CN105723376A - 用于基于声誉信息验证用户的***和方法 - Google Patents
用于基于声誉信息验证用户的***和方法 Download PDFInfo
- Publication number
- CN105723376A CN105723376A CN201480060249.XA CN201480060249A CN105723376A CN 105723376 A CN105723376 A CN 105723376A CN 201480060249 A CN201480060249 A CN 201480060249A CN 105723376 A CN105723376 A CN 105723376A
- Authority
- CN
- China
- Prior art keywords
- computing equipment
- user
- trust score
- computerization
- challenge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2133—Verifying human interaction, e.g., Captcha
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- Power Engineering (AREA)
- Information Transfer Between Computers (AREA)
Abstract
提供了用于基于声誉信息验证用户的***和方法。特别地,一种由一个或多个计算机所组成的计算机化CAPTCHA***能够基于与用户计算设备相关联的一个或多个声誉信号来确定信任得分,基于该信任得分选择向该用户计算设备提供的挑战,并且基于针对该挑战所接收到的响应和/或信任得分来确定是否验证该用户计算设备。
Description
相关申请的交叉引用
本申请基于于2013年11月4日提交的美国临时申请61/899,407并且要求其优先权,其通过引用并入于此。
技术领域
本公开总体上涉及CAPTCHA***。更具体地,本公开涉及用于基于声誉信息验证用户的计算机化的CAPTCHA***以及相关联的操作方法。
背景技术
信任是基于web的交互中的资本。例如,用户必须信任实体提供了充分的机制以确认并保护其身份或其它机密信息从而使得该用户对与这样的实体的交互感到舒服。另外,提供web资源的实体必须能够阻挡出于恶意目的而尝试获取对该web资源的访问的自动攻击。因此,能够在源自于人类的资源请求和自动机器所生成的请求之间进行辨别的复杂认证机制是确保web资源针对自动攻击受到保护以及发展资源提供方和用户之间的必要信任关系的重要工具。
CAPTCHA***(“全自动区分计算机和人类的图灵测试”)能够提供这样的认证机制。CAPTCHA***的一个目标是对已知人来执行任务比自动机器更好的情形加以利用。因此,作为验证过程的一部分,CAPTCHA***能够提供能够被人所解决但是通常无法由机器解决的挑战。
在某些现有CAPTCHA***配置中,资源提供方高度参与验证过程并且用作用户计算设备和CAPTCHA***之间的中介。作为一个示例,用户计算设备能够例如经由资源提供方的网页请求访问来自资源提供方的资源。作为结果,在这样的现有配置中,资源提供方能够返回网页和其它计算机可读代码,后者指示用户计算设备例如通过从CAPTCHA***取得变形文本的图像而从CAPTCHA***获取简单的CAPTCHA挑战。可替换地,资源提供方能够从CAPTCHA***取得该图像并且随后将该图像提供至用户计算设备。
在接收到挑战之后,用户计算设备能够从用户获得解答并且例如经由资源提供方网站上的表单而将其返回至资源提供方。进而,资源提供方能够与CAPTCHA***进行通信以确认用户所提供的解答是否正确。因此,在这样的配置中,资源提供方负责监管该验证过程并且被要求处理并转发若干数据集合。
然而,若干问题与这样的现有配置相关联。作为示例,在这样的现有配置中,认证过程仅依赖于CAPTCHA挑战的被动复杂度。例如,针对其中简单地从CAPTCHA***取得图像挑战的配置,该验证过程仅依赖于解决该图像挑战的难度。因此,该验证过程并未根据任何另外的可用信息进行动态调谐或以其它方式进行智能定制。特别地,这样的现有过程无法考虑或并入与用户或用户计算设备相关联的任何预先存在的、可用的声誉信息。
作为另一个示例,由于资源提供方被要求充当用户计算设备和CAPTCHA***之间的中介,所以每个通信实例都会受到增加的延时的影响,由此增加了请求和访问资源之间的延迟并且降低了用户满意度。
与现有配置相关联的另一个问题在于资源提供方必须保持充分的计算资源和安全流程以实施并监管该验证过程。特别地,在这样的现有配置中,资源提供方能够被要求更新它们的***或计算能力以便适应新的挑战格式,作为示例,诸如针对视觉受损人士的音频CAPTCHA挑战。
因此,针对该验证过程的每种改进或更新都要求资源提供方所实施的相对应的更新或有所提升的计算资源。由于自动攻击的复杂程度和智能程度通常随着时间而有所提高,所以将要求新的验证技术,这为资源提供方施加了持续更新其***并且确保它们在验证过程中并不是易于受到攻击的链接的压力。对于许多资源提供方而言,这样的连续更新可能代表着计算或工程资源的耗用并且使得注意力从原本对他们的核心产品或服务的多个方面加以改进发生转移。
最后,从用户的角度来看,与现有配置相关联的另一个问题在于用户必须与作为验证过程的监管方的资源提供方进行交互。例如,某些验证过程除了解决CAPTCHA挑战之外还可能包括提交诸如用户账户之类的识别信息。在某些情况下,用户可能更愿意直接与已知的、受信任实体所提供的CAPTCHA***进行交互而不是将识别信息提交至还未知或未信任的资源提供方。
发明内容
本公开的实施例的多个方面和优势将部分在以下描述中给出,或者可以根据该描述而是显而易见的,或者可以通过实施例的实践而被习得。
本公开的一个方面涉及一种被配置为执行操作的计算机化CAPTCHA***。该操作包括由一个或多个计算设备从用户计算设备接收参加验证过程的请求。该操作包括由一个或多个计算设备获得与用户计算设备相关联的一个或多个声誉信号。该操作包括由该一个或多个计算设备基于该一个或多个声誉信号来针对该用户计算设备确定信任得分。该操作包括由该一个或多个计算设备至少部分基于该信任得分来选择向该用户计算设备提供的挑战。该操作包括由该一个或多个计算设备从该用户计算设备接收针对该挑战的响应。该操作包括由该一个或多个计算设备基于该信任得分和该响应中的一个或多个来确定是否对验证该用户计算设备。
本公开的这些和其它特征、方面和优势将参考以下描述和所附权利要求而更好地被理解。结合于说明书之中并且构成其一部分的附图图示了本公开的多个实施例并且连同该描述一起用来对相关原则加以解释。
附图说明
针对本领域技术人员,本公开的实施例的详细讨论在说明书中参考附图而给出,其中:
图1描绘了根据本公开的示例实施例的用于验证用户计算设备的示例***;
图2描绘了根据本公开的示例实施例的用于验证用户计算设备的示例方法的流程图;
图3描绘了根据本公开的示例实施例的示例用户界面;
图4描绘了根据本公开的示例实施例的用于操作计算机化CAPTCHA***的示例方法的流程图;和
图5描绘了根据本公开的示例实施例的用于操作计算机化CAPTACHA***的示例方法的流程图。
具体实施方式
现在将详细参考本公开的实施例,其一个或多个示例在图中进行了图示。每个示例通过对实施例的解释而提供而并不对本公开加以限制。实际上,对于本领域技术人员将会显而易见的是,能够对实施例进行各种修改和变化而并不背离本公开的范围或精神。例如,作为一个实施例的一部分进行阐述或描述的特征能够随另一个实施例一起使用以形成另外的实施例。
总体上,本公开涉及其中计算机化CAPTCHA***基于与用户计算设备相关联的多个声誉信号确定是否验证该用户计算设备的***和方法。特别地,计算机化CAPTCHA***能基于声誉信号确定信任得分,基于该信任得分选择向用户计算设备提供的挑战,并且基于针对该挑战所接收到的响应和/或该信任得分来确定是否验证该用户计算设备。
作为一个示例,用户能够尝试使用其智能电话在在线拍卖中进行出价。为了访问出价界面并且进行出价,用户能够首先被要求直接与计算机化CAPTCHA***进行交互并且验证其人类状态,由此防止“bot病毒”对出价过程造成损坏。
在一些实施例中,为了获得这里所描述的技术的好处,用户可能必须允许使用与该用户或者其设备相关联的声誉信号。如果用户并不允许使用这样的信号,则用户可能不会得到这里所描述的技术的好处。
在各个实施例中,声誉信号可以包括以下中的一种或多种:例如设备类型、一种或多种设备功能、互联网协议地址、当前位置、用户web历史、用户位置历史、用户是否参与各种其它web服务或者其它另外信息。
在一些实施例中,其中这里所讨论的***和方法利用有关用户或用户设备的信息,诸如设备类型、设备位置、用户参与web服务或其它信息,用户可以被提供以对程序或特征是否收集或利用这样的信息加以控制的机会。此外,在各个实施例中,某些信息或数据在其被存储或使用之前能够以一种或多种方式进行处理而使得个人可识别的信息被去除。
基于所获得的声誉信号,计算机化CAPTCHA***能够针对用户计算设备确定信任得分。作为一个示例,该信任得分可以是分别与多个声誉信号类别相关联的多个预定信任值的总和。因此,能够论证或提供另外声誉信号的用户计算设备能够接收到较大的信任得分。作为其它示例,该信任得分可以是信任值的加权平均值或者可以是被设计为基于声誉信号计算信任得分的评分公式的输出。
