專利名稱:用于訪問(wèn)控制的方法�、系統(tǒng)和計(jì)算機(jī)程序產(chǎn)品的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于資源的訪問(wèn)控制領(lǐng)域。尤其涉及阻止對(duì)資源訪問(wèn)的不期
望的廢止(revocation )���。
背景技術(shù):
對(duì)共享資源的訪問(wèn)能夠依靠使用保密標(biāo)識(shí)符(如密碼)的認(rèn)證系統(tǒng)來(lái)保 護(hù)�����。這樣的共享資源能夠包括具有處理器的計(jì)算機(jī)系統(tǒng)����、存儲(chǔ)設(shè)備、數(shù)據(jù)庫(kù)���、 軟件例程�����、通信工具或輸出設(shè)備��。該標(biāo)識(shí)符能夠在請(qǐng)求訪問(wèn)資源的各請(qǐng)求者 (requester)實(shí)體(如客戶機(jī)計(jì)算機(jī)系統(tǒng))之間共享��。這樣的認(rèn)證系統(tǒng)易于受 未認(rèn)證的請(qǐng)求者攻擊����,該未認(rèn)證的請(qǐng)求者施加強(qiáng)力(brute force)方法以擊敗 認(rèn)證��。該強(qiáng)力方法包括請(qǐng)求訪問(wèn)資源大量次數(shù)���,每次使用不同的認(rèn)證標(biāo)識(shí)符 以試圖確定正確的標(biāo)識(shí)符����。例如,當(dāng)變化可允許的字符的組合��,能夠自動(dòng)生 成大量可能的密碼��,并且能夠用每個(gè)密碼請(qǐng)求訪問(wèn)資源直到識(shí)別正確的密碼���。
圖1是現(xiàn)有技術(shù)中的用于認(rèn)證對(duì)資源102的訪問(wèn)的系統(tǒng)的方塊圖。圖1 的現(xiàn)有技術(shù)系統(tǒng)適于克服如上所述的那些強(qiáng)力攻擊����。請(qǐng)求者112通過(guò)將認(rèn)證 提交114 (如密碼)提交到認(rèn)證器104來(lái)請(qǐng)求訪問(wèn)資源102。該認(rèn)證器104包 括對(duì)資源的引用作為資源標(biāo)識(shí)符106���、以及當(dāng)前認(rèn)證標(biāo)識(shí)符108�����。當(dāng)前認(rèn)證標(biāo) 識(shí)符108是這樣的標(biāo)識(shí)符�����,其如果由請(qǐng)求者提供�����,則將導(dǎo)致認(rèn)證器104授權(quán) 訪問(wèn)資源102�。由請(qǐng)求者提供的任何不同于當(dāng)前認(rèn)證標(biāo)識(shí)符108的標(biāo)識(shí)符將 導(dǎo)致訪問(wèn)被拒絕。這是因?yàn)橹挥挟?dāng)前的認(rèn)證標(biāo)識(shí)符108能夠用于獲取對(duì)資源 102的訪問(wèn)����,并且以這種方式,認(rèn)證器104認(rèn)證對(duì)資源102的授權(quán)訪問(wèn)��。該 認(rèn)證器104還包括當(dāng)前標(biāo)識(shí)符廢止器110��,其可操作當(dāng)認(rèn)證器從請(qǐng)求者112 接收不匹配當(dāng)前認(rèn)證標(biāo)識(shí)符108的認(rèn)證提交114時(shí)廢止當(dāng)前認(rèn)證標(biāo)識(shí)符108�����。 當(dāng)前認(rèn)證標(biāo)識(shí)符108的廢止致使當(dāng)前認(rèn)證標(biāo)識(shí)符108無(wú)效����,并且阻止對(duì)資源 102未來(lái)的訪問(wèn),直到當(dāng)前認(rèn)證標(biāo)識(shí)符108由如系統(tǒng)管理員恢復(fù)��。以這種方 式����,認(rèn)證器104通過(guò)在接收了不正確認(rèn)證提交114后阻止對(duì)資源102的訪問(wèn)����, 克服了強(qiáng)力攻擊的問(wèn)題��。在實(shí)踐中��,當(dāng)前標(biāo)識(shí)符廢止器110通過(guò)在當(dāng)前認(rèn)證標(biāo)識(shí)符108被實(shí)際上廢止前���,要求進(jìn)行一定數(shù)目的對(duì)資源102的訪問(wèn)請(qǐng)求(每 次具有不匹配當(dāng)前認(rèn)證標(biāo)識(shí)符108的認(rèn)證提交114),能夠采用延遲廢止�����。例 如�,要求用戶輸入密碼以訪問(wèn)計(jì)算機(jī)資源的用戶訪問(wèn)控制系統(tǒng)���,可能在提供 了三次不正確的密碼的情況下廢止對(duì)資源的訪問(wèn)。
雖然如上所述的圖1的系統(tǒng)為對(duì)訪問(wèn)控制系統(tǒng)的強(qiáng)力攻擊問(wèn)題提供有效 的解決方案�,但是仍存在多個(gè)授權(quán)的請(qǐng)求者共享共同的認(rèn)證標(biāo)識(shí)符的問(wèn)題。 如果一個(gè)請(qǐng)求者改變當(dāng)前的認(rèn)證標(biāo)識(shí)符�,則其它的請(qǐng)求者只留下過(guò)期的認(rèn)證 信息,這將不允許他們?cè)L問(wèn)該資源����。只有當(dāng)前認(rèn)證標(biāo)識(shí)符應(yīng)提供訪問(wèn)資源這 才是可接受的�����,但是當(dāng)各請(qǐng)求者試圖用它們過(guò)期的認(rèn)證標(biāo)識(shí)符訪問(wèn)該資源時(shí)����, 當(dāng)前認(rèn)證標(biāo)識(shí)符將由于不正確的標(biāo)識(shí)符的使用而必然地變?yōu)閺U止的��。這具有 阻止由所有請(qǐng)求者(包括具有最新認(rèn)證信息的那些)訪問(wèn)資源的不期望的效 果���。這不是可接受的結(jié)果����,特別是在按需(on-demand)計(jì)算機(jī)系統(tǒng)中����,其中 要求在除了最極端情況外的所有情況中維持各資源的可用性。
因此在對(duì)資源的認(rèn)證標(biāo)識(shí)符的改變致使由該資源的授權(quán)的請(qǐng)求者保持的 認(rèn)證信息過(guò)期的情況下�����,提供資源的連續(xù)可用性將是有利的�。
發(fā)明內(nèi)容
