用于基于网络的安全认证的系统和方法
【专利摘要】一种安全认证方法,包括:创建与登录证书相关联的用户账户;生成加密盐值;生成多个值序列的图形键图像,其中每个值序列在随机点处开始;通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值;将所述图形键图像和所述经加密的键值合并成可显示的输入形式;接收包括多个经加密的键值的用户输入;通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;以及验证所述经解密的键值与所述登录证书匹配。
【专利说明】用于基于网络的安全认证的系统和方法
【技术领域】
[0001]本公开内容涉及一种用于基于网络的安全认证的系统和方法。
【背景技术】
[0002]用户通常需要诸如用户名、密码和个人识别码(PIN)的安全数据来访问包括网站、金融账户、购物账户和其它受保护数据的许多计算资源。用户可以使用智能手机、个人数字助理、平板计算机、膝上型计算机、台式计算机、自助服务终端、ATM终端、销售点终端或其他各种电子设备来访问受保护的资源或数据。
[0003]诸如用户名、密码和PIN数据的登录证书的输入易受到至少三种类型的已知攻击技术的攻击。存在于计算设备中的隐藏的按键记录软件能够捕获、记录和报告由用户输入的键击。在用户使用网络浏览器访问网络资源或用于认证的情况下,在用户设备与网络服务器之间传送的数据也易受到中间人(man-1n-the-middle)攻击的攻击。通常称为“跨站点请求伪造”的另一种形式的攻击可以利用用户在网站处已鉴定的身份,从而产生未授权的行为。这些及其他的安全风险可能会将用户的受保护的资源和数据暴露给未授权的访问。因此,产生了对如下方案的需求:该方案大幅地最小化或消除对机密和受保护的数据和资源的这种未经授权的访问。
【发明内容】
[0004]已经构思了一种用于基于网络的安全认证的系统和方法。
[0005]一种安全认证方法,包括:创建与登录证书相关联的用户账户;生成加密盐值(encryption salt);生成多个值序列的图形键图像,其中每个值序列在随机点处开始;通过使用所生成的加密盐值来加密所述多个序列中的每个值来生成经加密的键值;将所述图形键图像和所述经加密的键值合并成可显示的输入形式;接收包括多个经加密的键值的用户输入;通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;以及验证所述经解密的键值与所述登录证书匹配。
[0006]一种安全认证方法,包括:创建与登录证书相关联的用户账户;生成加密盐值;生成多个值序列的图形键图像,其中每个值序列在随机点处开始;通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值;将所述图形键图像和所述经加密的键值合并成可显示的输入形式;接收来自用户的包括多个经加密的键值的用户输入;通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;以及响应于所述经解密的键值与所述登录证书匹配,给予所述用户访问与所述用户账户相关联的数据的权限。
[0007]—种安全认证系统,包括安全认证服务器,该安全认证服务器可操作成:创建与登录证书相关联的用户账户;生成加密盐值;生成多个值序列的图形键图像,其中每个值序列在随机点处开始;以及通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值。该系统还包括服务器,该服务器可操作成:从所述安全认证服务器接收所述图形键图像和所述经加密的键值;以及将所述图形键图像和所述经加密的键值合并成可显示的输入形式。该系统还包括电子设备,该电子设备可操作成:显示所述输入形式;接收来自用户的包括多个经加密的键值的用户输入。该安全认证服务器还可操作成:从所述服务器接收所述用户输入;通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;用所述登录证书来验证所述经解密的键值;以及通知所述服务器成功认证。
[0008]一种安全认证系统,包括:用于创建与登录证书相关联的用户账户的装置;用于生成加密盐值的装置;用于生成多个值序列的图形键图像的装置,其中每个值序列在随机点处开始;用于通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值的装置;用于将所述图形键图像和所述经加密的键值合并成可显示的输入形式的装置;用于接收包括多个经加密的键值的用户输入的装置;用于通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值的装置;以及用于验证所述经解密的键值与所述登录证书匹配的装置。
