分级访问账户的方法和系统与流程

1.本发明涉及分级访问多密码认证系统，更具体地，涉及需要不同的顺序和串行密码来驱动用户进入分级访问子账户的分级集合的方法和系统.


背景技术：

2.在当前系统中，寻求未经授权进入的实体将看到用户的数据，并且如果他们能够获得或“破解”密码，就可以访问.使用密码提示来允许用户输入的类似系统会导致多重答案身份验证(“串行多密码”).系统为用户提供对同一帐户(子帐户)和访问级别的访问权限.
3.如果用户受到威胁，被迫提供用户id和密码，在目前的系统中，没有办法提供访问来保护用户，而这种访问不会导致用户的全部数据和权限被访问.
4.因此，需要分级访问多密码身份验证系统，允许对用户帐户进行分级访问，其中不太安全的密码可以将密码发送到某种类型的账户中.


技术实现要素：

5.一种分级访问账户的方法，设置多级访问的账户系统，每一级设置子账户，使用该账户系统，系统管理员可以根据市售的密码强度工具为每个用户管理多个密码，其中密码具有不同的安全级别；系统管理员创建安全性较低的密码和访问权限较低的子帐户，并允许用户具有此类较低级别；远程入侵者在统计上倾向于首先突破安全性稍差的密码，在进入受限或防火墙的账户或虚拟系统时触发通知系统.
6.在用户受到威胁并被迫在胁迫下提供密码的情况下，利用该多级访问的账户系统，入侵者及其同伙在知道登录id、但不知道正确的密码的情况下，受到胁迫的用户可以向入侵者提供安全性较低的密码，从而提供对账户系统的访问权限，在该系统中可以监控入侵者并保持有价值的数据安全.所述账户系统还可以向入侵者提供一些虚假的账户信息和访问权限，从而迷惑入侵者.所述分级访问的账户系统，入侵者不知道获得了哪个级别的访问权限，以及该级别包含的数据可能不正确和/或没有用.所有密码都可以足够强，但强度差异足够小，使得分级访问到不同级是可能的.使用自动化来生产账户类型的级，其数量为三个.
7.一种分级访问账户的系统，包括分级账户系统，该分级账户系统包括用户的多个账户，其中多个账户包括至少一个完全访问级和至少一个不受信任访问级；分级访问系统为多个帐户中的每一个提供多个访问权限，其中至少一个完全访问级具有对用户授权数据的访问权限，并且至少一个不受信任的访问级提供用户隔离访问权限；分级权限系统为多个账户中的每一个提供多个权限特权，其中至少一个完全访问级具有读、写和执行特权，并且至少一个不受信任的访问级具有有限的或没有读、写和执行特权；以及包括多个认证密码的分级认证系统，其中至少一个完全访问级具有第一强度的密码，并且至少一个不受信任的访问级具有第二强度的密码，其中第一强度比第二强度更强.
8.进一步，如果系统管理员定义了后续级，则它们以渐进方式具有较低的密码强度.
9.进一步，不受信任的访问级的具有有限的读、写和执行特权，包括不受信任的访问进入后，系统提供一种虚假的读、写入和执行特权.
10.本发明的另一方面，一种分级访问账户的系统，包括：分级账户系统，包括一个用户的多个账户，其中多个账户包括至少一个完全访问级、至少一个受限制访问级和至少一个不受信任访问级；分级访问系统，为多个帐户中的每一个提供多个访问权限，其中至少一个完全访问级具有对用户授权数据的访问权限，至少一个受限制访问级具有对用户授权数据的有限的访问权限，并且至少一个不受信任的访问级不具有访问权限；分级权限系统，为多个帐户中的每一个提供多个权限特权，其中至少一个完全访问级具有读取、写入和执行权限，至少一个受限制访问级具有受限制的读取、写入和执行权限，而至少一个不受信任的访问级没有读取、写入和执行权限；和提供多个认证密码的分级认证系统，其中至少一个完全访问级具有第一强度的密码，并且至少一个不受信任的访问级具有第二强度的密码，其中第一强度比第二强度更强；至少一个受限制访问级具有第三强度的密封，所述第三强度的密封强于第二强度而弱于第一强度.
11.本发明的另一方面，一种分级访问账户的系统，包括：分级账户系统，包括一个用户的多个账户，其中多个账户包括至少一个完全访问级和至少一个不受信任访问级；分级访问系统，为多个帐户中的每一个提供多个访问权限，其中至少一个完全访问级具有对用户授权数据的访问权限，并且至少一个不受信任的访问级提供受限制的访问权限；分级权限系统，为多个帐户中的每一个提供多个权限特权，其中至少一个完全访问级具有读取、写入和执行权限，而至少一个不受信任的访问级具有受限制的读取、写入和执行权限；和提供多个认证密码的分级认证系统，其中至少一个完全访问级具有第一强度的密码，并且至少一个不受信任的访问级具有第二强度的密码，其中第一强度比第二强度更强；其中所述受限制的访问权限为提供虚假账户信息和虚假操作.
