用于容错的用户信息认证的方法

专利名称：用于容错的用户信息认证的方法
技术领域：
本发明涉及保护操作系统认证协议，其可以由系统管理员进行配置，其中对于不 需要高安全级别的环境可以向下调整认证执行级别。 在下面的讨论中，将涉及"用户信息"。应理解，用户信息可以是用户的帐户信息 (例如帐户名、或帐户号)和/或用户的帐户密码。用户帐户信息和帐户密码都面对相同的 问题，即记住字符的准确序列，因此，这两者均考虑在本发明的范围内。
现在同时转到图2和图3，将讨论本发明一个优选的实施例。最初，在图2的框20， 在系统负载时装载系统规则。如图2中的框22和图3中的框50所示，在根据本发明的方 法的第一步骤中，将在设备或系统(下文中仅为系统)中由用户或系统管理员设置用户信 息。例如，膝上型计算机或工作站的用户将很可能设置他或她自己的用户信息。在例如局 域网的环境中，可以由系统管理员来设置用户信息，所述系统管理员可以提供用户帐户和 开始的密码信息给用户。随后，用户可将开始的密码改变为用户更易使用的密码。这种后 面的密码是根据本发明设置的密码，其必须由用户记住。 本发明可应用于任何系统，其需要用户信息的输入，并可以包括(仅为例示而非 限定)膝上型计算机、计算机工作站、局域网、广域网、远程访问帐户、认证服务、自动柜员 机、个人数字助理等。 如图2中的框24和图3中的框52所示，在根据本发明的方法的下一步骤中，用户
输入用户信息，其可以是帐户信息、帐户密码，两条信息或其它类似类型的信息。 下面，如图2中的框26和图3中的框54所示，用户信息将由系统进行评估。该评
估包括将输入的用户信息与设置的用户信息进行比较，1对1检查各个字符的一致性。对 于输入的用户信息和设置的用户信息之间任何差异，根据之前由用户或系统管理员装载在 系统中并存储在如图2所示的存储器单元27中的容错规则来评估是否接受用户信息中的差异。 容错规则评估输入的用户信息与设置的用户信息的内容和接近度。为了例示而非 限定，这种评估的一些示例包括
-输入的用户信息与设置的用户信息有一个字符不同(例如，设置的用户信息是 "asdf"但是用户输入"asdi:");-在输入最后的字符之前结束输入的用户信息(例如，设置的用户信息是"asdf" 但是用户输入"asd");-输入的字符与字母字符类似(例如，设置的用户信息是"uiop"但是用户输入
"ulop，，)；-输入的字符与数字字符类似(例如，设置的用户信息是"hjk7"，而用户输入 "hjkt");-输入的用户信息与设置的用户信息有一个或多个字符不同，其由单个键造成的 排字误差偏移(例如，设置的用户信息是"hjkl"，而用户输入"yjko");以及
-用户输入已经由新的用户信息取代的用户信息(例如，设置的用户信息是 "uiop"，而用户输入之前使用的用户信息"h jkl")。 满足容错规则的任何输入的用户信息表示为"容错的用户信息"，而完全匹配设置
的用户信息的任何输入的用户信息表示为"有效的用户信息"。最后，不是有效的用户信息
并且不满足容错规则的任何输入的用户信息表示为"无效的用户信息"。 应理解，前述的示例仅仅是可以满足容错规则的情况的示例。容错规则由用户或
系统管理员设置，并且可以向上(更严格)或下(更容易)变化以满足具体情况。 作为评估步骤的部分，将输入的用户信息指明为上述种类之一，即有效的用户信
息、容错的用户信息或无效的用户信息。系统可以仅评估用户输入的信息并在存储器寄存
器中存储输入的用户信息的种类，或者实际上可以向用户显示诸如"你的密码无效"或"你
的密码有效"的消息。 如果在评估输入的用户信息之后，确定输入的用户信息是有效的(即与设置的用 户信息完全匹配)，于是如图2中的框28和图3中的框58所示，系统指示输入的用户信息 是有效的用户信息。由图2的框30和图3的框64所示，之后的步骤是授权访问。
