SI24434A - Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova - Google Patents
Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova Download PDFInfo
- Publication number
- SI24434A SI24434A SI201300194A SI201300194A SI24434A SI 24434 A SI24434 A SI 24434A SI 201300194 A SI201300194 A SI 201300194A SI 201300194 A SI201300194 A SI 201300194A SI 24434 A SI24434 A SI 24434A
- Authority
- SI
- Slovenia
- Prior art keywords
- certificate
- address
- token
- server
- recipient
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova omogoča pridobitev dodatne varnosti obiskovalcem spletnih strani. Spletni pečati z detekcijo, napadov z preusmeritvijo IP naslova (pharming) rešujejo problem odkrivanja napada na spletno mesto s tehnikami pharming, IP spoofing , DNS spoofing, ki v bistvu potvarjajo IP naslov spletnega mesta na določeni spletni domeni npr. 'www.moja domena.si'. Napadalec v takem primeru postavi kopijo spletnega mesta na drugem IP naslovu in z preusmeritvijo doseže, da zahteve za prikaz spletnih strani prispejo na lažni steznik. Izum omogoča, da je obiskovalec takšne spletne strani takoj obveščen o nepravilnosti/napadu in sicer tako, da je spletni pečat prikazan kot nepreverjen, ali pa v celoti izgine, ker ga je napadalec odstranil.
Description
SISTEM PODELJEVANJA SPLETNIH PEČATOV ZAUPANJA Z DETEKCIJO NAPADOV S PREUSMERITVIJO IP NASLOVA
Izum posega na področje varnosti uporabe interneta z vidika končnega uporabnika - obiskovalca spletnih strani.
Predemet zaupanj a zaupanj a izkazujejo izuma je sistem podeljevanja spletnih in postopek preverjanja verodostojnosti na spletnih straneh, s katerimi se podeljeni certifikati zaupanja.
pečatov pečatov običajno
Obiskovalci spletnih strani A so vse pogosteje žrtve spletnih prevar. Velik del spletnih prevar uporablja lažne spletne strani, ki so kopija originalnih strani kakšnega ponudnika. Za zaščito in ugotavljanje avtentičnosti spletnih strani je na voljo več ponudnikov t.i. izdajateljev certifikatov zaupanja B, ki s podelitvijo certifikata jamčijo verodostojnost strani oz. spletnega mesta v celoti. Prejemnik takšnega certifikata C na svojih straneh objavi pečat, najpogosteje v obliki sličice E. Ker je sličice pečatov zelo enostavno kopirati, se pri tehnološko naprednejših izdajateljih le-te servirajo iz strežnika izdajatelja in vsebujejo povezavo nazaj na strežnik izdajatelja. Preko takšne povezave lahko obiskovalec s klikom na pečat preveri avtentičnost pečata in strani v celoti.
Naprednejši sistemi zmorejo preveriti ime spletnega mesta (domene) iz katere prihaja zahteva za prikaz pečata. Na ta način lahko sistem certificiranj a v precej primerih zazna kopiranje spletnih mest s pečatom, ker se pečat pač zahteva iz napačnega strežnika.
Bolj napredne vrste napadov pa ohranijo ime strežnika na kopiji in potvorijo IP naslov strežnika tako, da kaže na lažno • · · spletno stran. V takem primeru osnovna detekcija imena strežnika odpove. Tovrstne napade na spletna mesta zasledimo pod imeni 'pharming', 'DNS spoofing', 'IP spoofing'.
Patenti ki obravnavajo področje detekcije 'pharming', 'DNS spoofing', 'IP spoofing' napadov je kar precej, vendar nobeden ne posega na področje detekcije preko storitve izdajanja certifikatov na spletu.
Patent US 2008/0060054 Al obravnava detekcijo pharming napada na osnovi poizvedbe preko dveh različnih infrastruktur izhajajoč iz delovne postaje odjemalca. Predlagani patent ugotavljanje pravilnosti IP naslova začne z zahtevo iz strežnika, ki je potencialno napaden, s čimer je metoda bistveno drugačna.
Patent US 2008/0055928 Al obravnava detekcij na osnovi t.i. 'belega seznama' (white pripadajočih veljavnih IP naslovov. Tudi uporablja t.i. 'beli seznam', vendar je nekoliko drugačna.
o pharming napada list) domen in pričujoči sistem uporaba le tega
Patent US 2009/0208020 Al obravnava detekcijo pharming napada preko programske opreme na strani odjemalca - t.i. password managerj a.
S sistemom in postopkom po izumu, lahko sistem certificiranj a zazna tudi tovrstne napade in ustrezno ukrepa, npr. obvesti obiskovalca o nepreverjenem pečatu zaupanja z ustrezno spremembo pečata.