在第一方面���,本發(fā)明相應(yīng)地提供了一種用于資源的訪問(wèn)控制方法,該資 源具有相關(guān)聯(lián)的用于提供對(duì)該資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符����、之前的認(rèn)證標(biāo) 識(shí)符、以及不正確認(rèn)證提交限度��,該方法響應(yīng)從請(qǐng)求訪問(wèn)該資源的實(shí)體接收 認(rèn)證提交���,其中該認(rèn)證提交不對(duì)應(yīng)當(dāng)前認(rèn)證標(biāo)識(shí)符����,該方法包括以下步驟 阻止由請(qǐng)求者訪問(wèn)資源��;響應(yīng)于該認(rèn)證提交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符���、并且 滿足不正確認(rèn)證提交限度的確定���,導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止�;以及響應(yīng) 于該認(rèn)證提交對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的確定,維持用于提供對(duì)資源的訪問(wèn)的 當(dāng)前i人"i正才示i ����、才奪����。
以這種方式����,該訪問(wèn)控制方法通過(guò)在接收不正確認(rèn)證提交時(shí)阻止對(duì)資源 的訪問(wèn),克服了強(qiáng)力攻擊的問(wèn)題�����,除了其中該不正確認(rèn)證提交是用于該資源 的之前有效的認(rèn)證標(biāo)識(shí)符�。因此,請(qǐng)求訪問(wèn)該資源的具有過(guò)期認(rèn)證信息的各 請(qǐng)求者不會(huì)促使當(dāng)前認(rèn)證標(biāo)識(shí)符的廢止�,雖然他們自己不能訪問(wèn)該資源。只 有具有不是當(dāng)前的并且不是之前的認(rèn)證提交的請(qǐng)求者����,有效地促使當(dāng)前認(rèn)證 標(biāo)識(shí)符的廢止。優(yōu)選地����,不正確認(rèn)證提交限度對(duì)應(yīng)于單個(gè)確定認(rèn)證提交不對(duì)應(yīng)之前的 認(rèn)證標(biāo)識(shí)符。優(yōu)選地����,當(dāng)前認(rèn)證標(biāo)識(shí)符是資源的當(dāng)前密碼���,之前的認(rèn)證標(biāo)識(shí)符是用于 該資源的之前的密碼,并且認(rèn)證提交是密碼提交����。優(yōu)選地,資源還具有相關(guān)聯(lián)的不正確認(rèn)證提交計(jì)數(shù)��,并且導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止包括以下步驟更新不正確認(rèn)證提交計(jì)數(shù)��;以及響應(yīng)于不正 確認(rèn)證提交計(jì)數(shù)已經(jīng)達(dá)到不正確認(rèn)證提交限度的確定�����,經(jīng)由當(dāng)前認(rèn)證標(biāo)識(shí)符 阻止對(duì)資源的訪問(wèn)�。優(yōu)選地,資源是服務(wù)器實(shí)體而請(qǐng)求者是客戶機(jī)實(shí)體���。 優(yōu)選地����,請(qǐng)求訪問(wèn)資源的實(shí)體是一組實(shí)體的一個(gè)�����,并且當(dāng)前認(rèn)證標(biāo)識(shí)符 對(duì)該組實(shí)體中的所有實(shí)體共用��。優(yōu)選地�����,當(dāng)前認(rèn)證標(biāo)識(shí)符對(duì)該組實(shí)體是秘密的�����。在第二方面�,本發(fā)明相應(yīng)地提供一種用于為資源提供訪問(wèn)控制的系統(tǒng), 該資源具有相關(guān)聯(lián)的用于提供對(duì)該資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符�����、之前的認(rèn) 證標(biāo)識(shí)符��、以及不正確認(rèn)證提交限度�����,該方法響應(yīng)從請(qǐng)求訪問(wèn)該資源的實(shí)體 接收認(rèn)證提交��,其中該認(rèn)證提交不對(duì)應(yīng)當(dāng)前認(rèn)證標(biāo)識(shí)符,該系統(tǒng)包括用于 阻止由請(qǐng)求者訪問(wèn)資源的裝置��;響應(yīng)于該認(rèn)證提交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符��、 并且滿足不正確認(rèn)證提交限度的確定���,用于導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止的 裝置����;以及響應(yīng)于該認(rèn)證提交對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的確定��,用于維持用于 提供對(duì)資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符的裝置��。在第三方面��,本發(fā)明相應(yīng)地提供一種包括程序代碼的計(jì)算機(jī)程序產(chǎn)品�, 其在數(shù)據(jù)處理系統(tǒng)上執(zhí)行時(shí),指令數(shù)據(jù)處理系統(tǒng)執(zhí)行上述方法���。在第四方面��,本發(fā)明相應(yīng)地提供一種數(shù)據(jù)處理系統(tǒng)����,其包括中央處理 單元;存儲(chǔ)器子系統(tǒng)�����;輸入/輸出子系統(tǒng)�;以及總線子系統(tǒng)�,用于將中央處理 單元��、存儲(chǔ)器子系統(tǒng)����、輸入/輸出子系統(tǒng)相互連接����;以及如上所述的系統(tǒng)��。
