CN106953845B - 一种对网页输入敏感信息的保护方法和装置 - Google Patents

一种对网页输入敏感信息的保护方法和装置 Download PDF

Info

Publication number
CN106953845B
CN106953845B CN201710099408.2A CN201710099408A CN106953845B CN 106953845 B CN106953845 B CN 106953845B CN 201710099408 A CN201710099408 A CN 201710099408A CN 106953845 B CN106953845 B CN 106953845B
Authority
CN
China
Prior art keywords
sensitive information
preset
preset website
access
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710099408.2A
Other languages
English (en)
Other versions
CN106953845A (zh
Inventor
朱浩然
杨阳
尹亚伟
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Unionpay Co Ltd
Original Assignee
China Unionpay Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Unionpay Co Ltd filed Critical China Unionpay Co Ltd
Priority to CN201710099408.2A priority Critical patent/CN106953845B/zh
Publication of CN106953845A publication Critical patent/CN106953845A/zh
Application granted granted Critical
Publication of CN106953845B publication Critical patent/CN106953845B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6263Protecting personal data, e.g. for financial or medical purposes during internet communication, e.g. revealing personal data from cookies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

本发明实施例涉及计算机领域,尤其涉及一种对网页输入敏感信息的保护方法和装置,用于对用户输入的敏感信息的保护。本发明实施例中,在监测到对预设网站的访问行为时,代理预设网站的访问流量;在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;将加密后的敏感信息加载到代理的访问流量中;将加载后的访问流量发送给预设网站的服务器,实现对用户在预设网站上输入的敏感信息的保护。

