CN102105920A - 用于确保通信会话的方法和系统 - Google Patents
用于确保通信会话的方法和系统 Download PDFInfo
- Publication number
- CN102105920A CN102105920A CN2009801293346A CN200980129334A CN102105920A CN 102105920 A CN102105920 A CN 102105920A CN 2009801293346 A CN2009801293346 A CN 2009801293346A CN 200980129334 A CN200980129334 A CN 200980129334A CN 102105920 A CN102105920 A CN 102105920A
- Authority
- CN
- China
- Prior art keywords
- website
- user
- public keys
- data
- image object
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
- G06F21/445—Program or device authentication by mutual authentication, e.g. between devices or programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于安全通信的机制,其中,用户可以通过在安全系统上解答验证码来获得认证。用户浏览器知道验证码中可能的各种图像对象与其到可信网站公共密钥的各个子部分的映射之间的独特组合。用户解答验证码,并且浏览器插件进行验证可信网站身份的其余部分,并且对返回下一个对象的质询进行响应。
Description
技术领域
本发明涉及通信会话,更具体地涉及通过网站的认证以及远程用户交互来确保通信会话。
背景技术
对电子邮件和因特网通信的网络钓鱼攻击(phishing attack)越来越猖獗。作为盗用身份的主要原因,网络钓鱼是必须遏制的严重问题。网络钓鱼通常涉及诱骗因特网用户点击看起来是可信但是使用户进入网络钓鱼网站的虚假网站。如果用户接受了来自看起来可信的网站的公共密钥证书,则网络钓客(phisher)可以捕获用户名/密码以及敏感用户信息。用户登陆信息也可以被网络钓鱼站点用来仿冒用户与可信网站进行通信。然后,网络钓鱼站点可以对在用户和可信网站之间传递的所有数据执行“中间人”攻击。受诱骗的用户相信会话是安全的。
用户有责任记住用于登陆各种网站的各种用户名/密码组合。这样的用户名/密码管理对于通过移动设备使用来说特别困难,在移动设备中,用户输入受到有限设备小键盘的限制。使用相对简单和容易记住的密码的倾向减轻了网络钓客的挑战。
为了防范这样的非法复制(piracy)所提出的各种方法依赖于对用户的警觉和观察技巧的需要。目的是确保真正是人类用户在输入密码。在传输层安全(TLS)协议通信会话中,例如,希望用户警惕/响应于各种安全性弹出窗口/警报中的任何一个来验证接收到的证书。然而,大部分用户仅点击“OK”并且继续。用户不太可能将接收到的自己签名的证书识别为源发自网络钓鱼站点。
可信网站已经进行了尝试来通过要求人类响应确保与人类而不是自动化站点进行通信。这些努力可以阻止“中间人”攻击。这些攻击可能仅将对人类响应的请求中继到用户,或者可以包括在网络钓鱼站点处的人为干预。
因此,出现对于开发用于抵制网络钓鱼攻击的更有效的机制的需要。网络钓鱼的目标是用户,而不是自动化系统。可以在传输层提出任何安全解决方案,但是如果用户受到诱骗,那么网络钓鱼就会成功。因此,任何网络钓鱼解决方案都必须覆盖用户和计算机之间的路径。这样的机制应当设法解决人机接口的弱点。应当开发自动攻击者不可有效译码的数据传输来确保人类用户的存在。这样的机制可以通过要求来自用户的响应来扩充基于用户名/密码的认证方案,其中,只有人类用户接收方可以译码网站数据传输,并且生成适当的响应。因此,增加的人类参与应当提供更安全和更容易的选择。
发明内容
本发明的各种实施例提供了一种用于确保通信会话的方法。当建立与网站的通信会话时,客户端接收来自网站的质询。该质询包括嵌入有安全信道不变量的图案的图像对象信息。接收到的质询中的数据与用户特定相关,该用户与客户端相关联。通过将接收到的数据图案与网站公共密钥的识别部分进行比较来认证网站。网站公共密钥是指在安全会话建立期间接收到的网站的公共密钥。网站公共密钥的识别部分按照如下进行识别。在客户端处的数据库列表中搜索匹配质询中的图像对象信息的图像对象。确定映射到数据库列表中的匹配的图像对象的比特位置集合,并且识别与确定的比特位置相对应的子串(即,网站公共密钥的一部分)。如果接收到的数据图案不匹配网站公共密钥的识别部分,则自动终止通信会话。
