CN103490884B - 用于数字证书的验证的方法 - Google Patents
用于数字证书的验证的方法 Download PDFInfo
- Publication number
- CN103490884B CN103490884B CN201310452734.9A CN201310452734A CN103490884B CN 103490884 B CN103490884 B CN 103490884B CN 201310452734 A CN201310452734 A CN 201310452734A CN 103490884 B CN103490884 B CN 103490884B
- Authority
- CN
- China
- Prior art keywords
- certificate
- data
- information
- digital certificate
- digital
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用于数字证书的验证的系统和方法。对真伪数字证书的分析包括,从相异信息源收集属于数字证书的初始信息。针对数字证书中的每一个,初始信息包括来自数字证书的内容之中的内在参数数据以及属于数字证书并且包括不包含在数字证书的内容中的静态数据的外在参数数据。存储和分析所选择的参数数据以确定针对数字证书中的每一个的可疑性的量度。如有必要,则收集基于数字证书中的一个或多个的实际使用的间接数据。将初始数据和补充数据与定义欺诈活动的决策标准集相比较,以及做出对数字证书中的每一个的真伪的确定。
Description
在先申请
本申请要求于2012年9月28日提交的、2012141468号俄罗斯联邦专利申请的优先权,其通过引用并入本文。
技术领域
本发明总地涉及信息处理和通信技术,并且更具体地,涉及数字证书的独立验证以对抗中间人式(man-in-the-middle-type)攻击。
背景技术
越来越多的通信当前通过因特网达成。现今,对多数人来说,发送或接收邮件、在网上商店中购物、在社交网络上讨论即将发生的或过去的事情、或使用因特网电话装置与相隔数千里之外的朋友聊天是很平常的小事。由于因特网包含大量机密数据,所以在因特网通信期间的各方的身份验证(authentication)问题变得越来越重要。
为解决这类问题,早在二十多年前,发展出了使用非对称代码系统用于对通信各方进行身份验证以及用于通过公共通信信道进行经编码数据的传送的概念。身份验证是指检查达成通信的一方是否是其声称的该方的过程。该方法仍相当流行。该方法的主要元素之一是具有认证中心的公钥基础设施和公钥证书(出于简洁,使用术语证书(certificate))的使用。总的来讲,认证中心或证书授权机构对相关方发出公钥证书,以用于该相关方的进一步的身份验证。在该情况下,为了整个系统的正确操作,发出证书的认证中心必须被信任并且几乎不可能入侵(compromise)。在多数情况下,信任等级使用有关主体的已知信息来确定,诸如其信誉。
确实,直到最近,与入侵具有良好信誉的大的认证中心相关的事件尚未达到严重的规模。然而,由于今日的犯罪者以有组织的团体形式在因特网上采取不法动作并且具有充足的经济和技术资源,所以这类事件发生得越来越频繁。被入侵的认证中心Comodo和DigiNotar可被引作示例。犯罪者对认证中心的操作的愈加关注首先可由其可被视为单点故障的事实来解释,其一旦被非法闯入(hack),就可给予对其资源的无限制的访问权限,这允许发出经受信方所签名的新的伪造证书。第二,使用现有工具对被入侵的认证中心的检测可耗费从数日到数月的时间,这些时间对犯罪者来说是相当充分的。第三,在成功攻击后,被非法闯入的认证中心的能力可用于随后的“中间人”式攻击,意图获得对机密终端用户数据的访问权限。非法闯入,具体来讲,意指出于获得未经授权的访问权限的目的来使用架构、通信协议和软件中的漏洞。
随着有理由预期将来也会有类似的攻击,从事因特网通信安全的公司正设法提出防止使用由“中间人”式攻击所欺诈地获取的证书的方法。具体来讲,Google公司建议使用将自动检查所有因特网站点的软件和/或使用预设计划表来采集有关证书的统计资料。随后,所采集的统计资料可用来为给定网站的证书构建信誉。
7,739,494号美国专利讨论针对给定证书的信任指数的计算,考虑了有关发出证书的认证中心的信息、证书持有者的地理位置、正在使用的网络连接的类型等。所获取的指数确定针对讨论中的证书的信任等级。该专利还注意到有可能针对讨论中的网站来分析用户请求和回复的统计资料—例如,发送到站点的请求的数目、从站点所获取的有关证书的信息等等。还应注意的是,上文所述技术的使用使得其几乎无法将发出到实际站点所有者的证书与由犯罪者通过入侵认证中心所获取的证书精确地区分开来。
因此,需要即使在由犯罪者创造障碍的情况下也将使用公钥证书来保证通信各方的正确身份验证的系统。该上下文中的障碍意指意图造成身份验证错误的预先计划的动作,诸如:入侵认证中心、提供虚假统计数据、以及各种类型的“中间人”攻击。具体来讲,出于描述的目的,“中间人”式攻击意指犯罪者渗透到通信信道中以获得对一方的机密数据的访问权限和/或对传入或传出的消息的未经授权的修改,以及对双向通信所要求的至少一个设备的操作逻辑的修改。
发明内容
本发明的一个方面指向用于分析真伪数字证书的系统。在系统中,计算机系统包括计算硬件以及多个操作地耦连的模块包括可在计算硬件上执行的指令。
初始数据收集模块配置为从通信地耦连到计算机系统的多个相异信息源获取属于数字证书的初始信息,其中针对数字证书中的每一个,初始信息包括来自数字证书的内容之中的内在参数数据,以及属于数字证书并且包括不包含在数字证书的内容中的静态数据的外在参数数据。
数据库配置为存储从内在参数数据和外在参数数据之中所选择的参数数据。异常检测模块配置为分析所选择的参数数据以确定针对数字证书中的每一个的可疑性的量度,并且基于可疑性的量度,确定收集补充数据以进一步分析数字证书中的任何一个的需要。通信模块配置为响应于由异常检测模块对需要用于任何数字证书中的任何一个的补充数据的确定而收集间接数据,间接数据属于该数字证书并且基于该数字证书的实际使用。可疑证书检测模块配置为将初始数据和补充数据与决策标准集相比较,决策标准集定义与欺诈活动相关联的参数和参数组合。决策模块配置为基于可疑证书检测模块的输出来提供对数字证书中的每一个的真伪的确定。
在本发明的另一个方面中,用于分析真伪数字证书的方法包括从计算机网络内的多个相异信息源获取属于数字证书的初始信息。针对数字证书中的每一个,初始信息包括来自数字证书的内容之中的内在参数数据以及属于数字证书并且包括不包含在数字证书的内容中的静态数据的外在参数数据。
方法进一步包括在数据存储中存储从内在参数数据和外在参数数据之中所选择的参数数据;分析所选择的参数数据以确定针对数字证书中的每一个的可疑性的量度;基于可疑性的量度,确定收集补充数据以进一步分析数字证书中的任何一个的需要;响应于对需要用于数字证书中的任何一个的补充数据的确定,收集属于该数字证书的间接数据,间接数据基于该数字证书的实际使用;将初始数据和补充数据与决策标准集相比较,决策标准集定义与欺诈活动相关联的参数和参数组合;以及基于比较,提供对数字证书中的每一个的真伪的确定。
附图说明
结合附图考虑下面本发明的各实施例的详细描述可更彻底地理解本发明,其中:
图1表示典型的网站身份验证系统。
图2表示典型的路由表的片段。
图3示出典型的域名解析图表的部分。
图4是根据本发明的一个实施例的、示出证书身份验证系统的图。
图5是根据本发明的一个实施例的、示出示例性身份验证过程的流程图。
图6示出根据本发明的实施例的、可存储在数据库中的关于证书的信息的示例。
图7示出根据一个实施例的、促进与因特网服务提供商的通信的示例性布置。
图8是根据一个实施例的、示出基于属于证书的所初始收集的数据和与证书的实际使用相关的经进一步研究的间接数据之间的比较来检测可疑证书的两阶段过程的流程图。
图9是描绘其中可实行本发明的各方面的通用计算机系统的示例的图。
本发明可接受各种修改和替代形式,其细节已通过在图示中的示例的方式示出,并将进行详细描述。然而,应予以理解的是,意图并非将本发明限于所描述的特定实施例。相反,意图覆盖由附加权利要求所定义的落入本发明的精神和范围内的所有修改、等同物以及替代物。
具体实施方式
图1表示现有的网站身份验证系统。在第一阶段,用户在浏览器110的地址线中键入统一资源定位符(URL)。由于使用IP地址来实施现今网络中的通信,所以web浏览器(简称“浏览器”)首先需要确定用于所请求的网站的IP地址。为了实施这种动作,使用域名解析服务—通常是具有域名和IP地址匹配表的DNS服务器120。域名解析表可部分位于本地的用户计算机上(例如,其可包含用于多数所浏览的网站的URL和IP地址的匹配);或者如果没有本地记录,那么域名解析请求可被发送到位于远程的DNS服务器,例如,在全局或局域网上。然后,一旦收到用于所请求的站点的IP地址,则浏览器可发送连接建立请求。出于描述的目的,URL地址和域名可看作同义词。
在许多情况下,通信方(网站和用户)稍后被要求实施身份验证步骤。现今网站身份验证系统使用公钥证书,其一方面允许确认证书持有者的真伪(authenticity),另一方面帮助组织通过开放的通信信道的安全数据传送。应注意的是,针对建立连接和针对进一步身份验证的请求是由浏览器代表用户来启动的。还应考虑的是,连接建立请求被根据预设路由规则从一个路由器重定向到另一个。
