CN101203841B - 防止欺骗性因特网帐户接入 - Google Patents
防止欺骗性因特网帐户接入 Download PDFInfo
- Publication number
- CN101203841B CN101203841B CN2006800173150A CN200680017315A CN101203841B CN 101203841 B CN101203841 B CN 101203841B CN 2006800173150 A CN2006800173150 A CN 2006800173150A CN 200680017315 A CN200680017315 A CN 200680017315A CN 101203841 B CN101203841 B CN 101203841B
- Authority
- CN
- China
- Prior art keywords
- network address
- network
- access
- internet resources
- resource user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2115—Third party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Power Engineering (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
Abstract
介绍了一种用于对接入网络资源的请求进行鉴定的方法和系统。网络地址信息可与网络资源用户相关联。鉴定部可维护关联的网络地址信息。当请求中可包括网络地址标识符时,鉴定部可从请求方接收请求,以对网络资源用户进行鉴定。可基于网络地址信息和网络地址标识符对网络资源用户进行鉴定。可响应于网络资源用户发出的接入请求,将鉴定确认转发给请求方,用于控制到网络资源提供商的网络资源的接入。
Description
技术领域
本发明一般涉及计算机网络管理,更特别地,涉及用于对请求接入网络资源的请求进行安全处理的系统和方法。
背景技术
基于网络的帐户服务(account service)对于多种类型的“帐户”都是可用的,包括银行业务、投资、信用卡、电子邮件以及涉及“所有者”注册或订阅(subscription)的几乎每个能想到的传统的或基于网络的服务。基于网络的帐户服务通过因特网(例如,在帐户管理员的万维网页面(“web”)上)提供到个人帐户信息和/或管理权能的远程接入。因此,存在鉴定措施以使私人帐户的接入或帐户特权仅限于被授权的用户(例如,帐户所有者)。
为防止未授权的接入,可要求用户例如“登录”帐户,以访问包含帐户信息的web内容。通常,登录具体帐户需要用户输入有效的私人帐户登录信息。帐户登录信息可包括用户名、用户ID、登录名、顾客接入代码、电子邮件地址、以及与具体帐户唯一关联的口令、通行代码、接入代码、个人身份号码(PIN)、代码字等。
通常,当帐户登录信息被未授权的一方得知时,可危及网络化帐户保护的安全。未授权的一方可以多种方式确定帐户登录信息,例如通过称为“网络钓鱼(phishing)”的欺骗行为。网络钓鱼是这样一种行为,即,向用户发送电子邮件,不实地自称为建立的合法企业,以欺骗用户泄露用于识别身份盗窃或未授权的帐户接入的私人信息。因此,仅使用现有的帐户登录处理不足以防止到在线帐户服务的未授权的或欺骗性的接入。
发明内容
根据一个方面,本发明的方法可包括维护与网络资源用户关联的网络地址信息;接收对所述网络资源用户授权的请求,所述请求包括网络地址标识符;以及基于所述网络地址信息和所述网络地址标识符,对所述网络资源用户进行鉴定。
根据另一个方面,本发明的方法可包括:建立包括至少一个网络地址的授权列表,所述授权列表与至少一个网络资源相关联;接收接入所述至少一个网络资源的请求,其中所述请求包括源网络地址;以及基于所述授权列表和所述源网络地址,控制到所述至少一个网络资源的接入。
根据另一个方面,本发明的装置可包括服务器,其配置以预先授权至少一个网络地址连接到所述服务器;从具有源地址的客户端装置接收连接到所述服务器的请求;确定所述源地址是否已预先授权连接到所述服务器;以及基于所述源地址是否已预先授权的确定,选择性地准许所述请求。
根据另一个方面,本发明的系统可包括:用于从客户端装置接收用于连接到网络资源的请求的装置,所述客户端装置具有从一定范围的网络地址中动态分配的源网络地址;用于选择性地授权所述源网络地址的装置,其中所述源网络地址与授权的网络地址的列表相比较;以及用于将授权的源网络地址连接到所述网络资源的装置。
附图说明
以下附图为并入本说明书的一部分,其示出了本发明的实现,并与说明书一起解释了本发明。
图1示出了可实现根据本发明的方法和系统的示例性网络简图;
图2是根据本发明实施方式的、图1中的服务器和客户端装置的示例性框图;
图3示出了根据本发明的用于对基于网络的帐户服务的预期用户进行鉴定的方法流程图;以及
图4示出了根据本发明的方法和系统的示例性网络的另一个示例性简图。
具体实施方式
以下将参照附图详细说明本发明的实施方式。不同附图中相同的附图标号可表示相同或相似的元素。此外,以下详细说明并不限制本发明。本发明的范围由权利要求及其等同物限定。
根据本发明的系统和方法可响应于网络资源用户发出的接入请求,提供到网络资源提供商的网络资源的接入。网络资源用户可使用具有相关网络地址标识符的一个或多个客户端装置,所述网络地址标识符例如静态网络地址或动态分配网络地址,所述动态分配网络地址由网络地址标识符提供商为其分配。可对与请求连接于网络资源的特定客户端装置相关联的每个网络地址进行鉴定,即,由鉴定部(authenticator)将其与网络地址信息(例如,已授权用于连接的网络地址的列表)相比较。网络地址信息可包括一个或多个可从中动态分配网络地址标识符的网络地址范围。
本文中,“范围”或“列表”可包括一个或多个网络标识符。范围可包括任何可识别的分组。例如,网络地址的范围可包括各自网络地址的任何不连续的分组,所述分组可为相容的或排它的。可由任何适当的表达式定义该范围。在一个实施方式中,可由用于从一组网络地址中将其中一个或多个网络地址子集排除的算法表达式定义该范围。在另一个实施方式中,可由用于一组连续或不连续的网络地址的算法表达式定义该范围。可将所述范围定义为一个或多个变量的任何函数。可使用任何适当的处理来确定该范围。
示例性网络
图1示出了在其中可实现根据本发明的系统和方法的示例性网络100。如图所示,网络100包括客户端装置110,其可操作地连接于公共网络130,所述公共网络可具有关联的服务器140。网络100还可包括网络120,网络120可操作地连接于客户端装置110和公共网络130、并具有关联的网络装置150。为了简单起见,提供图1所示数量和类型的装置。实际中,实现本发明的网络通常可包括比图1所示更多或更少的装置和/或网络。此外,作为单一实体示出的装置可实现为分布式配置。
在根据本发明的一个实施方式中,客户端装置110可包括能与联网装置通过唯一的网络标识,如网络地址(例如IP地址),进行交互的任何用户(user)或订户(subscriber)装置,下文中将对此详细说明。客户端装置110可包括例如个人电脑、膝上型电脑、个人数字助理(PDA)等装置、或者能通过网络120和/或公共网络130启动、发送、和/或接收数据和/或语音通信或其它媒体的其它类型的计算或通信装置。
