在一些示例中,公开了通过实现利用证书的认证系统来允许更安全的认证尝试的方法、系统和机器可读介质,所述证书包括在由用户确定的良好分布位置中的散布噪声符号。由于窃听者难以将良好分布的噪声符号与合法凭证符号分开,因此这些系统使得相对于诸如背后偷窥者或中间人攻击的窃听者是安全的。间人攻击的窃听者是安全的。间人攻击的窃听者是安全的。
【技术实现步骤摘要】
【国外来华专利技术】利用良好分布的随机噪声符号的认证
技术介绍
[0001]尝试访问安全的访问受控资源的用户执行认证尝试,由此用户输入一个或多个凭证,诸如用户名和密码。将所输入的凭证与存储的凭证进行比较,以确定用户名和密码是否与被授权访问所述安全的访问受控资源的有效账户相匹配。如果所述凭证与被授权访问所述安全的访问受控资源的有效账户相匹配,则系统可以准许对所述访问受控资源的访问。
附图说明
[0002]在不一定按比例绘制的附图中,相似的数字可以在不同的视图中描述相似的组件。具有不同字母后缀的相似数字可以表示相似组件的不同实例。附图通过示例而非限制的方式大体图示了在本文档中所讨论的各种实施例。
[0003]图1图示了根据本公开的一些示例的示例性认证环境,其中,用户设备的用户可以进行认证以访问安全的访问受控资源。
[0004]图2图示了根据本公开的一些示例的示例性认证环境,其中,用户可以进行认证以访问安全的访问受控资源。
[0005]图3图示了根据本公开的一些示例的利用额外的、非指定的噪声符号进行认证的数据流的图。
[0006]图4图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0007]图5图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0008]图6图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0009]图7和图8A
‑
8C图示了根据本公开的一些示例的用于允许用户输入认证凭证的示例形图形用户界面(GUI)的图。
[0010]图9图示了根据本公开的一些示例的具有分布式认证功能的用户设备和远程设备的图。
[0011]图10图示了根据本公开的一些示例的利用尺寸(size)限制来对用户进行认证的方法的流程图。
[0012]图11图示了根据本公开的一些示例的利用散布量度标准来对用户进行认证的方法的流程图。
[0013]图12图示了根据本公开的一些示例的利用额外的、非指定的噪声符号进行认证的数据流的图。
[0014]图13图示了根据本公开的一些示例的利用额外的、非指定的噪声符号和强制的凭证子集进行认证尝试的数据流的图。
[0015]图14
‑
16图示了根据本公开的一些示例的利用凭证子集来认证用户的方法的流程图。
[0016]图17图示了根据本公开的一些示例的示例性机器的框图,所述机器可以实现在本文中所讨论的技术(例如,方法)中的一种或多种技术(例如,方法)。
具体实施方式
[0017]图1图示了根据本公开的一些示例的示例性认证环境100,其中,用户设备110的用户可以进行认证以访问安全的访问受控资源130。如在图1中所示的,安全的访问受控资源130可以是用户设备110的安全的访问受控资源130或者由能通过网络175访问的远程设备135提供的安全的访问受控资源130。安全的访问受控资源130可以包括:对一个或多个文件、文件的部分(例如,字段或数据结构)、应用的访问,对操作系统的访问,对用户设备110自身的访问,对一个或多个基于网络的服务(例如,社交网络服务、文件共享服务、电子邮件、通信服务等)的访问,对物理对象的访问(例如,通过由计算机控件对对象的解锁)等。
[0018]网络175可以包括任何计算网络,包括:局域网(LAN)、广域网(WAN)、互联网等。在用户设备110处,用户对请求访问安全的访问受控资源130进行认证尝试。认证尝试是用户证明拥有访问所述安全的访问受控资源的有效凭证的尝试。作为所述认证尝试的一部分,客户端125可以使得显示用户界面(UI)127(其可以是图形UI(GUI)),其请求对于访问所述安全的访问受控资源130所需的用户凭证。示例性凭证包括:用户名、密码、生物特征、令牌、数字证书、加密密钥等。
[0019]客户端125然后可以将由用户输入的凭证传递给认证器120。认证器120可以确定由用户输入的凭证是否有效。如果所述凭证是有效的,则认证器120可以准许对所述安全的访问受控资源130的访问。如果所述凭证是无效的,则认证器120可以拒绝对所述安全的访问受控资源130的访问。如果安全的访问受控资源130由远程设备135来控制,则认证器120可以跨网络175发送消息以向远程设备135指示用户是否被授权访问所述安全的访问受控资源。客户端125然后可以经由UI 127通知用户访问是否被准许。
