使用随机噪声符号和模式识别进行认证制造技术

在一些示例中公开了通过实施具有凭证的认证系统来允许更安全的认证尝试的方法、系统和机器可读介质，所述凭证包括由用户确定的位置中的穿插的噪声符号。由于窃听者难以将噪声符号与合法凭证符号分开，因此这些系统可以防范窃听者，例如背后偷窥者或中间人攻击。例如背后偷窥者或中间人攻击。例如背后偷窥者或中间人攻击。

【技术实现步骤摘要】
【国外来华专利技术】使用随机噪声符号和模式识别进行认证

技术介绍

[0001]尝试访问安全的访问受控资源的用户执行认证尝试，从而用户输入一个或多个凭证，例如用户名和密码。将输入的凭证与存储的凭证进行比较，以确定用户名和密码是否与被授权访问安全的访问受控资源的有效帐户相匹配。如果凭证与被授权访问安全的访问受控资源的有效帐户相匹配，则系统可以准许对访问受控资源的访问。
附图说明
[0002]在附图中，相同的附图标记可以描述不同视图中的相同组件，附图不一定是按比例绘制的。具有不同字母后缀的相同数字可表示相同组件的不同实例。附图通过示例而非限制的方式大体上示出了本文档中讨论的各种实施例。
[0003]图1描绘了根据本公开内容的一些示例的示例认证环境，其中用户设备的用户可以进行认证以访问安全的访问受控资源。
[0004]图2描绘了根据本公开内容的一些示例的示例认证环境，其中用户可以进行认证以访问安全的访问受控资源。
[0005]图3描绘了根据本公开内容的一些示例的具有附加的非指定的噪声符号的认证的数据流的图。
[0006]图4描绘了根据本公开内容的一些示例的对用户进行认证的方法的流程图。
[0007]图5描绘了根据本公开内容的一些示例的对用户进行认证的方法的流程图。
[0008]图6描绘了根据本公开内容的一些示例的对用户进行认证的方法的流程图。
[0009]图7和图8A
‑
图8C描绘了根据本公开内容的一些示例的、用于允许用户输入认证凭证的示例图形用户界面(GUI)的图。
[0010]图9描绘了根据本公开内容的一些示例的、具有分布式认证功能的用户设备和远程设备的图。
[0011]图10描绘了根据本公开内容的一些示例的、利用大小限制对用户进行认证的方法的流程图。
[0012]图11描绘了根据本公开内容的一些示例的、以散布标准的度量对用户进行认证的方法的流程图。
[0013]图12描绘了根据本公开内容的一些示例的具有附加的非指定的噪声符号的认证的数据流的图。
[0014]图13描绘了根据本公开内容的一些示例的、具有附加的非指定的噪声符号和实施的凭证子集的认证尝试的数据流的图。
[0015]图14
‑
图16描绘了根据本公开内容的一些示例的、利用凭证子集对用户进行认证的方法的流程图。
[0016]图17描绘了根据本公开内容的一些示例的示例机器的框图，该示例机器可以实施本文讨论的技术(例如，方法)中的一种或多种技术。
具体实施方式
[0017]图1描绘了根据本公开内容的一些示例的示例认证环境100，其中用户设备110的用户可以进行认证以访问安全的访问受控资源130。如图1所示，安全的访问受控资源130可以是用户设备110的安全的访问受控资源130或由可通过网络175访问的远程设备135提供的安全的访问受控资源130。安全的访问受控资源130可以包括对一个或多个文件、文件的一部分(例如，字段或数据结构)、应用的访问，对操作系统的访问，对用户设备110本身的访问，对一项或多项基于网络的服务(例如，社交网络服务、文件共享服务、电子邮件、通信服务等)的访问，对物理对象(例如，通过计算机控制对象的解锁)的访问，等等。
[0018]网络175可以包括任何计算网络，包括局域网(LAN)、广域网(WAN)、互联网等。在用户设备110处，用户对请求访问安全的访问受控资源130进行认证尝试。认证尝试是用户尝试证明拥有有效凭证以访问安全的访问受控资源。作为认证尝试的一部分，客户端125可以使得显示用户界面(UI)127(其可以是图形UI(GUI))，其请求访问安全的访问受控资源130所需的用户凭证。示例凭证包括用户名、密码、生物特征、令牌、数字证书、加密密钥等。
[0019]客户端125然后可以将用户输入的凭证传递给认证器120。认证器120可以确定用户输入的凭证是否有效。如果凭证有效，则认证器120可以准许对安全的访问受控资源130的访问。如果凭证无效，则认证器120可以拒绝对安全的访问受控资源130的访问。如果安全的访问受控资源130由远程设备135控制，则认证器120可以通过网络175发送消息以向远程设备135指示用户是否被授权访问安全的访问受控资源。客户端125然后可以经由UI 127通知用户访问是否被准许。
