一种监测展示劫持的方法和装置的制造方法

一种监测展示劫持的方法和装置的制造方法
【技术领域】
[0001]本申请涉及计算机技术领域，尤其涉及一种监测展示劫持的方法和装置。
【背景技术】
[0002]随着计算机技术、互联网技术的快速发展，越来越多人喜欢并习惯了新兴的交易方式，例如:手机支付、网银转账等快捷的交易方式，在给人们生活带来极大便利的同时，也暴露出了大量的信息安全问题，一些非法分子利用计算机技术和互联网技术，在用户毫无察觉的情况下对用户的交易过程进行攻击，使用户遭受巨大的经济利益损失。
[0003]现有技术中，常见的攻击方式为展示劫持类攻击，所谓展示劫持，顾名思义，是攻击方通过修改对用户的展示信息来误导用户，令用户或其他人在业务进行中遭受损失。例如:用户A转账给用户B，攻击者在交易过程中篡改为转账给用户C，系统在显示交易信息时，攻击者通过注入、图层覆盖等方式，使得用户看到的显示信息仍然显示转账给用户B，并无法察觉，此时用户若确认信息并输入所需校验(如输入密码)后完成交易，将蒙受损失。
[0004]从技术角度来看，用户通过终端或客户端，如自动柜员机(Automated TellerMachine，ATM)、销售终端(Point ofsales, P0S)等，向服务器发起交易请求后，在完成最终交易前，通常需要用户在终端确认交易信息，用户如果发现信息不正确则可拒绝交易进行，而这种情况下，攻击者可以通过在通讯过程篡改需用户确认的交易信息(例如通过中间人攻击、注入等方式，修改服务器发送的交易确认信息)，或者在终端展示信息时篡改显示的信息(例如通过程序动态注入、图层覆盖等方式来修改展示信息)，达到劫持展示，骗取用户确认的目的。毫无疑问，恶意的展示劫持行为会给互联网系统带来极大的安全隐患，如何有效的监测或者说识别展示劫持是一个亟需解决的技术问题。

【发明内容】

[0005]本申请实施例提供一种监测展示劫持的方法和装置，用以解决现有技术中用户因展示信息被劫持而在交易中蒙受损失的问题。
[0006]本申请实施例提供的一种监测展示劫持的方法，包括:
[0007]接收服务器发送的信息并展示；
[0008]获取当前展示的信息；
[0009]判断当前展示的信息与接收到的信息是否相同；
[0010]若是，则确定未受到展示劫持；
[0011]否则，确定受到展示劫持。
[0012]进一步地，获取当前展示的信息，具体包括:
[0013]获取当前展示的信息的文本内容；
[0014]判断当前展示的信息与接收到的信息是否相同，具体包括:
[0015]判断当前展示的信息的文本内容与接收到的信息的文本内容是否相同。
[0016]进一步地，获取当前展示的信息，具体包括:
[0017]抓取当前展示的信息图像；
[0018]从所述信息图像中获取当前展示的信息的文本内容；
[0019]判断当前展示的信息与接收到的信息是否相同，具体包括:
[0020]判断当前展示的信息的文本内容与接收到的信息的文本内容是否相同。
[0021]进一步地，从所述信息图像中获取当前展示的信息的文本内容，具体包括:
[0022]通过图文转换的方式，从所述信息图像中获取当前展示的信息的文本内容。
[0023]进一步地，接收服务器发送的信息并展示，具体包括:
[0024]接收服务器发送的信息和签名；
[0025]对所述签名进行验证；
[0026]在验证通过时，对接收到的信息进行展示。
[0027]本申请还提供一种监测展示劫持的装置，包括:
[0028]接收模块，用于接收服务器发送的信息；
[0029]显示模块，用于展示接收到的信息；及
[0030]检查模块，用于检查显示模块当前所展示的信息与接收模块接收到的信息是否相同。
[0031]进一步地，所述检查模块内设有文本检查单元，用于获取当前所展示的信息中的文本内容，并判断该文本内容与接收模块接收到的信息的文本内容是否相同。
[0032]进一步地，所述检查模块内设有图像检查单元，用于抓取当前所展示的信息中的图像，并判断该图像中含有的文本内容与接收模块接收到的信息的文本内容是否相同。
[0033]进一步地，所述图像检查单元内含图文转换模块，用于从当前所展示的图像中获取文本内容。
[0034]进一步地，所述接收模块还用于接收自服务器发出的针对所发送信息的签名。
[0035]进一步地，所述装置还包括:
[0036]签名模块，用于对接收模块接收到的信息进行签名；及
[0037]校验模块，用于校验该签名与所述服务器发出的签名是否一致。
[0038]本申请所述的监测展示劫持的方法和装置，采用屏幕检查的方式，将当前展示的信息内容与服务器发送的信息内容进行比对，从而判断信息在展示过程中是否被篡改，能及时有效地监测展示劫持情况的发生，进而提高系统的安全性。
【附图说明】
[0039]此处所说明的附图用来提供对本申请的进一步理解，构成本申请的一部分，本申请的示意性实施例及其说明用于解释本申请，并不构成对本申请的不当限定。在附图中:
[0040]图1为本申请所述的一种监测展示劫持的方法的流程图；
[0041]图2为本申请所述的一种监测展示劫持的装置的架构图；
[0042]图3为采用本申请监测展示劫持的方法的交易过程；
[0043]图4为本申请所述监测展示劫持的方法的在具体交易应用中的示意图。
【具体实施方式】
[0044]为使本申请的目的、技术方案和优点更加清楚，下面将结合本申请具体实施例及相应的附图对本申请技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。
[0045]如图1所示，本申请提供一种监测展示劫持的方法，其包括:接收服务器发送的信息并展示；获取当前展示的信息；判断当前展示的信息与接收到的信息是否相同；若是，则确定未受到展示劫持；否则，确定受到展示劫持。在本申请较佳实施例中，其具体过程如下:
[0046]所述接收服务器发送的信息并展示的过程，是由客户端接收来自服务器的信息。所述客户端在接收到信息后，通过屏幕展示技术，将接收到的信息进行展示。由于展示的过程中，容易发生展示劫持，导致所展示出的信息与客户端最初接收到的信息不同，因此，本申请采用屏幕检查技术，即通过获取当前屏幕所展示的信息，将该信息与客户端所接收到的信息进行比较，看两者是否相同，以此来判断展示是否被劫持。
[0047]当然，为了更进一步地防止展示劫持的发生，增加信息的保密性，本申请较佳实施例中，所述服务器采用数字签名方式对其所发送的信息进行签名，所述签名为服务器利用某种算法对其所发送信息进行运算而得到的摘要，该摘要(即签名)随同信息一并从服务器发送至客户端中。客户端在收到信息后还需要对所述签名进行校验，以防止服务器发送的信息在传输过程中被篡改，客户端若能校验签名通过，则表明服务器发送的信息在传输至客户端的过程中未被篡改，相反，若校验未通过，则表明发生了篡改，此时，将无法进行下一步操作，以此来保证整个过程的安全性。
[0048]另外，基于上述方法，本申请还提供了一种监测展示劫持的装置，如图2所示，该装置包括如下模块:接收模块101、显示模块102及检查模块103。
[0049]所述接收模块101，用于接收从服务器发送的信息，当然，在较佳实施例中，所述服务器发送的信息为服务器签名后的信息，其同时包含所述发送信息及该信息的签名。
[0050]所述显示模块102，用于展示所述接收模块101所接收到的信息。
[0051]所述检查模块103，用于检查显示模块102当前所展示的信息与接收模块101接收到的信息是否相同，由此来判断显示模块102所展示的信息是否是真实的、未被篡改过的。所述检查模块103内设有文本检查单元1031及图像检查单元1032，所述文本检查单元1031用于获取当前所展示的信息中的文本内容，并判断该文本内容与接收模块接收到的信息的文本内容是否相同；所述图像检查单元1032用于获取当前所展示的信息中的图像，并判断该图像中含有的文本内容与接收模块接收到的信息的文本内容是否相同，在较佳实施例中，所述图像检查单元1032内设有图文转换模块，用于将图像中的内容转换成文本内容，且检查模块103的检查过程为周期性的循环检查；所述图像检查单元1032还可用于抓取当前所展示的信息图像，从所述信息图像中获取当前所展示的图像的属性，并判断该属性与预设的可信图像的属性是否相同