自动欺骗性数字证书检测的制作方法
【专利说明】
【背景技术】
[0001]随着计算技术的发展,计算机已经在人们生活中变得越来越普遍。当使用其计算机时,人们有时期望将机密或以其它方式具有隐私本性的信息传达给一个或多个其它设备。然而,在执行这样的通信时,用户典型地期望核实它们所通信的一个或多个其它设备实际上是由用户所信任的实体操作的。例如,如果用户在将他或她的信用卡号传达给另一设备以便购买产品,则用户典型地期望核实该另一设备实际上是由他或她信任的实体(例如从其购买产品的公司、信用卡处理公司等等)操作的。
[0002]其中可以执行这样的核实的一种方式是通过使用可以将加密密钥与特定实体相关联的数字证书。然而,恶意用户可以执行各种不同攻击以试图使用户接受欺骗性证书,从而导致用户与恶意用户所操作的设备通信并且将机密或以其它方式为隐私性的信息提供给恶意用户。当前计算机所存在的问题在于,用户难以在来自恶意用户的欺骗性证书与来自受信实体的合法证书之间进行区分。
【发明内容】
[0003]提供本
【发明内容】
以便以简化形式引入在以下【具体实施方式】中进一步描述的概念的选择。本
【发明内容】
不旨在标识所要求保护的主题的关键特征或必要特征,也不旨在用于限制所要求保护的主题的范围。
[0004]依照一个或多个方面,设备包括场所(site)证书映射仓库以及欺骗性证书检测模块。欺骗性证书检测模块被配置成从目标场所获取当前证书并且将当前证书与场所证书映射仓库中的目标场所的证书相比较。如果当前证书与场所证书映射仓库中的证书匹配,则当前证书被确定为真实的。如果当前证书与场所证书映射仓库中的证书不匹配,则从远程证书筛选服务获取用于目标场所的一个或多个确认证书,并且如果一个或多个确认证书与当前证书匹配,则分析当前证书的一个或多个特性以确定当前证书是否为欺骗性的。
[0005]依照一个或多个方面,在证书筛选服务处从多个证书监控系统接收用于多个场所的证书,所述多个证书监控系统中的每一个在物理上定位于不同地理区域中。从多个证书监控系统所接收的证书被存储。从计算设备接收针对多个场所中的目标场所的确认证书的请求。获取从多个证书监控系统所接收的目标场所的证书,并且将目标场所的证书的指示作为用于目标场所的一个或多个确认证书返回给计算设备。
【附图说明】
[0006]贯穿全部附图,使用相同标号来引用相同特征。
[0007]图1图示了依照一个或多个实施例的实现自动欺骗性数字证书检测的示例系统。
[0008]图2图示了依照一个或多个实施例的将场所标识符映射到用于场所的证书的示例记录。
[0009]图3是图示了依照一个或多个实施例的由证书筛选服务执行的示例过程的流程图。
[0010]图4图示了示出其中依照一个或多个实施例的当前证书与来自本地场所证书映射仓库的证书不匹配的情况的示例系统。
[0011]图5是图示了依照一个或多个实施例的用于自动检测欺骗性证书的示例过程的流程图。
[0012]图6图示了表示可以实现本文描述的各种技术的一个或多个系统和/或设备的示例系统。
【具体实施方式】
[0013]本文讨论了自动欺骗性数字证书检测。计算设备分析从各种不同场所接收到的数字证书(例如经由互联网或其它网络访问)以便自动检测欺骗性数字证书。计算设备维护其从这些各种不同场所接收到的数字证书的记录。从计算设备远程地且独立地操作的证书筛选服务也访问这些各种不同场所并且维护该服务从这些场所接收到的数字证书的记录。响应于访问目标场所的请求,计算设备从目标场所接收当前数字证书。计算设备将当前数字证书与之前从目标场所接收到的最后的数字证书相比较,并且确定当前数字证书与最后的数字证书是否匹配。该匹配可以基于各种信息,其范围从严格匹配到放松匹配,如下文所讨论的。如果当前和最后的数字证书匹配,则当前数字证书被确定为真实的。
[0014]然而,如果当前和最后的数字证书不匹配,则计算设备从证书筛选服务获取一个或多个确认数字证书。这些确认数字证书是证书筛选服务从各种不同场所接收到的并且在数字证书的记录中维护的证书。计算设备将当前数字证书与一个或多个确认数字证书相比较。如果当前数字证书与一个或多个确认数字证书不匹配,则当前数字证书被确定为欺骗性数字证书。另一方面,如果当前数字证书与一个或多个确认数字签名匹配,则分析数字证书和/或场所的附加特性以确定当前数字证书是真实的还是欺骗性的。
[0015]图1图示了依照一个或多个实施例的实现自动欺骗性数字证书检测的示例系统100。系统100包括可以经由网络108与一个或多个(m)场所104和证书筛选服务106通信的计算设备102。网络108可以是各种不同数据网络中的一个或多个,包括互联网、局域网(LAN)、电话网络、内联网、其它公共和/或私人网络、其组合等等。
[0016]计算设备102可以是各种不同类型的设备,诸如物理设备或虚拟设备。例如,计算设备102可以是物理设备,诸如台式计算机、服务器计算机、膝上型电脑或上网本电脑、平板电脑或笔记本电脑、移动站、娱乐器具、通信耦合到显示设备、电视或其它显示设备的机顶盒、蜂窝或其它无线电话、游戏控制台、机动车计算机等。计算设备102还可以是虚拟设备,诸如在物理设备上运行的虚拟机。虚拟机可以在任何各种不同类型的物理设备(例如以上所列出的任何各种类型)上运行。因而,计算设备102的范围可以从具有大量存储和处理器资源的全资源设备(例如个人计算机、游戏控制台)到具有有限存储器和/或处理资源的低资源设备(例如传统机顶盒、手持式游戏控制台)。
[0017]场所104是可以由计算设备102访问的各种不同设备或其它资源。场所104可以以各种方式来标识,诸如使用统一资源定位符(URL)或其它统一资源标识符(URI)。在一个或多个实施例中,场所104是经由互联网和/或其它数据网络访问的网页。在其它实施例中,场所104是其它资源,诸如在计算设备上运行的其它程序、存储设备、显示设备等。场所104可以使用各种不同计算或其它硬件设备来实现。类似于计算设备102的讨论,场所104可以使用范围从具有大量存储器和处理器资源的全资源设备到具有有限存储器和/或处理资源的低资源设备的设备来实现。
[0018]本文描述的技术讨论了数字证书,其还被简单地称为证书。证书标识加密密钥(典型地公共/隐私密钥对中的公共密钥)和特定实体,从而将加密密钥与特定实体相关联或相结合。如果证书被确定为真实的,如下文更详细地讨论的,则计算设备102可以假定证书中所标识的公共密钥与证书中所标识的特定实体相关联。证书还由受信管理机构数字签名,所述受信管理机构可以是证书管理机构。计算设备102典型地维护一个或多个受信管理机构的记录,并且可以通过核实证书已经由那些受信管理机构中的一个进行数字签名而核实证书没有被篡改(例如更改)。
[0019]在一些情况下,通过一个或多个附加证书直到由证书管理机构数字签名的根证书来使证书成链。例如,被称为末端证书的证书可以由具有相关联的证书的实体A进行数字签名,与实体A相关联的证书可以由具有相关联的证书的实体B数字签名,与实体B相关联的证书可以由具有相关联的证书的实体C数字签名,并且与实体C相关联的证书可以由具有相关联的证书(被称为根证书)的证书管理机构数字签名。与实体A,B和C相关联的证书被称为中间证书。如果证书链包括由计算设备102所信任的证书管理机构数字签名的根证书,则计算设备102核实该证书没有被篡改。
[0020]应当指出的是,即便可以核实证书没有被篡改,证书也可能仍旧是欺骗性证书。例如,恶意用户可能能够提供由计算设备102核实为没有被篡改的但是仍旧是欺骗性的证书。本文讨论的技术允许将欺骗性证书与真实证书自动地加以区分。真实证书是指将加密密钥与特定实体相关联的证书,向所述特定实体发布公共密钥或者以其他方式授权所述特定实体使用该加密密钥。欺骗性证书是指以非授权或欺骗性方式将加密密钥与实体相关联的证书。
[0021]计算设备102包括场所访问模块112、欺骗性证书检测模块114和场所证书映射仓库116。场所访问模块112访问特定场所104,诸如响应于来自计算设备102的用户的请求、来自计算设备102的另一组件或模块的请求等等。所访问的场所还被称为目标场所。
[0022]参照访问场所104以及从场所104接收场所标识符和证书来讨论本文讨论的自动欺骗性数字证书检测技术。应当指出的是,典型地与加密通信或者其中期望场所由特定实体操作的某种保证的其它情况相结合地使用证书。例如,证书典型地用于支持安全通信的场所,诸如实现安全套接层(SSL)协议的场所。可存在如下许多场所,其对于不期望场所由特定实体操作的某种保证的计算设备是可访问的以及其在被访问时不提供证书。这样的场所可以被欺骗性证书检测模块114忽略,并且不需要接收或维护这样的场所的场所标识符的记录。
[0023]欺骗性证书检测模块114维护场所证书映射仓库116,其是将场所标识符映射到用于场所104的证书的记录。映射仓库116可以使用各种类型的存储装置实现,诸如闪速存储器、磁盘、数据库等。欺骗性证书检测模块114使用映射仓库116来确定从场所104所接收的证书是真实的还是欺骗性的。欺骗性证书检测模块114还可以使用从证书筛选服务106接收到的确认证书和/或(例如从场所104所接收的证书的)附加特性来确定从该场所104所接收的证书是真实的还是欺骗性的,如在下文更详细地讨论的。
[0024]欺骗性证书检测模块114可以以各种不同方式来实现。在一个或多个实施例中,作为场所访问模块112的部分而包括模块114。例如,模块112可以是网络浏览器并且模块114可以是网络浏览器的插件或扩展模块。可替换地,模块114可以以其它方式实现,诸如作为计算设备102的证书信任核实系统的部分而包括、作为计算设备102的操作系统的部分而包括、作为计算设备102的网络爬虫或搜索引擎的部分而包括、作为计算设备102上的独立可执行或可编译程序等等。
[0025]场所证书映射仓库116维护将场所标识符映射到用于场所104的证书的记录。在每一次由场所访问模块112访问场所104时(例如在每一次将请求发送给场所104时),由场所104将场所标识符和证书返回给场所访问模块112。映射仓库116维护映射从各种场所104所接收的证书的记录。在一个或多个实施例中,在每一次从特定场所104接收到证书时,将该证书的指示记录在映射仓库116中。针对特定场所接收到的证书可以记录在映射仓库116中,而不管证书是真实的还是欺骗性的,或者可替换地,针对特定场所接收到的证书可以仅在证书为真实的情况下才记录在映射仓库116中。
[0026]场所证书映射仓库116可以使用各种不同标识符来标识场所104。允许将场所104彼此区分开的任何各种不同标识符可以被用作场所104的标识符。在一个或多个实施例中,场所104的标识符是场所104的域名服务(DNS)名称以及与场所104相关联的一个或多个网络地址(例如互联网协议(IP)地址)的集合。可替换地,场所104可以以其它方式来标识,诸如仅使用场所104的DNS名称、仅使用与场所104