使用短暂URL密码来阻止大量攻击制造技术

描述了用于使用短暂URL密码来阻止大量攻击的方法和系统。从客户端计算设备检测要访问若干受保护的URL中的一个的请求。从客户端计算设备接收URL密码。在确定所接收到的URL密码对于若干受保护的URL中的一个有效时，将请求重新定向到受保护的URL。

【技术实现步骤摘要】
【国外来华专利技术】使用短暂URL密码来阻止大量攻击
主题技术总体上涉及阻止不良行为者，并且更具体地，涉及一种利用短暂统一资源定位符(URL)密码来防止大量攻击的系统和方法。
技术介绍
诸如之类的财政机构将URL暴露给互联网，这些URL被外部商家和客户客户端用于认证目的。这些URL构成安全性风险，因为URL必须接受未经认证的请求作为认证过程的一部分，同时提供进入客户的账户和财政中的路径。因此，这些URL已变成通过僵尸网络进行大量凭证填充和拒绝服务攻击的目标。在凭证填充(credential-stuffing)的实例中，黑客可以获取被盗账户凭证并且试图使用它们来通过针对web应用的大规模自动化登录请求来访问用户账户。换句话说，可以跨与不同组织相关联的不同URL尝试大量的泄露账户凭证(例如，用户名和密码对)。任何个人被盗凭证是特定组织的账户的实际用户名和密码的可能性低；然而，通过尝试跨许多不同组织的账户收集大量的被盗凭证，可以发现潜在的用户名和密码匹配。这些类型的技术被调制解调器计算能力促进，其中可在短时间量内尝试许多用户名和密码。虽然某些组织现在需要更鲁棒的密码或者利用诸如captcha之类的程序，但是不良行为者继续开发使许多这些要求失效的变通方法。此外，当不良行为者能够获得被盗凭证时，更鲁棒的密码不再有用。因此，为了使这样的黑客尝试处于困难境地，可以采纳用于减慢这样的大量攻击而不将合法用户拒之门外的新方法。
技术实现思路
根据主题技术的各个方面，描述了一种用于使用短暂URL密码来阻止大量攻击的系统。从客户端计算设备检测要访问若干受保护的URL中的一个的请求，从客户端计算设备接收URL密码。在确定所接收到的URL密码对于该URL有效时，客户端计算设备的请求被重新定向到受保护的URL。根据主题技术的各个方面，描述了一种使用短暂URL密码来阻止大量攻击的方法。从客户端计算设备检测要访问多个受保护的URL中的一个的请求。基于由客户端计算设备下载的码本，接收URL密码。做出所接收到的URL密码所基于的码本未过期的确定。做出在先前使用的URL密码的缓存中未找到所接收到的URL密码的另一确定。做出所接收到的URL密码对由客户端设备请求的URL有效的进一步确定。客户端计算设备的请求然后被重新定向到受保护的URL。根据本技术的各个方面，描述了一种非暂时性机器可读介质，在其上存储有可执行以用于使用短暂URL密码来阻止大量攻击的机器可读指令。从客户端计算设备检测到要访问若干受保护的URL中的一个的请求。从客户端计算设备接收URL密码。在确定所接收到的URL密码对于受保护的URL有效时，访问请求被重新定向到受保护的URL。主题技术的附加特征和优点将在以下描述中被阐述，并且部分地将通过描述而显而易见，或者可以通过对主题技术的实践来学习。将通过所撰写的说明书及其权利要求以及附图中特别指出的结构来实现和获得主题技术的优点。应当理解，前面的总体描述和下面的详细描述都是示例性和说明性的，并且旨在提供对所要求保护的本专利技术的进一步说明。附图说明附图被包括以提供对主题技术的进一步理解，并且被并入本说明书中并构成本说明书的一部分，附图图示了主题技术的各方面，并且与说明书一起用来说明主题技术的原理。图1是示例性计算系统的框图，可以在该计算系统上执行使用短暂URL密码来确定客户端的合法性。图2是适合于实现图1中的计算系统的一个或多个设备的示例性计算机系统的框图。图3图示了用于使用短暂URL密码来确定客户端的合法性的示例性过程300。图4图示了用于证实URL密码的示例性过程400。图5提供了在计算设备的网络内对计算设备上的凭证填充尝试的说明性描绘。具体实施方式个人电子设备(例如，智能电话、台式电脑、平板电脑、膝上型电脑等)被用于各种目的，包括但不限于实时通信、财政交易以及数据的传输或共享。为了正确地进行这些活动，必须对用户进行认证以确保该用户是否是其所声称的人。提供了许多应用以便用户连接到他们的包含敏感信息(例如，个人信息、财政信息等)的账户。结果，用作通向敏感信息的网关的这些应用成为不道德活动的目标。在黑客之间流行的一种技术是凭证填充，其中黑客运行使用被盗或甚至伪造的凭证(例如，用户名和密码对)来尝试针对web应用的大规模登录请求的程序(例如，僵尸网络)。僵尸网络可以在某些商家的URL上模拟认证请求。计算能力的提高仅使得黑客更容易在较短时间段内尝试收集更多的凭证。虽然已使用诸如reCaptcha之类的工具来防止海量认证请求，但是像reCaptcha这样的工具的使用可能引起登录过程不便，并且进而可能将客户拒之门外。最终，通过纯粹的蛮力方法，某些账户可能被泄露。用于抑制由发送高速率的客户认证请求的僵尸网络进行的大量攻击的一个方式是需要客户端在可以提交每个认证请求之前支付计算成本。这样做将使由潜在黑客使用的系统不得不花费更多的资源来尝试大量攻击。这样的机制可以阻碍黑客启动这些攻击，因为它们不再高效或有效，或者这样的机制可以使黑客切换到不承担这样的成本的不同目标。然而，不会阻碍合法客户端支付计算成本，因为合法客户端拥有用于成功地执行认证请求的凭证。另一方面，僵尸网络被要求每次进行尝试时支付计算成本。换句话说，合法客户端仅必须每次进行登录尝试时支付成本一次(假定尝试是成功的)，然而僵尸网络将为许多尝试中的每次尝试支付成本(极高的不成功比例)。这种方法的成功依靠询问(challenge)协议的若干特性：1)存在对单个询问的多个正确答案；2)对由客户端提供的询问的答案是容易可验证的；3)对询问的正确答案中的每一个只能被使用一次；以及4)任何单个询问仅在有限时间量内可用。这些特性是通过要求外部客户端执行计算昂贵的任务(例如，找到当在对服务器提供的一次性随机数(nonce)的HMAC-SHA-256计算中用作密钥时产生具有前缀的签名的256位值，服务器已使该前缀与URL相关联)以将请求授权给受保护的URL来实现的，其中密钥和一次性随机数一起构成URL的有效“密码”。可以在可由客户端下载的码本中提供计算昂贵的任务，其中码本限定询问协议的某些特性，包括其寿命(例如，可以使用询问协议中的每一种多长时间)。本说明书包括对“一个实施例”、“一些实施例”或“实施例”的引用。这些短语的出现不一定引用同一实施例。可以以与本公开一致的任何合适的方式组合特定特征、结构或特性。在本文中使用“第一”、“第二”等，这些术语被用作它们之后跟随的名词的标签，而不一定暗示任何类型的排序(例如，空间、时间、逻辑、基数等)。此外，可以将各种组件描述或要求为“被配置为”执行一个或多个任务。在这样的上下文中，“被配置为”用于通过指示组件包括在操作期间执行一个或多个任务的结构(例如，存储的逻辑)来表示结构。因此，即使当组件当前不工作(例如，未开启)时，组件也可以被认为是被配置为执行任务。叙述组件被“配置为”执行一个或多个任务明确地旨在不针对该组件援引美国法典第35条第112(f)本文档来自技高网...

