本发明专利技术描述了一种用于防御恶意代码注入的系统、设备、方法和机器可读介质。例如,设备的一个实施方案包括:处理器,该处理器用于响应于用户输入执行应用程序以访问互联网上的网页,该网页具有一个或多个与其相关联的资源描述符和/或代码描述符;验证器引擎,该验证器引擎通过连接至可信实体,至少部分地基于该资源描述符和/或代码描述符来验证该网页;并且其中该可信实体被配置为在加密断言上生成签名,该加密断言包括与该一个或多个资源描述符相关联的一个或多个资源描述符对象和/或与该一个或多个代码描述符相关联的一个或多个代码描述符对象。码描述符对象。码描述符对象。
【技术实现步骤摘要】
【国外来华专利技术】用于防御恶意程序代码注入的系统和方法
技术介绍
[0001]本专利技术整体涉及数据处理系统的领域。更具体地讲,本专利技术涉及用于防御诸如JavaScript注入等恶意程序代码注入的系统和方法。
[0002]相关领域说明
[0003]图1示出了具有生物计量装置100的示例性客户端120。正常运行时,生物计量传感器102从用户读取原始生物计量数据(例如,捕捉用户指纹,记录用户声音,拍摄用户的照片,等等),并且特征提取模块103提取原始生物计量数据的指定特征(例如,注重于指纹的某些区域、某些面部特征等等)。匹配器模块104将所提取的特征133与存储在客户端120上的安全存储装置中的生物计量参考数据110进行比较,并且基于所提取的特征与生物计量参考数据110之间的相似性来生成得分。生物计量参考数据110通常是登记过程的结果,在登记过程中用户向装置100登记指纹、声音样本、图像或其他生物计量数据。应用程序105可接着使用得分来确定验证是否成功(例如,得分是否高于某个指定阈值)。
[0004]虽然图1所示的系统面向生物计量验证,但可在示例性客户端120上采用各种其他或另外的验证技术。例如,客户端侧验证器可基于用户输入的PIN或其他秘密代码(例如,密码)并且/或者可基于用户存在(例如,用户按下以核验存在的按钮)而触发。
[0005]已设计了使用生物计量传感器经由网络提供安全用户验证的系统。在此类系统中,可经由网络发送由应用程序生成的得分和/或其他验证数据,以向远程服务器验证用户。例如,专利申请No.2011/0082801(
″′
801申请
″
)描述了一种在网络上进行用户注册和验证的框架,这种框架提供强验证(例如,防御身份窃取和网络钓鱼)、安全交易(例如,防御交易中的
″
浏览器中的恶意软件
″
和
″
中间人
″
攻击)和客户端验证令牌的登记/管理(例如,指纹读取器、面部识别装置、智能卡、可信平台模块等等)。
[0006]本申请的受让人已经开发出对
′
801申请中所描述的验证框架的多种改进。这些改进中的一些在以下一组美国专利申请(
″
共同未决的申请
″
)中描述,这些美国专利申请全部在2012年12月29日提交、转让给本受让人并且以引用方式并入本文:序列号13/730,761,名称为
″
Query System and Method to Determine Authentication Capabilities
″
(用于确定验证能力的查询系统和方法);序列号13/730,776,名称为
″
System and Method for Efficiently Enrolling,Registering,and Authenticating With Multiple Authentication Devices
″
(使用多个验证装置有效地进行登记、注册和验证的系统和方法);序列号13/730,780,名称为
″
System and Method for Processing Random Challenges Within an Authentication Framework
″
(用于在验证框架内处理随机质询的系统和方法);序列号13/730,791,名称为
″
System and Method for Implementing Privacy Classes Within an Authentication Framework
″
(用于在验证框架内实施隐私类别的系统和方法);序列号13/730,795,名称为
″
System and Method for Implementing Transaction Signaling Within an Authentication Framework
″
(用于在验证框架内实
施交易信令的系统和方法)。
[0007]简而言之,在这些共同未决的申请描述的验证技术中,用户向客户端装置上的验证装置(或验证器)诸如生物计量装置(例如,指纹传感器)登记。当用户向生物计量装置登记时,(例如,通过轻扫手指、拍摄照片、记录语音等)捕捉生物计量参考数据。用户可随后经由网络向一个或多个服务器(例如,配备有安全交易服务的网站或其他依赖方,如共同待决的申请中所述)注册验证装置;并且随后使用在注册过程中交换的数据(例如,预置到验证装置中的密钥)向那些服务器验证。一旦通过验证,用户便获许与网站或其他依赖方执行一个或多个在线交易。在共同未决的申请所描述的框架中,敏感信息(诸如指纹数据和可用于唯一地标识用户的其他数据)可本地保持在用户的验证装置上,以保护用户的隐私。
