TWI852549B

TWI852549B - 快速識別網站安全的系統及方法

Info

Publication number: TWI852549B
Application number: TW112117609A
Authority: TW
Inventors: 張淑蕙; 何柏霖; 周彥廷; 周智勇
Original assignee: 合作金庫商業銀行股份有限公司
Priority date: 2023-05-11
Filing date: 2023-05-11
Publication date: 2024-08-11
Also published as: TW202445394A

Abstract

一種快速識別網站安全的系統包括一客戶端裝置耦接一銀行端伺服器，用以下載一網站安全識別應用程式，其中網站安全識別應用程式用以：擷取一網站之網址及網站之相關憑證資訊；確認相關憑證資訊是否包含安全通訊端層（SSL）憑證；以及確認SSL憑證是否在有效期間。

Description

快速識別網站安全的系統及方法

本發明是有關於一種快速識別網站安全系統及其方法。

現行的網路交易安全問題不盡相同，大部分的網路安全事件大都發生在電子交易的糾紛，或是帳號被盜用的問題。首先就是誘使客戶相信，他們的電腦或帳戶出了問題，或是參加抽獎、中獎，需要到偽裝的網站上填寫資料，而客戶不易判斷真偽，導致真的銀行網頁客戶不信賴或誤信假的網站，易造成實際業務無法進行宣傳。

因此，開發一種安全網站的識別工具，實是本領域人士所思量的。

本案的一實施態樣係提供一種快速識別網站安全的系統，其包括一客戶端裝置耦接一銀行端伺服器，用以下載一網站安全識別應用程式，其中客戶端裝置用以執行網站安全識別應用程式以：擷取一網站之網址及網站之相關憑證資訊；確認相關憑證資訊是否包含安全通訊端層（SSL）憑證；以及確認SSL憑證是否在有效期間。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以確認SSL憑證之核發的對象是否正確。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以確認SSL憑證之發行者是否為臺灣網路認證股份有限公司。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以確認SSL憑證之發行者是否為中華電信股份有限公司。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以確認網站之網址是否在特定安全名單內。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以當網站之網址在特定安全名單內時，標示網站為安全網站。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以當網站之相關憑證資訊不包含SSL憑證時，標示網站為不安全網站。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以當網站之相關憑證資訊包含SSL憑證但SSL憑證已不在有效期間內時，標示網站為不安全網站。

在一些實施例中，客戶端裝置還用以執行網站安全識別應用程式以當網站之相關憑證資訊包含SSL憑證且SSL憑證在有效期間內時，標示網站為安全網站。

本案的另一實施態樣係提供一種快速識別網站安全的方法，其包括使用一客戶端裝置耦接一銀行端伺服器，用以下載一網站安全識別應用程式，其中客戶端裝置用以執行網站安全識別應用程式以：擷取一網站之網址及網站之相關憑證資訊；確認相關憑證資訊是否包含安全通訊端層（SSL）憑證；以及確認SSL憑證是否在有效期間。

因此，依據本案之技術內容，快速識別網站安全系統及其方法提供網站安全識別應用程式供下載並運作於其資訊裝置上，由金融產業鏈對其自家旗下關聯網站及重要的金融網站提供上網安全的保證，使客戶能更信賴網站安全識別應用程式所認證的安全網站。

以下將以圖式及詳細敘述清楚說明本案之精神，任何所屬技術領域中具有通常知識者在瞭解本案之實施例後，當可由本案所教示之技術，加以改變及修飾，其並不脫離本案之精神與範圍。

本文之用語只為描述特定實施例，而無意為本案之限制。單數形式如「一」、「這」、「此」、「本」以及「該」，如本文所用，同樣也包含複數形式。

關於本文中所使用之『耦接』或『連接』，均可指二或多個元件或裝置相互直接作實體接觸，或是相互間接作實體接觸，亦可指二或多個元件或裝置相互操作或動作。

關於本文中所使用之『包含』、『包括』、『具有』、『含有』等等，均為開放性的用語，即意指包含但不限於。

關於本文中所使用之『及/或』，係包括所述事物的任一或全部組合。

關於本文中所使用之用詞（terms），除有特別註明外，通常具有每個用詞使用在此領域中、在本案之內容中與特殊內容中的平常意義。某些用以描述本案之用詞將於下或在此說明書的別處討論，以提供本領域技術人員在有關本案之描述上額外的引導。

請同時參照第1、2圖，第1圖繪示根據本案一些實施例之快速識別網站安全的方法流程圖，第2圖繪示根據本案一些實施例之快速識別網站安全的系統之功能方塊圖。本案之快速識別網站安全之方法及系統主要適用於金融產業鏈於服務其客戶時確保客戶於其旗下關聯網站執行交易或輸入資料等的安全性。這裡的金融產業鏈包含金控業、銀行業、保險業、證券業、期貨業或租賃業等。金控業旗下子公司則包括銀行、壽險、證券、投信、投顧等事業體。

