使用客户端平台信任根的网页认证制造技术

本文公开了用于使用客户端平台信任根执行网页认证的系统和方法。可以基于用户设备对访问网站的尝试来认证网站和用户有效性和完整性。一旦用户设备成功地与服务器进行了认证，该用户设备可以安全地访问网站。在一个实施例中，用户设备可以执行网站的认证，以确保该网站是有效的实体。

【技术实现步骤摘要】
【国外来华专利技术】使用客户端平台信任根的网页认证
技术介绍
在线获取个人信息已日益变得普遍，这是由于其已变成管理人们事务的方便和验证的方法。例如，用户可以在线访问其银行账户，以查看余额和交易、转账、付款等。虽然访问这样的信息的能力提供了方便，但是其也增加了对敏感信息的潜在的安全威胁。对个人信息的一个威胁示例是钓鱼攻击，在钓鱼攻击中，可能将用户带到或重定向到假网站，以收集诸如用户名、密码、社会保险号、生日、信用卡信息等。例如，声称为来自流行社交网站、拍卖网站、在线付款处理器等的通信可以用于将不怀疑的用户引诱到提供个人信息。对个人信息的威胁的另一示例是域欺骗攻击，在域欺骗攻击中，可以利用假域名服务(DNS)记录将用户重定向到假网站，验证地将业务从目标网站重定向到假网站。例如，这可以通过在破坏DNS服务器之后改变DNS主文件来进行。一些用于防止这些工具的技术可以包括通过浏览器插件执行的记忆浏览器的网站验证。但是，这些验证技术可能无法避免域欺骗攻击。在一些情况下，通过使用具有强公钥基础设施(PKI)加密(例如，使用公钥认证)的安全套接字层(SSL)或传输层安全性(TLS)可以避免钓鱼，其中，网站的统一资源标识符(URI)(例如，统一资源定位符(URL)可以用作标识符)。通常，使用SSL或TLS的安全认证和证书可以包括：指示连接处于认证模式，指示用户连接到哪一个网站，以及指示哪一个权威(例如，证书权威)对该网站的身份进行了认证。但是，该认证过程可能容易绕过，因为，通常认证是由用户确认的，引入了用户错误。此外，因为这些用于避免攻击的当前技术纯粹地基于软件，所以对避免对个人信息的某些攻击(例如，如果用户自身的计算机被入侵)其可能是无效的。附图说明图1示出了根据示例性实施例的用于使用前安全执行环境的系统的示例；图2示出了根据示例性实施例的用于向用户设备提供安全访问网站的方法的示例；图3示出了根据示例性实施例的用于使用所提供的用户设备安全地访问网站的方法的示例；以及图4示出了根据示例性实施例，在其上执行本申请中讨论的技术中的任何一个或多个的机器的示例的框图。具体实施方式随后的描述和附图充分地示出了使本领域技术人员能够实施其的具体实施例。其他实施例可以并入结构、逻辑、电、过程以及其他变化。一些实施例的部分和特征可以包含在其他实施例中或被其他实施例替代。权利要求书中给出的实施例包含了这些权利要求的所有可用的等同。本申请中描述的若干实施例提供了用于使用客户端平台信任根的网页认证的技术。当用户请求访问具有用户的个人信息的网站时，网站的服务器可以在允许访问之前对用户认证。该网站可以是用户可以使用来访问个人信息的任何网站。例如，该网站可以是用户访问账户信息的银行网站。认证可以包括认证用于访问网站的具体用户设备。在一个实施例中，可以使用用户设备上的安全执行环境来执行对用户的认证。该安全执行环境可能是在其上网页认证可能发生的用户设备上的隐藏的环境(例如，整体或部分地，为用户、操作系统或在用户设备上运行的其他应用不可见或不可直接访问)。通过提供将利用网站的服务器进行认证的具体用户设备，可以发生使用具体用户设备的网页认证。当提供用户设备时，用户可以提供用于登录到网络的证书。用于登录到网站的证书可以是可以帮助验证用户的身份的针对用户的任何证书。证书的示例可以包括下列中的任何一个或多个：用户名字；密码；社会保险号；账号；生日；信用卡信息；账单地址；电话号码等。此外，服务器可以确定该设备是否属于用户。例如，服务器可以通过确定该设备是否位于与该设备或用户关联的特定地理区域(例如，地址、建筑物、城市、州、全球定位系统(GPS)坐标等)来验证用户是否拥有该设备。在成功验证之后，服务器可以生成特定于该用户设备的特定于设备的URI(例如，网页地址)。该特定于设备的URI可以存储在用户设备的安全执行环境中以及存储在服务处。所存储的特定于设备的URI可以用于网页认证。当用户使用用户设备试图访问网站时，其中，该用户设备已被提供用户该网站，用户可以使用在安全执行环境中存储的特定于设备的URI来安全地访问该网站。服务器可以从设备的安全执行环境接收特定于设备的URI，并且可以验证该URI针对正被用于访问网站的该设备是有效的。包括特定于设备的授权模块的网页认证通过确保访问用户的信息的实体是被授权这样做的增加了安全性。此外，服务器可以向用户设备发送特定于设备的URI，并且设备上的安全执行环境可以验证将访问的网站是目标网站而不是用户可能被重定向到的假网站。例如，图1示出了用于使用安全执行环境160的系统100的示例。系统100可以包括通过网络与内容网页服务器115和授权服务器120通信的用户设备110。在一个实施例中，授权服务器120可以包括：授权模块，其配置成执行授权服务器120的授权的操作中的任何一个或多个。网络105可以是用于在实体之间通信的任何通信网络(例如，互连网、局域网等)。用户设备110可以是被安排(配置)成访问网站的任何用户设备。用户设备110示例可以包括但不限于：移动设备(例如，智能电话、便携数字助理(PDA)、平板计算机)；桌上型计算机；膝上型计算机；电视；机顶盒；媒体控制台；等。用户设备110可以包括与存储器135通信的一个或多个处理器125。存储器135可以包括用于存储可以由一个或多个处理器125执行的指令、应用、或用户设备100的操作系统的任何类型的存储器。存储器135也可以存储数据，例如在文件系统(例如，安排成存储文件的一个或多个数据结构)。用户设备110可以包括：一个或多个通信模块130(例如，天线、安排成使蜂窝通信等能够实现的电路)；显示模块140(例如，处理硬件、显示屏等)，其配置成向用户显示信息；照相机模块145，用于捕获相片和/或视频；以及一个或多个输入模块150，其被配置成从用户接收输入(例如，麦克风、键盘等)。用户设备110可以包括：平台传感器集线器155，其可以连接到或包括惯性传感器、压力传感器、背景光传感器、近距离传感器、全球定位系统(GPS)设备等。用户设备110可以包括安全执行环境160。安全执行环境160可以配置成提供主机独立防篡改安全计算机和存储能力。安全执行环境160可以包括配置成执行用户设备110对网站的认证的、在机器(例如，计算机)可读介质上的一个或多个处理器或指令。例如，安全执行环境160可以存储向用户设备110提供的特定于设备的URI。在一个实施例中，安全执行环境160可以存储特定于设备的URI的加密版本，例如，特定于设备的URL签名哈希。特定于设备的URI的加密版本可以使用任何类型的加密机制来加密。用户设备110的组件可以作为一个或多个芯片包含在用户设备110内。在一个实施例中，用户设备110可以包含一个或多个处理器，包括：多核处理器、主核心处理器、或超低功率核心处理器等。内容网页服务器115可以是配置成向实体提供对一个或多个网站的访问的任何网络设备。例如，内容网页服务器115可以提供对包括例如个人信息、用户账号等的内容的访问。授权服务器120可以是配置成执行用户设备110的授权的任何网络服务器(例如，通过授权模块)。授权服务器120可以存储用户设备信息，例如，防篡改软件(TRS)、特定于设备的URI、加密密钥等本文档来自技高网...

