專利名稱:密碼生成和驗(yàn)證的方法、裝置以及計(jì)算機(jī)程序載體的制作方法
技術(shù)領(lǐng)域:
本發(fā)明大體涉及計(jì)算機(jī)系統(tǒng)��,尤其涉及在這種系統(tǒng)中進(jìn)行登錄時的密碼處理�����。
背景技術(shù):
本節(jié)旨在向讀者介紹本技術(shù)領(lǐng)域的各個方面����,它們可能與在下面描述和/或主張權(quán)利的本發(fā)明的各個方面相關(guān)��。這些討論被認(rèn)為有助于向讀者提供背景信息以便于更好地理解本發(fā)明的各個方面�。因此��,應(yīng)當(dāng)理解的是���,應(yīng)該從這個角度閱讀這些陳述�����,而不要將它們視為是對現(xiàn)有技術(shù)的承認(rèn)。在現(xiàn)在的計(jì)算機(jī)系統(tǒng)中密碼是無處不在的���,例如對要登錄的用戶進(jìn)行認(rèn)證���。以其通用定義來說,密碼由一連串取自預(yù)定義字母表(alphabet)(例如用作PIN碼的4個數(shù)值)的符號構(gòu)成��。 為了創(chuàng)建“強(qiáng)”的密碼�����,通常要求選擇的密碼符合預(yù)定義策略�����。這種策略可以是例如,密碼應(yīng)該至少為8個字符長并且應(yīng)該包括至少一個大寫字母和至少一個特殊字符如&����,(和=.US 2004/250139和US 2009/158406展示了選擇這樣的密碼的解決方案。然而�����,即使使用強(qiáng)密碼進(jìn)行密碼保護(hù)的系統(tǒng)仍可能通過強(qiáng)力攻擊(bruteforceattack)(反復(fù)嘗試每個可能值)或字典攻擊(嘗試優(yōu)選值的子集)而被攻擊��。在下文中���,這些攻擊將被稱為“自動攻擊”�����。為了簡化其實(shí)施���,這些攻擊使用較低級別的層而不使用認(rèn)證系統(tǒng)的用戶接口進(jìn)行操作。這些工具中的一些甚至可以通過互聯(lián)網(wǎng)獲得�,例如John theRipper密碼破解工具。現(xiàn)有的認(rèn)證系統(tǒng)不能在自動攻擊和用戶錯誤之間做出區(qū)分����。默認(rèn)情況下�����,某些認(rèn)證系統(tǒng)通過在兩個連續(xù)的請求之間插入延遲或通過限制不成功嘗試的次數(shù)����,或通過兩者的結(jié)合來實(shí)施最小化自動攻擊風(fēng)險(xiǎn)的機(jī)制����。在PIN碼的示例中,不成功嘗試的次數(shù)通常固定為3次����。因此����,可以理解的是,存在對可以使得認(rèn)證系統(tǒng)檢測自動攻擊����、從而使得系統(tǒng)根據(jù)適當(dāng)策略對此種攻擊做出反應(yīng)的解決方案的需求。本發(fā)明提供了這種解決方案���。
發(fā)明內(nèi)容
第一方面���,本發(fā)明涉及一種在用戶登錄到受密碼保護(hù)的實(shí)體期間驗(yàn)證輸入的密碼的方法��。處理器接收輸入的密碼的至少一個字符��;并驗(yàn)證接收的至少一個字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性�����。在第一優(yōu)選實(shí)施例中�����,接收輸入的密碼的所有字符以及所輸入的密碼是完整的指示�,并且處理器進(jìn)一步驗(yàn)證完整的輸入密碼與保護(hù)實(shí)體的密碼對應(yīng)��。在一個變形中�����,完整的輸入密碼包括第一部分和第二部分�����,通過對第一部分進(jìn)行處理以查看處理后的第一部分與第二部分是否匹配來驗(yàn)證第二部分表示的屬性以及與該屬性的符合性。在第二優(yōu)選實(shí)施例中����,該屬性取決于用戶。在第三優(yōu)選實(shí)施例中�,處理器在檢測到不遵守用戶屬性的預(yù)定次數(shù)的輸入密碼或部分輸入密碼時,確定已經(jīng)有人嘗試進(jìn)行強(qiáng)力攻擊�����。有利地��,在確定已經(jīng)有人嘗試強(qiáng)力攻擊時���,采取合適的行動�。這種合適的行動包括以下中的至少一項(xiàng)向管理員發(fā)出警告���、向用戶發(fā)出警告、鎖定系統(tǒng)和在接受進(jìn)一步的登錄嘗試之前等待預(yù)定時間�����。