专利名称:基于随机部分数字化路径识别的鉴别系统和方法
技术领域:
本发明总的涉及用于计算机和网络安全访问控制系统的用户鉴别系统;更具体涉及在客户端/服务器网络架构和其他架构中、改进的基于“用户知道什么”(what user knows)的鉴别因素。
背景技术:
最广泛使用的用户鉴别方法在这里称为标准静态口令识别(SSPR)算法。SSPR算法简单地要求用户输入用户名和口令来进行鉴别。这是“用户知道什么”类型的鉴别因素。其他类型的鉴别因素没有那么广泛地使用,并且包括“用户有什么”(卡钥)和“用户是什么”(指纹)。“用户有什么”和“用户是什么”类型的鉴别因素要求在输入终端上有专门的硬件设备,如读卡器、令牌、指纹传感器等,因此通常比起“用户知道什么”类型来要昂贵和难以实施得多。“用户知道什么”类型的鉴别因素受限于个人记忆有关因素的能力。例如,典型的用户在“舒适水平”的记忆复杂度内选择SSPR的口令,通常在1到7(或8)个字母数字字符长的范围内。常常,口令是简单的单词或整数(如“patriot”、“London”、11223344等)。技术进步和当代行业社会安全的需求导致了与典型的SSPR中的口令安全有关的至少两个严重问题,包括1.入侵者可以采用蛮力的技术(称为字典攻击),对口令文件连续尝试穷举列表中的所有单词。每个连续尝试的单词使用与受攻击的登录程序所使用的相同算法加密。字典攻击无论是针对在通信线路上截获的散列口令还是直接在口令输入设备上,都允许很容易地重新设置口令。
2.另一个问题是关于对于多数用户的“舒适水平”的复杂度内的典型口令的口令组合能力。对于大的组织,这些舒适水平内的口令范围可能是不够的。
考虑上述1和2项的典型企业级解决方案(企业范围的IT部门策略)要求用户具有至少4-5(或者更多)个区分大小写的字母数字字符口令,它们不应当是简单的单词(而是例如1patRIOT、Lon7Don等)。这种方式导致忘记或丢失他们口令的用户的多次口令重置,对于努力争取更高安全级别的组织和企业(或服务公司)来说,口令重置已经成为非常昂贵和麻烦的困难。
客观考虑显示,口令中的最小字符数至少受到两个因素限制必要的组合能力和对组合攻击的高敏感度。静态口令中的最大字符数受到用户对于记忆的“舒适水平”的限制。最终,以4-8个字母数字字符范围(字符不区分大小写)或者3-7个字母数字字符(字符区分大小写)。直到最近,组织和企业(或服务公司)仍忍受这些由相对简单、低成本以及广泛使用的SSPR用户鉴别技术带来的这些公知缺陷。
同时,新出现的要求正迫使安全行业(鉴别—授权—计费(AAA或3A)程序、加密、企业软件、金融服务提供商等)重新考虑基于用户鉴别技术的SSPR1.第一个问题是ASIC芯片数据处理能力的提高使破解静态口令的组合攻击要高效的多。容易想到的防守路线可能是增加静态口令长度。不幸的是,正如我们已经讨论的那样,这个能力已经受到用户的“舒适水平”的很大限制。因此,基于SSPR的安全系统看来处于两难的境地,因为必需增加最小口令长度(3-4个字母数字字符)以承受越来越高效的组合攻击,而由于人类记忆的限制,整个静态口令长度却不得不保持不变,并且限制在6-7个字母数字字符的范围内。
2.此外,在大规模系统中出现了大量安全问题,象州/国家投票系统的缺陷、健康数据银行和金融服务组织的信用卡诈骗、隐私和安全缺口、Microsoft 2000和XP操作系统的漏洞等,这导致有必要提高或重建大规模安全系统。这些系统的演进最终将要求可能比组织/企业级要高的多的静态口令组合能力。假设,在州级上大约有1000万用户,而在整个国家有大约1亿用户,则对于州范围的系统需要具有至少5个字符的口令,而对于全国范围的基于口令的安全系统需要具有至少6个字符的口令(假设字符不区分大小写,或者4和5个字符分别区分大小写)。随着黑客手中的处理能力的增加,安全系统的最小口令大小接近或超过了“舒适水平”。
3.一旦国家安全系统、数据库和各个市场在国际上合为一体(譬如说US和EU),那么需要唯一口令的用户数量增加到这种程度,即,这些系统的组合能力将要求至少6个字母数字字符(区分大小写的口令)或者7个(对于字符不区分大小写的系统)。这已经是在用户的“舒适水平”的边界上了。
因此,对于大规模的基于静态口令的安全系统,SSPR正达到它的实践应用的极限。这也能解释近来给予替代的高安全用户鉴别方法(如生物测量、令牌和智能卡)的严重关注。在这些技术中,生物测量是唯一真正的用户鉴别方法。其他的技术可以是用户鉴别系统的一部分,但尚不足够独当一面。
不幸的是,生物测量普遍比基于SSPR的系统更昂贵且难以部署。而且,由于宗教和文化的担心,公众对生物测量鉴别方法有不少抵触。另一个强烈的担心是在使用生物测量的情况下私人生物测量数据的安全。一旦被盗,该生物测量数据可以被永久再用来假扮被取出数据的此人。
B.针对基于SSPR的系统的攻击除了上面列出的若干问题,静态口令技术对于多种攻击都特别脆弱,而针对这些攻击的防御范围有限。一些可能的攻击以及对攻击的防御包括以下1.口令猜测●入侵者尝试用真实的用户名、同时基于用户个人知识进行口令猜测来登录。
●防御—在若干失败尝试之后自动封锁会话;可能的账户无效或者强迫口令重置。