12.在本发明的另一方面，一种提供对计算机系统访问的方法，包括为用户设置多个账户，其中多个账户包括至少一个完全访问级和至少一个不受信任访问级.为多个账户中的每一个提供多个访问权限，其中至少一个完全访问级具有对用户授权数据的访问权限，并且至少一个不受信任的访问级提供用户隔离访问权限；为多个账户中的每一个提供多个权限，其中至少一个完全访问级具有读、写和执行特权，并且至少一个不受信任的访问级具有有限的或没有读、写和执行特权；提供多个认证密码，其中至少一个完全访问级具有第一强度的密码，并且至少一个不受信任的访问级具有第二强度的密码，其中第一强度比第二强度更强；接收来自用户的密码并基于输入的密码将多个账户之一分配给用户.
13.进一步，不受信任的访问级的具有有限的读、写和执行特权，包括不受信任的访问进入后，系统提供一种虚假的读、写入和执行特权.
14.该系统和方法在用户受到威胁被迫提供用户id和密码时，所提供的访问不会导致用户的全部数据和权限被访问，或者访问了虚假的数据，从而有效保护用户账号的安全.
附图说明
15.图1是根据本发明示例性实施例的分级访问账户系统中账户、访问、权限和认证之间的分级关系的示意图.
16.图2是根据本发明另一实施例的分级访问账户系统中账户、访问、权限和认证之间的分级关系的示意图.
17.图3是根据本发明示例性实施例的在传统认证系统中临时使用分级访问多密码认证系统的示意图.
具体实施方式
18.本发明的一个实施例提供了需要不同的顺序和串行密码来驱动用户进入分级访问账户的方法和系统.同时，分级访问级次充当账户系统，远程入侵者在统计上倾向于首先突破安全性稍差的密码，在进入受限或防火墙的账户或虚拟系统时触发通知系统.使用该系统，系统管理员可以根据市售的密码强度工具为每个用户管理多个密码，其中密码具有不同的安全级别.系统管理员创建安全性较低的密码和访问权限较低的子帐户，并可选择允许用户具有此类较低级别.
19.在用户受到威胁并被迫在胁迫下提供密码的情况下，入侵者更有可能确切地知道用户id.在本发明的分级访问多密码认证系统下，入侵者及其同伙可能知道登录 id，但不知道正确的密码.受到胁迫的用户可以向入侵者提供安全性较低的密码，从而提供对账户系统的访问权限，在该系统中可以监控入侵者并保持有价值的数据安全.另外，系统还可以向入侵者提供一些虚假的信息和访问权限，从而迷惑入侵者.此外，由于知道本发明的分级访问多密码认证系统的存在，可以减少破解密码的尝试，因为入侵者可能不知道他们获得了哪个级别的访问权限，以及该级别包含的数据可能不正确和/或没有用.
20.使用本发明的分级访问多密码认证系统，所有密码都可以足够强，但强度差异足够小，使得分级访问到不同级是可能的.这允许使用自动化来生产账户类型的级，例如，其数量可能只有两个.外部攻击和胁迫都无法通过安全性稍差的密码将密码发送到某种类型的账户，例如虚拟盒子或仅受限制的子帐户，从而无法进入安全的系统.同时，在最安全的密码之下使用密码可以自动向有关当局发出警报，以启动监视或保护行动.或者系统在最低安全等级的密码的情况下，输出虚假的账户信息，从而迷惑入侵者.
21.如图1，分级账户系统1可以包括多个级，包括完全用户级、受限权限级和不受信任访问级.分级账户系统1的每一级都可以被分配一个密码，通常，密码强度对于完全用户访问级是最高的，对于不受信任的访问级是最低的.
22.分级访问系统2可以链接到分级账户系统1，其中访问可以由用户进入的级(基于输入的密码)确定.对于完全用户访问级，用户可以具有完全访问权限，例如用户和组访问权限.例如，对于减少/限制权限级，用户可以访问用户的数据，但具有有限的组访问权限.对于不受信任的访问访问级，用户可能会被置于用户隔离区，例如进入可以监控用户访问的账户类型的系统中.不同级级的数量和信任程度由系统管理员设置.几个默认系统是可能的.一个简单的默认系统将具有更高信任级别的密码，该密码的强制性最小长度为每个级别多包含一个字符.