第二方面�����,本發(fā)明涉及一種用于在用戶登錄到受密碼保護(hù)的實(shí)體期間驗(yàn)證輸入密碼的裝置。該裝置包括用于接收密碼字符的接口 �����;以及用于驗(yàn)證接收的至少一個密碼字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性的處理器�。在第一優(yōu)選實(shí)施例中,接口進(jìn)一步用于接收輸入密碼是完整的指示��,并且其中處理器進(jìn)一步用于驗(yàn)證完整的輸入密碼與保護(hù)實(shí)體的密碼對應(yīng)���。在一個變形中����,完整的輸入密碼包括第一部分和第二部分�,其中屬性由第二部分表示,處理器適用于通過對第一部分進(jìn)行處理以查看處理后的第一部分與第二部分是否匹配來驗(yàn)證與該屬性的符合性���。在第二優(yōu)選實(shí)施例中��,該屬性取決于密碼的用戶��。在第三優(yōu)選實(shí)施例中�,處理器進(jìn)一步用于在檢測到不遵守用戶屬性的預(yù)定次數(shù)的 輸入密碼或部分輸入密碼時,確定已經(jīng)有人嘗試強(qiáng)力攻擊����。有利地,在確定已經(jīng)有人嘗試強(qiáng)力攻擊時��,采取合適的行動����。這種合適的行動包括以下中的至少一項(xiàng)向管理員發(fā)出警告、向用戶發(fā)出警告����、鎖定系統(tǒng)和在接受更多的登錄嘗試之前等待預(yù)定的時間。第三方面�,本發(fā)明涉及一種存儲軟件程序的指令的計(jì)算機(jī)程序產(chǎn)品,當(dāng)所述指令由處理器執(zhí)行時�����,在用戶登錄到受密碼保護(hù)的實(shí)體期間���,接收輸入的密碼的至少一個字符;并驗(yàn)證接收的至少一個字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性。
下面將通過參考附圖����、借助于非限制性示例來描述本發(fā)明的優(yōu)選特征,其中圖I示出了可以實(shí)施本發(fā)明的示例性系統(tǒng)�����;圖2示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的產(chǎn)生密碼的方法��;圖3示出了根據(jù)本發(fā)明優(yōu)選實(shí)施例的驗(yàn)證密碼的方法��。
具體實(shí)施例方式圖I示出了可以實(shí)施本發(fā)明的示例性系統(tǒng)����。該系統(tǒng)包括計(jì)算機(jī)裝置(“計(jì)算機(jī)”)110和認(rèn)證服務(wù)器120,將理解的是����,本發(fā)明可以被實(shí)施在計(jì)算機(jī)110、認(rèn)證服務(wù)器120上或?qū)嵤┰谟?jì)算機(jī)Iio和認(rèn)證服務(wù)器120兩者之上�。計(jì)算機(jī)110和認(rèn)證服務(wù)器120可以是任何類型的合適的計(jì)算機(jī)或能夠進(jìn)行計(jì)算的裝置,例如標(biāo)準(zhǔn)個人計(jì)算機(jī)(PC)或工作站����。計(jì)算機(jī)110和認(rèn)證服務(wù)器120中的每一個優(yōu)選地包括至少一個處理器111和121�、RAM存儲器112和122��、用于與用戶進(jìn)行交互的用戶接口 113和123����,以及通過連接130與其它裝置交互的第二接口 114、124����。計(jì)算機(jī)110和認(rèn)證裝置120中的每一個優(yōu)選地還包括用于從存儲指令的數(shù)字?jǐn)?shù)據(jù)載體140讀取軟件程序的接口,所述指令當(dāng)由處理器執(zhí)行時����,執(zhí)行下文中描述的任何一種密碼方法。本領(lǐng)域技術(shù)人員將理解�����,出于清楚的緣故����,圖示的裝置是非常簡化的,并且實(shí)際裝置另外可能包括諸如永久性存儲裝置之類的特征�。主要構(gòu)思是在密碼集合Ω上增加屬性α (也被稱為“規(guī)則”或“函數(shù)”)。這將完整的密碼空間劃分為兩個不同的子集 遵守該屬性的有效密碼子集(即有效密碼空間)