尽管只示出了一个客户端装置110,但是可以理解,图1中示出的客户端装置的数量和类型仅为了简便起见。实际上,网络100可包括例如在虚拟的和/或实际的客户群中的任何数量和类型的客户端装置110。客户群可为客户端装置110的任何联合,例如根据各个客户端装置110中的指定的共性的联合。指定的共性可包括感知到的或实际共享的特性,包括地理位置、网络配置(例如,局域网(LAN)、广域网(WAN)等)、电话区号、电话局和/或用户具体信息(例如,由服务提供商建立)。
网络120可包括适于在联网通信中的节点或网络元素上接收、存储、处理和/或发送基本可为任何格式(例如,比特、字节、组块、数据包、离散单元等)的任何类型的机器可读数据的任何计算机网络,所述计算机网络可具有任何适当的拓扑结构(例如,总线、星形、环形等)、协议(例如,IP、以太网、令牌环网等)、和架构(例如,对等、客户端/服务器等)。例如,网络120可包括专用网络(例如,公司网络)、私人网络、LAN、WAN、家域网、内联网、因特网、服务提供商网络、网络电话(VoIP)网络和/或多个网络的组合。网络120可包括一个或多个网络装置150和/或系统,以共同工作以接收、发送、和/或传输数据或其它媒体。例如,网络装置150可包括路由器、网络交换机、防火墙、数据库、网关、服务器、网络操作中心(NOC)等。
根据一个实施方式,网络120可起到向客户端装置110提供到网络资源的连通性的接入网的作用。例如,可由本地用户操作客户端装置110,以通过链路和网络装置150接入服务提供商网络。链路可包括广播连接,例如:在例如双绞线上提供的数字用户线路(DSL)、在例如同轴电缆和/或光纤上提供的电缆调制解调器连接、和/或在例如无线保真(Wi-Fi)链路和/或无线供通信上提供的无线连接。
可由服务提供商对网络120进行操作,所述服务提供商例如电信供应商、有线电视供应商或多媒体公司。可对网络120进行操作,以使客户端装置110与例如公共网络130的公共网络通信连接。例如,网络120可实现为向居住社区(例如邻域)提供服务的LAN。居住在邻域的居住用户可操作客户端装置110以通过网络120接入公共网络130。居住用户可通过与网络120相关联的服务提供商订阅网络接入服务。
网络120可为网络地址标识符提供商。网络120可静态地或动态地向客户端装置110提供网络地址或标识符,例如IP地址、以太网地址、统一资源标识符(URI)、动态网络服务(DNS)标识符等,用于在其它联网装置中识别出客户端装置110。例如,网络装置150可为网络地址标识符提供商,并可包括动态主机配置协议(DHCP)服务器、地址转换网关、代理服务器、和/或向客户端装置110提供网络地址(当客户端装置通过网络120和/或公共网络130发起消息传输时)的任何类型的服务器,以在公共网络130中唯一识别客户端装置110。可从分配到网络120或公共网络130的、或网络120或130能够使用的相关网络地址中提供网络地址,作为网络地址群或范围。
公共网络130可包括联网通信中的联网资源,包括关联的主机、节点、和/或例如服务器140的服务器,所述联网通信使用例如网络地址系统,并具有任何适当的拓扑、协议和架构。公共网络130可包括协同工作以接收、发送和/或传输数据的一个和多个装置和/或系统,包括路由器、网络交换机、防火墙、数据库、网关、服务器、网络操作中心(NOC)等。
服务器140可包括处理、搜索和/或维护可接入和/或联网到客户端装置110的任何服务器装置。例如,服务器140可包括或为与目的网络资源(例如文件、网络地址等)相关联的、包括web内容(例如网站、网页、在线服务等)的网络资源提供商。作为另一个实施例,服务器140可包括或本身就是鉴定部,用于对接入网络资源提供商的网络资源请求进行鉴定。鉴定部可包括与网络资源提供商相关或无关的鉴定机关或实体、系统、操作、装置、软件、硬件或处理。服务器140可与客户端装置110交互,例如使用超文本传输协议(HTTP)。
图2示出了根据本发明实施方式的客户端装置110和/或服务器140的示例性配置。可选地,可使用其它配置。客户端装置110/服务器140可包括总线210、处理器220、存储器230、只读存储器(ROM)240、存储装置250、输入装置260、输出装置270、以及通信接口280。总线210允许在客户端装置110/服务器140的组件之间进行通信。
处理器220可包括翻译并执行指令的任何类型的传统处理器、微处理器或处理逻辑。存储器230可包括随机存取存储器(RAM)或可存储信息和用于由处理器220执行的指令的其它类型的动态存储装置。存储器230还可用于在处理器220执行指令期间,存储临时变量或其它中间信息。
ROM 240可包括传统的ROM装置和/或可存储静态信息和用于处理器220的指令的其它类型的静态存储装置。存储装置250可包括磁盘或光盘及其相应驱动、和/或用于存储信息和指令的某些其它类型的磁或光记录媒介及其相应驱动。
输入装置260可包括允许操作员向客户端装置110/服务器140输入信息的一个或多个传统装置,例如键盘、鼠标、笔、声音识别和/或生物机制等。输出装置270可包括向操作员输出信息的一个或多个传统装置,包括显示器、打印机、一个或多个扬声器等。通信接口280可包括能使客户端装置110/服务器140与其它装置和/或系统通信的类似收发机的装置。例如,通信接口280可包括调制解调器或到LAN的以太网接口。作为一种选择,通信接口280可包括用于通过网络通信的其它装置。
示例性处理
图3是根据本发明实施方式的用于阻止对网络化资源和/或服务的未授权的使用的示例性处理的流程图。首先,独立地或协作地预先授权能够接入到网络资源的网络资源用户(例如所有者)、和/或网络资源提供者或网络化资源(例如帐户)的管理者建立一个或多个网络地址的授权列表(操作310),所述网络地址可通过例如公共网络130接入关联的网络资源。授权列表可包括一个或多个网络地址,并由网络服务提供商和/或鉴定部保持在例如服务器140(例如,存储器230、存储装置250等)中。如上所述,网络资源可与服务器140(例如处理器220、存储器230、存储装置250等)相关联。
可通过任何适当的处理作为帐户建立或注册过程的一部分初始地建立授权列表,或在其后的任何时间建立授权列表。根据示例性实施方式,帐户所有者可识别其要从中访问账户的、已知的具体网络地址和/或网络地址范围。根据另一个实施方式,帐户所有者可识别与其用来访问账户的客户端装置110相关联的一个或多个选择实体,而无需指定关联的网络地址(其对于帐户所有者是未知的)。例如,帐户所有者可提供例如雇主、网络服务提供商的信息,和/或选择任何其它的网络地址标识符提供商,用于所述网络地址标识符提供商的关联网络地址为“存档的(on file)”、或可由网络资源提供商提供。根据另一个实施方式,对于存在的帐户,可将先前用于接入帐户的网络地址“作为原始数据存档(grandfather)”至授权列表。例如,帐户所有者和/或网络资源提供商可指定被授权的网络资源用户可从中访问帐户的可识别的网络地址。在一个实施方式中,授权列表可自动填充。