一旦收到连接建立请求,网站130发送回其公钥证书,该公钥证书包含有关证书的持有者的信息,例如联系数据、公司名称、URL地址。证书的结构以X.509标准提供,如在Housley等人的InternetX.509PublicKeyInfrastructureCertificateandCRLProfile中所述,其通过引用并入本文。证书被根据预定义的全局网络路由规则来路由。在Baker的RequirementsforIPVersion4Routers(RFC-1812)中提供有关路由器操作技术的更多细节,其通过引用并入本文。
随后,使用本领域中已知的常规方法在用户侧检查证书。例如,证书的验证检查以下参数中的至少一个:直到期满前的有效时间段、数字签名的正确性、列表中存在或不存在被召回的证书、讨论中的站点的URL地址和证书中所指定的域名之间的匹配、自签名等。X.509标准和7,739,494号美国专利解释现今已知的一些最常见的证书验证技术,其公开通过引用并入本文。
由于在用户和网站之间的上述通信过程涉及大量居间者,所以有理由假定犯罪者可能入侵现有的居间者中的任何一个。因此,在现今系统中,无法确信正与经请求的网站建立连接,或所接收的证书实际属于证书中所署名的公司。这可能有数个理由,包括以下:
·犯罪者对用户计算机上的或路由器之一上的路由表做出了未经授权的改变,以将所有流量指向通过犯罪者的系统。该方法在图2中以更多细节示出。因此,犯罪者变得能够读取以及修改传入和传出的消息;
·犯罪者对域名解析表做出了未经授权的改变;这意味着当在浏览器中指定所请求的网站的URL地址时,所有流量将会路由到本地域名解析表中所指定的IP地址,其实际上可能被托管在犯罪者IP地址处。在图3中示意性地示出域名解析图表的示例。
·网站130的所有者是犯罪者。这意味着机制的使用(包括上文所述的内容)将用户重定向到犯罪者提供证书的伪造网站,该证书可能已被非法获取,例如通过入侵发出证书的认证中心。
由于现有机制的使用不允许确定通信的实际性质以防犯罪者的主动干扰,所以需要本申请中下文所述的系统和方法。
图2表示路由表300的片段,此处犯罪者已做出新路由的未经授权的添加。表300有数个列—目标IP地址、用于IP地址的子网掩码、必须接收网络数据包用于随后处理的下一个路由器的IP地址、通信通过其发生的网络接口以及通过路由的通道成本。
指定0.0.0.0作为目标地址的行是默认路由,即如果路由表300中没有匹配条目则使用该地址。因此,犯罪者可利用两处契机:通过指定其IP地址作为下一个路由器来修改默认路由、或仅针对具体网站添加新条目或改变旧条目。第二选项在表300中示出,此处x.x.x.x表示犯罪者的IP地址。
图3以简化形式示出域名解析图表400的一部分。这记录下域名和IP地址之间的匹配。例如,指定用于google.com和facebook.com的IP地址。还记录下由犯罪者做出的改变,具体来讲,与citibank.ru域相关。因此,如果使用域名解析图表400,那么意图用于www.citibank.ru网站的所有流量将重定向到犯罪者的IP地址。应注意的是,目前,犯罪者主动使用该契机,因为一些DNS服务器使用兑现(cash)从其他DNS服务器所接收的数据的技术,这些其他DNS服务器之一可能是犯罪者的DNS服务器。在由TomOlzac于2006年三月发表的文章DNScachepoisoning:definitionandprevention中提供该类攻击的更多细节,其通过引用并入本文。犯罪者还可对用户计算机上的本地域名解析表进行未经授权的改变,例如在hosts文件中。来自该文件的信息在对DNS服务器的访问权限上具有优先权。出于描述的目的,图2和图3中示出的攻击示例也将被看作“中间人”式攻击。
图4示意性地示出根据本发明的一个方面的、用于验证公钥证书以对抗“中间人”式攻击的系统500。在各个实施例中,可使用一个或多个通用计算机来实现系统500,其样本图在图9中示出。系统500的一个或数个模块还可在任何计算设备上起作用,包括个人计算机、服务器、联网基础设施设备(例如路由器、防火墙)、或移动设备。
本文所使用的术语模块意思是现实中的设备、部件或者使用硬件或作为硬件和软件的组合所实现的部件组合体,该硬件诸如例如专用集成电路(ASIC)或现场可编程门阵列(FPGA),该硬件和软件的组合诸如通过微处理器系统和调适模块以实现特定功能性的程序指令集,该程序指令集(当正被执行时)将微处理器系统转变为专用设备。模块还可实现为两者的组合,某些功能单独由硬件所促进,以及其他功能由硬件和软件的组合所促进。在某些实现方案中模块的至少一部分,以及在一些情况下模块的全部可在执行操作系统、系统程序以及应用程序的一个或多个计算机的处理器上执行,同时还使用多任务、多线程、在适当情况下的分布式(例如云)处理、或其他这种技术来实现模块。因此,每个模块可以以多种适合的配置来实现,并且通常不应限于本文所例示的任何特定实现方案,除非特别指出这种限制。
图4中所描绘的示例性系统包括初始证书数据收集模块510,其操作地与数据库505和与异常检测模块520相耦连。异常检测模块520操作地与数据库505、与通信模块530以及与可疑证书检测模块540相耦连,该通信模块530从外部代理535接收有关所发现的证书的补充信息,该可疑证书检测模块540设计为识别由犯罪者所使用的用于中间人式攻击的证书。模块540操作地与数据库505和与决策模块550相耦连,该决策模块550考虑现有的统计资料、使用来自可疑证书检测模块540的数据为讨论中的证书构建最终决策。
最初,初始证书数据收集模块510获取有关由证书信息源515所遇到的证书的信息,并将信息保存在数据库505中。在某些实施例中,有关所发出的证书的数据直接来自发出证书的证书授权机构。在相关实施例中,从在其操作中使用证书的网站接收新证书。在某些实施例中还从用户处采集有关新证书的信息。可使用这些信息源的任何组合,使得有关证书的信息从源的相异集合中获取。使用多个证书信息源515的一个优点是对一些源的攻击(机器人而非其他)将产生可由系统检测到的反常。
在一些实施例中,可从因特网服务提供商(ISP)处接收证书,即如果ISP发现被发送到他们的设备之一的新证书,他们可将其报告给初始证书数据收集模块510。并且此外,可指定拥有证书的公司(根据可由ISP访问的信息)。图7中更详细地描绘根据一个实施例的与ISP进行通信的技术。
在一些实施例中,初始证书数据收集模块510以预设频率就所发出的证书轮询信息源。用于初始证书数据收集模块510的数据源包括在其操作期间已获得对证书的访问权限的实体,例如,认证中心、网站、用户、因特网服务提供商、搜索引擎(例如来自Google、Yahoo!、Yandex)。使用搜索引擎数据作为数据源可考虑这样的信息如,例如,搜索引擎对证书已知多久以及证书在什么区域被发现。随后,这种信息可与来自网站的已知证书的相关数据相比较。在初始证书数据收集模块510的其他实施例中,新证书一出现,数据就从源本身被持续地接收。
由初始证书数据收集模块510所收集的关于证书的初始信息可包括内在于每个证书的参数数据,即包括在每个证书的内容中的数据。在相关实施例中,虽然不是给定证书内容的必要明确部分,但有关证书的初始信息可包括属于证书的某些外在参数数据。外在参数数据可包括被信息源所知的信息、关于信息源本身的信息、或关于从信息源接收证书参数数据的信息。这种外在参数数据的示例包括从中获取证书的信息源的URL、从中获取初始信息的信息源的位置、证书所有者的因特网服务提供商的位置、证书的呈现者的经网络确定的位置、有关当信息源首次遇到证书时的信息、以及在信息源处与证书紧密相关联的信息的其他静态项。不同信息源可提供用于不同外在参数的信息,这取决于每个信息源收集这种额外数据以及支持这种数据的共享的程度。根据该类型的实施例的初始信息本质上是静态的,这意味着这些参数无论是内在的或外在的,均不随时间改变。
在一个实施例中,数据库中的所采集的证书按照一个或多个参数被分组,诸如证书的唯一序列号、证书所有者的名称(例如公司或网站URL)、声称是来自证书所有者的类似名称(例如google.com将与g00gle.com分组在一起)。在相关实施例中,证书可按照属性的组合被分组,诸如根据证书所有者和来自该所有者的证书的地理分布、或根据所有者和与所有者相关联的联系信息。
有关所发出的证书的所采集的信息被发送到异常检测模块520的输入。在该阶段,存在对用于存储在数据库505中的现有的和新的证书的静态数据(内在的和外在的)的分析以确定针对任何证书的可疑性的量度。图6中描绘存储在数据库505中的记录的示例。
为了分析证书参数以确定新近所发出的证书中的可疑性的量度,可使用各种方法。例如,如果所接收的证书是已知的(与已知的参考证书完全相同,包括唯一序列号),那么证书可认为是值得信任的。如果所接收的证书与已知的参考证书不匹配(例如具有不同序列号),那么系统确定所接收的证书是否落入任何组中。基于证书的参数与该证书可被分配到的组(或多个组)的那些证书的参数的比较,可做出值得信任性的确定。因此,例如,如果讨论中的声称是由公司A所拥有的证书由位于东南亚的信息源所报告,而对应于公司A的多数先前所发出的证书由位于西欧的信息源所报告,那么证书可认为可疑。
在相关实施例中,实施对在证书和先前所收集的证书中所指定的日期的基于时间的分析,包括比较不同的日期字段。例如,如果新近证书出现在按照URL地址所分组的数据库中,并且如果在针对该URL地址的先前证书期满之前留有超过预定义的时间段(例如6个月),那么新证书被看作可疑。在该示例中,来自新证书的信息的静态项不仅仅是可在证书中指定的内在发出日期;而且是信息源接收证书的日期,其是信息的外在项。
例如,以下事件被看作可疑:
·用于已知公司或已知URL地址的新证书的出现;
·用于已知公司或URL地址的认证中心和/或因特网服务提供商的修改;
·已知公司或URL地址的较旧和较新证书之间的联系数据和/或地理位置中的不同等等。