2.登录会话录像●广泛可用的微型音频和视频传感器以及其他工具来帮助隐蔽观察。可以在任何时刻从有效距离进行录像和/或录音,威胁由在公共位置的计算机或网络在线用户(ATM机;销售点的顾客;在各种会议、咖啡馆、图书馆处提供的因特网终端;共享大办公室的员工、其台式计算机终端在每个人的视线范围之内,以及其他场所)输入的秘密口令或PIN。
●防御—除了保持警惕以外,没有标准的保护技术。
3.窥屏(shoulder surfing)●合法用户旁边的入侵者观看口令输入。
●防御—除了显示回送伪字符和不同数量的字符以外,没有标准的保护技术。
4.交际计谋(Social Engineering)
●入侵者假装是管理员或真实用户,请求口令找回/重置。
●防御—无找回/重置策略。
5.特洛伊木马程序●隐蔽下载的软件看起来象标准的登录会话,但相反收集用户名和口令。
●防御—对于警惕的用户和管理员,用反病毒保护和入侵检测软件可能有一些保护。
6.键击监视●秘密下载的软件保留所有键击的记录。
●防御—如果雇主是攻击发起者的话,那么雇员是无法防御的;法律保护是一种可能的选择。
7.诈骗高手●可以离实际用户很远分辨出口令,具有特殊的听力/观察技能/训练。
●防御—除了保持警惕以外,没有标准的保护技术。
8.网络探查(sniffing)●入侵者记录在通信线路上传输的用户名和口令。
●防御—加密协议Kerberos、SSL、IPsec;询问响应(challengeresponse),利用令牌或智能卡的一次性口令;生物测量代替口令。
9.键盘缓冲存储器探查●一些桌面操作系统没有针对入侵者从键盘缓冲区复制口令的软件的硬件保护。
●防御—除了进行微处理器级上的硬件保护以外,没有标准的保护。
10.口令文件窃取●每个用户名具有可以读取的、散列形式的口令项。
●防御—使用Needham-Guy算法每个口令是加密密钥,以便将自己散列加密。
上述所有攻击可以分为三种不同的类别通信线路攻击(8、字典攻击)、输入/输出设备上的攻击(1、2、3、4、5、6、7、9)和数据库攻击(10)。
C.增强的安全要求如上述攻击列表所表明的,SSPR安全技术对于公知的安全缺口是脆弱的。与基于“用户有什么”(例如,硬件令牌)或“用户是什么”(如生物测量特征、长相、指纹、脸、眼睛和话音识别)的其他鉴别因素不同,SSPR基于“用户知道什么”。众所周知,与其他鉴别因素相比,基于“用户知道什么”的鉴别系统的吸引人之处在于,便宜、用户友好、容易电部署、不需要额外硬件。这就是之所以做出了众多尝试以改进SSPR技术并满足因特网大量交易和电子商务社区的需要的原因。若干增强的用户鉴别安全需要包括以下1.即使没有加密,客户端与服务器之间共享的鉴别秘密(如口令和PIN)如果在通信线路上传输时被入侵者截获,这些数据也不应该被泄漏。
2.鉴别系统要显示出针对输入/输出设备上的攻击的强适应力(例如,见B1-B7、B9)。
3.基于“用户知道什么”的鉴别系统应当使用与服务器共享的秘密知识,该知识与静态口令相比,人类更容易记忆或者记忆的难度是可比的。否则,系统没有被广泛采用的机会。
4.客户端和服务器需要执行彼此的相互鉴别。
5.客户端应当能够被服务器鉴别并且从因特网上的任何计算机平台访问受保护的资源。
6.鉴别系统应当在客户端计算机平台上具有零痕迹下载的软件。
7.与SSPR技术相比没有额外的硬件。
8.在建立“强鉴别”安全系统(具有两个或更多鉴别因素)中容易和便宜地与任何其他鉴别因素匹配。
9.与面向消息的Web服务技术(如SOAP、SAML、XML、WSDL等)的安全兼容。
在Juels的US 2002/0029341;Boroditsky的U.S.专利No.6,327,659;Boroditsky的U.S.专利No.6,332,192;Azuma的US 2001/0039618;Jalili的U.S.专利No.6,209,104;Ozzie的U.S.专利No.5,664,099;Davies的U.S.专利No.5,608,387;Blonder的U.S.专利No.5,559,961;Baker的U.S.专利No.5,428,084;Cottrell的U.S.专利No.5,465,084;和Martino的U.S.专利No.5,276,314中描述了代表性的现有鉴别技术。
许多方法声称朝着满足上面列出的要求(1-9)中的一些做出一定改进。然而,并没有已知的方法(除了SSPR)被公众和行业广泛接受。此外,无一能允许覆盖上面列出的整个要求列表的全面安全系统和用户鉴别方法。因此,需要一种鉴别系统和方法,允许针对通信线路和数据输入设备上的多数公知攻击的大大提高的实际安全,同时确保足够充足的组合能力。此外,要求该新鉴别系统的用户接口易用且安全。
发明内容
本发明提供一种新的随机部分数字化路径识别(RPDPR)算法以及建立在该算法之上的鉴别系统和方法。RPDPR鉴别技术具有基于SSPR的安全系统的正面特征,但是同时在安全方面要健壮的多。RPDPR技术针对计算机数据处理字典或蛮力攻击、口令猜测、口令文件窃取、窥屏、窃听、录像、特洛伊木马程序攻击、存储器探查攻击、键击监视和网络探查非常有效。同时,RPDPR提供具有巨大组合能力的“用户知道什么”鉴别方法,且保持在用户对记忆的“舒适水平”之内。
