高效扼流用户认证制造技术

在一实施例中，管理计算机系统从用户接收用户登录凭证并且做出以下确定中的至少一者：该用户标识符不与任何现存用户帐户匹配；该用户标识符匹配至少一个现存用户帐户，但是用户的帐户处于锁定状态；或者该用户标识符匹配至少一个现存用户帐户，但是用户的密码不与用户标识符匹配。不管做出哪个确定，管理计算机系统随后向用户返回相同的响应消息。该响应指示该用户的登录凭证无效。该响应还阻止用户确定是哪个凭证无效，因为对于每个确定而言响应消息均是相同的，并且响应消息在对于每个确定而言相同的所测响应时间之后被发送给用户。

【技术实现步骤摘要】
【国外来华专利技术】高效扼流用户认证 背景 计算机已变得高度集成于工作、家庭、移动设备以及许多其他地方中。计算机可快 速且有效地处理大量信息。被设计成在计算机系统上运行的软件应用允许用户执行包括商 业应用、学校作业、娱乐等等在内的各种各样的功能。软件应用通常被设计成执行特定的任 务，诸如用于草拟文档的文字处理器应用或者用于发送、接收和组织电子邮件的电子邮件 程序。 在许多情况下，软件应用被设计为与其他软件应用或其他计算机系统交互。例如， 互联网浏览器允许用户向其他计算机系统发送请求。这些请求被数据服务器答复，数据服 务器的响应被通过网络传送回用户。在许多情况下，网站提供和/或剪裁其向已经被该网 站认证的用户所提供的。用户通常通过输入某种形式的用户名（可能是邮件地址）和密码 (password)或密码短语（pass phrase)来进行认证。如果用户输入了错误的凭证，贝U登录 被阻止并且错误消息被返回。 为了阻止不合法用户猜测或使用字典攻击或其他重复尝试密码的手段，扼流 (throttle)被实现。这些通常把用户（或特定网际协议（IP)地址）在一段时间内的失败登 录限制到特定次数（例如，10分钟内3次失败的登录尝试）。CPATCHAS (全自动区分计算机 和人类的图灵测试）也可被用来阻止脚本或其他自动化系统重复猜测用户名和密码组合。 CAPTCHAS要求用户查看部分扭曲的图像并且输入图像中显示的单词或字符序列。CAPTCHAS 被设计为人类能够轻易判读而计算机系统却非常难以判读。 简要概述 本文描述的实施例涉及高效认证用户同时防止枚举攻击，还涉及提供登录错误消 息通知防止枚举攻击。在一个实施例中，管理计算机系统从用户接收用户登录凭证。这些用 户登录凭证可包括用户标识符和密码。管理计算机系统随后做出以下确定中的至少一者： 其确定用户标识符不与任何现存用户帐户匹配；确定用户标识符匹配至少一个现存用户帐 户，但是用户的帐户处于锁定状态；或者确定用户标识符匹配至少一个现存用户帐户，但是 用户的密码不与用户标识符匹配。不管做出哪个确定，管理计算机系统随后向用户返回相 同的响应消息。该响应指示该用户的登录凭证无效。该响应还阻止用户确定是哪个凭证无 效，因为对于每个确定而言响应消息均是相同的，并且响应消息在对于每个确定而言相同 的所测响应时间之后被发送给用户。 在另一实施例中，客户端计算机系统将用户登录凭证从用户发送到认证服务器。 所述用户登录凭证包括用户标识符和密码。认证服务器做出以下确定中的至少一者：其确 定用户标识符不与任何现存用户帐户匹配；确定用户标识符匹配至少一个现存用户帐户， 但是用户的帐户处于锁定状态；或者确定用户标识符匹配至少一个现存用户帐户，但是用 户的密码不与用户标识符匹配。客户端计算机随后从认证服务器接收响应消息，该响应消 息指示该用户的凭证无效。该响应消息阻止用户确定是哪个凭证无效，因为对于每个确定 而言响应消息均是相同的，并且响应消息在对于每个确定相同而言的所测响应时间之后由 用户接收。 提供本概述是为了以简化的形式介绍将在以下【具体实施方式】中进一步描述的概 念选择。本
技术实现思路