現(xiàn)在將參照附圖�,僅通過(guò)示例的方式描述本發(fā)明的優(yōu)選實(shí)施例��,在附圖中圖1是現(xiàn)有技術(shù)中用于認(rèn)證對(duì)資源的訪問(wèn)的系統(tǒng)方塊圖�;圖2是適于本發(fā)明各實(shí)施例的操作的計(jì)算機(jī)系統(tǒng)的示例性方塊圖;圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例��、用于認(rèn)證對(duì)資源的訪問(wèn)的系統(tǒng)的示例性方塊圖��;圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例、用于給授權(quán)的請(qǐng)求者提供對(duì)資源的訪問(wèn) 的圖3的認(rèn)證器的方法的示例性流程圖���;圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的�、示例性當(dāng)前標(biāo)識(shí)符廢止器的示例性方 塊圖����;圖6是根據(jù)本發(fā)明優(yōu)選實(shí)施例的�����、圖4的當(dāng)前標(biāo)識(shí)符廢止器的方法的示 例性流程圖���;圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例�、用于授權(quán)的請(qǐng)求者改變當(dāng)前認(rèn)證標(biāo)識(shí)符 的圖3的認(rèn)證器的方法的示例性流程圖����;圖8a是根據(jù)本發(fā)明優(yōu)選實(shí)施例、包括認(rèn)證器和資源的服務(wù)器計(jì)算機(jī)系統(tǒng) 的第一示例性方塊圖��;圖8b是根據(jù)本發(fā)明優(yōu)選實(shí)施例、圖示圖8a的客戶機(jī)系統(tǒng)和服務(wù)器計(jì)算 機(jī)系統(tǒng)之間的請(qǐng)求流的流程圖�;圖9a是根據(jù)本發(fā)明優(yōu)選實(shí)施例、包括認(rèn)證器和資源的服務(wù)器計(jì)算機(jī)系統(tǒng) 的第二示例性方塊圖��;圖9b是根據(jù)本發(fā)明優(yōu)選實(shí)施例����、圖示圖9a的客戶機(jī)系統(tǒng)和服務(wù)器計(jì)算 機(jī)系統(tǒng)之間的請(qǐng)求流的流程圖。
具體實(shí)施方式
圖2是適于本發(fā)明各實(shí)施例的操作的計(jì)算機(jī)系統(tǒng)的示例性方塊圖��。中央 處理單元(CPU) 202經(jīng)由數(shù)據(jù)總線208�、通信地連接到存儲(chǔ)204和輸入/輸 出(I/O)接口 206。存儲(chǔ)204能夠是任何讀/寫存儲(chǔ)設(shè)備���,如隨機(jī)存取存儲(chǔ)器 (RAM)或非易失性存儲(chǔ)設(shè)備��。非易失性存儲(chǔ)設(shè)備的示例包括盤或帶存儲(chǔ)設(shè) 備��。1/0接口 206是到設(shè)備的接口 �,用于輸入或輸出數(shù)據(jù)�����,或用于輸入和輸出 數(shù)據(jù)���?��?蛇B接到I/O接口的I/O設(shè)備的示例包括鍵盤、鼠標(biāo)��、顯示器(如監(jiān)視 器)以及網(wǎng)絡(luò)連接�����。圖3是根據(jù)本發(fā)明優(yōu)選實(shí)施例、用于認(rèn)證對(duì)資源302的訪問(wèn)的系統(tǒng)的示 例性方塊圖�。圖3的許多元件與上面關(guān)于圖1描述的那些相同,并且在此它 們將不再重復(fù)����。圖3的認(rèn)證器304還包括之前的認(rèn)證標(biāo)識(shí)符316����,其是之前 有效的認(rèn)證標(biāo)識(shí)符的拷貝。例如�,請(qǐng)求者312能夠請(qǐng)求改變當(dāng)前認(rèn)證標(biāo)識(shí)符308的值,如通過(guò)改變密碼�。在將新的值分配給當(dāng)前認(rèn)證標(biāo)識(shí)符308之前, 將現(xiàn)有的值記錄在之前認(rèn)證標(biāo)識(shí)符316中�����。圖3的認(rèn)證器304的操作不同于 現(xiàn)有技術(shù)的操作�,如以下將在本描述中(特別是關(guān)于圖4)變得明顯��。概括 地,認(rèn)證器304在來(lái)自請(qǐng)求者312的認(rèn)證提交314不匹配當(dāng)前認(rèn)證標(biāo)識(shí)符308 或之前的認(rèn)證標(biāo)識(shí)符316的情況下����,使用當(dāng)前標(biāo)識(shí)符廢止器310廢止當(dāng)前認(rèn) 證標(biāo)識(shí)符308。以這種方式��,包括匹配當(dāng)前認(rèn)證標(biāo)識(shí)符308或之前的認(rèn)證標(biāo) 識(shí)符316的請(qǐng)求者312的請(qǐng)求��,不導(dǎo)致當(dāng)前標(biāo)識(shí)符廢止器310廢止當(dāng)前認(rèn)證 標(biāo)識(shí)符308�。因此,資源302通過(guò)有效的當(dāng)前認(rèn)證標(biāo)識(shí)符308繼續(xù)對(duì)各請(qǐng)求 者可用��,即使請(qǐng)求者進(jìn)行了不正確認(rèn)證提交�,只要該認(rèn)證提交與之前認(rèn)證標(biāo) 識(shí)符316相關(guān)�。因而,在存在多個(gè)請(qǐng)求者的環(huán)境中���,如果一個(gè)請(qǐng)求者改變了 當(dāng)前認(rèn)證標(biāo)識(shí)符308��,來(lái)自具有過(guò)期認(rèn)證信息的其它請(qǐng)求者的訪問(wèn)請(qǐng)求將不 會(huì)導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符308的廢止����。同時(shí),其中提供的標(biāo)識(shí)符既不匹配當(dāng)前 的認(rèn)證標(biāo)識(shí)符308也不匹配之前的認(rèn)證標(biāo)識(shí)符316����,則廢止當(dāng)前認(rèn)證標(biāo)識(shí)符 308。圖4是根據(jù)本發(fā)明優(yōu)選實(shí)施例�、用于給授權(quán)的請(qǐng)求者提供對(duì)資源的訪問(wèn) 的圖3的認(rèn)證器304的方法的示例性流程圖。在步驟402�,認(rèn)證器304從請(qǐng) 求者312接收認(rèn)證提交314。在步驟404�����,認(rèn)證器304確定是否當(dāng)前認(rèn)證標(biāo)識(shí) 符308被當(dāng)前廢止(例如����,作為來(lái)自請(qǐng)求者的之前的請(qǐng)求具有不正確標(biāo)識(shí)符 的結(jié)果)。涉及當(dāng)前認(rèn)證標(biāo)識(shí)符308的廢止?fàn)顩r的信息能夠保持在對(duì)認(rèn)證器 304私有的存儲(chǔ)介質(zhì)(如存儲(chǔ)器�、盤或其它存儲(chǔ)介質(zhì))中。