本發(fā)明實(shí)施例涉及計(jì)算機(jī)領(lǐng)域,尤其涉及一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法和裝置。
背景技術(shù):
當(dāng)前,國(guó)內(nèi)金融網(wǎng)站針對(duì)用戶在支付網(wǎng)站上輸入的敏感信息的保護(hù)多以用戶安裝安全控件的形式提供服務(wù)。該安全控件是以瀏覽器activex插件或者npapi(netscapepluginapplicationprogramminginterface,網(wǎng)景插件應(yīng)用程序編程接口)插件的模式存在,通過(guò)對(duì)操作系統(tǒng)鍵盤(pán)api(applicationprogramminginterface,應(yīng)用程序編程接口)的調(diào)用來(lái)實(shí)現(xiàn)對(duì)用戶在支付網(wǎng)站上輸入的敏感信息的保護(hù)。
現(xiàn)有技術(shù)中,例如在專利cn200410062399.2中,該專利需要用戶下載并安裝安全控件,在用戶輸入敏感信息的過(guò)程中安全控件模擬鍵盤(pán)擊鍵產(chǎn)生隨機(jī)干擾信息形成混合信息,同時(shí)安全控件記錄隨機(jī)干擾信息,安全控件基于所記錄的隨機(jī)干擾信息對(duì)混合信息進(jìn)行過(guò)濾,將真實(shí)的敏感信息傳遞給應(yīng)用程序,實(shí)現(xiàn)對(duì)用戶的敏感信息的保護(hù)。但是,通過(guò)安全控件的形式實(shí)現(xiàn)對(duì)用戶敏感信息的保護(hù)的方法,存在以下問(wèn)題:(1)安全控件使用的是瀏覽器activex插件或者npapi插件,但是目前微軟edge瀏覽器已經(jīng)放棄對(duì)activex插件的支持、chrome(45版本之后)瀏覽器也已放棄對(duì)npapi插件的支持、其它如firefox等瀏覽器也淘汰了npapi插件;(2)安全插件的防護(hù)原理偏應(yīng)用層,安全控件使用的是操作系統(tǒng)鍵盤(pán)api來(lái)提供服務(wù),優(yōu)先級(jí)不夠高,當(dāng)有惡意軟件如鍵盤(pán)、屏顯、瀏覽器流量等截取時(shí),安全控件的防護(hù)功能大打折扣;(3)安全控件對(duì)用戶的敏感信息的加密一般都通過(guò)瀏覽器腳本來(lái)進(jìn)行,效率較低,在實(shí)現(xiàn)較高安全標(biāo)準(zhǔn)加密時(shí)影響用戶體驗(yàn)。
綜上所述,現(xiàn)有技術(shù)通過(guò)安全控件的形式對(duì)用戶鍵盤(pán)輸入的敏感信息的保護(hù)的方法存在該方法適用的范圍不夠廣泛、惡意軟件容易截取用戶的敏感信息、對(duì)敏感信息的加密效率不夠高的問(wèn)題,因此,需要提出有效的方法來(lái)解決上述問(wèn)題。
技術(shù)實(shí)現(xiàn)要素:
本發(fā)明實(shí)施例提供一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法和裝置,用以解決現(xiàn)有技術(shù)中通過(guò)安全控件的形式對(duì)用戶鍵盤(pán)輸入的敏感信息的保護(hù)的方法存在該方法適用的范圍不夠廣泛、惡意軟件容易截取用戶的敏感信息、對(duì)敏感信息的加密效率不夠高的問(wèn)題。
本發(fā)明實(shí)施例提供一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法,包括:
在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;
在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;
將加密后的敏感信息加載到代理的訪問(wèn)流量中;
將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。
可選地,獲取用戶輸入的敏感信息,包括:
在檢測(cè)到預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活后,從操作系統(tǒng)層獲取用戶輸入的敏感信息,其中,檢測(cè)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活是通過(guò)識(shí)別訪問(wèn)流量中的第一設(shè)定標(biāo)識(shí)位檢測(cè)的,第一設(shè)定標(biāo)識(shí)位是使用頁(yè)面腳本發(fā)送訪問(wèn)流量并在訪問(wèn)流量中加入的;
將敏感信息替換為特殊符號(hào),并將特殊符號(hào)發(fā)送給瀏覽器。
可選地,監(jiān)測(cè)到用戶對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為,包括:
對(duì)內(nèi)存進(jìn)程輪詢監(jiān)控以確定是否啟動(dòng)瀏覽器;