Obiskovalec spletne strani s tem pridobi dodatno varnost. Tako zaščitena spletna stran bo vedno izkazovala stanje 'nepreverjeno', tudi v primerih, ko je bil obiskovalčev računalnik 'okužen' z virusom, ki preusmerja IP naslov določene domene.
Podobne rešitve prijavitelju niso poznane.
Izum je možno aplicirati v kateremkoli sistemu certificiranj a spletnih mest, ki izpolnjuje naslednje pogoje;
- v sistemu nastopajo tri entitete: izdajatelj certifikata B, prejemnik certifikata C in obiskovalec A spletne strani prejemnika certifikata C;
- izdajatelj certifikata B razpolaga s tehnologijo (spletni strežnik in spletna aplikacija), ki preverja zahtevke spletnega brskalnika obiskovalca A za prikaz pečata D. Pri tem ni nujno, da je pečat ravno slika, kar je najpogostejša oblika. Pečat je lahko tudi zvočni ali drugačen zapis, ki ga lahko človek zazna in prepozna;
- prejemnik certifikata C ima spletno mesto na katerem je objavil pečat po navodilih la izdajatelja certifikata B;
- prikaz pečata se zahteva s strežnika izdajatelja certifikata B, ki tudi preverja upravičenost zahteve za prikaz.
Izum ponazarjajo naslednje slike:
Slika 1: shematski prikaz sistema certificiranj a spletnih mest s certifikati zaupanja, ki vključuje nastopajoče entitete in podatkovne transakcije.
Slika 2: diagram poteka preverjanja verodostojnosti pečata zaupanja z vključeno detekcijo pravilnosti IP naslova spletnega mesta prejemnika certifikata C.
Slika 3: simbolični prikaz pečata zaupanja.
Ogled internetnih strani se začne z zahtevo za ogled strani 2a, ki jo sproži obiskovalec A na svoji delovni postaji s pomočjo spletnega brskalnika.
Strežnik zahtevane strani odgovori z vsebino spletne strani 2b. V kolikor je zahtevana stran v lasti prejemnika certifikata C in opremljena s pečatom po navodilih la izdajatelja certifikata B, brskalnik obiskovalca A nadaljuje z zahtevo za prikaz pečata 2c na strežnik izdajatelja certifikata B. Strežnik izdajatelja certifikata B odgovori z vsebino pečata 2d, ki jo brskalnik obiskovalca A nato prikaže oziroma predvaja.
Neodvisno od zgornjega postopka mora, v skladu z izumom, prejemnik certfikata zaupanja C na spletno mesto namestiti tudi programsko kodo, ki od strežnika izdajatelja certifikata B periodično zahteva lb podatkovni žeton T. Izdajatelj certifikata B na to zahtevo pošlje odgovor lc z veljavnim podatkovnim žetonom T, ki se shrani lokalno na strežniku
prejmnika | certifikata C | . Če zahteva | lb ni | bila prepoznana kot |
veljavna, | izdaj atelj | certifikata | B v | odgovoru lc vrne |
neveljaven/prazen žeton | T. | |||
Prej emnik | certifikata | C v nadaljevanju | podatkovni žeton T |
uporabi za pošiljanje obiskovalcem, ki zahtevajo ogled spletne strani 2a. Podatkovni žeton T se skupaj z zahtevano vsebino spletne strani 2b pošlje npr.v obliki t.i. 'piškotka' (cookie) ali na drug ustrezen način.
Ko je spletna stran v celoti prikazana v brskalniku obiskovalca A, lahko brskalnik začne preverjati avtentičnost pečata in posledično celotne strani, da se obiskovalec A zaščiti pred morebitnimi zlorabami. V ta namen pošlje zahtevo za prikaz pečata 2c izdajatelju certifikata B. Zahtevi za prikaz pečata 2c je dodan tudi podatkovni žeton T, ki je bil sprejet hkrati z vsebino spletne strani 2b od prejemnika certifikata C. Izdajatelj certifikata B na osnovi takšne zahteve lahko preveri, ali je zahteva prišla za pravo domeno, pa tudi ali je ta domena na pravem IP naslovu.
Po preverjanju, ki ga ponazarja Slika 2, izdajatelj certifikata B vrne pečat zaupanja v obliki, ki ustreza rezultatu preverjanja, torej 'preverjeno' D ali 'nepreverjeno' E, kot to v eni različici simbolično prikazuje slika 3.
Preverjanje poteka v treh korakih. Naprej se preveri ali je žeton T sploh prisoten v zahtevi za prikaz pečata 2c. V naslednjem koraku se preveri ali je žeton T veljaven, kar se ugotavlja iz pričakovane oblike zapisa žetona T in vsebine zapisa. Veljavnost žetona T je časovno omejena, kar je zapisano tudi v vsebini žetona.
V zadnjem koraku se preveri še veljavnost IP naslova strežnika prejemnka certifikata C. Del vsebine žetona T so tudi:
- enoznačna oznaka prejemnka certifikata C,
- enoznačna oznaka domene za katero je certifikat veljaven,
- IP naslov strežnika prejemnka certifikata C, s katerega je bila podana zahteva lb za žeton T.
IP naslov iz žetona T se primerja z veljavnimi IP naslovi domene na kateri prejemnik certifikata C prikazuje svoje spletne strani. Seznam veljavnih IP naslovov (white-list) prijavi prejemnik certifikata C.
Da bi sistem zaščite deloval mora izdajatelj certifikata B izpolniti nekaj predpogojev:
- izdajatelj certifikatov B zaupanja mora razpolagati z ustreznim strežnikom, programsko opremo in podatkovno bazo 3, ki omogoča opisane transakcije;
- izdajatelj certifikatov B mora v podatkovno bazo 3 registrirati/ zapisati prejemnika certifikata C, njegove spletne domene, ki naj bodo zaščitene in seznam veljavnih IP naslovov za posamezno domeno (white-list);
- prejemnik certifikata C mora na domeno, ki ji pripada certifikat zaupanja namestiti program pečata in program za osveževanje žetona T, izdajatelja certifikata B.
skladno z navodili la
Claims (6)
- PATENTNI ZAHTEVKI1. Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova za varno uporabo interneta obiskovalca spletnih strani značilen po tem, da vključuj e:izdajatelja certifikatov (B), ki razpolaga z infrastrukturo, ki vsebuje najmanj računalniški strežnik z ustrezno programsko opremo, podatkovno bazo (3) in internetno povezavo, pri čemer se v bazo podatkov (3) vpiše prejemnike certifikatov (C), njihove spletne domene in veljavne IP naslove teh domen;prejemnika certifikatov (C) , ki razpolaga s spletno domeno nameščeno na strežnik, na katerem ima delujoče spletno mesto z eno ali več spletnimi stranmi, pri čemer se na spletno mesto namesti pečat po navodilih (la) izdajatelja certifikata (B) in programska koda, ki od strežnika izdajatelja certifikata (B) periodično zahteva (lb) podatkovni žeton (T).obiskovalca certifikata informacijo prej emnikaPostopek preverjanja verodostojnosti pečatov zaupanja na spletni strani prejemnika (C) značilen po tem, da se skupaj z zahtevo (
- 2c) za prikaz pečata iz delovne naprave (A) spletne strani pošlje izdajatelju (B) tudi podatkovni žeton (T), ki nosi o veljavnem IP naslovu spletnega mesta certifikatov (C), na osnovi katerega izdajatelj certifikatov (B) ugotovi veljavnost zahteve (2c) .
- 3. Postopek po zahtevku 2, značilen po tem, da se podatkovni žeton (T) prenese v delovno napravo obiskovalca (A) spletne strani hkrati z vsebino spletne strani (2b).
- 4. Postopek po zahtevku 2, značilen po tem, da se podatkovni žeton (T) periodično prenese iz strežnika izdajatelja certifikata (B) v strežnik prejemnika certifikata (C) s pomočjo programske kode, ki od strežnika izdajatelja certifikata (B) periodično zahteva (ib) podatkovni žeton (T) .
- 5. Postopek po predhodnih zahtevkih, značilen po tem, da se najprej preveri ali je žeton (T) sploh prisoten v zahtevi za prikaz pečata (2c); v naslednjem koraku se preveri ali je žeton (T) veljaven, kar se ugotavlja iz pričakovane oblike zapisa žetona (T) in vsebine zapisa; v zadnjem koraku se preveri še veljavnost IP naslova strežnika prejemnika certifikata (C), pri čemer se IP naslov iz žetona (T) primerja z veljavnimi IP naslovi domene na kateri prejemnik certifikata (C) prikazuje svoje spletne strani.
- 6. Postopek po predhodnih zahtevkih, značilen po tem, da je del vsebine žetona (T) enoznačna oznaka prejemnka certifikata (C), enoznačna oznaka domene za katero je certifikat veljaven in IP naslov strežnika prejemnka certifikata (C) , s katerega je bila podana zahteva (ib) za podatkovni žeton (T).
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SI201300194A SI24434A (sl) | 2013-07-17 | 2013-07-17 | Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova |
PCT/SI2014/000036 WO2015009247A1 (en) | 2013-07-17 | 2014-06-10 | System for granting web trust seals with detection of ip-address redirection attacks |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
SI201300194A SI24434A (sl) | 2013-07-17 | 2013-07-17 | Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova |
Publications (1)
Publication Number | Publication Date |
---|---|
SI24434A true SI24434A (sl) | 2015-01-30 |
Family
ID=51492420
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
SI201300194A SI24434A (sl) | 2013-07-17 | 2013-07-17 | Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova |
Country Status (2)
Country | Link |
---|---|
SI (1) | SI24434A (sl) |
WO (1) | WO2015009247A1 (sl) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11295301B1 (en) * | 2017-12-15 | 2022-04-05 | Worldpay, Llc | Systems and methods for electronic certification of e-commerce security badges |
CN110995848B (zh) * | 2019-12-10 | 2022-09-06 | 京东科技信息技术有限公司 | 一种服务治理方法、装置、系统、电子设备及存储介质 |
EP3687140B1 (en) * | 2020-04-07 | 2022-07-06 | CyberArk Software Ltd. | On-demand and proactive detection of application misconfiguration security threats |
US11032270B1 (en) | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20090043765A1 (en) * | 2004-08-20 | 2009-02-12 | Rhoderick John Kennedy Pugh | Server authentication |
JP4245014B2 (ja) | 2006-08-09 | 2009-03-25 | ソニー株式会社 | バックライト装置、光源装置、レンズ、電子機器及び導光板 |
US20080060054A1 (en) | 2006-09-05 | 2008-03-06 | Srivastava Manoj K | Method and system for dns-based anti-pharming |
US8397279B2 (en) * | 2006-09-07 | 2013-03-12 | Fazal Raheman | Method and system of network integrity via digital authorization (NIDA) for enhanced internet security |
US20090208020A1 (en) | 2008-02-15 | 2009-08-20 | Amiram Grynberg | Methods for Protecting from Pharming and Spyware Using an Enhanced Password Manager |
SI23779A (sl) * | 2011-06-28 | 2012-12-31 | Connet D.O.O. | Spletni pečati s podpisom obiskovalca spletne strani |
-
2013
- 2013-07-17 SI SI201300194A patent/SI24434A/sl not_active IP Right Cessation
-
2014
- 2014-06-10 WO PCT/SI2014/000036 patent/WO2015009247A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2015009247A1 (en) | 2015-01-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Li et al. | Analysing the Security of Google’s implementation of OpenID Connect | |
US8843516B2 (en) | Internet security | |
US9241004B1 (en) | Alteration of web documents for protection against web-injection attacks | |
Johns et al. | RequestRodeo: Client side protection against session riding | |
US7562222B2 (en) | System and method for authenticating entities to users | |
EP3095225B1 (en) | Redirect to inspection proxy using single-sign-on bootstrapping | |
Richer | Oauth 2.0 token introspection | |
Mao et al. | Defeating cross-site request forgery attacks with browser-enforced authenticity protection | |
US9021586B2 (en) | Apparatus and methods for preventing cross-site request forgery | |
US8667294B2 (en) | Apparatus and method for preventing falsification of client screen | |
Boniface et al. | Security analysis of subject access request procedures: How to authenticate data subjects safely when they request for their data | |
US8904521B2 (en) | Client-side prevention of cross-site request forgeries | |
JP2022545627A (ja) | 分散化されたデータ認証 | |
US20160164921A1 (en) | Service Channel Authentication Processing Hub | |
US9521138B2 (en) | System for domain control validation | |
US9178888B2 (en) | Method for domain control validation | |
JP2014500997A (ja) | ソフトウェア署名証明書評判モデル | |
CN102355469A (zh) | 在浏览器地址栏展示网站是否为可信验证的方法 | |
SI24434A (sl) | Sistem podeljevanja spletnih pečatov zaupanja z detekcijo napadov s preusmeritvijo IP naslova | |
CN102255894A (zh) | 网站信息验证方法、系统及解析服务器 | |
TWI397297B (zh) | 經由第三方位址中內植之登入式標記存取網路服務供應者之方法與系統 | |
KR100956452B1 (ko) | 피싱공격 방지 방법 | |
US20090094456A1 (en) | Method for protection against adulteration of web pages | |
JP6444344B2 (ja) | 認証サーバ、仲介サーバおよび広告配信サーバ | |
SI23779A (sl) | Spletni pečati s podpisom obiskovalca spletne strani |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OO00 | Grant of patent |
Effective date: 20150209 |
|
KO00 | Lapse of patent |
Effective date: 20180320 |