如果當(dāng)前認(rèn)證標(biāo) 識(shí)符308被廢止�,則在步驟406該方法拒絕對(duì)資源302的訪問(wèn)并且終止。如 果當(dāng)前認(rèn)證標(biāo)識(shí)符308沒(méi)有被廢止,則在步驟408該方法確定認(rèn)證提交314 的值是否匹配當(dāng)前認(rèn)證標(biāo)識(shí)符308的值����,并且如果它們匹配,則在步驟410 授權(quán)對(duì)資源302的訪問(wèn)并終止�。如果認(rèn)證提交314的值不匹配當(dāng)前認(rèn)證標(biāo)識(shí) 符308的值,則步驟412拒絕對(duì)資源302的訪問(wèn)�。在步驟414,該方法確定 認(rèn)證提交314的值是否匹配之前的認(rèn)證標(biāo)識(shí)符316的值,并且如果它們匹酉己�, 則進(jìn)行到步驟416,其中維持當(dāng)前認(rèn)證標(biāo)識(shí)符308 (即,沒(méi)有廢止)����,并且該 方法終止。如果步驟414確定認(rèn)證提交314的值不匹配之前的認(rèn)證標(biāo)識(shí)符316 的值�,則步驟418依靠當(dāng)前標(biāo)識(shí)符廢止器310廢止當(dāng)前認(rèn)證標(biāo)識(shí)符308?��?商娲?,在步驟418����,在當(dāng)前認(rèn)證標(biāo)識(shí)符308實(shí)際上被廢止前����,當(dāng)前 標(biāo)識(shí)符廢止器310能夠通過(guò)要求進(jìn)行一定次數(shù)的對(duì)訪問(wèn)資源302的請(qǐng)求采用延遲廢止����,這些請(qǐng)求每個(gè)具有不匹配當(dāng)前認(rèn)證標(biāo)識(shí)符108或之前認(rèn)證標(biāo)識(shí)符316的認(rèn)證提交114���。以下參照?qǐng)D5和6描述這樣的當(dāng)前標(biāo)識(shí)符廢止器310����。圖5是根據(jù)本發(fā)明優(yōu)選實(shí)施例的����、示例性當(dāng)前標(biāo)識(shí)符廢止器310的示例 性方塊圖。當(dāng)前標(biāo)識(shí)符廢止器310是用于致使當(dāng)前認(rèn)證標(biāo)識(shí)符308無(wú)效���、因 此阻止請(qǐng)求者312具有對(duì)資源302的訪問(wèn)的軟件或硬件組件�。圖5的當(dāng)前標(biāo) 識(shí)符廢止器310包括不正確認(rèn)證提交計(jì)數(shù)502和最大不正確認(rèn)證提交限度 504���。圖5的當(dāng)前標(biāo)識(shí)符廢止器310只在用既不匹配當(dāng)前認(rèn)證標(biāo)識(shí)符308也不 匹配之前認(rèn)證標(biāo)識(shí)符316的認(rèn)證提交314請(qǐng)求訪問(wèn)資源302的次數(shù)超過(guò)最大 不正確認(rèn)證提交限度504時(shí)���,才廢止當(dāng)前認(rèn)證標(biāo)識(shí)符308。這種不成功請(qǐng)求 的次數(shù)被記錄在不正確認(rèn)證提交計(jì)數(shù)502中�。圖6是根據(jù)本發(fā)明優(yōu)選實(shí)施例的、圖4的當(dāng)前標(biāo)識(shí)符廢止器310的方法 的示例性流程圖。當(dāng)在圖4的步驟418時(shí)使用該方法以廢止當(dāng)前認(rèn)證標(biāo)識(shí)符 308時(shí)��。在步驟603不正確認(rèn)證提交計(jì)數(shù)502增加����,并且在步驟604將不正 確認(rèn)證提交計(jì)數(shù)502與最大不正確認(rèn)證提交限度504比較。如果不正確認(rèn)證 提交計(jì)數(shù)502大于最大不正確認(rèn)證提交限度504,則在終止前����,該方法在步 驟606 4吏當(dāng)前認(rèn)證標(biāo)識(shí)符308的廢止生效。圖7是根據(jù)本發(fā)明優(yōu)選實(shí)施例����、用于授權(quán)的請(qǐng)求者312改變當(dāng)前認(rèn)證標(biāo) 識(shí)符的圖3的認(rèn)證器304的方法的示例性流程圖。授權(quán)的請(qǐng)求者(即�,提供 具有匹配當(dāng)前認(rèn)證標(biāo)識(shí)符308的值的認(rèn)證提交314的請(qǐng)求者)能夠請(qǐng)求認(rèn)證 器將當(dāng)前認(rèn)證標(biāo)識(shí)符308的值改變?yōu)樾碌闹怠T诓襟E702,由認(rèn)證器接收當(dāng) 前認(rèn)證標(biāo)識(shí)符308的新的值��。在步驟704,將當(dāng)前認(rèn)證標(biāo)識(shí)符308的值記錄 為之前認(rèn)證標(biāo)識(shí)符316的新的值�。在步驟706,將當(dāng)前認(rèn)證標(biāo)識(shí)符308的新 的值記錄在當(dāng)前認(rèn)證標(biāo)識(shí)符308中。以這種方式���,改變了當(dāng)前認(rèn)證標(biāo)識(shí)符308 的值����,同時(shí)將現(xiàn)有值保留在之前認(rèn)證標(biāo)識(shí)符316中��?����?商娲?����,認(rèn)證器304能夠?qū)?dāng)前認(rèn)證標(biāo)識(shí)符308的一系列歷史的值記 錄在之前認(rèn)證標(biāo)識(shí)符316中�����。例如�����,之前認(rèn)證標(biāo)識(shí)符316能夠是數(shù)據(jù)結(jié)構(gòu)�����, 如當(dāng)前認(rèn)證標(biāo)識(shí)符308的多個(gè)之前的值的數(shù)據(jù)庫(kù)���、列表或表格?����,F(xiàn)在將參照?qǐng)D8a中的第一示例性安排和圖9a中的第二示例性安排��,僅 通過(guò)示例的方式考慮本發(fā)明優(yōu)選實(shí)施例的使用��。圖8a是根據(jù)本發(fā)明優(yōu)選實(shí)施例�����、包括認(rèn)證器804和資源802的服務(wù)器計(jì) 算機(jī)系統(tǒng)850的第一示例性方塊圖����。服務(wù)器計(jì)算機(jī)系統(tǒng)850的認(rèn)證器804與共享的資源802相關(guān)聯(lián),并且包括具有值"apple"的當(dāng)前密碼808和沒(méi)有初 始值的之前密碼816�����。