并且,可使用经训练的神经网络来完成可疑证书的检测,其输入表示有关证书的关键数据,诸如有效期、认证中心、URL地址、所有者的名称及联系方式、所有者所使用的因特网服务提供商等等。应注意的是,该阶段仅实施可疑证书的初步确定,其存储在列表或其他合适的数据结构中。需进一步查询以做出对证书真伪的最终确定。
根据各种实施例,可以以不同方式表示可疑性的量度。例如,可疑性的量度可以是数字值(例如在1到100之间),或是分类(例如不值得信任/可疑/值得信任)。
在相关实施例中,针对来自可疑证书的初步列表的某些证书,使用通信模块530从外部代理535获取补充信息。补充信息包括与对应于讨论中的数字证书的实际使用事件相关的间接信息。
响应于关于是否获取这种补充信息的决策来实施该动作。可根据某些实施例进行各种考虑。例如,收集补充信息的决策可基于:
·所要求的防护等级;例如,如果针对所有新证书要求高防护等级(例如,如果除序列号以外的所有参数与已知证书相同),那么补充间接信息应被请求。如果指定较低防护等级,那么决策将取决于附加的因素。
·在讨论中的数字证书与一个或多个参考证书之间的证书参数的非匹配;例如,假定接收了用于网站g00gle.com的证书,则该证书可被分组到与Google相关联的组中,但因为其与网站的名称不匹配(使用直接的文本比较),那么将需要补充信息。还可以有某一确定哪些参数可保持非匹配而不用触发获取补充信息的要求的逻辑;
·在讨论中的证书和所分配的组的某些参数之间的非匹配;例如,在与Google公司相关联的组中。网站gmail.com可能已经具有数个证书。针对组来比较现有的和新的证书的关键参数(例如日期、认证中心等)。在讨论中的证书和针对组的主要趋势之间的反常可以是进一步研究的原因;
·与所有者相关联的统计资料(例如在所分配的组、子组、组分类中虚假证书已被识别的频率等);
·发出的证书授权机构的基于统计资料的信誉。
为了获取补充间接信息,通信模块530与外部代理进行通信以接收补充信息,例如,实际拥有证书的公司,以及证书的有效期。在当前上下文中,术语外部代理意指所确定的用于初始证书数据收集模块510的相同数据源,但应注意的是,在该情况下,采集有关证书和其所有者的间接信息;例如,证书已使用了多久、什么公司是证书的实际所有者等等。还可从附加源请求信息,即如果使用初始证书数据收集模块510从认证中心接收有关所发出的证书的信息,那么通信模块530可轮询其他源,例如,因特网服务提供商、用户以及搜索引擎。
应提到的是,仅针对由异常检测模块520所标记的证书来采集补充信息,并且在该证书上没有足够信息以做出最终决策。总的来说主要由增加的系统效率来解释将验证过程分为两个阶段,因为多数新的证书将不要求附加检查。
然后可疑证书检测模块540分析从异常检测模块520所接收的证书,针对该证书使用通信模块530采集了补充信息。通常情况下,为了识别可疑证书,将从证书本身所接收的信息与从外部代理所接收的信息相比较。例如,证书指定公司x为所有者,但根据从外部代理所接收的数据,公司K是所有者;即存在可能由“中间人”式攻击所导致的矛盾。以下可用作用于在该阶段的分析的参数:有关证书所有者的数据、有关因特网服务提供商的信息、有关证书有效期的信息、来自用户的数据等等。针对图8的描述中提供有关可疑证书检测机制的更多细节。
一旦使用可疑证书检测模块540通过比较来自证书和来自外部源的信息而检测到可疑证书,就使用决策模块550评估所接收的数据。可使用任何已知方法论做出有关证书真伪的决策,例如,使用累积统计资料,该累积统计资料反映有关“中间人”式攻击概率的信息。例如,已知的是,如果实际拥有证书的公司名称与证书中的信息不匹配,那么“中间人”式攻击的概率等于1。这种信息可以以列表或“关键参数—攻击概率”表的形式存储,此处关键参数意指证书的内在或外在参数,其与证书的所有者相关联,并且针对哪个参数已被识别出矛盾。
应注意的是,该列表中的概率值可取决于所接收的反馈而变化。这意味着如果随着时间流逝发现多数情况下认证中心的修改不是“中间人”式攻击的结果,那么在改变该关键参数的情况下,攻击概率可能降低。如果存在针对其发现矛盾的数个关键参数,则针对正被分析的证书的攻击概率按取决于针对所有经修改参数的攻击概率的函数来计算—例如,其可以是针对所有经修改参数的最大攻击概率。在其他实施例中,攻击概率的计算可使用权重指数,这取决于针对其发现了矛盾的证书的关键参数的数目和/或组合。如果针对证书的攻击概率超过预设阈值,那么判定证书不应被使用。
决策可保存在数据库中用于采集统计资料的目的。在一些实施例中,所指定的统计资料用来为认证中心构建信誉。这意味着在预设时间段内针对认证中心如果声明被篡改的证书的数目超过阈值,那么有理由相信讨论中的认证中心可能已被入侵。在做出有关证书使用的合法性的决策时还可考虑认证中心的信誉。在本发明的其他实施例中,统计资料意图识别最经常被“中间人”式攻击当作目标的公司和URL地址。当针对讨论中的公司和/或URL地址做出有关证书的使用的合法性的决策时可使用这种信息。因此,如果发现公司经常被涉及经篡改的证书的攻击当作目标时,可附加地引入权重指数,其取决于攻击数目并增加“中间人”式攻击中使用可疑证书的概率。
图5示出公钥证书验证过程600,在一个实施例中可使用系统500来实现。在一个实施例中,过程600执行在一个或多个服务器上,诸如在云计算模型中。
在相关实施例中,过程600由正在客户端PC上运行的安全应用所发起,该客户端PC操作地耦连到云的一个或多个服务器。例如,云服务可由安全服务的提供商所提供,客户端PC的安全应用从该安全服务的提供商获取。可响应于在客户端PC上所检测到的、检查所遇到的数字证书的真伪的需要来发起过程600。例如,证书可能作为用户Web浏览活动的一部分而被遇到。在一个实施例中,通过专门的监视过程来完成检测,诸如通过与安全应用相关联的浏览器插件。在另一个实施例中,单独的监视服务—与Web浏览器应用分离—被分派有监视在客户端侧的通信的任务,并且被配置为检测正呈现在通信协议中的数字证书。因此,监视器可实现为防火墙的一部分。
在另一个实施例中,过程600由信息源515中的一个或多个所发起。根据该方法,每个信息源515跟踪其遇到的证书。每当信息源515遇到新证书,即不是先前所遇到的,该信息源告知系统500,其随后发起过程600。根据该模型,在接收到来自客户端的请求之前,证书身份验证服务可提前处理证书(通过实施过程600)。在该情况下,过程600的结果,即有关处于分析之下的证书的合法性的决策被存储用于稍后检索。当从客户端接收到检查证书真伪的请求时,检索所存储证书合法性的合法性,并且将基于该检索的结果返回到客户端。
在该实施例的变形中,过程600在服务器侧自主发起,例如响应于经过一段时间或响应于某个事件。例如,可通过轮询从信息源515中采集有关新证书的信息。
在相关实施例中,可使用所有方法。因此,例如,过程600可通过客户端请求、通过信息源、自主地通过服务器过程的任一种发起,通过这些方法中的任何两种发起,或通过所有三个方法发起。
在过程600中,第一操作610使用初始证书数据收集模块510采集有关所发出的证书的信息。以下示例可用作有关所发出的证书上的信息源515:认证中心、网站、用户、因特网服务提供商以及搜索引擎。
例如,一旦检测到由设备之一所接收的新证书,因特网服务提供商可通知初始证书数据收集模块510,并基于对ISP可用的信息附加地指定拥有该证书的公司。下文结合图7更详细地描述促进与因特网服务提供商的通信的技术的一个示例。
采用搜索引擎作为信息源515的工作可考虑例如有关搜索系统对证书已知多久以及证书在什么区域被发现的信息。稍后,这种信息可与用于讨论中的网站的已经知道证书的相关数据相比较。
在相关实施例中,对区域的分析可考虑证书按照区域的分布的统计资料;例如,证书的统计分布的性质中的改变可被归类为可疑事件。这意味着如果公司的已知证书均匀地分布在所有大的地理区域上(例如欧洲、美洲、非洲和亚洲中各一个),并且新近所发出的证书改变了分布的性质(例如,亚洲出现第二证书),那么有理由相信统计分布的类型已改变,并且因此,事件是可疑的。
在620处使用异常检测模块520检测现有的和新的数据中的异常。该操作分析存储在数据库505中的证书。图6中描绘了存储在数据库505中的记录的示例。为了分析新近发出的证书中的异常,可使用本领域中已知的各种方法;例如,可能使用预设规则用于识别以下类型的可疑证书:“如果针对现有的URL地址在数据库中出现新证书,并且如果在现有的证书期满之前留有超过六个月的时间,那么新证书被看作可疑”。例如,以下事件被看作可疑:
·用于已知公司或已知URL地址的新证书的出现;
·用于已知公司或URL地址的认证中心和/或因特网服务提供商的修改;
·已知公司或URL地址的较旧和较新证书之间的联系数据和/或地理位置之间的不同等等。
并且,可使用经训练的神经网络来完成可疑证书的检测,其输入表示有关证书的关键数据,诸如有效期、认证中心、URL地址、所有者的名称及联系方式、所有者使用的因特网服务提供商等等。应注意的是,该操作仅实施对在进一步的阶段需要附加检查的证书列表的初步确定。
一旦创建可疑证书的初步列表,就实施操作630,其涉及使用通信模块530从外部代理接收信息。可能需要或可能不需要该动作,这取决于对证书的可疑性的确定的结果。例如,如果证书高度可疑,那么其可立即被认为不值得信任,并且因此操作630将是不必要的。同样地,如果证书的初步审查指示证书很可能合法,那么进一步研究可能不是必要的。
另一方面,如果存在可疑性的指示,即使程度不足以立即将证书认为是不值得信任的,也要调用进一步研究。因此,响应于对采集补充信息的需要,操作630与外部代理进行通信以接收这种补充间接信息。在一个实施例中,外部代理可以是在操作610处所确定的相同数据源。在另一个实施例中,可使用一个或多个不同的外部代理。