从网站的角度,可以通过确保用户也被验证来使得通信会话安全。当认证网站时,客户端传送对网站的响应。该响应包括表示不同图像对象的数据和与之相关的图案。该相关图案例如可以与网站公共密钥的不同比特位置相对应。可以通过访问客户端处的数据库以识别适当的图像对象和与图像对象相关的图案数据来生成该响应。客户端处的数据库与网站数据库同步。网站可以通过访问网站数据库以将接收到的响应数据与访问的数据作比较来认证响应。
附图说明
在附图中的各视图中,通过示例的方式而不通过限制的方式来示出本发明,并且其中,相同的附图标记表示类似元素,并且其中:
图1是根据一些实施例的通信系统的框图。
图2是根据一些实施例的用于确保客户端站点和网站之间的通信会话的支持功能的框图。
图3a是根据本发明的例示用公共密钥信息编码的验证码(captcha)的图示。
图3b是根据本发明的例示用公共密钥信息编码的验证码的图示。
图4是用于客户端站点处的认证过程的协议执行流程图。
图5是在图4的过程中用于在网站处的用户的认证的协议执行流程图。
图6是根据实施例的用于在客户端站点处的认证过程的方法的流程图。
图7是根据另一实施例的用于在网站处的用户的认证的方法的流程图。
本领域技术人员可以认识到,附图中的元素为了简明而进行图示,并且不必须按比例绘制。例如,附图中的一些元件的尺寸可以相对于其他元件被放大,以有助于促进理解本发明的实施例。
已经在附图中用常规符号适当地表示了装置和方法组成部分,仅示出了与理解本发明的实施例相关的那些特定细节,以避免使本公开与对于受益于这里的描述的本领域技术人员来说明显的那些细节相混淆。
具体实施方式
虽然网络钓鱼站点可能是高度发展的,但是它在整个链中缺乏一个重要环节,即,验证用户输入的信息确实正确的能力。不论安全解决方案如何,存在仅可以由用户解决而不能(至少不容易)由自动化网络钓鱼站点解决的特定测试。人类交互式证明可以用于在计算机和人类之间进行区分。质询-响应测试(涉及所谓的“验证码”)可以被实现为用于要求用户完成发送站点计算机可以生成并分级的简单测试。例如,验证码可以包括字母数字字符的失真图像,其可由用户在显示屏幕上识别,但是不可由接收计算机来识别。虽然这样的测试的圆满完成对于确保人类涉及了公式化响应是有效的,但是网络钓鱼站点可以通过使另一个人解答验证码来绕过该措施。因此,仅使用验证码不能提供期望的最佳安全等级。
如果强制网络钓客证明例如用于验证用户/密码的一些用户特定信息的知识,则有效地强制与可信网站接触。现在,控制掌握在可信网站手中进行下一步骤来以某种方式进行检测并且防止用户受到网络钓鱼攻击。信息必须以隐瞒网络钓鱼网站的某种方式来进行传递,网络钓鱼网站可能处于获得到达用户的所有信息的位置。可信网站可以使用验证码作为需要被传递到在信道的另一端处的人类用户的信息的载体。可以选择用于确保对用户的容易可解性而对于自动化网站钓鱼站点来说非常难的验证码的适当特性。然而,网络钓客可以简单地将验证码传递到用户,并且将用户的解答结果传递回可信网站。
根据本发明,通过在验证码内编码足够的信息以使得用户能够检测它是否被网络钓鱼攻击,可信网站可以避免该情况。该信息应当不容易被网络钓鱼网站复制或篡改。通过由诸如TLS的机制建立的安全通信信道来进行基于安全HTTP的会话。这样的基础安全技术的优点在于,该基础安全技术基于特定不变量,一旦建立会话该特定不变量就不能被篡改。例如,在TLS会话中,不变量可以是生成的会话密钥。因此,如果验证码被嵌入有由可信网站生成的会话密钥,则在建立安全连接时,用户可以检测嵌入验证码的密钥和由网络钓鱼网站暴露的会话密钥之间的不匹配。因此,用户可以识别嵌入在可信网站处生成的验证码内的信息,其不仅是不变量(即,不能被复制,也不能被篡改),而且还与网站的身份相关联,以确定是否发生了网络钓鱼攻击。
与网站相关联的公共密钥与如在TLS握手协议内的服务器证书消息内所暴露的网站的身份紧密结合。虽然在网络钓鱼网站的情况下,实际身份本身可能是可疑的,但是其仍然与证书以及用于安全会话建立的相应的公共/私有密钥结合。一旦网站公共密钥在安全信道建立时被暴露并被使用,网站公共密钥就不能被篡改。同时,因为网站公共密钥与成功解密所需的相应私有密钥紧密结合,所以它不能由网络钓客简单地从可信网站复制。因此,网站公共密钥有资格作为抵抗中间人的安全信道的不变量。
图1是根据一些实施例的通信系统的框图。通信系统100包括客户端102、可信网站104和网络钓鱼站点106。希望由客户端来实现与可信网站的通信会话。这样的客户端包括一个或多个计算机以及工作站。然而,应当理解,其他客户端(诸如,使用无线访问协议的支持Web的手持设备和因特网装置)落入本发明的范围内。客户端102还指网络浏览器或能够访问和/或与网络可访问网站进行通信的任何其他应用。所有类型的客户端都适于通过因特网108访问可信网站104。网站是网页、图像、视频或在一个或多个网络服务器上托管的其他数字资源的集合,通常可经由因特网来访问。通过使用术语“因特网”,应当理解,以上不旨在将本发明限于还被称为万维网的网络。例如,网络包括内联网、外联网、虚拟专用网络(VPN)等。网络钓鱼站点106是能够对在客户端102和可信网站104之间传递的所有数据执行“中间人”攻击的看起来可信的网站。
