一种用于资源的访问控制方法,该资源具有相关联的用于提供对该资源的访问的当前认证标识符、之前的认证标识符、以及不正确认证提交限度,该方法响应从请求访问该资源的实体接收认证提交,其中该认证提交不对应当前认证标识符,该方法包括以下步骤: 阻止由请求者访问资源; 响应于该认证提交不对应之前的认证标识符、并且满足不正确认证提交限度的确定,导致当前认证标识符变为废止;以及 响应于该认证提交对应之前的认证标识符的确定,维持用于提供对资源的访问的当前认证标识符。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用于资源的访问控制领域。尤其涉及阻止对资源访问的不期望的废止(revocation )。
技术介绍
对共享资源的访问能够依靠使用保密标识符(如密码)的认证系统来保 护。这样的共享资源能够包括具有处理器的计算机系统、存储设备、数据库、 软件例程、通信工具或输出设备。该标识符能够在请求访问资源的各请求者 (requester)实体(如客户机计算机系统)之间共享。这样的认证系统易于受 未认证的请求者攻击,该未认证的请求者施加强力(brute force)方法以击败 认证。该强力方法包括请求访问资源大量次数,每次使用不同的认证标识符 以试图确定正确的标识符。例如,当变化可允许的字符的组合,能够自动生 成大量可能的密码,并且能够用每个密码请求访问资源直到识别正确的密码。图1是现有技术中的用于认证对资源102的访问的系统的方块图。图1 的现有技术系统适于克服如上所述的那些强力攻击。请求者112通过将认证 提交114 (如密码)提交到认证器104来请求访问资源102。该认证器104包 括对资源的引用作为资源标识符106、以及当前认证标识符108。当前认证标 识符108是这样的标识符,其如果由请求者提供,则将导致认证器104授权 访问资源102。由请求者提供的任何不同于当前认证标识符108的标识符将 导致访问被拒绝。这是因为只有当前的认证标识符108能够用于获取对资源 102的访问,并且以这种方式,认证器104认证对资源102的授权访问。该 认证器104还包括当前标识符废止器110,其可操作当认证器从请求者112 接收不匹配当前认证标识符108的认证提交114时废止当前认证标识符108。 当前认证标识符108的废止致使当前认证标识符108无效,并且阻止对资源 102未来的访问,直到当前认证标识符108由如系统管理员恢复。以这种方 式,认证器104通过在接收了不正确认证提交114后阻止对资源102的访问, 克服了强力攻击的问题。在实践中,当前标识符废止器110通过在当前认证标识符108被实际上废止前,要求进行一定数目的对资源102的访问请求(每 次具有不匹配当前认证标识符108的认证提交114),能够采用延迟废止。例 如,要求用户输入密码以访问计算机资源的用户访问控制系统,可能在提供 了三次不正确的密码的情况下废止对资源的访问。虽然如上所述的图1的系统为对访问控制系统的强力攻击问题提供有效 的解决方案,但是仍存在多个授权的请求者共享共同的认证标识符的问题。 如果一个请求者改变当前的认证标识符,则其它的请求者只留下过期的认证 信息,这将不允许他们访问该资源。只有当前认证标识符应提供访问资源这 才是可接受的,但是当各请求者试图用它们过期的认证标识符访问该资源时, 当前认证标识符将由于不正确的标识符的使用而必然地变为废止的。这具有 阻止由所有请求者(包括具有最新认证信息的那些)访问资源的不期望的效 果。这不是可接受的结果,特别是在按需(on-demand)计算机系统中,其中 要求在除了最极端情况外的所有情况中维持各资源的可用性。因此在对资源的认证标识符的改变致使由该资源的授权的请求者保持的 认证信息过期的情况下,提供资源的连续可用性将是有利的。
技术实现思路
在第一方面,本专利技术相应地提供了一种用于资源的访问控制方法,该资 源具有相关联的用于提供对该资源的访问的当前认证标识符、之前的认证标 识符、以及不正确认证提交限度,该方法响应从请求访问该资源的实体接收 认证提交,其中该认证提交不对应当前认证标识符,该方法包括以下步骤 阻止由请求者访问资源;响应于该认证提交不对应之前的认证标识符、并且 满足不正确认证提交限度的确定,导致当前认证标识符变为废止;以及响应 于该认证提交对应之前的认证标识符的确定,维持用于提供对资源的访问的 当前i人i正才示i 、才夺。以这种方式,该访问控制方法通过在接收不正确认证提交时阻止对资源 的访问,克服了强力攻击的问题,除了其中该不正确认证提交是用于该资源 的之前有效的认证标识符。因此,请求访问该资源的具有过期认证信息的各 请求者不会促使当前认证标识符的废止,虽然他们自己不能访问该资源。只 有具有不是当前的并且不是之前的认证提交的请求者,有效地促使当前认证 标识符的废止。优选地,不正确认证提交限度对应于单个确定认证提交不对应之前的 认证标识符。