[0009]一种安全认证方法,包括:将登录用户账户的请求发送至网络服务器;从所述网络服务器接收具有多个值序列的图形键图像和经加密的键值的输入形式;以旋转拨号盘格式显示所述输入形式;接收使用所述输入形式输入的用户输入;以及将表示所述用户输入的经加密的键值发送至所述网络服务器用于认证。
【专利附图】
【附图说明】
[0010]图1是电子计算设备的示例性实施方式的简化框图;
[0011]图2是示例性的基于网络的计算环境的简图;
[0012]图3是用于基于网络的访问认证的方法的示例性实施方式的数据流程图;
[0013]图4是根据示例性实施方式的用于三位安全码的键图像的图;以及
[0014]图5是由电子设备显示的多个值序列的输入形式的旋转拨号盘表示的图。
【具体实施方式】
[0015]图1是电子计算设备10的示例性实施方式的简化框图。电子设备10可以是任何设备或终端,例如智能手机、个人数字助理、平板计算机、膝上型计算机、台式计算机、自助服务终端、ATM终端、销售点终端和其他各种计算设备。电子设备10包括例如用于向用户显示信息的显示屏12、以及键盘和鼠标13的用户接口。键盘包括能够使用户输入诸如用户名、密码和PIN的登陆数据的多个键。鼠标是能够使用户将光标定位在屏幕12上任何地方并且点击所选定的文本或图形的常规定点设备。可以采用例如触摸板、控制杆、轨迹球及类似设备的其他定点设备。电子设备10还包括用于执行进行处理、计算、决定和通信功能的软件的中央处理单元(CPU)14。以随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或任何合适的数据存储设备的形式的存储器16被用于存储之后检索和计算所需的信息。电子设备10还包括能够连接至因特网、万维网、电信网络、局域网、无线网和/或其他合适资源的通信接口 18。电子设备10根据需要还可以包括其他外围设备。
[0016]电子设备10可能需要诸如密码或PIN的安全码来操作和/或访问信息、账户或其他受保护的资源。例如,智能手机、个人数字助理或膝上型计算机可能需要解锁该设备的密码以便能够使用。作为另一个示例,用户必须输入正确的登录证书才能访问在线金融账户、在线电子邮件账户、购物网站、社交媒体网站和各种其他受保护的资源和数据。在以下描述的系统和方法中,用户的登录证书通过规避诸如按键记录攻击、中间人攻击、跨站点请求伪造攻击的某些安全风险的远程安全认证服务器/服务来验证。
[0017]图2是示例性的基于网络的安全认证环境的简图。台式计算机20、膝上型计算机22和智能手机24表示用户可以用来经由包括因特网和万维网的计算机网络26访问存在于网络服务器208中的受保护资源或数据的电子设备。如上所述,也可以使用其他类型的设备和终端。也连接至因特网和万维网的安全认证服务器30能够鉴定由用户在电子设备处输入的登录证书而不将其暴露于诸如按键记录攻击、中间人攻击、跨站点请求伪造攻击等安全风险。认证服务器30可以是一个或更多个计算设备、虚拟机或者包括必要的操作系统、网络驱动程序和配置以及其他软件的其他计算实体。尽管没有明确示出,但电子设备可以通过其他中间的有线和无线计算机以及电信网络连接至因特网和万维网。
[0018]图3是用于基于网络的访问认证的方法的示例性实施方式的数据流程图。该图提供了在用户设备20-24、具有用户期望访问的资源的网络服务器28以及执行登录认证功能的安全认证服务器30之间的简化的代表性数据流程。如步骤32和步骤34所示,用户首先使用在电子设备上运行的网络浏览器从网络服务器28请求登录网页,网络服务器28将登录网页发送至用户设备。如步骤36所示,用户设备然后呈递包括用于用户输入诸如唯一用户名的登录证书的文本输入字段的登录网页。在步骤38中,用户输入用户名,该用户名在该示例中由“ABC”表示,并且被发送至网络服务器。如步骤40所示,网络服务器28然后将用户名连同对随机化安全数据的请求传送至安全认证服务器30。