Description

一种对网页输入敏感信息的保护方法和装置
技术领域
本发明实施例涉及计算机领域,尤其涉及一种对网页输入敏感信息的保护方法和装置。
背景技术
当前,国内金融网站针对用户在支付网站上输入的敏感信息的保护多以用户安装安全控件的形式提供服务。该安全控件是以浏览器ActiveX插件或者NPAPI(NetscapePlugin Application Programming Interface,网景插件应用程序编程接口)插件的模式存在,通过对操作***键盘API(Application Programming Interface,应用程序编程接口)的调用来实现对用户在支付网站上输入的敏感信息的保护。
现有技术中,例如在专利CN200410062399.2中,该专利需要用户下载并安装安全控件,在用户输入敏感信息的过程中安全控件模拟键盘击键产生随机干扰信息形成混合信息,同时安全控件记录随机干扰信息,安全控件基于所记录的随机干扰信息对混合信息进行过滤,将真实的敏感信息传递给应用程序,实现对用户的敏感信息的保护。但是,通过安全控件的形式实现对用户敏感信息的保护的方法,存在以下问题:(1)安全控件使用的是浏览器ActiveX插件或者NPAPI插件,但是目前微软EDGE浏览器已经放弃对ActiveX插件的支持、Chrome(45版本之后)浏览器也已放弃对NPAPI插件的支持、其它如FireFox等浏览器也淘汰了NPAPI插件;(2)安全插件的防护原理偏应用层,安全控件使用的是操作***键盘API来提供服务,优先级不够高,当有恶意软件如键盘、屏显、浏览器流量等截取时,安全控件的防护功能大打折扣;(3)安全控件对用户的敏感信息的加密一般都通过浏览器脚本来进行,效率较低,在实现较高安全标准加密时影响用户体验。
综上所述,现有技术通过安全控件的形式对用户键盘输入的敏感信息的保护的方法存在该方法适用的范围不够广泛、恶意软件容易截取用户的敏感信息、对敏感信息的加密效率不够高的问题,因此,需要提出有效的方法来解决上述问题。
发明内容
本发明实施例提供一种对网页输入敏感信息的保护方法和装置,用以解决现有技术中通过安全控件的形式对用户键盘输入的敏感信息的保护的方法存在该方法适用的范围不够广泛、恶意软件容易截取用户的敏感信息、对敏感信息的加密效率不够高的问题。
本发明实施例提供一种对网页输入敏感信息的保护方法,包括:
在监测到对预设网站的访问行为时,代理预设网站的访问流量;
在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;
将加密后的敏感信息加载到代理的访问流量中;
将加载后的访问流量发送给预设网站的服务器。
可选地,获取用户输入的敏感信息,包括:
在检测到预设网站的网页输入框激活后,从操作***层获取用户输入的敏感信息,其中,检测预设网站的网页输入框激活是通过识别访问流量中的第一设定标识位检测的,第一设定标识位是使用页面脚本发送访问流量并在访问流量中加入的;
将敏感信息替换为特殊符号,并将特殊符号发送给浏览器。
可选地,监测到用户对预设网站的访问行为,包括:
对内存进程轮询监控以确定是否启动浏览器;
在确定启动浏览器后,对访问流量进行分析以识别出对预设网站的访问行为。
可选地,将加密后的敏感信息加载到代理的访问流量中,包括:
在检测到针对预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。
可选地,将加密后的敏感信息加载到代理的访问流量中,包括:
在检测到针对预设网站的网页提交动作后,识别访问流量中的第二设定标识位并将加密的敏感信息替换掉第二设定标识位;第二设定标识位是预设网站的网页客户端脚本在网页输入框对应处***的。
本发明实施例还提供一种对网页输入敏感信息的保护装置,包括:
代理单元:用于在监测到对预设网站的访问行为时,代理预设网站的访问流量;
加密单元:用于在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;
加载单元:用于将加密后的敏感信息加载到代理的访问流量中;
发送单元:用于将加载后的访问流量发送给预设网站的服务器。
可选地,加密单元还用于:
在检测到预设网站的网页输入框激活后,从操作***层获取用户输入的敏感信息,其中,检测预设网站的网页输入框激活是通过识别访问流量中的第一设定标识位检测的,第一设定标识位是使用页面脚本发送访问流量并在访问流量中加入的;
将敏感信息替换为特殊符号,并将特殊符号发送给浏览器。