该计算机化CAPTCHA***能够基于针对用户计算设备所确定的信任得分对验证过程的各种属性进行调谐或调节。作为一个示例,该计算机化CAPTCHA***能够基于信任得分选择挑战类型、挑战难度或挑战格式。作为另一个示例,该计算机化CAPTCHA***能够基于信任得分执行速率限制或者调节验证过程的其它参数。
因此,作为一个示例,如果该计算机化CAPTCHA***获得分别指示请求访问拍卖出价界面的用户具有非滥用网络使用的历史、参与各种web服务、正在使用相对贵重的消费者计算设备(例如,她的智能电话)的多个声誉信号或者指示该用户是人类而不是bot病毒的其它声誉信号,则这样的用户能够接收到较大的信任得分。
另外,由于用户已经接收到较大的信任得分,则该计算机化CAPTCHA***能够选择较为容易的挑战以提供给该用户,能够允许解决该挑战的更大数量的尝试,或者在一些实施方式中能够在根本不要求用户解决挑战的情况下将该用户验证为人类。
计算机化CAPTCHA***能够从用户计算设备接收针对所选择挑战的响应。该计算机化CAPTCHA***能够基于这样的响应和/或信任得分来确定是否验证该用户计算设备。作为示例,该计算机化CAPTCHA***能够仅基于所接收到的挑战响应来确定是否验证该用户计算设备。因此,如果该响应令人满意地完成或解决了所选择的挑战,则该计算机化CAPTCHA***能够不考虑信任得分来验证该用户计算设备。同样,不正确的响应会导致在封锁周期内拒绝验证。
作为另一个示例,该计算机化CAPTCHA***能够基于所接收到的挑战响应更新或修正该信任得分。例如,如果该响应正确解决了挑战,则信任得分能够被增加。同样,不正确的响应会导致信任得分被减小。经更新的信任得分能够与阈值值进行比较以确定是否验证用户计算设备。以这样的方式,作为验证过程的一部分的挑战和用户所执行的响应可以被用作附加声誉信号,但是在一些实施方式中,其自身并不决定该验证过程。
另外,在一些实施方式中,一旦该计算机化CAPTCHA***已经充分认定该用户计算设备是由人类进行操作,则该计算机化CAPTCHA***能够向该用户计算设备提供验证令牌或证书。该用户计算设备能够向该资源提供方提供该验证令牌。该资源提供方随后能够与该计算机化CAPTCHA***确认该验证令牌的有效性。在确认了该令牌有效性的情况下,资源提供方能够将该资源提供至该用户计算设备。
以这样的方式,能够减少或消除与由资源提供方实施验证过程相关联的问题。作为示例,并不要求拍卖网站支持多种挑战格式或者在每次更新或改进验证过程时都对其***进行更新。相反,拍卖网站能够简单地依赖于该计算机化CAPTCHA***而对有关用户的声誉的现有知识加以利用从而执行整个验证过程。此外,由于用户直接与该计算机化CAPTCHA***进行交互,所以用户能够确信其信息以更为安全的方式进行处理,而不是在资源提供方和看不到的计算机化CAPTCHA***之间来回传递。
现在参考附图,将对本公开的示例实施例进行更详细的讨论。图1描绘了根据本公开的示例实施例的用于验证用户计算设备104的示例***100。特别地,***100可以包括通过网络108互相通信的计算机化CAPTCHA***102、用户计算设备104和资源提供方106。
计算机化CAPTCHA***102可以使用一个或多个计算设备来实施,作为示例,上述计算设备诸如一个或多个服务器。特别地,计算机化CAPTCHA***102所执行的任何计算任务都能够由并行连接的一个或多个计算设备的任意组合或者分布式计算***来执行。计算机化CAPTCHA***可以包括一个或多个处理器110和存储器112。处理器110可以是任意适当的处理设备并且可以是一个处理器或者操作连接的多个处理器。存储器112能够存储指令114,后者使得处理器110执行用于实施本公开的操作。
存储器112还可以包括多个模块,例如包括验证过程模块116、评分模块117和验证令牌模块118。将要意识到的是,术语“模块”是指被用来提供所期望功能的计算机逻辑。因此,模块能够以控制通用处理器的硬件、固件和/或软件来实施。在一个实施例中,模块是存储在存储设备上,加载到存储器中并且由处理器执行的程序代码文件,或者能够从计算机程序产品所提供,例如存储在有形计算机可读存储介质中的计算机可执行指令,上述有形计算机可读存储介质诸如RAM、硬盘或者光学或磁性介质。当使用软件时,能够使用任意适当的编程语言或平台来实施模块。
计算机化CAPTCHA***102可以实施验证过程模块116来执行验证过程的各个方面。例如,验证过程模块116能够被实施为从用户计算设备104接收参加验证过程的请求,选择CAPTCHA挑战并将其提供至用户计算设备104,并且确定所接收到的响应是否满足所提供的挑战。在一些实施方式中,验证过程模块116能够被实施以执行图4的方法(400)和/或图5的方法(500)的多个方面。
计算机化CAPTCHA***102可以实施评分模块117以执行验证过程的各个方面。例如,评分模块117能够被实施以获得与用户计算设备104相关联的一个或多个声誉信号并且基于该一个或多个声誉信号确定信任得分。作为一个示例,评分模块117能够通过从存储器112获得与各个声誉信号或信号类别相关联的多个信任值而确定信任得分。例如,评分模块117能够将多个信任值相加以确定信任得分。作为另一个示例,评分模块117能够通过计算各个信任值的加权平均值或者通过将声誉信号输入到评分函数或评分公式之中来确定信任得分。在一些实施方式中,评分模块117能够被实施以执行图4的方法(400)和/或图5的方法(500)的多个方面。
计算机化CAPTCHA***102可以实施验证令牌模块118以针对任意数量的用户计算设备104和资源提供方106生成验证令牌并对其加以确证(validate)。例如,验证令牌模块118能够被实施为生成验证令牌并将其提供至用户计算设备104并且针对资源提供方106接收验证令牌并对其加以确证。在一些实施方式中,验证令牌模块118能够被实施以执行图4的方法(400)和/或图5的方法(500)的多个方面。
此外,虽然验证过程模块116、评分模块117和验证令牌模块118能够在图1中被描绘为计算机化CAPTCHA***102中单独的模块或组件,但是在一些实施方式中,这些模块能够被组合以形成单个模块或者进行分布以形成若干另外的模块。
计算机化CAPTCHA***102还可以包括用于通过网络108进行通信的网络接口120。网络接口120可以包括用于与一个或多个网络进行对接的任意适当组件,例如包括发射器、接收器、端口、控制器、天线或者其它适当组件。
计算机化CAPTCHA***102能够包括任意数量的数据库或者以其它方式与之进行通信,例如,上述数据库包括用户账户数据库122、用户web历史数据库124和CAPTCHA挑战数据库126。将要意识到的是,任何数据库或其它数据存储功能都能够使用单个数据库来实施或者能够跨多个存储设备进行分布。另外,这样的数据库122、124和126中的每一个都能够位于本地或者被远程定位并且通过网络进行访问。
用户账户数据库122可以存储或提供与多个用户账户相关联的数据。例如,用户账户可以是与服务的用户相关联的标识的任意账户或手段。示例用户账户包括操作***账户;用于购买以及来自内容分发平台的内容的所有权的账户;基于web的电子邮件账户;社交媒体账户;游戏账户;特定于应用的账户;或者任意其它适当用户账户。
计算机化CAPTCHA***102可以访问用户账户数据库122以确定用户计算设备104是否与已知用户账户相关联。作为示例,在一些实施方式中,计算机化CAPTCHA***102与提供以上所描述的多种服务(例如,基于web的电子邮件、社交媒体、游戏和内容分发)的服务提供方相关联,并且单个用户账户能够被用来参与、接收或者以其它方式控制这些服务中的每一种的多个方面。
因此,在一些实施方式中,计算机化CAPTCHA***102通过其验证用户计算设备104的验证过程能够包括接收或者以其它方式识别与用户计算设备104相关联的用户账户信息并且针对用户账户信息122而对这样的信息进行交叉引用。特别地,有效、有声誉的用户账户的所有权和维护可以表示对部分用户的大量时间和计算资源的投入,并且因此可以是用户计算设备104由人类进行操作而不是自动bot病毒的强有力声誉信号。以这样的方式,与用户计算设备相关联的预先存在的声誉信息,作为示例,诸如用户账户信息,能够被加以利用从而提供对用户计算设备104有所提升的验证。
在其中这里所讨论的***和方法利用诸如用户账户信息之类的有关用户或用户计算设备的信息的一些实施例中,用户可以被提供以对程序或特征是否收集或利用这样的信息加以控制的机会。此外,在各个实施例中,某些信息或数据在其被存储或使用之前能够以一个或多个方式进行处理而使得其无法进行个人识别。
用户web历史数据库124能够存储或提供描述由与用户账户相关联的一个或多个计算设备所执行的先前web活动或web交互的数据。例如,用户web历史数据库124能够指示用户账户是否具有正常的、有声誉的web使用的历史或者用户账户是否已经被链接至滥用或恶意web行为。因此,在一些实施方式中,验证过程可以包括访问并分析来自数据库124的与用户计算设备104相关联的用户web历史并且将这样的web历史视为声誉信号。
如以上所提到的,在其中这里所讨论的***和方法利用诸如用户web历史之类的有关用户或用户计算设备的信息的一些实施例中,用户可以被提供以对程序或特征是否收集或利用这样的信息加以控制的机会。此外,在各个实施例中,某些信息或数据在其被存储或使用之前能够以一个或多个方式进行处理而使得其无法进行个人识别。
CAPTCHA挑战数据库126可以提供多种不同的CAPTCHA挑战,计算机化CAPTCHA***102能够从中进行选择。例如,数据库126中所包括的挑战能够是不同的大小、形状、格式、难度、编程语言或其它可变参数。例如,可用的挑战格式可以包括以必须被解释或解码的扰乱、模糊或以其它方式失真的文本为特征的图像挑战,以必须被解释的失真音频为特征的音频挑战,视觉匹配挑战、视觉选择挑战,或者其它适当的挑战格式。一般而言,针对每种挑战的一种或多种解答也能够被存储在挑战数据库126中。
