客户端设备可以向主机设备提供对访问主机域相关联的网站的请求。客户端设备可以基于该请求来接收验证代码,该验证代码标识验证域和与验证域相关联的资源,该验证域和该资源要被请求以用于验证公共密钥证书。验证域可以不同于主机域。客户端设备可以执行验证代码,并且可以基于执行该验证代码来从验证域请求该资源。客户端设备可以确定所请求的资源是否被接收,并且可以确定所请求的资源是否被接收来选择性地执行第一动作或第二动作。第一动作可以指示公共密钥证书无效,并且第二动作可以指示公共密钥证书有效。
【技术实现步骤摘要】
【专利摘要】客户端设备可以向主机设备提供对访问主机域相关联的网站的请求。客户端设备可以基于该请求来接收验证代码,该验证代码标识验证域和与验证域相关联的资源,该验证域和该资源要被请求以用于验证公共密钥证书。验证域可以不同于主机域。客户端设备可以执行验证代码,并且可以基于执行该验证代码来从验证域请求该资源。客户端设备可以确定所请求的资源是否被接收,并且可以确定所请求的资源是否被接收来选择性地执行第一动作或第二动作。第一动作可以指示公共密钥证书无效,并且第二动作可以指示公共密钥证书有效。【专利说明】检测和防止加密连接上的中间人攻击
技术介绍
中间人攻击(man-1n-the-middle attack)是一种形式的计算机安全漏洞,在该计算机安全漏洞中,攻击者(例如,黑客)制造与受害者的计算机的独立连接并且中继他们之间的消息,当事实上通信受到攻击者控制的时候,导致受害者相信受害者正在通过安全连接彼此直接通信。为了执行中间人攻击,攻击者拦截两个受害者之间的消息并且注入新的消息,这些新的消息然后被发送给受害者。如果受害者之间的连接被加密,攻击者可以通过哄骗用户(例如,客户端设备处的端用户)接受攻击者的公共密钥证书、而不是接受由认证机构认证的受信任的证书,来规避加密。攻击者可以从另一个受害者(例如,被托管在主机设备上的网站)接受受信任的证书。通过这种方式,攻击者可以与两个受害者使用证书,以与两个受害者建立加密通信会话,并且可以拦截、解密、告警、移除和插入受害者之间的消息,因此扮演中间人。
技术实现思路
根据一些可能的实施方式,一种设备可以包括一个或多个处理器,该一个或多个处理器被配置为:提供对访问主机域的请求;基于对访问主机域的请求来接收验证代码,该验证代码标识验证域和经由验证域可访问的资源,该验证域和该资源用于验证公共密钥证书,其中该验证域不同于主机域;执行该验证代码;基于执行该验证代码来从验证域请求资源;确定所请求的资源是否被接收;以及基于所请求的资源是否被接收来选择性地执行第一动作或第二动作;其中基于确定所请求的资源未被接收,被标识在验证代码中的第一动作被执行;并且其中基于确定所请求的资源被接收,该第二动作被执行,并且其中第二动作不同于第一动作。 根据一些可能的实施方式,一种计算机可读介质可以存储一个或多个指令,该一个或多个指令在被一个或多个处理器执行时使得该一个或多个处理器:向与主机域相关联的主机设备提供请求;基于该请求来从主机设备接收网页的内容,其中该网页的内容包括与验证代码有关的信息,该验证代码标识验证域和与验证域相关联的资源,该验证域和该资源要被用于验证公共密钥证书,其中该验证域不同于主机域;基于验证代码来从验证域请求该资源;确定所请求的资源是否被接收;以及基于所请求的资源是否被接收来由选择地执行第一动作或第二动作,其中第一动作指示公共密钥证书无效;其中第二动作指示公共密钥证书有效,并且其中第二动作不同于第一动作。 根据一些可能的实施方式,一种方法可以包括:由客户端设备并且向主机设备提供对访问与主机域相关联的网站的请求;由客户端设备并且基于该请求来接收验证代码,该验证代码标识验证域和与验证域相关联资源,该验证域和该资源要被请求以用于验证公共密钥证书,其中该验证域不同于主机域;由客户端设备执行验证代码;由客户端设备基于执行验证代码来从验证域请求该资源;由客户端设备确定所请求的资源是否被接收;以及基于确定所请求的资源是否被接收来选择性地执行第一动作或第二动作;其中第一动作指示公共密钥证书无效;并且其中第二动作指示公共密钥证书有效。 