图2是根据本发明的用于在客户端和可信网站之间的安全通信的支持功能的框图。客户端站110包括与客户端数据库114耦合的处理器112。客户端处理器112提供由高级组件表示的用户支持功能,高级组件如验证码呈现功能116、验证功能118、同步功能120和会话管理功能122。网站130包括与网站数据库134和图像储存库136耦合的处理器132。网站处理器132提供网站支持功能,由验证码生成功能138、同步功能140和会话管理功能142来表示。会话管理功能122和142提供基于TLS等的安全信道通信。
图像储存库136填充有可变数目的图像对象,图像对象具有用于生成验证码的适当标签。验证码是用于确保响应不是由自动机生成的质询-响应测试。图像储存库可以由网站支持功能访问或保持。在生成用于存储在网站数据库134和客户端数据库114中的列表中,使用来自该储存库的对象图像。在数据库134中,网站数据库图像列表的对象基于每个用户名与比特位置映射相关联。在客户端数据库114中,如果期望与多个网站进行通信,则图像列表的对象基于每个网站与比特位置映射相关联。由网站处的同步功能140与客户端站点处的同步功能120相结合所执行的同步功能,在每个成功的第n次登陆时,都向用户提供更新的图像列表和比特位置映射124。该更新功能确保新的和不同的质询将被呈现给可能的网络钓客。当用户在网站上登记时,该信息将被引导。
验证码生成功能138基于网站的公共密钥、用户名和数据库134中的用户特定图像列表和比特位映射来生成适当的验证码。客户端处的验证码呈现功能116被映射到用户浏览器的呈现引擎。在实施例中,显示呈现的验证码,并且为人类用户生成用于识别验证码内的图像对象以及输入相应标签数据(例如,文本串)的请求。验证功能118经由对客户端数据库114的访问来对用户响应执行各种检查。
图3a是根据本发明的例示要在客户端站点处呈现的由可信网站通过对其本身的公共密钥信息进行编码所创建的验证码的图示。每个验证码都包括两部分,即,对象图像和可信网站的公共密钥的子部分。例示的房子图像在其中包含字母数字串“6d e8 73”,其与公共密钥的比特x...y相对应。
如图3b中所示,例示的汽车图像在其中包含字母数字串“eb7 8da1”,其与公共密钥的比特p...q相对应。当在客户端站点处显示呈现的验证码时,验证功能118可以请求用户输入验证码中呈现的文本,并且从对象列表中选择与显示的图像相对应的图像。如果用户的输入匹配客户端数据库114中的关联,则来源验证发生。例如,对于用户的输入“房子”,在会话建立期间接收到的网站公共密钥的比特位置x...y(在客户端数据库114中与之相关)必须匹配用户输入的文本串,即,“eb78da1”。
图4是用于客户端站点处的认证过程的协议执行流程图。在步骤50,用户通过发起链路来请求与网站的服务器的会话,以进入网站域。每当浏览器发起安全HTTP连接时,客户端处理器112存储公共密钥以及网站会话服务器在服务器证书消息中暴露的身份。随后,如果网页转到登陆页面,则客户端处理器112读取用户输入的用户名和密码,并且向网站服务器发送用户名。在步骤52,经由浏览器插件,建立与网站服务器的TLS连接,并且网站将公共密钥传送到浏览器插件用于安全会话建立。在步骤54,一旦安全会话建立完成,登陆页面就被提供给浏览器插件。在用户显示器处呈现登陆页面,并且在步骤56,用户提供用户身份信息和密码。此时,浏览器插件仅将用户名传送到网站。
验证码由网站在步骤58生成,并且被传送到客户端站点。网站在数据库134中进行搜索,以找到用于该用户名的相应的图像列表和比特位置映射。验证码生成基于用于用户的图像列表中的适当图像以及在用于图像对象的相应比特位置索引处的公共密钥的子部分。
在步骤60,验证码被呈现给用户,用户通过识别对象以及输入网站公共密钥的编码子串来解答。客户端处理器112验证对象属于当前与特定网站相关联的对象列表。另外,处理器使用比特位置映射来索引(在TLS会话建立时暴露的)公共密钥,并且提取子部分。进一步检查用户输入的字符串(即,包含在验证码中的)是否匹配该子部分。如果浏览器插件确认了这些检查,则可以安全地假定,其与正确网站安全地连接。因此,在步骤61,在客户端站点处验证安全连接。
如果浏览器已经确定了一个或多个检查失败,即,对象和字符串的用户识别,则在步骤62,向用户示出与网络钓鱼相关的出错消息并且终止该会话。
在步骤61中,如果客户端处理器112确认了网站的可信性,则在步骤63,可以通过TLS连接,向可信网站安全地发送用户的密码。网站可以验证用户密码,以对用户进行认证,并且在步骤64提供登陆成功页面。其还可以发送将用于下一次登陆尝试的新的图像列表和比特位置映射。