可选地，在评估输入的用户信息之后，确定输入的用户信息符合容错规则，于是如 图2中的框38和图3中的框60所示，系统指示输入的用户信息是容错的用户信息。取决于 容错规则的应用，如图2中的框44和图3中的框62所示，系统将拒绝访问，或者如图2中 的框30和图3中的框64所示，系统将授权访问。如果拒绝访问，于是如图2中的框24和 图3中的框52所示，用户将需要再次输入用户信息。 如图2中的框32和图3中的框66所示，之前讨论的评估步骤还可发现输入的用 户信息无效。在这种情况下，如图2中的框34和图3中的框68所示，拒绝用户访问系统。 于是，如图2中的框24和图3中的框52所示，用户需要进行另外的尝试并再次输入其用户 信息。 需要进行认证的许多系统具有对错误输入用户信息的次数进行计数的计数器。在 错误输入用户信息一定次数(通常为3)之后，将用户锁出，并且用户信息需要重置。重置 用户信息是不方便的，如果可能的话，将避免进行重置。 根据本发明，如图2中的框36和图3中的框70所示，存在计算器，当每次输入无效 的用户信息时其就增加。然而，应注意，只有当输入无效的用户信息时才增加计算器。当输 入容错的用户信息时，不增加计算器。因此，只要输入的用户信息落入容错规则的应用中，不增加计算器，即，在拒绝用户访问的情况下，用户可以重复尝试而不必引起锁出的惩罚。
同时转向图2和图4，将讨论本发明的第二优选实施例。最初，在图2中的框20，在 系统负载时装载系统规则。如图2中的框22和图4中的框80所示，在根据本发明的方法的 第一步骤中，将由用户或系统管理员在(如上定义的)系统中设置用户信息。例如，膝上型 计算机或工作站的用户很可能设置他或她自己的用户信息。在例如局域网的环境中，可以 由系统管理员设置用户信息，系统管理员可以向用户提供用户帐户和开始的密码信息。此 后，用户可以将开始的密码改变为用户更易使用的密码。这种后面的密码是根据本发明设 置的密码，其必须要由用户记住。 如图2中的框24和图4中的框82所示，在根据本发明的方法的下一步骤中，用户
输入用户信息，其可以是帐户名、帐户密码、两条信息或其他类似类型的信息。 接下来，如图2中的框26和图3中的框84所示，由系统进行用户信息的评估。该
评估包括将输入的用户信息与设置的用户信息进行比较并1对1检查各个字符的一致性。
对于输入的用户信息和设置的用户信息之间的任何差异，将根据之前由用户或系统管理员
装载在系统中并存储在如图2所示的存储器单元27中的容错规则，评估是否接受用户信息
中的差异。 如上所述，容错规则评估输入的用户信息与设置的用户信息的内容和接近度。 满足容错规则的任何输入的用户信息表示为"容错的用户信息"，而与设置的用户
信息完全匹配的任何输入的用户信息表示为"有效的用户信息"。最后，不是有效的用户信
息并且不满足容错规则的任何输入的用户信息表示为"无效的用户信息"。 应理解，前述的示例仅仅是能够满足容错规则的情况的示例。容错规则由用户或
系统管理员进行设置，可以向上(更严格)或下(更容易)变化以满足具体情况。 作为评估步骤的部分，将输入的用户信息指明为上述种类之一，即有效的用户信
息、容错的用户信息或无效的用户信息。系统可以仅评估输入的用户信息并在存储器寄存
器中存储输入的用户信息的种类，或者实际上可以向用户显示诸如"你的密码无效"或"你
的密码有效"的消息。 如果在评估输入的用户信息之后，确定输入的用户信息是有效的，则如图2中的 框28和图4中的框86所示，系统指示输入的用户信息有效。由图2的框30和图4的框88 所示，之后的步骤是授权访问。 可选地，在评估输入的用户信息之后，确定输入的用户信息符合容错规则，于是下 一步骤将是图2中的框38和图4中的框90。取决于容错规则的应用，如图2中的框44和 图4中的框96所示，系统将拒绝访问，或者如图2中的框30和图4中的框88所示，系统将 授权访问。如果拒绝访问，于是如图2中的框24和图4中的框82所示，用户将需要再次输 入用户信息。 如图2中的框32和图4中的框98所示，之前讨论的评估步骤还可发现输入的用 户信息无效。在这种情况下，如图2中的框34和图4中的框100所示，拒绝用户访问系统。 于是，如图2中的框24和图4中的框82所示，用户需要进行另外的尝试并再次输入其用户信息。 本发明的第二实施例的一个方面是系统可以响应于任何容错的输入的用户信息， 提供上下文反馈消息。代替仅提供简单的"你的密码无效"，系统可以提供例如"你使用了之前的密码"的意义更丰富的消息。消息的上下文将取决于容错规则是授权还是拒绝访问 而改变。 可以包括容错的用户信息的上述的列举的一些情况是-输入的用户信息与设置的用户信息有一个字符不同(例如，设置的用户信息是 "asdf"但是用户输入"asdi:");-在输入最后的字符之前结束输入的用户信息(例如，设置的用户信息是"asdf" 但是用户输入"asd");-输入的字符与字母字符类似(例如，设置的用户信息是"uiop"但是用户输入
