符号流中的部分模式识别制造技术

系统和方法可以被用于通过实现具有例如由用户选择的位置中散置的噪声符号的凭证的认证系统，来提供更安全的认证尝试。由于窃听者难以将噪声符号与合法凭证符号分开，因此这些系统和方法可以防止窃听者(诸如背后偷窥者或中间人)攻击。一些系统和方法可以使用具有散置噪声符号的凭证子集。散置噪声符号的凭证子集。散置噪声符号的凭证子集。

【技术实现步骤摘要】
【国外来华专利技术】符号流中的部分模式识别

技术介绍

[0001]尝试访问安全的访问受控资源的用户执行认证尝试，由此用户输入一个或多个凭证，诸如用户名和密码。将所输入的凭证与存储的凭证进行比较，以确定用户名和密码是否与被授权访问所述安全的访问受控资源的有效账户相匹配。如果所述凭证与被授权访问所述安全的访问受控资源的有效账户相匹配，则系统可以准许对所述访问受控资源的访问。
附图说明
[0002]在不一定按比例绘制的附图中，相似的数字可以在不同的视图中描述相似的组件。具有不同字母后缀的相似数字可以表示相似组件的不同实例。附图通过示例而非限制的方式大体图示了在本文档中所讨论的各种实施例。
[0003]图1图示了根据本公开的一些示例的示例性认证环境，其中，用户设备的用户可以进行认证以访问安全的访问受控资源。
[0004]图2图示了根据本公开的一些示例的示例性认证环境，其中，用户可以进行认证以访问安全的访问受控资源。
[0005]图3图示了根据本公开的一些示例的利用额外的、非指定的噪声符号进行认证的数据流的图。
[0006]图4图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0007]图5图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0008]图6图示了根据本公开的一些示例的对用户进行认证的方法的流程图。
[0009]图7和图8A
‑
8C图示了根据本公开的一些示例的用于允许用户输入认证凭证的示例形图形用户界面(GUI)的图。
[0010]图9图示了根据本公开的一些示例的具有分布式认证功能的用户设备和远程设备的图。
[0011]图10图示了根据本公开的一些示例的利用尺寸(size)限制来对用户进行认证的方法的流程图。
[0012]图11图示了根据本公开的一些示例的利用散布量度标准来对用户进行认证的方法的流程图。
[0013]图12图示了根据本公开的一些示例的利用额外的、非指定的噪声符号进行认证的数据流的图。
[0014]图13图示了根据本公开的一些示例的利用额外的、非指定的噪声符号和强制的凭证子集进行认证尝试的数据流的图。
[0015]图14
‑
16图示了根据本公开的一些示例的利用凭证子集来认证用户的方法的流程图。
[0016]图17图示了根据本公开的一些示例的示例性机器的框图，所述机器可以实现在本文中所讨论的技术(例如，方法)中的一种或多种技术(例如，方法)。
具体实施方式
[0017]图1图示了根据本公开的一些示例的示例性认证环境100，其中，用户设备110的用户可以进行认证以访问安全的访问受控资源130。如在图1中所示的，安全的访问受控资源130可以是用户设备110的安全的访问受控资源130或者由能通过网络175访问的远程设备135提供的安全的访问受控资源130。安全的访问受控资源130可以包括：对一个或多个文件、文件的部分(例如，字段或数据结构)、应用的访问，对操作系统的访问，对用户设备110自身的访问，对一个或多个基于网络的服务(例如，社交网络服务、文件共享服务、电子邮件、通信服务等)的访问，对物理对象的访问(例如，通过由计算机控件对对象的解锁)等。
[0018]网络175可以包括任何计算网络，包括：局域网(LAN)、广域网(WAN)、互联网等。在用户设备110处，用户对请求访问安全的访问受控资源130进行认证尝试。认证尝试是用户证明拥有访问所述安全的访问受控资源的有效凭证的尝试。作为所述认证尝试的一部分，客户端125可以使得显示用户界面(UI)127(其可以是图形UI(GUI))，其请求对于访问所述安全的访问受控资源130所需的用户凭证。示例性凭证包括：用户名、密码、生物特征、令牌、数字证书、加密密钥等。
[0019]客户端125然后可以将由用户输入的凭证传递给认证器120。认证器120可以确定由用户输入的凭证是否有效。如果所述凭证是有效的，则认证器120可以准许对所述安全的访问受控资源130的访问。如果所述凭证是无效的，则认证器120可以拒绝对所述安全的访问受控资源130的访问。如果安全的访问受控资源130由远程设备135来控制，则认证器120可以跨网络175发送消息以向远程设备135指示用户是否被授权访问所述安全的访问受控资源。客户端125然后可以经由UI 127通知用户访问是否被准许。