該認(rèn)證器還包括當(dāng)前密碼廢止器810,其在功能上能夠 等效于任何之前考慮的當(dāng)前標(biāo)識(shí)符廢止器�。兩個(gè)名為"A" 830和"B" 840 的客戶機(jī)系統(tǒng)通信地連接到服務(wù)器計(jì)算機(jī)系統(tǒng)850。例如�,客戶機(jī)系統(tǒng)830 和840能夠是客戶機(jī)計(jì)算機(jī)系統(tǒng)850、手持式設(shè)備����、終端�����、或其它實(shí)體�����,其 請(qǐng)求使用共享資源802?�?商娲?���,客戶機(jī)系統(tǒng)830和840能夠可想象地形 成服務(wù)器計(jì)算機(jī)系統(tǒng)850自身的部分,如服務(wù)器計(jì)算機(jī)系統(tǒng)內(nèi)的分開(kāi)的軟件 模塊��??蛻魴C(jī)系統(tǒng)830和840與服務(wù)器計(jì)算機(jī)系統(tǒng)850之間的通信連接能夠 是例如有線或無(wú)線計(jì)算機(jī)網(wǎng)絡(luò)、軟件鏈路��?���?蛻魴C(jī)系統(tǒng)"A" 830和"B" 840 都發(fā)送具有值"apple"的認(rèn)證提交832和8"。圖8b是根據(jù)本發(fā)明優(yōu)選實(shí)施例����、圖示圖8a的客戶機(jī)系統(tǒng)830和840與 服務(wù)器計(jì)算4兒系統(tǒng)850之間的請(qǐng)求流的流程圖����。初始地�,在步驟870,客戶 機(jī)"A" 830使用具有值"apple"的認(rèn)證提交832,向服務(wù)器8S0提交訪問(wèn)資 源802的請(qǐng)求。在步驟872,該服務(wù)器采用如下圖4的方法��。在步驟402,認(rèn) 證器804從客戶機(jī)"A" 830接收認(rèn)證提交"apple"�����。在步驟404����,認(rèn)證器804 確定當(dāng)前密碼808沒(méi)有廢止。在步驟408��,認(rèn)證器確定認(rèn)證提交832 "apple" 匹配當(dāng)前密碼808 "apple",并且在步驟410,給客戶機(jī)"A" 830授權(quán)對(duì)共享 資源802的訪問(wèn)��。返回到圖8b,接下來(lái)在步驟874,客戶機(jī)"A" 830請(qǐng)求將當(dāng)前密碼808 的值改變?yōu)?orange"��。在步驟876��,服務(wù)器采用圖7的方法來(lái)改變當(dāng)前密碼 808����。在步驟702,認(rèn)證器804從客戶機(jī)"A" 830接收新的密碼"orange"���。 在步驟704,該認(rèn)證器將當(dāng)前密碼808的現(xiàn)有值分配給之前的密碼816���。因此�����, 在步驟704之后之前密碼816具有值"apple"。最后����,在步驟706,該認(rèn)證器 將當(dāng)前密碼808的值更新為新的值"orange"�����。以這種方式�����,客戶機(jī)"A���,���, 830 已經(jīng)使當(dāng)前密碼808的值的改變生效����,并且客戶機(jī)"A"也使其自己的認(rèn)證 提交832的值的改變生效��,以便確?��?蛻魴C(jī)"A" 830將來(lái)能夠繼續(xù)訪問(wèn)共享 資源802��。然而���,客戶機(jī)"B" 840沒(méi)有被通知該當(dāng)前密碼808的值的這個(gè)改 變,所以客戶機(jī)"B" 840的認(rèn)證提交842的值現(xiàn)在過(guò)期��?����;氐綀D8b����,接下來(lái)在步驟878,客戶機(jī)"B��,�����, 840用具有值"apple"的認(rèn) 證提交842請(qǐng)求訪問(wèn)共享資源802����。在步驟880�����,服務(wù)器采用如下圖4的方法�����。 在步驟402��,認(rèn)證器804從客戶機(jī)"B���,, 840接收認(rèn)證提交"apple"����。在步驟404,認(rèn)證器804確定當(dāng)前密碼808沒(méi)有廢止�。在步驟408�����,認(rèn)證器確定認(rèn)證 提交832 "apple"不匹配當(dāng)前密碼808 "orange"(因?yàn)橛煽蛻魴C(jī)"A" 830在 步驟874修改)�����。該方法因此進(jìn)行到步驟412���,其中客戶機(jī)"B" 840對(duì)共享資 源802的訪問(wèn)被拒絕���。在步驟414,該方法確定認(rèn)證提交842 "apple"匹配之 前密碼816 "apple",并且在步驟416維持當(dāng)前密碼808����。因此,盡管因?yàn)橛?客戶機(jī)"B" 840提供的密碼(認(rèn)證提交842)不匹配當(dāng)前密碼808��、所以客 戶機(jī)"B" 840不能訪問(wèn)共享資源802,也不廢止當(dāng)前密碼808,因?yàn)橛煽蛻?機(jī)"B" 840提供的認(rèn)證提交842匹配之前的密碼816���?����;氐綀D8b��,接下來(lái)在步驟882����,客戶機(jī)"A,����, 830這次用具有值"orange" 的認(rèn)證提交832再次請(qǐng)求訪問(wèn)共享資源802。在步驟872,服務(wù)器采用如下圖 4的方法�。在步驟402,認(rèn)證器804從客戶機(jī)"A�,, 830接收認(rèn)證提交"orange"��。 在步驟404,認(rèn)證器804確定當(dāng)前密碼808沒(méi)有廢止���。在步驟408,認(rèn)證器確 定認(rèn)證提交832 "orange"匹配當(dāng)前密碼808 "orange",并且在步驟410,授 權(quán)客戶機(jī)"A" 830對(duì)共享資源802的訪問(wèn)����。因此,不管早先客戶機(jī)"B" 840 訪問(wèn)共享資源802的不成功的請(qǐng)求,客戶機(jī)"A" 830能夠繼續(xù)訪問(wèn)共享資源 802�����。這是因?yàn)楫?dāng)前密碼808沒(méi)有廢止�,其中使用了不正確密碼,如果其對(duì)應(yīng) 之前的有效的密碼即之前密碼816�。圖9a是根據(jù)本發(fā)明優(yōu)選實(shí)施例、包括認(rèn)證器904和資源902的服務(wù)器計(jì) 算機(jī)系統(tǒng)的第二示例性方塊圖�。