Ων={ω e Ω | α (ω)} 不遵守該屬性的無效密碼子集Ω, = {ω e Ω|—將被理解的是��,在某些現(xiàn)有技術(shù)的系統(tǒng)中已經(jīng)存在這種情形,例如要求密碼包括至少8個字符,其中包含一個大寫字母和除字母或數(shù)字之外的一個字符��。然而,重要的是認(rèn)識到�����,這樣的要求僅旨在多樣化用戶密碼以使得其更少受到字典攻擊的影響�;它絕不允許檢測自動攻擊�,并且也不通過提出可允許的字符而將用戶引導(dǎo)到有效密碼。將要理解的是�����,子集有利地是動態(tài)的���,從而可以隨時間改變��。這種動態(tài)性的一個示例性實(shí)施方式是將η種最近最常使用的密碼放入無效子集Ω i��。雖然子集各不相同��,但是定義它們的規(guī)則可以為了容易實(shí)施而重疊�����,在此情形中��, 一個規(guī)則應(yīng)該優(yōu)先于其它規(guī)則�。例如,禁止使用用戶出生年的規(guī)則有利地否決了任何在其它情況下允許該特定組合的規(guī)則���。當(dāng)用戶通過用戶接口輸入密碼時�����,他被限制在有效密碼空間Ων����。系統(tǒng)將任何來自無效密碼空間Qi (也可能是第三子集)的請求視為攻擊并可以據(jù)此做出反應(yīng)�����。屬性α的選擇是在密碼熵(Ω ν的大小)和攻擊的可檢測性(Ω i的大小)之間權(quán)衡的結(jié)果�����。因此���,屬性α的使用使得可以對強(qiáng)力攻擊進(jìn)行檢測��。如果攻擊者系統(tǒng)性地嘗試所有的密碼值�,那么這必然會包括元素。另外��,可以通過將已知的或可能的字典元素添加到Qi中來應(yīng)對字典攻擊���。屬性α可以是復(fù)雜的函數(shù)。雖然它可以應(yīng)用于完整的密碼���,但優(yōu)選地應(yīng)該被保證用于用戶接口的每個符號輸入�。在這種情況下����,可以在給定步驟輸入的符號取決于先前輸入的符號。優(yōu)選地�����,為了保證隨機(jī)密碼猜測具有使用來自無效子集的密碼的不可忽略的概率����,屬性α將密碼空間分割成被“很好地混合”且具有不可忽略的大小的兩個部分。例如���,對于文本密碼輸入�,屬性α可以是大寫字母和小寫字母的交替。在這種情況下�,在創(chuàng)建密碼期間,任意字符(大寫或小寫)可以被選擇用于第一個符號�。然后,如果前一個是大寫的���,那么用戶接口提出小寫字符的集合��,反之亦然��。因此�����,屬性α在創(chuàng)建密碼的每個步驟中得到驗(yàn)證����。例如�����,如果有效密碼空間。7和無效密碼空間Qi之間的比率r非常小(r〈〈l)�,那么很難給出有效密碼,系統(tǒng)也可能容易受到來自于知道某些規(guī)則的黑客的攻擊���。另一方面����,如果r l��,那么幾乎所有的密碼都是有效的�����,檢測出攻擊的可能性小�。因此�����,似乎比率r^ 1�,或許O. 5〈r〈2,是可以用作經(jīng)驗(yàn)規(guī)則的較好的折衷�。屬性α可能取決于多種元素,例如用戶名��。在此情形中,兩個用戶可以使用不同的規(guī)則構(gòu)建他們的密碼��。例如�����,如果用戶名的字符數(shù)目是奇數(shù)(相應(yīng)地���,偶數(shù))��,那么密碼應(yīng)該只包含大寫(相應(yīng)地���,小寫)字符。由混合的大寫和小寫字符組成的任何請求都將被視為攻擊����。另一個示例是要求用戶名和密碼的字符數(shù)目之和是偶數(shù)(或奇數(shù))。屬性α的定義可以非常復(fù)雜����,它將許多參數(shù)考慮在內(nèi)。然而����,過于復(fù)雜的屬性可能具有下列缺點(diǎn)得到的密碼可能很難記,有效密碼集合大小可能變得太小以至于不能保證足夠的摘。
系統(tǒng)安全的整體水平取決于屬性α的保密性���。知道或猜中該屬性可能使得構(gòu)建有效密碼值的集合(Ων)并使用該集合進(jìn)行字典攻擊����,并且不被檢測出來��。為了讓攻擊者更難重構(gòu)有效子集Ω ν�����,有利地不在登錄時刻在用戶接口上主動強(qiáng)調(diào)約束(highlight constrain),而僅僅只在構(gòu)建密碼時這樣做���。此外���,認(rèn)證系統(tǒng)中使用的經(jīng)典對策(例如�����,最大嘗試次數(shù)以及不正確的密碼輸入之間的強(qiáng)制延遲)仍可以與本發(fā)明的解決方案一起組合使用�����。示例件示例這部分通過PIN碼的研究案例例示本發(fā)明的構(gòu)思。該示例也強(qiáng)調(diào)了對傳統(tǒng)對策的推廣�����,例如避免字典攻擊����。考慮PIN碼從{0��,...�����,9}中選出的一串4位數(shù)字��。