在任何事件中,补充间接信息包括有关证书的使用和有关其真实所有者的更综合的信息。例如,间接信息可包括证书已使用多久、有关实际使用的地理区域信息(例如经统计汇总的)、证书随着时间的使用率等等。关于所有者的其他间接信息可包括公司是证书的实际所有者的经研究的确定。
还可从一个或多个附加源请求补充间接信息,即如果在操作610处从认证中心接收到有关所发出的证书的信息,那么操作630可轮询其他源,例如,因特网服务提供商、用户、搜索引擎或其任何组合。
在一个实施例中,如上所述,仅针对在步骤620处被凸显的证书来采集补充信息,以及对其而言没有足够信息来做出最终决策。这在决策625处进行描绘。将验证过程分为两个阶段总体上提供了增加的系统效率,因为在许多情况下新证书将不要求附加研究。
操作640针对在620处所选择的证书来处理在630处从外部源所接收的信息,并且产生识别可能由犯罪者所使用的可疑证书的结果。通常情况下,出于该目的,将从证书本身所接收的信息与从外部代理所接收的信息相比较。例如,证书称公司X为所有者,但根据从外部代理所接收的数据,公司K是所有者;因此,存在可能由“中间人”式攻击所造成的矛盾。可使用以下内容作为用于在该阶段的分析的参数:有关证书所有者的数据;有关用于证书所有者的因特网服务提供商的数据;有关证书有效期的信息;来自用户的数据等等。下文结合图8提供了可疑证书检测过程的示例的更多细节。
一旦在操作650处检测到可疑证书,就做出有关正被分析的证书的使用的合法性的决策。使用决策模块550实施该操作。可使用任何已知方法论来做出有关证书真伪的决策,例如,使用累积统计资料,该累积统计资料反映有关“中间人”式攻击概率的信息。例如,已知的是,如果实际拥有证书的公司的名称与证书中的信息不匹配,那么“中间人”式攻击的概率等于1。这种信息可以以列表或“关键参数—攻击概率”表的形式存储,此处关键参数意指证书的内在或外在参数,其与证书的所有者相关联,并且针对哪个参数已被识别出矛盾。
应注意的是,该列表中的概率值可取决于所接收的反馈而变化。这意味着如果随着时间流逝发现在大多数情况下认证中心的修改不是“中间人”式攻击的结果,那么在改变该关键参数的情况下攻击概率可能降低。在一些实施例中,如果存在针对其发现了矛盾的数个关键参数,则针对正被分析的证书的攻击概率被计算为针对所有经修改参数的最大攻击概率。如果针对证书的攻击概率超过预设阈值,那么判定证书正被不合法地使用。
决策可保存在数据库中用于采集统计资料的目的。在一些实施例中,所指定的统计资料用来为认证中心构建信誉。这意味着在预设时间段内针对认证中心如果声明是伪造的的证书的数目超过阈值,那么有理由相信讨论中的认证中心可能已被入侵。在做出有关证书使用的合法性的决策时还可考虑认证中心的信誉。在本发明的其他实施例中,统计资料意图识别最经常被“中间人”式攻击当作目标的公司和URL地址。当针对讨论中的公司和/或URL地址做出有关证书的使用的合法性的决策时可使用这种信息。
应注意的是,在本发明的一些实施例中,系统500和方法600在因特网服务提供商的硬件上操作。这提供了针对已知证书检查来自ISP客户端的流量的契机。如果发现这种证书,那么将证书中的信息与ISP内部数据库中有关客户端的数据相比较,并且可基于证书的关键参数和附加间接数据之间的匹配或不匹配来做出进一步决策。如上文所述,还可从其他外部代理接收有关证书和其持有者的补充间接信息。在本发明的一些实施例中,当使用上文所述的方法时,如果判定讨论中的证书正被不合法地使用,那么传出的流量被阻止,其防止在用户侧的身份验证错误。
图6示出表示所采集的证书的表数据结构的示例,可存储在数据库505中。在一个实施例中,数据库505包含从证书本身和从外部源二者所接收的信息。例如,如图6所示,表包括以下字段:证书中所称的公司(所有者);证书中所指定的URL地址;证书的序列号;发出了证书的认证中心;实际拥有证书的公司。第一和最终字段之间的主要不同是,在第一种情况下,有关所有者的信息是从证书本身所接收的,而在第二种情况下,其是从外部代理所接收的。在其他实施例中,可引入附加字段,对应于证书的其他关键参数以及从外部代理所接收的相关数据。例如,可添加将包括有关用于证书的实际URL地址(从其接收了证书的URL地址)的信息的字段。
图7示出促进与因特网服务提供商的通信的示例性实施例。该通信涉及以下各方:信息检索工具810,通过因特网与ISP820相连接,该ISP820具有在网站130上的、有关由该网站所使用的证书的信息。应注意的是,初始证书数据收集模块510或通信模块530二者中的任何一个均可被选作信息检索工具810,而没有相似性的限制。可由信息检索工具810或因特网服务提供商820来发起信息检索工具810和提供商820之间的通信。在通信中,因特网服务提供商820将有关已知证书的数据发送到工具810。
因特网服务提供商820知悉有关其客户端的主要信息—例如公司名称。并且,在一些实施例中,ISP820可请求在网站130侧所使用的公钥证书。并且,在ISP侧,检查证书的实际持有者与证书中所称的公司之间的匹配是可能的。在一个实施例中,在ISP侧,如果公司已从证书授权机构接收证书,那么其必须向ISP登记新证书。ISP本身可随后确定证书是否合法(例如通过查找证书持有者的、出现在证书中的名称,以及将该名称和与在ISP处的客户端账户相关联的名称相比较)。下一步,ISP可针对证书的存在而扫描网络流量并且或者授权或者禁止其使用。如果证书是真实的,那么ISP还可将其签名放在证书上。
在另一个实施例中,ISP在客户端证书数据库中登记每个新证书并将其与IP地址的所有者相关联。可在自愿的基础上由证书持有者完成证书的登记,或者ISP可针对具体文件格式(其指示文件是证书)的存在而扫描网络流量,并且实行登记而不用证书持有者的参与。
在所有者的验证成功的情况下,ISP820签署网站的公钥证书并将所签署的证书发送到信息检索工具810用于进一步分析。因此,使用来自因特网服务提供商820的信息,获得关于所提交数据的真伪的额外确定性是可能的。
在由ISP的客户端对正在呈现的证书进行身份验证中,可通过提供证书序列号来询问ISP以请求与证书持有者相关联的公司ID。作为响应,ISP可返回证书的拷贝以及ISP所知道的与该证书相关联的公司名称。可根据情况选择轮询哪个ISP。例如,可轮询一个或多个顶级ISP;同样,可优先地轮询被认为是最可能向某些方提供服务的一个或多个具体ISP。如果询问最可能的ISP(或其集合),并且关于所呈现的证书的信息未被返回,那么这可以是将证书认为是不值得信任的理由。
在优选实施例中,由多个认证中心签署来自ISP820的公钥证书,其显著减少针对ISP820的伪造证书的使用的概率。应注意的是,在各个实施例中,信息检索工具810为证书持有者保存有关因特网服务提供商的信息,其随后被用来识别可疑证书。
并且,在本发明的一些实施例中,ISP820提交有关其是否知道证书的信息,并且如果ISP820知道证书,还提交谁持有该证书的信息。因此,信息检索工具810发送对有关证书的进一步信息的请求。ISP检查其内部数据库并返回“已知,公司a”或“未知”形式的回复。因此,如果对任何提供商证书是未知的,其可被看作是由犯罪者所使用,因为犯罪者不想将自己暴露给因特网服务提供商。
该方法的益处包括因特网服务提供商是在认证中心之后第一个接收证书的事实,以及ISP能够识别其客户端的事实。
图8是根据一个实施例的、示出基于属于证书的所初始收集的数据和与证书的实际使用相关的经进一步研究的间接数据之间的比较来检测可疑证书的两阶段过程的流程图。在910处,过程从有关讨论中的证书的初始数据中选择关键参数。可使用解析以及其他对证书有效的已知方法来实施操作910。随后在920处,从信息源接收有关属于证书关键参数的附加间接数据。例如,通过因特网服务提供商获取证书持有者名称、利用搜索引擎来验证证书位于的URL地址、以及当访问证书中所指定的URL地址时将新证书的序列号与实际使用的证书相比较,是可能的。
下一步,在930处,比较所经接收的数据,在其之后操作940发现在证书关键参数和附加间接数据之间的不同。如果针对至少一个关键参数发现矛盾,那么在940处做出确定以将证书看作可疑。
图9是根据各种实施例的、更详细地示出在其上可实现如本文所述的本发明的各方面的计算机系统1的图。计算机系统1可包括诸如个人计算机2的计算设备。个人计算机2包括一个或多个处理单元4、系统存储器6、视频接口8、输出外围接口10、网络接口12、用户输入接口14、可移动存储器接口16和不可移动存储器接口18以及耦连各种部件的系统总线或高速通信信道20。在各种实施例中,处理单元4可具有能够处理存储在计算机可读介质上的信息的多个逻辑核心,该计算机可读介质诸如系统存储器6或接附于可移动存储器接口16和不可移动存储器接口18的存储器。计算机2系统存储器6可包括诸如只读存储器(ROM)22的非易失性存储器或诸如随机存取存储器(RAM)24的易失性存储器。ROM22可包括基本输入/输出系统(BIOS)26以帮助与计算机2的其他部分进行通信。RAM24可存储各种软件应用的一部分,诸如操作系统28、应用程序30以及其他程序模块32。进一步地,RAM24可存储诸如程序或应用数据34的其他信息。在各种实施例中,RAM24存储要求低时延和有效率的访问的信息,诸如正在被操纵或操作的程序和数据。在各种实施例中,RAM24包括双倍数据速率(DDR)存储器、错误纠正存储器(ECC)或具有变化的时延和配置的其他存储器技术,诸如RAMBUS或DDR2或DDR3。这样,在各种实施例中,系统存储器6可存储输入数据存储、访问凭证(credential)数据存储、操作存储器数据存储、指令集数据存储、分析结果数据存储以及操作存储器数据存储。进一步地,在各种实施例中,处理单元4可配置为执行指令,这些指令通过在授予对信息的访问权限之前要求访问凭证来限制对前述数据存储的访问。