23.分级权限系统3可以链接到分级账户系统1，其中完全用户访问级可以访问完全读取和写入权限，受限权限级可以访问受限读取和写入权限，并且不受信任的访问级不具有访问读取和写入权限.
24.如上所述，分级认证系统4可以具有分配给完全用户访问级的高强度密码、分配给
受限访问级的中等强度密码和分配给不受信任访问级的低强度密码.虽然使用了术语“较低强度”，但该密码不一定是完全的低强度，其可能是强度低于用于访问更高级的那些强度.
25.如图2所示的本发明的另一实施例.如图1，分级账户系统1可以包括多个级，包括完整用户级、受限权限级和不受信任访问级.分级账户系统1的每一级都可以被分配一个密码，通常，密码强度对于完全用户访问级是最高的，对于不受信任的访问级是最低的.
26.分级访问系统2可以链接到分级账户系统1，其中访问可以由用户进入的级(基于输入的密码)确定.对于完全用户访问级，用户可以具有完全访问权限，例如用户和组访问权限.例如，对于减少/限制权限级，用户可以访问用户的数据，但具有有限的组访问权限.对于不受信任的访问访问级，用户可能会被提供虚假的账户信息和虚假操作.不同级级的数量和信任程度由系统管理员设置.几个默认系统是可能的.一个简单的默认系统将具有更高信任级别的密码，该密码的强制性最小长度为每个级别多包含一个字符.
27.分级权限系统3可以链接到分级账户系统1，其中完全用户访问级可以访问完全读取和写入权限，受限权限级可以访问受限读取和写入权限，并且不受信任的访问级具有受限制的访问读取和写入权限，该受限制的访问读取和写入权限操作下，系统提供给用户虚假的账户信息和相应的虚假操作.
28.如上所述，分级认证系统4可以具有分配给完全用户访问级的高强度密码、分配给受限访问级的中等强度密码和分配给不受信任访问级的低强度密码.当用户使用低强度密码登录时，系统提供给用户虚假的账户信息和相应的虚假操作.虽然使用了术语“较低强度”，但该密码不一定是完全的低强度，其可能是强度低于用于访问更高级的那些强度.
29.如图3所示，用户登录前输入密码，系统判定密码等级，然后视情况当密码等级高时，允许用户使用登录地址和正确密码进入下一步的分配等级，分配到适当的等级后，用户登录.当系统判定密码等级低时，输入登录地址和低强度密码，系统会发出警报，再次调整密码强度，系统会重新确定等级，当输入密码等级高时，允许用户登录.
30.本发明的分级访问多密码认证系统可以作为传统密码系统的插件使用，如图1 所示.或可并入新设计开发的系统.混合概念允许使用现有的商业认证以及本发明的分级访问多密码认证系统来创建混合系统，直到用户准备好移动到完全分级访问多密码认证系统.
31.密码强度的一般行为，其中，在特定密码破解算法性能的某个时刻，破解密码的比例pcr达到密码失败最大概率的水平渐近线.首先考虑右侧的情节更容易理解——一个人拥有的时间和计算机资源越多，破解密码的可能性就越大.较大的字号是增加密码强度的一种方法，在本说明中作为增加强度的示例.
32.在水平渐近线下方设置的阈值之上，较大的字大小或搜索空间提供的性能改进可以忽略不计.针对基于马尔可夫链的攻击的三个不同数据集的一般行为.不同的线代表马尔可夫建模中使用的子串的参数长度.更重要的是，在减小大小的相反方向上，随着搜索空间的大小减小，所有方法似乎都收敛到猜测密码的概率为零；计算机资源不足以破解密码.由此产生的密码攻击性能曲线因此显示了最弱的密码将如何首先破解.在纵坐标上读取的计算值.对于每个添加的字符，破解长度为n的密码的概率降低了大约两个数量级.但是任何更强的密码在最弱的密码之前首先破解的概率是一个不同的、更微妙的计算.由于产生
的破解概率非常小，分级访问的例外情况可以忽略不计，对较低信任级别密码的百亿次攻击中只有大约一次攻击会首先破解下一个更高级别.在任何预计会出现高频率尝试的超级自动化系统中，系统管理员只需为大约19个数量级的保护再增加一个级别.
33.当本发明的系统提示用户更改密码时，传统的密码管理系统通常要求用户输入他们现有的密码.在本发明的系统中，密码的输入标识用户或系统正在改变的密码的级级.该系统不需要对密码提示系统或软件模块的外观进行任何重大改变。