服務(wù)器計(jì)算機(jī)系統(tǒng)950的認(rèn)證器904與共享 的資源902相關(guān)聯(lián),并且包括具有值"banana"的當(dāng)前密碼908和具有三個(gè) 之前密碼的密碼歷史916,該三個(gè)過(guò)去密碼具有值"orange" �、 "apple"和"lychee"。該認(rèn)證器904還包括不正確密碼計(jì)數(shù)918和不正確密碼限度920�。 初始地,不正確密碼計(jì)數(shù)918具有值"0"�,并且不正確密碼限度920具有值"1"。名為"X" 930�、 "Y,�, 940和"Z" 960的三個(gè)客戶機(jī)系統(tǒng)通信地連接到 服務(wù)器計(jì)算機(jī)系統(tǒng)950。例如��,客戶機(jī)系統(tǒng)930���、 940和960可以是客戶機(jī)計(jì) 算機(jī)系統(tǒng)����、手持式設(shè)備、終端����、或其它實(shí)體,其請(qǐng)求使用共享資源802��?���??替代地,客戶機(jī)系統(tǒng)930����、 940和960能夠可想象地形成服務(wù)器計(jì)算機(jī)系統(tǒng) 950自身的部分,如服務(wù)器計(jì)算機(jī)系統(tǒng)內(nèi)的分開(kāi)的軟件模塊�����??蛻魴C(jī)系統(tǒng)930、 940和960與服務(wù)器計(jì)算機(jī)系統(tǒng)950之間的通信連接能夠是例如有線或無(wú)線 計(jì)算機(jī)網(wǎng)絡(luò)�����、軟件鏈路�。客戶機(jī)系統(tǒng)"X"包括具有值"banana"的密碼提交 932����。客戶機(jī)系統(tǒng)"Y"包括具有值"lychee"的密碼提交942����。客戶機(jī)系統(tǒng)"Z"包括具有值"pomegranate"的密碼提交962��。圖9b是根據(jù)本發(fā)明優(yōu)選實(shí)施例�����、圖示圖9a的客戶機(jī)系統(tǒng)930��、940和960 與服務(wù)器計(jì)算機(jī)系統(tǒng)950之間的請(qǐng)求流的流程圖����。初始地,在步驟970,客 戶機(jī)"X" 930使用具有值"banana"的認(rèn)證提交932��,向服務(wù)器950提交訪 問(wèn)資源卯2的請(qǐng)求�����。在步驟972,該服務(wù)器950采用如下圖4的方法�。在步 驟402,認(rèn)證器904從客戶機(jī)"X" 930接收認(rèn)證提交"banana"。在步驟404, 認(rèn)證器904確定當(dāng)前密碼908沒(méi)有廢止�����。在步驟408�,認(rèn)證器確定認(rèn)證提交 932 "banana"匹配當(dāng)前密碼908 "banana",并且在步驟410,給客戶機(jī)"X" 930授權(quán)對(duì)共享資源902的訪問(wèn)。返回到圖9b,接下來(lái)在步驟974,客戶機(jī)"Y" 940使用具有值"lychee" 的認(rèn)證提交942,向服務(wù)器950提交訪問(wèn)資源902的請(qǐng)求�。在步驟976,該服 務(wù)器950采用如下圖4的方法。在步驟402,認(rèn)證器904從客戶機(jī)"Y��,��, 940 接收認(rèn)證提交"lychee"����。在步驟404,認(rèn)證器904確定當(dāng)前密碼908沒(méi)有廢 止����。在步驟408,認(rèn)證器確定認(rèn)證提交932 "lychee"不匹配當(dāng)前密碼908 "banana"。該方法因此進(jìn)行到步驟412�,其中客戶機(jī)"Y" 940對(duì)共享資源 902的訪問(wèn)被拒絕��。在步驟414,該方法確定認(rèn)證提交942 "lychee,�����,匹配存 儲(chǔ)密碼歷史916中的之前密碼之一��,并且在步驟416維持當(dāng)前密碼908����。因 此,盡管因?yàn)橛煽蛻魴C(jī)"Y�,, 940提供的密碼(認(rèn)證提交942)不匹配當(dāng)前密 碼卯8�����、所以客戶機(jī)"Y�����,�, 940不能訪問(wèn)共享資源902,也不廢止當(dāng)前密碼908, 因?yàn)橛煽蛻魴C(jī)"Y" 940提供的認(rèn)證提交942匹配存儲(chǔ)密碼歷史916中的之前 密碼���。返回到圖9b,接下來(lái)在步驟978,客戶機(jī)"Z����,,960使用具有值"pomegranate" 的認(rèn)證提交962,向服務(wù)器950提交訪問(wèn)資源902的請(qǐng)求���。在步驟980,該服 務(wù)器950采用如下圖4的方法�����。在步驟402���,認(rèn)證器904從客戶機(jī)"Z,���, 960 接收認(rèn)證提交"pomegranate"�。在步驟404�,認(rèn)證器904確定當(dāng)前密碼908沒(méi) 有廢止。在步驟408,認(rèn)證器確定認(rèn)證提交962 "pomegranate"不匹配當(dāng)前密 碼908 "banana"��。該方法因此進(jìn)行到步驟412,其中客戶機(jī)"Z" 960對(duì)共享 資源902的訪問(wèn)被拒絕���。在步驟414����,該方法確定認(rèn)證提交962 "pomegranate" 不匹配存儲(chǔ)密碼歷史916中的之前密碼之一,并且在步驟418廢止當(dāng)前密碼 908����。返回到圖9b,在步驟982����,服務(wù)器950采用如下圖6的方法以使當(dāng)前密 碼908的逐步廢止生效。在步驟602,不正確密碼計(jì)數(shù)918從值"0"增加到值'T�����,��。在步驟604,該方法確定不正確密碼計(jì)數(shù)918的值'T�����,不大于不正 確密碼限度的值"1"�����,因此圖6的方法終止。返回到圖9b,接下來(lái)在步驟984,客戶機(jī)"Y�����,����,940再次使用具有值"Iychee" 的認(rèn)證提交942,向服務(wù)器950提交訪問(wèn)資源902的請(qǐng)求。在步驟986,該服 務(wù)器950采用如下圖4的方法��。在步驟402���,認(rèn)證器904從客戶機(jī)"Y���,, 940 接收認(rèn)證提交"lychee"�。在步驟404,認(rèn)證器904確定當(dāng)前密碼908沒(méi)有廢 止。在步驟408,認(rèn)證器確定認(rèn)證提交932 "lychee"不匹配當(dāng)前密碼908 "banana"�����。該方法因此進(jìn)行到步驟412,其中客戶機(jī)"Y" 940對(duì)共享資源 902的訪問(wèn)-波拒絕����。