本发明通过一种对客户端鉴别的交互方法实现。从服务器向客户端提供已经被服务器标识的线索、并且客户端输入线索所建议的数据的意义上来说,该方法是交互的。该方法的实施例使用包括数据字段集合的完整图案,数据字段存储指定用于识别的参考格上的数字化路径的参数。此外,该方法的实施例使用存储在服务器中的完整图案的随机部分子集来实现鉴别因素。
根据该方法的实施例,在安全存储器中存储数据字段的有序集合。该有序集合中的数据字段包括各自的字段内容,字段内容存储参考帧上的数字化路径上的点的坐标。有序集合中的数据字段的位置和该数据字段的内容指定数字化路径上的点。服务器通过通信介质向客户端提供线索,例如该有序集合中的数据字段的随机子集中的位置,该线索标识来自存储在数据字段有序集合中的完整图案的随机部分图案。为了清楚的目的,这里使用的术语“随机”意图包括伪随机。
服务器提供输入结构,作为例如显示线索的图形用户界面的一部分。输入结构便于输入与线索所指示的位置的字段内容相对应的数据。例如,在一个实施例中,输入结构包括参考帧的表示的实例,如矩形格。参考帧的表示的实例包括占用具有参考帧中的坐标的位置的指示符随机化阵列,坐标与存储在指定数字化路径的数据字段集合中的坐标相对应。在一些实施例中,在鉴别会话期间显示的参考帧的实例中显示的指示符包括字母数字字符、图像和颜色中的一个或多个。
输入结构包括输入字段,用于插入来自随机化指示符阵列的指示符。客户端通过插入来自参考帧的实例的指示符来满足鉴别因素,指示符是从由数据集合中的数据字段的字段内容所表示的坐标取得的,数据字段指定数字化路径并且具有沿着线索所指定的数字化路径的位置。服务器生成参考帧的不同实例,其中,对于完整数字化路径上的数据字段位置的每个随机组合以及对于不同的鉴别会话,随机化指示符阵列都是变化的。因此,特定指示符仅在一个鉴别会话期间与标识坐标的特定组合的字段内容相对应。服务器参考线索、所存储的完整图案和对该特定鉴别会话提供的参考帧的实例,验证指示符。如果输入数据匹配,则通知鉴别成功。否则,通知鉴别失败。
在本发明的某些实施例中,处理涉及向客户端提供用于账户建立的输入结构。该输入结构可以包括使用因特网浏览器或薄客户端软件提供的图形用户界面。用户对于指定参考帧上的数字化路径的数据字段有序子集提供字段内容。
本发明的实施例包括检测尝试访问数据网络中受保护资源的初始步骤。响应于尝试访问的检测,启动鉴别过程。在成功完成鉴别过程之后,将鉴别通知客户端,允许访问受保护资源。
本发明的其他实施例在第一和第二提示和验证步骤的至少一个期间显示图标。该图标在提示期间具有第一状态,在等待验证期间具有第二状态,而在验证之后具有第三状态。例如,在一个实施例中,图标包括停止灯图标,在所述提示期间显示红灯,在等待验证期间显示黄灯,而在验证之后显示绿灯。
本发明的实施例包括对客户端鉴别的系统。该系统包括数据处理器,包括对数据库的接口和对数据网络的接口;和可由数据处理器执行的鉴别系统程序。该系统程序包括支持RPDPR鉴别因素的鉴别逻辑,以基于包括账户用户名的客户端凭证鉴别客户端。
本发明还通过基于客户端/服务器架构和其他架构的鉴别系统实现。在一个实施例中,处理延伸到大量用户的鉴别服务器。在该实施例中,处理涉及维护用户账户的安全数据库,包括如上所述的数据字段的数据集合。在该系统中,检测访问受保护网络资源的尝试或者将其重定向到服务器。服务器然后如上所述进行鉴别会话,以允许客户端访问受保护资源。
实现本发明的系统包括数据处理资源,包括处理器、存储器和网络接口。数据处理资源中执行的鉴别服务器软件实现如上所述的账户建立和客户端鉴别的处理。
基于RPDPR的鉴别技术与标准静态口令技术(SSPR)一样用户友好、节省成本以及可电子部署。同时,使用基于RPDPR的鉴别,其安全性与SSPR相比要高的多。它允许有效保护对数据输入设备以及在数据传输时在通信线路上的多种入侵攻击。基于RPDPR的鉴别技术可应用于硬件和客户,同时具有可扩展的安全性,允许在成本、业务要求和硬件资源之间的折中。
本发明的其他方面和优点可以从下面的附图、详细描述和权利要求书看出。
图1示出根据本发明的、实现基于随机部分数字化路径识别RPDPR算法的用户鉴别处理的客户端/服务器架构。
图2是根据本发明的、基本的随机部分数字化路径识别RPDPR鉴别会话的流程图。
图3A到图3F提供根据本发明的、在登录会话期间的秘密完整数字化路径选择菜单和支持RPDPR鉴别处理的完整连续路径的各个示例,完整连续路径具有用于在线用户建立的10个位置。
图4A到图4F提供根据本发明的、在登录会话期间支持RPDPR鉴别处理的完整不连续路径的各个示例,完整不连续路径具有用于在线用户建立的10个位置。
图5示出根据本发明的、在一个鉴别程序的示例中使用的、处于随机部分路径数据输入状态的支持登录处理的图形用户界面。
图6是根据本发明的客户端/服务器系统的实施例的基本架构图,包括对RPDPR鉴别处理的支持。
具体实施例方式
参照图1到图6提供对本发明的实施例的详细描述。
图1示出根据本发明的代表性RPDPR鉴别处理的基本通信建立。客户端子系统1010通过通信介质,如局域网或广域网通信子系统1020,与服务器子系统1030通信。受保护网络目标1130控制对资源的访问,如由URL标识的安全网站、到安全网络的链接等。