作为一个示例,在一些实施方式中,可用挑战格式可以包括调查问卷或广告。例如,当选择或期望低难度的挑战时,则该挑战可以包括向用户征询有关各种主题的意见,例如包括请求用户从多种选项中选择个人偏好的服饰物品。在其它形式中,该挑战可以简单地要求用户点击广告或其它形式的基于广告的挑战。
作为另一个示例,在一些实施方式中,数据库126中所包括的CAPTCHA挑战可以包括针对诸如智能电话的移动用户计算设备进行了优化的挑战。例如,用于移动设备的挑战可以要求用户利用移动设备的触摸敏感屏幕绘制形状、追踪轮廓、按压或选择所提供的若干选项中的一个选项、求解迷宫,或者要求使用触摸敏感屏幕的其它挑战。以这样的方式,移动用户计算设备104的用户能够被提供以例如并不要求使用键盘的有所优化的挑战。
用户计算设备104可以是具有处理器130和存储器132的计算设备。作为示例,用户计算设备104可以是无线移动设备、个人数字助理(PDA)、智能电话、平板电脑、膝上计算机、台式计算机、支持计算的手表、支持计算的眼镜、可穿戴计算设备、嵌入式计算***、家用电器,或者任意其它计算设备。
用户计算设备104的处理器130可以是任意适当处理设备并且可以是一个处理器或者操作连接的多个处理器。存储器132可以包括任意数量的计算机可读指令134或其它所存储数据。例如,存储器132可以包括、存储或提供浏览器模块136。当由处理器130所实施时,浏览器模块136能够使得或指示处理器130运行web浏览器应用。
将要意识到的是,用户计算设备104可以进一步包括任意数量的其它应用模块以执行任意数量的应用从而提供另外的功能。此外,指令134能够提供用于执行根据各种编程语言、平台、层级或通信技术的操作的功能。例如,用户计算设备104可以包括用于解释并执行各种编程语言的一个或多个引擎,作为示例,诸如JavaScript引擎。
用户计算设备104可以包括用于向用户显示信息的显示器138或者与之进行通信。另外,用户计算设备104可以包括任意数量的用户输入设备140,作为示例,诸如键盘、鼠标、麦克风、触摸敏感屏幕、运动传感器、触摸板、键盘贴、按钮或者其它适当控件。
用户计算设备104可以进一步包括网络接口142。网络接口142可以包括用于与一个或多个网络进行对接的任意适当组件,例如包括发射器、接收器、端口、控制器、天线或者其它适当组件。
一般而言,资源提供方106能够使用服务器或其它计算设备来实施。资源提供方106可以包括一个或多个处理器150以及诸如存储器152和网络接口156的其它适当组件。处理器150可以实施存储在存储器152上的计算机可执行指令以便执行这里所期望的操作。
资源提供方106能够通过网络108提供针对资源154的访问。资源154的非限制性示例包括基于云的电子邮件客户端、社交媒体账户或内容、如服务的软件、在线拍卖界面、金融服务账户、在线游戏、数据库集、代码库集、任意web服务,或者任意其它适当的资源。
此外,根据本公开的一个方面,资源提供方106的存储器152可以包括一个或多个插件153。特别地,资源提供方106可以从计算机化CAPTCHA***102或者提供***102的实体获得插件153。
作为一个示例,插件153可以包括计算机可读指令和库集而使得资源提供方106能够使用与计算机化CAPTCHA***102相关联的应用编程接口与计算机化CAPTCHA***102进行通信。例如,插件153能够根据任意适当编程环境进行格式化,例如包括PHP、ASP.NET、ClassicASP、Java/JSP、Perl、Python、Ruby、Ruby/Rack、ColdFusion、WebDNA、VBScript或者其它编程环境。
作为另一个示例,插件153可以包括被设计为嵌入在资源提供方106的网站内,由资源提供方106提供至用户计算设备104并且随后由用户计算设备104执行的计算机可读指令。例如,插件153可以包括被设计为嵌入在任意适当网站或应用内的指令,上述网站或应用例如包括WordPress、MediaWiki、phpBB、FormMail、MovableType、Drupal,Symfony、TYPA3、NucleusCMS、vBulletin、Joomla、bbPress、ExpressionEngine、FlatPress、PHPKIT或者其它应用。
更具体地,插件153能够提供要被包括在内联框架、嵌入式对象、portlet或者资源提供方106的网站中所包括的其它嵌入式应用或小程序之内的客户端侧脚本。该客户端侧脚本可以根据任何适当的编程语言进行格式化,例如包括Javascript、Ajax、jQuery、ActionScript或者其它编程语言。
用户计算设备104能够执行嵌入式客户端侧脚本以与计算机化CAPTCHA***102直接接合。特别地,使用这样的客户端侧脚本能够确保从用户计算设备104至计算机化CAPTCHA***102的通信根据与计算机化CAPTCHA***102相关联的应用编程接口进行格式化。以这样的方式,资源提供方106能够指示用户计算设备106直接与计算机化CAPTCHA***102进行通信。
此外,在一些实施方式中,资源提供方106能够在存储器152中存储一个或多个公钥和/或私钥。该公钥和私钥能够已经由计算机化CAPTCHA***102提供至资源提供方106并且能够被用来向计算机化CAPTCHA***102识别资源提供方106。
作为一个示例,资源提供方106能够向尝试访问资源154的用户计算设备104提供公钥。用户计算设备104能够将该公钥提供至计算机化CAPTCHA***102而使得计算机化CAPTCHA***102知晓用户计算设备104尝试访问哪个资源提供方106。作为另一个示例,资源提供方106能够在其与计算机化CAPTCHA***102的通信中向计算机化CAPTCHA***102提供私钥,而使得计算机化CAPTCHA***102将资源提供方106辨识并识别为与之进行通信的已知资源提供方。
此外,虽然计算机化CAPTCHA***102和资源提供方106被在图1的***100的上下文中作为单独实体进行图示和讨论,但是将要意识到的是,这样的架构是作为示例而提供的。更具体地,在本公开的一些实施例中,计算机化CAPTCHA***102、资源提供方106可以是包括一个或多个计算设备的单个、统一的计算***。例如,在一些实施例中,特定资源提供方106能够出于保护特定资源154的目的而控制或者以其它方式提供作为资源提供方106的一个方面的计算机化CAPTCHA***102。
图2描绘了根据本公开的示例实施例的用于验证用户计算设备的示例方法(200)的流程图。方法(200)能够使用例如包括图1的示例***100的任意适当计算***来实施。
此外,虽然图2出于说明和讨论的目的而描绘了以特定顺序所执行的步骤,但是本公开的方法并不局限于这样的特定顺序或排列。使用这里所提供的公开的本领域技术人员将会意识到方法(200)的各个步骤能够以各种方式被省略、重新排列、组合和/或调适,而并不背离本公开的范围。
在(202),用户计算设备从资源提供方请求资源。在(204),资源提供方能够从用户计算设备接收针对资源的请求。
在(206),资源提供方能够指示用户计算设备参加直接与计算机化CAPTCHA***的验证过程。在(208),用户计算设备能够从资源提供方接收直接与计算机化CAPTCHA***进行接合的指令。作为示例,资源提供方能够在(206)通过重新定向用户计算设备的浏览器而使得其直接与计算机化CAPTCHA***连接并且开始该验证过程而指示用户计算设备。
作为另一个示例,在(206),资源提供方能够为用户计算设备提供客户端侧脚本,该客户端侧脚本当被用户计算设备所执行时,使得该用户计算设备直接与计算机化CAPTCHA***进行接合。例如,该客户端侧脚本能够包括在内联框架、嵌入式对象、portlet或者其它嵌入式应用或小程序之中。在一些实施方式中,该客户端侧脚本能够包括在从计算机化CAPTCHA***提供至资源提供方的插件之中。此外,在一些实施方式中,在(206),资源提供方能够为用户计算设备提供向计算机化CAPTCHA***识别资源提供方的公钥。
在(210),该用户计算设备能够直接向该计算机化CAPTCHA***传送参加验证过程的请求。在(212),该计算机化CAPTCHA***能够从用户计算设备接收该请求。
作为一个示例,在(210)所传送的请求能够根据与计算机化CAPTCHA***相关联的应用编程接口进行格式化。例如,该请求能够作为执行在(206)提供至用户计算设备的客户端侧脚本的结果而被传送。此外,在一些实施方式中,在(210)传送的请求能够包括与资源提供方相关联的公钥。
在(214),该计算机化CAPTCHA***能够获得与用户计算设备相关联的一个或多个声誉信号,并且基于该一个或多个声誉信号计算或以其它方式确定或获得信任得分。作为示例,该一个或多个声誉信号可以包括设备类型、设备标识符、一种或多种设备能力、互联网协议地址、当前位置、用户web历史、用户位置历史、用户是否参与各种其它web服务或者其它的附加信息。
根据本公开的一个方面,作为一个示例,在(214),该计算机化CAPTCHA***能够通过对分别与针对用户计算设备所获得的多个声誉信号相关联的多个信任值求和来确定信任得分。例如,在一些实施方式中,每个声誉信号的信任值能够与这样的声誉信号所应当合理受喜爱(endear)的信任量成比例或者以其它方式指示该信任量。