为了成功的相互识别,还必须使可信网站确信,验证码确实已经到达期望用户并由该用户来解答。任何验证码都提供隐式质询机制,其中,可以要求用户用验证码内编码的信息进行响应。然而,这不能保证验证码实际上由其期望的接收用户来解答。例如,网络钓鱼自动机可以帮助人类用户解答验证码。该漏洞可以通过在验证码内以隐式质询的形式限定附加语义来解决。在此描述的嵌入有公共密钥的图形验证码方案中,隐式质询可以被定义为指“返回图像对象的类型,其与在验证码内编码的公共密钥的子部分之后的第x个子部分相对应”。这将要求由人辅助的网络钓客猜测用于用户的图像列表以及比特位置映射。另一方面,可信用户的系统可以容易地查找图像列表和比特位置映射以响应质询。
图5是在关于图4描述的过程中用于在可信网站处的用户认证的协议执行流程图。第二协议执行流程描述了双向认证机制,其中,不需要用户密码。在该图中,在图4中被标记为“A”和“B”的点之间提供附加步骤。在该情况下,作为使用密码来证明其可信性的替代,客户端处理器112使用其关于图像列表和比特位置映射的知识来指示其实际上表示可信用户。在步骤70,客户端处理器112通过识别和返回图像对象标签来这样做,该图像对象标签与被嵌入验证码内的子部分之前或之后的例示的第x个子部分相对应。当然,将通过安全TLS连接向可信网站返回该信息,如由图4的单向认证协议流程所验证的。在步骤72,网站确认在接收到的对象标签和子部分字符串与在数据库134中的其图像列表之间的匹配,并且通知客户端成功登陆。网站可以将用于下一次登陆尝试的新图像列表和比特位置映射发送到用户。
USF需要在用户的浏览器内实现,使得可以访问在TLS会话建立时由网站暴露的公共密钥。另外,还需要具有在任何标准浏览器内可用的容易的验证码呈现能力和用户输入能力。因此,其最有效地被实现为浏览器插件。另外,需要实现本地安全机制(例如,用于全局用户名/密码或与由较新个人计算机提供的生物特征身份认证相关)以确保对图像列表和比特位置映射数据库的安全访问。否则,使用用户浏览器的任何人都可以将他们自己认证为网站的用户。
图6是根据实施例的用于客户端站点处的认证过程的方法的流程图。在步骤610,在客户端处,从网站接收包括嵌入有安全信道不变量的图案的图像对象信息的质询。安全信道不变量是指在通信会话的建立期间接收到的网站的公共密钥。接收到的数据与用户特定相关,该用户与客户端相关联。在步骤620,通过将接收到的数据图案与网站公共密钥的识别部分作比较来认证网站。通过在客户端处的数据库中搜索与质询中的图像对象信息匹配的图像对象,来识别网站公共密钥的一部分。图像对象信息的示例包括房子、汽车、树等的图像。如果发现图像对象匹配,则确定映射成匹配图像对象的比特位置集合,并且识别与确定的比特位置相对应的网站公共密钥的子串。如果在步骤630接收到的图案匹配网站公共密钥的识别部分,则在步骤640将密码指示发送到网站。在实施例中,密码指示是包括表示图像对象的标签数据和与图像对象相关联的数据图案的响应。传送的响应中的图像对象与接收到的质询中的图像对象信息不同。图像对象从客户端处的数据库中识别,并且使数据图案与识别的对象图像相关。数据图案是与步骤620处识别的公共密钥的子串不同的网站公共密钥的子串。如果在步骤630处接收到的图案不匹配网站公共密钥的识别部分,则在步骤650处终止通信会话。
图7是根据另一实施例的用于在网站处的用户认证的方法的流程图。在步骤710,由网站接收来自客户端的通信。该通信包括对于与网站的会话的请求以及识别用户的信息。在步骤720,生成用户可解质询,包括嵌入有安全信道不变量的图案的图像对象表示。基于接收到的用户身份信息,使生成的质询特别地与用户相关联。在步骤730,将生成的质询传送到客户端用于由用户解答。在步骤740,从客户端接收包括表示图像对象的标签数据和与之相关联的数据图案的响应。接收到的响应的图像对象与传送的质询的图像对象不同。在步骤750,通过将接收到的响应中的数据图案与安全信道不变量的识别部分进行比较来认证用户。如果在步骤760,数据图案匹配安全信道不变量的识别部分,则在步骤770,将认证用户的响应传送到客户端。如果在步骤760,数据图案与安全信道不变量的识别部分不匹配,则在步骤780,使用户无效。
在本公开中,仅示出和描述了本发明的优选实施例以及其多方面的几个示例。应该明白,本发明能够用于各种其他组合和环境,并且能够在此处表达的发明思想的范围内进行改变或修改。
例如,用户支持功能应当在用户的浏览器内实现,使得其可以访问在TLS会话建立时由网站暴露的公共密钥。另外,容易的验证码呈现能力和用户输入能力在任何标准浏览器内都可用。因此,虽然本发明大多通过使用浏览器插件有效地实现,但是不排除等效处理器功能。
另外,可以实现本地安全机制(例如,全局用户名/密码或与较新个人计算机提供的生物特征身份认证相关联),以确保对图像列表和比特位置映射数据库的安全访问。该提供将防止除用户之外的任何人使用用户的浏览器,以将他自己认证为网站的用户。
本发明还适用于其中用户从公共计算机登陆到他的账户的通信。在这样的情况下,浏览器插件可以被适当地修改,以从诸如笔式驱动器的可移动存储设备读取数据库。虽然进行用户特定的图像列表和比特位置映射的本地拷贝可能危及公共计算机上的浏览器的安全(其使得能够进行人类辅助攻击),但是该安全风险与对于现有认证机制的记录用户键按压以提取用户名/密码的类似受危及的浏览器没有任何不同,也不会更加严重。在任何一种情况下,重要的是用户的浏览器是可信赖的。
