CN101355556B - 认证信息处理装置和认证信息处理方法 - Google Patents
认证信息处理装置和认证信息处理方法 Download PDFInfo
- Publication number
- CN101355556B CN101355556B CN2008100922329A CN200810092232A CN101355556B CN 101355556 B CN101355556 B CN 101355556B CN 2008100922329 A CN2008100922329 A CN 2008100922329A CN 200810092232 A CN200810092232 A CN 200810092232A CN 101355556 B CN101355556 B CN 101355556B
- Authority
- CN
- China
- Prior art keywords
- authentication request
- terminal
- memory cell
- information
- password
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Storage Device Security (AREA)
Abstract
一种认证信息处理装置,包括:接收单元,其从终端接收包含用户识别信息和密码的认证请求;攻击确定条件信息存储单元,其存储用于确定所接收的认证请求是否由攻击者发出的攻击确定条件信息;攻击确定单元,其通过比较所接收的认证请求和存储在所述攻击确定条件信息存储单元中的所述攻击确定条件信息来确定所述认证请求是否由攻击者发出;以及发送单元,当所述攻击确定单元确定所述认证请求由攻击者发出时,所述发送单元向请求终端发送用于要求输入认证请求的输入指令信息。
Description
技术领域
本发明涉及一种认证信息处理装置和认证信息处理方法。
背景技术
在具有认证功能的普通信息系统中,当用户希望使用该系统时,系统接收包含有诸如用户ID、用户账号等用户识别信息以及密码的认证请求的输入,并且将所输入的密码和预先注册的与所输入的用户识别信息相关的密码进行比较,来确定是否允许用户使用该系统。攻击者例如可以通过使用不同的密码和另一个用户的账号多次发送认证请求来攻击这样的信息系统以非法使用。
作为保护系统不受诸如非法访问之类的攻击从而增强系统安全性的现有技术,存在一种能够在包含特定用户账号的认证请求失败次数多于预定阈值的次数后,使该用户的账号无效的系统。然而,攻击者可以通过多次输入密码以达到故意使得特定用户的用户账号被无效,而不能使用该系统来攻击这样的系统。
作为保护系统不受攻击的现有技术的另一个例子,日本专利特许公开No.2006-5503公开了一种用于SSL-VPN(安全套接字层-虚拟专用网)网关装置的技术,当响应于使用密码进行认证请求的终端的认证请求而执行的认证过程失败次数超过预定次数后,该技术能够关闭与该终端的连接。
再例如,日本专利特许公开No.2006-172171公开了一种认证信息管理装置,用于对发出认证请求的每个地址,记录针对包含账号和密码的认证请求所执行的认证过程的失败次数。当响应于某个地址发出的请求而启动的认证过程失败的次数超过预定次数时,认证信息管理装置使该地址无效,并向该地址通报其已被置于地址锁定状态。进一步,上述日本专利特许公开No.2006-172171中公开的信息管理装置为每个账号记录响应于包含该账号的认证请求而执行的认证过程失败的次数,并且当该次数超出预定次数时,使该账号无效,并且向发出认证请求的地址通报该账号已被置于账号锁定状态。
通常,在当基于认证失败的次数检测出系统的攻击时使包含在认证请求中的用户账号无效或关闭与发出认证请求的终端的连接的系统中,指示认证失败的信息被发送给发出认证请求的终端,同时向该终端通知系统为对抗攻击所执行的处理的内容。在发出这种通知的系统中,攻击者可以知道系统已经检测到了攻击,以及系统为了应付该攻击所执行的处理的内容。因此,上述发出通知的系统可能给攻击者提供以系统为了应付攻击所执行的处理相反的方式来再次攻击系统的机会。例如,知道用户账号已被无效的攻击者可以使用另一个用户的账号来进行攻击,而知道终端已被断开连接的攻击者可以从另一个终端发出攻击。
发明内容
本发明的目的是当检测到对系统的攻击时,在不锁定发出攻击所使用的账号的情况下保护系统不受可能是攻击的请求的影响。
根据本发明的一个方面,提供了一种认证信息处理装置,包括:接收单元,其从终端接收包含用户识别信息和密码的认证请求;攻击确定条件信息存储单元,其存储用于确定所接收的认证请求是否由攻击者发出的攻击确定条件信息;攻击确定单元,其通过比较所接收的认证请求和存储在所述攻击确定条件信息存储单元中的所述攻击确定条件信息来确定所述认证请求是否由攻击者发出;以及发送单元,当所述攻击确定单元确定所述认证请求由攻击者发出时,所述发送单元向请求终端发送用于要求输入认证请求的输入指令信息。
根据本发明的一个方面,可以在检测到对系统的攻击时,在不锁定发出攻击所使用的账号的情况下保护系统不受可能是攻击的请求的影响。
根据本发明的另一个方面,所述攻击确定条件信息存储单元包括终端锁定信息存储单元,所述终端锁定信息存储单元存储锁定对象终端的终端识别信息,并且当所述请求终端的终端识别信息存储在所述终端锁定信息存储单元中时,所述攻击确定单元确定所述认证请求由攻击者发出。
根据本发明的另一个方面,可以很容易地检测到来自很可能被攻击者使用的终端发出的认证请求。
根据本发明的再一个方面,所述攻击确定条件信息存储单元包括未授权密码信息存储单元,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的未授权密码,所述攻击确定单元将所述认证请求中的所述密码和存储在所述未授权密码信息存储单元中的所述未授权密码进行比较来确定所述认证请求是否由攻击者发出。
根据本发明的再一个方面,可以很容易地检测到很可能由攻击者发出的认证请求。
根据本发明的又一个方面,所述攻击确定条件信息存储单元还包括未授权密码信息存储单元,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的未授权密码,所述攻击确定单元将所述认证请求中的所述密码和存储在所述未授权密码信息存储单元中的所述未授权密码进行比较来确定所述认证请求是否由攻击者发出,并且所述认证信息处理装置还包括终端锁定信息注册单元,当所述攻击确定单元使用所述未授权密码信息存储单元确定所述认证请求由攻击者发出时,所述终端锁定信息注册单元将所述请求终端的终端识别信息注册到所述终端锁定信息存储单元。
根据本发明的又一个方面,已经发送了很可能是攻击的认证请求的终端可以被记录为锁定对象终端。
根据本发明的又一个方面,所述未授权密码信息存储单元将被设置为不用作用户密码的密码作为未授权密码与所述用户的用户识别信息相关联地存储,并且当所述认证请求中的密码包括在与所述认证请求中的所述用户识别信息相关联地存储在所述未授权密码信息存储单元中的所述未授权密码中时,所述攻击确定单元确定所述认证请求由攻击者发出。
根据本发明的又一个方面,很可能由攻击者输入而很不可能由可信用户输入的密码被记录为未授权密码,以在确定认证请求是否由攻击者发出时作为参考。
根据本发明的又一个方面,所述认证信息处理装置还包括未授权密码注册单元,其基于与用户相关的信息产生所述未授权密码的候选,并且将所产生的所述未授权密码的候选中的至少一个作为所述用户的未授权密码与所述用户的所述用户识别信息相关联地注册在所述未授权密码信息存储单元中。