作为一个示例,能够在(214)获得的指示用户计算设备的设备类型的声誉信号,作为示例,诸如用户计算设备是否为个人计算机、膝上计算机、智能电话或其它设备类型。与每种设备类型相关联的信任值可以基于每种设备类型的相对成本。因此,如果该计算机化CAPTCHA***在(214)获得指示该用户计算设备是相对复杂且贵重的消费者智能电话的声誉信号,则作为结果,该计算机化CAPTCHA***能够将相对大的值的信任值添加至该信任得分。以这样的方式,该信任得分可以是可获得的声誉信号的总和。同样,如果声誉信号指示用户计算设备是过去参加恶意行为的实体所使用的低成本设备,则信任得分可以相对低、为零或负值。
作为另一个示例,能够在(214)获得指示用户计算设备是否在安卓操作***或其它类型的操作***上操作的声誉信号。例如,传统上与消费者设备相关联的操作***能够带来较高的信任值,而与自动bot病毒的使用和控制相关联的操作***则会导致较低或负的信任值。
作为又另一个示例,能够在(214)获得提供用户计算设备的设备标识符的声誉信号。例如,设备标识符可以是与用户计算设备相关联的设备序列号。计算机化CAPTCHA***能够访问数据库或登记库来确定声誉信息是否与设备序列号相关联。这样的声誉信息能够影响在(214)处的信任得分或者被结合于其中。
作为另一个示例,能够在(214)获得指示一个或多个设备能力的声誉信号。例如,如果该声誉信号指示用户计算设备是复杂的并且以大范围的计算能力为特征,则能够将较高的信任值添加至该信任得分。同样,如果该声誉信号指示用户计算设备是一维的或者以其它方式被局限于计算能力的特定集合,则较低或负的信任值能够被添加至该信任得分。
作为另一个示例,能够在(214)获得指示用户计算设备从其进行通信的互联网协议地址的声誉信号。例如,如果该声誉信号指示用户计算设备位于自动攻击通常并不与之相关联的世界区域中并且互联网协议地址是信誉良好的有效地址,则能够将较高的信任值添加至该信任得分。同样,如果该声誉信号指示用户计算设备位于频繁从那里进行自动攻击的世界区域中或者指示并非信誉良好或者已经以其它方式与恶意行为相关联的互联网协议地址,则较低或负的信任值能够被应用于该信任得分。在一些实施方式中,例如基于用户计算设备的定位***(例如,GPS***)所生成的数据,还能够获得用户计算设备的当前位置并对其进行分析。
作为又另一个示例,用户账户信息或者用户web历史信息能够在(214)作为声誉信号而被获得。例如,如果用户计算设备提供了与参与各种web服务并且具有非滥用web使用历史的账户相关联的用户账户信息,则能够在(214)向信任得分应用较大的信任值。同样,如果用户计算设备识别出具有稀少web历史或者恶意或滥用web使用历史的用户账户,则可以在(214)向信任得分应用较小或负的信任值。在一些实施方式中,用户web历史也能够包括历史位置数据,并且这样的历史位置数据能够被视为声誉信号。此外,如以上所讨论的,为了获得本文所描述的技术的好处,用户可以提供针对这样的数据的访问。
总体上,如以上所提到的,每个声誉信号的信任值能够与这样的声誉信号所应当合理受喜爱的信任量成比例或者以其它方式指示该信任量。因此,如果该声誉信号指示用户计算设备具有将耗费大量时间或金钱来累加或获得的质量或资产,则与这样的质量或资产相关联的信任值可以更大。
例如,对以非滥用方式日常参与各种web服务的用户账户进行维护可能表示大量的时间和精力。因此,自动攻击方投入这样大量的时间和精力通常是成本高昂的。这样,提供这样的具有声誉的用户账户的用户计算设备能够接收到相对大的信任得分。以这样的方式,与用户计算设备相关联的预先存在的声誉信息能够被用来提供优越、智能的CAPTCHA***。
此外,在一些实施例中,与相应声誉信号或类别相关联的信任值可以通过对具有已知特征表示或类别表示的数据执行一种或多种机器学习处理而被优化或以其它方式被确定。
此外,如以上所提到的,在一些实施例中,其中这里所讨论的***和方法利用有关用户或用户设备的信息,诸如设备类型、设备位置、用户参与web服务或其它信息,用户可以被提供以对程序或特征是否收集或利用这样的信息加以控制的机会。此外,在各个实施例中,某些信息或数据在其被存储或使用之前能够以一种或多种方式进行处理而使得个人可识别的信息被去除。
此外,在(214)能够以除了对从存储器所获得的信任值的数字进行求和以外的方式来确定信任得分。作为其它示例,信任得分可以是信任值的加权平均值或者可以是被设计为基于信誉信号计算信任得分的评分公式或评分函数的输出。
在(216),计算机化CAPTCHA***基于在(214)所确定的信任得分选择CAPTCHA挑战并且将所选择的挑战提供至用户计算设备。例如,该计算机化CAPTCHA***能够包括CAPTCHA挑战的数据库,上述CAPTCHA挑战具有不同的格式、难度、形状、大小、文件格式、编程语言或者其它可变参数。在(216),计算机化CAPTCHA***能够基于在(214)所确定的信任得分从数据库选择CAPTCHA挑战。
作为一个示例,在(214)所获得的信任得分指示相对大的信任量的情况下,则在(216)能够选择具有较为容易的难度的挑战。例如,具有较为容易的难度的挑战可以简单地寻求获得来自用户的意见或者要求用户点击广告。同样,如果信任得分指示相对低的信任量,则在(216)能够选择具有更大难度的挑战。
作为其它示例,在(216)能够基于信任得分选择挑战格式、挑战类型或挑战的其它属性。例如,在(214)所获得的数据指示用户计算设备是例如诸如智能电话的移动设备的情况下,则在(216)计算机化CAPTCHA***能够选择针对移动设备所设计的CAPTCHA挑战。
在(218),用户计算设备从计算机化CAPTCHA***接收CAPTCHA挑战并且例如在用户计算设备的显示器上将其呈现给用户。作为一个示例,图3描绘了根据本公开示例实施例的示例用户界面300。特别地,用户界面300能够在用户计算设备的浏览器窗口302内提供。
用户界面300可以包括资源提供方所提供的内容304。此外,用户界面300可以包括内联框架306。内联框架306能够用作用户计算设备直接与计算机化CAPTCHA***进行通信的入口。
内联框架306能够提供挑战提示区域308、挑战响应栏312和控制面板314。挑战提示区域308内所显示的可以是CAPTCHA挑战提示310。
挑战响应资源312能够为用户提供输入作为针对挑战的响应的文本的机会。控制面板314可以包括用于与计算机化CAPTCHA挑战***进行交互的各种控件,例如接收新的挑战的控件,接收音频挑战的控件,以及帮助或信息按钮。
返回图2,在(220),用户计算设备能够接收来自用户的响应并且将其传送至计算机化CAPTCHA***。在(222),计算机化CAPTCHA***能够接收来自用户计算设备的响应。
在(224),计算机化CAPTCHA***能够在一个或多个验证条件得到满足的情况下生成验证令牌并且将其提供至用户计算设备。在(226),用户计算设备能够从计算机化CAPTCHA***接收该验证令牌。
作为一个示例,计算机化CAPTCHA***能够在(222)所接收到的响应正确地解决了在(216)所提供的挑战或者以其它方式满足该挑战的情况下在(224)生成验证令牌并且将其提供至用户计算设备。作为另一个示例,在(224),计算机化CAPTCHA***能够仅在响应满足挑战并且在(214)所计算的信任得分还大于阈值值的情况下才生成并提供验证令牌。
作为又另一个示例,在(224),能够在(214)所计算的信任得分大于阈值值的情况下生成并提供验证令牌而无论该响应是否正确满足挑战。作为另一个示例,在(224),能够基于在(222)所接收的响应对信任得分进行更新或修正,并且在经更新的信任得分大于阈值值的情况下生成并提供验证令牌。例如,信任得分能够基于正确响应来向上修正或者基于不正确响应来向下修正。
验证令牌可以是认证证书或者其它安全或认证设备或机制。例如,在一些实施方式中,验证令牌可以包括用户计算设备标识符或者其它信息的散列或者可以整合有资源提供方的公钥。
将要意识到的是,在一些实施方式中,步骤(210)-(226)能够被认为是验证过程。另外,在一些实施方式中,步骤(210)-(226)能够经由资源提供方的网站中所包括的内联框架、嵌入式对象、portlet或其它嵌入式小程序或应用而进行。
在(228),用户计算设备能够将验证令牌提供至资源提供方。在(230),资源提供方能够接收来自用户计算设备的验证令牌。
在(232),资源提供方能够将验证令牌传送至计算机化CAPTCHA***。在一些实施方式中,在(232),资源提供方还能够将其私钥连同验证令牌一起传送至计算机化CAPTCHA***。
在(234),计算机化CAPTCHA***能够在验证令牌有效的情况下向资源提供方提供该验证令牌的确证。如果该验证令牌无效或者已经被篡改,则计算机化CAPTCHA***能够向资源提供方通知该验证令牌无效。
在(236),资源提供方能够接收来自计算机化CAPTCHA***的该验证令牌的确证。响应于在(236)接收到该确证,资源提供方能够在(238)向用户计算设备提供针对资源的访问。在(240),用户计算设备能够访问该资源。
以这样的方式,用户或用户计算设备能够通过直接与计算机化CAPTCHA***参加验证过程而得到验证。因此,能够减少或消除与由资源提供方实施验证过程相关联的问题。作为示例,并不要求资源提供方支持多种挑战格式或者在每次更新或改进验证过程时都对其***进行更新。相反,资源提供方能够简单地依赖于该计算机化CAPTCHA***执行整个验证过程并且对用户计算设备所提供的作为结果的验证令牌进行确证。
图4描绘了根据本公开的示例实施例的用于操作计算机化CAPTCHA***的示例方法(400)的流程图。方法(400)能够由包括图1的计算机化CAPTCHA***102的任意适当计算机化CAPTCHA***所实施。
此外,虽然图4出于说明和讨论的目的而描绘了以特定顺序所执行的步骤,但是本公开的方法并不局限于这样的特定顺序或排列。使用这里所提供的公开的本领域技术人员将会意识到方法(400)的各个步骤能够以各种方式被省略、重新排列、组合和/或调适,而并不背离本公开的范围。
