[发明专利]使用客户端平台信任根的网页认证

说明书

背景技术

在线获取个人信息已日益变得普遍，这是由于其已变成管理人们事务的方便和验证的方法。例如，用户可以在线访问其银行账户，以查看余额和交易、转账、付款等。虽然访问这样的信息的能力提供了方便，但是其也增加了对敏感信息的潜在的安全威胁。

对个人信息的一个威胁示例是钓鱼攻击，在钓鱼攻击中，可能将用户带到或重定向到假网站，以收集诸如用户名、密码、社会保险号、生日、信用卡信息等。例如，声称为来自流行社交网站、拍卖网站、在线付款处理器等的通信可以用于将不怀疑的用户引诱到提供个人信息。

对个人信息的威胁的另一示例是域欺骗攻击，在域欺骗攻击中，可以利用假域名服务(DNS)记录将用户重定向到假网站，验证地将业务从目标网站重定向到假网站。例如，这可以通过在破坏DNS服务器之后改变DNS主文件来进行。

一些用于防止这些工具的技术可以包括通过浏览器插件执行的记忆浏览器的网站验证。但是，这些验证技术可能无法避免域欺骗攻击。在一些情况下，通过使用具有强公钥基础设施(PKI)加密(例如，使用公钥认证)的安全套接字层(SSL)或传输层安全性(TLS)可以避免钓鱼，其中，网站的统一资源标识符(URI)(例如，统一资源定位符(URL)可以用作标识符)。通常，使用SSL或TLS的安全认证和证书可以包括：指示连接处于认证模式，指示用户连接到哪一个网站，以及指示哪一个权威(例如，证书权威)对该网站的身份进行了认证。但是，该认证过程可能容易绕过，因为，通常认证是由用户确认的，引入了用户错误。此外，因为这些用于避免攻击的当前技术纯粹地基于软件，所以对避免对个人信息的某些攻击(例如，如果用户自身的计算机被入侵)其可能是无效的。

附图说明

图1示出了根据示例性实施例的用于使用前安全执行环境的系统的示例；

图2示出了根据示例性实施例的用于向用户设备提供安全访问网站的方法的示例；

图3示出了根据示例性实施例的用于使用所提供的用户设备安全地访问网站的方法的示例；以及

图4示出了根据示例性实施例，在其上执行本申请中讨论的技术中的任何一个或多个的机器的示例的框图。

具体实施方式

随后的描述和附图充分地示出了使本领域技术人员能够实施其的具体实施例。其他实施例可以并入结构、逻辑、电、过程以及其他变化。一些实施例的部分和特征可以包含在其他实施例中或被其他实施例替代。权利要求书中给出的实施例包含了这些权利要求的所有可用的等同。

本申请中描述的若干实施例提供了用于使用客户端平台信任根的网页认证的技术。当用户请求访问具有用户的个人信息的网站时，网站的服务器可以在允许访问之前对用户认证。该网站可以是用户可以使用来访问个人信息的任何网站。例如，该网站可以是用户访问账户信息的银行网站。认证可以包括认证用于访问网站的具体用户设备。在一个实施例中，可以使用用户设备上的安全执行环境来执行对用户的认证。该安全执行环境可能是在其上网页认证可能发生的用户设备上的隐藏的环境(例如，整体或部分地，为用户、操作系统或在用户设备上运行的其他应用不可见或不可直接访问)。

通过提供将利用网站的服务器进行认证的具体用户设备，可以发生使用具体用户设备的网页认证。当提供用户设备时，用户可以提供用于登录到网络的证书。用于登录到网站的证书可以是可以帮助验证用户的身份的针对用户的任何证书。证书的示例可以包括下列中的任何一个或多个：用户名字；密码；社会保险号；账号；生日；信用卡信息；账单地址；电话号码等。此外，服务器可以确定该设备是否属于用户。例如，服务器可以通过确定该设备是否位于与该设备或用户关联的特定地理区域(例如，地址、建筑物、城市、州、全球定位系统(GPS)坐标等)来验证用户是否拥有该设备。在成功验证之后，服务器可以生成特定于该用户设备的特定于设备的URI(例如，网页地址)。该特定于设备的URI可以存储在用户设备的安全执行环境中以及存储在服务处。所存储的特定于设备的URI可以用于网页认证。

当用户使用用户设备试图访问网站时，其中，该用户设备已被提供用户该网站，用户可以使用在安全执行环境中存储的特定于设备的URI来安全地访问该网站。服务器可以从设备的安全执行环境接收特定于设备的URI，并且可以验证该URI针对正被用于访问网站的该设备是有效的。包括特定于设备的授权模块的网页认证通过确保访问用户的信息的实体是被授权这样做的增加了安全性。