为了建立访问,客户端子系统1010和服务器子系统1030执行预鉴别会话3040。在预鉴别会话3040中,在服务器子系统1030中建立用户账户,由用户选择用户名和由数据字段的有序数据集合表示的秘密数字化路径,并将其存储在服务器子系统1030中。该有序数据集合限定用户的完整图案(fullpattern),其中数据字段具有数据集合中的位置并且具有各自的字段内容。对于RPDPR,字段内容包括参考点的帧上的字段坐标的组合。坐标限定沿着参考帧上的定向数字化路径的数据字段位置。数据集合中的位置对应于定向数字化路径上的对应点的位置(例如,字段号),具有对于客户端已知的参考帧上的坐标。数据集合中的位置因此向客户端指示这些坐标,并且可以使用该坐标来选择指示符,以便提供来完成与线索(clue)所指示的位置相对应的鉴别因素的一部分。
用户账户信息、用户名和数据字段的有序集合与在鉴别会话期间使用的其他信息一同被存储在安全服务器数据库中。在某些实施例中,支持额外鉴别因素的信息被存储在该数据库中。
为了获得对受保护网络目标1130的访问,客户端子系统1010和服务器子系统1030执行包括基于RPDPR的客户端/服务器交互通信协议的鉴别会话3050。参照图2提供对鉴别会话3050的实施例的更详细描述。
根据一个基本流程,当用户尝试到达受保护网络目标时(方框1060),启动鉴别会话。受保护网络目标将用户的尝试访问重定向到鉴别服务器,或者通过其他方式在鉴别服务器1030检测到尝试访问。在一个示例中,用户不管在哪使用因特网浏览器尝试接入,都向用户的浏览器返回包括图形用户界面的通信界面,其中包括到鉴别服务器1030的链接(方框1070)。该通信界面可以例如通过重定向由鉴别服务器或另一网络资源返回。通过该通信界面,服务器提示用户向图形用户界面中的字段中输入用户名(方框1080)。用户输入用户名,后者被返回到鉴别服务器(方框1090)。如果用户名是有效的,则鉴别服务器从有序数据集合中标识数据字段的随机部分子集,字段内容和字段位置一起指示点集合的坐标,该点集合一起定义参考帧上的完整数字化路径。例如,在一个实施例中,存在包括完整数字化路径的10个数据字段,且起始路径字段具有位置0,下一相继数据字段具有位置1,依此类推,一直到完整数字化路径末尾的最后数据字段具有位置9。然后,由鉴别服务器标识并通过图形用户界面提供给用户的随机部分子集(线索)看起来将象随机数字组合的随机集合,例如,24,019,7,68。提示用户使用图形用户界面填入与数据字段的随机部分子集中的成员数据字段中的坐标相对应的输入字段值(方框4100)。在一个示例中,从位于参考帧的实例上的指示符阵列中选择输入字段值,阵列中的指示符在参考帧的实例上具有与参考帧中的候选坐标相对应的位置。用户输入指示符或者与数字化路径的随机部分子集的坐标相对应的其他数据,作为输入字段内容,并且输入数据被返回到服务器(方框4110)。如果输入数据匹配该随机子集的字段内容,则例如通过图形用户界面通知用户鉴别成功,通知受保护网络目标和/或通知需要知道鉴别会话成功的其他资源(如鉴别和计费系统),并且允许到所请求的受保护网络目标的网络连接(方框1120)。
图3A-3F和图4A-4F示出如何对于参考帧指定数字化路径,以用作RPDPR鉴别因素。在该实例中,参考帧包括如3A所示的参考格。该实施例中的参考格8010包括位置(例如8011)的阵列,位置可以如直角坐标系统那样,分别由沿着水平和垂直轴8012、8013的坐标限定。可以根据其他坐标系统,如极坐标系统,来组织其他参考帧。在图3A所示的实例中,位置8011可以由坐标(6,3)限定。图3A表示例如在账户建立过程期间在用户界面上显示的参考帧的实例,供用户用来指定完整数字化路径。因此,该实例包括在参考轴相交处的图标8014,用作打开和关闭该实例的按钮。客户可以用鼠标、键盘或其他输入设备在参考格上画出(或者挑选或选择)路径,或者当满足建立算法的特定实例时该路径可以由服务器提供。
图3B-3F示出可以使用参考帧8010建立的代表性完整数字化路径。因此,图3B示出在参考格的实例8020上的路径8021。该路径包括从坐标(9,7)的点开始的点的集合。该路径沿直线前进,点的顺序是坐标(8,7)、(7,7)、(6,7)、...、(0,7)。对应于该数字化路径的数据集合包括在该数据集合中具有位置0到9的数据字段的集合(其中使用包括数据字段的线性阵列的数据集合,可以用字段号表示位置)。在这10个位置上的数据字段分别依次存储坐标(9,7)到(0,7)的组合。通过这种方式,如果客户知道该数据集合中的数据字段的路径以及位置,客户可以确定存储在该数据字段中的坐标。这些坐标可以用来完成如下面所述的鉴别因素。
图3C示出在参考帧的实例8030上用箭头8031、8032、8033表示的路径。图3C的路径依次包括坐标(0,8)、(1,9)、(2,9)、(2,8)、(2,7)、(3,6)、(4,5)、(5,4)、(6,3)和(7,2)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图3C中的路径的鉴别因素。
图3D示出在参考帧的实例8040上用箭头8041、8042表示的路径。图3D的路径依次包括坐标(0,5)、(1,6)、(2,7)、(3,8)、(4,9)、(5,9)、(6,8)、(7,7)、(8,6)和(9,5)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图3D中的路径的鉴别因素。