可移动存储器接口16和不可移动存储器接口18可将计算机2耦连到诸如SSD或转动式磁盘驱动器的磁盘驱动器36。这些磁盘驱动器36可为诸如操作系统38、应用程序40和其他程序模块42的各种软件应用提供进一步存储。进一步地,磁盘驱动器36可存储诸如程序或应用数据44的其他信息。在各种实施例中,磁盘驱动器36存储不要求与在其他存储介质中相同的低时延的信息。进一步地,操作系统38、应用程序40数据、程序模块42以及程序或应用数据44可以是与存储在上文所提及的各种实施例中的RAM24中的信息相同的信息,或者其可以是RAM24所存储的数据潜在派生出的不同数据。
进一步地,可移动非易失性存储器接口16可将计算机2耦连到磁性便携式磁盘驱动器46或光盘驱动器50,该磁性便携式磁盘驱动器46利用诸如软盘48、ZiporJazz的磁性介质,该光盘驱动器50利用光学介质52用于计算机可读介质的存储,诸如DVD-R/RW,CD-R/RW和其他类似格式。还有其他实施例利用SSD或封装在便携式外壳中的转动式磁盘来增加可移动存储器的容量。
计算机2可利用网络接口12以通过局域网(LAN)58或广域网(WAN)60与一个或多个远程计算机56进行通信。网络接口12可利用网络接口卡(NIC)或诸如调制解调器62的其他接口来使能通信。调制解调器62通过电话线、同轴电缆、光纤、电力线或无线地使能通信。远程计算机56可包含类似的硬件和软件配置或可具有包含可对计算机2提供附加的计算机可读指令的远程应用程序66的存储器64。在各种实施例中,可利用远程计算机存储器64来存储信息,诸如可稍后被下载到本地系统存储器6的经识别的文件信息。进一步地,在各种实施例中,远程计算机56可以是应用服务器、管理服务器、客户端计算机、或网络家电。
用户可使用连接到用户输入接口14的输入设备诸如鼠标68和键盘70来对计算机2键入信息。此外,输入设备可以是轨迹板、指纹扫描器、操纵杆、条形码扫描器、介质扫描器等等。视频接口8可以向诸如监视器72的显示器提供视觉信息。视频接口8可以是嵌入式接口或其可以是分立接口。进一步地,计算机可利用多个视频接口8、网络接口12以及可移动接口16和不可移动接口18以增加计算机2的操作中的灵活性。进一步地,各种实施例利用数个监视器72和数个视频接口8来变化计算机2的性能和能力。诸如输出外围接口10的其他计算机接口可包括在计算机2中。该接口可耦连到打印机74或扬声器76或其他外围设备以对计算机2提供附加的功能性。
计算机的各种可替代配置和实现方案在本发明的精神内。这些变形可包括但不限于耦连到系统总线20的附加接口诸如通用串行总线(USB)、打印端口、游戏端口、PCI总线、PCIExpress或将上文所述各种部件集成为芯片集部件诸如N北桥或S南桥。例如,在各种实施例中,处理单元4可包括嵌入式存储器控制器(未示出)以使得来自系统存储器6的数据的传送比系统总线20可提供的能够更有效率。
上文的实施例意图是示例性的而并非限制。附加的实施例在权利要求内。此外,虽然已参考特定实施例描述了本发明的各方面,但本领域的技术人员将意识到,可在形式和细节上做出改变而不脱离本发明的精神和范围,如权利要求所定义。
相关领域的普通技术人员将意识到,本发明可包括比上文所描述的任何单个实施例中所示出的更少的特征。本文所描述的实施例不意味着是本发明的各种特征可以其组合的方式的穷举呈现;因此,这些实施例不是相互排斥的特征的组合;而是,如本领域的普通技术人员所理解的,本发明可包括从不同的各个实施例中所选择的不同的各个特征的组合。
限制通过引用上文文档的任何合并,使得不合并与本文明确的公开相反的主题。进一步限制通过引用上文文档的任何合并,使得在文档中所包括的权利要求不会通过引用被合并到本申请的权利要求中。然而,除非特别加以排除,否则任何文档的权利要求均合并为本公开的一部分。还进一步限制通过引用上文文档的任何合并,使得除非本文明确加以包括,否则本文不通过引用对文档中所提供的任何定义加以合并。
出于对本发明诠释权利要求的目的,明确意图的是,除非在权利要求中引述具体术语“用于……的装置”或“用于……的步骤”,否则将不调用美国法典第35篇第112节第六段的条款。
Claims (15)
1.一种在计算机网络中用于分析真伪数字证书的方法,所述方法包括:
从所述计算机网络内的多个相异信息源获取属于数字证书的初始信息,其中针对所述数字证书中的每一个,所述初始信息包括:
来自所述数字证书的内容之中的内在参数数据;
属于所述数字证书并且包括不包含在所述数字证书的所述内容中的静态数据的外在参数数据;
在数据存储中存储来自所述内在参数数据和所述外在参数数据之中的所选择的参数数据;
分析所述所选择的参数数据以确定针对所述数字证书中的每一个的可疑性的量度;
基于所述可疑性的量度,确定收集补充数据以进一步分析所述数字证书中的任何一个的需要;
响应于对需要用于所述数字证书中的任何一个的补充数据的所述确定,收集属于该数字证书的间接数据,所述间接数据基于该数字证书的实际使用;
将所述初始数据和补充数据与决策标准集相比较,所述决策标准集定义与欺诈活动相关联的参数和参数组合;以及
基于所述比较,提供对所述数字证书中的每一个的真伪的确定。
2.根据权利要求1所述的方法,其中所述初始信息包括从组中所选择的外在参数数据,所述组包括:从中获取了所述证书的所述信息源的URL、从中获取了所述初始信息的所述信息源中的一个或多个的位置、每个数字证书的所有者的因特网服务提供商的位置、每个数字证书的呈现者的经网络确定的位置、有关所述信息源中的一个或多个何时首次遇到所述证书的信息、或其任何组合。
3.根据权利要求1所述的方法,其中所述信息源包括从组中所选择的至少一个信息源,所述组包括:证书授权机构、所声称的数字证书所有者、数字证书被呈现方、搜索引擎、或其任何组合。
4.根据权利要求1所述的方法,其中所述信息源包括因特网服务提供商(ISP)并且其中所述外在参数数据包括基于ISP账户持有者信息的信息。
5.根据权利要求1所述的方法,其中获取所述初始信息包括轮询所述信息源中的至少一个。
6.根据权利要求1所述的方法,其中获取所述初始信息由所述信息源中的至少一个所发起。
7.根据权利要求1所述的方法,其中所述存储包括由从组中所选择的至少一个预定参数将所述初始信息分组,所述组包括:所述数字证书中所指示的公司名称、统一资源定位符、每个数字证书的所声称的所有者的地理区域、或其任何组合。
8.根据权利要求1所述的方法,其中所述分析所述所选择的参数数据以确定所述可疑性的量度包括将针对每个证书的所述内在参数数据的部分与针对相同证书的所述外在参数数据相比较。
9.根据权利要求1所述的方法,其中所述分析所述所选择的参数数据以确定所述可疑性的量度包括将与第一数字证书相关的所述初始数据的部分与多个其他数字证书的多个对应参数相比较。
10.根据权利要求1所述的方法,其中所述分析所述所选择的参数数据以确定所述可疑性的量度包括将与第一数字证书相关的所述初始数据的部分与基于多个其他数字证书的某些参数的分组相比较。
11.根据权利要求1所述的方法,其中所述分析所述所选择的参数数据以确定所述可疑性的量度包括比较与和第一数字证书相关联的地理位置相关的所述初始数据的不同参数。
12.根据权利要求1所述的方法,其中所述分析所述所选择的参数数据以确定所述可疑性的量度包括将与和第一数字证书相关联的有效期相关的所述初始数据的参数与和一个或多个其他数字证书相关联的时态数据相比较。
13.根据权利要求1所述的方法,其中所述间接数据包括表示所述数字证书已使用多久的时态信息。
14.根据权利要求1所述的方法,其中所述间接数据包括有关所述数字证书的实际使用的地理区域信息。
15.根据权利要求1所述的方法,其中所述间接数据包括所述数字证书随着时间的使用率。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| RU2012141468 | 2012-09-28 | ||
| RU2012141468/08A RU2514138C1 (ru) | 2012-09-28 | 2012-09-28 | Система и способ верификации сертификата открытого ключа с целью противодействия атакам типа "человек посередине" |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103490884A CN103490884A (zh) | 2014-01-01 |
| CN103490884B true CN103490884B (zh) | 2016-05-04 |
Family
ID=49384891
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310452734.9A Active CN103490884B (zh) | 2012-09-28 | 2013-09-27 | 用于数字证书的验证的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8732472B2 (zh) |
| CN (1) | CN103490884B (zh) |
| DE (1) | DE202013102441U1 (zh) |
| RU (1) | RU2514138C1 (zh) |