可选地,代理单元还用于:
对内存进程轮询监控以确定是否启动浏览器;
在确定启动浏览器后,对访问流量进行分析以识别出对预设网站的访问行为。
可选地,加载单元具体用于:
在检测到针对预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。
可选地,加载单元具体还用于:
在检测到针对预设网站的网页提交动作后,识别访问流量中的第二设定标识位并将加密的敏感信息替换掉第二设定标识位;第二设定标识位是预设网站的网页客户端脚本在网页输入框对应处***的。
本发明实施例中提供了一种对网页输入敏感信息的保护方法和装置,在监测到对预设网站的访问行为时,代理预设网站的访问流量;在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;将加密后的敏感信息加载到代理的访问流量中;将加载后的访问流量发送给预设网站的服务器。本发明实施例中首先在监测到对预设网站的访问行为时,代理预设网站的访问流量,实现了以***进程服务的形式进行工作,避免了现有技术中部分浏览器对插件不支持的问题;然后在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,将加密后的敏感信息加载到代理的访问流量中,其中,预设的加密机制为与预设网站的服务器预先约定好的,这样一方面避免了像现有技术中当用户输入敏感信息后,在将敏感信息由操作***发送给浏览器的过程中,即在操作***与浏览器之间容易被恶意软件如键盘截取用户的敏感信息,而本发明在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,并将加密后的敏感信息加载到代理的访问流量中,可以避免用户敏感信息被恶意软件攻击并被篡改的风险,提高了用户敏感信息的安全性,另一方面,传统的方法采用浏览器脚本加密的方式对用户输入的敏感信息进行加密,加密的效率较低,而采用在***进程中对用户输入的敏感信息进行加密,效率更高;最后将加载后的访问流量发送给预设网站的服务器,完成用户在预设网站上的操作,使得密码获取、加密、加载的整个过程都在***后台完成,这样会避免如屏显截取、浏览器流量截取类等恶意软件截取敏感信息。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍。
图1为本发明实施例提供了一种对网页输入敏感信息的保护方法流程示意图;
图2为本发明实施例提供了本发明的整体方法流程图;
图3为本发明实施例提供的现有技术中敏感信息被恶意软件截取的结构示意图;
图4为本发明实施例提供的整体***流程示意图;
图5为本发明实施例提供了一种对网页输入敏感信息的保护装置结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
应理解,本发明实施例的技术方案可以应用于用户在各种预设网站上进行操作的时候对用户敏感信息的保护,其中,预设网站可以是预设的支付网站,如银联、工行、农行等,只要是各个银行支持的都可以,用户在各种预设网站上进行操作可以是登录或者支付等操作,用户敏感信息可以是***、密码等。本发明主要针对PC(personal computer,个人计算机)端。
实施本发明的技术方案的一个前提是:用户在电脑上安装敏感信息保护***,该***在操作***后台开启进程,并随电脑的开机而启动,提供持续的保护服务。
图1示例性示出了本发明实施例提供的一种对网页输入敏感信息的保护方法流程示意图,如图1所示,包括以下步骤:
S101:在监测到对预设网站的访问行为时,代理预设网站的访问流量;
S102:在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;
S103:将加密后的敏感信息加载到代理的访问流量中;
S104:将加载后的访问流量发送给预设网站的服务器。