在確定啟動(dòng)瀏覽器后,對(duì)訪問(wèn)流量進(jìn)行分析以識(shí)別出對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為。
可選地,將加密后的敏感信息加載到代理的訪問(wèn)流量中,包括:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中。
可選地,將加密后的敏感信息加載到代理的訪問(wèn)流量中,包括:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作后,識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位;第二設(shè)定標(biāo)識(shí)位是預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入的。
本發(fā)明實(shí)施例還提供一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)裝置,包括:
代理單元:用于在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;
加密單元:用于在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;
加載單元:用于將加密后的敏感信息加載到代理的訪問(wèn)流量中;
發(fā)送單元:用于將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。
可選地,加密單元還用于:
在檢測(cè)到預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活后,從操作系統(tǒng)層獲取用戶輸入的敏感信息,其中,檢測(cè)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活是通過(guò)識(shí)別訪問(wèn)流量中的第一設(shè)定標(biāo)識(shí)位檢測(cè)的,第一設(shè)定標(biāo)識(shí)位是使用頁(yè)面腳本發(fā)送訪問(wèn)流量并在訪問(wèn)流量中加入的;
將敏感信息替換為特殊符號(hào),并將特殊符號(hào)發(fā)送給瀏覽器。
可選地,代理單元還用于:
對(duì)內(nèi)存進(jìn)程輪詢監(jiān)控以確定是否啟動(dòng)瀏覽器;
在確定啟動(dòng)瀏覽器后,對(duì)訪問(wèn)流量進(jìn)行分析以識(shí)別出對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為。
可選地,加載單元具體用于:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中。
可選地,加載單元具體還用于:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作后,識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位;第二設(shè)定標(biāo)識(shí)位是預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入的。
本發(fā)明實(shí)施例中提供了一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法和裝置,在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;將加密后的敏感信息加載到代理的訪問(wèn)流量中;將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。本發(fā)明實(shí)施例中首先在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,實(shí)現(xiàn)了以系統(tǒng)進(jìn)程服務(wù)的形式進(jìn)行工作,避免了現(xiàn)有技術(shù)中部分瀏覽器對(duì)插件不支持的問(wèn)題;然后在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,將加密后的敏感信息加載到代理的訪問(wèn)流量中,其中,預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的,這樣一方面避免了像現(xiàn)有技術(shù)中當(dāng)用戶輸入敏感信息后,在將敏感信息由操作系統(tǒng)發(fā)送給瀏覽器的過(guò)程中,即在操作系統(tǒng)與瀏覽器之間容易被惡意軟件如鍵盤(pán)截取用戶的敏感信息,而本發(fā)明在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,并將加密后的敏感信息加載到代理的訪問(wèn)流量中,可以避免用戶敏感信息被惡意軟件攻擊并被篡改的風(fēng)險(xiǎn),提高了用戶敏感信息的安全性,另一方面,傳統(tǒng)的方法采用瀏覽器腳本加密的方式對(duì)用戶輸入的敏感信息進(jìn)行加密,加密的效率較低,而采用在系統(tǒng)進(jìn)程中對(duì)用戶輸入的敏感信息進(jìn)行加密,效率更高;最后將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器,完成用戶在預(yù)設(shè)網(wǎng)站上的操作,使得密碼獲取、加密、加載的整個(gè)過(guò)程都在系統(tǒng)后臺(tái)完成,這樣會(huì)避免如屏顯截取、瀏覽器流量截取類等惡意軟件截取敏感信息。