优选地,当前认证标识符是资源的当前密码,之前的认证标识符是用于 该资源的之前的密码,并且认证提交是密码提交。优选地,资源还具有相关联的不正确认证提交计数,并且导致当前认证标识符变为废止包括以下步骤更新不正确认证提交计数;以及响应于不正 确认证提交计数已经达到不正确认证提交限度的确定,经由当前认证标识符 阻止对资源的访问。优选地,资源是服务器实体而请求者是客户机实体。 优选地,请求访问资源的实体是一组实体的一个,并且当前认证标识符 对该组实体中的所有实体共用。优选地,当前认证标识符对该组实体是秘密的。在第二方面,本专利技术相应地提供一种用于为资源提供访问控制的系统, 该资源具有相关联的用于提供对该资源的访问的当前认证标识符、之前的认 证标识符、以及不正确认证提交限度,该方法响应从请求访问该资源的实体 接收认证提交,其中该认证提交不对应当前认证标识符,该系统包括用于 阻止由请求者访问资源的装置;响应于该认证提交不对应之前的认证标识符、 并且满足不正确认证提交限度的确定,用于导致当前认证标识符变为废止的 装置;以及响应于该认证提交对应之前的认证标识符的确定,用于维持用于 提供对资源的访问的当前认证标识符的装置。在第三方面,本专利技术相应地提供一种包括程序代码的计算机程序产品, 其在数据处理系统上执行时,指令数据处理系统执行上述方法。在第四方面,本专利技术相应地提供一种数据处理系统,其包括中央处理 单元;存储器子系统;输入/输出子系统;以及总线子系统,用于将中央处理 单元、存储器子系统、输入/输出子系统相互连接;以及如上所述的系统。附图说明现在将参照附图,仅通过示例的方式描述本专利技术的优选实施例,在附图中图1是现有技术中用于认证对资源的访问的系统方块图;图2是适于本专利技术各实施例的操作的计算机系统的示例性方块图;图3是根据本专利技术优选实施例、用于认证对资源的访问的系统的示例性方块图;图4是根据本专利技术优选实施例、用于给授权的请求者提供对资源的访问 的图3的认证器的方法的示例性流程图;图5是根据本专利技术优选实施例的、示例性当前标识符废止器的示例性方 块图;图6是根据本专利技术优选实施例的、图4的当前标识符废止器的方法的示 例性流程图;图7是根据本专利技术优选实施例、用于授权的请求者改变当前认证标识符 的图3的认证器的方法的示例性流程图;图8a是根据本专利技术优选实施例、包括认证器和资源的服务器计算机系统 的第一示例性方块图;图8b是根据本专利技术优选实施例、图示图8a的客户机系统和服务器计算 机系统之间的请求流的流程图;图9a是根据本专利技术优选实施例、包括认证器和资源的服务器计算机系统 的第二示例性方块图;图9b是根据本专利技术优选实施例、图示图9a的客户机系统和服务器计算 机系统之间的请求流的流程图。具体实施方式图2是适于本专利技术各实施例的操作的计算机系统的示例性方块图。中央 处理单元(CPU) 本文档来自技高网...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于资源的访问控制方法,该资源具有相关联的用于提供对该资源的访问的当前认证标识符、之前的认证标识符、以及不正确认证提交限度,该方法响应从请求访问该资源的实体接收认证提交,其中该认证提交不对应当前认证标识符,该方法包括以下步骤阻止由请求者访问资源;响应于该认证提交不对应之前的认证标识符、并且满足不正确认证提交限度的确定,导致当前认证标识符变为废止;以及响应于该认证提交对应之前的认证标识符的确定,维持用于提供对资源的访问的当前认证标识符。2. 根据权利要求1所述的方法,其中不正确认证提交限度对应于认证提 交不对应之前的认证标识符的单个确定。3. 根据权利要求1所述的方法,其中当前认证标识符是用于该资源的当 前密码;之前的认证标识符是用于该资源的之前的密码;并且认证提交是密 码提交。4. 根据权利要求1所述的方法,其中资源还具有相关联的不正确认证提 交计数,并且导致当前认证标识符变为废止包括以下步骤更新不正确认证提交计数;以及响应于不正确认证提交计数已经达到不正确认证提交限度的确定,经由 当前认证标识符阻止访问资源。5. 根据权利要求1所述的方法,其中资源是服务器实体并且请求者是客 户才几实体。6. 根据权利要求1所述的方法,其中请求访问资源的实体是一组实体的 一个,并且当前认证标识符对该组实体中的所有实体共用。7. 根据权利要求6所述的方法,其中当前认证标识符对该组实体是秘密的。8. —种用于为资源提供访问控制的系统,该资源具有相关联的用于提供 对该资源的访问的当前认证标识符、之前的认证标识符、以及不正确认证提 交限度,该方法响应从请求访问该资源的实体接收认证提交,其中...
【专利技术属性】
技术研发人员:彼得·J·约翰逊,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。