在示例性的实施方式中,网络地址可临时包含在授权列表中。例如,临时网络地址可假定指定时期的授权的和未授权的状态。例如,授权列表中的临时网络地址可在每周预定的天数和/或每天预定的时间内具有接入权限。作为另一个实施例,可为网络地址指定“日落(sunset)”条款,例如,具有预定的期满日期/时间,在该日期/时间之后,将该网络地址从授权列表中自动、永久或暂时移除。根据本发明,授权列表中的网络地址可具有与其关联的任何其它临时或有条件的状态,例如延时的开始或激活。作为另一个实施例,可将网络地址限制为查看帐户信息,而禁止其进行交易。根据另一个示例性实施方式,可选择性地使根据本发明的网络授权功能在指定时间内(例如,当帐户所有者在旅行中时)全部停用,在该期间,可从未处于建立的授权列表中的网络地址接入网络资源。
在另一个示例性的实施方式中,可由帐户所有者、网络资源提供商或二者一次或多次地对建立的授权列表进行修订,所述修订可以以上描述的用于建立授权列表的任何方式实现,也可以任何其它适当的过程实现。也就是,可通过删除现有的或先前增加的网络地址、和/或增加额外的网络地址(包括网络地址的子集或范围),对网络地址的原始授权列表进行更新或修改。
然后,客户端装置110可通过公共网络130直接地、或通过网络120间接地向例如服务器140的网络装置发送接入请求(操作320)。接入请求可包括静态的或动态分配的网络地址,作为与客户端装置110关联的源网络地址。接入请求可请求连接到与服务器140关联的目的网络资源,例如文件、网络地址等。在一个实施方式中,可由对接入请求进行鉴定处理的鉴定部对网络资源的接入进行控制。可基于对源网络地址是否被授权连接到所请求的目的网络资源的确定,进行鉴定处理。授权可包括例如通过服务器140对源网络地址与授权列表的比较(操作330)。
在根据本发明的一个示例性实施方式中,当源网络地址反射或表现在授权列表中时,服务器140可选择性地准许接入请求,而当源网络地址未反射或表现在授权列表中时,拒绝其接入请求。确定源网络地址已授权之后,则可建立请求的连接,从而建立例如在客户端装置110和服务器140之间的用户或网络会话(操作380)。
根据另一个示例性实施方式,在确定出源网络地址未授权之后,可由例如服务器140建立指示以指出拒绝或限制了该接入,并可将该指示与客户端装置110的用户提供(额外的)预定验证信息的请求一起发送到客户端装置110(操作350)。例如,用户可通过任何适当的通信系统向鉴定部提供生物数据,例如指纹或声波纹验证数据。作为另一个实施例,用户可通过任何适当的通信设备将验证信息口头发送到鉴定部。然后可基于由例如服务器140接收到的响应,拒绝或准许接入(操作360、370和380)。
在根据本发明的示例性实施方式中,建立网络会话可选地或额外地在上述鉴定处理之前、之后或与其同时地请求在例如服务器120上接收的有效登录信息。例如,在操作310之前或之后或在操作380之前或之后,可通过来自服务器140的消息提示客户端装置110的用户输入登录信息。未能接收有效登录信息可阻止鉴定处理、终止网络会话或二者。
在另一个示例性的实施方式中,可将网络地址的至少一个离散范围与特定客户端群的客户端装置110相关联。如上所述,可基于与客户端装置110关联的共享特征、地理区域、电话号码区域、网络配置等确定该群的成员(即,客户端装置110)。例如,例如因特网服务提供商(ISP)的服务提供商可形成客户端装置110的分组,从而向该客户端群中的个体客户端装置110分配网络地址。这样,可将用于任何给定客户端装置110的可能的网络地址的池(pool)减少到可管理数量的离散网络地址范围,以使帐户所有者可将该网络地址范围增加到授权列表。这样,可接入目的网络资源的客户端装置110的数量可充分减少,从而减少到网络资源的欺骗性接入的可能性。
实施例
图4示出了在其中可实现本发明的各种系统和方法的示例性网络400。对于以下示例性实施方式中的每一个,网络资源用户(例如,帐户共同所有者)460a和460b具有由目的网络地址(例如网站470)识别的基于网络的帐户。可由网络资源提供商440管理帐户。根据本发明,通过由网络资源提供商440和鉴定部480经由网络430进行多级的安全处理(例如,源鉴定、登录确认、安全验证等),网站470上的帐户对于授权的网络资源用户(本文中为用户460a、460b)来说是可接入的,而对于未授权的网络资源用户(本文中为网络钓鱼者(phisher)460c)来说是不可接入的。网站470上的帐户具有相关的授权列表,在该列表中包括允许连接到目的网络地址的帐户的预先授权的源网络地址。该帐户还具有帐户接入确认所需的相关登录信息。鉴定部480和/或网络资源提供商440可维护或访问不可能通过网络钓鱼技术发现的私人帐户信息(例如,社会安全号、驾驶证号、母亲的婚前姓、生物测定数据等),用于提供二次鉴定验证。根据本发明,可根据授权的网络资源用户的指示,有意地绕过或在预定时间内停用鉴定处理。
实施例1
在一个示例性实现中,如实施例1所示,帐户的第一共同所有者,即,网络资源用户460a,使用例如在其营业所联网于公司LAN 420a的计算机410a(或其它在图中未示出的联网设备),向与网络资源提供商440关联的网站470发送接入请求。LAN 420a是C类网络,其IP地址具有24位网络前缀或网络段,例如为192.34.242,并且计算机410a具有指定的具体主机或节点号(例如为118)。根据一个实现,当网络资源用户460a仅从计算机410a(例如,给其指定的计算机)接入网站470上的帐户时,授权列表可包括IP地址192.34.242.118。在另一个实现中,当网络资源用户460a从LAN 420a上的一个或多个其它计算机接入帐户时,可将对应的IP地址包括在授权列表中,或可选地,将整个网络(或其任何子集)在授权列表中表示为192.34.242.0-192.34.242.255。因此,将IP地址192.34.242.118发送到鉴定部480用于根据授权列表进行鉴定,其中该IP地址由网络地址标识符提供商450分配,并在网站470与经由网络430从使用LAN 420a上的计算机410a的网络资源用户460a接收的接入请求相关联。鉴定部480通知网络资源提供商440,已确定了网络资源用户460a的可靠性(authenticity),并允许连接到上述帐户IP地址。网络资源用户460a则可通过输入有效的登录信息登录帐户,从而建立提供帐户接入的用户会话。
实施例2
在另一个实现中,如实施例2所示,计算机410a的IP地址临时包含在授权列表中。也就是说,由网络地址标识符提供商450分配的IP地址192.34.242.118仅在某些时间内(例如,营业日、正常营业时间等)是授权的。当网络资源用户460a试图在授权时间之外的时间(例如周末等)接入帐户时,鉴定部480首先会确定出网络资源用户460a是未授权的,并通知网络资源提供商440未确定可靠性。因此,接入请求被拒绝,不允许连接。请求拒绝消息被发送到计算机410a。在一个实现中,网络资源用户460a然后可提供二次验证信息,以根据可由鉴定部480和/或网络资源提供商440维护或存取的相关验证信息进行验证。例如,网络资源用户460a提供已向鉴定部480提供过的生物信息,和/或使用电信技术与鉴定部通信并向其口头地和/或用按钮音等提供验证。经过验证之后,网络资源用户460a可通过输入有效登录信息登录帐户,并从而建立提供帐户接入的用户会话。在另一个实现中,可针对计算机410a的二次鉴定的使用,可给予网络资源用户460a修改授权列表的选项。