金融產業鏈可以於其銀行端伺服器200或其他服務客戶的伺服器上，宣傳其快速識別網站安全的服務，並提供網站安全識別應用程式供下載。金融產業鏈的客戶可透過其客戶端裝置150經網際網路300與銀行端伺服器200建立連結。故，任何客戶端裝置150便可透過網際網路300登入銀行端伺服器200之網站介面平台，以執行網站介面平台之各種服務，包含下載網站安全識別應用程式。在本案的一些實施例中，這些客戶端裝置150分別代表分布於不同位置之可連網裝置。可連網的客戶端裝置150例如為行動電話、筆記型電腦、平板電腦、桌上型電腦、智慧型手機、平板手機或智慧型手錶等。客戶端裝置150亦可稱為資訊裝置（Information Appliance，簡稱IA）。

網站安全識別應用程式用以執行快速識別網站安全的方法100。在方法100的步驟102中，啟動網站安全識別應用程式以連結欲造訪網站。若是以具攝像頭的客戶端裝置150，在啟動網站安全識別應用程式後，可用攝像頭掃描二維條碼以連結至欲造訪網站的網站伺服器250。

在方法100的步驟104中，接著獲取網站的網址及相關憑證資訊。這裡的「網址」指的是「真實網址」，並非經縮址處理後的「縮址」。因此，此步驟還包含還原出縮址的真實網址，才能執行後續的查核步驟。這裡的相關憑證資訊指的是與資安相關的憑證，例如SSL憑證及TSL憑證。SSL 的全名是 Secure Sockets Layer，即安全通訊端層，簡而言之，這是一種標準的技術，用於保持網際網路連線安全以及防止在兩個系統之間發送的所有敏感資料被罪犯讀取及修改任何傳輸的資訊，包括潛在的個人詳細資料。兩個系統可以是伺服器與用戶端 (例如購物網站與瀏覽器)，或者伺服器至伺服器 (例如，含有個人身份資訊或含有薪資資訊的應用程式)。這樣做是為了確保使用者與網站、或兩個系統之間傳輸的任何資料保持無法被讀取的狀態。此技術可使用加密演算法以混淆輸送中的資料，防止駭客在資料透過連線發送時讀取資料。此資訊可能是任何敏感或個人資訊，包括信用卡號與其他財務資訊、姓名與地址。TSL (Transport Layer Security，傳輸層安全性)是更新、更安全的SSL版本，一般仍將安全性憑證稱為SSL，因為這是較常用的詞彙。HTTPS (Hyper Text Transfer Protocol Secure，超級文字傳輸協議安全)會在網站受到SSL憑證保護時在網址中出現。該憑證的詳細資料包括發行機構與網站擁有人的企業名稱，可以透過按一下瀏覽器列上的鎖定標記進行檢視。

在方法100的步驟106中，先確認網站的相關憑證資訊是否包含安全通訊端層（SSL）憑證。因為金融網站依法皆需具備此憑證，以確認其來源辨識性。若網站的相關憑證資訊不包含安全通訊端層（SSL）憑證，即在方法100的步驟120中將該網站標示為不安全網站，再進行方法100的步驟122。在本案的一些實施例中，當網站的相關憑證資訊包含安全通訊端層（SSL）憑證時，仍需檢視安全通訊端層（SSL）憑證之核發的對象是否正確。若是某金融產業鏈的旗下關聯網站，憑證之核發對象即為旗下的金控業、銀行業、保險業、證券業、期貨業或租賃業的企業名稱，若核發的對象不符，就可能是冒充網站，可能需在方法100的步驟120中將該網站標示為不安全網站，再進行方法100的步驟122。在本案的一些實施例中，當網站的相關憑證資訊包含安全通訊端層（SSL）憑證時，仍需檢視安全通訊端層（SSL）憑證之發行者。因各國安全通訊端層（SSL）憑證之發行者眾多，在台灣本地的企業，安全通訊端層（SSL）憑證具公信力之發行者包含臺灣網路認證股份有限公司及中華電信股份有限公司。在本案的一些實施例中，對台灣本地的金融產業鏈的旗下關聯網站，當網站的相關憑證資訊包含安全通訊端層（SSL）憑證時，但安全通訊端層（SSL）憑證具公信力之發行者並非臺灣網路認證股份有限公司或中華電信股份有限公司，仍可能需在方法100的步驟120中將該網站標示為不安全網站，再進行方法100的步驟122。