附圖說(shuō)明
為了更清楚地說(shuō)明本發(fā)明實(shí)施例中的技術(shù)方案,下面將對(duì)實(shí)施例描述中所需要使用的附圖作簡(jiǎn)要介紹。
圖1為本發(fā)明實(shí)施例提供了一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法流程示意圖;
圖2為本發(fā)明實(shí)施例提供了本發(fā)明的整體方法流程圖;
圖3為本發(fā)明實(shí)施例提供的現(xiàn)有技術(shù)中敏感信息被惡意軟件截取的結(jié)構(gòu)示意圖;
圖4為本發(fā)明實(shí)施例提供的整體系統(tǒng)流程示意圖;
圖5為本發(fā)明實(shí)施例提供了一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)裝置結(jié)構(gòu)示意圖。
具體實(shí)施方式
為了使本發(fā)明的目的、技術(shù)方案及有益效果更加清楚明白,以下結(jié)合附圖及實(shí)施例,對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說(shuō)明。應(yīng)當(dāng)理解,此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明,并不用于限定本發(fā)明。
應(yīng)理解,本發(fā)明實(shí)施例的技術(shù)方案可以應(yīng)用于用戶在各種預(yù)設(shè)網(wǎng)站上進(jìn)行操作的時(shí)候?qū)τ脩裘舾行畔⒌谋Wo(hù),其中,預(yù)設(shè)網(wǎng)站可以是預(yù)設(shè)的支付網(wǎng)站,如銀聯(lián)、工行、農(nóng)行等,只要是各個(gè)銀行支持的都可以,用戶在各種預(yù)設(shè)網(wǎng)站上進(jìn)行操作可以是登錄或者支付等操作,用戶敏感信息可以是卡號(hào)、密碼等。本發(fā)明主要針對(duì)pc(personalcomputer,個(gè)人計(jì)算機(jī))端。
實(shí)施本發(fā)明的技術(shù)方案的一個(gè)前提是:用戶在電腦上安裝敏感信息保護(hù)系統(tǒng),該系統(tǒng)在操作系統(tǒng)后臺(tái)開(kāi)啟進(jìn)程,并隨電腦的開(kāi)機(jī)而啟動(dòng),提供持續(xù)的保護(hù)服務(wù)。
圖1示例性示出了本發(fā)明實(shí)施例提供的一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法流程示意圖,如圖1所示,包括以下步驟:
s101:在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;
s102:在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;
s103:將加密后的敏感信息加載到代理的訪問(wèn)流量中;
s104:將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。
s101中,在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量。在具體實(shí)施中,代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量之前,還包括:對(duì)內(nèi)存進(jìn)程輪詢監(jiān)控以確定是否啟動(dòng)瀏覽器;在確定啟動(dòng)瀏覽器后,對(duì)訪問(wèn)流量進(jìn)行分析以識(shí)別出對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為。具體來(lái)說(shuō),敏感信息保護(hù)系統(tǒng)對(duì)用戶的內(nèi)存進(jìn)程實(shí)行輪詢監(jiān)控,確定出用戶開(kāi)啟瀏覽器的行為,因?yàn)樵诰唧w實(shí)施中用戶可能進(jìn)行了多種行為,比如開(kāi)啟瀏覽器、打開(kāi)文件等,那么,需要對(duì)用戶進(jìn)行的多種行為進(jìn)行輪詢監(jiān)控,對(duì)用戶開(kāi)啟瀏覽器的動(dòng)作進(jìn)行識(shí)別,以確定出用戶開(kāi)啟瀏覽器的行為,其中,瀏覽器可以是常見(jiàn)的瀏覽器如iexplore、chrome、firefox。