通常地�,在密碼生成時沒有任何條件的現(xiàn)有技術(shù)情形中,密碼空間Ω由“0000”至“9999”之間的所有的(十進(jìn)制)數(shù)表示�����,Q = Ip1P2P3P4IPiG {0��,· ·�����,9}}。在下文中���,PIN碼被表示為 P, P=P1P2P3P4,其中 Pi e {0���,· · ·,9}�����。
I' Ω‘ = Ω對一般情形必:Ω =0第一步驟可以是排除使用過于頻繁或過于簡單的組合的特定集合(“字典”)���,例如重復(fù)4次的相同數(shù)字(例如“7777”)或其中是遞增序列的4位數(shù)字(例如“1234”)�。因此��,執(zhí)行的系統(tǒng)將在密碼生成期間驗(yàn)證選擇的PIN碼不是字典的一部分�,并且如果是這種情形,確認(rèn)選擇的PIN碼有效�。在登錄(或其它類型的認(rèn)證)期間���,如果輸入來自無效子集Qi的PIN碼��,那么系統(tǒng)發(fā)出異常并采取計(jì)劃好的對策�。
一 .1Ω.,.=Ω''.Ω,用符號表不》:·=^、ι.ν
[^ = ■! PI P' = Pz = Ih = P Ap, =P, +1 第二步驟可以是整合函數(shù)α以將密碼空間Ω分割成有效子集和無效子集(其中后者將與“字典”組合在一起)�����。例如����,函數(shù)α可能表示每個數(shù)字的奇偶性必須相對于前一個變化。系統(tǒng)可選地通過修改其接口以及可選地僅示出有效數(shù)字而在生成階段強(qiáng)制遵守該規(guī)則�。在密碼認(rèn)證期間,系統(tǒng)檢查輸入的PIN是否遵守規(guī)則α ;如果未遵守��,那么發(fā)出異常����,并且系統(tǒng)將采取計(jì)劃好的對策。再次用符號表不:
,Ων = {p G Ω|巧+1且A具有不同的奇偶性��,j = 1,...,4} \Ω, α" >
Ω, = {P IA 二 P2 = P3 二 PApJM =Pj +1���,_/ = 1��,4}在此示例中�����,函數(shù)α "允許某些被字典條件禁止的組合�����。然后����,第三步驟是在密碼生成時通過接口或簡單地拒絕無效的PIN碼來強(qiáng)制有效條件(active condition)。在密碼認(rèn)證期間���,系統(tǒng)行進(jìn)到步驟二和步驟三時驗(yàn)證兩個條件�����,否則發(fā)出異常���。雖然可以容易地驗(yàn)證有效的PIN碼的可變性從α降低到α ”,但它仍然保持著可用于選擇PIN碼的大小����。還可能觀察到的是,允許和禁止的PIN碼集合都具有不可忽略的大小并且被“很好地混合”。后一屬性也取決于用來攻擊系統(tǒng)的工具��,并不僅僅取決于使用的特定的α函數(shù)���。可選地��,如已經(jīng)提到的����,依靠用戶名向函數(shù)α增加可變性是可能的。在該P(yáng)IN示例中���,要求PIN碼的第一個數(shù)字的奇偶性不同于用戶名長度的奇偶性�����。然后�,login表示用戶輸入的用戶名�,# {login}表示其長度;另外,Pci表示# {login}的奇偶性����。在α內(nèi)包括該條件,用符號表示
權(quán)利要求
1.一種在用戶登錄到受密碼保護(hù)的實(shí)體期間驗(yàn)證輸入密碼的方法��,所述方法包括處理器(111,112)中的下列步驟 -接收(310)所述輸入密碼的至少一個字符��;以及 -驗(yàn)證(320)所接收的至少一個字符符合用于設(shè)定可允許密碼的至少一個要求的預(yù)定義屬性(α )��。
2.如權(quán)利要求I所述的方法��,其中接收所述輸入密碼的所有字符和所述輸入密碼是完整的指示���,并且所述方法進(jìn)一步包括以下步驟驗(yàn)證(350)完整的輸入密碼與保護(hù)實(shí)體的密碼對應(yīng)�。