[0019]作为响应,如步骤42所示,安全认证服务器30生成加密盐值和键图像,其中加密盐值为一串预定长度的随机比特。用于三位数字PIN码示例的键图像将是三个独立的有序数字串,每个数字串在随机点处开始。例如,如图4所示,第一串62的键图像在4处开始并且在3处结束,第二串64在7处开始并且在6结束,第三串66在9处开始并且在8处结束。安全认证服务器30还使用所生成的加密盐值为键图像中每个数字生成相应的经加密的值。例如,数字O可以对应于“rTcee3rd”,数字I可以对应于“grru6erd”,数字2可以对应于“urSetree”等。在步骤44中,将用户名和包括键图像和所述经加密的值的随机化安全数据发送至网络服务器28。优选地,仅发送存储并且可访问键图像的例如统一资源定位符(URL)的位置参考。
[0020]作为响应,如步骤46所示,网络服务器28使用键图像URL和经加密的值生成输入形式。输入形式可以为超文本标记语言(HypertextMarkup Language, HTML)的形式并且合并键图像。如上所述,键图像中的每个数字被安全认证服务器30用加密盐值生成的值进行了编码。因此,用户点击任何数字生成对应的经加密的值。例如,点击“2”的图像可以生成经加密的值ur8etree ;而点击“3”的图像可以生成经加密的值rEr8rr3d。因此,对于数字PIN,每个数字具有对应的经加密的值。然后,在步骤48中,将输入形式发送至用户电子设备。
[0021]在步骤50中,电子设备将输入形式呈递在显示屏上,该输入形式包括在其中数字各自与经加密的值相关联的键图像。在图5中示出了键图像以可滚动的轮子或转盘70的形式显示的示例,其中用户可以使用向上箭头和向下箭头或者鼠标滚动轮沿着数字序列向上滚动和向下滚动。用户可以通过点击输入形式中适当的数字键图像来输入安全码或PIN。一旦选择了 PIN中的一位,则对该序列中的数字进行模糊,使得所选择的数字不被显示。滚动将会使模糊的数字再次被显示。一旦用户选择全部三位PIN码,则用户可以提交输入形式。如步骤52所示,这将使用户的经加密的PIN输入发送至网络服务器28。
[0022]如步骤54所示,网络服务器28则将经加密的用户输入连同用户名发送至安全认证服务器30。如步骤56所示,安全认证服务器30判定经加密的用户输入的相应值是否是用于该特定用户的正确的PIN值,从而鉴定登录证书。如果所接收到的经加密的值没有与存储在安全认证服务器30处的用户安全码或PIN码正确地对应,则认证失败,并且用户的访问被拒绝。安全认证服务器30进一步删除键图像和加密盐值或以其他方式使该会话中使用的键图像和加密盐值无法使用。然后,在步骤58中,将认证批准或拒绝传达至网络服务器28。如步骤60所示,如果用户证书被批准,则用户可以继续进行登录过程。在步骤62中,转而将批准或拒绝传达给用户电子设备。如步骤64和步骤66所示,如果访问被批准,则用户获得对网站或其他受保护资源和数据进行访问的权限。然而,如果访问被拒绝,则禁止用户获得受保护的数据和访问资源。
[0023]用户可以具有预定次数的输入正确登录证书的尝试。每当用户请求访问受保护资源或数据时,则针对该次会话生成并使用新的键图像、加密盐值和经加密的值。
[0024]可以使用在安全认证服务器30上执行的应用程序接口(API)来实现以下功能:与网络服务器28通信;接收对键图像的请求;将所请求的键图像发送至网络服务器;以及验证经加密的用户证书。可以使用遵循表述性状态转移(REST)约束(RESTful)或其他合适架构的API。从API发送至网络服务器28的键图像可以是JaveScript对象符号(JaveScriptObject Notation, JS0N)格式或其他合适的格式。在用户电子设备上执行的HTML控件可以用于将安全码输入形式“添加”至被显示用来请求输入登录证书的HTML网页。
[0025]尽管上述方法和数据流程提供了在特定位置或以特定方式执行某些功能或步骤,但该系统和方法不限于此。例如,安全认证服务器30可以另外地生成输入形式并且向电子设备提供到该输入形式的位置参考。电子设备中的控件则可以操作成通过引用该位置参考来显示具有图形键图像的输入形式。此外,如果需要的话,网络服务器28和安全认证服务器30可以是如图2和图3所示的分开的服务器,或者可以是集成的服务器。
[0026]在所附权利要求中具体地阐述了被认为新颖的本发明的特征。然而,对于本领域技术人员来说,对上述示例性实施方式的修改、变型和变化将是明显的,因此本文所描述的系统和方法包括这些修改、变型和变化,并且不限于本文所描述的【具体实施方式】。
【权利要求】
1.一种安全认证方法,包括: 创建与登录证书相关联的用户账户; 生成加密盐值; 生成多个值序列的图形键图像,其中每个值序列在随机点处开始; 通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值; 将所述图形键图像和所述经加密的键值合并成可显示的输入形式; 接收来自用户的包括多个经加密的键值的用户输入; 通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;以及 响应于所述经解密的键值与所述登录证书匹配,给予所述用户访问与所述用户账户相关联的数据的权限。
