一种用于当接收者单元离线时,提供接收者单元的用户验证的方法,包括基于与发送者单元的在线通信,存储与物品有关的一个或多个询问-应答集。每个询问-应答集包括至少一个询问-应答对,用于对于可通过接收者单元获得的特定资源进行用户的离线验证。当用户离线时,该方法包括选择多个存储的询问-应答集的至少一个,用于对于可通过接收者单元获得的特定资源进行用户的离线验证。
【技术实现步骤摘要】
本专利技术通常涉及用于提供用户和目标资源或信息发送实体之间的验证的方法和装置,以及更具体地说,涉及采用软令牌或硬令牌来提供用户和目标资源或信息发送实体之间的相互验证的方法和装置。
技术介绍
已知相互验证系统和方法尝试验证由内容服务供应商或其它目标资源提供的信息的用户或接收者,所述目标资源例如可通过在线通信链路、诸如通过互联网、内联网或任何其它适当的无线或非无线网络来访问。这些方法和装置尝试阻止尝试窃取用户身份的黑客或其它人的恶意利用。例如,恶意实体可能使用合法银行的地址来发送邮件,并将接收者引向“假冒网站”。相信它是合法站点的接收者可以被欺骗提供能由恶意方使用来访问接收者在线帐户的诸如帐号和口令字的信息。这一问题可能在消费者人群中尤其严重,其中,传统的在线相互验证方法可能非常复杂,通常要求昂贵的硬件配置和复杂的用户交互,使得这种相互验证技术不实际。同样地,期望提供允许以相对低廉但安全的方式来确认正访问所需目标组织(即发送实体)的用户或接收者的系统和方法。已知双因素验证技术,例如使用第一验证因素来验证终端用户的身份,以及用于验证的第二因素补充通常用在第一因素验证中的用户名和口令字。第二因素的概念是,用户能使用他们知道的一些东西(即他们的口令字)以及他们具有的一些东西(即第二因素,可以是例如硬件令牌)来进行验证。典型地,第二因素机制是基于硬件的,并被物理分发给终端用户。例如,时间同步令牌是已知的并有时被称为多因素验证技术。下面进一步描述几种已知的技术。同时,已知用于结合互联网应用来执行目标组织验证的各种方法,包括例如基于主办给定web应用的组织的身份,由可信第三方来提供证明的安全套接字层服务器验证。然而,这会要求用户执行双击屏上图标并读完信息的手动步骤。要求手动动作通常会防碍一致执行,由此破坏该方法的有效性。另外,也已知客户机安全性插件应用,包含终端用户下载并安装提供用户何时与合法站点通信的可视表示的客户机端软件。然而,对终端用户来说,下载和安装软件或通过几个手动步骤来确认目标组织的身份是很麻烦的。另外,用户和目标组织验证方法当延伸到其它通信信道,诸如通过诸如便携式电话、个人数字助理、互联网设备的移动设备或其它移动设备的交互式语音响应系统或通信时也是不实际的,因为它们依赖于基于web的应用独特的用户显示和输入方法。确保已经由信任的也称为可信发送实体发送了发送电子邮件消息或其它电子消息有助于确保防止重要信息被恶意方窃取或能帮助限制垃圾邮件和网络钓鱼(phishing)。网络钓鱼是互联网骗局的一种形式,通常包含好象来自合法组织,诸如银行或其它金融机构或其它组织的邮件的大规模发送。这些邮件通常将接收者引向欺骗网站或由此欺骗他或她泄露个人或金融信息。另一种网络钓鱼骗局可能不要求这些信息,但一旦输入URL,则执行下载击键登录程序,该程序允许网络钓鱼者从接收者的机器获得信息。然后,该信息能用于身份窃取或欺骗。网络钓鱼攻击会很昂贵且会消耗公司的资源,因为例如大量攻击会遇到大量目标公司以及数亿网络钓鱼消息通过过滤系统,会降低电子邮件递送,用光服务器的宝贵处理时间以及最终会导致重要金融数据流失到不道德方。已经尝试解决这一问题的几种解决方案。因为网络钓鱼攻击通常开始于从仿造的发送地址发送大量电子邮件,努力减少垃圾邮件在降低网络钓鱼攻击量方面相当有效。例如,一种方法被称为发送者策略架构,消息的发起人或发起人域在目录或其它适当的库中公布通过接收消息传送代理而验证的合法发送计算机地址。消息传送代理可以经DNS服务器(域名服务器)来校验接收的消息。然而,该技术会要求普遍采用实现和配置可能昂贵的SPF使能消息传送代理。被称为主动协同减少垃圾邮件的另一技术也要求发起人域中的发起人以如上所述比较类似的方式来公布由接收消息传送代理校验的合法发送计算机地址。另一技术要求域数字签名电子邮件,通过经DNS服务器接收消息传送代理来对其进行校验。同样地,这也要求普遍采用改进版本的消息传送代理。另一技术使用S/MINE协议,其中,发送个人或域数字签名电子邮件,通过接收呼入消息传送代理或用户电子邮件客户机对其进行校验。这要求在基于web的电子邮件客户机中当前不支持的特定电子邮件客户机特征或接收者消息传送代理。另一技术采用在发送者和接收者之间共享的保密图像。如所理解的,私人图像由用户发送到验证服务器。该服务器存储接收者发送的图像。验证服务器也可以通过电子邮件将私人图像发送到接收者,以及看到图像的用户认出这是他发送的那个。同时,在登录到站点期间,服务器可以将图像包括在登录页中,使得当用户看到他们的私人图像时,用户信任该登录页(见例如www.passmarksecurity.com)。在其它缺点中,该系统似乎将同一图像用于多次登录直到改变共享图像为止,并会要求接收者选择并将该图像发送到发送服务器。另外,已知其它系统尝试提供接收者验证,而不是发送者验证。例如,US专利No.5,712,627除别的以外,公开了一种发行的标识卡,在分配的卡上的一个可访问地址处具有标记。该卡可以具有可按行或列访问的不同数字、字母或符号的行和列。为了确定是否授权正试图访问数据的人获得所请求的访问,将标识卡分发给受权用户。尝试访问的请求人提供在如由安全系统指定的卡上的一个或多个可访问位置处的标记。为了告知输入和返回哪一标记,系统选择已知存在于特定卡上的同等标记。然后,接收者必须发回位于由安全系统发送的地址处的标记。如果该标记与指定给正试图访问的人的标记匹配,那么,准许访问。然而,这些系统未解决有关网络钓鱼的问题,因为该系统提供接收者而不是发送者的验证,以及请求正尝试访问的人向系统识别它们自己,以及该系统要求用户输入和发送位于安全卡上的信息。也已知其它验证系统,例如已经用在军事中,已经使用数字加密/验证系统,其采用由发送者和接收者持有的卡。例如通过使用询问和应答验证方案来验证传输。例如电子传输的发送者可以使用该卡并随机选择行和列,并传送行和列标识符作为询问。作为应答,使用行和列标识符来查找字母然后传送回。如此,发送者能确保接收者拥有卡。然而,通常通过颠倒地重复相同的询问和应答来完成发送者到接收者的验证,并且发送者和接收者都必须拥有相同的验证卡来实现相互验证。另一技术也使用包括有关发送者和接收者的信息的行和列的卡,然而,该传输验证方案用来验证传输。例如,在传输验证期间,传输验证图的列位于密码表的后面并用来验证发送者。通过指定代表,诸如单元的命令者来进行列分配。发送者和接收者事先都知道列分配。传输验证图仅使用一次。使用指定列中的第一个未用验证码以及通过验证码画线以便防止其再用。这些方案不利用卡上的信息的随机选择以及不利用发送协同信息,因为事前已知列信息。如此,显然仅发送验证信息。如果发送者发送验证信息并由接收者确定其有效,则接收者从该卡划掉该验证信息。下次要求验证时,使用同一列中的下一个验证信息。如此,使用顺序和非随机方法。然而,如果接收者的验证卡丢失或由不道德方获得,则他们将知道如何充当发送者,因为他们知道哪一验证信息是列中的下一个,因为利用了非随机选择以及因为该卡在其上具有标记。在该系统中,由于用来验证发送者的信息列对于发送者和接收者来说事前已知,不发送协同信息。另外,如本文档来自技高网...
【技术保护点】
一种用于提供接收者单元的用户的验证的方法,包括: 基于与发送者单元的在线通信,存储与物品有关的至少一个询问-应答集,所述至少一个询问-应答集包括至少一个询问-应答对,用于对于可通过接收者单元获得的特定资源进行用户的离线验证;以及 选择至少一个存储的询问-应答集,用于对于可通过接收者单元获得的特定资源进行用户的离线验证。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:克里斯维埃斯,马克史密斯,穆雷麦库莱,罗伯特朱克切拉托,
申请(专利权)人:因特鲁斯特有限公司,
类型:发明
国别省市:CA[加拿大]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。