根据本发明的又一个方面,可以很容易地创建在确定认证请求是否由攻击者发出时所使用的未授权密码的候选。
根据本发明的又一个方面,提供了一种认证信息处理方法,包括:从终端接收包含用户识别信息和密码的认证请求;将用于确定所接收的认证请求是否由攻击者发出的攻击确定条件信息存储在攻击确定条件信息存储单元中;通过比较所接收的认证请求和存储在所述攻击确定条件信息存储单元中的所述攻击确定条件信息来确定所述认证请求是否由攻击者发出;以及当确定所述认证请求由攻击者发出时,向请求终端发送用于要求输入认证请求的输入指令信息。
根据本发明的又一个方面,可以在检测到对系统的攻击时,在不锁定发出攻击所使用的账号的情况下保护系统不受可能是攻击的请求的影响。
根据本发明的又一个方面,所述攻击确定条件信息存储单元包括未授权密码信息存储单元,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的未授权密码,所述未授权密码信息存储单元将被设置为不用作用户密码的密码作为未授权密码与所述用户的用户识别信息相关联地存储,在所述确定期间,当所述认证请求中的密码包括在与所述认证请求中的所述用户识别信息相关联地存储在所述未授权密码信息存储单元中的所述未授权密码中时,确定所述认证请求由攻击者发出,并且所述方法还包括:基于与用户相关的信息产生所述未授权密码的候选,以及将所产生的所述未授权密码的候选中的至少一个作为所述用户的所述未授权密码与所述用户的所述用户识别信息相关联地注册在所述未授权密码信息存储单元中。
根据本发明的又一个方面,可以很容易地创建在确定认证请求是否由攻击者发出时所使用的未授权密码的候选。
根据本发明的又一个方面,所述攻击确定条件信息存储单元包括终端锁定信息存储单元和未授权密码信息存储单元,所述终端锁定信息存储单元存储锁定对象终端的终端识别信息,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的未授权密码,所述未授权密码信息存储单元将被设置为不用作用户密码的密码作为未授权密码与所述用户的用户识别信息相关联地存储,在所述确定期间,当所述请求终端的终端识别信息存储在所述终端锁定信息存储单元中时,或者当所述认证请求中的所述密码包括在与所述认证请求中的所述用户识别信息相关联地存储在所述未授权密码信息存储单元中的所述未授权密码中时,确定所述认证请求由攻击者发出,并且所述方法还包括:当在所述确定期间,使用所述未授权密码信息存储单元确定所述认证请求由攻击者发出时,将所述请求终端的终端识别信息存储在所述终端锁定信息存储单元中,基于与用户相关的信息产生所述未授权密码的候选,以及将所产生的所述未授权密码的候选中的至少一个作为所述用户的所述未授权密码与所述用户的所述用户识别信息相关联地注册在所述未授权密码信息存储单元中。
根据本发明的又一个方面,已经发送了很可能是攻击的认证请求的终端可以被记录为锁定对象终端,并且可以很容易地创建在确定认证请求是否由攻击者发出时所使用的未授权密码的候选。
附图说明
将基于下面的附图详细描述本发明的示例性实施例,其中:
图1是示出了具有认证功能的信息系统的示意结构的一个例子的方框图;
图2是示出了服务器的示意结构的一个例子的方框图;
图3是示出了终端锁定信息DB的数据内容的一个例子的视图;
图4是示出了账号锁定信息DB的数据内容的一个例子的视图;
图5是示出了NG密码信息DB的数据内容的一个例子的视图;
图6是示出了认证失败信息DB的数据内容的一个例子的视图;
图7是示出了服务器的示意结构的一部分的一个例子的方框图;
图8是示出了用户信息DB的数据内容的一个例子的视图;
图9是由服务器执行的认证处理的过程的一个例子的流程图;
图10是示出了在终端上显示的登录表的一个例子的视图;
图11是示出了在终端上显示的另一登录表的一个例子的视图;以及
图12是示出了计算机的硬件结构的一个例子的视图。
具体实施方式
图1是示出了具有认证功能的信息系统的示意结构的一个例子的方框图。在图1中示出的系统中,服务器10通过诸如因特网、局域网等之类的网络30连接到终端20-1、20-2等(以下通称为终端20)。
图2示出了服务器10的示意结构的一个例子。服务器10作为认证信息处理装置,或者作为本发明的一个示例性实施例。服务器10响应于通过网络连接的终端20所发出的服务请求,向终端20提供服务。要由服务器10提供的服务例如包括,将存储在连接到服务器10的存储器装置(未示出)中的各种信息项(例如文档数据、图像数据、音乐数据、动画数据,等等)提供给终端20。服务器10还可以提供响应于终端20所发出的用户指令,将各种信息项存储在存储器装置(未示出)中的服务。
服务器10包括认证处理单元100、攻击确定条件信息存储单元110、认证信息DB(数据库)120、认证失败信息DB 130,以及服务提供单元140。
认证处理单元100接收包含有用户ID(标识符)和密码的认证请求,并且基于所接收到的认证请求来确定是否允许向用户提供服务。认证处理单元100包括接收单元102、发送单元104、认证单元106,以及攻击确定单元108。
接收单元102接收终端20发出的诸如认证请求之类的信息,并且将所接收到的信息转发给认证单元106。发送单元104根据认证单元106的指令将认证相关的信息发送到终端20。
认证单元106响应于通过接收单元102接收到的从终端20发出的认证请求,并且参考认证信息DB 120来执行认证过程。具体而言,认证单元106基于认证过程的结果确定是否允许向终端20提供服务,并且将确定结果通知给服务提供单元140。而且,认证单元106将从终端20接收到的与认证请求相关的信息转发给攻击确定单元108,并且基于攻击确定单元108作出的确定的结果来更新存储在攻击确定条件信息存储单元110中的信息。认证单元106还基于认证过程的结果和攻击确定单元108作出的确定的结果,确定要发送给终端20的信息的内容,并且将所述信息通过发送单元104发送给终端20。
具体而言,攻击确定单元108将从认证单元106接收到的与认证请求相关的信息和存储在攻击确定条件信息存储单元110中的信息进行比较来确定来自终端20的认证请求是否是由攻击者发出的。攻击确定单元108包括终端锁定确定单元1080、账号锁定确定单元1082,以及NG密码确定单元1084。
终端锁定确定单元1080参考攻击确定条件信息存储单元110中的终端锁定信息DB 112来确定已经请求认证的请求终端20是否是锁定对象。
账号锁定确定单元1082参考攻击确定条件信息存储单元110中的账号锁定信息DB 114来确定认证请求中包含的用户ID是否是账号锁定对象。
NG密码确定单元1084参考攻击确定条件信息存储单元110中的NG密码信息DB 116来确定认证请求中包含的密码是否是NG密码,其中所述NG密码很可能包含在攻击者发出的认证请求中。
终端锁定确定单元1080、账号锁定确定单元1082,以及NG密码确定单元1084作出确定的详情将稍后描述。
攻击确定条件信息存储单元110是用于存储攻击确定单元108进行确定时所使用的信息的存储单元。攻击确定条件信息存储单元110包括终端锁定信息DB 112、账号锁定信息DB 114,以及NG密码信息DB 116。