2.根据权利要求1所述的安全认证方法,还包括使用电子设备向所述用户显示包括所述图形键图像和所述经加密的键值的所述输入形式。
3.根据权利要求2所述的安全认证方法,其中,显示所述输入形式还包括以旋转拨号盘图形表示来显示所述多个图形键图像。
4.根据权利要求3所述的安全认证方法,还包括使所述用户能够通过点击所显示的图形键图像来输入所述登录证书。
5.根据权利要求1所述的安全认证方法,还包括从托管与所述用户账户相关联的数据的服务器接收对在安全认证服务器处的随机化安全数据的请求。
6.根据权利要求5所述的安全认证方法,还包括: 将包括所述图形键图像和所述经加密的键值的所述随机化安全数据发送至所述服务器; 在所述服务器处生成合并了所述图形键图像和所述经加密的键值的所述可显示的输入形式; 将所述可显示的输入形式发送至所述用户所使用的电子设备;以及 在所述电子设备处显示所述输入形式。
7.根据权利要求6所述的安全认证方法,其中,发送所述随机化安全数据包括将所述图形键图像的位置参考发送至所述服务器。
8.一种安全认证方法,包括: 创建与登录证书相关联的用户账户; 生成加密盐值; 生成多个值序列的图形键图像,其中每个值序列在随机点处开始; 通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值; 将所述图形键图像和所述经加密的键值合并成可显示的输入形式; 接收包括多个经加密的键值的用户输入; 通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值;以及 验证所述经解密的键值与所述登录证书匹配。
9.一种安全认证系统,包括:安全认证服务器,所述安全认证服务器可操作成: 创建与登录证书相关联的用户账户; 生成加密盐值; 生成多个值序列的图形键图像,其中每个值序列在随机点处开始; 通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值; 服务器,所述服务器可操作成: 从所述安全认证服务器接收所述图形键图像和所述经加密的键值;以及 将所述图形键图像和所述经加密的键值合并成可显示的输入形式;以及 电子设备,所述电子设备可操作成: 显示所述输入形式;以及 接收来自用户的包括多个经加密的键值的用户输入; 所述安全认证服务器还可操作成: 从所述服务器接收所述用户输入; 通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值; 利用所述登录证书来验证所述经解密的键值;以及 通知所述服务器成功认证。
10.根据权利要求9所述的系统,其中,所述电子设备可操作成以旋转拨号盘的形式来显示合并了所述值序列的所述图形键图像的所述输入形式。
11.根据权利要求10所述的系统,其中,所述电子设备可操作成使用户能够通过点击所显示的图形键图像来输入所述登录证书。
12.根据权利要求9所述的系统,还包括:响应于所述经解密的键值与所述登录证书匹配,给予所述用户访问与所述用户账户相关联的数据的权限。
13.一种安全认证系统,包括: 用于创建与登录证书相关联的用户账户的装置; 用于生成加密盐值的装置; 用于生成多个值序列的图形键图像的装置,其中每个值序列在随机点处开始; 用于通过使用所生成的加密盐值加密所述多个序列中的每个值来生成经加密的键值的装置; 用于将所述图形键图像和所述经加密的键值合并成可显示的输入形式的装置; 用于接收包括多个经加密的键值的用户输入的装置; 用于通过使用所述加密盐值解密所述用户输入的所述经加密的键值来生成经解密的键值的装置;以及 用于验证所述经解密的键值与所述登录证书匹配的装置。
14.一种安全认证方法,包括: 将登录用户账户的请求发送至网络服务器; 从所述网络服务器接收具有多个值序列的图形键图像和经加密的键值的输入形式; 以旋转拨号盘格式显示所述输入形式; 接收使用所述输入形式所输入的用户输入;以及将表示所述用户输入的经加密的键值发送至所述网络服务器用于认证。
【文档编号】H04L9/08GK103548299SQ201280022478
【公开日】2014年1月29日 申请日期:2012年5月10日 优先权日:2011年5月10日
【发明者】李昌 申请人:软质层科技公司