"ulop，，)；-输入的字符与数字字符类似(例如，设置的用户信息是"hjk7"，而用户输入 "hjkt");-输入的用户信息与设置的用户信息有一个或多个字符不同，其由单个键造成的 排字误差偏移(例如，设置的用户信息是"hjkl"，而用户输入"yjko");以及
-用户输入已经由新的用户信息取代的用户信息(例如，设置的用户信息是 "uiop"，而用户输入之前使用的用户信息"h jkl")。
再次申明，该列表是非穷举的。 关于上述第一种错误的输入，拒绝访问的上下文反馈消息可以是"你的密码偏离 一个字符"。可选地，授权访问的上下文反馈消息可以是"请记住你的密码是'asdf'"。
关于上述第二种错误的输入，拒绝访问的上下文反馈消息可以是"你忘记键入 密码的一个字符"。授权访问的上下文反馈消息可以是"你键入"asd"但是你的密码是 'asdf ，，，。 关于上述第三和第四种错误的输入，拒绝访问的上下文反馈消息可以是"请检查 看是否你无意键入数字代替字母"。授权访问的上下文反馈消息可以是"你键入'uiop'但 是你的密码是'ulop'"。 关于上述第五种错误的输入，拒绝访问的上下文消息可以是"你很可能在键入 密码时造成排字错误"。授权访问的上下文消息可以是"你输入'yiko'但是你的密码是 'hjkl，"。 关于上述第六种错误的输入，拒绝访问的上下文消息可以是"你输入了以前的密 码"。授权访问的上下文消息可以是"你输入了以前的密码，其最后在mm/dd/yy由你进行了 改变"。 返回来参考图2和图4，根据本发明的方面根据上下文反馈消息来讨论处理流程 和方法步骤。在图2的框38和图4的框90中，已经示出在评估步骤之后输入的用户信息 是容错的用户信息。如果容错规则的参数将拒绝访问，则如图2中的框42和图4中的框94 所示向用户显示上下文反馈消息。应注意，显示关于拒绝访问的上下文反馈消息的时间选 择是不重要的。即，也可能当拒绝用户访问系统时显示消息。可以在显示拒绝访问消息的 同时、或之前或之后显示上下文反馈消息。 如果容错规则的参数将授权访问，则如图2中的框40和图4中的框92所示，将向 用户显示上下文反馈消息。再次重申，显示关于授权访问的上下文反馈消息的时间选择是 不重要的，因为可以在授权访问同时、或之前或之后显示该上下文反馈消息。
对于本领域技术人员，显而易见地，考虑到本公开可以进行不同于在此具体描述 的实施例的本发明的其它修改而不偏离本发明的精神。因此，这样的修改被认为落入仅由 所附权利要求限定的本发明的范围。
权利要求
一种用于用户信息认证的方法，包括以下步骤设置针对用户帐户的用户信息，这样的用户信息是设置的用户信息；由用户向设备中输入针对所述用户帐户的用户信息，这样的用户信息是输入的用户信息；根据容错用户信息规则，评估输入的用户信息与设置的用户信息的一致性，其中这样的规则评估输入的用户信息与设置的用户信息的内容和接近度，以及指明输入的用户信息是有效的用户信息、容错的用户信息、还是无效的用户信息；如果输入的用户信息是有效的用户信息，则授权访问所述用户帐户；以及只有当所述用户信息是无效的用户信息时，增加无效的用户信息的计数器。
2. 如权利要求1所述的方法，其中所述有效的用户信息表示输入的用户信息与设置的 用户信息完全一致，所述容错的用户信息表示输入的用户信息与设置的用户信息差异至少 一个字符但是少于预定的字符数，以及所述无效的用户信息表示输入的用户信息与设置的 用户信息差异多于所述预定的字符数。
3. 如权利要求1所述的方法，还包括如果所述用户信息是容错的用户信息，则授权访 问所述用户帐户。
4. 如权利要求1所述的方法，还包括如果所述用户信息是容错的用户信息，则拒绝访 问所述用户帐户。
5. 如权利要求1所述的方法，还包括如果所述用户信息是容错的用户信息，则提供消 息给所述用户，所述消息根据所述容错的用户信息规则来说明输入的用户信息的一致性。
6. 如权利要求5所述的方法，还包括如果所述用户信息是容错的用户信息，则授权访 问所述用户帐户。
7. 如权利要求5所述的方法，还包括如果所述用户信息是容错的用户信息，则拒绝访 问所述用户帐户。