[0020]图2图示了根据本公开的一些示例的示例性认证环境200，其中，利用用户设备110的用户可以进行认证以访问安全的访问受控资源130。图2与图1是相似的，除了认证器120位于远程设备250上之外。如在图1中一样，用户经由客户端125的UI 127输入凭证。在一些示例中，所述UI可以完全由客户端125来提供，但是在其他示例中，所述UI可以部分地由远程设备250来提供(例如，经由由远程设备250传输的一个或多个文件并且由客户端125来呈现以创建UI 127)。所述客户端经由网络175向远程设备250的认证器120传输所述凭证。当跨网络175传输所述凭证时，可以对所述凭证进行加密，例如，通过利用安全套接字层连接。
[0021]在图2的示例中，安全的访问受控资源130可以驻留在用户设备110、远程设备250或者第二远程设备255处。认证器120可以向安全的访问受控资源130所位于的设备发送指示以指示用户是否被认证——直接地或通过客户端125。在一些示例中，所述指示可以是针对设备(例如，诸如用户设备110或第二远程设备255)的直接消息。在其他示例中，如果用户成功地认证，则认证器120可以向客户端125发出令牌。所述令牌可以由用户设备110发送到安全的访问受控资源130所位于其的任何设备。设备(例如，110、250或255)然后验证所述令牌，并且如果所述令牌被验证，则准许用户对所述安全的访问受控资源的访问。
[0022]在常规的认证系统中，用户键入凭证，相对于存储的凭证来检查(或者以其他方式验证)所述凭证，以确定所输入的凭证是否与存储的凭证精确匹配。尽管要求精确匹配在常规的认证系统中是最安全的验证方法，以防止黑客试图通过使用蛮力攻击来猜测所述凭证，但是要求精确匹配对于远程认证而言可能是有问题的，因为可能通过通信信道引入噪声，这可能导致认证失败。此外，精确匹配系统存在安全漏洞，因为其将用户的精确凭证暴
露给窃听者。例如，安全漏洞可能是由于恶意用户在合法用户键入其密码时窃听其键盘(所谓的背后偷窥者)、使用直接从用户的键盘窃取数据的键盘记录器、或者使用拦截通信(诸如可能被发送给服务器的凭证)的中间人攻击而导致的。在需要针对用户凭证的精确匹配的系统中，窃听者仅需要拦截单次认证尝试即可危害用户的账户。
[0023]为了获得抵御这些窃听攻击的更好的安全性，一些精确匹配认证系统需要输入与合法凭证符号散置(interspersed)在一起的一个或多个噪声符号。噪声符号是不作为用户凭证的一部分的一个或多个符号，并且不会相对存储的凭证进行检查以确定是否与用户的存储本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于相对于包括字符的第一集合的存储密码来认证待认证的密码的设备，所述设备包括：一个或多个硬件处理器；存储器，其存储指令，所述指令当被运行使得所述一个或多个硬件处理器执行包括以下的操作：在认证尝试期间接收待认证的字符的第二集合；以及基于以下项而使得对访问受控资源的访问被准予：确定所述字符的第二集合中没有子集与和所述存储密码相对应的所述字符的第一集合相匹配；以及确定所述字符的第二集合包括：所述字符的第二集合中与和所述存储密码相对应的所述字符的第一集合的一部分相匹配的第一子集，所述字符的第一集合的所述部分具有比所述字符的第一集合更少并且具有相同次序的字符；以及与所述字符的第一子集散置的最小数量的额外字符。2.根据权利要求1所述的设备，其中，所述操作还包括：在第二认证尝试期间接收待认证的字符的第三集合；以及基于确定所述字符的第三集合的子集与和所述存储密码相对应的所述字符的第一集合整体匹配而拒绝对所述访问受控资源的访问。3.根据权利要求1所述的设备，还包括以下操作：在第二认证尝试期间接收字符的第三集合；以及基于确定所述字符的第三集合包括以下项而使得对所述访问受控资源的访问被准予：与和所述存储密码相对应的所述字符的第一集合的一部分相匹配的字符的第二子集，所述字符的第一集合的所述部分具有比所述字符的第一集合更少并且具有相同次序的字符；以及与所述字符的第一子集散置的最小数量的第二额外字符，并且其中，所述字符的第一子集不同于所述字符的第二子集。4.根据权利要求1所述的设备，还包括以下操作：在第二认证尝试期间接收字符的第三集合；以及基于确定所述字符的第三集合包括以下项而使得对所述访问受控资源的访问被准予：与和所述存储密码相对应的所述字符的第一集合的一部分相匹配的字符的第二子集，所述字符的第一集合的所述部分具有比所述字符的第一集合更少并且具有相同次序的字符；以及与所述字符的第一子集散置的最小数量的第二额外字符，并且其中，所述第二额外字符不同于所述额外字符。5.根据权利要求1所述的设备，其中，使得对所述访问受控资源的访问被准予的所述操作包括：确定所述字符的第一集合的所述部分包括与所所述存储密码相对应的最小数量的字符。6.根据权利要求1所述的设备，其中，确定所述字符的第二集合包括所述字符的第一子集的所述操作包括：基于距离函数和最大距离阈值来确定所述字符的第二集合的部分与所
述字符的第一子集之间的匹配。7.根据权利要求6所述的设备，其中，使得对所述访问受控资源的访问被准予的所述操作包括：确定所述字符的第一子集距所述字符的第二集合的距离小于所述最大距离阈值并且大于零距离阈值。8.根据权利要求6所述的设备，其中，使得对所述访问受控资源的访问被准予的所述操作包括：确定所述字符...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：