多用户强认证令牌制造技术

公开了利用认证设备来保护远程可访问应用的装置、方法和系统。更具体地，公开了用于阻止针对认证应用的覆盖攻击的方法和系统，其中认证应用用于显示交易数据并且用于在这些交易数据上生成签名。

Multiuser strong authentication token

An apparatus, method and system for protecting remote access applications using authentication devices are disclosed. More specifically, the methods and systems for blocking coverage attacks against authentication applications are disclosed, in which authentication applications are used to display transaction data and to generate signatures on these transaction data.

【技术实现步骤摘要】
【国外来华专利技术】多用户强认证令牌相关申请的交叉引用本申请涉及并且要求2015年9月21日提交的标题为“AMULTI-USERSTRONGAUTHENTICATIONTOKEN(多用户强认证令牌)”的美国临时申请No.62/221,343的优先权，其内容通过参考并入在此。
本专利技术涉及对于计算机和应用的远程访问和计算机网络上的远程交易进行保护。更具体地，本专利技术涉及用于对抗新型攻击的方法和装置，这种新型攻击针对诸如智能手机的移动设备上的认证应用。
技术介绍
随着计算机系统和应用的远程访问越来越流行，在诸如互联网的公共网络上远程访问的交易的数量和种类急剧增加。这种流行凸显出安全的需要；尤其是：如何确保远程访问应用的人是他们所声称的人，如何确保远程执行的交易由合法个人来启动，以及如何确保交易数据在应用服务器处被接收之前未被改变。一种对于远程应用的访问进行保护的方式是使用诸如用户智能手机的用户个人设备上的认证应用。在一些情况下，这样的认证应用可以适于动态地生成凭证。在一些情况下，这些动态凭证可以在用户的个人设备上被呈现给用户，例如以字母数字的字符串形式，让用户来转发给用户正在访问并且需要保护的远程应用。可替换地，认证应用可以直接向远程应用发送所生成的动态凭证(例如，使用由用户的个人设备建立的互联网连接)。在接收到动态凭证后，远程应用可以验证它从用户或者用户的个人设备接收到的动态凭证，并且在接收到的动态凭证的验证成功的情况下可以允许访问用户。在一些情况下，用户想要向远程应用提交交易。在这种情况下，远程应用可以要求用户利用他或她的个人设备上的认证应用来生成动态凭证，并且将该动态凭证提供给远程应用。远程应用然后可以验证它从用户接收到的动态凭证，并且在接收到的动态凭证的验证成功的情况下可以接受该交易。如果动态密码被加密地链接到表征该交易的交易数据，那么动态凭证也可以称之为签名或交易数据签名。在一些情况下，认证应用可以适于获得交易数据并且将其呈现给用户，使得用户能够验证这些交易数据。在一些情况下，认证应用可以向用户呈现交易数据，并且可以请求用户认可所呈现的交易数据，并且只有在用户确实认可所呈现的交易数据的情况下才可以生成并且显示这些交易数据的动态凭证或签名。在一些情况下，认证应用可以不需要明确的认可而生成动态凭证，例如可以将它生成的动态凭证所针对的交易数据与所生成的动态凭证一起呈现给用户，使得用户可以验证交易数据是否正确，并且可以根据这个验证来确定是否转发所生成的动态凭证。在一些情况下，用户可以使用访问设备来访问远程应用并进行交互。例如，用户可以使用诸如个人计算机(PC)或膝上型计算机的计算设备，该计算机设备在网络上连接到可以正在托管远程应用的远程服务器计算机。用户可以使用访问设备向远程应用提交交易。在此情况下，攻击者可以尝试通过例如中间人(man-in-the-middle)或者浏览者(man-in-the-browser)攻击的方式(例如，通过使用用户的PC或膝上型计算机上安装的恶意软件)来进行干扰，并且可以尝试利用虚假交易的其他数据来替换用户想要的合法交易的数据。