在步驟414�,該方法確定認(rèn)證4是交942 "lychee"匹配存 儲(chǔ)密碼歷史916中的之前密碼之一���,并且在步驟416維持當(dāng)前密碼908�����。因 此�,盡管因?yàn)橛煽蛻魴C(jī)"Y" 940提供的密碼(認(rèn)證提交942)不匹配當(dāng)前密 碼908�����、所以客戶機(jī)"Y" 940不能訪問(wèn)共享資源902,也不廢止當(dāng)前密碼908�, 因?yàn)橛煽蛻魴C(jī)"Y" 940提供的認(rèn)證提交942匹配存儲(chǔ)密碼歷史916中的之前 密碼�。返回到圖9b,接下來(lái)在步驟988,客戶機(jī)"Z" 960再次使用具有值 "pomegranate"的認(rèn)證提交962,向服務(wù)器950提交訪問(wèn)資源902的請(qǐng)求。 在步驟990,該服務(wù)器950采用如下圖4的方法���。在步驟402,認(rèn)證器904從 客戶機(jī)"Z���,, 960接收認(rèn)證提交"pomegranate"���。在步驟404,認(rèn)證器904確 定當(dāng)前密碼908沒(méi)有廢止��。在步驟408,認(rèn)證器確定認(rèn)證提交962 "pomegranate" 不匹配當(dāng)前密碼908 "banana"���。該方法因此進(jìn)行到步驟412,其中客戶機(jī)"Z�,��, 960對(duì)共享資源902的訪問(wèn)被拒絕����。在步驟414,該方法確定認(rèn)證提交962 "pomegranate"不匹配存儲(chǔ)密碼歷史916中的任何之前密碼�����,并且在步驟418 廢止當(dāng)前密碼908���。返回到圖9b�,在步驟992,服務(wù)器950采用如下圖6的 方法以使當(dāng)前密碼908的逐步廢止生效����。在步驟602,不正確密碼計(jì)數(shù)918 從值"1"增加到值"2"�����。在步驟604,該方法確定不正確密碼計(jì)數(shù)918的值 "2"大于不正確密碼限度920的值"1"。因此�����,在步驟606,當(dāng)前密碼908 的廢止生效以阻止對(duì)共享資源902的全部將來(lái)訪問(wèn)�。通過(guò)在圖9的步驟974、 978��、 984和988的這種重復(fù)�����,能夠看到來(lái)自使 用存在于密碼歷史916中的密碼提交942 "lychee"的客戶機(jī)"Y" 940的請(qǐng) 求�,不導(dǎo)致當(dāng)前密碼908的廢止。相反�����,來(lái)自使用不存在于密碼歷史916中 的密碼提交962 "pomegranate"的客戶機(jī)"Z��,����, 960的請(qǐng)求�,導(dǎo)致當(dāng)前密碼卯8的廢止����。再次返回到圖9b����,在步驟994,客戶機(jī)"X" 930再次使用具有值"banana" 的認(rèn)證提交932,向服務(wù)器950提交訪問(wèn)資源902的請(qǐng)求�����。在步驟996,該服 務(wù)器950采用如下圖4的方法�����。在步驟402��,認(rèn)證器904從客戶機(jī)"X" 930 接收認(rèn)證提交"banana"��。在步驟404,認(rèn)證器904確定當(dāng)前密碼908被廢止�����, 并且在步驟406��,對(duì)資源902的訪問(wèn)被拒絕��。因此,由于從之前由客戶機(jī)"Z'�, 960進(jìn)行的不成功的訪問(wèn)企圖導(dǎo)致的當(dāng) 前密碼808的廢止,包括那些具有正確密碼提交的那些的所有客戶機(jī)(如客 戶機(jī)"X" 930)被阻止訪問(wèn)共享資源卯2����。以這種方式,認(rèn)證器904能夠防止使用許多自動(dòng)生成的密碼的強(qiáng)力攻擊��, 同時(shí)在其它客戶機(jī)使用過(guò)期密碼信息的情況下仍然提供對(duì)共享資源902的訪 問(wèn)�。
權(quán)利要求
1.一種用于資源的訪問(wèn)控制方法,該資源具有相關(guān)聯(lián)的用于提供對(duì)該資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符��、之前的認(rèn)證標(biāo)識(shí)符����、以及不正確認(rèn)證提交限度,該方法響應(yīng)從請(qǐng)求訪問(wèn)該資源的實(shí)體接收認(rèn)證提交�,其中該認(rèn)證提交不對(duì)應(yīng)當(dāng)前認(rèn)證標(biāo)識(shí)符,該方法包括以下步驟阻止由請(qǐng)求者訪問(wèn)資源�����;響應(yīng)于該認(rèn)證提交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符�、并且滿足不正確認(rèn)證提交限度的確定�,導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止��;以及響應(yīng)于該認(rèn)證提交對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的確定�,維持用于提供對(duì)資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符�����。
2. 根據(jù)權(quán)利要求1所述的方法��,其中不正確認(rèn)證提交限度對(duì)應(yīng)于認(rèn)證提 交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的單個(gè)確定�。
3. 根據(jù)權(quán)利要求1所述的方法,其中當(dāng)前認(rèn)證標(biāo)識(shí)符是用于該資源的當(dāng) 前密碼�����;之前的認(rèn)證標(biāo)識(shí)符是用于該資源的之前的密碼����;并且認(rèn)證提交是密 碼提交。
4. 根據(jù)權(quán)利要求1所述的方法��,其中資源還具有相關(guān)聯(lián)的不正確認(rèn)證提 交計(jì)數(shù)��,并且導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止包括以下步驟更新不正確認(rèn)證提交計(jì)數(shù)�;以及響應(yīng)于不正確認(rèn)證提交計(jì)數(shù)已經(jīng)達(dá)到不正確認(rèn)證提交限度的確定,經(jīng)由 當(dāng)前認(rèn)證標(biāo)識(shí)符阻止訪問(wèn)資源。