在方法100的步驟108中，當網站的相關憑證資訊包含安全通訊端層（SSL）憑證時，仍需檢視安全通訊端層（SSL）憑證是否在有效期間內。在本案的一些實施例中，若當網站之相關憑證資訊包含安全通訊端層（SSL）憑證，但安全通訊端層（SSL）憑證已不在有效期間內時，需在方法100的步驟120中將該網站標示為不安全網站，再進行方法100的步驟122。在本案的一些實施例中（例如針對金融產業鏈的自家旗下關聯網站），若當網站之相關憑證資訊包含安全通訊端層（SSL）憑證，且安全通訊端層（SSL）憑證在有效期間內時，可直接執行方法100的步驟110，標示該網站為安全網站。

在方法100的步驟110中，可用預先設定的網站白名單（即安全名單），來檢視造訪網站是否在名單內。在本案的一些實施例中，當網站之網址在特定安全名單內時，可直接執行方法100的步驟110（即跳過步驟106及步驟108），認定該網站為安全網站。在本案的一些實施例中，網站白名單可包含台灣Pay(taiwanpay.com.tw) 、票交所的線上嗶嗶繳嗶嗶繳 (twnch.org.tw) 、銀行公會的全國繳費網e-Bill全國繳費網 (ba.org.tw)、中華民國銀行商業銀行同業公會全國聯合會 (ba.org.tw)、MOICA 內政部憑證管理中心 (nat.gov.tw)、合作金庫機場接送預約平臺 (youfirst.com.tw)、Visa無限卡/Visa禦璽卡尊享禮遇 (freeliving.com.tw)、龍騰出行官網-全球品質生活服務平臺、貴賓出行智慧服務平臺 (dragonpass.com.cn)、mastercard (johoo777.com)、Priceless Specials…等。在本案的一些實施例中，網站白名單大多為非金融產業鏈的旗下關聯網站。在本案的一些實施例中，網站白名單亦可將金融產業鏈的旗下關聯網站全部表列，當網站之相關憑證資訊包含安全通訊端層（SSL）憑證且安全通訊端層（SSL）憑證在有效期間內時，網站之網址仍需在特定安全名單內時，才直接執行方法100的步驟110，認定該網站為安全網站。若網站之網址不在特定安全名單內時，仍需在方法100的步驟120中將該網站標示為不安全網站，再進行方法100的步驟122。

在方法100的步驟112中，若符合上述步驟的某些狀況，網站安全識別應用程式即會在其使用者介面上明顯將符合檢視條件的網站標示「安全」或「SAFE」等字樣，讓使用者很容易察覺該網站是安全網站。

在方法100的步驟120中，若符合上述步驟的某些狀況，網站安全識別應用程式即會在其使用者介面上明顯將符合檢視條件的網站標示「不安全」或「WARNING」等字樣，讓使用者很容易察覺該網站是不安全網站。

在方法100的步驟122中，若某網站已被標示為「不安全」或「WARNING」，會接著請資安人員進行調查該網站或檢舉該網站而使其下架的目的。

在本案的一些實施例中，銀行端伺服器200具有處理器單元、通訊單元及儲存單元等，藉以提供網站安全識別應用程式的下載及作為應用程式於客戶端裝置150運作時的後台支援。在本案的一些實施例中，客戶端裝置150具有處理器單元、通訊單元及儲存單元等，藉以執行上述方法100的各步驟。在本案的一些實施例中，方法100的步驟106、步驟108及步驟110可在客戶端裝置150及銀行端伺服器200上同時運作查核。

依此，本案之快速識別網站安全系統及其方法提供網站安全識別應用程式供下載並運作於其資訊裝置上，由金融產業鏈對其自家旗下關聯網站及重要的金融網站提供上網安全的保證，使客戶能更信賴網站安全識別應用程式所認證的安全網站。

雖然本案以實施例揭露如上，然其並非用以限定本案，任何熟習此技藝者，在不脫離本案之精神和範圍內，當可作各種之更動與潤飾，因此本案之保護範圍當視後附之申請專利範圍所界定者為準。

100:方法

102:步驟

104:步驟

106:步驟

108:步驟

110:步驟

112:步驟

120:步驟

122:步驟

150:客戶端裝置

200:銀行端伺服器

250:網站伺服器

300:網際網路

此處的附圖被併入說明書中並構成本說明書的一部分，這些附圖示出了符合本發明的實施例，並與說明書一起用於說明本發明實施例的技術方案。第1圖繪示根據本案一些實施例之快速識別網站安全的方法流程圖。第2圖繪示根據本案一些實施例之快速識別網站安全的系統之功能方塊圖。