例如，如果用户正在访问网银应用并且提交转账请求，攻击者可以尝试通过与该攻击者相关联的虚假账户来替换想要的目的地账号。为了免于这样的攻击，远程应用可以将其接收到的交易数据发送到该用户的一个认证设备，这个认证设备不同于用户正在用于访问该远程应用的访问设备。认证设备可以向用户呈现它从远程应用接收到的交易数据，使得用户能够验证远程应用接收到的数据。认证设备还可以生成并且向用户呈现与所呈现的交易数据相关联或者链接的动态凭证。用户然后可以将该动态凭证转发给远程应用，作为交易数据的用户认可的证据。如果攻击者已经通过虚假数据替换了合法用户使用访问设备想要提交给远程应用的真实交易数据，那么远程应用将接收到这些虚假数据并且将这些虚假数据发送到用户的认证设备。认证设备将会向用户呈现这些虚假数据用于验证。当对于呈现的数据进行认证时，用户将会注意到所呈现的数据与用户实际想要向远程应用提交的真实交易数据之间的差异，并且能够拒绝虚假数据(此时认证设备将不会生成对应的动态凭证)或者(如果认证设备在任何情况下生成凭证并且将所生成的凭证与接收到的交易数据一起发送给用户)决定不转发所生成的凭证。任一方式下，远程应用都不会接收到与虚假数据匹配的凭证并且该虚假交易将不会被接受。攻击者可以预料这种情况，并且可以利用用户提交过的合法数据回替(back-substitute)远程应用向用户的认证设备发送并且期望在认证设备上进行验证的(虚假的)确认数据。然而，如果动态凭证加密地连接到交易数据(例如，如果认证设备在从远程应用接收并且向用户呈现的确认数据上生成密码签名)，这将也被检测到。更具体地，为了验证接收到的凭证，远程应用将会在验证过程中使用它原本从攻击者接收到的虚假数据(该数据是攻击者提交给远程应用而不是用户想要提交的数据)。然而，在动态凭证加密地链接到攻击者提供给用户的认证设备的回替数据而不是远程应用想要发送到认证设备的确认数据的情况下，动态凭证的验证将会失败。在一些情况下，用户的认证设备可以包括与该用户相关联的个人设备。在一些情况下，用户的认证设备可以是完全专用于提供上述认证与数据签名功能的硬件设备。在其他情况下，用户的认证设备可以包括个人多功能设备，其中许多其他应用可以也支持认证应用。配备认证应用的用户的智能手机或平板计算机可以是这样的个人多功能设备的示例。包括这里本专利技术的背景的讨论以解释本专利技术的上下文。这不应被视为承认任何上述材料在本申请的优先权日已公开、已知或者公知常识的一部分。
技术实现思路
技术问题虽然上述安全解决方案在阻止各种中间人攻击中大有帮助，但是这种解决方案的安全性取决于以下假设：攻击者无法操纵认证设备从而破坏一方面由认证设备向用户真实呈现从远程应用接收到的确认数据与另一方面由认证设备生成对应的动态凭证之间的联系。在专用的硬件认证设备的情况下这是合理的假设，但是在诸如通用的智能手机或平板计算机的多用途计算设备的情况下就很值得怀疑，这样的多用途计算设备可以具有允许用户安装额外的软件来丰富设备功能的开放操作系统。在后面的情况下，可以想到的是，攻击者可以成功地将某种恶意软件安装在用户的认证设备上，使得用户实际见到的用于在认证设备上进行验证的数据不同于认证应用在认证设备上从远程应用接收到并且该认证应用设备使用以生成动态凭证的确认数据。在该情况下，可能发生的是，攻击者可以成功地让用户相信如远程应用所知的交易数据的确对应于用户原本想要提交的交易，而认证应用实际上正在处理远程应用已经真正接收到并且已经作为确认数据发送到认证设备的虚假交易数据。例如，在一些智能手机或平板平台上，可能安装下面的攻击，其可以称之为“覆盖攻击”。当用户的认证设备上的认证应用向用户呈现认证数据用于验证时，例如在认证应用的窗口中，那么一个恶意软件可以立即将固件窗口放置在用于呈现将由用户进行验证/确认的交易数据的认证窗口区域的顶部，使得由认证应用呈现的真实确认数据被隐藏或者未对用户可见，使得用户反而看到恶意软件窗口中呈现的数据，即用户想要看到的原始交易数据。如果该攻击谨慎执行，用户可能无法注意到这种攻击。这种攻击可以称之为覆盖攻击，被本文档来自技高网...

【技术保护点】
一种保护用户与远程可访问的基于计算机的应用之间的交互的方法，所述方法包括在个人计算机设备处执行如下步骤：获得交易数据；通过所述个人计算机设备上运行的认证应用，将所获得的交易数据显示在所述个人计算设备的显示器上的认证应用的交易数据显示窗口中以供用户审阅；获得与所述交易数据相关联的动态凭证；使得所述动态凭证可用于验证；以及如果所述认证应用的交易数据呈现区域或所述认证应用的交易数据显示窗口正在被不是由所述认证应用显示的另一窗口部分或者完全隐藏或遮挡，确保至少使得动态凭证可用于验证的步骤不被执行或者无法成功执行。

【技术特征摘要】
【国外来华专利技术】2015.09.21 US 62/221,3431.一种保护用户与远程可访问的基于计算机的应用之间的交互的方法，所述方法包括在个人计算机设备处执行如下步骤：获得交易数据；通过所述个人计算机设备上运行的认证应用，将所获得的交易数据显示在所述个人计算设备的显示器上的认证应用的交易数据显示窗口中以供用户审阅；获得与所述交易数据相关联的动态凭证；使得所述动态凭证可用于验证；以及如果所述认证应用的交易数据呈现区域或所述认证应用的交易数据显示窗口正在被不是由所述认证应用显示的另一窗口部分或者完全隐藏或遮挡，确保至少使得动态凭证可用于验证的步骤不被执行或者无法成功执行。2.根据权利要求1所述的方法，其中只要所述认证应用的交易数据呈现区域或所述认证应用的交易数据显示窗口正在被不是所述认证应用窗口的窗口部分或者完全隐藏或遮挡，则至少使得动态凭证可用于验证的步骤不被执行或者无法成功执行。3.根据权利要求1或权利要求2所述的方法，进一步包括如下步骤：在执行显示所获得的交易数据的步骤的同时，在所述个人计算设备处为所述用户提供认可指示机制以指示由所述用户的认可或拒绝，以及通过该机制从所述用户获得所述用户认可或拒绝的指示，其中执行至少使得所述动态凭证可用于验证的步骤以所述认证应用通过所述认可指示机制接收到所述用户的认可指示为条件；以及如果所述认证应用的交易数据显示窗口正被另一窗口部分或完全隐藏或遮挡则确保所述认可指示机制禁用。4.根据权利要求3所述的方法，其中如果所述认证应用的交易数据显示窗口正被另一窗口部分或完全隐藏或遮挡则确保所述认可指示机制禁用的步骤包括：当所述认证应用的交易数据显示窗口正被另一窗口部分或完全隐藏或遮挡时，所述认证应用调用一个或多个操作系统功能，所述一个或多个操作系统功能使得所述个人计算设备的操作系统阻止或者不向所述认可指示机制传递指示用户认可的用户输入事件。5.根据权利要求1至4中的任一项所述的方法，进一步包括覆盖检测步骤：所述认证应用检测或者验证所述认证应用的交易数据显示窗口是否被另一个窗口部分或全部隐藏或遮挡。6.根据权利要求5所述的方法，其中所述覆盖检测步骤包括所述认证应用调用所述个人计算设备的操作系统的一个或多个操作系统功能以检测所述认证应用的交易数据显示窗口是否被另一窗口部分或完全隐藏或遮挡。7.根据权利要求3所述的方法，包括所述认证应用检测或者验证所述认证应用的交易数据显示窗口是否被另一窗口部分或全部隐藏或遮挡的覆盖检测步骤，以及如果在所述覆盖检测步骤中检测到所述认证应用的交易数据显示窗口被另一个窗口部分或全部隐藏或遮挡，则忽略所述认可指示机制已经获得的所述用户认可指示的步骤。8.根据权利要求5或6所述的方法，其中执行使得所述动态凭证可用于验证的步骤以所述覆盖检测步骤未指示所述认证应用的交易数据显示窗口正在被另一窗口部分或者完全隐藏或遮挡为条件。9.根据权利要求5-8中的任一项所述的方法，进一步包括如下步骤：如果所述覆盖检测步骤指示所述认证应用的交易数据显示窗口正被另一窗口部分或全部隐藏或遮挡，则向用户提供用于警示用户存在异常的视觉指示。10.根据权利要求5-9中的任一项所述的方法，进一步包括如下步骤：如果所述覆盖检测步骤指示所述认证应用的交易数据显示窗口正被另一窗口部分或全部隐藏或遮挡，则所述认证应用进入安全模式，并且所述认证应用保持在所述安全模式中至少直到所述认证应用的交易数据显示窗口不再被所述另一窗口部分或完全隐藏或遮挡至少有特定的最短时间段。11.根据权利要求10所述的方法，其中只要所述认证应用处于所述安全模式，所述认可指示机制被禁用，或者通过所述认可指示机制已经获得的用户认可指示被忽略，或者生成所述动态凭证不被执行，或者使得所述动态凭证可用于验证的步骤不被执行。12.根据权利要求10所述的方法，其中只要所述认证应用处于所述安全模式，所述认证应用就提供视觉指示以提醒用户所述认证应用处于所述安全模式。13.根据权利要求3所述的方法，其中所述认可指示机制可以包括用户必须激活的所述个人计算设备的显示器上的视觉认可激活要素以指示所述用户的认可，由此所述视觉认可激活要素具有响应于用户动作的激活区域，并且由此被所述视觉认可激活要素的激活区域覆盖的显示区域可以与覆盖所有显示的交易数据的显示器上的任何矩形至少部分地重叠。14.根据权利要求13所述的方法，由此被所述另一窗口覆盖的所述视觉认可激活要素的激活区域的至少任何部分不对用户激活所述视觉认可激活要素的动作作出响应。15.根据权利要求13或14所述的方法，其中所述用户激活所述视觉认可激活要素包括所述用户点击或触摸或滑动...

【专利技术属性】
技术研发人员：尼古拉·福尔，弗雷德里克·门内斯，吕多维克·若利，纪尧姆·特谢龙，
申请(专利权)人：威斯科数据安全国际有限公司，
类型：发明
国别省市：瑞士,CH