8. 如权利要求1所述的方法，其中所述用户信息是密码。
9. 如权利要求1所述的方法，其中所述用户信息是用户的帐户信息。
10. —种用于用户信息认证的方法，包括以下步骤 设置针对用户帐户的用户信息，这样的用户信息是设置的用户信息； 由用户向设备中输入针对所述用户帐户的用户信息，这样的用户信息是输入的用户信息；根据容错用户信息规则，评估输入的用户信息与设置的用户信息的一致性，其中这样 的规则评估输入的用户信息与设置的用户信息的内容和接近度，以及指明输入的用户信息 是有效的用户信息、容错的用户信息、还是无效的用户信息；如果输入的用户信息是有效的用户信息，则授权访问所述用户帐户；以及 如果所述用户信息是容错的用户信息，则提供消息给所述用户，所述消息根据所述容 错的用户信息规则来说明输入的用户信息的一致性。
11. 如权利要求io所述的方法，其中所述有效的用户信息表示输入的用户信息与设置的用户信息完全一致，所述容错的用户信息表示输入的用户信息与设置的用户信息差异至 少一个字符但是少于预定的字符数，以及所述无效的用户信息表示输入的用户信息与设置 的用户信息差异多于所述预定的字符数。
12. 如权利要求10所述的方法，还包括如果所述用户信息是容错的用户信息，则授权 访问所述用户帐户。
13. 如权利要求10所述的方法，还包括如果所述用户信息是容错的用户信息，则拒绝 访问所述用户帐户。
14. 如权利要求IO所述的方法，还包括只有当所述用户信息是无效的用户信息时，增 加无效的用户信息的计数器。
15. 如权利要求14所述的方法，还包括如果所述用户信息是容错的用户信息，则授权 访问所述用户帐户。
16. 如权利要求14所述的方法，还包括如果所述用户信息是容错的用户信息，则拒绝 访问所述用户帐户。
17. 如权利要求IO所述的方法，其中所述用户信息是密码。
18. 如权利要求IO所述的方法，其中所述用户信息是用户的帐户信息。
19. 一种用于向用户提供的用户信息认证服务的方法，包括以下步骤 设置针对用户帐户的用户信息，这样的用户信息是设置的用户信息； 从用户接收针对所述用户帐户的用户信息，这样的用户信息是输入的用户信息； 根据容错用户信息规则，评估输入的用户信息与设置的用户信息的一致性，其中这样的规则评估输入的用户信息与设置的用户信息的内容和接近度，以及指明输入的用户信息是有效的用户信息、容错的用户信息、还是无效的用户信息；如果输入的用户信息是有效的用户信息，则授权访问所述用户帐户；以及 只有当所述用户信息是无效的用户信息时，增加无效的用户信息的计数器。
20. —种用于向用户提供的用户信息认证服务的方法，包括以下步骤 设置针对用户帐户的用户信息，这样的用户信息是设置的用户信息； 由用户向设备中输入针对所述用户帐户的用户信息，这样的用户信息是输入的用户信息；根据容错用户信息规则，评估输入的用户信息与设置的用户信息的一致性，其中这样 的规则评估输入的用户信息与设置的用户信息的内容和接近度，以及指明输入的用户信息 是有效的用户信息、容错的用户信息、还是无效的用户信息；如果输入的用户信息是有效的用户信息，则授权访问所述用户帐户；以及 如果所述用户信息是容错的用户信息，则提供消息给所述用户，所述消息根据所述容 错的用户信息规则来说明输入的用户信息的一致性。
全文摘要
本发明涉及用于容错的用户信息认证的方法。一种用于用户信息认证的方法包括设置针对用户帐户的用户信息，这样的用户信息是设置的用户信息；由用户向设备中输入针对所述用户帐户的用户信息，这样的用户信息是输入的用户信息；根据容错用户信息规则，评估输入的用户信息与设置的用户信息的一致性，其中这样的规则评估输入的用户信息与设置的用户信息的内容和接近度，以及指明输入的用户信息是有效的用户信息、容错的用户信息、还是无效的用户信息；如果输入的用户信息是有效的用户信息，则授权访问所述用户帐户。所述方法还包括只有当所述用户信息是无效的用户信息时，增加无效的用户信息计数器。
文档编号H04L29/06GK101729548SQ20091020983
公开日2010年6月9日 申请日期2009年11月2日 优先权日2008年11月3日
发明者E·E·凯利, F·莫提卡, W·M·迪莉娅 申请人:国际商业机器公司