[发明专利]浏览器输入内容保护的系统和方法

说明书

【技术领域】

本发明属于计算机网络安全技术领域，涉及一种浏览器输入内容保护的系 统和方法，特别涉及一种WEB浏览器中输入的个人敏感信息保护的系统和方 法。

【背景技术】

随着互联网的发展，基于WEB的应用日益普及，为各行业用户提供了超越 时间和空间的服务通道，人们通过浏览器就可以完成包括查询银行账户、转账、 电子商务等业务，为经济发展创造了良好条件，同时也为用户提供了方便、快 捷的交互方式。但是，随着WEB应用的不断深入，需要在WEB上处理的个人 敏感信息也越来越多，各种病毒、木马、恶意软件也盯上了人们在WEB上输入 的敏感信息，并且已发展成为具备完整产业链的有组织犯罪团伙，给互联网安 全带来了严重的问题，导致用户资金、身份被盗用，最终导致用户对网上银行、 电子商务等不信任，严重阻碍了电子商务的发展。

目前对浏览器输入内容的保护主要有以下几种保护密码的方法：

1.对浏览器中需要输入个人敏感信息的表单项的输入内容进行加密。例如， 中国国家知识产权局专利数据库公开的动态密码的基运算加密法(公开号： CN1756152A，公开日：2006年4月5日)，服务器发出与客户密码相同位数 的随机的附加码到客户端，客户用基运算加密法让真密码(静态密码，即原来 的一般意义的密码)与附加码进行基运算得到动态密码作为为“假密码”返回服务 器进行验证；还比如中国国家知识产权局专利数据库公开的ActiveX库的防止键 盘记录编辑器(公开号：CN1547690，公开日：2004年11月17日)，该编辑 器为一种具有ActiveX格式的用于Web浏览器和应用程序的安全程序，包括软 件安全输入窗口，无需附加的硬连线装置而使用常规的键盘就可以防止泄露键 盘数据。

2.结合辅助工具对信息输入者的合法性进行验证。例如中国国家知识产权局 专利数据库公开了一种利用手持设备在一个连接过程中身份验证的方法(公开 号：CN 1472915A，公开日：2004年2月4日)，服务器在连接过程中不断地 要求客户端确认身份，客户端通过有线或无线连接与手持设备(如手机)通讯， 获得身份验证；还比如中国国家知识产权局专利数据库公开的一种利用USB key对网上银行数据进行认证的方法(公开号：CN 1556499A，公开日：2004 年12月22日)，包括如下步骤：a)根据用户信息生成针对该用产的数字证书； b)将所述数字证书存入将要分配给该用户的USB key中；c)用户登陆网上银行 用户进行数据处理时，通过所述USB key确认用户身份或数字签名。

3.方法1和方法2的结合。

上述几种防止网上银行密码被盗的方式只是一个被动式的防御过程，通过 不断的加载密码转换工具和密码筛选验证工具来弥补安全漏洞，其只能对客户 输入的网上银行密码内容进行保护，无法对其他的个人敏感信息内容进行保护， 因为客户在申请注册网上银行的时候需要在网站上填写很多个人私密信息，而 客户设定的网上银行密码很可能与这些私密信息相关，有些黑客人员通过这些 私密信息就可以推断出客户的密码。不仅仅客户的密码与这些私密信息相关， 其验证密码合法性的辅助工具也与这些私密信息相关，例如用户的手机号码， USB key验证信息等。

所以不仅保护用户网上银行的密码重要，保护用户的个人敏感信息同样重 要。

另一方面，上述几种保护网上银行密码的方式不能从根本上解决网上银行 账户和密码被盗的问题，由于微软的windows操作系统是建立在事件驱动的机 制上的，也就是通过消息传递来实现。而钩子在windows操作系统中，是一种 能在事件(比如：消息、鼠标激活、键盘响应)到达应用程序前中途接获事件 的机制。所以钩子就作为一个能被非法程序利用的后门，每一个Hook(钩子)都 有一个与之相关联的指针列表，称之为钩子链表，由系统来维护。这个列表的 指针指向指定的，应用程序定义的，被Hook子程调用的回调函数，也就是该钩 子的各个处理子程。当与指定的Hook类型关联的消息发生时，系统就把这个消 息传递到Hook子程。一些Hook子程可以只监视消息，或者修改消息，或者 停止消息的前进，避免这些消息传递到下一个Hook子程或者目的窗口。最近安 装的钩子放在链的开始，而最早安装的钩子放在最后，也就是后加入的先获得 控制权。