本申請是2013年9月27日(申請日：2011年7月6日)向中國專利局遞交并進入中國國家階段的題為“用于避免網絡攻擊的危害的方法和裝置”的發明專利申請No.201180069660.X(PCT國際申請No.PCT/SE2011/050916)的分案申請。

技術領域

本公開大體上涉及用于通過避免在從客戶端盜取安全密鑰時可能發生的危害，來實現客戶端終端與網絡服務器之間的安全通信的方法和裝置。

背景技術

所謂的“通用引導程序架構”(GBA)是在第三代合作伙伴計劃(3GPP)中標準化的技術，其使通信網絡中的客戶端能夠與位于連接到網絡的網絡服務器中的網絡應用功能(NAF)建立共享密鑰(例如，表示為“Ks_NAF”)。

GBA通常用于客戶端認證。由于很多當前現有的應用是基于網絡的(即，在公共互聯網或內聯網上可用)，因此當從客戶端使用的瀏覽器執行客戶端認證時，客戶端認證特別令人關注。典型的場景是客戶端是裝備有由用戶操作的瀏覽器的通信終端。為了允許GBA與基于超文本標記語言(HTML)表單的認證(其是在互聯網上廣泛使用的認證方法)一起使用，已經提出了在基于網絡的應用中針對GBA在客戶端處添加JavaScript應用程序接口(API)。然后，由客戶端的瀏覽器來執行JavaScript API，并且可以將JavaScript API視為客戶端的瀏覽器的一部分。

在客戶端處，可以根據以下動作1：1-1：4來使用JavaScript API：

動作1：1。客戶端處的瀏覽器通過“HTTPS”從網絡服務器下載注冊頁面，“HTTPS”是指傳輸層安全性(TLS)或安全套接字層(SSL)承載超文本傳輸協議(HTTP)。注冊頁面是包含“HTML表單(HTML form)”的網頁，該“HTML表單”具有針對“用戶名”和“密碼”的字段。

動作1：2。下載的網頁還包含一條JavaScript，此后簡稱為“腳本”。腳本包含稱作“引導程序交易標識B-TID”的參數，其標識客戶端。腳本通過調用由客戶端提供的GBA JavaScript API，還獲得表示為“Ks_NAF”的共享密鑰：

(B-TID，Ks_NAF)＝window.document.getGBAKey()。

B-TID用作客戶端的IMSI(國際移動訂戶標識)的一種別名形式，并且Ks_NAF與該網絡服務器相關聯并且也可能與使用相同NAF的其它網絡服務器相關聯。因此，Ks_NAF是與網絡服務器共享的密鑰，其在下面動作1：4中被使用。在本動作1：2中，JavaScript API向腳本返回Ks_NAF和B-TID。

動作1：3。腳本將所獲得的B-TID作為用戶名并且將所獲得的Ks_NAF作為密碼來填充HTML表單。然后，從客戶端向網絡服務器提交由此產生的HTML表單。

動作1：4。網絡服務器(即，NAF)通過核實用戶名和密碼來認證客戶端。更詳細地，NAF通過向與客戶端相關聯的引導程序服務器功能(BSF)提供在動作1：2中從客戶端接收的B-TID來從BSF取回由客戶端使用的Ks_NAF。BSF根據與客戶端共享的密鑰(稱作“主密鑰Ks”)導出Ks_NAF。因此，這是客戶端在動作1：2中獲得的相同密鑰。Ks_NAF對于每一個NAF和Ks是唯一的。

然而，在客戶端處添加JavaScript API的現有提議容易受到所謂的“腳本注入攻擊”。通過找出向網頁注入惡意腳本的方式，攻擊者可以得到對敏感頁面內容、信息記錄程序、和可以由瀏覽器代表用戶維護的各種其它信息的提高的訪問特權或者訪問。網頁是否容易受到這種方式的腳本注入的攻擊取決于其內容和由網絡服務器的所有者(實際上是頁面所有者)執行的安全緩解。

已經發現上面的提議的問題在于由客戶端處的JavaScript API在上述過程中返回的共享密鑰Ks_NAF具有非常廣泛的使用。攻擊者通過腳本注入“盜取的”密鑰可以在整個域名系統(DNS)型的域(例如，“naf.com”)上以及在與使用該NAF的服務器進行的不同HTTP會話上保持有效和有用。