终端锁定信息DB 112是用于存储锁定对象终端20的终端ID的数据库。终端ID是对于每个终端唯一的识别信息,例如包括IP(因特网协议)地址、MAC(媒体访问控制)地址、装置固有的ID等等。图3示出了终端锁定信息DB 112中的数据内容的一个例子。在图3作为例子示出的表格中,终端20在终端锁定信息DB 112中被注册为锁定对象的锁定时间和该锁定对象终端20的终端ID相关联地注册。注意,如果从系统管理的视角看来锁定时间的注册是不必要的,那么锁定时间可以不被注册。此外,指示连接到服务器10的终端20是否是锁定对象的标志也可以和该终端20的终端ID相关联地注册在终端锁定信息DB 112中,而不是仅仅注册该锁定对象终端20的终端ID的记录。
账号锁定信息DB 114是用于存储账号锁定对象的用户ID的数据库。图4示出了账号锁定信息DB 114的数据内容的一个例子。在图4中示出的表格中,用户ID作为账号锁定对象被注册到锁定信息DB 114中的锁定时间、在该用户ID作为账号锁定对象被注册到账号锁定信息DB 114中之前最后发送包含有所述用户ID的认证请求的终端的终端ID,与所述账号锁定对象的用户ID相关联地注册。与账号锁定对象用户ID相关联地注册到账号锁定信息DB 114中的项并不局限于作为例子在图4中示出的锁定时间和终端ID,任何其它对系统管理而言必要的项也可以与用户ID相关联地注册,只要账号锁定对象用户ID被注册到账号锁定信息DB 114中,另一个项就不是强制的。注意,用于指示注册在系统中的可信用户的用户ID是否是账号锁定对象的标志可以和所述用户ID相关联地注册到账号锁定信息DB 114中,而不是仅仅注册账号锁定对象用户ID的记录。
NG密码信息DB 116是用于存储可能包含在攻击者发出的认证请求中的NG密码的数据库。NG密码信息DB 116例如为特定用户将被设置成不作为所述用户的密码来使用的密码存储为可能包含在由攻击者发出的认证请求中的NG密码。图5示出了NG密码信息DB 116的数据内容的一个例子。在作为例子在图5中示出的表格中,被设置成不作为用户的密码来使用的NG密码和所述用户的用户ID相关联地注册。与用户ID相关联地注册在NG密码信息DB 116中的NG密码例如基于构成用户ID的字符串、或者关于用户的信息、或者所述用户ID的所有者来设置。例如,在图5中,3个NG密码,即“user1”、“1resu”和“June05”,由“,”隔开,作为NG密码与用户ID“user1”相关联地注册。NG密码“user1”是使用和用户ID“user1”相同的字符串形成的密码;NG密码“1resu”是使用用户ID“user1”的字符串但是将其倒序排列形成的密码。NG密码“June05”是指示用户ID“user1”的用户或所有者的生日的字符串。这些NG密码只是说明性的,根据用户、管理者或者包含服务器10的信息系统的需求,任何字符串都可以被设置为NG密码。设置NG密码的细节将稍后描述。
认证信息DB 120是用于将用户ID和密码彼此相关联地存储的数据库。注册在认证信息DB 120中的用户ID是允许服务器10为其提供服务的可信用户的用户ID。
认证失败信息DB 130是用于存储与产生认证失败的认证请求相关的信息的数据库。图6示出了认证失败信息DB 130的数据内容的一个例子。在作为例子在图6中示出的表格中,认证失败信息DB 130将最终失败时间和到该最终失败时间为止所产生的连续失败的次数与用户ID相关联地进行存储,其中最终失败时间是响应于包含有该用户ID的认证请求而执行的认证过程最后失败的时间。
认证失败信息DB 130的数据内容并不局限于作为例子在图6中示出的内容。例如,最终失败时间和到该最终失败时间为止所产生的连续失败的次数可以与由用户ID和相关的终端ID构成的对相关联地注册,其中最终失败时间是响应于包含有该用户ID并且从具有该终端ID的终端发送的认证请求而执行的认证过程最后失败的时间。或者,最终失败时间和到该最终失败时间为止所产生的连续失败的次数也可以和相关的终端ID,而不是用户ID,一起相关联地注册,其中最终失败时间是响应于从具有该终端ID的终端发送的认证请求而执行的认证过程最后失败的时间。
图7是示出了在服务器10中用于将NG密码注册到NG密码信息DB116中的功能的结构的一个例子的方框图。作为例子在图7中示出的结构在作为例子在图2中示出的具有认证处理单元100的服务器10中实现。在图7中,服务器10包括NG密码注册单元150、用户信息DB 160,以及NG密码信息DB 116。NG密码信息DB 116对应于上文参照图2和图5介绍过的数据库。在接收到终端的指令时,NG密码注册单元150产生NG密码的候选,并且将该NG密码注册到NG密码信息DB 116中。
用户信息DB 160是用于存储关于用户的信息的数据库。图8示出了用户信息DB 160的数据内容的一个例子。在作为例子在图8中示出的表格中,与用户相关的项,包括他们的姓名、地址、电话号码和生日,都和用户的用户ID相关联地注册。在图8中示出的项仅仅是例子,可以不必注册这些项,并且可以注册其它项。
接下来将描述NG密码注册单元150要执行的注册过程。在接收到终端20发出注册NG密码的指令并且指定了用户ID时,NG密码注册单元150参考用户信息DB 160,产生NG密码候选,或者产生不作为具有所指定的用户ID的用户的密码来使用的密码的候选。例如,使用表示和所指定的用户ID相关联地注册在用户信息DB 160中的项的内容的字符串来产生NG密码候选。例如,表示项的内容的全部或者部分的字符串,或者表示项的内容的全部或者部分但是倒序排列的字符串,可以作为NG密码候选使用。例如,当作为例子在图8中示出的内容数据注册在用户信息DB 160中并且指定了用户ID“user1”时,使用与用户ID“user1”相关联地注册的名称“Suzuki Ichiro”分的字符串或者其一部产生“suzukiichiro”、“suzuki”、“ichiro”、“orihciikuzus”、“ikuzus”、“orihci”等作为NG密码候选。另外,例如代表与指定用户ID相关联地注册的多个项的内容的字符串(或者其的一部分)可以进行组合以产生NG密码候选。例如,用户ID“user1”的名称“Suzuki Ichiro”的字符串的一部分可以与代表生日“19XX/06/05”的字符串的一部分进行组合以产生NG密码候选“suzuki0605”等。
另外,例如代表指定用户ID自身的字符串或者其反序排列的字符串,也可以作为NG密码候选使用。
NG密码注册单元150将产生的NG密码候选发送到终端20进行显示以接收终端20的操作者(例如系统用户或管理员)的选择。此后,操作者选择的NG密码候选与指定的用户ID相关联地注册在NG密码信息DB 116中。
NG密码注册单元150可以接收用户输入的NG密码并将所输入的NG密码与用户的用户ID相关联地存储在NG密码信息DB 116中,而不是基于指定的用户ID和存储在用户信息DB 160中的信息来产生NG密码候选。例如,用户可以输入代表他们的家庭、宠物、爱好、喜欢的事物等等的名称的字符串来作为NG密码。
可选的,基于指定的用户ID和存储在用户信息DB 160中的信息产生的所有NG密码候选都可以与指定的用户ID相关联地注册在NG密码信息DB 116中,而不是只注册终端20的操作者所选择的NG密码候选。
需要注意的是尽管拥有认证处理单元100的服务器10(图2)具备上述图7中作为例子示出的结构,在另一个例子中,图7中作为例子示出的结构可以在与拥有认证处理单元100的服务器10不同的服务器中实现。在这种情况下,在上述NG密码被注册后,被NG密码注册单元150注册到NG密码信息DB 116中的信息通过移动存储介质,例如CD和DVD,或者诸如网络之类的通信手段,存储到拥有认证处理单元100的服务器10的NG密码信息DB 116中。通过上述方法,认证处理单元100可以利用NG密码注册单元150注册的信息。