在確定出用戶開(kāi)啟瀏覽器的行為后,對(duì)用戶訪問(wèn)流量進(jìn)行分析,判斷用戶打開(kāi)的是否是預(yù)設(shè)的支付網(wǎng)站,也就是識(shí)別出用戶對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為,其中,在具體實(shí)施中,判斷用戶打開(kāi)的是否是預(yù)設(shè)的支付網(wǎng)站可以采取瀏覽器如chrome的頁(yè)面標(biāo)簽title值的方法、預(yù)設(shè)的支付網(wǎng)站可以存于列表中,比如,頁(yè)面標(biāo)簽title值為‘銀聯(lián)’,假如銀聯(lián)剛好在存放的預(yù)設(shè)支付網(wǎng)站列表中,那么,用戶打開(kāi)的是預(yù)設(shè)的支付網(wǎng)站,這時(shí)就對(duì)用戶在該支付網(wǎng)站的訪問(wèn)流量進(jìn)行代理。其中,在具體實(shí)施中,對(duì)用戶在預(yù)設(shè)支付網(wǎng)站上的訪問(wèn)流量可以使用底層網(wǎng)絡(luò)接口或網(wǎng)卡驅(qū)動(dòng)層接口進(jìn)行代理。在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,說(shuō)明本發(fā)明采用的方法是以進(jìn)程服務(wù)的形式來(lái)工作的,而不依賴插件,可以在瀏覽器不支持插件的情況下正常使用,避免插件在部分瀏覽器上不能正常使用的問(wèn)題。
s102中,在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的。具體來(lái)說(shuō),用戶在鍵盤(pán)輸入敏感信息后,對(duì)用戶的敏感信息進(jìn)行加密。在具體實(shí)施中,加密機(jī)制是使用公鑰對(duì)用戶的敏感信息進(jìn)行非對(duì)稱加密,其中,預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的。
可選地,獲取用戶輸入的敏感信息,包括:
在檢測(cè)到預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活后,從操作系統(tǒng)層獲取用戶輸入的敏感信息,其中,檢測(cè)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活是通過(guò)識(shí)別訪問(wèn)流量中的第一設(shè)定標(biāo)識(shí)位檢測(cè)的,第一設(shè)定標(biāo)識(shí)位是使用頁(yè)面腳本發(fā)送訪問(wèn)流量并在訪問(wèn)流量中加入的;將敏感信息替換為特殊符號(hào),并將特殊符號(hào)發(fā)送給瀏覽器。具體實(shí)施中,檢測(cè)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活的方法可以使用頁(yè)面腳本發(fā)送訪問(wèn)流量并在流量中加入第一設(shè)定標(biāo)識(shí)位,由敏感信息保護(hù)系統(tǒng)對(duì)流量分析時(shí)進(jìn)行識(shí)別的方法。當(dāng)檢測(cè)到預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活后,從操作系統(tǒng)層獲取用戶輸入的敏感信息,具體實(shí)施中,可以采用中斷技術(shù)和驅(qū)動(dòng)技術(shù)從操作層獲取用戶輸入的敏感信息,本發(fā)明的技術(shù)方案采用中斷技術(shù)和驅(qū)動(dòng)技術(shù)更接近系統(tǒng)底層,所以優(yōu)先級(jí)更高于一般的程序,因而能夠?qū)崿F(xiàn)更可靠的安全保護(hù)。將獲取的敏感信息替換為特殊符號(hào),其中,特殊符號(hào)比如可以為*字符,將特殊符號(hào)反饋給操作系統(tǒng),由操作系統(tǒng)將特殊符號(hào)再發(fā)送給瀏覽器,并在頁(yè)面上顯示出來(lái),這樣顯示出來(lái)的敏感信息以特殊符號(hào)替換了,顯示的敏感信息并不是真實(shí)的信息,即使屏顯截取、瀏覽器流量惡意軟件截取的敏感信息也不是真實(shí)的,保證了不泄露用戶真實(shí)輸入的敏感信息的內(nèi)容。
由此可以看出,當(dāng)用戶在鍵盤(pán)輸入敏感信息后,敏感信息保護(hù)系統(tǒng)作了兩個(gè)工作,其一,對(duì)從操作系統(tǒng)層獲取的敏感信息進(jìn)行加密,這樣避免了在操作系統(tǒng)層與瀏覽器即高層之間容易被惡意軟件進(jìn)行鍵盤(pán)截取敏感信息的問(wèn)題,其二,對(duì)獲取的敏感信息以特殊符號(hào)替換,發(fā)送給瀏覽器,回顯在頁(yè)面上,這樣避免了被惡意軟件進(jìn)行屏顯截取和瀏覽器流量截取敏感信息的問(wèn)題,即使被惡意軟件進(jìn)行屏顯截取和瀏覽器流量截取敏感信息,截取的敏感信息也不是真實(shí)的敏感信息。