【专利附图】【附图说明】 图1A和IB是本文中所描述的示例实施方式的概览的示图; 图2是在其中本文中所描述的系统和/或方法可以被实施的示例环境的示图; 图3是图2的一个或多个设备的示例部件的示图; 图4是用于生成和提供用于使用第三方网站来验证公共密钥证书的代码的示例过程的流程图; 图5A和5B是与图4示出的示例过程有关的示例实施方式的示图; 图6是用于使用第三方网站来验证公共密钥证书的示例过程的流程图; 图7是与图6中示出的示例过程有关的示例实施方式的示图; 图8是用于使用附属域来验证公共密钥证书的示例过程的流程图;以及 图9A-9D是与图8中示出的示例过程有关的示例实施方式的示图。 【具体实施方式】 示例实施方式的以下详细描述参考了附图。在不同附图中的相同标号可以标识相同或相似元素。 当客户端设备正建立与主机设备的安全通信会话(例如,安全套接层(SSL)会话)时,诸如当客户端设备的用户导航到由主机设备托管的安全网站时,主机设备通常向客户端设备发送公共密钥证书,以验证主机设备的身份。该证书可以标识针对该会话的初始加密密钥。如果客户端设备将该证书识别为有效(例如,如果运行在客户端设备上的浏览器能够验证该证书是由受信任的证书机构签名),那么客户端设备可以允许用户访问该安全网站。如果客户端设备没有将该证书识别为有效,则客户端设备可能不允许用户访问该安全网站。 在一些情况下,客户端设备可以将该证书标识为无效,但是用户可以提供指示以接受无效证书。因为一些用户可以接受无效证书,攻击者(例如黑客)可能能够通过向客户端设备发送无效证书来拦截客户端设备与主机设备之间的消息。当用户接受攻击者的无效证书时,由客户端设备发送的加密消息可以被攻击者的设备拦截和解密。攻击者可能还建立与主机设备的安全会话(例如,通过接受主机设备的有效证书)。攻击者然后可以通过拦截、告警、移除和/或插入客户端设备与主机设备之间的消息,来扮演中间人。 这样的中间人攻击可能难以检测,因为主机设备可能仅看到来自攻击者设备的流量(例如,经由使用有效证书而被建立的连接),并且可能未看到客户端设备与攻击者设备之间的流量(例如,经由使用无效证书而被建立的连接)。本文中描述的实施方式允许主机设备检测用户、诸如网站访问者何时已经接受针对由主机设备提供的网站的无效证书。 图1A和IB是本文中所描述的示例实施方式100的概览的示图。如图1A所示,用户可以使用客户端设备来请求访问被示出为WWW.securesite.com的网站,该网站需要安全连接被建立。客户端设备可以传输该请求,该请求目的在于与该网站相关联的主机设备,并且攻击者可以使用攻击者设备来拦截该请求。例如,该请求可以通过不完全网络(例如,不安全的WiFi网络)被传输,并且可以由攻击者设备经由不安全网络拦截。攻击者设备可以建立与主机设备的会话(例如,通过从主机设备接收有效证书),并且可以向客户端设备发送无效证书(被示出为“攻击者的证书”)。 在接收到无效证书时,客户端设备可以通知用户(例如,经由浏览器)该证书处于无效,并且可以提示用户指示是否接受该无效证书。如果用户提供指示以接受无效证书,力口密会话可以在客户端设备与攻击者设备之间被建立。因为攻击者已经建立与客户端设备和主机设备两者的认证会话,攻击者可以通过拦截、告警、移除和/或插入在客户端设备与主机设备之间被通信的消息,来扮演中间人。通过该方式,攻击者可以获得对与用户相关联的机密信息的访问,该机密信息诸如信用卡号、银行账户号、密码等。 如图1B所示,本文中描述的实施方式可本文档来自技高网...
【技术保护点】
一种用于检测中间人攻击的设备,所述设备包括:用于提供对访问主机域的请求的装置;用于基于对访问所述主机域的所述请求来接收验证代码的装置,所述验证代码标识验证域和经由所述验证域可访问的资源,所述验证域和所述资源用于验证公共密钥证书,所述验证域不同于所述主机域;用于执行所述验证代码的装置;用于基于执行所述验证代码来从所述验证域请求所述资源的装置;用于确定所请求的资源是否被接收的装置;以及用于基于所请求的资源是否被接收来选择性地执行第一动作或第二动作的装置,基于确定所请求的资源未被接收,被标识在所述验证代码中的所述第一动作被执行,所述第一动作指示所述公共密钥证书未被验证;并且基于确定所请求的资源被接收,所述第二动作被执行,所述第二动作不同于所述第一动作。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:K·亚当斯,
申请(专利权)人:瞻博网络公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。