实施例3
在另一个实现中,如实施例3所示,帐户的第二共同所有者,即,网络资源用户460b,在其家中使用连接于ISP网络420b的计算机410b,向与网络资源提供商440关联的网站470发送接入请求。ISP网络420b是B类网络,其IP地址具有16位的前缀,例如168.233,并且计算机410b可具有范围为从0.0到255.255的主机号,其中所述主机号例如当计算机410b每次发起到网络430的连接时,由网络地址标识符提供商450动态分配。根据一个实现,授权列表可包括168.233.0.0-168.233.255.255的IP地址范围。根据另一个实现,可对ISP网络420b划分子网,即,将单一网络分为多个虚拟网络。例如,ISP网络420b可包括具有计算机410b的联网装置(未示出)的关联群,可向其分配168.233.15.0-168.233.22.255范围内的IP地址。因此,授权列表可包括该相关范围的IP地址。因此,将在168.233.15.0-168.233.22.255范围内动态分配的IP地址(所述IP地址在网站470与经由网络430从使用ISP 420b上的计算机410b的网络资源用户460b接收的接入请求相关联)发送到鉴定部480用于根据授权列表进行鉴定处理,并建立到上述帐户IP地址的连接。然后,网络资源用户460b则可通过输入有效的登录信息登录帐户,从而建立提供帐户接入的用户会话。
实施例4
在另一个示例性的实现中,如实施例4所示,网络钓鱼者,即,网络资源用户460c通过网络钓鱼或其它技术获得了用于与网络资源提供商440关联的网站470上的帐户登录信息。网络资源用户460c使用连接于网络420c的网络装置410c向网站470发送接入请求,其中,网络420c不是LAN 420a、(具有子网的)ISP网络420b、或与建立的授权列表关联的其它任何网络。接入请求被发送到鉴定部480,以通过将网络地址标识符提供商450向网络装置410c分配的关联的源IP地址与授权列表进行比较,对该接入请求进行鉴定处理。鉴定部480会确定出该源IP地址未包含在授权列表中。鉴定部480通知网络资源提供商440,未确定可靠性。网络资源提供商440拒绝该接入请求。在一个实现中,网络资源用户460c可有机会以实施例3中所述的方式输入二次验证信息。在验证失败之后,接入请求被拒绝,并且不建立用户会话。
实施例5
在另一个示例性实现中,如实施例5所示,网络资源用户460a例如在出差期间从旅馆房间使用网络420d上的网络装置410d向与网络资源提供商440关联的网站470发送接入请求,其中网络420d不是LAN 420a、(具有子网的)ISP网络420b、或与建立的授权列表关联的其它任何网络。然而,在发送请求之前的授权的用户会话处理中,网络资源用户460a在不确定的或预定的时间段内停用鉴定功能,以使得可从未处于建立的授权列表中的源IP地址接入网站470。在停止使用鉴定处理之后,网络资源用户420b可通过输入有效的登录信息登录帐户,从而建立提供帐户接入的用户会话。
结论
根据本发明的实施方式通过基于对请求接入的网络地址的鉴定,对用于接入网络资源的客户端装置请求进行管理,提供了增强的网络帐户安全性。除了源鉴定之外,还可使用例如登录信息确认和二次安全信息验证的处理。因此,根据本发明的鉴定部系统和仅依赖于常规的登录处理的系统相比,提供了更高的安全性。
以上描述了本发明示例性的实施方式,但这些实施方式并非穷举的、或也不是用来限制本发明。可根据以上教导或从本发明的实践中得到其它修改形式或变形。
此外,尽管参照图3公开了一系列操作,但是在根据本发明的其它实施方式中,操作的顺序是可以改变的。此外,非依赖的操作可并行执行。
对本领域普通技术人员显而易见的是,如上所述,本发明的特征可在附图示出的实施方式中以软件、固件和硬件的多种不同形式实现。本发明并不限制用于实现本发明特征的实际软件代码或专用控制硬件。因此,对本发明的特征的操作和性能的介绍并未参照具体的软件代码。可以理解,基于以上说明,本领域普通技术人员能设计软件和控制硬件实现这些特征。
此外,可将本发明的某些部分实现为执行一个或多个功能的“逻辑”。所述逻辑可包括硬件(例如专用集成电路(ASIC)或现场可编程门阵列)、软件、或硬件和软件的结合。尽管参照对消息或数据包的处理,对本发明的特征进行了说明,但是这些特征可对任何类型或形式的数据实现,包括分组数据和未分组数据。术语“数据单元”可涉及分组数据和未分组数据。
除非明确指出,本发明的说明书中使用的元素、操作或指令都不应解释为关键的或必须的。此外,本文中使用的“一种”趋向于包括一个或多个项。当希望表示仅仅一个项时,使用术语“一个”。此外,“基于”一词趋向于表示“至少部分地基于”,除非用其它表述明确示出。本发明的范围由权利要求及其等同物限定。
Claims (14)
1.一种提供到网络资源的接入的方法,包括:
维护与网络资源用户关联的预先授权的网络地址信息;
接收对所述网络资源用户进行鉴定的请求,所述请求包括网络地址标识符;
基于所述预先授权的网络地址信息和所述网络地址标识符,对所述网络资源用户进行鉴定;
基于所述鉴定,发送对所述请求的响应,所述响应指示所述网络资源用户的可靠性;
当未通过对所述网络资源用户的鉴定时,向所述网络资源用户选择性地请求验证信息;
接收所述验证信息;以及
确定所述验证信息的有效性。
2.如权利要求1所述的方法,其中,维护网络地址信息包括维护与所述网络资源用户关联的至少一个离散范围的网络地址。
3.如权利要求2所述的方法,其中,当所述网络地址标识符包含在所述至少一个离散范围内时,鉴定的步骤包括选择性地将所述网络资源用户鉴定为可靠用户。
4.如权利要求1所述的方法,其中,接收所述验证信息包括接收语音数据。
5.如权利要求1所述的方法,其中,接收所述验证信息包括接收生物数据。
6.如权利要求1所述的方法,进一步包括向所述网络资源用户发送包含所述有效性的确定的消息。
7.一种提供到网络资源的接入的方法,包括:
建立包括至少一个网络地址的预先授权列表,所述预先授权列表与至少一个网络资源关联;
接收接入所述至少一个网络资源的请求,所述请求包括源网络地址;
当所述源网络地址包含在所述预先授权列表中时,提供到所述至少一个网络资源的接入;
当所述源网络地址未包含在所述预先授权列表中时,限制到所述至少一个网络资源的接入;
基于受限制的接入,请求与所述至少一个网络资源关联的验证信息;
确定响应于验证信息请求而提供的验证信息是否有效;
当确定提供的验证信息无效时,维持到所述至少一个网络资源的接入限制;
当确定提供的验证信息有效时,忽略到所述至少一个网络资源的接入限制;
基于对接入限制的忽略,提供到所述至少一个网络资源的接入;以及
当提供了到所述至少一个网络资源的接入时,将所述源网络地址添加到所述预先授权列表。
8.如权利要求7所述的方法,其中建立所述预先授权列表包括:包含与所述至少一个网络资源关联的至少一个离散范围的网络地址。
9.如权利要求7所述的方法,进一步包括通过增加至少一个网络地址、或移除至少一个网络地址,对所述预先授权列表进行修订。