5. 根據(jù)權(quán)利要求1所述的方法��,其中資源是服務(wù)器實(shí)體并且請(qǐng)求者是客 戶才幾實(shí)體�。
6. 根據(jù)權(quán)利要求1所述的方法,其中請(qǐng)求訪問(wèn)資源的實(shí)體是一組實(shí)體的 一個(gè)����,并且當(dāng)前認(rèn)證標(biāo)識(shí)符對(duì)該組實(shí)體中的所有實(shí)體共用。
7. 根據(jù)權(quán)利要求6所述的方法����,其中當(dāng)前認(rèn)證標(biāo)識(shí)符對(duì)該組實(shí)體是秘密的。
8. —種用于為資源提供訪問(wèn)控制的系統(tǒng)�,該資源具有相關(guān)聯(lián)的用于提供 對(duì)該資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符、之前的認(rèn)證標(biāo)識(shí)符�、以及不正確認(rèn)證提 交限度,該方法響應(yīng)從請(qǐng)求訪問(wèn)該資源的實(shí)體接收認(rèn)證提交��,其中該認(rèn)證提 交不對(duì)應(yīng)當(dāng)前認(rèn)證標(biāo)識(shí)符���,該系統(tǒng)包括用于阻止由請(qǐng)求者訪問(wèn)資源的裝置����;響應(yīng)于該認(rèn)證提交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符���、并且滿足不正確認(rèn)證提交限度的確定��,用于導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止的裝置����;以及響應(yīng)于該認(rèn)證提交對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的確定��,用于維持用于提供對(duì) 資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符的裝置�。
9. 根據(jù)權(quán)利要求8所述的系統(tǒng),其中不正確認(rèn)證提交限度對(duì)應(yīng)于認(rèn)證提 交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的單個(gè)確定��。
10. 根據(jù)權(quán)利要求8所述的系統(tǒng)���,其中當(dāng)前認(rèn)證標(biāo)識(shí)符是用于該資源的 當(dāng)前密碼�;之前的認(rèn)證標(biāo)識(shí)符是用于該資源的之前的密碼���;并且認(rèn)證提交是 密碼提交��。
11. 根據(jù)權(quán)利要求8所述的系統(tǒng)���,其中資源還具有相關(guān)聯(lián)的不正確認(rèn)證 提交計(jì)數(shù),并且用于導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)檫^(guò)期的裝置還包括用于更新不正確認(rèn)證提交計(jì)數(shù)的裝置��;以及響應(yīng)于不正確認(rèn)證提交計(jì)數(shù)已經(jīng)達(dá)到不正確認(rèn)證提交限度的確定,用于 經(jīng)由當(dāng)前認(rèn)證標(biāo)識(shí)符阻止訪問(wèn)資源的裝置���。
12. 根據(jù)權(quán)利要求8所述的系統(tǒng)�,其中資源是服務(wù)器實(shí)體并且請(qǐng)求者是 客戶機(jī)實(shí)體�����。
13. 根據(jù)權(quán)利要求8所述的系統(tǒng)���,其中請(qǐng)求訪問(wèn)資源的實(shí)體是一組實(shí)體 的 一個(gè)��,并且當(dāng)前認(rèn)證標(biāo)識(shí)符對(duì)該組實(shí)體中的所有實(shí)體共用����。
14. 根據(jù)權(quán)利要求13所述的系統(tǒng)�����,其中當(dāng)前認(rèn)證標(biāo)識(shí)符對(duì)該組實(shí)體是秘密的���。
15. —種包括計(jì)算機(jī)程序代碼的計(jì)算機(jī)程序產(chǎn)品���,當(dāng)其在數(shù)據(jù)處理系統(tǒng) 上執(zhí)行時(shí)����,指令數(shù)據(jù)處理系統(tǒng)執(zhí)行如權(quán)利要求1所述的方法�����。
16. —種數(shù)據(jù)處理系統(tǒng)�,包括中央處理單元�����;存儲(chǔ)器子系統(tǒng)�;輸入/ 輸出子系統(tǒng);以及總線子系統(tǒng)����,用于將中央處理單元、存儲(chǔ)器子系統(tǒng)�、輸入/ 輸出子系統(tǒng)相互連接;以及如權(quán)利要求8至13的任一所述系統(tǒng)���。
全文摘要
一種用于資源的訪問(wèn)控制方法�,該資源具有相關(guān)聯(lián)的用于提供對(duì)該資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符�、之前的認(rèn)證標(biāo)識(shí)符����、以及不正確認(rèn)證提交限度����,該方法響應(yīng)從請(qǐng)求訪問(wèn)該資源的實(shí)體接收認(rèn)證提交,其中該認(rèn)證提交不對(duì)應(yīng)當(dāng)前認(rèn)證標(biāo)識(shí)符�,該方法包括以下步驟阻止由請(qǐng)求者訪問(wèn)資源;響應(yīng)于該認(rèn)證提交不對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符��、并且滿足不正確認(rèn)證提交限度的確定���,導(dǎo)致當(dāng)前認(rèn)證標(biāo)識(shí)符變?yōu)閺U止��;以及響應(yīng)于該認(rèn)證提交對(duì)應(yīng)之前的認(rèn)證標(biāo)識(shí)符的確定�����,維持用于提供對(duì)資源的訪問(wèn)的當(dāng)前認(rèn)證標(biāo)識(shí)符��。
文檔編號(hào)G06F21/31GK101243454SQ200680029432
公開(kāi)日2008年8月13日 申請(qǐng)日期2006年8月3日 優(yōu)先權(quán)日2005年8月11日
發(fā)明者彼得·J·約翰遜 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司