在(402),计算机化CAPTCHA***能够从用户计算设备接收参加验证过程的请求。例如,尝试使用其智能电话访问在线拍卖出价界面的用户能够被拍卖网站进行重新定向而使得她的智能电话直接连接至计算机化CAPTCHA***并且请求参加验证过程。
在(404),计算机化CAPTCHA***能够获得与用户计算设备相关联的一个或多个声誉信号。例如,计算机化CAPTCHA***能够获得指示以下的信誉信号或者其它声誉信号:该用户计算设备是相对贵重的消费者移动设备,该用户具有信誉良好的用户账户,该智能电话从信誉良好的互联网协议地址进行通信,用户具有非滥用web使用历史。
在(406),计算机化CAPTCHA***能够基于一个或多个声誉信号确定信任得分。例如,计算机化CAPTCHA***能够从存储器获得与在(404)获得的每个声誉信号相关联的信任值。在一些实施方式中,能够针对诸如用户及其智能电话已经提供了指示她是合法人类用户而并非是自动dot病毒的若干强有力信号的每个信号获得较大的信任值。例如,信任值能够被求和以确定信任得分。
在(408),计算机化CAPTCHA***能够基于信任得分选择向用户计算设备提供的挑战。例如,由于在(406)所确定的信任得分相对大,则计算机化CAPTCHA***能够在(408)选择相对不太困难的挑战。作为示例,该挑战能够请求意见、提供广告或者以其它方式要求用户参与信息的众包累积。另外,由于用户计算设备是智能电话,则能够在(408)选择针对移动设备所设计的挑战。
在(410),计算机化CAPTCHA***能够将所选择的挑战传送至用户计算设备。在(412),该计算机化CAPTCHA***能够从该用户计算设备接收针对该挑战的响应。
在(414),计算机化CAPTCHA***能够确定在(412)所接收的响应是否令人满意地满足该挑战。如果确定该响应满足该挑战,则计算机化CAPTCHA***能够在(416)验证用户计算设备。例如,在(416)验证用户计算设备能够包括生成验证令牌并且将其提供至用户计算设备。
然而,如果在(414)确定该响应并不满足挑战,则计算机化CAPTCHA***能够在(418)拒绝对用户计算设备进行验证。例如,该计算机化CAPTCHA***能够拒绝提供验证令牌,将该用户计算设备报告给资源提供方,将该用户计算设备置于封锁周期中,以及其它动作。
图5描绘了根据本公开的示例实施例的用于操作计算机化CAPTACHA***的示例方法(500)的流程图。方法500能够由包括图1的计算机化CAPTCHA***102的任意适当计算机化CAPTCHA***所实施。
此外,虽然图5出于说明和讨论的目的而描绘了以特定顺序所执行的步骤,但是本公开的方法并不局限于这样的特定顺序或排列。使用这里所提供的公开的本领域技术人员将会意识到方法(500)的各个步骤能够以各种方式被省略、重新排列、组合和/或调适,而并不背离本公开的范围。
在(502),计算机化CAPTCHA***能够从用户计算设备接收参加验证过程的请求。例如,尝试使用其智能电话访问在线拍卖出价界面的用户能够被拍卖网站进行重新定向而使得她的智能电话直接连接至计算机化CAPTCHA***并且请求参加验证过程。
在(504),计算机化CAPTCHA***能够获得与用户计算设备相关联的一个或多个声誉信号。例如,计算机化CAPTCHA***能够获得指示以下的信誉信号或者其它声誉信号:该用户计算设备是相对贵重的消费者移动设备,该用户具有信誉良好的用户账户,该智能电话从信誉良好的互联网协议地址进行通信,用户具有非滥用web使用历史。
在(506),计算机化CAPTCHA***能够基于一个或多个声誉信号确定信任得分。例如,计算机化CAPTCHA***能够从存储器获得与在(504)获得的每个声誉信号相关联的信任值。因此,能够针对诸如用户及其智能电话已经提供了指示她是合法人类用户而并非是自动dot病毒的若干强有力信号的每个信号获得较大的信任值。例如,信任值能够被求和以确定信任得分。
在(508),计算机化CAPTCHA***能够基于信任得分选择向用户计算设备提供的挑战。例如,由于在(506)所确定的信任得分相对大,则计算机化CAPTCHA***能够在(508)选择相对不太困难的挑战。作为示例,该挑战能够请求意见、提供广告或者以其它方式要求用户参与信息的众包累积。另外,由于用户计算设备是智能电话,则能够在(508)选择针对移动设备所设计的挑战。
在(510),计算机化CAPTCHA***能够将所选择的挑战传送至用户计算设备。在(512),该计算机化CAPTCHA***能够从该用户计算设备接收针对该挑战的响应。
在(514),能够基于响应对信任得分进行更新或者以其它方式进行修正。作为示例,如果该响应满足挑战,则信任得分能够被向上修正或增大。同样,如果该响应不正确或者以其它方式并未满足该挑战,则信任值能够被向下修正或减小。
在(516),计算机化CAPTCHA***能够确定经更新的信任得分是否大于阈值值。如果经更新的信任得分大于阈值值,则计算机化CAPTCHA***能够在(518)验证用户计算设备。
以这种方式,针对挑战的响应能够被视为附加声誉信号,但是其自身并不决定验证过程。例如,尝试访问出价界面的用户可能已经在(512)提供了针对挑战的不正确响应。因此,信任得分在(514)可以已经被向下修正。然而,由于该用户能够提供指示她是合法用户的大量的声誉信号,则在(514)进行的向下修正可能并不足以使得信任得分减少到阈值以下。
然而,如果在(516)确定经更新的信任得分小于阈值值,则方法(500)能够进行至(520)并且将用户计算设备置于封锁周期之中。特别地,根据本公开的一个方面,计算机化CAPTCHA***能够基于信任得分或者由于不正确响应来执行速率限制。
因此,用户计算设备能够如步骤(520)和(522)所指示的被置于封锁周期之中。在一些实施方式中,该封锁周期的持续时间能够基于信任得分来确定。例如,已经接收到非常低的信任得分的用户计算设备能够被置于较长持续时间的封锁周期之中。以这样的方式,能够基于如相对应信任得分所指示的由用户计算设备所施加的相对威胁对速率限制进行调节。
此外,虽然图5示出了作为接收和解决CAPTCHA挑战的机会之间的封锁周期而执行的速率限制,但是能够使用其它形式的速率限制。例如,能够以令牌桶的形式来执行速率限制,例如其中令牌刷新率是经更新的信任得分的函数。
再次参考图5,在封锁周期已经期满之后,然后方法(500)能够返回到(508)并且选择另外的挑战以提供给用户计算设备。以这样的方式,与用户计算设备相关联的信任得分能够通过一系列不同的挑战和响应进行调节或修正。这样,最初接收到非常低的信任得分的用户能够解决多个挑战从而提高其信任得分并且获取***的信任。
虽然已经参考具体示例实施例以及其方法对本主题进行了详细描述,但是将要意识到的是,本领域技术人员在理解上文内容之后可以轻易地针对这样的实施例产生更改、变化和等同形式。因此,本公开的范围是作为示例而非限制,并且该主题公开并不排除包括对于本领域技术人员将会显而易见的针对本主题的这些修改、变化和添加。
Claims (20)
1.一种被配置为执行操作的计算机化CAPTCHA***,所述操作包括:
由一个或多个计算设备从用户计算设备接收参加验证过程的请求;
由所述一个或多个计算设备获得与所述用户计算设备相关联的一个或多个声誉信号;
由所述一个或多个计算设备基于所述一个或多个声誉信号来针对所述用户计算设备确定信任得分;
由所述一个或多个计算设备至少部分基于所述信任得分来选择向所述用户计算设备提供的挑战;
由所述一个或多个计算设备从所述用户计算设备接收针对所述挑战的响应;并且
由所述一个或多个计算设备基于所述信任得分和所述响应中的一个或多个来确定是否验证所述用户计算设备。
2.根据权利要求1所述的计算机化CAPTCHA***,其中所述一个或多个声誉信号包括设备标识符。
3.根据权利要求1所述的计算机化CAPTCHA***,其中所述一个或多个声誉信号包括互联网协议地址。
4.根据权利要求1所述的计算机化CAPTCHA***,其中所述一个或多个声誉信号包括用户账户以及与所述用户账户相关联的用户web历史。
5.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述一个或多个声誉信号来针对所述用户计算设备确定信任得分包括:由所述一个或多个计算设备对与所述一个或多个声誉信号相关联的一个或多个信任值进行求和以确定所述信任得分,其中所述一个或多个信任值是预先确定的并且从所述一个或多个计算设备中所包括的存储器进行访问。
6.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述一个或多个声誉信号来针对所述用户计算设备确定所述信任得分包括:由所述一个或多个计算设备将所述一个或多个声誉信号录入到评分公式之中以确定所述信任得分。
7.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述信任得分来选择呈现至所述用户计算设备的挑战包括:由所述一个或多个计算设备基于所述信任得分来选择挑战难度。
8.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述信任得分来选择呈现至所述用户计算设备的挑战包括:由所述一个或多个计算设备基于所述信任得分来选择挑战格式。
9.根据权利要求8所述的计算机化CAPTCHA***,其中所述挑战格式包括广告或意见调查之一。
10.根据权利要求1所述的计算机化CAPTCHA***,其中所述计算机化CAPTCHA***被配置为执行另外的操作,包括由所述一个或多个计算设备基于所述信任得分来确定所述用户计算设备能够接收另外挑战的速率。