10.如权利要求7所述的方法,其中建立所述预先授权列表包括指定关联的网络地址可识别的网络实体。
11.如权利要求7所述的方法,其中所述至少一个网络地址在指定时间内是授权的。
12.如权利要求11所述的方法,其中所述指定时间包括一周内至少一天、一天内至少一次、或二者兼有。
13.一种提供到网络资源的接入的系统,包括:
维护与网络资源用户关联的预先授权的网络地址信息的装置;
接收对所述网络资源用户进行鉴定的请求的装置,所述请求包括网络地址标识符;
基于所述预先授权的网络地址信息和所述网络地址标识符,对所述网络资源用户进行鉴定的装置;
基于所述鉴定,发送对所述请求的响应的装置,所述响应指示所述网络资源用户的可靠性;
当未通过对所述网络资源用户的鉴定时,向所述网络资源用户选择性地请求验证信息的装置;
接收所述验证信息的装置;以及
确定所述验证信息的有效性的装置。
14.一种提供到网络资源的接入的系统,包括:
用于从客户端装置接收连接到网络资源的请求的装置,所述客户端装置具有从网络地址范围中动态分配的源网络地址;
当所述源网络地址与预先授权的网络地址列表比较时,用于选择性地鉴定所述源网络地址的装置;
用于将已鉴定的源网络地址连接到所述网络资源的装置;
当所述源网络地址未在所述预先授权的网络地址列表中时,用于限制到所述网络资源的接入的装置;
当所述接入被限制时,用于向所述客户端装置发送对所述请求的响应的装置,所述响应指示到所述网络资源的接入被限制并且请求验证信息以忽略对所述接入的限制;
用于接收所述验证信息的装置;
用于确定所接收的验证信息是否有效的装置;
当确定所接收的验证信息有效时,忽略对所述接入的限制的装置;以及
当忽略对所述接入的限制时,将所述源网络地址添加到所述预先授权的网络地址列表。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/117,512 | 2005-04-29 | ||
| US11/117,512 US7748047B2 (en) | 2005-04-29 | 2005-04-29 | Preventing fraudulent internet account access |
| PCT/US2006/015225 WO2006118829A2 (en) | 2005-04-29 | 2006-04-24 | Preventing fraudulent internet account access |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101203841A CN101203841A (zh) | 2008-06-18 |
| CN101203841B true CN101203841B (zh) | 2012-07-11 |
Family
ID=37235975
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800173150A Expired - Fee Related CN101203841B (zh) | 2005-04-29 | 2006-04-24 | 防止欺骗性因特网帐户接入 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US7748047B2 (zh) |
| EP (1) | EP1877922A4 (zh) |
| JP (1) | JP2008539519A (zh) |
| KR (1) | KR101265305B1 (zh) |
| CN (1) | CN101203841B (zh) |
| CA (1) | CA2607001C (zh) |
| WO (1) | WO2006118829A2 (zh) |
Families Citing this family (47)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7903045B2 (en) | 2004-04-30 | 2011-03-08 | Microsoft Corporation | Video presenting network supporting separately-configurable resources |
| US7679612B2 (en) * | 2004-04-30 | 2010-03-16 | Microsoft Corporation | Configuration goals via video presenting network |
| US7898533B2 (en) * | 2004-04-30 | 2011-03-01 | Microsoft Corporation | Video presenting network configuration solution space traversal |
| US8581803B2 (en) * | 2004-04-30 | 2013-11-12 | Microsoft Corporation | Video presenting network management |
| US20060268902A1 (en) * | 2005-05-24 | 2006-11-30 | Cingular Wireless Ii, Llc | Dynamic dual-mode service access control, location-based billing, and e911 mechanisms |
| JP4455462B2 (ja) * | 2005-09-12 | 2010-04-21 | キヤノン株式会社 | データ配信装置およびデータ配信方法及びそれを実現するためのプログラム |
| CN100461875C (zh) * | 2005-10-21 | 2009-02-11 | 华为技术有限公司 | 移动终端共享存储空间的方法及其系统 |
| US7853988B2 (en) * | 2006-05-16 | 2010-12-14 | Waterstone Environmental Hydrology & Engineering, Inc. | State saver/restorer for a geospatial decision management system |
| JP2008052578A (ja) * | 2006-08-25 | 2008-03-06 | Seiko Epson Corp | アクセス制御装置、画像表示装置及びプログラム |
| US20080307498A1 (en) * | 2006-12-27 | 2008-12-11 | Waterstone Environmental Hydrology & Engineering, Inc. | Access control for server-based geographic information system |
| US20080162707A1 (en) * | 2006-12-28 | 2008-07-03 | Microsoft Corporation | Time Based Permissioning |