图3E示出在参考帧的实例8050上用箭头8051、8052表示的路径。图3E的路径依次包括坐标(9,9)、(9,8)、(9,7)、(9,6)、(9,5)、(8,5)、(7,5)、(6,5)、(5,5)和(4,5)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图3E中的路径的鉴别因素。
图3F示出在参考帧的实例8060上用箭头8061、8062、8063、8064、8065表示的路径。图3F的路径依次包括坐标(2,9)、(2,8)、(3,8)、(3,9)、(4,9)、(4,8)、(5,8),(5,9)、(6,9)和(6,8)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图3F中的路径的鉴别因素。
图3B到3F所示的数字化路径这里认为是连续的数字化路径,因为路径上的所有坐标与路径上的其他坐标是按顺序相邻的。对于一些客户来说,连续的路径可能更容易记忆。
此外,所有的代表性数字化路径具有相同数量的点。在每条路径上使用相同数量的点,这便于执行RPDPR鉴别算法,但对于不同客户来说,这对RPDPR鉴别因素的构思不是必需的。
本发明的其他实施例使用不连续的数字化路径,例如参照图4A-4F所描述的那样。
图4A示出在参考帧的实例9010上用箭头9011、9012、9013表示的不连续路径。图4A的路径依次包括坐标(0,0)、(1,1)、(2,2)、(7,2)、(8,1)、(9,0)、(9,6)、(9,7)、(9,8)和(9,9)。在坐标(2,2)与(7,2)之间出现路径中的不连续。而且,在坐标(9,0)与(9,6)之间出现不连续。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4A中的路径的鉴别因素。
图4B示出在参考帧的实例9020上用箭头9021、9022表示的不连续路径。图4B的路径依次包括坐标(5,3)、(6,3)、(7,3)、(8,3)、(9,3)、(9,6)、(8,6)、(7,6)、(6,6)和(5,6)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4B中的路径的鉴别因素。
图4C示出在参考帧的实例9030上用箭头9031、9032、9033和十字9034表示的不连续路径。图4C的路径依次包括坐标(0,0)、(1,0)、(2,0)、(9,0)、(9,1)、(9,2)、(9,9)、(8,9)、(7,9)和(0,9)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4C中的路径的鉴别因素。
图4D示出在参考帧的实例9040上用十字9041、9042、9043、9044、9045、9046、9047、9048、9049、9059表示的不连续路径。图4D的路径依次包括坐标(0,0)、(2,2)、(4,4)、(6,6)、(8,8)、(0,9)、(2,7)、(4,5)、(6,3)和(8,1)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4D中的路径的鉴别因素。
图4E示出在参考帧的实例9050上用十字9051、9052、9053、9054和箭头9055表示的不连续路径。图4E的路径依次包括坐标(0,0)、(9,0)、(9,9)、(0,9)、(2,7)、(3,6)、(4,5)、(5,4)、(6,3)和(7,2)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4E中的路径的鉴别因素。
图4F示出在参考帧的实例9060上用箭头9061、9062、9063和十字9064表示的不连续路径。图4F的路径依次包括坐标(7,9)、(8,9)、(9,9)、(9,8)、(9,7)、(9,6)、(8,7)、(7,8)、(6,9)和(8,8)。这些坐标分别存储在数据集合中具有位置0到9的数据字段中,用作基于图4F中的路径的鉴别因素。
图5示出在基于RPDPR的鉴别会话开始时呈现的图形用户界面屏幕2090。在服务器识别了字段2010中的用户名之后,界面2090提示客户填入RPDPR鉴别因素。否则,如果用户名未被鉴别服务器接受,则屏幕2090上不出现“随机部分数字化路径”提示以及其相应的字段(8040、8050)、字段指示符8030和第二停止灯图标8020,而第一停止灯图标2110将变红,告知访问被拒绝(或用户名不正确)。在该示例中,呈现两个停止灯图标2110、8020。第一停止灯图标2110在用户静态用户名被识别之后变绿。第二停止灯图标8020在随机部分子集的数据输入期间显现。在数据输入到数据字段之前或者在指示登录按钮之前,它显现为红色。在客户端/服务器通信期间以及在表示字段内容的输入数据被接受之前,停止灯图标8020显现为黄色。停止灯图标8020显现为绿色,来通知成功鉴别。
