[发明专利]使用多级验证控制用户对受保护资源的访问的系统和方法

说明书

相关申请的交叉引用

根据美国法典第35篇119条（a）-（d）项，本申请要求于2012年8月10日提交的申请号为2012134243的俄罗斯申请的优先权，其通过援引的方式在此并入。

技术领域

本公开总地涉及计算机安全领域，并且更具体地，涉及用于使用多级验证来控制用户对受保护设备和应用程序的访问的系统、方法和计算机程序产品。

背景技术

在我们现代社会中，保护信息系统免受对系统整体以及对其单独部件、其应用程序和设备的未经授权的访问正变得越来越重要。在大多数用户验证系统中，实现一步式用户验证以获得对计算机的访问，其通常会让用户录入他/她的登录名和密码，或PIN代码。然而，对于更重要的任务，在这种情况下一步式验证所提供的安全性可能不足，可使用附加的第二级验证。这种第二级验证可以是用户所拥有的、确认用户身份的某种物理设备，诸如令牌（token）或智能卡。

这些设备当前广泛地用于银行业，并且还作为得以对公司或企业内部资源进行远程访问的方式。如果使用正确，这种二级验证系统可显著地阻碍罪犯访问个人计算机（PC）或经授权用户的公司PC。令牌应仅在用户正在PC上工作时连接至PC。如果用户离开其工作场所，则必须随身携带令牌或至少封锁（block）它。然而，用户经常忽视这种规则。因此，该技术将总具有人为责任因素。例如，如果用户离开了其工作场所而忘记带走其令牌或其智能卡，罪犯就可以获得对其PC的访问。有时仅离开一分钟罪犯就能够在用户的PC上实施未经授权的动作，诸如得以对用户PC进行物理或远程访问，或安装有害软件，其将在PC上实施被禁止的动作。

当具有对系统以及对应用程序和设备的不同访问权限的多个令牌连接至一台PC时，状况频繁发生。在类似那种状况下，除可能的由罪犯进行的访问外，也可能由经授权的令牌用户实施未经授权的动作。例如，两个令牌连接至PC，一个属于银行会计师，另一个属于总会计师。为了激活与现金交易无关的银行-客户端系统部件，有必要激活银行会计师的令牌，即连接并录入正确密码。然而，为了启动银行通信应用程序以获得对互联网连接的许可来进行支付转移，还需要银行审计员的经激活的令牌。如果银行审计员离开PC而忘记封锁其令牌或随身携带它，会计师就可以无意或故意地启动银行通信应用程序、实施现金转移交易或实施其未被授权去做的任何其他动作。这种状况发生得相当频繁。因此，人为因素看来对二级验证的使用负有重要责任。尤其是，多种对客户端-银行系统的干预恰恰是沿用上述模式进行的，即用户会离开其工作场所而忘记随身携带其令牌或封锁它。

然而，现有的系统和方法的主要问题之一是仍缺乏对受保护资源的完全控制。现有技术不利用某一数量的活跃令牌或应答器以给出对诸如计算机设备、应用程序和数据的不同类型的受保护资源的各种访问权限，以及许可这种设备和应用程序实施各种动作并获得对操作系统、个人用户数据、cookie文件、用户活动日志的某些受保护资源或其他类型的受保护资源的访问。因此，需要一种用于实施用户的多级验证以防止用户或用户组对受保护计算机资源的未经授权的访问的新方法论。

发明内容

所公开的是用于使用多级用户验证来控制对受保护的设备和应用程序的访问的系统、方法和计算机程序产品。在一个示范性实施例中，方法包括检测连接至设备的、控制用户对受保护资源的访问的插入式令牌；识别与所检测到的令牌相关联的、经授权以访问受保护资源的一个或多个经授权用户；验证请求访问受保护资源的第一用户是否与所检测到的令牌相关联并经授权以访问受保护资源；检测与令牌相关联的一个或多个经授权用户的一个或多个无线应答器至少包括第一用户的应答器的存在；以及当第一用户经验证为与所检测到的令牌相关联的经授权用户并检测到至少第一用户的应答器时，向第一用户提供对受保护资源的访问。

以上对示范性实施例的简要概括用来提供对本发明的基本理解。该概括不是本发明所有预期方面的广泛综述，且不意图确定全部实施例的关键或重要元素，也不意图划定任何或全部实施例的范围。其唯一目的是以简化的形式呈现一个或多个实施例，作为下述本发明的更详细说明的前序。为实现前述事项，一个或多个实施例包括权利要求中描述的并被特别指出的特征。

附图说明

附图并入此说明书中并构成其中的一部分，示出了本发明的一个或多个示范性实施例，并与详细的描述一起，用来解释实施例的原理和实现方案。