| US8863151B2 (en) * | 2007-08-15 | 2014-10-14 | Red Hat, Inc. | Securing inter-process communication |
| US8880693B2 (en) * | 2007-09-28 | 2014-11-04 | Verizon Patent And Licensing Inc. | Network service provider-assisted authentication |
| TWI449373B (zh) * | 2008-06-11 | 2014-08-11 | Asustek Comp Inc | 區域網路的管理方法及其裝置 |
| US8549101B2 (en) * | 2009-06-16 | 2013-10-01 | Oracle International Corporation | Portable embedded local server for write-through cache |
| US8868707B2 (en) * | 2009-06-16 | 2014-10-21 | Oracle International Corporation | Adaptive write-back and write-through caching for off-line data |
| WO2011119137A1 (en) | 2010-03-22 | 2011-09-29 | Lrdc Systems, Llc | A method of identifying and protecting the integrity of a set of source data |
| US8977675B2 (en) * | 2010-03-26 | 2015-03-10 | Salesforce.Com, Inc. | Methods and systems for providing time and date specific software user interfaces |
| AU2011101295B4 (en) * | 2011-06-13 | 2012-08-02 | Device Authority Ltd | Hardware identity in multi-factor authentication layer |
| US9609586B2 (en) * | 2011-08-05 | 2017-03-28 | Hewlett-Packard Development Company, L.P. | Controlling access to a network |
| AU2011101297B4 (en) | 2011-08-15 | 2012-06-14 | Uniloc Usa, Inc. | Remote recognition of an association between remote devices |
| US8601544B1 (en) * | 2011-12-21 | 2013-12-03 | Emc Corporation | Computer system employing dual-band authentication using file operations by trusted and untrusted mechanisms |
| US20130247149A1 (en) * | 2012-03-15 | 2013-09-19 | Theodore SANFT | Internet protocol address authentication method |
| KR101366664B1 (ko) * | 2012-03-22 | 2014-02-25 | (주)네오위즈게임즈 | 온라인 게임에서의 사용자 인증 방법 및 서버 |
| US8843999B1 (en) | 2012-04-18 | 2014-09-23 | Google Inc. | VOIP identification systems and methods |
| US9178879B2 (en) * | 2012-05-03 | 2015-11-03 | At&T Intellectual Property I, L.P. | Device-based authentication for secure online access |
| US8965921B2 (en) * | 2012-06-06 | 2015-02-24 | Rackspace Us, Inc. | Data management and indexing across a distributed database |
| KR101873270B1 (ko) * | 2012-06-21 | 2018-07-04 | 주식회사 엔씨소프트 | 계정 도용 방지 장치 및 그 방법 |
| US8522314B1 (en) | 2012-07-24 | 2013-08-27 | Google Inc. | VoIP phone authentication |
| US9202016B2 (en) * | 2012-08-15 | 2015-12-01 | Verizon Patent And Licensing Inc. | Management of private information |
| CN103853624A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 硬件数据的监测方法及监测设备 |
| US9300625B1 (en) * | 2013-01-02 | 2016-03-29 | Amazon Technologies, Inc. | Network address verification |
| US9143496B2 (en) | 2013-03-13 | 2015-09-22 | Uniloc Luxembourg S.A. | Device authentication using device environment information |
| US9286466B2 (en) | 2013-03-15 | 2016-03-15 | Uniloc Luxembourg S.A. | Registration and authentication of computing devices using a digital skeleton key |
| GB2518460B (en) * | 2013-12-09 | 2015-10-28 | F Secure Corp | Unauthorised/Malicious redirection |
| US9684784B2 (en) * | 2014-06-25 | 2017-06-20 | Thi Chau Nguyen-Huu | Systems and methods for securely storing data |
| US10447590B2 (en) * | 2014-11-20 | 2019-10-15 | Oath Inc. | Systems and methods for dynamic connection paths for devices connected to computer networks |
| CN106330844B (zh) | 2015-07-02 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 一种跨终端的免登方法和设备 |
| CN105184606A (zh) * | 2015-08-25 | 2015-12-23 | 山东开创集团有限公司 | 一种分销系统的子系统与服务器数据通信的方法 |
| US10404702B1 (en) * | 2016-03-30 | 2019-09-03 | EMC IP Holding Company LLC | System and method for tenant network identity-based authentication and authorization for administrative access in a protection storage system |
| US10911564B1 (en) * | 2017-01-30 | 2021-02-02 | Skyhigh Networks, Llc | Cloud service account management method |
| JP2020096275A (ja) * | 2018-12-12 | 2020-06-18 | コネクトフリー株式会社 | 情報通信方法及び情報通信システム |
| CN113037769B (zh) * | 2021-03-28 | 2023-04-18 | 杭州迪普科技股份有限公司 | 网络资源访问方法及装置 |
| US20230101145A1 (en) * | 2021-09-30 | 2023-03-30 | Venn Technology Corporation | Computer Network Security |
| EP4184863A1 (en) * | 2021-11-23 | 2023-05-24 | Nagravision Sàrl | Providing secure internet access to a client device in a remote location |
| EP4184864A1 (en) * | 2021-11-23 | 2023-05-24 | Nagravision Sàrl | Access management system and associated computer-implemented methods |
| CN115208652A (zh) * | 2022-07-07 | 2022-10-18 | 广州市大周电子科技有限公司 | 一种动态网络资源访问管控方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1367434A (zh) * | 2002-03-04 | 2002-09-04 | 北京启明星辰信息技术有限公司 | 内联网计算机与因特网未授权连接监测系统及方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10240687A (ja) * | 1997-02-28 | 1998-09-11 | Tec Corp | ネットワークシステム |
| US6202156B1 (en) | 1997-09-12 | 2001-03-13 | Sun Microsystems, Inc. | Remote access-controlled communication |
| JP2001325229A (ja) * | 2000-05-17 | 2001-11-22 | Daiwa House Ind Co Ltd | インターネットにおける認証システム及びサービスシステム |
| JP2004510215A (ja) * | 2000-05-19 | 2004-04-02 | ネットスケープ コミュニケーションズ コーポレーション | 適合化可能なマルチ階層認証システム |
| FR2819130B1 (fr) | 2000-12-29 | 2003-03-21 | Euro 3 Wssa | Procede pour restreintre au profit d'utilisateurs autorises, l'acces a des ressources appartenant a des services interactifs d'au moins un bouquet de services |
| US6732278B2 (en) | 2001-02-12 | 2004-05-04 | Baird, Iii Leemon C. | Apparatus and method for authenticating access to a network resource |
| EP1246041A1 (en) | 2001-03-26 | 2002-10-02 | Tric Ab | Method and system for controlling access to contents on a network server |
| US7235102B2 (en) * | 2002-05-10 | 2007-06-26 | Ferree Bret A | Prosthetic components with contained compressible resilient members |
| CA2475938A1 (en) | 2003-07-28 | 2005-01-28 | Bridgewater Systems Corporation | A system and method of internet access and management |
| US7359885B2 (en) | 2003-08-21 | 2008-04-15 | International Business Machines Corporation | System and method for device-based access privilege to an account |
| US7917941B2 (en) * | 2003-09-22 | 2011-03-29 | International Business Machines Corporation | System and method for providing physical web security using IP addresses |
| JP2005310025A (ja) * | 2004-04-26 | 2005-11-04 | Hitachi Ltd | ストレージ装置、計算機システムおよびイニシエータ認可方法 |
| US7360237B2 (en) * | 2004-07-30 | 2008-04-15 | Lehman Brothers Inc. | System and method for secure network connectivity |
-
2005
- 2005-04-29 US US11/117,512 patent/US7748047B2/en not_active Expired - Fee Related
-
2006
- 2006-04-24 JP JP2008508963A patent/JP2008539519A/ja active Pending
- 2006-04-24 EP EP06758496A patent/EP1877922A4/en not_active Withdrawn
- 2006-04-24 CA CA2607001A patent/CA2607001C/en not_active Expired - Fee Related
- 2006-04-24 KR KR1020077027955A patent/KR101265305B1/ko not_active IP Right Cessation
- 2006-04-24 CN CN2006800173150A patent/CN101203841B/zh not_active Expired - Fee Related
- 2006-04-24 WO PCT/US2006/015225 patent/WO2006118829A2/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1367434A (zh) * | 2002-03-04 | 2002-09-04 | 北京启明星辰信息技术有限公司 | 内联网计算机与因特网未授权连接监测系统及方法 |
Non-Patent Citations (1)
| Title |
|---|
| 同上. |
Also Published As
| Publication number | Publication date |
|---|---|
| US7748047B2 (en) | 2010-06-29 |
| WO2006118829A2 (en) | 2006-11-09 |
| WO2006118829A3 (en) | 2007-07-12 |
| US20060248600A1 (en) | 2006-11-02 |
| EP1877922A4 (en) | 2009-09-23 |
| CA2607001C (en) | 2014-07-08 |
| KR101265305B1 (ko) | 2013-05-20 |
| EP1877922A2 (en) | 2008-01-16 |
| CN101203841A (zh) | 2008-06-18 |
| KR20080024469A (ko) | 2008-03-18 |
| CA2607001A1 (en) | 2006-11-09 |
| JP2008539519A (ja) | 2008-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101203841B (zh) | 防止欺骗性因特网帐户接入 | |
| JP4438023B2 (ja) | ネットワークユーザセッションのためのグラニュラ認証 | |
| US9692743B2 (en) | Securing organizational computing assets over a network using virtual domains | |
| KR100989487B1 (ko) | 서비스 제공자의 서비스에 대한 사용자를 인증하는 방법 | |
| US9565212B2 (en) | Secure mobile framework | |
| US9317672B2 (en) | Online account access control by mobile device | |
| US20080040773A1 (en) | Policy isolation for network authentication and authorization | |
| US20060236095A1 (en) | Systems and methods for automatically configuring and managing network devices and virtual private networks | |
| US20040019807A1 (en) | System And Methodology For Providing Community-Based Security Policies | |
| US9037849B2 (en) | System and method for managing network access based on a history of a certificate | |
| US20090187962A1 (en) | Methods, devices, and computer program products for policy-driven adaptive multi-factor authentication | |
| JP2006525563A (ja) | ユーザとウェッブ・サイトの認証方法及び装置 | |
| CN105556894A (zh) | 网络连接自动化 | |
| CN107733861A (zh) | 一种基于企业级内外网环境的无密码登录实现方法 | |
| CN1480852A (zh) | 提供身份相关的信息和防止中间人的攻击的方法和系统 | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN105357186A (zh) | 一种基于带外验证和增强otp机制的二次认证方法 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN109150787A (zh) | 一种权限获取方法、装置、设备和存储介质 | |
| US20040083296A1 (en) | Apparatus and method for controlling user access | |
| Cisco | Strategies for Applying Attributes | |
| Cisco | Strategies Applying Attributes | |
| JP2005165418A (ja) | ログイン認証システム。 | |
| KR100639375B1 (ko) | 이동통신 단말기를 이용한 인터넷 계정정보 접근 통보시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120711 Termination date: 20150424 |
|
| EXPY | Termination of patent right or utility model |