输入和接受的用户名可以被显示在用户名字段2010中,不管是显示为普通文字还是为了安全原因显示为回送点的序列。各数据输入字段(例如8040)呈现为这样的图案,即,包括将构成为该用户存储的数据字段的数据集合的随机部分子集的相应数量字段。在该示例中,通过字段位置号的集合(例如8030)向用户呈现多个随机部分子集,并且在对应于例如包括10个点的数字化路径的10个数据字段的数据集合当中,包括字段位置号的集合27(位置2和位置7)、字段位置号的集合049、字段位置号6。在该实施例中,与每个数据输入字段相关联的是按钮8050,具有相应的窗口用于输入用户所选的指示符。通过点击按钮8050,显示下拉菜单8010。下拉菜单8010包括参考格的实例,如图9A-9F和10A-10F所示,其中格上的点被填入随机化的指示符阵列。因此,具有坐标(4,5)的点上的指示符是数字5。服务器对参考格的每个实例产生指示符阵列的不同实例。在优选实施例中,可以随机或者伪随机地生成指示符阵列的不同实例。或者,可以以随机的顺序使用之前生成的指示符阵列的集合。在某些实施例中,在不同会话之间保持参考格的样子和感觉,但改变指示符阵列。在其他实施例中,参考格可以采取不同的形式,只要数字化路径上的点的坐标可以用来标识参考格形式上的位置。可以使用其他技术来变化地呈现参考格以及指示符阵列,以便强化鉴别因子。
图形用户界面2090呈现由字段位置号的集合(例如,8030)表示的线索。相应的输入字段8040被呈现给用户。用户通过填入来自具有对应于集合中的字段位置号的坐标的参考格上的点的指示符,完成鉴别因素,该字段位置号标识作为线索与输入字段相关联的完整路径的随机部分子集。因此,在对应于字段位置号27的输入字段中,对于图3B所示的完整数字化路径,选择的指示符将是整个数据集合中存储在字段位置号2中的坐标上以及存储在字段位置号7中的坐标上的指示符。图3B的示例中的字段位置号2存储坐标(7,7)。坐标(7,7)上的指示符是数字6。图3B的示例中的字段位置号7存储坐标(2,7)。坐标(2,7)上的指示符是数字3。因此,输入字段8040通过输入指示符6和3来完成。接着是类似的过程,对图5所示的界面8070完成与包括字段位置号的集合049和6的线索相对应的字段。
图6示出根据本发明的RPDPR鉴别因素的、包括鉴别资源的客户端/服务器系统。客户端子系统1010包括数据输入设备4010(键盘、鼠标、话音输入等)、显示设备4020(CRT、LCD面板等)以及包括处理单元、存储器和其他数据处理资源的物理平台4030(个人计算机、手持计算机、因特网电器等)。运行在客户端上的软件包括浏览器4050或“薄”软件客户端4060,例如可以在个人数字助理、蜂窝电话和其他不支持完整浏览器功能的简单因特网电器上提供。浏览器4050包括支持客户端/服务器对话的Java虚拟机或.NET环境。同样,“薄”软件客户端4060可以支持客户端/服务器对话。最后,提供对网络通信介质4130的接口4040。通信介质4130可以是专用或公共局域网或广域网,在代表性的系统中使用有线、无线或光介质。
服务器子系统1030包括网络服务器资源4070、用于鉴别处理的用户账户方面的账户管理工具4080、以及包括处理单元、存储器、磁盘空间和其他数据处理资源的平台4090。在服务器子系统1030中包括支持鉴别处理的核心程序4100。核心程序可以例如使用Java或.NET面向对象技术实现。此外,包括服务器数据库和数据库连接器4120。最后,提供对服务器LAN/WAN通信线路4130的通信介质的接口4110。在某些实施例中,服务器和服务器数据实现有安全特性,以保护用户账户信息文件不受入侵者攻击。
在各种实施例中,本发明系统用于客户端/服务器网络架构中的用户鉴别、硬件设备的鉴别(客户端包括例如对等路由器)以及支持交互鉴别会话的其他环境中。基于随机部分数字化路径识别(RPDPR)算法的交互鉴别提供针对多个已知入侵者攻击的重要安全保护。本发明的交互、多字段图案处理建立了新的范例,替代或增强标准静态口令技术。通过利用现代高时钟频率客户端/服务器CPU处理能力和高网络吞吐量,RPDPR鉴别处理易于使用。
在上述示例中,用户鉴别以客户端向受保护网络目标的初始请求开始。然后,已经知道客户端的用户名和共享秘密完整图案(具有其位置的数据字段的完整数字化路径,各自的坐标限定这些位置,按照其位置沿着该路径排列)的服务器提示用户通过客户端的GUI完成服务器随机选择的用户的完整图案的子集。完整图案是在客户端账户建立期间建立的、在客户端与服务器之间预先共享的秘密。完整图案驻留在服务器侧的数据库中。客户端请求的随机子集中的每个字段与对应于完整图案中的位置的显示的序列号相关联。GUI中的每个字段允许输入对象的任何组合(每个字段输入至少一个对象)。在对RPDPR呈现的示例中,可以从随机化的指示符集合中选择在字段中输入的对象,指示符用位于存储在数据集合的子集中的坐标上的参考格表示,该数据集合存储完整数字化路径。在接收到客户的响应后,服务器比较内部计算的预期组合与客户端的输入数据,假设响应是假/真,做出拒绝/继续的鉴别判决。
尽管参照上面详述的优选实施例和示例披露了本发明,当应当理解,这些示例意图以说明性而非限制性的。对于本领域技术人员来说将容易构思出修改和组合,而这些修改和组合将落入本发明的宗旨和权利要求书的范围之内。
权利要求