s103中,將加密后的敏感信息加載到代理的訪問(wèn)流量中,包括:在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中。具體來(lái)說(shuō),對(duì)用戶的訪問(wèn)流量進(jìn)行分析,識(shí)別用戶在預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作,當(dāng)識(shí)別出用戶針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中。具體實(shí)施中,對(duì)識(shí)別用戶在預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),可以是用戶在鍵盤(pán)輸入完畢,點(diǎn)擊登錄或支付等按鈕將動(dòng)作進(jìn)行提交時(shí)。
可選地,將加密后的敏感信息加載到代理的訪問(wèn)流量中,包括:在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作后,識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位;第二設(shè)定標(biāo)識(shí)位是預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入的。具體來(lái)說(shuō),在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作后,預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入第二設(shè)定標(biāo)識(shí)位,敏感信息保護(hù)系統(tǒng)獲取對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位。其中,第二設(shè)定標(biāo)識(shí)位在具體實(shí)施中可以是#,比如,當(dāng)用戶點(diǎn)擊在預(yù)設(shè)支付網(wǎng)站登錄或支付等按鈕動(dòng)作進(jìn)行提交時(shí),預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入第二設(shè)定標(biāo)識(shí)位,假設(shè)為:用戶名:某某;密碼:###;,敏感信息保護(hù)系統(tǒng)獲取對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位#并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位。
s104中,將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。具體來(lái)說(shuō),將替換掉設(shè)定標(biāo)識(shí)位的加密的敏感信息加載到訪問(wèn)流量中,并將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器,預(yù)設(shè)網(wǎng)站的服務(wù)器對(duì)接受的訪問(wèn)流量進(jìn)行解密,完成用戶在預(yù)設(shè)支付網(wǎng)站的登錄或者支付等操作,其中,在具體實(shí)施中,預(yù)設(shè)網(wǎng)站的服務(wù)器對(duì)接受的訪問(wèn)流量使用服務(wù)器私鑰進(jìn)行解密。將加載加密的敏感信息的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器,進(jìn)一步保證用戶敏感信息的安全性。
為了更好的理解本發(fā)明技術(shù)方案,圖2示例性地示出了本發(fā)明的整體方法流程圖,如圖2所示:
s201:開(kāi)始;
s202:敏感信息保護(hù)系統(tǒng)開(kāi)啟后臺(tái)進(jìn)程;
s203:對(duì)用戶內(nèi)存進(jìn)程輪詢監(jiān)控,確定用戶開(kāi)啟瀏覽器;
s204:判斷用戶是否打開(kāi)預(yù)設(shè)網(wǎng)站,若是,則執(zhí)行s205,否則,則執(zhí)行s203;
s205:代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;
s206:判斷用戶是否激活預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框,若是,則執(zhí)行s207,否則,則執(zhí)行s205;
s207:接管用戶的鍵盤(pán)輸入、獲取用戶輸入的敏感信息;
s208:對(duì)獲取的用戶輸入的敏感信息進(jìn)行加密;
s209:將加密后的敏感信息加載到代理的訪問(wèn)流量中;
s210:將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器;
s211:結(jié)束。