附图说明
[0008]可结合下列附图从以下具体实施方式更好地理解本专利技术,其中:
[0009]图1示出了具有生物计量验证能力的示例性客户端装置;
[0010]图2A至图2B示出了安全验证系统架构的两个不同实施方案;
[0011]图2C是示出可如何将密钥注册到验证装置中的事务图;
[0012]图3A至图3B示出了使用安全显示器进行安全交易确认的实施方案;
[0013]图4示出了用未建立关系的装置执行交易验证的本专利技术的一个实施方案;
[0014]图5A至图5B是示出用于执行交易验证的两个不同实施方案的事务图;
[0015]图6示出了本专利技术的一个实施方案中采用的额外架构特征;
[0016]图7至图8示出了本专利技术的不同实施方案中采用的不记名令牌的不同实施方案;
[0017]图9示出了示例性的
″
离线
″
和
″
半离线
″
验证场景;
[0018]图10示出了客户端和/或服务器的示例性系统架构;
[0019]图11示出了客户端和/或服务器的另一个示例性系统架构;
[0020]图12示出了客户端与服务器之间的中间人(MITM)布置;
[0021]图13示出了当客户端访问网页时的一组示例性交互;
[0022]图14示出了捕获与网页和后续JavaScript链接相关的通信的MITM;
[0023]图15示出了在验证阶段期间插置在客户端与服务器之间的MITM;并且
[0024]图16示出了使用资源描述符和代码描述符的客户端
‑
服务器验证的一个实施方案。
[0025]优选实施方案的具体实施方式
[0026]下文描述用于实施高级验证技术及相关联应用的设备、方法和机器可读介质的实施方案。在整个描述中,出于解释的目的,本文陈述了许多特定细节以便透彻理解本专利技术。然而,本领域的技术人员将容易明白,可在没有这些特定细节中本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种设备,包括:处理器,所述处理器用于响应于用户输入执行应用程序以访问互联网上的网页,所述网页具有一个或多个与其相关联的资源描述符和/或代码描述符;验证引擎,所述验证引擎通过连接至可信实体,至少部分地基于所述资源描述符和/或代码描述符来验证所述网页;并且其中所述可信实体被配置为在加密断言上生成签名,所述加密断言包括与所述一个或多个资源描述符相关联的一个或多个资源描述符对象和/或与所述一个或多个代码描述符相关联的一个或多个代码描述符对象。2.根据权利要求1所述的设备,其中所述验证引擎将使用所述加密断言上的所述签名来验证所述网页。3.根据权利要求1所述的设备,其中所述签名包括所述一个或多个资源描述符和/或代码描述符的加密散列值。4.根据权利要求1所述的设备,其中所述可信实体包括运行服务器侧验证引擎的服务器,以核验所述加密断言,包括验证所述加密断言仅包括被指定为预期资源描述符和/或代码描述符的那些一个或多个资源描述符和/或代码描述符。5.根据权利要求4所述的设备,其中所述服务器侧验证引擎将用于响应性地生成指示恶意资源描述符和/或代码描述符已经被识别的可能性的风险得分。6.根据权利要求5所述的设备,其中所述服务器侧验证引擎包括机器学习引擎,以核验所述加密断言仅包括先前从已确定的一组可信位置观察到已确定的先前时间的数量的资源描述符和/或代码描述符,其中所述机器学习引擎将用于执行机器学习以不断地更新所述已确定的先前时间的数量和所述已确定的一组可信位置。7.根据权利要求6所述的设备,其中所述处理器将执行程序代码,所述程序代码包括包含在所述网页中的函数,以核验文档对象模型(DOM)树的一个或多个安全相关部分尚未被修改,所述程序代码使用所述签名进行验证。8.一种服务器设备,包括:接口,所述接口用于从客户端接收验证请求;和验证器引擎,所述验证器引擎用于在加密断言上生成签名,所述加密断言包括与由所述客户端接收的网页的一个或多个资源描述符相关联的一个或多个资源描述符对象和/或与所述网页的一个或多个代码描述符相关联的一个或多个代码描述符对象;并且所述验证器引擎用于通过所述接口将所述签名传输到所述客户端以用于验证所述网页。9.根据权利要求8所述的服务器设备,其中所述验证器引擎或所述客户端上的验证器引擎将使用所述加密断言上的所述签名来验证所述网页。10.根据权利要求8所述的服务器设备,其中所述签名包括所述一个或多个资源描述符和/或代码描述符的加密散列值。11.根据权利要求8所述的服务器设备,其中所述验证器引擎被配置为核验所述加密断言,包括核验所述加密断...
【专利技术属性】
技术研发人员:R,
申请(专利权)人:诺克诺克实验公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。