[0020]图2图示了根据本公开的一些示例的示例性认证环境200,其中,利用用户设备110的用户可以进行认证以访问安全的访问受控资源130。图2与图1是相似的,除了认证器120位于远程设备250上之外。如在图1中一样,用户经由客户端125的UI 127输入凭证。在一些示例中,所述UI可以完全由客户端125来提供,但是在其他示例中,所述UI可以部分地由远程设备250来提供(例如,经由由远程设备250传输的一个或多个文件并且由客户端125来呈现以创建UI 127)。所述客户端经由网络175向远程设备250的认证器120传输所述凭证。当跨网络175传输所述凭证时,可以对所述凭证进行加密,例如,通过利用安全套接字层连接。
[0021]在图2的示例中,安全的访问受控资源130可以驻留在用户设备110、远程设备250或者第二远程设备255处。认证器120可以向安全的访问受控资源130所位于的设备发送指示以指示用户是否被认证——直接地或通过客户端125。在一些示例中,所述指示可以是针对设备(例如,诸如用户设备110或第二远程设备255)的直接消息。在其他示例中,如果用户成功地认证,则认证器120可以向客户端125发出令牌。所述令牌可以由用户设备110发送到安全的访问受控资源130所位于其的任何设备。设备(例如,110、250或255)然后验证所述令牌,并且如果所述令牌被验证,则准许用户对所述安全的访问受控资源的访问。
[0022]在常规的认证系统中,用户键入凭证,相对于存储的凭证来检查(或者以其他方式验证)所述凭证,以确定所输入的凭证是否与存储的凭证精确匹配。尽管要求精确匹配在常规的认证系统中是最安全的验证方法,以防止黑客试图通过使用蛮力攻击来猜测所述凭证,但是要求精确匹配对于远程认证而言可能是有问题的,因为可能通过通信信道引入噪声,这可能导致认证失败。此外,精确匹配系统存在安全漏洞,因为其将用户的精确凭证暴
露给窃听者。例如,安全漏洞可能是由于恶意用户在合法用户键入其密码时窃听其键盘(所谓的背后偷窥者)、使用直接从用户的键盘窃取数据的键盘记录器、或者使用拦截通信(诸如可能被发送给服务器的凭证)的中间人攻击而导致的。在需要针对用户凭证的精确匹配的系统中,窃听者仅需要拦截单次认证尝试即可危害用户的账户。
[0023]为了获得抵御这些窃听攻击的更好的安全性,一些精确匹配认证系统需要输入与合法凭证符号散置(interspersed)在一起的一个或多个噪声符号。噪声符号是不作为用户凭证的一部分的一个或多个符号,并且不会相对存储的凭证进行检查以确定是否与本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于相对于存储密码来认证密码的方法,所述方法包括:使用一个或多个硬件处理器:识别与所述存储密码相对应的字符的第一集合;在认证尝试期间接收待认证的字符的第二集合,其中,所接收到的待认证的字符的第二集合包括比与所述存储密码相对应的所述字符的第一集合更多的字符;以及基于确定所述字符的第二集合包括以下项而使得对访问受控资源的访问被准予:与对应于所述存储密码的所述字符的第一集合相匹配并且具有相同次序的字符的第一子集,以及未针对所述认证尝试而指定的并且以未针对所述认证尝试而指定的次序与所述字符的第一子集分布的字符的第二子集,其中,所述第一子集或所述第二子集的字符在所述字符的第二集合内的相应位置的散布量度在阈值范围内。2.根据权利要求1所述的方法,其中,所述第一子集或所述第二子集的所述相应位置的所述散布量度包括:所述字符的第二子集的后续字符在所述字符的第二集合内的相应位置之间的最大距离。3.根据权利要求1所述的方法,其中,所述第一子集或所述第二子集的所述相应位置的所述散布量度包括:所述字符的第二子集的后续字符在所述字符的第二集合内的相应位置之间的平均距离。4.根据权利要求1所述的方法,其中,所述第一子集或所述第二子集的所述相应位置的所述散布量度包括:所述字符的第二子集在所述字符的第二集合内的所述相应位置的方差。5.根据权利要求1所述的方法,其中,所述字符的第二集合是从被通信地耦合到所述一个或多个硬件处理器的输入设备接收的。6.根据权利要求1所述的方法,其中,确定所述字符的第二集合包括所述字符的第一子集包括:将包括所接收到的字符的第二集合的排列的多个向量相对于所述字符的第一集合进行匹配。7.根据权利要求6所述的方法,其中,将包括所接收到的字符的第二集合的排列的所述多个向量相对于所述字符的第一集合进行匹配包括:将从距离函数导出的距离与阈值进行比较。8.根据权利要求1所述的方法,还包括:存储关于所述字符的第二集合的信息;接收在第二认证尝试期间输入的字符的第三集合;以及基于确定以下项而使得对所述访问受控资源的访问被拒绝:所述字符的第三集合在所述字符的第二集合的阈值相似度内。9....
【专利技术属性】
技术研发人员:A,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。