【技术保护点】
1.一种用于保护统一资源定位符(URL)的系统，所述系统包括：/n非暂时性存储器，所述非暂时性存储器存储指令；和/n一个或多个硬件处理器，所述一个或多个硬件处理器耦合到所述非暂时性存储器，并且被配置为从所述非暂时性存储器读取所述指令以使所述系统执行包括以下项的操作：/n检测来自客户端计算设备的、要访问多个受保护的URL中的一个的请求；/n从所述客户端计算设备接收URL密码；以及/n在确定所接收到的URL密码对于所述多个受保护的URL中的所述一个有效时，将所述请求重新定向到这个受保护的URL。/n

【技术特征摘要】
【国外来华专利技术】20180907 US 16/124,7281.一种用于保护统一资源定位符(URL)的系统，所述系统包括：
非暂时性存储器，所述非暂时性存储器存储指令；和
一个或多个硬件处理器，所述一个或多个硬件处理器耦合到所述非暂时性存储器，并且被配置为从所述非暂时性存储器读取所述指令以使所述系统执行包括以下项的操作：
检测来自客户端计算设备的、要访问多个受保护的URL中的一个的请求；
从所述客户端计算设备接收URL密码；以及
在确定所接收到的URL密码对于所述多个受保护的URL中的所述一个有效时，将所述请求重新定向到这个受保护的URL。


2.根据权利要求1所述的系统，其中，所接收到的URL密码响应于能够由所述客户端计算设备下载的码本中提供的多个询问-响应问题中的一个。


3.根据权利要求2所述的系统，其中，当i)确定所述码本未过期；ii)在先前使用的密码的缓存中未找到所述URL密码；iii)所述URL密码是对所述多个询问-响应问题中的所述一个的适当响应，并且iv)由所述URL密码解决的问题与所述码本中与所述请求匹配的所述多个受保护的URL中的所述一个相关联时，所述URL密码被确定为有效。


4.根据权利要求2所述的系统，其中，所述询问-响应问题中的每一个均与所述多个受保护的URL中的至少一个相关联。


5.根据权利要求2所述的系统，其中，所述询问-响应问题是基于散列的消息认证代码(HMAC)操作。


6.根据权利要求5所述的系统，其中，所述HMAC操作使用SHA-256作为所述操作的散列函数。


7.根据权利要求6所述的系统，其中，所述询问-响应问题包括找到256位值，所述256位值当在对由所述系统提供的一次性随机数的HMAC-SHA-256计算中用作密钥时，产生具有前缀的签名，所述前缀与检测访问请求所针对的所述多个受保护的URL中的所述一个相关联。


8.根据权利要求7所述的系统，其中，当所找到的256位值在用于用HMAC-256对所述一次性随机数签名时产生具有预定前缀的签名时，所接收到的URL密码被证实。


9.一种用于保护URL的方法，所述方法包括：
检测来自客户端计算设备的、要访问多个受保护的URL中的一个的请求；
从所述客户端计算设备接收基于能够由所述客户端计算设备下载的码本的URL密码；
确定所接收到的URL密码所基于的所述码本未过期；
确定在先前使用的URL密码的缓存中未找到所接收到的URL密码；
确定所接收到的URL密码对于所述多个受保护的URL中的所述一个有效；以及
将所述请求重新定向到这个受保护的URL。

<...

【专利技术属性】
技术研发人员：约翰·佛朗科，
申请(专利权)人：贝宝公司，
类型：发明
国别省市：美国;US