通常,当用户首次在网站登记时,确认电子邮件被发送到其现有的电子邮件地址之一。网站使用以上方法作为防止自动操作触发的登陆的初步检验。初始图像列表和比特位置映射可以适当地被格式化为XML格式并且在该邮件内发送。要求用户将该XML复制到其浏览器插件中。
作为更通用的方法,可以使用对用户呈现的HTML页面内的内联XML,将图像列表和比特位置映射的XML版本发送为隐藏参数。浏览器插件将实现附加解析逻辑,以进行读取和存储。该机制还具有在网站进行初始用户登记之后,以及每次成功登陆之后,都可以统一使用的优点。
网站还提供超链接,以使得用户能够触发新图像列表和比特位置映射的创建并且接收新图像列表和比特位置映射。这样的用户控制的重新映射能够使得用户能够灵活地选择更新数据库的正确时间。例如,当用户从公共计算机访问网站时,用户可以随后触发从用户的个人计算机访问时的重新映射(remap)。因此,如果与嵌入有公共密钥的验证码相关的任何数据在公共计算机处被危及,则经由新图像列表和比特位置映射的生成,其基本上被无效。
如果用户由于从公共计算机进行访问而被攻击,则需要备用机制来恢复对用户名的权利。通过这样的机制,用户信任的系统内的用户支持功能(例如,个人计算机)将需要收集和存储在一段时间内接收的各种基于验证码的质询。在身份攻击的情况下,用户将所有存储的质询提供给可信网站,以保留其对特定用户名/密码的权利。网站将通过按照其用于用户名的各种图像列表和比特位置映射的历史,在那些各个时间场合,确定他们是否包含正确的图像和公共密钥的相应子部分,来检查验证码确实有效。如果充分满足,则网站可以认为所提出的用户支持功能是用户的有效表示,并且生成用于用户的新的和有效的图像列表和比特位置映射。
Claims (20)
1.一种用于确保通信会话的方法,所述方法包括:
在客户端接收来自网站的质询,所述质询包括嵌入有安全信道不变量的图案的图像对象信息,所接收到的数据与用户特定相关,所述用户与所述客户端相关联;以及
通过将所接收到的数据图案与网站公共密钥的识别部分进行比较来认证所述网站。
2.根据权利要求1所述的方法,其中,在所述通信会话的建立期间,从所述网站接收所述网站公共密钥。
3.根据权利要求2所述的方法,其中,识别所述网站公共密钥的一部分包括:
在所述客户端处,在数据库列表中搜索匹配所述质询中的所述图像对象信息的图像对象;
确定被映射到所述数据库列表中的所匹配的图像对象的比特位置集合;
识别与所确定的比特位置相对应的所述网站公共密钥的子串。
4.根据权利要求1所述的方法,进一步包括:
如果所述接收到的数据图案与所述网站公共密钥的所述识别部分不匹配,则终止所述通信会话。
5.根据权利要求1所述的方法,进一步包括:
如果所述接收到的数据图案匹配所述网站公共密钥的所述识别部分,则将密码指示提供给所述网站。
6.根据权利要求1所述的方法,进一步包括:
如果所述接收到的数据图案匹配所述网站公共密钥的所述识别部分,则向所述网站传送响应,所述响应包括表示图像对象的标签数据和与之相关联的数据图案,所传送的响应的所述图像对象与所述接收到的质询的所述图像对象不同。
7.根据权利要求6所述的方法,其中,所述传送响应的步骤包括:
响应于从所述网站接收到的所述数据,识别用于传输的对象图像;以及
使数据图案与所识别的对象图像相关。
8.根据权利要求7所述的方法,其中,所述相关的数据图案是所述网站公共密钥的子串,所述网站公共密钥的子串不同于所述认证步骤中识别的所述公共密钥的所述子串。
9.一种用于确保通信会话的方法,所述方法包括:
在网站处接收来自客户端的通信;
生成用户可解质询,所述用户可解质询包括嵌入有安全信道不变量的图案的图像对象表示,所生成的质询与用户特定相关,所述用户与所述客户端相关联;
将所生成的质询传送到所述客户端,用于由所述用户来解答;
从所述客户端接收响应,所述响应包括表示图像对象的标签数据和与之相关联的数据图案,其中,所接收到的响应的所述图像对象与所传送的质询中的所述图像对象不同;以及
通过将所述响应中的所述数据图案与所述安全信道不变量的识别部分进行比较来认证所述用户。
10.根据权利要求9所述的方法,其中,所接收到的通信包括用户身份信息。
11.根据权利要求10所述的方法,其中,基于所接收到的用户身份信息,使所述生成的质询与所述用户特定相关。
12.根据权利要求9所述的方法,其中,所述安全信道不变量的图案是所述网站公共密钥的子串。
13.一种计算机可读存储元件,其上存储有计算机可读代码,当执行所述计算机可读代码时,使客户端执行以下操作:
接收来自网站的质询,所述质询包括嵌入有安全信道不变量的图案的图像对象信息,所接收到的数据与用户特定相关,所述用户与所述客户端相关联;以及
通过将所接收到的数据图案与网站公共密钥的识别部分进行比较来认证所述网站。
14.一种用于认证与网站的通信会话的客户端系统,所述系统包括:
处理器和数据库;其中
所述数据库包括与网站相关的至少一个记录,所述记录包含表示不同类型的图像对象的标签数据,每个不同类型的图像对象均与特定比特位置集合相关联,所述特定比特位置集合与网站公共密钥的子串相对应;并且