[0020]图2描绘了根据本公开内容的一些示例的示例认证环境200，其中利用用户设备110的用户可以进行认证以访问安全的访问受控资源130。图2与图1类似，除了认证器120位于远程设备250上之外。用户经由客户端125的UI 127输入凭证，如图1所示。在一些示例中，UI可以完全由客户端125提供，但是在其他示例中，UI可以部分地由远程设备250提供(例如，经由由远程设备250发送并由客户端125呈现以创建UI 127的一个或多个文件)。客户端经由网络175将凭证发送到远程设备250的认证器120。当通过网络175发送时，凭证可以被加密，例如，通过使用安全套接字层连接。
[0021]在图2的示例中，安全的访问受控资源130可以驻留在用户设备110、远程设备250或第二远程设备255处。认证器120可以直接地或者通过客户端125向安全的访问受控资源130所在的设备发送指示以指示用户是否被认证。在一些示例中，该指示可以是到设备(例如，诸如用户设备110或第二远程设备255)的直接消息。在其他示例中，如果用户成功认证，则认证器120可以向客户端125发布令牌。该令牌可以由用户设备110发送到安全的访问受控资源130所在的任何设备。设备(例如，110、250或255)然后验证令牌并且如果令牌被验证则准许用户对安全的访问受控资源的访问。
[0022]在传统的认证系统中，用户输入凭证，对照存储的凭证对输入的凭证进行检查(或以其他方式验证)，以确定输入的凭证是否与存储的凭证精确匹配。虽然要求精确匹配是传统认证系统中用于防止黑客试图通过使用蛮力攻击来猜测凭证的最安全的验证方法，但要求精确匹配对于远程认证可能是有问题的，因为通信信道可能会引入噪声，这可能导致认证失败。此外，精确匹配系统存在安全漏洞，因为它们会将用户的精确凭证暴露给窃听者。例如，安全漏洞可能是由于以下情况导致的：恶意用户窃听合法用户在输入他们的密码时
的键盘(所谓的背后偷窥者)、使用直接从用户键盘窃取数据的键盘记录器，或者使用拦截通信(例如可能被发送到服务器的凭证)的中间人攻击。在需要与用户凭证精确匹配的系统中，窃听者只需要拦截单次认证尝试即可危及用户的帐户。
[0023]为了更好地抵御这些窃听攻击，一些精确匹配认证系统需要输入与合法凭证符号穿插的一个或多个噪声符号。噪声符号是不属于用户凭证的一部分的一个或多个符号，并且不会对照存储的凭证对其进行检查以确定是否与用户的存储的凭证相匹配。符号是一个或多个数据单元，例如字符、字节、字等等。对密码进行认证的设备会移除这些噪声符号，以检查与存储的凭证的精确匹配。这些技术可能会击败试图通过观察用户键入本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于认证的方法，所述方法包括：使用一个或多个硬件处理器：识别与存储的密码相对应的第一字符集合；在认证尝试期间接收待认证的第二字符集合，其中，所接收的待认证的第二字符集合包括比与所述存储的密码相对应的所述第一字符集合更多的字符；以及基于确定所述第二字符集合包括下列各项，使得对访问受控资源的访问被准许：和与所述存储的密码相对应的所述第一字符集合相匹配并且顺序相同的第一字符子集，以及不是针对所述认证尝试指定的、并且以不是针对所述认证尝试指定的顺序与所述第一字符子集交织的第二字符子集。2.根据权利要求1所述的方法，其中，确定所述第二字符集合包括和与所述存储的密码相对应的所述第一字符集合相匹配并且顺序相同的所述第一字符子集包括：基于距离函数和最大距离阈值来确定所述第二字符集合和所述第一字符集合的部分之间的匹配。3.根据权利要求1所述的方法，其中，所述第二字符集合是通过网络接收的。4.根据权利要求1所述的方法，其中，所述第二字符集合是从通信地耦合至所述一个或多个硬件处理器的输入设备接收的。5.根据权利要求1所述的方法，其中，使得对所述访问受控资源的访问被准许包括：向控制所述访问受控资源的计算设备发送关于访问被准许的指示。6.根据权利要求1所述的方法，其中，确定所述第二字符集合包括所述第一字符子集包括：将包括所接收的第二字符集合的排列的多个向量对照所述第一字符集合进行匹配。7.根据权利要求6所述的方法，其中，将包括所接收的第二字符集合的排列的所述多个向量对照所述第一字符集合进行匹配包括：将从距离函数得出的距离与阈值进行比较。8.根据权利要求1所述的方法，其中，所述第一字符集合是从硬件存储设备检索的。9.根据权利要求1所述的方法，还包括：存储关于所述第二字符集合的信息；接收在第二认证尝试期间输入的第三字符集合；以及基于确定所述第三字符集合在所述第二字符集合的阈值相似度之内，...

【专利技术属性】
技术研发人员：A，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：