11.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述信任得分和所述响应中的一个或多个来确定是否验证所述用户计算设备包括:
由所述一个或多个计算设备基于针对所述挑战的所述响应来更新所述信任得分以获取经更新的信任得分;并且
由所述一个或多个计算设备基于所述经更新的信任得分来确定是否验证所述用户计算设备。
12.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述信任得分和所述响应中的一个或多个来确定是否验证所述用户计算设备包括:由所述一个或多个计算设备在所述响应满足所述挑战时向所述用户计算设备提供验证令牌。
13.根据权利要求12所述的计算机化CAPTCHA***,其中所述计算机化CAPTCHA***被配置为执行另外的操作,所述另外的操作包括由所述一个或多个计算设备向所述资源提供方提供所述验证令牌的确证。
14.根据权利要求1所述的计算机化CAPTCHA***,其中由所述一个或多个计算设备基于所述信任得分和所述响应中的一个或多个来确定是否验证所述用户计算设备包括:由所述一个或多个计算设备在所述信任得分大于阈值值时向所述用户计算设备提供验证令牌。
15.一种计算机实施的用于验证用户的方法,所述计算机实施的方法包括:
由一个或多个计算设备获得与用户计算设备相关联的一个或多个声誉信号;
由所述一个或多个计算设备基于所述一个或多个声誉信号来针对所述用户计算设备确定信任得分;
由所述一个或多个计算设备向所述用户计算设备提供挑战;
由所述一个或多个计算设备从所述用户计算设备接收针对所述CAPTCHA挑战的响应;并且
由所述一个或多个计算设备至少部分基于所述信任得分来确定是否验证所述用户计算设备。
16.根据权利要求15所述的计算机实施的方法,其中由所述一个或多个计算设备至少部分基于所述信任得分来确定是否验证所述用户计算设备包括:
由所述一个或多个计算设备在所述响应满足所述挑战并且所述信任得分大于阈值值时向所述用户计算设备提供验证令牌;
由所述一个或多个计算设备从资源提供方接收确证所述验证令牌的请求;以及
由所述一个或多个计算设备在所述验证令牌有效时确证所述验证令牌。
17.根据权利要求15所述的计算机实施的方法,其中由所述一个或多个计算设备至少部分基于所述信任得分来确定是否验证所述用户计算设备包括:
由所述一个或多个计算设备基于所述响应来修正所述信任得分;
由所述一个或多个计算设备基于经修正的信任得分来确定是否验证所述用户。
18.一种存储指令的非暂时性计算机可读介质,所述指令当被一个或多个计算设备所执行时,使得所述一个或多个计算设备执行操作,所述操作包括:
由所述一个或多个计算设备获得与用户计算设备相关联的一个或多个声誉信号;
由所述一个或多个计算设备基于所述一个或多个声誉信号来针对所述用户计算设备确定信任得分;
由所述一个或多个计算设备向所述用户计算设备提供CAPTCHA挑战;
由所述一个或多个计算设备从所述用户计算设备接收针对所述CAPTCHA挑战的响应;
由所述一个或多个计算设备基于所述响应更新所述信任得分来使得获得经更新的信任得分;并且
由所述一个或多个计算设备基于经更新的信任得分来确定是否验证所述用户计算设备。
19.根据权利要求18所述的非暂时性计算机可读介质,其中与所述用户计算设备相关联的所述一个或多个声誉信号包括:设备类型标识符、互联网协议地址和用户账户。
20.根据权利要求18所述的非暂时性计算机可读介质,其中:
由所述一个或多个计算设备基于所述响应更新所述信任得分来使得获得经更新的信任得分包括:
由所述一个或多个计算设备在所述响应满足所述CAPTCHA挑战时增大所述信任得分;并且
由所述一个或多个计算设备在所述响应并未满足所述CAPTCHA挑战时减小所述信任得分;并且
由所述一个或多个计算设备基于经更新的信任得分来确定是否验证所述用户计算设备包括:由所述一个或多个计算设备确定经更新的信任得分是否大于阈值。
Applications Claiming Priority (5)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361899407P | 2013-11-04 | 2013-11-04 | |
| US61/899,407 | 2013-11-04 | ||
| US14/196,796 | 2014-03-04 | ||
| US14/196,796 US20150128236A1 (en) | 2013-11-04 | 2014-03-04 | Systems and Methods for Verifying a User Based on Reputational Information |
| PCT/US2014/059873 WO2015065675A1 (en) | 2013-11-04 | 2014-10-09 | Systems and methods for verifying a user based on reputational information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105723376A true CN105723376A (zh) | 2016-06-29 |
| CN105723376B CN105723376B (zh) | 2019-11-26 |
Family
ID=51842860
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480060249.XA Active CN105723376B (zh) | 2013-11-04 | 2014-10-09 | 用于基于声誉信息验证用户的***和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20150128236A1 (zh) |
| EP (1) | EP3066606B1 (zh) |
| CN (1) | CN105723376B (zh) |
| DE (1) | DE202014010888U1 (zh) |
| WO (1) | WO2015065675A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681351A (zh) * | 2016-03-21 | 2016-06-15 | 江苏通付盾科技有限公司 | 基于交互操作的验证方法及***、用户设备、服务器 |
| CN111190909A (zh) * | 2019-05-17 | 2020-05-22 | 延安大学 | 一种数据可信处理方法 |
| CN113392385A (zh) * | 2021-06-28 | 2021-09-14 | 中山大学 | 一种云环境下的用户信任度量方法及*** |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11165770B1 (en) * | 2013-12-06 | 2021-11-02 | A10 Networks, Inc. | Biometric verification of a human internet user |
| US11288346B1 (en) * | 2014-03-03 | 2022-03-29 | Charles Schwab & Co., Inc. | System and method for authenticating users using weak authentication techniques, with differences for different features |
| US9490987B2 (en) * | 2014-06-30 | 2016-11-08 | Paypal, Inc. | Accurately classifying a computer program interacting with a computer system using questioning and fingerprinting |
| US9866582B2 (en) * | 2014-06-30 | 2018-01-09 | Paypal, Inc. | Detection of scripted activity |
| WO2016004403A2 (en) * | 2014-07-03 | 2016-01-07 | Live Nation Entertainment, Inc. | Sensor-based human authorization evaluation |
| US9825928B2 (en) * | 2014-10-22 | 2017-11-21 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| US9654483B1 (en) * | 2014-12-23 | 2017-05-16 | Amazon Technologies, Inc. | Network communication rate limiter |
| US10225252B1 (en) * | 2015-04-08 | 2019-03-05 | Apple Inc. | Dynamic watch-based CAPTCHA |
| US20170104740A1 (en) * | 2015-10-07 | 2017-04-13 | International Business Machines Corporation | Mobile-optimized captcha system based on multi-modal gesture challenge and mobile orientation |
| US9760700B2 (en) * | 2015-12-03 | 2017-09-12 | Google Inc. | Image based CAPTCHA challenges |
| US9977892B2 (en) * | 2015-12-08 | 2018-05-22 | Google Llc | Dynamically updating CAPTCHA challenges |
| US10402555B2 (en) | 2015-12-17 | 2019-09-03 | Google Llc | Browser attestation challenge and response system |
| US10270792B1 (en) * | 2016-01-21 | 2019-04-23 | F5 Networks, Inc. | Methods for detecting malicious smart bots to improve network security and devices thereof |
| WO2017173145A1 (en) * | 2016-03-30 | 2017-10-05 | The Privacy Factor, LLC | Systems and methods for analyzing, assessing and controlling trust and authentication in applications and devices |
| US11824880B2 (en) | 2016-10-31 | 2023-11-21 | Armis Security Ltd. | Detection of vulnerable wireless networks |
| US10511620B2 (en) * | 2016-10-31 | 2019-12-17 | Armis Security Ltd. | Detection of vulnerable devices in wireless networks |
| US11038869B1 (en) | 2017-05-12 | 2021-06-15 | F5 Networks, Inc. | Methods for managing a federated identity environment based on application availability and devices thereof |
| US10554649B1 (en) * | 2017-05-22 | 2020-02-04 | State Farm Mutual Automobile Insurance Company | Systems and methods for blockchain validation of user identity and authority |
| US10594836B2 (en) * | 2017-06-30 | 2020-03-17 | Microsoft Technology Licensing, Llc | Automatic detection of human and non-human activity |
| US10931691B1 (en) | 2017-10-09 | 2021-02-23 | F5 Networks, Inc. | Methods for detecting and mitigating brute force credential stuffing attacks and devices thereof |
| US10513322B2 (en) * | 2017-12-08 | 2019-12-24 | Navico Holding As | Foot pedal for a trolling motor assembly |
| US10872136B2 (en) * | 2017-12-28 | 2020-12-22 | Paypal, Inc. | Using an NP-complete problem to deter malicious clients |
| US11102190B2 (en) | 2018-04-26 | 2021-08-24 | Radware Ltd. | Method and system for blockchain based cyber protection of network entities |
| US11019059B2 (en) | 2018-04-26 | 2021-05-25 | Radware, Ltd | Blockchain-based admission processes for protected entities |
| US10715471B2 (en) * | 2018-08-22 | 2020-07-14 | Synchronoss Technologies, Inc. | System and method for proof-of-work based on hash mining for reducing spam attacks |
| US11349981B1 (en) | 2019-10-30 | 2022-05-31 | F5, Inc. | Methods for optimizing multimedia communication and devices thereof |
| US10904236B1 (en) * | 2019-11-07 | 2021-01-26 | Capital One Services, Llc | Methods and systems for identifying and authorizing a user based on a mini-game login |
| WO2023004510A1 (en) * | 2021-07-30 | 2023-02-02 | Mastercard Technologies Canada ULC | Trust scoring service for fraud prevention systems |
| US11997206B2 (en) | 2021-09-22 | 2024-05-28 | Radware, Ltd. | Techniques for protecting web-access |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202621A (zh) * | 2006-12-13 | 2008-06-18 | 联想(北京)有限公司 | 非接触设备间对数据进行安全验证的方法和*** |
| US20080189768A1 (en) * | 2007-02-02 | 2008-08-07 | Ezra Callahan | System and method for determining a trust level in a social network environment |
| CN101616006A (zh) * | 2009-07-31 | 2009-12-30 | 中兴通讯股份有限公司 | 证书管理方法、装置及*** |
| CN101785243A (zh) * | 2007-08-31 | 2010-07-21 | 微软公司 | 可传递受限安全令牌 |
| WO2010134862A1 (en) * | 2009-05-20 | 2010-11-25 | Telefonaktiebolaget L M Ericsson (Publ) | Challenging a first terminal intending to communicate with a second terminal |
| US20110029781A1 (en) * | 2009-07-31 | 2011-02-03 | International Business Machines Corporation | System, method, and apparatus for graduated difficulty of human response tests |
| CN102388638A (zh) * | 2009-04-09 | 2012-03-21 | 阿尔卡特朗讯公司 | 由网络运营商提供的身份管理服务 |
| CN102750645A (zh) * | 2011-03-23 | 2012-10-24 | 国际商业机器公司 | 用于执行计算机交互应答测试的方法和*** |
| US20130160098A1 (en) * | 2011-12-20 | 2013-06-20 | Mark Carlson | Familiar dynamic human challenge response test content |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6161182A (en) * | 1998-03-06 | 2000-12-12 | Lucent Technologies Inc. | Method and apparatus for restricting outbound access to remote equipment |
| US8234494B1 (en) * | 2005-12-21 | 2012-07-31 | At&T Intellectual Property Ii, L.P. | Speaker-verification digital signatures |