所述处理器被配置为:
当从所述网站接收用户可解质询时,访问所述数据库;以及
确定所接收到的质询是否包括与所述网站公共密钥的子串相对应的数据。
15.根据权利要求14所述的系统,其中,所述处理器被进一步配置为:如果所述接收到的质询包括与所述网站公共密钥的子串相对应的数据,则向所述网站传送响应,所述响应包括表示第二图像对象的标签数据和与所述第二图像对象相关的所述公共密钥的子串。
16.根据权利要求15所述的系统,其中,所述处理器被配置为:
呈现所述接收到的用户可解质询;
接受与所解答的质询相关的用户输入数据;
在所述数据库列表中搜索匹配所述用户输入数据的图像对象的标签数据;
确定映射到所述数据库列表中的所匹配的图像对象的比特位置集合;
在相应比特位置处,识别所述网站公共密钥的子串;以及
如果所述接收到的质询包括与所述网站公共密钥的子串相对应的数据,则认证所述网站。
17.一种用于确保通信会话的系统,所述系统包括:
网站,所述网站包括处理器和数据库;其中
所述处理器被配置为生成公共密钥;以及
所述数据库包括与特定远程通信用户相对应的记录,每条记录使不同类型的图像对象与所述公共密钥的特定子串相关联。
18.根据权利要求17所述的系统,其中,所述处理器被配置为,响应于接收来自所述用户之一的通信,传送从所述数据库访问的数据,所访问的数据包括特定类型的图像对象信息和与之相关的所述网站公共密钥的子串。
19.根据权利要求18所述的系统,其中,所述处理器被进一步配置为,通过以下步骤接收来自所述用户的对所传送的数据的响应,
在所述数据库中识别包含与所述公共密钥的不同子串相关的第二特定类型的图像对象信息的记录;以及
确定所接收到的响应是否包括表示所述第二特定类型的图像对象信息的数据和匹配所述公共密钥的不同子串的数据。
20.根据权利要求19所述的系统,其中,所述处理器被进一步配置为,如果所述确定指示不匹配,则终止通信。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN1789/DEL/2008 | 2008-07-29 | ||
| IN1789DE2008 | 2008-07-29 | ||
| PCT/US2009/050444 WO2010014386A1 (en) | 2008-07-29 | 2009-07-14 | Method and system for securing communication sessions |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102105920A true CN102105920A (zh) | 2011-06-22 |
Family
ID=41610673
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801293346A Pending CN102105920A (zh) | 2008-07-29 | 2009-07-14 | 用于确保通信会话的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP2311020A4 (zh) |
| CN (1) | CN102105920A (zh) |
| CA (1) | CA2762706A1 (zh) |
| WO (1) | WO2010014386A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102611707A (zh) * | 2012-03-21 | 2012-07-25 | 北龙中网(北京)科技有限责任公司 | 一种网站可信标识安装及识别方法 |
| CN103748593A (zh) * | 2011-08-17 | 2014-04-23 | 高通股份有限公司 | 使用具有与captcha验证码的源有关的视觉信息的captcha验证码的方法和装置 |
| CN104243155A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 安全验证的方法及装置 |
| CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101770297B1 (ko) * | 2010-09-07 | 2017-09-05 | 삼성전자주식회사 | 온라인 서비스 접속 방법 및 그 장치 |
| CN102480486B (zh) * | 2010-11-24 | 2015-07-22 | 阿尔卡特朗讯公司 | 验证通信会话的方法、设备及系统 |
| CN102136964B (zh) * | 2010-11-25 | 2013-02-27 | 中国移动(深圳)有限公司 | 一种网站测试方法和系统 |