Families Citing this family (35)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090238365A1 (en) * | 2008-03-20 | 2009-09-24 | Kinamik Data Integrity, S.L. | Method and system to provide fine granular integrity to digital data |
| US9602499B2 (en) * | 2009-04-07 | 2017-03-21 | F-Secure Corporation | Authenticating a node in a communication network |
| GB2469287B (en) | 2009-04-07 | 2013-08-21 | F Secure Oyj | Authenticating a node in a communication network |
| US10484355B1 (en) | 2017-03-08 | 2019-11-19 | Amazon Technologies, Inc. | Detecting digital certificate expiration through request processing |
| US9237022B2 (en) * | 2013-05-07 | 2016-01-12 | The Boeing Company | Use of multiple digital signatures and quorum rules to verify aircraft information |
| US9160543B2 (en) * | 2013-05-07 | 2015-10-13 | The Boeing Company | Verification of aircraft information in response to compromised digital certificate |
| US9246934B2 (en) * | 2013-05-15 | 2016-01-26 | Jason Allen Sabin | Method and system of attack surface detection |
| US9722801B2 (en) * | 2013-09-30 | 2017-08-01 | Juniper Networks, Inc. | Detecting and preventing man-in-the-middle attacks on an encrypted connection |
| US9407644B1 (en) * | 2013-11-26 | 2016-08-02 | Symantec Corporation | Systems and methods for detecting malicious use of digital certificates |
| CN103840945A (zh) * | 2014-03-19 | 2014-06-04 | 广州中长康达信息技术有限公司 | 一种基于社交网络的数字证书信任建立方法 |
| EP2937804B1 (en) * | 2014-04-23 | 2017-11-15 | F-Secure Corporation | Authenticating a node in a communication network |
| CN105516066B (zh) * | 2014-09-26 | 2019-04-09 | 阿里巴巴集团控股有限公司 | 一种对中间人的存在进行辨识的方法及装置 |
| RU2584506C1 (ru) | 2014-10-22 | 2016-05-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ защиты операций с электронными деньгами |
| EP3012771B1 (en) | 2014-10-22 | 2020-04-29 | AO Kaspersky Lab | System and method for protecting electronic money transactions |
| US9843452B2 (en) * | 2014-12-15 | 2017-12-12 | Amazon Technologies, Inc. | Short-duration digital certificate issuance based on long-duration digital certificate validation |
| US11032266B2 (en) * | 2014-12-23 | 2021-06-08 | Mcafee, Llc | Determining the reputation of a digital certificate |
| US9479338B2 (en) * | 2015-03-17 | 2016-10-25 | Digicert, Inc. | Method and system for certificate discovery and ranking certificate authorities |
| US10129239B2 (en) * | 2015-05-08 | 2018-11-13 | Citrix Systems, Inc. | Systems and methods for performing targeted scanning of a target range of IP addresses to verify security certificates |
| US10193699B2 (en) * | 2015-05-15 | 2019-01-29 | Microsoft Technology Licensing, Llc | Probabilistic classifiers for certificates |
| US10771260B2 (en) * | 2015-06-16 | 2020-09-08 | Vellitas Llc | Systems and methods for digital certificate security |
| US9667657B2 (en) | 2015-08-04 | 2017-05-30 | AO Kaspersky Lab | System and method of utilizing a dedicated computer security service |
| US10341116B2 (en) * | 2016-12-28 | 2019-07-02 | Intel Corporation | Remote attestation with hash-based signatures |
| US10425417B2 (en) * | 2017-03-08 | 2019-09-24 | Bank Of America Corporation | Certificate system for verifying authorized and unauthorized secure sessions |
| US10516542B2 (en) * | 2017-03-08 | 2019-12-24 | Amazon Technologies, Inc. | Digital certificate issuance and monitoring |
| US10615987B2 (en) | 2017-03-08 | 2020-04-07 | Amazon Technologies, Inc. | Digital certificate usage monitoring systems |
| CN108667780B (zh) * | 2017-03-31 | 2021-05-14 | 华为技术有限公司 | 一种身份认证的方法、系统及服务器和终端 |
| US10977565B2 (en) | 2017-04-28 | 2021-04-13 | At&T Intellectual Property I, L.P. | Bridging heterogeneous domains with parallel transport and sparse coding for machine learning models |
| EP3484097A1 (de) * | 2017-11-08 | 2019-05-15 | Siemens Aktiengesellschaft | Verfahren und validierungseinrichtung zum validieren eines digitalen zertifikats |
| RU2702080C1 (ru) * | 2018-06-29 | 2019-10-03 | Акционерное общество "Лаборатория Касперского" | Способ блокировки сетевых соединений с ресурсами из запрещенных категорий |
| RU2715027C2 (ru) * | 2018-06-29 | 2020-02-21 | Акционерное общество "Лаборатория Касперского" | Способ обнаружения несанкционированного изменения в отношении хранилища сертификатов |