1.一种对客户端鉴别的交互方法,包括在存储器中存储数据集合,该数据集合包括多个数据字段,所述多个数据字段在所述数据集合中具有各自的位置并且具有字段内容,所述字段内容标识沿着参考帧上对客户端已知的数字化路径的坐标;通过数据通信介质向客户端标识在所述数据集合中的数据字段的随机部分子集的位置;通过数据通信介质接受从容户端输入的数据,该输入数据与沿着由所述数据集合的随机部分子集中的数据字段所标识的所述数字化路径的坐标相对应;以及确定输入数据是否匹配由随机部分子集中的数据字段的字段内容所标识的坐标。
2.如权利要求1所述的方法,包括如果输入数据匹配,则通知鉴别成功,以及如果输入数据不匹配,则通知鉴别失败。
3.如权利要求1所述的方法,包括提供参考帧的图形表示的实例,该实例包括在参考帧中的坐标上的指示符阵列,并且其中所述输入数据包括所述指示符。
4.如权利要求1所述的方法,包括提供参考帧的图形表示的实例,该实例包括在参考帧中的坐标上的指示符阵列,并且其中所述输入数据包括所述指示符,其中所述指示符包括字母数字字符。
5.如权利要求1所述的方法,包括提供参考帧的图形表示的实例,该实例包括在参考帧中的坐标上的指示符阵列,并且所述输入数据包括所述指示符,其中所述指示符是服务器随机或伪随机生成的,从而所提供的实例使用与该图形表示的其他实例中所使用的不同的指示符。
6.如权利要求1所述的方法,包括从服务器经由数据通信介质向客户端提供输入结构,以便从数据集合中输入与数据字段的所述随机部分子集的字段内容相对应的数据,并且其中所述接受从客户端输入的数据包括接受基于所述输入结构的数据。
7.如权利要求1所述的方法,包括从服务器经由数据通信介质向客户端提供图形用户界面,该图形用户界面包括输入结构以便于客户端输入对应于所述位置的数据,其中所述输入结构包括所述参考帧的实例,其具有参考帧中的坐标上的指示符阵列、以及用于插入来自对应于所述随机部分子集的所述指示符阵列的指示符的输入字段。
8.如权利要求1所述的方法,包括向客户端提供用于账户建立的输入结构,并且基于输入结构从容户端接受数据,以对数据集合中的数据字段设置字段内容。
9.如权利要求1所述的方法,包括向客户端提供用于账户建立的输入结构,并且基于输入结构从客户端接受数据,以对数据集合中的数据字段设置字段内容,其中输入结构包括所述参考帧的图形表示。
10.如权利要求1所述的方法,其中参考帧上的所述数字化路径包括第一坐标集合和额外的有序坐标集合的序列,并且其中所述数据集合中的数据字段的字段内容分别标识第一坐标集合和额外的坐标集合,并且所述数据集合中的数据字段的位置对应于所述顺序。
11.如权利要求1所述的方法,其中,所述数字化路径包括第一坐标集合和额外的有序坐标集合的序列,其中所述第一坐标集合和所述额外的有序坐标集合的序列构成所述参考帧上的连续数字化路径。
12.如权利要求1所述的方法,其中,所述数字化路径包括第一坐标集合和额外的有序坐标集合的序列,其中所述第一坐标集合和所述额外的有序坐标集合的序列构成所述参考帧上的不连续数字化路径。
13.如权利要求1所述的方法,其中,参考帧上的所述数字化路径具有预定数量的坐标集合,并且包括第一坐标集合和按客户端设置的顺序的额外坐标集合的序列,以定义完整数字路径。
14.如权利要求1所述的方法,包括在服务器上选择所述随机部分子集的实例,其中所述实例包括所述数据集合中可变数量的数据字段位置。
15.如权利要求1所述的方法,包括对所述数据集合的多个随机部分子集标识数据字段的位置。
16.如权利要求1所述的方法,包括提供会话计时器,并且包括如果在客户端会话中的鉴别事件之前经过的时间超过阈值,则禁用客户端会话。
17.如权利要求1所述的方法,包括在所述标识、接受和确定期间,显示图标,所述图标在所述标识期间具有第一状态,在所述接受之后具有第二状态,而在所述确定之后具有第三状态。
18.如权利要求1所述的方法,包括在所述标识、接受和确定期间,显示停止灯图标,所述图标在所述标识期间显示红灯,在所述接受之后显示黄灯,而在所述确定之后显示绿灯。
19.如权利要求1所述的方法,其中,所述客户端在连接到通信介质的客户端系统中提供输入数据。
20.如权利要求1所述的方法,其中,所述客户端在包括连接到通信介质的浏览器的客户端系统中提供输入数据。
21.如权利要求1所述的方法,包括检测用户访问网络资源的尝试;响应于检测到的访问受保护网络资源的尝试,通过数据通信介质向客户端提供界面,该界面支持所述指示和所述接受;以及如果输入数据匹配,则将鉴别通知客户端。
22.如权利要求21所述的方法,其中,所述界面包括参考帧的图形表示的实例,该实例包括在参考帧中的坐标上的指示符阵列,并且所述输入数据包括所述指示符。
23.一种用于客户端的鉴别系统,包括数据处理资源,包括处理器、存储器和通信接口;存储在所述存储器中的用户账户信息,包括对于各个客户的数据集合,该数据集合包括多个数据字段,所述多个数据字段在所述数据集合中具有各自的位置并且具有字段内容,所述字段内容标识沿着参考帧上对客户端已知的完整数字化路径的坐标;适于通过数据处理资源执行的鉴别服务器,包括用于通过通信接口向客户端标识所述数据集合中的数据字段的随机部分子集在所述数据集合中的位置的逻辑;用于通过通信接口接受从客户端输入的数据的逻辑,该输入数据与由随机部分子集中的数据字段的字段内容所标识的坐标相对应;和用于确定输入数据是否匹配随机部分子集中的相应数据字段的字段内容的逻辑。
24.如权利要求23所述的系统,其中,鉴别服务器包括逻辑如果输入数据匹配,则通知鉴别成功,以及如果输入数据不匹配,则通知鉴别失败。
25.如权利要求23所述的系统,其中,鉴别服务器包括提供参考帧的图形表示的实例的逻辑,该实例包括在参考帧中的坐标上的指示符阵列,并且所述输入数据包括所述指示符。
26.如权利要求23所述的系统,其中,鉴别服务器包括提供参考帧的图形表示的实例的逻辑,该实例包括在参考帧中的坐标上的指示符阵列,并且所述输入数据包括所述指示符,其中所述指示符包括字母数字字符。
27.如权利要求23所述的系统,其中,鉴别服务器包括提供参考帧的图形表示的实例的逻辑,该实例包括在参考帧中的坐标上的指示符阵列,并且所述输入数据包括所述指示符;和随机或伪随机生成所述指示符阵列的逻辑,从而所提供的实例使用与该图形表示的其他实例中所使用的不同的指示符。
28.如权利要求23所述的系统,其中,鉴别服务器包括提供图形用户界面的逻辑,该图形用户界面包括输入结构以便于客户端输入对应于所述数据字段位置的数据,其中所述输入结构包括所述参考帧的实例,其具有参考帧中的坐标上的阵列指示符、以及用于插入来自与所述随机部分子集相对应的所述指示符阵列的指示符的输入字段。
29.如权利要求23所述的系统,包括逻辑向客户端提供用于账户建立的输入结构,并且基于输入结构从客户端接受数据,以对所述数据集合中的数据字段设置字段内容,其中输入结构包括所述参考帧的实例。
30.如权利要求23所述的系统,其中参考帧上的所述完整数字化路径包括第一坐标集合和额外的有序坐标集合的序列,并且其中所述数据集合中的数据字段的字段内容分别标识第一坐标集合和额外的坐标集合,并且所述数据集合中的数据字段的位置对应于所述顺序。
31.如权利要求23所述的系统,其中,所述数字化路径包括第一坐标集合和额外的有序坐标集合的序列,其中所述第一坐标集合和所述额外的有序坐标集合的序列构成所述参考帧上的连续数字化路径。
32.如权利要求23所述的系统,其中,所述数字化路径包括第一坐标集合和额外的有序坐标集合的序列,其中所述第一坐标集合和所述额外的坐标集合的序列构成所述参考帧上的不连续数字化路径。
33.如权利要求23所述的系统,其中,参考帧上的所述完整数字化路径由预定数量的坐标集合限定,并且包括第一坐标集合和按客户端设置的顺序的额外坐标集合的序列,以定义数字路径。
34.如权利要求23所述的系统,其中鉴别服务器包括逻辑产生所述随机部分子集的实例,其中所述实例包括所述数据集合中可变数量的数据字段位置。
35.如权利要求23所述的系统,其中鉴别服务器包括逻辑在客户端会话中对所述数据集合的多个随机部分子集标识数据字段的位置。
36.如权利要求23所述的系统,包括逻辑向客户端提供用于账户建立的输入结构,并且基于输入结构从客户端接受数据,以对数据集合中的数据字段设置字段内容。
37.如权利要求23所述的系统,包括逻辑向客户端提供图形输入结构,以输入数据字段的所述随机子集的字段内容。
38.如权利要求23所述的系统,包括提供会话计时器的逻辑和用于如果在客户端会话中的鉴别事件之前经过的时间超过阈值、则禁用客户端会话的逻辑。
39.如权利要求23所述的系统,其中所述鉴别服务器包括逻辑显示图标,所述图标在客户端会话的初始阶段期间具有第一状态,在接受输入数据之后具有第二状态,而在确定输入数据是否匹配之后具有第三状态。
40.如权利要求23所述的系统,其中所述鉴别服务器包括逻辑显示停止灯图标,所述图标在客户端会话的初始阶段期间显示红灯,在接受输入数据之后显示黄灯,而在确定输入数据是否匹配之后显示绿灯。
41.一种存储计算机程序的物品,该计算机程序支持用于客户端的鉴别系统,包括机器可读数据存储介质,存储用户账户信息,包括对于各个客户的数据集合,该数据集合包括多个数据字段,所述多个数据字段在所述数据集合中具有各自的位置并且具有字段内容,所述字段内容标识沿着参考帧上对客户端已知的数字化路径的坐标;机器可读数据存储介质,存储可由数据处理器执行的计算机程序,包括用于通过通信接口向客户端标识所述数据集合中的数据字段的随机部分子集在所述数据集合中的位置的逻辑;用于通过通信接口接受从客户端输入的数据的逻辑,该输入数据与由随机部分子集中的数据字段的字段内容所标识的坐标相对应;和用于确定输入数据是否匹配随机部分子集中的相应数据字段的字段内容的逻辑。
全文摘要
一种鉴别服务器(1030),向客户端(1010)提供指示限定参考帧上的完整数字化路径的完整图案的随机部分子集的线索,并且客户端输入数据来实现线索所建议的鉴别因素。该完整图案包括数据字段的有序集合,数据字段存储指定用于识别的参考格上的完整数字化路径的参数。服务器提供参考帧的图形表示的实例,包括在参考帧中的数据字段坐标上的随机指示符阵列(3050)。服务器接受来自参考帧中的数据字段坐标上的指示符阵列的指示符。服务器接受来自与沿着随机部分子集所标识的所述数字化路径的坐标相对应的指示符阵列的指示符,作为输入数据,以实现鉴别因素。
文档编号G06F21/83GK101057444SQ200480044372
公开日2007年10月17日 申请日期2004年9月9日 优先权日2004年9月9日
发明者莱恩·L·米兹拉 申请人:奥瑟内蒂夫公司