| TWI448921B (zh) * | 2010-11-30 | 2014-08-11 | F2Ware Inc | 全自動區分計算機和人類的測試資料管理方法與相關資料管理系統及其電腦程式產品 |
| CN102946314B (zh) * | 2012-11-08 | 2016-04-20 | 成都卫士通信息产业股份有限公司 | 一种基于浏览器插件的客户端用户身份认证方法 |
| EP2747366A1 (en) * | 2012-12-24 | 2014-06-25 | British Telecommunications public limited company | Client/server access authentication |
| US8977756B2 (en) * | 2013-01-10 | 2015-03-10 | Microsoft Technology Licensing, Llc | SWAN: achieving high utilization in networks |
| US9712398B2 (en) | 2015-01-29 | 2017-07-18 | Blackrock Financial Management, Inc. | Authenticating connections and program identity in a messaging system |
| US10356073B2 (en) | 2016-08-29 | 2019-07-16 | Cisco Technology, Inc. | Secure captcha test |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005500A1 (en) * | 2005-06-20 | 2007-01-04 | Microsoft Corporation | Secure online transactions using a captcha image as a watermark |
| US20070250920A1 (en) * | 2006-04-24 | 2007-10-25 | Jeffrey Dean Lindsay | Security Systems for Protecting an Asset |
| US20080109657A1 (en) * | 2006-11-06 | 2008-05-08 | Siddharth Bajaj | Web site authentication |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7266693B1 (en) * | 2007-02-13 | 2007-09-04 | U.S. Bancorp Licensing, Inc. | Validated mutual authentication |
-
2009
- 2009-07-14 EP EP09803357.4A patent/EP2311020A4/en not_active Withdrawn
- 2009-07-14 WO PCT/US2009/050444 patent/WO2010014386A1/en active Application Filing
- 2009-07-14 CA CA2762706A patent/CA2762706A1/en not_active Abandoned
- 2009-07-14 CN CN2009801293346A patent/CN102105920A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070005500A1 (en) * | 2005-06-20 | 2007-01-04 | Microsoft Corporation | Secure online transactions using a captcha image as a watermark |
| US20070250920A1 (en) * | 2006-04-24 | 2007-10-25 | Jeffrey Dean Lindsay | Security Systems for Protecting an Asset |
| US20080109657A1 (en) * | 2006-11-06 | 2008-05-08 | Siddharth Bajaj | Web site authentication |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103748593A (zh) * | 2011-08-17 | 2014-04-23 | 高通股份有限公司 | 使用具有与captcha验证码的源有关的视觉信息的captcha验证码的方法和装置 |
| CN103748593B (zh) * | 2011-08-17 | 2017-05-31 | 高通股份有限公司 | 使用captcha验证码的方法和装置 |
