[发明专利]用于验证安全的方法

说明书

一种客户端设备经由用户代理应用访问内容并且在远程应用服务器处执行操作。应用服务器将用户代理应用引导到安全验证系统以取回和执行安全测试。安全验证系统从用户代理应用接收描述用户代理应用的特征的信息，并且安全验证系统选择要由在用户代理应用中执行的安全模块执行的安全测试集合，以验证用户代理应用正在访问与所描述的用户代理应用一致的应用服务器。安全验证系统比较测试结果集合与其他用户代理应用，并且向用户代理应用提供令牌以访问应用服务器。安全模块还可以监测用户代理应用的动作，以准许安全验证系统修改或撤销令牌。

本申请是申请日为2015年9月15日、申请号为201580059863.9、发明名称为“分析客户端应用行为以检测异常并且阻止访问”的发明专利申请的分案申请。

相关申请的交叉引用

本申请要求于2014年9月15日提交的美国临时申请第62/050,449号的权益，其全部内容通过引用并入本文。

背景技术

本发明一般涉及验证在客户端设备上执行的应用的安全，并且更具体地涉及当通过网络访问在应用服务器处的远程服务时验证应用。

应用服务器向客户端设备和在客户端设备上执行的应用提供各种内容和服务。这些应用在本文中被称为用户代理或用户代理应用。如本文中所使用的，用户代理是代表用户动作的软件代理，诸如浏览器或本地应用。作为超文本传输协议(HTTP)的一部分，用户代理通常将发送用户代理HTTP请求以从另一系统请求内容。该请求通常提供描述用户代理的特征的附加数据，诸如提供请求的用户代理的身份、用户代理正在执行的平台(例如，客户端设备的操作系统或特定类型)和用户代理应用的能力(例如，用户代理能够解译什么语言、或什么输入设备或输出设备可用于应用)。这有助于服务器标识用户代理，并且可以让服务器优化对该用户代理的响应。描述用户代理的该数据可以包括在请求中，并且可以是HTTP请求报头的一部分。

应用服务器可以提供HTML或其他网页以供由在客户端设备上执行的用户代理(即，网络浏览器)的解译。这些网页可以提供从安全性和真实性的一些验证中受益的多种类型的服务，诸如银行业务、购物、广告等。从应用服务器的角度看，应用安全的风险包括跨站点脚本执行、病毒、恶意软件和自动机器人。一般而言，攻击可能阻止用户正确观看由应用服务器提供的内容，或者向应用服务器请求或提供未授权的信息。在广告上下文中，自动系统(例如，机器人)对内容或广告的请求可以触发实际用户从未观看过的广告的呈现，错误地触发广告商对投放的支付。

该应用描述了应用服务器或Web服务对各种攻击和安全威胁(诸如，来自潜在恶意的用户代理)的保护，以及保护其客户的用户代理免受如跨站点脚本执行(XSS)或中间人攻击(MitM)之类的各种攻击。

发明内容

客户端设备上的用户代理应用访问应用服务器处的服务。当用户代理应用访问服务并且向客户端设备的用户提供服务时，用户代理应用向安全验证系统请求安全测试集合。在一个实施例中，应用服务器向用户代理应用提供指令以访问来自安全验证系统的安全测试。该指令可以是指示用户代理(例如，经由引导程序代码)访问安全验证系统的脚本。用户代理访问安全验证系统，并且提供用户代理的标识和用户代理的特征。用户代理还可以提供应用服务器的标识或由应用服务器提供的应用事务标识符。安全验证系统从安全测试请求中标识用户代理的特征，并且标识用户代理执行的安全测试集合。

该安全测试集合通过用户代理应用执行，并且测试结果被发送到安全验证系统。安全测试可以通过由用户代理应用执行的脚本或其他安全模块被执行。安全测试评估用户代理应用的各个方面，并且可以确认用户代理是当它请求安全测试时所声称的用户代理，确认用户代理应用正在以预期方式显示并且解译来自应用服务器的服务，确认用户代理应用实际上正在由用户操作等。为了评估用户代理应用，这些安全测试可以评估用户与用户代理应用的交互，标识用户代理应用对从应用服务器访问的服务的显示，标识用户代理应用与应用服务器的交互，以及标识用户代理应用的执行环境的能力和特征。因此，这些测试可以在用户代理应用访问应用服务器期间评估用户代理应用。