現(xiàn)有技術(shù)中,存在的問(wèn)題是:當(dāng)用戶在鍵盤(pán)輸入完敏感信息后,由操作系統(tǒng)將敏感信息發(fā)送給瀏覽器,瀏覽器再將敏感信息發(fā)送給服務(wù)器,而在操作系統(tǒng)與瀏覽器之間容易被惡意軟件諸如鍵盤(pán)截取將用戶輸入的敏感信息截取,從而造成用戶敏感信息的不安全,進(jìn)而可能會(huì)引起用戶的經(jīng)濟(jì)損失,為了更清楚地看出現(xiàn)有技術(shù)中存在的問(wèn)題,圖3示例性地示出了現(xiàn)有技術(shù)中敏感信息被惡意軟件截取的結(jié)構(gòu)示意圖,如圖3所示,在圖3中,用戶在鍵盤(pán)輸入敏感信息,將敏感信息發(fā)送操作系統(tǒng),操作系統(tǒng)將敏感信息發(fā)送給瀏覽器,瀏覽器發(fā)送給服務(wù)器,在操作系統(tǒng)與瀏覽器之間被惡意軟件將敏感信息進(jìn)行截取。
與現(xiàn)有技術(shù)相比,為了更好地突出本發(fā)明的優(yōu)勢(shì),圖4示例性地示出了本發(fā)明的整體系統(tǒng)流程示意圖,如圖4所示,在圖4中,用戶在鍵盤(pán)輸入敏感信息,敏感信息保護(hù)系統(tǒng)在操作系統(tǒng)獲取用戶輸入的敏感信息一方面對(duì)獲取的敏感信息進(jìn)行加密,另一方面對(duì)獲取的敏感信息以特殊符號(hào)替換,將替換后的敏感信息發(fā)送給瀏覽器;當(dāng)用戶打開(kāi)預(yù)設(shè)的支付網(wǎng)站時(shí),對(duì)用戶在該支付網(wǎng)站的訪問(wèn)流量進(jìn)行代理,當(dāng)識(shí)別出用戶在該支付網(wǎng)站點(diǎn)擊登錄或支付按鈕動(dòng)作進(jìn)行提交時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中,將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。
綜上所述,與現(xiàn)有技術(shù)相比,本發(fā)明的技術(shù)方案中,第一,采用系統(tǒng)進(jìn)程服務(wù)的形式進(jìn)行工作,解決了在部分版本瀏覽器對(duì)傳統(tǒng)插件不支持的問(wèn)題。傳統(tǒng)的方法保護(hù)用戶敏感信息輸入的安全控件使用的是activex(一般ie內(nèi)核瀏覽器)和npapi(一般非ie內(nèi)核瀏覽器)插件的模式來(lái)提供服務(wù)。但是目前microsoftedge瀏覽器已經(jīng)放棄對(duì)activex插件的支持,而chrome(45版本之后)瀏覽器也已經(jīng)放棄對(duì)npapi插件的支持。而同時(shí)firefox等其它瀏覽器也提出了淘汰npapi插件的計(jì)劃。在這種情況下,傳統(tǒng)的安全控件將不能正常使用,而本提案方法使用操作系統(tǒng)進(jìn)程服務(wù)的形式進(jìn)行工作,而不依賴瀏覽器插件,可以在瀏覽器不支持activex和npapi插件的情況下正常使用。第二,使用操作系統(tǒng)底層的中斷技術(shù)和驅(qū)動(dòng)技術(shù),保證用戶輸入的敏感信息不被惡意軟件截取。由于該技術(shù)則更接近操作系統(tǒng)底層,優(yōu)先級(jí)高于一般的程序,因而能夠?qū)崿F(xiàn)更可靠的安全保護(hù)。第三,使用訪問(wèn)流量代理技術(shù),將用戶與預(yù)設(shè)網(wǎng)站的訪問(wèn)流量進(jìn)行代理保護(hù),安全性更高。第四,對(duì)用戶與支付網(wǎng)站的流量進(jìn)行流量代理,從而進(jìn)行分析、監(jiān)控和處理,避免了用戶瀏覽器流量被惡意軟件攻擊而被篡改信息等風(fēng)險(xiǎn),安全性更高。第五,采用在系統(tǒng)進(jìn)程中對(duì)用戶敏感信息輸入進(jìn)行非對(duì)稱加密的方案,效率更高。一般的支付網(wǎng)站采取利用頁(yè)面javascript腳本對(duì)用戶敏感信息輸入進(jìn)行非對(duì)稱加密的方案,但是由于瀏覽器javascript腳本性能的限制,加密效率較低。而本發(fā)明的方法將這一加密過(guò)程在操作系統(tǒng)進(jìn)程中完成,效率更高。
本發(fā)明實(shí)施例中提供了一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)方法,在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;將加密后的敏感信息加載到代理的訪問(wèn)流量中;將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。