| CN102611707A (zh) * | 2012-03-21 | 2012-07-25 | 北龙中网(北京)科技有限责任公司 | 一种网站可信标识安装及识别方法 |
| CN104243155A (zh) * | 2013-06-18 | 2014-12-24 | 腾讯科技(深圳)有限公司 | 安全验证的方法及装置 |
| US10097547B2 (en) | 2013-06-18 | 2018-10-09 | Tencent Technology (Shenzhen) Company Limited | Security verification method, apparatus and terminal |
| CN104243155B (zh) * | 2013-06-18 | 2019-01-22 | 腾讯科技(深圳)有限公司 | 安全验证的方法及装置 |
| CN107086981A (zh) * | 2016-02-16 | 2017-08-22 | 爱特梅尔公司 | 受控安全代码认证 |
| CN107086981B (zh) * | 2016-02-16 | 2021-07-09 | 爱特梅尔公司 | 受控安全代码认证 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2311020A4 (en) | 2014-12-31 |
| EP2311020A1 (en) | 2011-04-20 |
| CA2762706A1 (en) | 2010-02-04 |
| WO2010014386A1 (en) | 2010-02-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102105920A (zh) | 用于确保通信会话的方法和系统 | |
| CN101075875B (zh) | 在门户/系统之间实现单点登录的方法及其系统 | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN102638473B (zh) | 一种用户数据授权方法、装置及系统 | |
| CN100369030C (zh) | 在全异的网域之间验证和传送可核实授权的方法和系统 | |
| US11831680B2 (en) | Electronic authentication infrastructure | |
| CN105591744B (zh) | 一种网络实名认证方法及系统 | |
| CN105897424B (zh) | 一种增强身份认证的方法 | |
| WO2018198036A1 (en) | Authentication system and identity management without password by single-use qr code and related method | |
| US20130347071A1 (en) | Method and system for granting access to a secured website | |
| US20180255066A1 (en) | Enhanced authentication security | |
| CN105407074A (zh) | 身份验证方法、装置及系统 | |
| WO2013101358A1 (en) | System and method for secure network login | |
| CN107016074B (zh) | 一种网页加载方法及装置 | |
| CN103001770A (zh) | 一种用户验证方法、服务器及系统 | |
| CN104767616A (zh) | 一种信息处理方法、系统及相关设备 | |
| CN104348617A (zh) | 验证码处理方法、装置、终端及服务器 | |
| CN103763104A (zh) | 一种动态验证的方法及系统 | |
| CN114266033A (zh) | 验证码生成方法、装置、验证码登录系统及电子设备 | |
| CN110650021A (zh) | 一种认证终端网络实名认证方法和系统 | |
| CN102255894A (zh) | 网站信息验证方法、系统及解析服务器 | |
| EP4231219A1 (en) | Authenticating a transaction | |
| CN107580002B (zh) | 双因子认证安全管理机登录系统及方法 | |
| CN103532979A (zh) | CGI web界面下的多会话验证码的产生及验证方法 | |
| CN109729045A (zh) | 单点登录方法、系统、服务器以及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110622 |