[发明专利]对可漫游凭证存储的安全且可用保护

说明书

背景

对诸如网上银行、网上商店和虚拟专用网络等可在线访问的多个站点的安全数字访问在当今联机社会中是合乎需要的。用户认证反映人们用来在线访问这些站点的典型过程。一般而言，该过程开始于用户浏览到网站，确定需要安全访问，并设置对于该站点的用户名和口令/通行短语。在每一次用户想要访问该站点时，该用户浏览到该站点，输入其用户名和口令/通行短语，并在该站点匹配该用户名和口令/通行短语后获准进入该站点。

当前作为对在每一次用户浏览到该在线站点时输入用户名和口令/通行短语的替换，该用户可允许将cookie存储在浏览器上以便由该设备上的浏览器记住所选信息。由此，在该在线站点处用户信息的安全性由其上存储cookie的计算设备和浏览器的安全性来管控。

除了输入用户名和口令之外，用户名和口令/通行短语输入过程的各种变体利用了回答预定问题和标识预定图像。

在任一种情况下，鉴于用户对口令/通行短语的安全对待(即，不重用口令/通行短语、不写下口令/通行短语、不将口令/通行短语存储在容易确定的位置)，用户名和口令输入认证过程只是与用户所选口令/通行短语的强度一样安全(即高熵、不容易猜到、满足特定强度准则)。弱(即低熵)口令/通行短语容易受到字典和蛮力攻击。

概述

此处描述与可用性保持平衡的安全性方便用户利用可漫游凭证存储(RCS)来从多个计算设备安全地访问网站和其他在线位置。在至少一个实施例的一方面，RCS经由多阶段加密过程来方便受保护的统一凭证保险库(UCV)，以使得通过使离线字典攻击对于攻击者变得极其昂贵而不使可用性相当地恶化来保护用户凭证。

提供本概述是为了以简化的形式介绍将在以下详细描述中进一步描述的一些概念。本概述并不旨在标识出所要求保护的主题的关键特征或必要特征，也不旨在用于限制所要求保护的主题的范围。

附图简述

图1示出了其中可操作对可漫游凭证存储的安全且可用保护的各实施例的示例性环境。

图2示出了包括用于实现一个实施例的可漫游凭证存储的扩展的可漫游设备的示例性环境。

图3示出了对可漫游凭证存储的安全且可用保护的一个实施例的示例性系统。

图4示出了对可漫游凭证存储的安全且可用保护的一个实施例的示例性系统。

图5是利用对可漫游凭证存储的安全且可用保护的一个实施例的将用户凭证存储在可漫游凭证存储上的统一凭证保险库中的示例性过程。

图6是利用对可漫游凭证存储的安全且可用保护的一个实施例的经由将第一密钥存储在本地计算设备上来加速后续安全访问的示例性过程。

图7是利用对可漫游凭证存储的安全且可用保护的一个实施例的经由访问存储在本地计算设备上的第一密钥来加速后续安全访问的示例性过程。

贯穿本公开和各附图使用相同的附图标记来引用相同的组件和特征。

详细描述

术语表

以下术语在本说明书中使用，并且除非另外指定或从上下文中显而易见，否则这些术语具有以下提供的含义。

蛮力攻击—以试图通过提交几乎所有可能来确定口令/通行短语为特征的击败密码方案的尝试。不像字典攻击，蛮力攻击不基于被认为是更有可能匹配口令/通行短语的输入。

成本—时间方面的值。例如，成本可相对于秒或毫秒来定义。

凭证—加密输入，包括安全站点的标识、对应于安全站点的用户名、以及用于访问安全站点的口令/通行短语。

字典攻击—以试图通过基于在字典中找到的最有可能匹配口令/通行短语的单词来提交大量可能性来确定口令/通行短语为特征的击败密码方案的尝试。

昂贵—相对成本值。在时间方面，昂贵的操作比不昂贵的操作花费更长的时间(耗费更多)。例如，成本可相对于完成操作所必需的秒数或毫秒数来定义。

密钥—密码密钥。

锁—需要正确的密钥来获得访问权。

离线攻击—当想要成为攻击者的人可访问受保护容器足够的时间来对凭证存储发起字典攻击以检索秘密时的对口令的密码攻击。

概览

可漫游凭证存储(RCS)使得能够经由多阶段加密来以可漫游格式安全地存储属于个人用户的多个凭证。在另一方面，RCS方便经由多阶段加密过程利用统一凭证保险库(UCV)来产生受保护的UCV，以使得通过使得离线字典攻击对于想要成为攻击者的人变得极其昂贵而不相当地增加可用性成本来保护用户凭证。在另一方面，RCS向用户提供多个计算设备上的增强的安全访问。在另一方面，RCS使得能够加速检索所选计算设备上的信息。