3.如權(quán)利要求2所述的方法�,其中所述完整的輸入密碼包括第一部分和第二部分,其中所述屬性由所述第二部分表示���,并且其中通過對所述第一部分進(jìn)行處理來查看處理后的第一部分與所述第二部分是否匹配而驗(yàn)證與所述屬性的一致性���。
4.如權(quán)利要求I或2所述的方法,其中所述屬性取決于所述用戶�����。
5.如前面的權(quán)利要求中的任何一項(xiàng)所述的方法�����,進(jìn)一步包括步驟在檢測到不遵守所述用戶的屬性的預(yù)定次數(shù)的輸入密碼或部分輸入密碼時,確定已經(jīng)有人試圖進(jìn)行強(qiáng)力攻擊��。
6.如權(quán)利要求5所述的方法���,進(jìn)一步包括步驟在確定已經(jīng)有人試圖進(jìn)行強(qiáng)力攻擊時,采取合適的行動����。
7.如權(quán)利要求6所述的方法,其中合適的行動包括以下中的至少一項(xiàng)向管理員發(fā)出警告�、向用戶發(fā)出警告、鎖定系統(tǒng)和在接受進(jìn)一步的登錄嘗試之前等待預(yù)定的時間��。
8.一種用于在用戶登錄到受密碼保護(hù)的實(shí)體期間驗(yàn)證輸入密碼的裝置(110��,120)���,所述裝置(110����,120)包括 -接口(113�����,114,123���,124)�,用于接收密碼字符����;以及 -處理器(111,121)����,用于驗(yàn)證接收的至少一個密碼字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性(α )。
9.如權(quán)利要求8所述的裝置�,其中所述接口進(jìn)一步用于接收所述輸入密碼是完整的指示,并且其中所述處理器進(jìn)一步用于驗(yàn)證完整的輸入密碼與保護(hù)實(shí)體的密碼對應(yīng)���。
10.如權(quán)利要求9所述的裝置����,其中所述完整的輸入密碼包括第一部分和第二部分�,其中所述屬性由所述第二部分表示,并且其中所述處理器適用于通過對所述第一部分進(jìn)行處理以查看處理后的第一部分與所述第二部分是否匹配來驗(yàn)證與所述屬性的一致性��。
11.如權(quán)利要求8或9所述的裝置,其中所述屬性取決于所述密碼的用戶�����。
12.如權(quán)利要求8至11中任何一項(xiàng)所述的裝置���,其中所述處理器進(jìn)一步用于在檢測到不遵守用戶的屬性的預(yù)定次數(shù)的輸入密碼或部分輸入密碼時��,確定已經(jīng)有人試圖進(jìn)行強(qiáng)力攻擊。
13.如權(quán)利要求12所述的裝置���,其中所述處理器在確定已經(jīng)有人試圖進(jìn)行強(qiáng)力攻擊時��,進(jìn)一步采取合適的行動���。
14.如權(quán)利要求13所述的裝置,其中合適的行動包括以下中的至少一項(xiàng)向管理員發(fā)出警告��、向用戶發(fā)出警告�����、鎖定系統(tǒng)和在接受進(jìn)一步的登錄嘗試之前等待預(yù)定的時間����。
15.一種在其上存儲了的軟件程序的指令的計(jì)算機(jī)程序產(chǎn)品(140)�,其中�,當(dāng)所述指令由處理器(111,121)執(zhí)行時����,在用戶登錄到受密碼保護(hù)的實(shí)體期間,執(zhí)行下列步驟-接收(310)輸入密碼的至少一個字符�;以及 · -驗(yàn)證(320)所接收的至少一個字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性(α )。
全文摘要
在用戶登錄到受密碼保護(hù)的實(shí)體期間����,通過反復(fù)接收(310)密碼字符來驗(yàn)證密碼;并且驗(yàn)證接收到的字符符合用于設(shè)定可允許的密碼的至少一個要求的預(yù)定義屬性(α)����。如果不是這種情形,那么這表明遭到強(qiáng)力攻擊并且可以采取合適的行動��。屬性α可以取決于用戶��。本發(fā)明還提供了一種相應(yīng)的裝置(120)和計(jì)算機(jī)程序產(chǎn)品(140)�����。
文檔編號G06F3/048GK102884534SQ201180023673
公開日2013年1月16日 申請日期2011年5月6日 優(yōu)先權(quán)日2010年5月11日
發(fā)明者D.阿萊賽奧, M.埃盧亞德, Y.梅茨 申請人:湯姆森特許公司