| US11017076B2 (en) | 2018-08-08 | 2021-05-25 | Microsoft Technology Licensing, Llc | Enhancing security using anomaly detection |
| US11647046B2 (en) | 2018-09-24 | 2023-05-09 | Microsoft Technology Licensing, Llc | Fuzzy inclusion based impersonation detection |
| US10958676B2 (en) | 2018-11-20 | 2021-03-23 | Easy Solutions Enterprises Corp. | Classification of transport layer security certificates using artificial neural networks |
| RU2708353C1 (ru) * | 2018-12-28 | 2019-12-05 | Акционерное общество "Лаборатория Касперского" | Система и способ стойкой к атакам проверки ЭЦП файлов |
| US11720718B2 (en) * | 2019-07-31 | 2023-08-08 | Microsoft Technology Licensing, Llc | Security certificate identity analysis |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360102A (zh) * | 2007-07-31 | 2009-02-04 | 赛门铁克公司 | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 |
Family Cites Families (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5214702A (en) | 1988-02-12 | 1993-05-25 | Fischer Addison M | Public key/signature cryptosystem with enhanced digital signature certification |
| US7127741B2 (en) * | 1998-11-03 | 2006-10-24 | Tumbleweed Communications Corp. | Method and system for e-mail message transmission |
| US6134550A (en) * | 1998-03-18 | 2000-10-17 | Entrust Technologies Limited | Method and apparatus for use in determining validity of a certificate in a communication system employing trusted paths |
| US6230266B1 (en) * | 1999-02-03 | 2001-05-08 | Sun Microsystems, Inc. | Authentication system and process |
| US7571315B1 (en) | 1999-09-16 | 2009-08-04 | Intel Corporation | Method and apparatus to assign trust to a key |
| EP1094424A3 (en) | 1999-10-22 | 2004-06-16 | Hitachi, Ltd. | Digital signing method |
| WO2003049358A1 (en) | 2001-11-29 | 2003-06-12 | Morgan Stanley | A method and system for authenticating digital certificates |
| JP2006521724A (ja) * | 2003-01-28 | 2006-09-21 | セルポート システムズ インコーポレイテッド | セキュア・テレマティクス |
| US7739494B1 (en) * | 2003-04-25 | 2010-06-15 | Symantec Corporation | SSL validation and stripping using trustworthiness factors |
| CA2525398C (en) | 2003-05-13 | 2014-03-11 | Corestreet, Ltd. | Efficient and secure data currentness systems |
| CA2561335C (en) * | 2004-04-08 | 2013-03-19 | International Business Machines Corporation | Method and system for linking certificates to signed files |
| US7444509B2 (en) * | 2004-05-27 | 2008-10-28 | International Business Machines Corporation | Method and system for certification path processing |
| US7490354B2 (en) * | 2004-06-10 | 2009-02-10 | International Business Machines Corporation | Virus detection in a network |
| US7441273B2 (en) * | 2004-09-27 | 2008-10-21 | Mcafee, Inc. | Virus scanner system and method with integrated spyware detection capabilities |
| US7886144B2 (en) * | 2004-10-29 | 2011-02-08 | Research In Motion Limited | System and method for retrieving certificates associated with senders of digitally signed messages |
| EP1829332A2 (en) * | 2004-12-15 | 2007-09-05 | Exostar Corporation | Enabling trust in a federated collaboration of networks |
| CN1954547B (zh) | 2005-04-18 | 2010-09-15 | 松下电器产业株式会社 | 签名生成装置和签名验证装置 |
| US20060236100A1 (en) * | 2005-04-19 | 2006-10-19 | Guruprasad Baskaran | System and method for enhanced layer of security to protect a file system from malicious programs |
| US7904725B2 (en) * | 2006-03-02 | 2011-03-08 | Microsoft Corporation | Verification of electronic signatures |
| US9166782B2 (en) | 2006-04-25 | 2015-10-20 | Stephen Laurence Boren | Dynamic distributed key system and method for identity management, authentication servers, data security and preventing man-in-the-middle attacks |
| US8239677B2 (en) | 2006-10-10 | 2012-08-07 | Equifax Inc. | Verification and authentication systems and methods |
| US8407464B2 (en) * | 2006-10-10 | 2013-03-26 | Cisco Technology, Inc. | Techniques for using AAA services for certificate validation and authorization |
| US8782414B2 (en) * | 2007-05-07 | 2014-07-15 | Microsoft Corporation | Mutually authenticated secure channel |
| RU2010107990A (ru) * | 2007-08-06 | 2011-09-20 | МОНСЕИГНАТ Бернард ДЕ (US) | Система и способ аутентификации, передача данных и защиты от фишинга |
| US7890763B1 (en) | 2007-09-14 | 2011-02-15 | The United States Of America As Represented By The Director, National Security Agency | Method of identifying invalid digital signatures involving batch verification |
| US8825999B2 (en) * | 2007-10-20 | 2014-09-02 | Blackout, Inc. | Extending encrypting web service |
| US8291493B2 (en) * | 2007-11-27 | 2012-10-16 | Mcafee, Inc. | Windows registry modification verification |
| US8676998B2 (en) * | 2007-11-29 | 2014-03-18 | Red Hat, Inc. | Reverse network authentication for nonstandard threat profiles |
| CA2712242C (en) * | 2008-01-18 | 2017-03-28 | Identrust, Inc. | Binding a digital certificate to multiple trust domains |
| US8285985B2 (en) | 2008-12-15 | 2012-10-09 | Sap Ag | Systems and methods for detecting exposure of private keys |
| JP5446453B2 (ja) | 2009-04-30 | 2014-03-19 | ソニー株式会社 | 情報処理装置、電子署名生成システム、電子署名用の鍵生成方法、情報処理方法、及びプログラム |
| US20120124369A1 (en) * | 2010-11-09 | 2012-05-17 | Jose Castejon Amenedo | Secure publishing of public-key certificates |
| US8806196B2 (en) * | 2011-11-04 | 2014-08-12 | Motorola Solutions, Inc. | Method and apparatus for authenticating a digital certificate status and authorization credentials |
-
2012
- 2012-09-28 RU RU2012141468/08A patent/RU2514138C1/ru active
-
2013
- 2013-04-12 US US13/862,119 patent/US8732472B2/en active Active
- 2013-06-07 DE DE202013102441U patent/DE202013102441U1/de not_active Expired - Lifetime
- 2013-09-27 CN CN201310452734.9A patent/CN103490884B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101360102A (zh) * | 2007-07-31 | 2009-02-04 | 赛门铁克公司 | 通过远程验证并使用凭证管理器和已记录的证书属性来检测网址转接/钓鱼方案中对ssl站点的dns重定向或欺骗性本地证书的方法 |
Non-Patent Citations (1)
| Title |
|---|
| Sovereign keys for certificate verification;WILLIS;《http://lwn.net/Articles/468911/》;20111123;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103490884A (zh) | 2014-01-01 |
| US8732472B2 (en) | 2014-05-20 |
| RU2514138C1 (ru) | 2014-04-27 |
| RU2012141468A (ru) | 2014-04-27 |
| US20140095866A1 (en) | 2014-04-03 |
| DE202013102441U1 (de) | 2013-09-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103490884B (zh) | 用于数字证书的验证的方法 | |
| US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
| US11176573B2 (en) | Authenticating users for accurate online audience measurement | |
| US10356099B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using identity services | |
| US20220038446A1 (en) | Identity Proofing and Portability on Blockchain | |
| US10187369B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network based on scanning elements for inspection according to changes made in a relation graph | |
| US10250583B2 (en) | Systems and methods to authenticate users and/or control access made by users on a computer network using a graph score | |
| US9942220B2 (en) | Preventing unauthorized account access using compromised login credentials | |
| JP5207736B2 (ja) | ネットワークセキュリティ及び不正検出システム及び方法 | |
| US8880435B1 (en) | Detection and tracking of unauthorized computer access attempts | |
| US8079087B1 (en) | Universal resource locator verification service with cross-branding detection | |
| US8850567B1 (en) | Unauthorized URL requests detection | |
| WO2019079708A1 (en) | IMPROVED SYSTEM AND METHOD FOR EVALUATING IDENTITY USING GLOBAL NOTE VALUE | |
| WO2015043491A1 (zh) | 一种用于对互联网账号的登录进行安全验证的方法及系统 | |
| US20150213131A1 (en) | Domain name searching with reputation rating | |
| US20240064135A1 (en) | Identity Proofing and Portability on Blockchain | |
| CN109690547A (zh) | 用于检测在线欺诈的系统和方法 | |
| US9729550B2 (en) | Device and method for detecting bypass access and account theft | |
| JP6113678B2 (ja) | 認証装置、認証システム及び認証方法 | |
| WO2017049042A1 (en) | Identifying phishing websites using dom characteristics | |
| CN106060097B (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
| CN114117264A (zh) | 基于区块链的非法网站识别方法、装置、设备及存储介质 | |
| McCarty | Automated identity theft | |
| CN110061981A (zh) | 一种攻击检测方法及装置 | |
| Carbunar et al. | A survey of privacy vulnerabilities and defenses in geosocial networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |