网站信息验证系统及方法.pdf

网站信息验证系统及方法
    【技术领域】

    本发明涉及一种网站信息验证系统及方法，特别是一种通过全面的信息验证来帮助用户识别网站真伪的信息验证系统及方法。

    背景技术

    互联网络的蓬勃发展使网络安全成为一个日益严峻的问题。2005年，网络钓鱼曾经给美国和英国造成了巨大的经济损失。中国之前遭遇到的网络钓鱼攻击比较少，主要原因是网络钓鱼的攻击目标大多是网上银行和电子商务，而当时中国企业应用网上银行和电子商务的普及程度还不高。但现在随着中国经济的快速发展，电子商务的应用越来越广泛，网上银行的建设也逐渐成熟，连传统企业也都在逐步互联网化。网上银行和电子商务的普及催生出了越来越多的网络安全事件，网络钓鱼作为一种欺诈手段给中国的众多企业和个人用户造成越来越大的威胁。而且这种诈骗事件可能会快速蔓延到通过电子邮件与客户通信的所有商业领域，以致任何拥有在线业务的公司都成为潜在受害者。

    为了避免上述事件的发生，一些公司推出了不同的信息验证系统，通过向使用者展示网站相关企业的工商信息、域名信息等，帮助用户识别网站或相关企业的真伪。但是，这些系统向使用者展示的信息只是来自于网站在系统中注册时提供的信息，一般未经过权威机构认证，或者只为保证企业的真实性而对工商信息进行认证。也就是说，这样的验证系统最多只能保证企业是真实存在的，至于企业和注册网站之间是否有联系，注册网站是否确实是此企业的官方网站等，则不做任何验证，只以网站在系统中注册时提供的信息为准。显然，这样的系统仍然不能完全避免网络钓鱼事件的发生。比如，某些钓鱼网站可能以其他企业的真实信息在系统中注册，由于企业是真实存在的，此网站也就能顺利通过上述系统的认证，如果使用者基于对系统的信任而在此钓鱼网站进行操作，以致遭受诈骗损失，那么上述验证系统反而成为钓鱼网站的帮凶。

    因此，为了有效防止网络钓鱼事件的发生，有必要建立一套能准确、全面地验证网站真伪的信息验证系统及方法。

    【发明内容】

    本发明的目的在于提供一种能准确、全面地验证网站真伪的信息验证系统及方法。

    为了达成上述目的，本发明提供了一种网站信息验证系统，用于帮助用户验证网站的真伪，所述网站信息验证系统包括系统数据库及分别与所述系统数据库相连的注册服务器、审核服务器和至少一个解析服务器，所述解析服务器用于接收用户通过网站发送的解析请求、对请求网站的域名信息进行解析和验证，并将结果返回给用户。

    所述注册服务器用于从企业网站服务器接收网站注册信息，并将这些注册信息写入用于存储这些网站注册信息的系统数据库中，所述注册信息至少包括域名信息和企业信息。

    所述系统数据库中存储的网站注册信息均需要通过审核服务器向权威数据库验证过。

    所述解析服务器是从用户请求中解析出网站域名，并根据系统数据库中的注册域名相关信息对解析出的网站域名进行验证的。

    网站信息验证系统还包括访问服务器及与访问服务器分别相连的域名数据库和通用网址数据库，所述访问服务器与解析服务器相连，用于根据解析服务器的指令从域名数据库和通用网址数据库中获取请求域名的详细域名/网址信息，并将取得的信息提供给解析服务器。

    所述系统数据库中的域名信息是通过访问服务器访问域名数据库来验证的，所述系统数据库中的企业信息是通过系统外的权威机构数据服务器验证的。

    所述网站信息验证系统是通过加密的网络链接与系统外的硬件进行数据传输的。

    为了达成上述目的，本发明还提供了一种网站信息验证方法，其包括以下步骤：

    接收用户浏览器从请求网站发送的网站解析请求；

    从解析请求中获取待验证网站的域名信息和来源信息；

    根据请求的域名信息从系统数据库中查询域名注册信息和企业信息；

    判断请求域名及其来源是否完全符合系统数据库中的相关注册域名及其网址；

    若是，则生成包括域名信息、企业信息地解析结果页面，并将解析结果页面返回用户浏览器；

    若否，则向用户浏览器返回验证方式错误的页面。

    所述获取待验证网站的域名信息和来源信息的步骤还包括：判断域名信息是否正确，如是，继续进行下一步骤，如否，直接向用户浏览器返回验证方式错误的页面。

    生成解析结果页面包括以下步骤：通过访问服务器从域名数据库和通用网址数据库获取更详细的域名/网址相关信息，并将访问服务器返回的信息与之前从系统数据库中获取的企业信息相组合而生成解析结果页面。

    本发明网站信息验证系统及方法通过对解析请求网站的企业工商信息和域名信息进行全面的解析和验证，使冒用其他注册企业验证标志的钓鱼网站因域名不符而无法通过验证，从而有效地防止网络钓鱼事件的发生。

    【附图说明】

    图1为本发明网站信息验证系统及其相关硬件的架构图；

    图2为本发明网站信息验证方法的流程图；

    图3为本发明网站信息验证方法的一实施例对网站信息进行验证的解析处理流程图。

    【具体实施方式】

    请参阅图1，为本发明网站信息验证系统及其相关硬件的架构图。本发明网站信息验证系统包括一个注册服务器11、一个审核服务器13、一组解析服务器15、一个访问服务器23、一个系统数据库17、一个域名数据库24和一个通用网址数据库25。其中，注册服务器11、审核服务器13、解析服务器15分别与系统数据库17相连。审核服务器13和解析服务器15还分别与访问服务器23相连。访问服务器23则与域名数据库24及通用网址数据库25分别相连。

    与本系统相关的硬件则包括为本系统提供验证服务的权威机构数据服务器21，及接受本系统服务的企业网站服务器27和用户浏览器29。其中，权威机构数据服务器21通过网络与审核服务器13相连。企业网站服务器27通过网络与注册服务器11相连。用户浏览器29则通过网络分别与企业网站服务器27及解析服务器15相连。

    使用本系统的企业网站服务器27可以通过网络在注册服务器11上进行网站注册，注册时按要求填写企业工商信息、网站域名等注册信息。注册服务器11中设有注册模块，用于从企业网站服务器27接收网站注册信息，并将这些注册信息写入系统数据库17中。系统数据库17即用于存储所有注册网站的注册信息。审核服务器13内设有审核模块，用于从系统数据库17中调取企业网站的域名信息、工商信息等注册信息，并通过权威机构数据服务器21验证企业网站在本系统注册时提供的工商信息的真伪，通过访问服务器23查询域名数据库24中的数据记录以验证域名信息的真伪。只有注册网站提供的企业工商信息和域名信息都通过了权威数据库的认证，也就是说，域名所有者、网站使用者、企业及其工商信息都与权威数据库的记录相吻合时，该企业网站在本系统的注册才能生效。成功注册本系统的企业网站上将显示一个验证标志，如本系统的标记、商标等。如果网站注册信息与权威数据库的纪录不符，则无法通过审核服务器13的审核，注册服务器11将向企业网站服务器27返回注册失败的页面。这就使钓鱼网站无法盗用其他企业的真实信息进行注册，因为以此种方式注册的网站与域名数据库24中记录的该网站域名并不吻合，也就无法通过审核服务器13的审核。另外，企业网站服务器27与注册服务器11、审核服务器13与权威机构数据服务器21之间的数据传输使用的是https加密链接，有效保证信息传递的秘密性，不会被非法截取或篡改，使钓鱼网站没有可乘之机。

    用户通过企业网站服务器27登陆注册了本系统的企业网站时，点击网站页面上的验证标志，网站即将用户重定向到解析服务器15。用户浏览器29通过企业网站以https加密链接向解析服务器15提交验证企业网站真伪的解析请求。解析服务器15内设有解析模块，用于接收解析请求、从解析请求中获取域名信息和从http请求信息中获取来源信息、根据从解析请求中获取的域名和来源信息从系统数据库17中查询请求的域名及其来源是否为正确的注册域名、从系统数据库17中读取相关企业的信息、通过访问服务器23从域名数据库24和通用网址数据库25中获取该域名的相关的详细信息和通用网址、将访问服务器23返回的信息和从系统数据库17中查得的企业信息组合成解析结果页面返回给用户浏览器29或向用户浏览器29返回验证方式错误的页面。

    请参阅图2，本发明网站信息验证方法包括以下步骤：

    步骤101，接收用户浏览器从请求网站发送的网站解析请求；

    步骤102，从解析请求中获取待验证网站的域名信息和来源信息；

    步骤103，根据请求的域名信息从系统数据库中查询域名注册信息和企业信息；

    步骤104，判断请求域名及其来源是否完全符合系统数据库中的相关注册域名及其网址；

    步骤105，若是，则生成包括域名信息、企业信息的解析结果页面，并将解析结果页面返回用户浏览器；

    步骤106，若否，则向用户浏览器返回验证方式错误的页面。

    进一步，请参阅图3，为本发明网站信息验证方法对网站信息进行验证的解析处理流程图。在开始之后，解析服务器15首先接收到一个用户浏览器29从某一网站发起的解析请求(步骤S30)。解析服务器15中的解析模块对用户的解析请求进行解析，从中获取待验证网站的域名信息，并从http请求信息中获取其来源信息(步骤S31)。之后判断获取的请求域名信息是否正确(步骤S32)，即检查输入的数据是否合法、是否存在格式错误或参数不全等情况：如果判断结果是域名信息不正确，则通过网络向用户浏览器29返回验证方式错误的页面(步骤S33)，然后结束解析流程；如果判断结果是域名信息正确，则根据此域名信息在系统数据库17中查询域名注册信息和相关企业信息(步骤S34)。根据查询结果判断请求域名及其来源是否符合系统内注册的域名及网址(步骤S36)：如果判断结果为否，则通过网络向用户浏览器29返回验证方式错误的页面(步骤S33)，然后结束解析流程；如果判断结果为是，则根据取得的注册域名、通过访问服务器23从域名数据库24和通用网址数据库25中获取更详细的域名相关信息(步骤S38)。解析服务器15将访问服务器23返回的信息与之前从系统数据库17中获取的企业信息相组合，生成解析结果页面并返回给用户浏览器29(步骤S39)，之后结束解析流程。

    下面以一个企业网站为例，假设www.cnni.cn是一个安装了上述网站信息验证系统的企业网站，并在该www.cnni.cn网站主页上安装了验证标志；某钓鱼网站www.cnnl.cn为了模仿www.cnni.cn也在主页上放置了验证标志；当互联网用户访问www.cnnl.cn点击验证标志时，用户浏览器被重定向到解析服务器；解析模块得到查询www.cnni.cn企业网站真伪的解析请求，通过与系统数据库交互后得知www.cnni.cn的注册信息正确；接下来验证用户来源时，发现用户来源于www.cnnl.cn与注册信息中的www.cnni.cn不符，则返回验证方式错误页面。只有用户通过真实网站www.cnni.c点击验证标志后，验证用户来源才和注册信息匹配，才会返回正确的验证结果页面，向用户展示www.cnni.cn网站的可信信息。

    需要说明的是，为了能向浏览用户提供更准确的信息数据，企业网站在本系统注册的信息有一定的有效期，如一年，到期后需要重新进行信息验证，验证通过才能继续保持注册的有效性。否则即使是真实企业的注册网站，过期后也会被当作未注册或注册错误处理，在用户验证时返回验证方式错误的页面。

    另外，在其他实施方式中，本系统的解析服务器15也可以是单个服务器，上述实施方式采用多个服务器只是为了增加系统的负载能力，以增强系统的解析能力和稳定性而设计，只要能保证系统的支持压力和稳定性，此处完全可以采用单个服务器。

    综上所述，在注册过程中，本系统通过对注册网站的域名、网站、企业信息等进行全面、严密的注册信息审核，保证了只有真实企业的官方网站才能通过验证注册成功，而钓鱼网站即使用其他企业的真实信息也无法通过审核而注册生效；在信息验证过程中，本系统根据系统数据库17中的注册信息对待验证网站的域名、来源等信息进行验证，保证只向从注册网站发起解析请求的用户浏览器返回解析页面，使冒用其他注册企业验证标志的钓鱼网站因域名不符而无法蒙混过关；而且，在注册/解析过程中，系统外的数据传递都采用加密链接，能保证这些数据不会被钓鱼网站截取或篡改。因此，本系统的各个环节都能够屏蔽钓鱼网站，使其没有可乘之机，从而能够保证通过本系统验证的网站全部都是真实企业的真实网站，有效地防止了网络钓鱼事件的发生。

    根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对本发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对本发明构成任何限制。