S101中,在监测到对预设网站的访问行为时,代理预设网站的访问流量。在具体实施中,代理预设网站的访问流量之前,还包括:对内存进程轮询监控以确定是否启动浏览器;在确定启动浏览器后,对访问流量进行分析以识别出对预设网站的访问行为。具体来说,敏感信息保护***对用户的内存进程实行轮询监控,确定出用户开启浏览器的行为,因为在具体实施中用户可能进行了多种行为,比如开启浏览器、打开文件等,那么,需要对用户进行的多种行为进行轮询监控,对用户开启浏览器的动作进行识别,以确定出用户开启浏览器的行为,其中,浏览器可以是常见的浏览器如iexplore、chrome、firefox。在确定出用户开启浏览器的行为后,对用户访问流量进行分析,判断用户打开的是否是预设的支付网站,也就是识别出用户对预设网站的访问行为,其中,在具体实施中,判断用户打开的是否是预设的支付网站可以采取浏览器如chrome的页面标签Title值的方法、预设的支付网站可以存于列表中,比如,页面标签Title值为‘银联’,假如银联刚好在存放的预设支付网站列表中,那么,用户打开的是预设的支付网站,这时就对用户在该支付网站的访问流量进行代理。其中,在具体实施中,对用户在预设支付网站上的访问流量可以使用底层网络接口或网卡驱动层接口进行代理。在监测到对预设网站的访问行为时,代理预设网站的访问流量,说明本发明采用的方法是以进程服务的形式来工作的,而不依赖插件,可以在浏览器不支持插件的情况下正常使用,避免插件在部分浏览器上不能正常使用的问题。
S102中,在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的。具体来说,用户在键盘输入敏感信息后,对用户的敏感信息进行加密。在具体实施中,加密机制是使用公钥对用户的敏感信息进行非对称加密,其中,预设的加密机制为与预设网站的服务器预先约定好的。
可选地,获取用户输入的敏感信息,包括:
在检测到预设网站的网页输入框激活后,从操作***层获取用户输入的敏感信息,其中,检测预设网站的网页输入框激活是通过识别访问流量中的第一设定标识位检测的,第一设定标识位是使用页面脚本发送访问流量并在访问流量中加入的;将敏感信息替换为特殊符号,并将特殊符号发送给浏览器。具体实施中,检测预设网站的网页输入框激活的方法可以使用页面脚本发送访问流量并在流量中加入第一设定标识位,由敏感信息保护***对流量分析时进行识别的方法。当检测到预设网站的网页输入框激活后,从操作***层获取用户输入的敏感信息,具体实施中,可以采用中断技术和驱动技术从操作层获取用户输入的敏感信息,本发明的技术方案采用中断技术和驱动技术更接近***底层,所以优先级更高于一般的程序,因而能够实现更可靠的安全保护。将获取的敏感信息替换为特殊符号,其中,特殊符号比如可以为*字符,将特殊符号反馈给操作***,由操作***将特殊符号再发送给浏览器,并在页面上显示出来,这样显示出来的敏感信息以特殊符号替换了,显示的敏感信息并不是真实的信息,即使屏显截取、浏览器流量恶意软件截取的敏感信息也不是真实的,保证了***露用户真实输入的敏感信息的内容。
由此可以看出,当用户在键盘输入敏感信息后,敏感信息保护***作了两个工作,其一,对从操作***层获取的敏感信息进行加密,这样避免了在操作***层与浏览器即高层之间容易被恶意软件进行键盘截取敏感信息的问题,其二,对获取的敏感信息以特殊符号替换,发送给浏览器,回显在页面上,这样避免了被恶意软件进行屏显截取和浏览器流量截取敏感信息的问题,即使被恶意软件进行屏显截取和浏览器流量截取敏感信息,截取的敏感信息也不是真实的敏感信息。
S103中,将加密后的敏感信息加载到代理的访问流量中,包括:在检测到针对预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。具体来说,对用户的访问流量进行分析,识别用户在预设网站的网页提交动作,当识别出用户针对预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。具体实施中,对识别用户在预设网站的网页提交动作时,可以是用户在键盘输入完毕,点击登录或支付等按钮将动作进行提交时。
可选地,将加密后的敏感信息加载到代理的访问流量中,包括:在检测到针对预设网站的网页提交动作后,识别访问流量中的第二设定标识位并将加密的敏感信息替换掉第二设定标识位;第二设定标识位是预设网站的网页客户端脚本在网页输入框对应处***的。具体来说,在检测到针对预设网站的网页提交动作后,预设网站的网页客户端脚本在网页输入框对应处***第二设定标识位,敏感信息保护***获取对预设网站的访问流量,识别访问流量中的第二设定标识位并将加密的敏感信息替换掉第二设定标识位。其中,第二设定标识位在具体实施中可以是#,比如,当用户点击在预设支付网站登录或支付等按钮动作进行提交时,预设网站的网页客户端脚本在网页输入框对应处***第二设定标识位,假设为:用户名:某某;密码:###;,敏感信息保护***获取对预设网站的访问流量,识别访问流量中的第二设定标识位#并将加密的敏感信息替换掉第二设定标识位。
S104中,将加载后的访问流量发送给预设网站的服务器。具体来说,将替换掉设定标识位的加密的敏感信息加载到访问流量中,并将加载后的访问流量发送给预设网站的服务器,预设网站的服务器对接受的访问流量进行解密,完成用户在预设支付网站的登录或者支付等操作,其中,在具体实施中,预设网站的服务器对接受的访问流量使用服务器私钥进行解密。将加载加密的敏感信息的访问流量发送给预设网站的服务器,进一步保证用户敏感信息的安全性。
为了更好的理解本发明技术方案,图2示例性地示出了本发明的整体方法流程图,如图2所示:
S201:开始;
S202:敏感信息保护***开启后台进程;
S203:对用户内存进程轮询监控,确定用户开启浏览器;
S204:判断用户是否打开预设网站,若是,则执行S205,否则,则执行S203;
S205:代理预设网站的访问流量;
S206:判断用户是否激活预设网站的网页输入框,若是,则执行S207,否则,则执行S205;
S207:接管用户的键盘输入、获取用户输入的敏感信息;
S208:对获取的用户输入的敏感信息进行加密;
S209:将加密后的敏感信息加载到代理的访问流量中;
S210:将加载后的访问流量发送给预设网站的服务器;
S211:结束。
现有技术中,存在的问题是:当用户在键盘输入完敏感信息后,由操作***将敏感信息发送给浏览器,浏览器再将敏感信息发送给服务器,而在操作***与浏览器之间容易被恶意软件诸如键盘截取将用户输入的敏感信息截取,从而造成用户敏感信息的不安全,进而可能会引起用户的经济损失,为了更清楚地看出现有技术中存在的问题,图3示例性地示出了现有技术中敏感信息被恶意软件截取的结构示意图,如图3所示,在图3中,用户在键盘输入敏感信息,将敏感信息发送操作***,操作***将敏感信息发送给浏览器,浏览器发送给服务器,在操作***与浏览器之间被恶意软件将敏感信息进行截取。
与现有技术相比,为了更好地突出本发明的优势,图4示例性地示出了本发明的整体***流程示意图,如图4所示,在图4中,用户在键盘输入敏感信息,敏感信息保护***在操作***获取用户输入的敏感信息一方面对获取的敏感信息进行加密,另一方面对获取的敏感信息以特殊符号替换,将替换后的敏感信息发送给浏览器;当用户打开预设的支付网站时,对用户在该支付网站的访问流量进行代理,当识别出用户在该支付网站点击登录或支付按钮动作进行提交时,将加密后的敏感信息加载到代理的访问流量中,将加载后的访问流量发送给预设网站的服务器。
综上所述,与现有技术相比,本发明的技术方案中,第一,采用***进程服务的形式进行工作,解决了在部分版本浏览器对传统插件不支持的问题。传统的方法保护用户敏感信息输入的安全控件使用的是ActiveX(一般IE内核浏览器)和NPAPI(一般非IE内核浏览器)插件的模式来提供服务。但是目前Microsoft EDGE浏览器已经放弃对ActiveX插件的支持,而Chrome(45版本之后)浏览器也已经放弃对NPAPI插件的支持。而同时FireFox等其它浏览器也提出了淘汰NPAPI插件的计划。在这种情况下,传统的安全控件将不能正常使用,而本提案方法使用操作***进程服务的形式进行工作,而不依赖浏览器插件,可以在浏览器不支持ActiveX和NPAPI插件的情况下正常使用。第二,使用操作***底层的中断技术和驱动技术,保证用户输入的敏感信息不被恶意软件截取。由于该技术则更接近操作***底层,优先级高于一般的程序,因而能够实现更可靠的安全保护。第三,使用访问流量代理技术,将用户与预设网站的访问流量进行代理保护,安全性更高。第四,对用户与支付网站的流量进行流量代理,从而进行分析、监控和处理,避免了用户浏览器流量被恶意软件攻击而被篡改信息等风险,安全性更高。第五,采用在***进程中对用户敏感信息输入进行非对称加密的方案,效率更高。一般的支付网站采取利用页面Javascript脚本对用户敏感信息输入进行非对称加密的方案,但是由于浏览器Javascript脚本性能的限制,加密效率较低。而本发明的方法将这一加密过程在操作***进程中完成,效率更高。
本发明实施例中提供了一种对网页输入敏感信息的保护方法,在监测到对预设网站的访问行为时,代理预设网站的访问流量;在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;将加密后的敏感信息加载到代理的访问流量中;将加载后的访问流量发送给预设网站的服务器。本发明实施例中首先在监测到对预设网站的访问行为时,代理预设网站的访问流量,实现了以***进程服务的形式进行工作,避免了现有技术中部分浏览器对插件不支持的问题;然后在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,将加密后的敏感信息加载到代理的访问流量中,其中,预设的加密机制为与预设网站的服务器预先约定好的,这样一方面避免了像现有技术中当用户输入敏感信息后,在将敏感信息由操作***发送给浏览器的过程中,即在操作***与浏览器之间容易被恶意软件如键盘截取用户的敏感信息,而本发明在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,并将加密后的敏感信息加载到代理的访问流量中,可以避免用户敏感信息被恶意软件攻击并被篡改的风险,提高了用户敏感信息的安全性,另一方面,传统的方法采用浏览器脚本加密的方式对用户输入的敏感信息进行加密,加密的效率较低,而采用在***进程中对用户输入的敏感信息进行加密,效率更高;最后将加载后的访问流量发送给预设网站的服务器,完成用户在预设网站上的操作,使得密码获取、加密、加载的整个过程都在***后台完成,这样会避免如屏显截取、浏览器流量截取类等恶意软件截取敏感信息。
基于相同构思,本发明实施例提供的一种对网页输入敏感信息的保护装置,如图5所示,该装置包括代理单元301、加密单元302、加载单元303、发送单元304。其中:
代理单元301:用于在监测到对预设网站的访问行为时,代理预设网站的访问流量;
加密单元302:用于在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;
加载单元303:用于将加密后的敏感信息加载到代理的访问流量中;
发送单元304:用于将加载后的访问流量发送给预设网站的服务器。
可选地,加密单元302还用于:
在检测到预设网站的网页输入框激活后,从操作***层获取用户输入的敏感信息,其中,检测预设网站的网页输入框激活是通过识别访问流量中的第一设定标识位检测的,第一设定标识位是使用页面脚本发送访问流量并在访问流量中加入的;
将敏感信息替换为特殊符号,并将特殊符号发送给浏览器。
可选地,代理单元301还用于:
对内存进程轮询监控以确定是否启动浏览器;
在确定启动浏览器后,对访问流量进行分析以识别出对预设网站的访问行为。
可选地,加载单元303具体用于:
在检测到针对预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。
可选地,加载单元303具体还用于:
在检测到针对预设网站的网页提交动作后识别访问流量中的第二设定标识位并将加密的敏感信息替换掉第二设定标识位;第二设定标识位是预设网站的网页客户端脚本在网页输入框对应处***的。
从上述内容可看出:本发明实施例中提供了一种对网页输入敏感信息的保护装置,在监测到对预设网站的访问行为时,代理预设网站的访问流量;在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密;预设的加密机制为与预设网站的服务器预先约定好的;将加密后的敏感信息加载到代理的访问流量中;将加载后的访问流量发送给预设网站的服务器。本发明实施例中首先在监测到对预设网站的访问行为时,代理预设网站的访问流量,实现了以***进程服务的形式进行工作,避免了现有技术中部分浏览器对插件不支持的问题;然后在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,将加密后的敏感信息加载到代理的访问流量中,其中,预设的加密机制为与预设网站的服务器预先约定好的,这样一方面避免了像现有技术中当用户输入敏感信息后,在将敏感信息由操作***发送给浏览器的过程中,即在操作***与浏览器之间容易被恶意软件如键盘截取用户的敏感信息,而本发明在获取用户输入的敏感信息后,按预设的加密机制对敏感信息进行加密,并将加密后的敏感信息加载到代理的访问流量中,可以避免用户敏感信息被恶意软件攻击并被篡改的风险,提高了用户敏感信息的安全性,另一方面,传统的方法采用浏览器脚本加密的方式对用户输入的敏感信息进行加密,加密的效率较低,而采用在***进程中对用户输入的敏感信息进行加密,效率更高;最后将加载后的访问流量发送给预设网站的服务器,完成用户在预设网站上的操作,使得密码获取、加密、加载的整个过程都在***后台完成,这样会避免如屏显截取、浏览器流量截取类等恶意软件截取敏感信息。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (10)

1.一种对网页输入敏感信息的保护方法,其特征在于,包括:
在监测到对预设网站的访问行为时,代理所述预设网站的访问流量;
在获取用户输入的敏感信息后,按预设的加密机制对所述敏感信息进行加密;所述预设的加密机制为与所述预设网站的服务器预先约定好的;
将加密后的敏感信息加载到代理的访问流量中;
将加载后的访问流量发送给所述预设网站的服务器;
其中,所述获取用户输入的敏感信息,包括:
在检测到所述预设网站的网页输入框激活后,从操作***层获取所述用户输入的敏感信息,其中,所述检测所述预设网站的网页输入框激活是通过识别所述访问流量中的第一设定标识位检测的,所述第一设定标识位是使用页面脚本发送所述访问流量并在所述访问流量中加入的;
将所述敏感信息替换为特殊符号,并将所述特殊符号发送给浏览器。
2.如权利要求1所述的方法,其特征在于,所述监测到用户对预设网站的访问行为,包括:
对内存进程轮询监控以确定是否启动浏览器;
在确定启动浏览器后,对访问流量进行分析以识别出对所述预设网站的访问行为。
3.如权利要求1或2所述的方法,其特征在于,所述将加密后的敏感信息加载到代理的访问流量中,包括:
在检测到针对所述预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。
4.如权利要求3所述的方法,其特征在于,所述将加密后的敏感信息加载到代理的访问流量中,包括:
在检测到针对所述预设网站的网页提交动作后,识别所述访问流量中的第二设定标识位并将所述加密的敏感信息替换掉所述第二设定标识位;所述第二设定标识位是所述预设网站的网页客户端脚本在所述网页输入框对应处***的。
5.一种对网页输入敏感信息的保护装置,其特征在于,包括:
代理单元,用于在监测到对预设网站的访问行为时,代理所述预设网站的访问流量;
加密单元,用于在获取用户输入的敏感信息后,按预设的加密机制对所述敏感信息进行加密;所述预设的加密机制为与所述预设网站的服务器预先约定好的;
加载单元,用于将加密后的敏感信息加载到代理的访问流量中;
发送单元,用于将加载后的访问流量发送给所述预设网站的服务器;
所述加密单元,还用于在检测到所述预设网站的网页输入框激活后,从操作***层获取所述用户输入的敏感信息,其中,所述检测所述预设网站的网页输入框激活是通过识别所述访问流量中的第一设定标识位检测的,所述第一设定标识位是使用页面脚本发送所述访问流量并在所述访问流量中加入的;
将所述敏感信息替换为特殊符号,并将所述特殊符号发送给浏览器。
6.如权利要求5所述的装置,其特征在于,
所述代理单元,还用于对内存进程轮询监控以确定是否启动浏览器;
在确定启动浏览器后,对访问流量进行分析以识别出对所述预设网站的访问行为。
7.如权利要求5或6所述的装置,其特征在于,
所述加载单元,具体用于在检测到针对所述预设网站的网页提交动作时,将加密后的敏感信息加载到代理的访问流量中。
8.如权利要求7所述的装置,其特征在于,
所述加载单元,具体还用于在检测到针对所述预设网站的网页提交动作后,识别所述访问流量中的第二设定标识位并将所述加密的敏感信息替换掉所述第二设定标识位;所述第二设定标识位是所述预设网站的网页客户端脚本在所述网页输入框对应处***的。
9.一种计算设备,其特征在于,包括处理器以及存储器,其中,所述存储器存储有计算机程序,当所述程序被所述处理器执行时,使得所述处理器执行权利要求1~4任一权利要求所述的方法。
10.一种计算机可读存储介质,其特征在于,其存储有可由计算设备执行的计算机程序,当所述程序在所述计算设备上运行时,使得所述计算设备执行权利要求1~4任一权利要求所述的方法。
CN201710099408.2A 2017-02-23 2017-02-23 一种对网页输入敏感信息的保护方法和装置 Active CN106953845B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710099408.2A CN106953845B (zh) 2017-02-23 2017-02-23 一种对网页输入敏感信息的保护方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710099408.2A CN106953845B (zh) 2017-02-23 2017-02-23 一种对网页输入敏感信息的保护方法和装置

Publications (2)

Publication Number Publication Date
CN106953845A CN106953845A (zh) 2017-07-14
CN106953845B true CN106953845B (zh) 2020-05-01

Family

ID=59466568

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710099408.2A Active CN106953845B (zh) 2017-02-23 2017-02-23 一种对网页输入敏感信息的保护方法和装置

Country Status (1)

Country Link
CN (1) CN106953845B (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108197495A (zh) * 2018-01-16 2018-06-22 挖财网络技术有限公司 应用程序中敏感信息的保护方法及装置
CN108900474A (zh) * 2018-06-05 2018-11-27 苏州科达科技股份有限公司 敏感信息的传输方法,装置及电子设备
CN109062933A (zh) * 2018-06-14 2018-12-21 四川斐讯信息技术有限公司 一种对浏览器的处理方法和装置
CN109587116A (zh) * 2018-11-06 2019-04-05 交通银行股份有限公司 浏览器输入信息的保护方法、客户端及浏览器

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101409719A (zh) * 2007-10-08 2009-04-15 联想(北京)有限公司 实现网络安全支付的方法及客户端
CN102324008A (zh) * 2011-09-23 2012-01-18 郑州信大捷安信息技术股份有限公司 基于usb安全存储加密卡的网上银行客户端***及使用方法
CN103646211A (zh) * 2013-12-05 2014-03-19 北京奇虎科技有限公司 浏览器中加载支付类网页的方法与装置
CN103795703A (zh) * 2011-04-18 2014-05-14 北京奇虎科技有限公司 一种保证用户网络安全性的方法及客户端
CN104580190A (zh) * 2014-12-30 2015-04-29 北京奇虎科技有限公司 安全浏览器的实现方法和安全浏览器装置
CN104639503A (zh) * 2013-11-11 2015-05-20 国际商业机器公司 一种用于保护敏感信息的方法、装置和***
CN105100054A (zh) * 2015-05-29 2015-11-25 北京奇虎科技有限公司 一种客户端的登录方法和装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB0420409D0 (en) * 2004-09-14 2004-10-20 Waterleaf Ltd Online commercial transaction system and method of operation thereof

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101409719A (zh) * 2007-10-08 2009-04-15 联想(北京)有限公司 实现网络安全支付的方法及客户端
CN103795703A (zh) * 2011-04-18 2014-05-14 北京奇虎科技有限公司 一种保证用户网络安全性的方法及客户端
CN102324008A (zh) * 2011-09-23 2012-01-18 郑州信大捷安信息技术股份有限公司 基于usb安全存储加密卡的网上银行客户端***及使用方法
CN104639503A (zh) * 2013-11-11 2015-05-20 国际商业机器公司 一种用于保护敏感信息的方法、装置和***
CN103646211A (zh) * 2013-12-05 2014-03-19 北京奇虎科技有限公司 浏览器中加载支付类网页的方法与装置
CN104580190A (zh) * 2014-12-30 2015-04-29 北京奇虎科技有限公司 安全浏览器的实现方法和安全浏览器装置
CN105100054A (zh) * 2015-05-29 2015-11-25 北京奇虎科技有限公司 一种客户端的登录方法和装置

Also Published As

Publication number Publication date
CN106953845A (zh) 2017-07-14

Similar Documents

Publication Publication Date Title
US11924234B2 (en) Analyzing client application behavior to detect anomalies and prevent access
US11687653B2 (en) Methods and apparatus for identifying and removing malicious applications
US10904286B1 (en) Detection of phishing attacks using similarity analysis
US9876816B2 (en) Detecting stored cross-site scripting vulnerabilities in web applications
US9424424B2 (en) Client based local malware detection method
US20160036849A1 (en) Method, Apparatus and System for Detecting and Disabling Computer Disruptive Technologies
CN106953845B (zh) 一种对网页输入敏感信息的保护方法和装置
US20170243182A1 (en) Method of Visiting Online Banking Website and Browser
US9292701B1 (en) System and method for launching a browser in a safe mode
US20190222587A1 (en) System and method for detection of attacks in a computer network using deception elements
US11196765B2 (en) Simulating user interactions for malware analysis
CN112749088B (zh) 应用程序检测方法、装置、电子设备和存储介质
CN111177727A (zh) 漏洞检测方法及装置
CN113190838A (zh) 一种基于表达式的web攻击行为检测方法及***
EP3652647B1 (en) System and method for detecting a malicious file using image analysis prior to execution of the file
US11595436B2 (en) Rule-based dynamic security test system
CN106161373B (zh) 一种安全防护信息提示方法、安全监控装置以及***
US11736512B1 (en) Methods for automatically preventing data exfiltration and devices thereof
US10747900B1 (en) Discovering and controlling sensitive data available in temporary access memory
CN111489184A (zh) 验证点击行为的方法、装置、服务器、客户端及介质
US11882143B1 (en) Cybersecurity system and method for protecting against zero-day attacks
US11874924B2 (en) Malicious JS detection based on automated user interaction emulation
JP7013297B2 (ja) 不正検知装置、不正検知ネットワークシステム、及び不正検知方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant