[发明专利]电子令牌伪造检测中的误报减少

说明书

所公开的实施例提供了对欺诈性电子安全令牌的检测。被破解的私钥允许伪造电子安全令牌，这然后允许访问计算机资源。一些实施例跟踪由令牌发行机构所发行的序列号，然后能够预测由令牌发行机构向前发行的序列号。一些实施例还至少部分地基于尝试使用令牌访问资源的服务或客户端来确定令牌的有效性。例如，一些公开的实施例维护利用电子令牌的客户端或服务的信誉数据，并基于客户端或服务信誉来确定令牌是否可能有效。

背景技术

安全令牌是用于在现代计算机系统中提供对资源的安全访问的常用机制。为了确保有效性，安全令牌通常由安全令牌的发行方签名。发行方维护被用来对安全令牌进行数字签名的私钥。安全令牌的验证可以包括：经由发行方的公钥来验证安全令牌的数字签名。如果安全令牌已被更改或未由发行方签名，则数字签名的验证将失败。

不法参与方试图生成欺诈性安全令牌，以获得对受到安全令牌保护的计算机资源的未经授权的访问；这些欺诈性令牌必须包括看似由有效令牌发行方生成的数字签名。如果令牌发行方的私钥被破解，则这很容易被实现。一旦私钥被知晓，这些不法参与方可以欺诈性地发行令牌，这些令牌授权访问由令牌发行方控制的资源。在一些情况下，对私钥的访问是经由其他欺诈技术获得的，诸如获得对系统管理账户的访问，或者获得对私钥数据的未经授权的访问的其他后门机制。因此，需要用于确保令牌发行过程不被破解或检测它们何时被破解的方法。

附图说明

在不必然按比例绘制的附图中，相似的数字可以在不同的视图中描述相似的组件。具有不同字母后缀的相似数字可以表示相似组件的不同实例。附图通过示例而非限制的方式一般性地图示了本文档中讨论的各种实施例。

图1是实现公开的实施例中的一个或多个实施例的系统的概览图。

图2是实现公开的实施例中的一个或多个实施例的系统的概览图。

图3示出了可以在公开的实施例中的一个或多个实施例中实现的数据结构。

图4图示了在至少一些公开的实施例中实现的预测令牌序列号的方法。

图5是可以在公开的实施例中的一个或多个实施例中实现的令牌和/或通知和/或消息的示例部分。

图6是在公开的实施例中的一个或多个实施例中实现的用于验证令牌的过程的流程图。

图7是在公开的实施例中的一个或多个实施例中实现的用于验证令牌的过程的流程图。

图8图示了在一个或多个公开的实施例中实现的示例机器的框图。

具体实施方式

以下描述和附图充分图示了具体实施例，以使得本领域技术人员能够实践它们。其他实施例可以合并结构、逻辑、电气、过程和其他变化。一些实施例的部分和特征可以被包括在其他实施例的那些部分和特征中，或被其他实施例的那些部分和特征替代。权利要求中阐述的实施例涵盖了那些权利要求的所有可用等效物。

所公开的实施例提供了对欺诈性电子安全令牌的检测。如上所述，在一些情况下，令牌发行机构的私钥被破解，并且因此对不法参与方可用。然后，这些不法参与方可以发行对计算机资源提供访问并且看起来有效的令牌，因为它们包括有效的数字签名。

欺诈性安全令牌的检测可以在基于令牌提供访问之前执行，或者在令牌已经被用来访问计算机资源之后执行。在使用令牌之前对其进行评估可以减少对计算机资源的未经授权的访问，但是在访问那些资源时可能会产生一些延迟。在使用令牌之后对其进行评估避免向访问操作增加附加的延迟但是在检测到欺诈性令牌之前允许一些授权访问。

在一些公开的实施例中，被用来访问计算机资源的安全令牌在访问已经发生之后被评估。因此，这些实施例起到安全取证的作用，在使用令牌之后标识被破解的令牌，但是减少对那些令牌或者例如使用可能已被破解的等效私钥所生成的令牌的附加未来使用。其他实施例在经由令牌发生访问之前进行操作。这些实施例针对欺诈活动的指示对令牌进行评估，并且禁止不满足特定有效性标准的令牌或使其无效。