用于使用浏览器组件建立安全通信信道的系统和方法技术方案

一种用于提供通信用安全信道的系统，包括：包含浏览器的客户机、安全服务器和安装在客户机上使得用户能够建立与安全服务器的连接的浏览器组件，该浏览器组件被配置为生成第一令牌。该安全服务器被配置为生成第二令牌，其中一旦完成对第一令牌和第二令牌的验证，则向客户机提供对该安全服务器的访问。

【技术实现步骤摘要】
【国外来华专利技术】
本申请涉及在互联网上安全通信信道的建立，更具体地，涉及在服务器和客户机 之间安全通信信道的建立。
技术介绍
当今的计算机系统通过诸如互联网等电信网络广泛地连接和交换信息。这些交互 涉及可能需要公开诸如登录信息、口令、社会安全信息或其它用户证书等用户身份信息的 诸多事务处理。由于恶意代理或者诸如网络钓鱼(phishing)攻击(其中“网络钓鱼者”将 用户误导至看起来与真正网站基本上相同的假冒网站)等社会攻击，这种用户身份信息有 时受到威胁。将用户误导到假冒网站可以通过若干方式实现，包括电子邮件、其它网站上的 链接、导致误解的貌似网站地址(或URL)、等等。一旦进入假冒网站，就要求用户将他或她 的身份信息公开给该钓鱼网站。这样，用户安全信息受到危害，这种信息随后可能被网络钓 鱼者使用以达成对于用户来说恶意或不希望的目的。虽然网络钓鱼是相对比较新出现的现象，但网络钓鱼攻击的强度和复杂度在过去 几年内已经显著增加。相比较而言，普通用户对于此类攻击的知晓程度和用户防护免于此 类攻击的能力依然很低。因此，在互联网上存在非安全事务处理的高风险，可能利用此类漏 洞损害互联网用户，包括组织和个人。虽然存在诸多解决方案试图“清除”用户计算机系统的任何恶意软件，但是此类代 理保护受信任用户免于有组织身的份窃取的能力是有限的。由各种网站采取的其它措施， 例如数字证书等等，其防止身份窃取的能力也是有限的。普通用户可能仍然受骗于由诸如 意图窃取用户身份的网络钓鱼者或恶意代理使用的各种新颖和创新的技术。因此，存在对于使用户能够通过安全通信信道访问信息的技术的需要。
技术实现思路
本专利技术的实施方式包括一种用于认证在通信网络上的通信信道的系统和方法。在 一种实施方式中，描述了一种用于认证在通信网络上的通信信道的方法。该方法包括建立 在客户机和安全服务器之间的连接，认证客户机和安全服务器和一旦认证通过则提供客户 机对安全服务器上的信息的访问。在另一实施方式中，提供了一种用于提供通信用的安全信道的系统。该系统包括 包含浏览器的客户机、安全服务器和安装在客户机上使得用户能够建立与安全服务器的连 接的浏览器组件，该浏览器组件被配置为生成第一令牌。该安全服务器被配置为生成第二 令牌，其中一旦完成对第一令牌和第二令牌的验证，提供客户机对该安全服务器的访问。附图简要说明为了详细理解本专利技术的上述特征，可以通过参考实施方式更具体地描述上文简述5的本专利技术，其中一些实施方式在附图中图示。然而，请注意附图仅图示了本专利技术的典型实施 方式，因此其并不能视为对本专利技术保护范围的限制，对于本专利技术而言，可以允许其它等同效 果的实施方式。附图说明图1是其中建立可信双向认证通信信道的系统的框图；图2是图示根据本专利技术一个方面的其中在两个计算设备之间建立安全通信信道 的方式的流程图；和图3是根据本专利技术一个方面的实施浏览器组件的网页浏览器的视图。 具体实施例方式图1是其中可以建立和使用可信双向认证通信信道的系统100的框图。该系统 100包括在网络130上连接的两个计算设备110和120。下面进一步详细描述每个组件。计算设备110代表这样一类计算设备，其可以是具有可以执行指令的处理单元和 存储器的任意设备。计算设备可以是个人计算机、计算板、机顶盒、视频游戏系统、个人视频 记录器、电话机、个人数字助理(PDA)、便携式计算机、笔记本计算机、传真机、蜂窝电话和专 用设备。计算设备包括处理器和存储器。这些计算设备可以运行操作系统，该操作系统例 如包括各种Linux、Unix、MS-DOS、微软视窗、Palm OS和苹果Mac OS X操作系统。此外，这 些计算设备可以运行若干应用，例如Word处理、游戏、浏览器等等。类似地，计算设备120代表这样一类服务器计算机，其包含旨在仅由服务器计算 机的可信用户可以访问的保密信息。取决于计算设备120的功能，计算设备120可以包括 同计算设备110类似、比计算设备110更多或更少的组件。计算设备120被配置为可通过 通信网络130访问，计算设备120可以在网络130上与计算设备110通信。网络130提供用于在计算设备110、120之间通信的平台。网络130可以是或者可 以包括可将计算设备链接在一起的局域网(LAN)、广域网(WAN)、城域网(MAN)、分布式网络 或者其它类似网络。网络130可以向计算设备提供低层网络支持以使其相互交互。网络130 可以是分组交换的，并且可以包括公共或专用双向网络，例如可以是互联网。网络130可以 是有线或无线的。此外，可以根据客户机-服务器体系结构、点对点(peer-to-peer)结构 或任何其它分布式计算系统体系结构来配置网络130。此外，配置网络130可被配置为包括 附加组件从而确保可升级的解决方案。计算设备110在网络130上与计算设备120通信。将认证技术应用于这两个计算 设备，从而提供在这两个计算设备之间的安全通信信道。一旦这两个计算设备通过认证，则 在它们之间建立安全通信信道。下文进一步详细描述在这两个计算设备之间建立安全通信 信道的方法。图2是图示根据本专利技术的一个方面在两个计算设备之间建立安全通信信道的方 式的流程图。下文进一步详细描述该流程图的每个步骤。在步骤210，在第一和第二计算设备之间建立连接。作为例子，第一计算设备是客 户机，第二计算设备是安全服务器。将在客户机内驻留的浏览器用作用于访问在安全服务 器上存储的信息的界面。在步骤220，由客户机生成称作客户机令牌的第一令牌。在一种实施方式中，由浏 览器组件生成该客户机令牌。在一具体实施方式中，浏览器组件是工具栏。该工具栏还包括搜索字段，使得用户能够通过向搜索字段输入搜索查询项，在网络130上或者经由网络130 进行搜索。在步骤230，通过安全服务器生成称作安全服务器令牌的第二令牌。在一种实施方 式中，客户机和安全服务器令牌包括字母数字密钥、数字证书或者其它类似的唯一标识数 字数据。在步骤240，认证该客户机令牌和安全服务器令牌。具体而言，由安全服务器认证 客户机令牌和由客户机认证安全服务器令牌。在一更具体的实施方式中，并行认证客户机 令牌和安全服务器令牌。在替代实施方式中，通过连接至客户机和安全服务器之一或两者的安全网关，验 证客户机令牌和安全服务器令牌之一或两者。安全网关被配置为处理客户机令牌和安全服 务器令牌中的至少之一。安全网关可以驻留在安全服务器上，或者可通过通信网络130访 问的任何其它单个或共享计算机资源上。在步骤250，一旦在步骤240执行完认证，则向客户机提供对安全服务器的访问。 更具体地，一旦认证通过，则客户机能够访问在安全服务器上的安全区域内存储的信息。在 一种实施方式中，允许客户机访问互联网银行网站的“登录”页面。此类信息的其它例子包 括“阻止卡(block card)”页面、“订单替换卡”页面等。其它实施方式包括在相关服务器上 对于用户身份信息，例如社会安全编号、所得税记录、健康记录、保险记录等等的访问页面。如上所述，由在客户机浏览器上驻留的浏览器组件生成客户机令牌。图3是根据 本专利技术一个方面的实施浏览器组件的网页浏览器的视图。下文将进一步详细描述该网页浏IrWSB 见益。网页浏览器300驻留在第一计算设本文档来自技高网...

【技术保护点】
一种用于认证在通信网络上的通信信道的方法，该方法包括：建立在客户机和安全服务器之间的连接；认证所述安全服务器和所述客户机；和一旦认证通过，则提供所述客户机对所述安全服务器上的信息和／或服务的访问。

【技术特征摘要】
【国外来华专利技术】IN 2007-11-20 2288/MUM/2007一种用于认证在通信网络上的通信信道的方法，该方法包括建立在客户机和安全服务器之间的连接；认证所述安全服务器和所述客户机；和一旦认证通过，则提供所述客户机对所述安全服务器上的信息和/或服务的访问。2.根据权利要求1的方法，还包括生成客户机令牌和安全服务器令牌，其中认证包括 验证所述客户机令牌和所述安全服务器令牌。3.根据权利要求2的方法，其中认证包括由所述安全服务器验证所述客户机令牌，以 及由所述客户机验证所述安全服务器令牌。4.根据权利要求3的方法，其中建立连接包括使用浏览器组件。5.根据权利要求3的方法，其中所述浏览器组件包括用于提供基于网络的搜索的字段。6.根据权利要求3的方法，其中由所述浏览器组件生成所述客户机令牌。7.根据权利要求2的方法，其中生成客户机令牌包括处理所述安全服务器的共享密钥 和所述客户机的唯一相关身份密钥。8.根据权利要求7的方法，其中至少部分地根据所述安全服务器的唯一相关身份密钥 得出所述共享密钥。9.根据权利要求8的方法，其中由客户机验证安全服务器令牌包括根据所述安全服 务器令牌和所述客户机的唯一相关身份密钥生成加密密钥，以及比较所生成的加密密钥与 加密密钥的已知值。10.根据权利要求2的方法，其中由所述安全服务器生成所述安全服务器令牌。11.根据权利要求2的方法，其中生成安全服务器令牌包括处理所述客户机的共享密 钥和所述安全服务器的唯一相关身份密钥。12.根据权利要求11的方法，其中至少部分地根据所述客户机的唯一相关身份密钥得 出所述客户机的共享密钥。13.根据权利要求12的方法，其中由安全服务器验证客户机令牌包括根据所述客户 机令牌和所述安全服务器的唯一相关身份密钥生成加密密钥，以及比较所生成的加密密钥 与加密密钥的已知值。14.根据权利要求2的方法，其中在所述安全服务器上的信息和/或服务包括在所述安 全服务器上的安全区域上存储的信息和/或由所述服务器上的安全区域提供的服务。15.根据权利要求14的方法，其中所述安全服务器是银行服务器，所述安全区域包括 用于提供对用户账户的登录访问的页面。16.根据权利要求14的方法，其中所述安全服务器是银行服务器，所述安全区域包括 用于提供用户进行资金转移的页面。17.根据权利要求14的方法，其中所述安全服务器是身份记录服务器，所述安全区域 包括用于提供对用户身份记录的登录访问的页面。18.根据权利要求2的方法，其中所述验证并行出现。19.根据权利要求5的方法，还包括一旦认证通过，则激活所述浏览器组件上的功能部件。20.根据权利要求1...

【专利技术属性】
技术研发人员：阿吉特巴拉克里斯南，桑杰伊迪施潘德，萨米特N拉吉韦德，拉赫尔柯特恩，尤德伊索迪，南朱迪施沃加纳帕斯，
申请(专利权)人：雷迪夫COM印度有限公司，
类型：发明
国别省市：IN[印度]