【技术保护点】
一种用于特定于设备的网页认证的设备，所述设备包括：至少一个处理器，其配置成：请求网站；以及响应于来自服务器上的授权模块的网站访问发起来访问所述网站；以及安全执行环境，其配置成：存储设备存储的统一资源标识符；向所述授权模块发送所述设备存储的统一资源标识符；从所述授权模块接收服务器存储的统一资源标识符；以及响应于由所述安全执行环境对所述服务器存储的统一资源标识符的验证，向所述授权模块发送有效性确定，所述网站访问发起是基于所述有效性确定的。

【技术特征摘要】
【国外来华专利技术】1.一种用于特定于设备的网页认证的设备，所述设备包括：至少一个处理器，其配置成：请求网站；以及响应于来自服务器上的授权模块的网站访问发起来访问所述网站；以及安全执行环境，其配置成：存储设备存储的统一资源标识符；向所述授权模块发送所述设备存储的统一资源标识符；从所述授权模块接收服务器存储的统一资源标识符；以及响应于由所述安全执行环境对所述服务器存储的统一资源标识符的验证，向所述授权模块发送有效性确定，所述网站访问发起是基于所述有效性确定的。2.根据权利要求1所述的设备，其中，发送所述设备存储的统一资源标识符包括：所述安全执行环境配置成发送所述设备存储的统一资源标识符的加密版本。3.根据权利要求1所述的设备，其中，对所述服务器存储的统一资源标识符的所述验证包括：所述服务器执行环境配置成将所述服务器存储的统一资源标识符与所述设备存储的统一资源标识符相比较，并且如果它们匹配，则使得所述有效性确定为有效，否则为无效。4.根据权利要求1所述的设备，其中，接收所述服务器存储的统一资源标识符包括：所述服务器执行环境配置成接收所述服务器存储的统一资源标识符的加密版本。5.根据权利要求1所述的设备，其中，访问所述网站包括：所述处理器配置成访问与所述设备的用户的账户相关联的账户信息。6.根据权利要求1所述的设备，其中，所述安全执行环境还配置成：向所述授权模块发送设置请求以将所述设备配置成安全地访问所述网站，所述设置请求包括具有与所述网站相关联的账户的用户的证书；以及在所述授权模块已确定所述证书是有效的并且所述设备与所述用户相关联之后，接收所述设备存储的统一资源标识符。7.根据权利要求1所述的设备，其中，针对所述网站的请求包括使用特定于设备的授权的指示符，所述授权模块基于所述指示符来发送所述服务器存储的统一资源标识符。8.根据权利要求1所述的设备，其中，所述设备存储的统一资源标识符配置成：在特定的时间段内，提供对所述网站的访问。9.根据权利要求1至8中的任何一项所述的设备，其中，所述安全执行环境配置成由所述处理器拒绝对所述网站的访问。10.一种用于网页认证的方法，所述方法包括：响应于对使用具有安全执行环境的设备来访问网站的请求，所述设备配置成使用客户端平台信任根来向服务器发送存储在所述安全执行环境处的设...

【专利技术属性】
技术研发人员：G·普拉卡什，R·普尔纳沙德朗，
申请(专利权)人：英特尔公司，
类型：发明
国别省市：美国;US