下面,将描述响应于终端20请求提供服务的服务请求而在服务器10中执行的处理。
利用终端20对服务器的服务请求,服务提供单元140通知认证处理单元100接收到服务请求。被服务提供单元140通知已接收到服务请求的认证处理单元100开始例如图9中所示的处理过程。图9中虚线框A中的处理步骤对应于认证处理单元100的攻击确定单元108将要执行的过程。
参考图9,在步骤S10,认证处理单元100首先通过传输单元104发送要求输入用户ID和密码的信息给已经请求服务的终端20(以下称为“请求终端20”)。此处要发送的信息是用来在请求终端20上显示登录表的信息,如图10中所示。利用显示在终端上的例如图10中所示的登录表,操作请求终端20的用户输入他们的用户ID和密码。然后,请求终端20将包含输入的用户ID和密码的认证请求发送给服务器10。
在步骤S12,接收单元102从请求终端20接收包含所述用户ID和密码的认证请求,并且将接收到的认证请求转发给认证单元106。认证单元106将均从接收单元102接收的认证请求和请求终端20的终端ID转发给攻击确定单元108。请求终端20的终端ID例如通过连接终端20和服务器10的网络30获取。
已经从认证单元106接收到认证请求和请求终端20的终端ID的攻击确定单元108首先在步骤S14通过终端锁定确定单元1080执行一个过程以确定请求终端20是否是锁定对象。在步骤S14,通过参考终端锁定信息DB112,当请求终端20的终端ID在终端锁定信息DB 112中注册为锁定对象,并且从与请求终端20的终端ID相关联地记录的锁定时间开始到当前时间所经过的时间段等于或小于预定阈值时,终端锁定确定单元1080确定请求终端20处于锁定状态。所经过的时间段的阈值根据系统的安全级别,被设定为例如1到24小时之间。而当请求终端20的终端ID没有在终端锁定信息DB 112中注册为锁定对象,或者尽管请求终端20的终端ID在终端锁定信息DB 112中注册为锁定对象,但是从与该终端ID相关联地记录的锁定时间开始到当前时间所经过的时间段超出预定阈值时,终端锁定确定单元1080确定请求终端20不处于锁定状态。
或者,在步骤S14的确定过程中,当请求终端的终端ID在终端锁定信息DB 112中注册时,终端锁定确定单元1080不用参考记录在终端锁定信息DB 112中的每个终端ID的锁定时间,就确定请求终端20是锁定对象,以及当终端ID没有注册时,终端锁定确定单元1080就确定请求终端20不是锁定对象。在这种情况下,例如,认证单元106可以独立于图9中所示的处理过程,以固定的时间间隔(例如,24小时)检查记录在终端锁定信息DB 112中的每个终端ID的锁定时间,并且当从锁定时间开始已经经过了超出预定时间段的时间段时从终端锁定信息DB 112中删除该终端ID(即,该终端从锁定状态释放)。在终端锁定确定时没有使用锁定时间的设计中(步骤S14),只有锁定对象终端ID被注册在终端锁定信息DB 112中,其中终端ID的锁定时间的注册是不必要的。在没有注册终端ID的锁定时间的情况下,处于锁定状态的终端可以响应于如下处理而从该状态释放:以预定时间间隔执行的用于删除终端锁定信息DB 112中注册为锁定对象的所有终端的终端ID的处理,或者在系统管理者指定的时间执行的用于从终端锁定信息DB 112中删除系统管理者指定的终端ID的处理。
一旦步骤S14确定请求终端20是锁定对象,攻击确定单元108就在处理进行到步骤S24之前通知认证单元106该确定结果。这意味着攻击确定单元108已经得出认证请求是攻击者发出的结论。
在步骤S24,已经被攻击确定单元108通知了请求终端20处在锁定状态的认证单元106将指示认证失败并且要求输入用户ID和密码的信息发送给请求终端20。具体而言,在步骤S24中发送用于在请求终端20上显示带有认证错误消息的登录表(如图11所示)的信息。或者,可以显示与在步骤S10显示在请求终端20中的登录表相类似的登录表(例如图10中所示的登录表),而不在步骤S24中显示带有认证错误消息的登录表。步骤S24中在请求终端20上显示与在步骤S10中显示的登录表相类似的登录表使得只显示要求再次输入用户ID和密码的请求,而不让请求终端20的用户知道认证失败。在步骤S24后,过程返回步骤S12。
当在步骤S14确定请求终端20不是锁定对象时,过程进行到步骤S16。
在步骤S16,攻击确定单元108利用账号锁定确定单元1082执行一个处理以确定包含在认证请求中的用户ID是否处在账号锁定状态。在步骤S16,参考账号锁定信息DB 114,当包含在认证请求中的用户ID在账号锁定信息DB 114中注册为账号锁定对象时,账号锁定确定单元1082确定该用户ID处在账号锁定状态,而当该用户ID没有注册时,账号锁定确定单元1082确定该用户ID不处在账号锁定状态。
一旦步骤S16确定包含在认证请求中的用户ID处在账号锁定状态,攻击确定单元108就在过程进行到步骤S24之前通知认证单元106该确定结果。这意味着攻击确定单元108已经得出认证请求是攻击者发出的结论。在过程返回步骤S12之前,已经被通知了用户ID处在账号锁定状态的认证单元106在步骤S24执行一个处理以显示上述带有认证错误消息的登录表。
同时,一旦步骤S16确定包含在认证请求中的用户ID不处于账号锁定状态,过程就进行到步骤S18。
在步骤S18,攻击确定单元108通过NG确定单元1084执行一个处理以确定包含在认证请求中的密码是否是NG密码。具体而言,通过参考NG密码信息DB 116,在步骤S18,当在与包含在认证请求中的用户ID相关联地注册的NG密码中找到与包含在认证请求中的密码相同的密码时,NG密码确定单元1084确定包含在认证请求中的密码是NG密码。而当没有这种密码时,NG密码确定单元1084确定包含在认证请求中的密码不是NG密码。在步骤S18,除了与包含在认证请求中的用户ID相关联地注册在NG密码信息DB 116中的任何一个NG密码与包含在认证请求中的密码完全一致的情况外,在包含在认证请求中的密码包含有任何注册在NG密码信息DB 116中的NG密码的情况下,NG密码确定单元1084也会确定包含在认证请求中的密码是NG密码。
一旦步骤S18确定包含在认证请求中的密码是NG密码,攻击确定单元108就通知认证单元106该结果。这意味着攻击确定单元108已经得出认证请求是攻击者发出的结论。
已经被通知了如步骤S18所确定的包含在认证请求中的密码是NG密码的认证单元106在步骤S26执行终端锁定设置过程。具体而言,认证单元106将请求终端的终端ID和当前时间(即,锁定时间)彼此相关联地注册到终端锁定信息DB 112中。
在步骤S26之后,在过程返回步骤S12之前在步骤S24显示带有认证错误消息的登录表。
同时,当在步骤S18确定包含在认证请求中的密码不是NG密码时,过程进行到步骤S20。这意味着截至目前为止攻击确定单元108所作的所有确定(步骤S14、S16和S18)都是否定的,或否。换句话说,攻击确定单元108已经得出认证请求不是由攻击者发出的结论。
在步骤S20,认证单元106参考认证信息DB 120执行一个处理以认证包含在认证请求中的用户ID和密码。具体而言,认证单元106首先确定包含在认证请求中的用户ID是否注册在认证信息DB 120中,并且当该用户ID没有注册在认证信息DB 120中时确定认证失败。而当包含在认证请求中的用户ID注册在认证信息DB 120中时,将包含在认证请求中的密码与和用户ID相关联地注册在认证信息DB 120中的密码进行比较。当它们彼此一致时,确定认证成功,而当它们彼此不一致时,确定认证失败。
