通過用戶設備顯示,鑒別方法安全可靠。
[0009]根據實施例的一個場景,在不影響用戶設備的在線支付體驗的同時,能幫助用戶判斷網站的合法性,而且鑒別過程方便快捷。
[0010]根據一個或多個實施例,在物理鏈路上,僅網站可以與后臺服務器通信,驗證信息通過透傳經過安全控件、網站到達用戶設備,中間環節無法解密。
[0011]根據一個或多個實施例,通過用戶設備的安全芯片進行解密和顯示,可靠性高。
【附圖說明】
[0012]在參照附圖閱讀了本發明的【具體實施方式】以后,本領域技術人員將會更清楚地了解本發明的各個方面。本領域技術人員應當理解的是,這些附圖僅僅用于配合【具體實施方式】說明本發明的技術方案,而并非意在對本發明的保護范圍構成限制。
[0013]圖1是根據一個實施例的用戶設備與服務器的交互架構示意圖。
[0014]圖2是根據一個實施例的服務器與用戶設備的交互示意圖。
[0015]圖3是根據一個實施例的服務器與用戶設備的交互示意圖。
[0016]圖4是根據一個實施例的鑒別網站的流程圖。
【具體實施方式】
[0017]下面參照附圖,對本發明的【具體實施方式】作進一步的詳細描述。在下面的描述中,為了解釋的目的,陳述許多具體細節以便提供對實施例的一個或多個方面的透徹理解。然而,對于本領域技術人員可以顯而易見的是,可以這些具體細節的較少程度來實踐實施例的一個或多個方面。另外,盡管可以僅關于實施例的一個公開了該實施例的特定特征或方面,但可針對任何給定的或特定的應用所期望和有利的那樣,該特征或方面可與其它實施例的一個或多個特征或方面相組合。因此下面的描述不被視為局限性的,而是通過所附權利要求來限定保護范圍。
[0018]圖1是用戶設備與服務器的交互架構示意圖。用戶設備與服務器的交互經由網站進行。用戶設備與服務器的交互可以基于雙向驗證,從而建立安全通道。可以在用戶設備中配置服務器公鑰證書、用戶設備公私鑰對,在服務器中配置用戶設備公鑰證書、服務器公私鑰對用于雙向驗證。
[0019]在一個實例中,可以由服務器對用戶設備進行管理,在其中預置服務器公鑰證書、用戶設備公私鑰對。
[0020]在一個實例中,用戶設備可以是移動通信裝置例如手機,或者個人計算機。
[0021]在一個實例中,可以在用戶設備中裝載安全芯片,在安全芯片中設置服務器公鑰證書、用戶設備公私鑰對。安全芯片也可以被設置在能夠與用戶設備通信的獨立硬件設備。
[0022]用戶設備與服務器的交互可以在服務器對網站進行認證的基礎上進行。在一個實例中,服務器對通過認證的網站簽發站點證書,并維護經認證網站的白名單。
[0023]以下是服務器認證網站的一個示例性實例:
網站向服務器發起“站點證書”的申請請求,該申請請求包含網站身份信息;
服務器收到請求后,對網站身份信息進行核實,判斷是否為合法網站;
若為合法網站,則服務器簽發“站點證書”,否則拒絕申請。
[0024]在一個實例中,經認證的網站可以在其頁面上添加該網站支持真偽鑒別的標識。
[0025]在一個實例中,服務器可以在網站上設置安全控件,用戶設備經由該安全控件與服務器交互。
[0026]圖2是根據一個實施例的服務器與用戶設備的交互示意圖。在圖2中,服務器至少存儲一個或多個用戶設備公鑰、服務器私鑰。其中,服務器與用戶設備的交互包括服務器被配置成執行如下過程:
經由網站接收用戶設備簽名、用戶設備簽名要素,并從網站接收網站信息,
根據網站信息判斷網站是否經過認證,
當確定網站經過認證時,根據用戶設備簽名要素確定用戶設備公鑰,并利用用戶設備公鑰驗證用戶設備簽名,
當驗證成功時,使用動態口令加密網站認證信息,并使用服務器私鑰對經加密的網站認證信息簽名得到服務器簽名,以及將服務器簽名、作為服務器簽名要素的經加密的網站認證信息、服務器信息經由網站發送至用戶設備使得用戶設備能夠基于服務器信息得到服務器公鑰來驗證服務器簽名。
[0027]在一個實例中,用戶設備簽名要素基于用戶設備序列號、用戶簽名時間戳,服務器被配置成根據用戶設備序列號確定用戶設備公鑰。
[0028]在一個實例中,網站信息包括用于讓服務器判斷網站是否經過認證的站點證書,服務器被配置成判斷站點證書是否由其簽發。
[0029]可以在用戶設備與服務器中分別設置用戶設備種子密鑰,用于對網站認證信息加解密。由此,在一個實例中,服務器還存儲一個或多個用戶設備種子密鑰,服務器被配置成基于用戶設備種子密鑰產生動態口令。
[0030]在一個實例中,該服務器被配置成接收來自一個或多個網站的認證請求,并且在認證通過后向該一個或多個網站發送站點證書,該服務器被配置成通過判斷來自該網站的站點證書是否真實來判斷該網站是否適于用戶設備訪問。