本發(fā)明實(shí)施例中首先在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,實(shí)現(xiàn)了以系統(tǒng)進(jìn)程服務(wù)的形式進(jìn)行工作,避免了現(xiàn)有技術(shù)中部分瀏覽器對(duì)插件不支持的問(wèn)題;然后在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,將加密后的敏感信息加載到代理的訪問(wèn)流量中,其中,預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的,這樣一方面避免了像現(xiàn)有技術(shù)中當(dāng)用戶輸入敏感信息后,在將敏感信息由操作系統(tǒng)發(fā)送給瀏覽器的過(guò)程中,即在操作系統(tǒng)與瀏覽器之間容易被惡意軟件如鍵盤(pán)截取用戶的敏感信息,而本發(fā)明在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,并將加密后的敏感信息加載到代理的訪問(wèn)流量中,可以避免用戶敏感信息被惡意軟件攻擊并被篡改的風(fēng)險(xiǎn),提高了用戶敏感信息的安全性,另一方面,傳統(tǒng)的方法采用瀏覽器腳本加密的方式對(duì)用戶輸入的敏感信息進(jìn)行加密,加密的效率較低,而采用在系統(tǒng)進(jìn)程中對(duì)用戶輸入的敏感信息進(jìn)行加密,效率更高;最后將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器,完成用戶在預(yù)設(shè)網(wǎng)站上的操作,使得密碼獲取、加密、加載的整個(gè)過(guò)程都在系統(tǒng)后臺(tái)完成,這樣會(huì)避免如屏顯截取、瀏覽器流量截取類等惡意軟件截取敏感信息。
基于相同構(gòu)思,本發(fā)明實(shí)施例提供的一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)裝置,如圖5所示,該裝置包括代理單元301、加密單元302、加載單元303、發(fā)送單元304。其中:
代理單元301:用于在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;
加密單元302:用于在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;
加載單元303:用于將加密后的敏感信息加載到代理的訪問(wèn)流量中;
發(fā)送單元304:用于將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。
可選地,加密單元302還用于:
在檢測(cè)到預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活后,從操作系統(tǒng)層獲取用戶輸入的敏感信息,其中,檢測(cè)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)輸入框激活是通過(guò)識(shí)別訪問(wèn)流量中的第一設(shè)定標(biāo)識(shí)位檢測(cè)的,第一設(shè)定標(biāo)識(shí)位是使用頁(yè)面腳本發(fā)送訪問(wèn)流量并在訪問(wèn)流量中加入的;
將敏感信息替換為特殊符號(hào),并將特殊符號(hào)發(fā)送給瀏覽器。
可選地,代理單元301還用于:
對(duì)內(nèi)存進(jìn)程輪詢監(jiān)控以確定是否啟動(dòng)瀏覽器;
在確定啟動(dòng)瀏覽器后,對(duì)訪問(wèn)流量進(jìn)行分析以識(shí)別出對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為。
可選地,加載單元303具體用于:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作時(shí),將加密后的敏感信息加載到代理的訪問(wèn)流量中。
可選地,加載單元303具體還用于:
在檢測(cè)到針對(duì)預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)提交動(dòng)作后識(shí)別訪問(wèn)流量中的第二設(shè)定標(biāo)識(shí)位并將加密的敏感信息替換掉第二設(shè)定標(biāo)識(shí)位;第二設(shè)定標(biāo)識(shí)位是預(yù)設(shè)網(wǎng)站的網(wǎng)頁(yè)客戶端腳本在網(wǎng)頁(yè)輸入框?qū)?yīng)處插入的。
從上述內(nèi)容可看出:本發(fā)明實(shí)施例中提供了一種對(duì)網(wǎng)頁(yè)輸入敏感信息的保護(hù)裝置,在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量;在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密;預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的;將加密后的敏感信息加載到代理的訪問(wèn)流量中;將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器。本發(fā)明實(shí)施例中首先在監(jiān)測(cè)到對(duì)預(yù)設(shè)網(wǎng)站的訪問(wèn)行為時(shí),代理預(yù)設(shè)網(wǎng)站的訪問(wèn)流量,實(shí)現(xiàn)了以系統(tǒng)進(jìn)程服務(wù)的形式進(jìn)行工作,避免了現(xiàn)有技術(shù)中部分瀏覽器對(duì)插件不支持的問(wèn)題;然后在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,將加密后的敏感信息加載到代理的訪問(wèn)流量中,其中,預(yù)設(shè)的加密機(jī)制為與預(yù)設(shè)網(wǎng)站的服務(wù)器預(yù)先約定好的,這樣一方面避免了像現(xiàn)有技術(shù)中當(dāng)用戶輸入敏感信息后,在將敏感信息由操作系統(tǒng)發(fā)送給瀏覽器的過(guò)程中,即在操作系統(tǒng)與瀏覽器之間容易被惡意軟件如鍵盤(pán)截取用戶的敏感信息,而本發(fā)明在獲取用戶輸入的敏感信息后,按預(yù)設(shè)的加密機(jī)制對(duì)敏感信息進(jìn)行加密,并將加密后的敏感信息加載到代理的訪問(wèn)流量中,可以避免用戶敏感信息被惡意軟件攻擊并被篡改的風(fēng)險(xiǎn),提高了用戶敏感信息的安全性,另一方面,傳統(tǒng)的方法采用瀏覽器腳本加密的方式對(duì)用戶輸入的敏感信息進(jìn)行加密,加密的效率較低,而采用在系統(tǒng)進(jìn)程中對(duì)用戶輸入的敏感信息進(jìn)行加密,效率更高;最后將加載后的訪問(wèn)流量發(fā)送給預(yù)設(shè)網(wǎng)站的服務(wù)器,完成用戶在預(yù)設(shè)網(wǎng)站上的操作,使得密碼獲取、加密、加載的整個(gè)過(guò)程都在系統(tǒng)后臺(tái)完成,這樣會(huì)避免如屏顯截取、瀏覽器流量截取類等惡意軟件截取敏感信息。
本領(lǐng)域內(nèi)的技術(shù)人員應(yīng)明白,本發(fā)明的實(shí)施例可提供為方法、或計(jì)算機(jī)程序產(chǎn)品。因此,本發(fā)明可采用完全硬件實(shí)施例、完全軟件實(shí)施例、或結(jié)合軟件和硬件方面的實(shí)施例的形式。而且,本發(fā)明可采用在一個(gè)或多個(gè)其中包含有計(jì)算機(jī)可用程序代碼的計(jì)算機(jī)可用存儲(chǔ)介質(zhì)(包括但不限于磁盤(pán)存儲(chǔ)器、cd-rom、光學(xué)存儲(chǔ)器等)上實(shí)施的計(jì)算機(jī)程序產(chǎn)品的形式。
本發(fā)明是參照根據(jù)本發(fā)明實(shí)施例的方法、設(shè)備(系統(tǒng))、和計(jì)算機(jī)程序產(chǎn)品的流程圖和/或方框圖來(lái)描述的。應(yīng)理解可由計(jì)算機(jī)程序指令實(shí)現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合??商峁┻@些計(jì)算機(jī)程序指令到通用計(jì)算機(jī)、專用計(jì)算機(jī)、嵌入式處理機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生一個(gè)機(jī)器,使得通過(guò)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備的處理器執(zhí)行的指令產(chǎn)生用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的裝置。
這些計(jì)算機(jī)程序指令也可存儲(chǔ)在能引導(dǎo)計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備以特定方式工作的計(jì)算機(jī)可讀存儲(chǔ)器中,使得存儲(chǔ)在該計(jì)算機(jī)可讀存儲(chǔ)器中的指令產(chǎn)生包括指令裝置的制造品,該指令裝置實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能。
這些計(jì)算機(jī)程序指令也可裝載到計(jì)算機(jī)或其他可編程數(shù)據(jù)處理設(shè)備上,使得在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行一系列操作步驟以產(chǎn)生計(jì)算機(jī)實(shí)現(xiàn)的處理,從而在計(jì)算機(jī)或其他可編程設(shè)備上執(zhí)行的指令提供用于實(shí)現(xiàn)在流程圖一個(gè)流程或多個(gè)流程和/或方框圖一個(gè)方框或多個(gè)方框中指定的功能的步驟。
盡管已描述了本發(fā)明的優(yōu)選實(shí)施例,但本領(lǐng)域內(nèi)的技術(shù)人員一旦得知了基本創(chuàng)造性概念,則可對(duì)這些實(shí)施例作出另外的變更和修改。所以,所附權(quán)利要求意欲解釋為包括優(yōu)選實(shí)施例以及落入本發(fā)明范圍的所有變更和修改。
顯然,本領(lǐng)域的技術(shù)人員可以對(duì)本發(fā)明進(jìn)行各種改動(dòng)和變型而不脫離本發(fā)明的精神和范圍。這樣,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi),則本發(fā)明也意圖包含這些改動(dòng)和變型在內(nèi)。