| US20080133348A1 (en) * | 2006-12-01 | 2008-06-05 | Yahoo! Inc. | System and method for delivering online advertisements using captchas |
| US8839397B2 (en) * | 2010-08-24 | 2014-09-16 | Verizon Patent And Licensing Inc. | End point context and trust level determination |
| US8402548B1 (en) * | 2010-09-03 | 2013-03-19 | Facebook, Inc. | Providing user confidence information to third-party systems |
| US8869245B2 (en) * | 2011-03-09 | 2014-10-21 | Ebay Inc. | Device reputation |
| US8572756B2 (en) * | 2011-04-01 | 2013-10-29 | Telefonaktiebolaget L M Ericsson (Publ) | Captcha method and system |
| US8621209B1 (en) * | 2011-10-19 | 2013-12-31 | Amazon Technologies, Inc. | Confidence-based authentication |
-
2014
- 2014-03-04 US US14/196,796 patent/US20150128236A1/en not_active Abandoned
- 2014-10-09 CN CN201480060249.XA patent/CN105723376B/zh active Active
- 2014-10-09 EP EP14790916.2A patent/EP3066606B1/en active Active
- 2014-10-09 DE DE202014010888.9U patent/DE202014010888U1/de active Active
- 2014-10-09 WO PCT/US2014/059873 patent/WO2015065675A1/en active Application Filing
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101202621A (zh) * | 2006-12-13 | 2008-06-18 | 联想(北京)有限公司 | 非接触设备间对数据进行安全验证的方法和*** |
| US20080189768A1 (en) * | 2007-02-02 | 2008-08-07 | Ezra Callahan | System and method for determining a trust level in a social network environment |
| CN101785243A (zh) * | 2007-08-31 | 2010-07-21 | 微软公司 | 可传递受限安全令牌 |
| CN102388638A (zh) * | 2009-04-09 | 2012-03-21 | 阿尔卡特朗讯公司 | 由网络运营商提供的身份管理服务 |
| WO2010134862A1 (en) * | 2009-05-20 | 2010-11-25 | Telefonaktiebolaget L M Ericsson (Publ) | Challenging a first terminal intending to communicate with a second terminal |
| CN101616006A (zh) * | 2009-07-31 | 2009-12-30 | 中兴通讯股份有限公司 | 证书管理方法、装置及*** |
| US20110029781A1 (en) * | 2009-07-31 | 2011-02-03 | International Business Machines Corporation | System, method, and apparatus for graduated difficulty of human response tests |
| CN102750645A (zh) * | 2011-03-23 | 2012-10-24 | 国际商业机器公司 | 用于执行计算机交互应答测试的方法和*** |
| US20130160098A1 (en) * | 2011-12-20 | 2013-06-20 | Mark Carlson | Familiar dynamic human challenge response test content |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105681351A (zh) * | 2016-03-21 | 2016-06-15 | 江苏通付盾科技有限公司 | 基于交互操作的验证方法及***、用户设备、服务器 |
| CN105681351B (zh) * | 2016-03-21 | 2019-10-18 | 江苏通付盾科技有限公司 | 基于交互操作的验证方法及***、用户设备、服务器 |
| CN111190909A (zh) * | 2019-05-17 | 2020-05-22 | 延安大学 | 一种数据可信处理方法 |
| CN113392385A (zh) * | 2021-06-28 | 2021-09-14 | 中山大学 | 一种云环境下的用户信任度量方法及*** |
Also Published As
| Publication number | Publication date |
|---|---|
| DE202014010888U1 (de) | 2017-01-17 |
| CN105723376B (zh) | 2019-11-26 |
| EP3066606A1 (en) | 2016-09-14 |
| US20150128236A1 (en) | 2015-05-07 |
| WO2015065675A1 (en) | 2015-05-07 |
| EP3066606B1 (en) | 2021-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105723376A (zh) | 用于基于声誉信息验证用户的***和方法 | |
| US10216923B2 (en) | Dynamically updating CAPTCHA challenges | |
| US11140152B2 (en) | Dynamic risk detection and mitigation of compromised customer log-in credentials | |
| US10230736B2 (en) | Invisible password reset protocol | |
| US11070556B2 (en) | Context-based possession-less access of secure information | |
| US20160048662A1 (en) | Computerized CAPTCHA Systems Using A Direct Connection With User Computing Device | |
| US10122830B2 (en) | Validation associated with a form | |
| US20170295159A1 (en) | Authenticating Clients Using Tokens | |
| JP6113678B2 (ja) | 認証装置、認証システム及び認証方法 | |
| US20190058992A1 (en) | Multifactor network authentication | |
| US20170180384A1 (en) | Controlling access to online resources using device validations | |
| CN112187702A (zh) | 一种对客户端进行验证的方法和装置 | |
| TW202013227A (zh) | 臨限值確定及身份驗證方法、裝置、電子設備及儲存媒體 | |
| US20160125410A1 (en) | System and Method for Detecting and Preventing Social Engineering-Type Attacks Against Users |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: American California Applicant after: Google limited liability company Address before: American California Applicant before: Google Inc. |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |