背景技術

中間人攻擊(man-in-the-middle?attack)是一種形式的計算機安全漏洞，在該計算機安全漏洞中，攻擊者(例如，黑客)制造與受害者的計算機的獨立連接并且中繼他們之間的消息，當事實上通信受到攻擊者控制的時候，導致受害者相信受害者正在通過安全連接彼此直接通信。為了執行中間人攻擊，攻擊者攔截兩個受害者之間的消息并且注入新的消息，這些新的消息然后被發送給受害者。如果受害者之間的連接被加密，攻擊者可以通過哄騙用戶(例如，客戶端設備處的端用戶)接受攻擊者的公共密鑰證書、而不是接受由認證機構認證的受信任的證書，來規避加密。攻擊者可以從另一個受害者(例如，被托管在主機設備上的網站)接受受信任的證書。通過這種方式，攻擊者可以與兩個受害者使用證書，以與兩個受害者建立加密通信會話，并且可以攔截、解密、告警、移除和插入受害者之間的消息，因此扮演中間人。

發明內容

根據一些可能的實施方式，一種設備可以包括一個或多個處理器，該一個或多個處理器被配置為：提供對訪問主機域的請求；基于對訪問主機域的請求來接收驗證代碼，該驗證代碼標識驗證域和經由驗證域可訪問的資源，該驗證域和該資源用于驗證公共密鑰證書，其中該驗證域不同于主機域；執行該驗證代碼；基于執行該驗證代碼來從驗證域請求資源；確定所請求的資源是否被接收；以及基于所請求的資源是否被接收來選擇性地執行第一動作或第二動作；其中基于確定所請求的資源未被接收，被標識在驗證代碼中的第一動作被執行；并且其中基于確定所請求的資源被接收，該第二動作被執行，并且其中第二動作不同于第一動作。

根據一些可能的實施方式，一種計算機可讀介質可以存儲一個或多個指令，該一個或多個指令在被一個或多個處理器執行時使得該一個或多個處理器：向與主機域相關聯的主機設備提供請求；基于該請求來從主機設備接收網頁的內容，其中該網頁的內容包括與驗證代碼有關的信息，該驗證代碼標識驗證域和與驗證域相關聯的資源，該驗證域和該資源要被用于驗證公共密鑰證書，其中該驗證域不同于主機域；基于驗證代碼來從驗證域請求該資源；確定所請求的資源是否被接收；以及基于所請求的資源是否被接收來由選擇地執行第一動作或第二動作，其中第一動作指示公共密鑰證書無效；其中第二動作指示公共密鑰證書有效，并且其中第二動作不同于第一動作。

根據一些可能的實施方式，一種方法可以包括：由客戶端設備并且向主機設備提供對訪問與主機域相關聯的網站的請求；由客戶端設備并且基于該請求來接收驗證代碼，該驗證代碼標識驗證域和與驗證域相關聯資源，該驗證域和該資源要被請求以用于驗證公共密鑰證書，其中該驗證域不同于主機域；由客戶端設備執行驗證代碼；由客戶端設備基于執行驗證代碼來從驗證域請求該資源；由客戶端設備確定所請求的資源是否被接收；以及基于確定所請求的資源是否被接收來選擇性地執行第一動作或第二動作；其中第一動作指示公共密鑰證書無效；并且其中第二動作指示公共密鑰證書有效。

附圖說明

圖1A和1B是本文中所描述的示例實施方式的概覽的示圖；

圖2是在其中本文中所描述的系統和/或方法可以被實施的示例環境的示圖；

圖3是圖2的一個或多個設備的示例部件的示圖；

圖4是用于生成和提供用于使用第三方網站來驗證公共密鑰證書的代碼的示例過程的流程圖；

圖5A和5B是與圖4示出的示例過程有關的示例實施方式的示圖；

圖6是用于使用第三方網站來驗證公共密鑰證書的示例過程的流程圖；

圖7是與圖6中示出的示例過程有關的示例實施方式的示圖；

圖8是用于使用附屬域來驗證公共密鑰證書的示例過程的流程圖；以及

圖9A-9D是與圖8中示出的示例過程有關的示例實施方式的示圖。

具體實施方式

示例實施方式的以下詳細描述參考了附圖。在不同附圖中的相同標號可以標識相同或相似元素。

當客戶端設備正建立與主機設備的安全通信會話(例如，安全套接層(SSL)會話)時，諸如當客戶端設備的用戶導航到由主機設備托管的安全網站時，主機設備通常向客戶端設備發送公共密鑰證書，以驗證主機設備的身份。該證書可以標識針對該會話的初始加密密鑰。如果客戶端設備將該證書識別為有效(例如，如果運行在客戶端設備上的瀏覽器能夠驗證該證書是由受信任的證書機構簽名)，那么客戶端設備可以允許用戶訪問該安全網站。如果客戶端設備沒有將該證書識別為有效，則客戶端設備可能不允許用戶訪問該安全網站。