若在步骤S20确定认证成功,则过程进行到步骤S22。在步骤S22,认证处理单元100通知服务提供单元140允许服务提供。从认证处理单元100接收到允许服务提供的通知的服务提供单元140根据来自终端的服务请求提供服务。
同时,若在步骤S20确定认证失败,则过程进行到步骤S28,在步骤S28认证单元106更新存储在认证失败信息DB 130中的信息。接下来,作为要在步骤S28执行的处理的例子,将描述当具有如图6所示的内容的数据存储在认证失败信息DB 130中时要执行的处理。首先,认证单元106在认证失败信息DB 130中所注册的用户ID中搜索与包含在认证请求中的用户ID相同的用户ID。当认证失败信息DB 130中存在与包含在认证请求中的用户ID相同的用户ID时,将与该用户ID相关联地存储的最终失败时间与当前时间进行比较,并且当从最终失败时间开始到当前时间所经过的时间段处于预定阈值内(例如,30分钟)时,最终失败时间被当前时间替代,而且与用户ID相关联地记录的连续失败次数增加一次。而当从最终失败时间开始到当前时间所经过的时间段超出预定阈值时,与用户ID相关联地记录的连续失败次数被替换为“1”,而且最终失败时间被当前时间替代。而当在认证失败信息DB 130中注册的用户ID中没有与包含在认证请求中的用户ID相同的用户ID时,该用户ID被新注册到认证失败信息DB 130中,而且当前时间被注册为与新注册的用户ID相关联的最终失败时间,并且连续失败次数设置为“1”。
在步骤S28的处理之后,认证单元106参考认证失败信息DB 130在步骤S30确定账号锁定条件是否成立。账号锁定条件是用来确定是否锁定特定用户ID的账号的条件,而且例如,当响应于包含该用户ID的认证请求而执行的认证过程在预定时间段内失败超过预定次数时,确定该特定用户ID的账号应该被锁定。例如,针对具有如图6所示的内容的数据被注册到认证失败信息DB 130中,并且在步骤S28的更新过程中执行参考图6所述的处理的设计,条件“连续失败次数等于或大于预定阈值(例如,6次)”可以被设定为账号锁定条件。在本例中,当在步骤S28中定义的所经过的时间段阈值内连续失败次数超出预定次数时,即账号锁定定条件满足时,该用户ID的账号被锁定。
例如,可以为每个用户设置用于定义账号锁定条件的参数,如经过时间的阈值和步骤S28中的更新中连续失败次数的阈值。例如,在用于定义账号锁定条件的参数与每个用户ID相关联地注册在认证信息DB 120或认证失败信息DB 130中的设计中,通过使用与包含在认证请求中的用户ID相关联注册的参数执行条件确定,有可能基于随用户而不同的条件来确定是否锁定特定账号。
应当注意,步骤S28中的更新过程和步骤S30中的账号锁定条件确定的方法不限于上述例子。例如,可以记录连续失败次数被设置为1的时间(计数起始时间),而不是将最终失败时间与用户ID相关联地存储在认证失败信息DB 130中,以使得在步骤S28的更新中当从计数起始时间到当前时间所经过的时间段处于预定阈值内时,连续失败次数增加一次。同时,当所经过的时间段超出预定阈值时,连续失败次数被替换为1并且计数起始时间也被当前时间替代。
当步骤S30确定账号锁定条件成立时,认证单元106在步骤S32执行账号锁定设置过程。在步骤S32的账号锁定设置过程中,认证单元106将包含在认证请求中的用户ID注册到账号锁定信息DB 114中。认证单元106可以将当前时间(即,锁定时间)、已经请求认证的请求终端的终端ID、其他用于管理的必要信息等与包含在认证请求中的用户ID相关联地注册在账号锁定信息DB 114中。步骤S32的处理之后,认证单元106在过程返回步骤S12之前执行一个处理以在步骤S24显示上述的带有认证错误消息的登录表。
同时,当步骤S30确定账号锁定条件不成立时,过程进行到步骤S24,而不在步骤S32执行账号锁定设置过程,在步骤S24认证单元106在过程返回步骤S12之前执行上述过程以显示带有认证错误消息的登录表。
根据上述示例性实施例的处理,在攻击确定单元108的确定结果是肯定的,或是(虚线框A中的处理步骤,即,步骤S14、S16和S18),以及在步骤S20确定认证失败这两种情况下,在步骤S24向请求终端20发送相同的用于要求显示带有认证错误消息的登录表的信息。从而,攻击者无法获知服务器10针对请求终端20的认证请求作出何种确定,以及作为该确定的结果执行了何种处理。攻击者仅仅知道他们不被允许登录,但不知道服务器10已经得出来自终端20的认证请求是攻击者发出的结论。
而且,根据本示例性实施例的处理,攻击者很可能输入的并且可信用户不太可能输入的密码被设置为NG密码。因此,例如即使当会导致认证失败的密码是可信用户由于错误输入密码而输入的,只要输入的密码不是NG密码中的一个,则请求终端就不会被确定为锁定对象,因为NG密码确定(步骤S18)结果为否定的,或否。
而且,根据本示例性实施例的处理,即使当包含在认证请求中的用户ID和密码的对被注册在认证信息DB 120中时,即,即使当将在步骤S20产生成功认证的对包含在所接收到的认证请求中时,只要已经请求认证的请求终端20的终端ID在终端锁定信息DB 112中注册为锁定对象,则终端锁定确定(步骤S14)结果就为肯定的,或是,而且从而在终端中显示带有认证错误消息的登录表(步骤S24),而不确定是否成功实现认证(步骤S20)。因此,当为了非法使用系统而通过采用不同密码和另外一个用户的账号多次请求认证而进行攻击时,一旦请求终端由于输入NG密码而被锁定,对于随后的认证请求将不再确定是否成功实现认证(步骤S26)。这可以降低攻击者发现可信密码的可能性。
应当注意,在认证处理单元100所执行的处理的另一个例子中,账号锁定处理(步骤S16、S28、S30和S32)可以不按照如图9所示的处理过程来执行。
尽管在上述示例性实施例中用于响应于终端的服务请求而提供服务的服务提供单元140和用于确定是否允许提供服务的认证处理单元100在单个服务器10中实现,但是在不同的示例性实施例中认证处理单元100和服务提供单元140也可以在不同的服务器中实现。
以上作为例子示出的服务器10通常通过在通用计算机上执行描述了各个单元或处理内容的功能的程序来实现。计算机例如具有作为硬件的电路结构,其中CPU(中央处理器)40、存储器(主存储器)42、各种I/O(输入/输出)接口44等通过总线46连接,如图12所示。用于读取硬盘驱动器或根据各种标准的便携式非易失性存储介质(如CD、DVD、闪存等)的盘驱动器50例如通过I/O接口44连接到总线46。驱动器48或50作为与存储器相关的外部存储装置。描述了示例性实施例中的处理内容的程序通过诸如CD、DVD等的存储介质或网络存储在固定存储器装置如硬盘驱动器48或类似装置中,并且安装在计算机上。存储在固定存储装置中的程序被CPU读取和执行,从而实现示例性实施例中的处理。
出于说明和描述的目的提供了对本发明的示例性实施例的上述描述。其并不意在穷举或将本发明局限于所公开的具体形式。显然,许多修改和变形对本领域技术人员来说是显而易见的。选择和描述示例性实施例是为了更好地解释本发明的原理和它的实际应用,从而使得本领域其他技术人员能够理解适合于所构想的特定应用的本发明的各种实施例以及各种修改。本发明的范围由下面的权利要求及其等价形式所定义。
Claims (2)
1.一种认证信息处理装置,包括:
接收单元,其从请求终端接收包含用户识别信息和密码的认证请求;
攻击确定条件信息存储单元,其存储用于确定所接收的认证请求是否由攻击者发出的攻击确定条件信息;
攻击确定单元,其通过比较所接收的认证请求和存储在所述攻击确定条件信息存储单元中的所述攻击确定条件信息来确定所述认证请求是否由攻击者发出;以及
发送单元,当所述攻击确定单元确定所述认证请求由攻击者发出时,所述发送单元向请求终端发送用于要求输入认证请求的输入指令信息;
其中,
所述攻击确定条件信息存储单元包括终端锁定信息存储单元,所述终端锁定信息存储单元存储锁定对象终端的终端识别信息,
当所述请求终端的终端识别信息存储在所述终端锁定信息存储单元中时,所述攻击确定单元确定所述认证请求由攻击者发出,
所述攻击确定条件信息存储单元还包括未授权密码信息存储单元,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的一个或多个未授权密码,
所述攻击确定单元将所述认证请求中的所述密码和存储在所述未授权密码信息存储单元中的所述未授权密码进行比较来确定所述认证请求是否由攻击者发出,
所述认证信息处理装置还包括终端锁定信息注册单元,当所述攻击确定单元使用所述未授权密码信息存储单元确定所述认证请求由攻击者发出时,所述终端锁定信息注册单元将所述请求终端的终端识别信息注册在所述终端锁定信息存储单元中,
所述未授权密码信息存储单元将不用作用户密码的一个或多个密码作为一个或多个未授权密码与所述用户的用户识别信息相关联地存储,并且
当所述认证请求中的密码作为未授权密码与所述认证请求中的所述用户识别信息相关联地存储在所述未授权密码信息存储单元中时,所述攻击确定单元确定所述认证请求由攻击者发出,
所述认证信息处理装置还包括未授权密码注册单元,其基于与用户相关的信息产生所述未授权密码的候选,并且将所产生的候选中的至少一个作为所述用户的未授权密码与所述用户的所述用户识别信息相关联地注册在所述未授权密码信息存储单元中,
所述终端锁定信息存储单元将所述终端识别信息被注册为锁定目标的锁定时间与锁定目标终端的所述终端识别信息相关联地存储,
在所述请求终端的终端识别信息被存储在所述终端锁定信息存储单元中的情况下,当从所述终端锁定信息存储单元中存储的与终端识别信息相关联的锁定时间到当前时间的经过时间等于或小于预定阈值时,所述攻击确定单元确定所述认证请求是由攻击者发出,并且当所述经过时间超过所述预定阈值时,不确定所述认证请求是由攻击者发出,
当所述认证请求中包含的密码不同于与所述认证请求中包含的所述用户识别信息相对应的授权密码,也不同于所述未授权密码信息存储单元中注册的与所述用户识别信息相关联的未授权密码时,所述攻击确定单元确定认证失败,并将与所述用户识别信息相对应的连续失败次数增加一次,并且当在预定时段内,所述连续失败的次数到达预定阈值次数时,确定所述认证请求是由攻击者发出,并且还将所述用户识别信息作为账户锁定目标注册在账户锁定存储单元中,其中所述预定阈值次数是2次或更多次,并且
当一个认证请求中包含的用户识别信息被注册在所述账户锁定存储单元中时,所述攻击确定单元确定该个认证请求是由攻击者发出。
2.一种认证信息处理方法,包括:
从请求终端接收包含用户识别信息和密码的认证请求;
将用于确定所接收的认证请求是否由攻击者发出的攻击确定条件信息存储在攻击确定条件信息存储单元中;
通过比较所接收的认证请求和存储在所述攻击确定条件信息存储单元中的所述攻击确定条件信息来确定所述认证请求是否由攻击者发出;以及
当确定所述认证请求由攻击者发出时,向请求终端发送用于要求输入认证请求的输入指令信息;
其中,
所述攻击确定条件信息存储单元包括终端锁定信息存储单元,所述终端锁定信息存储单元存储锁定对象终端的终端识别信息,
在所述确定期间,当所述请求终端的终端识别信息存储在所述终端锁定信息存储单元中时,确定所述认证请求由攻击者发出,
所述攻击确定条件信息存储单元还包括未授权密码信息存储单元,所述未授权密码信息存储单元存储可能包含在由攻击者发出的认证请求中的一个或多个未授权密码,
在所述确定期间,将所述认证请求中的所述密码和存储在所述未授权密码信息存储单元中的所述未授权密码进行比较来确定所述认证请求是否由攻击者发出,
其中,当使用所述未授权密码信息存储单元确定所述认证请求由攻击者发出时,将所述请求终端的终端识别信息注册在所述终端锁定信息存储单元中,
所述未授权密码信息存储单元将不用作用户密码的一个或多个密码作为一个或多个未授权密码与所述用户的用户识别信息相关联地存储,并且
在所述确定期间,当所述认证请求中的密码作为未授权密码与所述认证请求中的所述用户识别信息相关联地存储在所述未授权密码信息存储单元中时,确定所述认证请求由攻击者发出,
其中,基于与用户相关的信息产生所述未授权密码的候选,并且将所产生的候选中的至少一个作为所述用户的未授权密码与所述用户的所述用户识别信息相关联地注册在所述未授权密码信息存储单元中,
所述终端锁定信息存储单元将所述终端识别信息被注册为锁定目标的锁定时间与锁定目标终端的所述终端识别信息相关联地存储,
在所述确定期间,在所述请求终端的终端识别信息被存储在所述终端锁定信息存储单元中的情况下,当从所述终端锁定信息存储单元中存储的与终端识别信息相关联的锁定时间到当前时间的经过时间等于或小于预定阈值时,确定所述认证请求是由攻击者发出,并且当所述经过时间超过所述预定阈值时,不确定所述认证请求是由攻击者发出,
在所述确定期间,当所述认证请求中包含的密码不同于与所述认证请求中包含的所述用户识别信息相对应的授权密码,也不同于所述未授权密码信息存储单元中注册的与所述用户识别信息相关联的未授权密码时,确定认证失败,并将与所述用户识别信息相对应的连续失败次数增加一次,并且当在预定时段内,所述连续失败的次数到达预定阈值次数时,确定所述认证请求是由攻击者发出,并且还将所述用户识别信息作为账户锁定目标注册在账户锁定存储单元中,其中所述预定阈值次数是2次或更多次,并且
在所述确定期间,当一个认证请求中包含的用户识别信息被注册在所述账户锁定存储单元中时,确定该个认证请求是由攻击者发出。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007194155A JP5098487B2 (ja) | 2007-07-26 | 2007-07-26 | 認証情報処理装置及びプログラム |
| JP194155/2007 | 2007-07-26 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101355556A CN101355556A (zh) | 2009-01-28 |
| CN101355556B true CN101355556B (zh) | 2013-06-05 |
Family
ID=40296550
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100922329A Active CN101355556B (zh) | 2007-07-26 | 2008-04-17 | 认证信息处理装置和认证信息处理方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20090031406A1 (zh) |
| JP (1) | JP5098487B2 (zh) |
| CN (1) | CN101355556B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5005746B2 (ja) * | 2009-09-08 | 2012-08-22 | 株式会社三井住友銀行 | パスワード照合装置および方法 |
| KR101079442B1 (ko) * | 2010-03-22 | 2011-11-03 | 주식회사 퓨쳐시스템 | 침해 대응 장치 및 방법 |
| CA2704864A1 (en) * | 2010-06-07 | 2010-08-16 | S. Bhinder Mundip | Method and system for controlling access to a monetary valued account |
| US8839357B2 (en) * | 2010-12-22 | 2014-09-16 | Canon U.S.A., Inc. | Method, system, and computer-readable storage medium for authenticating a computing device |
| KR20150083405A (ko) * | 2014-01-09 | 2015-07-17 | 삼성전자주식회사 | 모바일 단말기를 화상형성장치에 사용 등록하는 방법 및 이를 이용한 화상형성장치, 모바일 단말기의 사용 등록을 요청하는 방법 및 이를 이용한 모바일 단말기 |
| US9215223B2 (en) * | 2012-01-18 | 2015-12-15 | OneID Inc. | Methods and systems for secure identity management |
| US10015153B1 (en) * | 2013-12-23 | 2018-07-03 | EMC IP Holding Company LLC | Security using velocity metrics identifying authentication performance for a set of devices |
| CN104753886B (zh) * | 2013-12-31 | 2018-10-19 | 中国科学院信息工程研究所 | 一种对远程用户的加锁方法、解锁方法及装置 |
| CN105516987A (zh) * | 2014-09-25 | 2016-04-20 | 中兴通讯股份有限公司 | 一种恶意攻击检测方法及终端 |
| US9913315B2 (en) | 2014-10-20 | 2018-03-06 | Xiaomi Inc. | Method and device for connection management |
| CN104333863B (zh) * | 2014-10-20 | 2018-11-30 | 小米科技有限责任公司 | 连接管理方法及装置、电子设备 |
| US10262122B2 (en) * | 2014-10-28 | 2019-04-16 | Nippon Telegraph And Telephone Corporation | Analysis apparatus, analysis system, analysis method, and analysis program |
| CN104618336B (zh) * | 2014-12-30 | 2018-05-18 | 广州酷狗计算机科技有限公司 | 一种账号管理方法、设备及系统 |
| JP6477109B2 (ja) * | 2015-03-24 | 2019-03-06 | 富士ゼロックス株式会社 | 画像処理システムおよび画像形成装置 |
| KR102398167B1 (ko) * | 2015-07-02 | 2022-05-17 | 삼성전자주식회사 | 사용자 장치, 그것의 패스워드 설정 방법, 그리고 그것의 패스워드를 설정하고 확인하는 동작 방법 |
| CN105430090A (zh) * | 2015-12-11 | 2016-03-23 | 小米科技有限责任公司 | 信息推送方法及装置 |
| CN111224920B (zh) * | 2018-11-23 | 2021-04-20 | 珠海格力电器股份有限公司 | 一种防止非法登录的方法、装置、设备及计算机存储介质 |
| CN113703325B (zh) * | 2020-10-30 | 2024-02-13 | 天翼数字生活科技有限公司 | 一种智能家居终端失陷的检测方法和系统 |
| CN115098841A (zh) * | 2021-04-29 | 2022-09-23 | 支付宝(杭州)信息技术有限公司 | 身份认证处理方法及装置 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1692320A (zh) * | 2003-01-06 | 2005-11-02 | 索尼株式会社 | 验证系统、验证服务器、验证方法、验证程序、终端、验证请求方法、验证请求程序和存储媒体 |
| CN1801699A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 一种访问密码设备的方法 |
| CN1917423A (zh) * | 2005-08-16 | 2007-02-21 | 索尼株式会社 | 目标设备,认证装置和认证方法 |
Family Cites Families (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6981155B1 (en) * | 1999-07-14 | 2005-12-27 | Symantec Corporation | System and method for computer security |
| JP2001318891A (ja) * | 2000-05-08 | 2001-11-16 | Asahi Bank Ltd | ログイン処理システム、ログイン処理システムのシステム処理方法、及び、そのためのプログラムを記録した記録媒体 |
| US6907533B2 (en) * | 2000-07-14 | 2005-06-14 | Symantec Corporation | System and method for computer security using multiple cages |
| JP2002149606A (ja) * | 2000-11-08 | 2002-05-24 | Nec Corp | 利用者認証方式 |
| US7093291B2 (en) * | 2002-01-28 | 2006-08-15 | Bailey Ronn H | Method and system for detecting and preventing an intrusion in multiple platform computing environments |
| US7523499B2 (en) * | 2004-03-25 | 2009-04-21 | Microsoft Corporation | Security attack detection and defense |
| US8151348B1 (en) * | 2004-06-30 | 2012-04-03 | Cisco Technology, Inc. | Automatic detection of reverse tunnels |
| US7748040B2 (en) * | 2004-07-12 | 2010-06-29 | Architecture Technology Corporation | Attack correlation using marked information |
| JP2006139743A (ja) * | 2004-11-14 | 2006-06-01 | Yoshihiko Hata | 認証装置 |
| JP2006293804A (ja) * | 2005-04-13 | 2006-10-26 | Lin Chyi Yeu | パスワードの入力及び認証システム |
| JP2007102305A (ja) * | 2005-09-30 | 2007-04-19 | Nifty Corp | コンピュータネットワークにおける認証方法 |
| US20070127438A1 (en) * | 2005-12-01 | 2007-06-07 | Scott Newman | Method and system for processing telephone technical support |
| US8806219B2 (en) * | 2006-08-23 | 2014-08-12 | Red Hat, Inc. | Time-based function back-off |
| US7984500B1 (en) * | 2006-10-05 | 2011-07-19 | Amazon Technologies, Inc. | Detecting fraudulent activity by analysis of information requests |
-
2007
- 2007-07-26 JP JP2007194155A patent/JP5098487B2/ja not_active Expired - Fee Related
-
2008
- 2008-03-20 US US12/052,097 patent/US20090031406A1/en not_active Abandoned
- 2008-04-17 CN CN2008100922329A patent/CN101355556B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1692320A (zh) * | 2003-01-06 | 2005-11-02 | 索尼株式会社 | 验证系统、验证服务器、验证方法、验证程序、终端、验证请求方法、验证请求程序和存储媒体 |
| CN1801699A (zh) * | 2004-12-31 | 2006-07-12 | 联想(北京)有限公司 | 一种访问密码设备的方法 |
| CN1917423A (zh) * | 2005-08-16 | 2007-02-21 | 索尼株式会社 | 目标设备,认证装置和认证方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101355556A (zh) | 2009-01-28 |
| US20090031406A1 (en) | 2009-01-29 |
| JP2009031963A (ja) | 2009-02-12 |
| JP5098487B2 (ja) | 2012-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101355556B (zh) | 认证信息处理装置和认证信息处理方法 | |
| KR101979586B1 (ko) | 블록 체인 기반으로 관리되는 사물 인터넷 디바이스 및 그 시스템 및 방법 | |
| CN111434084B (zh) | 来自实体的访问信息的许可 | |
| KR100464755B1 (ko) | 이메일 주소와 하드웨어 정보를 이용한 사용자 인증방법 | |
| AU2017416533B2 (en) | Trustworthy data exchange using distributed databases | |
| CN101669128B (zh) | 级联认证系统 | |
| US8868921B2 (en) | Methods and systems for authenticating users over networks | |
| CN110535880B (zh) | 物联网的访问控制方法以及系统 | |
| JP2001243413A (ja) | 名刺管理システム、方法、そのサーバ装置及びクライアント装置、携帯端末装置、並びに記録媒体 | |
| WO2012117253A1 (en) | An authentication system | |
| EP2622889A1 (en) | User account recovery | |
| US20180176206A1 (en) | Dynamic Data Protection System | |
| US7593919B2 (en) | Internet Web shield | |
| EP3937040B1 (en) | Systems and methods for securing login access | |
| US9635017B2 (en) | Computer network security management system and method | |
| US20100106771A1 (en) | Method and apparatus for communication based on certification using static and dynamic identifier | |
| RU2724713C1 (ru) | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя | |
| KR100320119B1 (ko) | 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체 | |
| US8326654B2 (en) | Providing a service to a service requester | |
| JP2006079228A (ja) | アクセス管理装置 | |
| JP2006188922A (ja) | 入退室管理システムおよび方法 | |
| KR101195027B1 (ko) | 서비스 보안시스템 및 그 방법 | |
| KR101212510B1 (ko) | 위치기반의 서비스 보안 시스템 및 그 방법 | |
| AU2018448130A1 (en) | Multi-level authentication for shared device | |
| KR100286146B1 (ko) | 집적회로 카드를 이용한 자동 로그-온 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Tokyo, Japan Patentee after: Fuji film business innovation Co.,Ltd. Address before: Tokyo, Japan Patentee before: Fuji Xerox Co.,Ltd. |
|
| CP01 | Change in the name or title of a patent holder |