不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用 于帮助确定所要求保护的主题的范围。 附加的特征和优点将在以下的描述中被阐述，并且部分地可通过该描述而对本领 域技术人员显而易见，或者可通过对本文中的教示的实践来习得。本专利技术的实施例的特征 和优点可以通过在所附权利要求中特别指出的手段和组合来被实现并获得。本专利技术的实施 例的特征将从以下描述和所附权利要求书中变得完全显而易见，或者可通过如下所述对本 专利技术的实践而习得。 【附图说明】 为了进一步阐明本专利技术的各实施例的以上和其他优点和特征，将参考附图来呈现 本专利技术的各实施例的更具体的描述。可以理解，这些附图只描绘本专利技术的典型实施例，因此 将不被认为是对其范围的限制。本专利技术的实施例将通过使用附图用附加特征和细节来描述 和说明，附图中： 图1示出本专利技术的各实施例可在其中操作的计算机体系结构，包括高效认证用 户，同时阻止枚举攻击。 图2示出高效认证用户同时阻止枚举攻击的示例方法的流程图。 图3示出提供登入错误消息同时阻止枚举攻击的示例方法的流程图。 图4示出其中提供错误消息同时阻止枚举攻击的本专利技术的实施例。 【具体实施方式】 本文描述的实施例涉及高效认证用户同时阻止枚举攻击，还涉及提供登录错误消 息通知阻止枚举攻击。在一个实施例中，管理计算机系统从用户接收用户登录凭证。这些用 户登录凭证可包括用户标识符和密码。管理计算机系统随后做出以下确定中的至少一者： 其确定用户标识符不与任何现存用户帐户匹配；确定用户标识符匹配至少一个现存用户帐 户，但是用户的帐户处于锁定状态；或者确定用户标识符匹配至少一个现存用户帐户，但是 用户的密码不与用户标识符匹配。不管做出哪个确定，管理计算机系统随后向用户返回相 同的响应消息。该响应指示该用户的登录凭证无效。该响应还阻止用户确定是哪个凭证无 效，因为对于每个确定而言响应消息均是相同的，并且响应消息在对于每个确定而言相同 的所测响应时间之后被发送给用户。 在另一实施例中，客户端计算机系统将用户登录凭证从用户发送到认证服务器。 所述用户登录凭证包括用户标识符和密码。认证服务器做出以下确定中的至少一者：其确 定用户标识符不与任何现存用户帐户匹配；确定用户标识符匹配至少一个现存用户帐户， 但是用户的帐户处于锁定状态；或者确定用户标识符匹配至少一个现存用户帐户，但是用 户的密码不与用户标识符匹配。客户端计算机随后从认证服务器接收响应消息，该响应消 息指示该用户的凭证无效。该响应消息阻止用户确定是哪个凭证无效，因为对于每个确定 而言响应消息均是相同的，并且响应消息在对于每个确定而言相同的所测响应时间之后由 用户接收。 以下讨论现涉及可以执行的多种方法以及方法动作。应当注意，虽然这些方法动 作可能是按一定次序讨论的，或者是在流程图中被描绘为是按照特定顺序进行的，然而并 非必然需要特定的次序，除非是特别声明的或者是因为一个动作依赖于在执行该动作之前 完成另一动作而需要的。 本专利技术的各实施例可包括或利用专用或通用计算机，该专用或通用计算机包括诸 如举例而言一个或多个处理器和系统存储器的计算机硬件，如以下更详细讨论的。本专利技术 范围内的各实施例还包括用于承载或存储计算机可执行指令和/或数据结构的物理和其 他计算机可读介质。这样的计算机可读介质可以是可由通用或专用计算机系统访问的任何 可用介质。以数据形式存储有计算机可执行指令的计算机可读介质是计算机存储介质。承 载计算机可执行指令的计算机可读介质是传输介质。由此，作为示例而非限制，本专利技术的各 实施例可包括至少两种显著不同的计算机可读介质：计算机存储介质和传输介质。 计算机存储介质包括RAM、ROM、EEPROM、CD-ROM、基于RAM、闪存、相变存储器 (PCM)，或其它类型的存储器的固态驱动器（SSD)，或者其他光盘存储、磁盘存储或其他磁存 储设备，或可用于以计算机可执行指令、数据或数据结构形式存储所期望的程序代码装置 且可被通用或专用计算机访问的任何其他介质。 本文档来自技高网...

【技术保护点】
在包括多个计算系统的计算机联网环境中、在包括至少一个处理器和存储器的认证服务器计算机系统处，一种用于高效认证用户同时阻止枚举攻击的计算机实现的方法，所述方法包括：从用户接收用户登录凭证的动作，所述用户登录凭证包括用户标识符和密码；做出以下确定中的至少一者的动作：确定所述用户标识符不匹配任何现存用户帐户；确定所述用户标识符匹配至少一个现存用户帐户，但是所述用户的帐户处于锁定状态；以及确定所述用户标识符匹配至少一个现存用户帐户，但是所述用户的密码不匹配所述用户标识符；以及不管做出哪种确定，均向所述用户返回相同响应消息的动作，所述响应消息指示所述用户的登录凭证无效，其中所述响应消息阻止所述用户确定是所述凭证中的哪个凭证无效，因为对于每个确定而言所述响应消息是相同的，并且所述响应消息在对于每个确定而言相同的测得响应时间之后被发送给所述用户。

【技术特征摘要】
【国外来华专利技术】2012.02.01 US 13/364,2211. 在包括多个计算系统的计算机联网环境中、在包括至少一个处理器和存储器的认证 服务器计算机系统处，一种用于高效认证用户同时阻止枚举攻击的计算机实现的方法，所 述方法包括： 从用户接收用户登录凭证的动作，所述用户登录凭证包括用户标识符和密码； 做出以下确定中的至少一者的动作： 确定所述用户标识符不匹配任何现存用户帐户； 确定所述用户标识符匹配至少一个现存用户帐户，但是所述用户的帐户处于锁定状 态；以及 确定所述用户标识符匹配至少一个现存用户帐户，但是所述用户的密码不匹配所述用 户标识符；以及 不管做出哪种确定，均向所述用户返回相同响应消息的动作，所述响应消息指示所述 用户的登录凭证无效，其中所述响应消息阻止所述用户确定是所述凭证中的哪个凭证无 效，因为对于每个确定而言所述响应消息是相同的，并且所述响应消息在对于每个确定而 言相同的测得响应时间之后被发送给所述用户。2. 如权利要求1所述的方法，其特征在于，所述响应消息被存储而不存储不存在的帐 户的状态信息。3. 如权利要求1所述的方法，其特征在于，还包括跟踪每个用户的失败登录尝试的次 数。4. 如权利要求3所述的方法，其特征在于，还包括： 确定所述失败登录尝试的次数大于预定义最大数量的动作；以及 将所述用户的帐户置于锁定状态达指定时间量的动作，其中当所述用户的帐户处于锁 定状态时阻止所述用户登录。5. 如权利要求3所述的方法，其特征在于，还包括： 确定所述失败登录尝试的次数不大于预定义最大数量的动作；以及 将与所述用户相关联的失败登录尝试计数器递增1的动作，其中不向所述用户告知递 增的计数器，且其中一旦所述失败登录尝试计数器达到预定义最大值的时候所述用户的帐 户就被锁定。6. 在包括多个计算系统的计算机联网环境中、在包括至少一个处理器和存储器的客户 端计算机系统处，一种用于提供登录错误消息同时阻止枚举攻击的计算机实现的方法，所 述方法包括： 从用户向认证服务器发送用户登录凭证的动作，所述用户登录凭证包括用户标识符和 密码，所述认证服务器做出以下确定中的至少一者： 确...

【专利技术属性】
技术研发人员：A·戈登，R·A·伦丁，
申请(专利权)人：微软公司，
类型：发明
国别省市：美国;US