彈性、可恢復(fù)的動態(tài)設(shè)備識別的制作方法
【技術(shù)領(lǐng)域】
[0001]本披露涉及設(shè)備識別����,更具體地涉及彈性��、可恢復(fù)的動態(tài)設(shè)備標(biāo)簽��。
【背景技術(shù)】
[0002]企業(yè)可以通過用戶憑證(例如用戶名和密碼)來認(rèn)證用戶�����,進(jìn)而控制用戶對企業(yè)應(yīng)用程序如Web應(yīng)用程序的訪問。企業(yè)可能希望實(shí)施使用兩個(gè)或多個(gè)驗(yàn)證因素的雙因素驗(yàn)證來提供一個(gè)更安全的環(huán)境��。驗(yàn)證因素包括“所知”(例如用戶名���、密碼��、個(gè)人識別碼����、圖案)����、“所有”(例如設(shè)備、計(jì)算機(jī)����、移動電話、物理卡��、智能卡���、驗(yàn)證令牌)�����,以及“特征”(例如生物特性����,如指紋或獨(dú)一無二的視網(wǎng)膜)。當(dāng)用戶訪問使用雙因素認(rèn)證的網(wǎng)站時(shí)����,該網(wǎng)站可能會要求用戶提供用戶名和密碼(“所知”)。同時(shí)����,該網(wǎng)站還可以從與用戶有關(guān)聯(lián)的設(shè)備檢測或接收識別數(shù)據(jù)(“所有”),并且可以借助設(shè)備標(biāo)簽來識別設(shè)備����。而常規(guī)方法對于攻擊者來說是脆弱的,因?yàn)楣粽呖梢越孬@設(shè)備標(biāo)簽并將設(shè)備標(biāo)簽復(fù)制到另一個(gè)設(shè)備來進(jìn)行攻擊����。使用此類方法時(shí),用戶易受身份盜用和網(wǎng)絡(luò)欺詐的影響�。其他常規(guī)方法在設(shè)備標(biāo)簽丟失�、被除去或刪除時(shí)會失去與已知設(shè)備或經(jīng)認(rèn)證設(shè)備的聯(lián)系。
【發(fā)明內(nèi)容】
[0003]在一個(gè)具體實(shí)施中�,描述了使用設(shè)備標(biāo)簽集來識別設(shè)備的系統(tǒng)���。一個(gè)示例系統(tǒng)可包括存儲器和處理設(shè)備,其中該處理設(shè)備經(jīng)由網(wǎng)絡(luò)接收一條訪問服務(wù)器的請求���。該訪問服務(wù)器的請求中包括第一設(shè)備標(biāo)簽集��。當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集匹配時(shí)��,該處理設(shè)備在不要求用戶提供完整訪問憑證的情況下允許對服務(wù)器的訪問�,并且使該第一設(shè)備標(biāo)簽集無效�,然后發(fā)送第二設(shè)備標(biāo)簽集。當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集不匹配時(shí)��,該處理設(shè)備要求用戶提供完整的訪問憑證����。
[0004]在一個(gè)具體實(shí)施中,該第一設(shè)備標(biāo)簽集為設(shè)備標(biāo)簽�。在另外的具體實(shí)施中,該設(shè)備標(biāo)簽包括靜態(tài)部分和動態(tài)部分�����。該動態(tài)部分具有第一動態(tài)值����。在另一個(gè)具體實(shí)施中���,發(fā)送第二設(shè)備標(biāo)簽集包括用第二動態(tài)值替換該第一動態(tài)值。在一個(gè)具體實(shí)施中���,使該第一設(shè)備標(biāo)簽集無效包括使該設(shè)備標(biāo)簽動態(tài)部分的第一動態(tài)值無效���。該第一設(shè)備標(biāo)簽集和該第二設(shè)備標(biāo)簽集可以是多個(gè)設(shè)備標(biāo)簽集的序列的一部分,并且該第二設(shè)備標(biāo)簽集在序列中排在該第一設(shè)備標(biāo)簽集后面����。
[0005]該第一設(shè)備標(biāo)簽集可包括多個(gè)設(shè)備標(biāo)簽,并且該處理設(shè)備可在網(wǎng)頁中放入代碼����,使得多個(gè)設(shè)備標(biāo)簽中的每一者都放置在客戶端設(shè)備的不同存儲位置?��?山?jīng)由安裝在客戶端設(shè)備上的應(yīng)用程序來訪問客戶端設(shè)備中的這些存儲位置�。該處理設(shè)備可接收用于指示多個(gè)設(shè)備標(biāo)簽中每一者的位置的位置地圖�����。當(dāng)該位置地圖指出第一預(yù)先確定數(shù)量的多個(gè)設(shè)備標(biāo)簽從這些存儲位置丟失時(shí)���,該處理設(shè)備還可以發(fā)送丟失的設(shè)備標(biāo)簽�����。當(dāng)該位置地圖指出第二預(yù)先確定數(shù)量的多個(gè)設(shè)備標(biāo)簽從這些存儲位置丟失時(shí)���,該處理設(shè)備可進(jìn)一步請求完整的訪問憑證。在一個(gè)具體實(shí)施中�����,該處理設(shè)備可使用該位置地圖識別多個(gè)設(shè)備標(biāo)簽中的每一者是否在期望的存儲位置�����。當(dāng)該位置地圖指出其中設(shè)備標(biāo)簽不在期望的存儲位置時(shí)��,該處理設(shè)備可要求用戶提供完整的訪問憑證���。在一個(gè)具體實(shí)施中���,該處理設(shè)備可接收無效的第一設(shè)備標(biāo)簽集并且可根據(jù)接收到的無效第一設(shè)備標(biāo)簽集使第二設(shè)備標(biāo)簽集無效�。
[0006]此外���,本發(fā)明還描述了一種使用設(shè)備標(biāo)簽集來識別設(shè)備的方法��。一個(gè)實(shí)施該方法的計(jì)算機(jī)系統(tǒng)可經(jīng)由網(wǎng)絡(luò)接收訪問服務(wù)器的請求�。該請求包括第一設(shè)備標(biāo)簽集����。當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集匹配時(shí),該處理設(shè)備在不要求用戶提供完整訪問憑證的情況下允許對服務(wù)器的訪問���,并且使該第一設(shè)備標(biāo)簽集無效���,然后發(fā)送第二設(shè)備標(biāo)簽集。當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集不匹配時(shí)�����,該處理設(shè)備要求用戶提供完整的訪問憑證��。
[0007]此外����,本發(fā)明還描述了一種使用設(shè)備標(biāo)簽集來識別設(shè)備的非暫態(tài)計(jì)算機(jī)可讀存儲介質(zhì)���。該非暫態(tài)計(jì)算機(jī)可讀存儲介質(zhì)包括多個(gè)指令,當(dāng)處理設(shè)備執(zhí)行這些指令時(shí)�����,這些指令會讓該處理設(shè)備經(jīng)由網(wǎng)絡(luò)接收訪問服務(wù)器的請求�����。該請求包括第一設(shè)備標(biāo)簽集�����。當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集匹配時(shí)���,該處理設(shè)備在不要求用戶提供完整訪問憑證的情況下允許用戶訪問服務(wù)器。該處理設(shè)備還可使第一設(shè)備標(biāo)簽集無效并發(fā)送第二設(shè)備標(biāo)簽集���。當(dāng)?shù)谝辉O(shè)備標(biāo)簽集與先前分配的設(shè)備標(biāo)簽集不匹配時(shí)��,處理設(shè)備要求用戶提供完整的訪問憑證����。
[0008]在一個(gè)具體實(shí)施中,當(dāng)該第一設(shè)備標(biāo)簽集與先前分配的無效設(shè)備標(biāo)簽集匹配時(shí)���,該服務(wù)器確定該無效的第一設(shè)備標(biāo)簽集為先前有效的第一設(shè)備標(biāo)簽集的副本��。該服務(wù)器可使與該第一設(shè)備標(biāo)簽集相關(guān)聯(lián)的任何設(shè)備標(biāo)簽集(包括第二設(shè)備標(biāo)簽集)無效���,并且可要求用戶提供完整的訪問憑證。
【附圖說明】
[0009]從下面給出的詳細(xì)描述和本披露的各種具體實(shí)施的附圖可以更完整地了解本披
Mo
[0010]圖1根據(jù)各種具體實(shí)施示出了示例系統(tǒng)架構(gòu)���。
[0011]圖2示出了示例設(shè)備標(biāo)簽��。
[0012]圖3為設(shè)備標(biāo)簽?zāi)K的具體實(shí)施的框圖�����。
[0013]圖4為示出了一種使用設(shè)備標(biāo)簽集識別設(shè)備的方法的具體實(shí)施的流程圖��。
[0014]圖5為示出了一種使用多個(gè)存儲位置的設(shè)備標(biāo)簽集識別設(shè)備的方法的具體實(shí)施的流程圖���。
[0015]圖6為可執(zhí)行本文所述操作中的一者或多者的示例計(jì)算機(jī)系統(tǒng)的框圖。
【具體實(shí)施方式】
[0016]本文根據(jù)各種具體實(shí)施描述了一種提供彈性���、可恢復(fù)的動態(tài)設(shè)備識別的方法和系統(tǒng)�����。當(dāng)一名用戶使用特定客戶端設(shè)備首次訪問服務(wù)器(例如提供網(wǎng)站的服務(wù)器)時(shí)����,該客戶端設(shè)備對于該網(wǎng)站來說是未知的。該客戶端設(shè)備的未知狀態(tài)會給該網(wǎng)站帶來風(fēng)險(xiǎn)�����。對于使用雙因素認(rèn)證的網(wǎng)站����,該網(wǎng)站會要求用戶提供多個(gè)認(rèn)證因素�����,之后才會允許用戶使用該客戶端設(shè)備訪問該網(wǎng)站���?��;陲L(fēng)險(xiǎn)的認(rèn)證技術(shù)可使用設(shè)備的上下文作為雙因素認(rèn)證中的第二因素��。在該網(wǎng)站認(rèn)證這些訪問憑證后�����,該網(wǎng)站可向該客戶端設(shè)備發(fā)送設(shè)備標(biāo)簽���。當(dāng)該客戶端在將來訪問該網(wǎng)站時(shí),該網(wǎng)站可使用該設(shè)備標(biāo)簽將該設(shè)備識別為已知客戶端設(shè)備����。如果訪問該網(wǎng)站的該客戶端設(shè)備是已知的客戶端設(shè)備或先前注冊過的客戶端設(shè)備,那么可認(rèn)為該客戶端的訪問請求所帶來的風(fēng)險(xiǎn)比未知客戶端設(shè)備低����。對于風(fēng)險(xiǎn)較低的訪問請求,基于風(fēng)險(xiǎn)的認(rèn)證系統(tǒng)可要求進(jìn)行較低層次的用戶認(rèn)證和客戶端設(shè)備認(rèn)證�。
[0017]該設(shè)備標(biāo)簽可以是動態(tài)的并且可在每次設(shè)備驗(yàn)證后更改?�?墒瓜惹暗脑O(shè)備標(biāo)簽失效�,通過設(shè)備標(biāo)簽跟蹤服務(wù)識別最新的設(shè)備標(biāo)簽。最新的設(shè)備標(biāo)簽可用來驗(yàn)證客戶端設(shè)備���。在標(biāo)簽被復(fù)制用于另一個(gè)客戶端設(shè)備時(shí)這種方式有利于檢測�����。
[0018]圖1為示例系統(tǒng)架構(gòu)100��,本披露的具體實(shí)施可在該架構(gòu)中運(yùn)行��。系統(tǒng)架構(gòu)100可包括客戶端設(shè)備101�����、161��、181�,以及資源機(jī)160�����、170�,其中每臺客戶端設(shè)備和每臺資源機(jī)都具有一個(gè)或多個(gè)可連接到網(wǎng)絡(luò)130的網(wǎng)絡(luò)連接。
[0019]資源機(jī)160�����、170可以是一臺或多臺機(jī)器���,該一臺或多臺機(jī)器包括經(jīng)由網(wǎng)絡(luò)130連接到客戶端設(shè)備101���、161���、181的一臺或多臺服務(wù)器計(jì)算機(jī)、網(wǎng)關(guān)或其他類似的計(jì)算設(shè)備�。在系統(tǒng)架構(gòu)100中可存在任何數(shù)量的資源機(jī)或服務(wù)器。
[0020]資源機(jī)160���、170可經(jīng)由網(wǎng)絡(luò)130向客戶端設(shè)備101�、161�����、181提供互聯(lián)網(wǎng)資源����,如網(wǎng)頁。資源機(jī)160��、170可包括提供設(shè)備標(biāo)簽調(diào)配和管理功能的設(shè)備標(biāo)簽?zāi)K165�、175。下面結(jié)合圖3進(jìn)一步詳細(xì)描述了設(shè)備標(biāo)簽?zāi)K165�、175的示例功能����。在認(rèn)證用戶和/或客戶端設(shè)備后���,資源機(jī)160�����、170可生成并發(fā)送客戶端設(shè)備的設(shè)備標(biāo)簽集�。資源機(jī)160�、170可接收并跟蹤設(shè)備標(biāo)簽集。例如����,當(dāng)資源機(jī)160、170接收后來的訪問請求時(shí)���,資源機(jī)可驗(yàn)證設(shè)備標(biāo)簽集,而如果設(shè)備標(biāo)簽集是有效的�����,那么資源機(jī)160��、170可為客戶端設(shè)備生成或分配新的設(shè)備標(biāo)簽集。例如���,如果收到的設(shè)備標(biāo)簽集中的某個(gè)設(shè)備標(biāo)簽是無效的����,那么如本文更詳細(xì)描述的那樣�����,資源機(jī)160���、170可使整個(gè)設(shè)備標(biāo)簽集以及與相應(yīng)客戶端設(shè)備相關(guān)聯(lián)的所有設(shè)備標(biāo)簽集無效�。當(dāng)資源機(jī)160���、170向客戶端設(shè)備101��、161�、181提供所請求的網(wǎng)頁時(shí)����,設(shè)備標(biāo)簽?zāi)K165、175可在網(wǎng)頁中放入代碼(例如腳本),使得客戶端設(shè)備101�����、161��、181在本地存儲新的或更新的設(shè)備標(biāo)簽集155���。例如�,該腳本可指示網(wǎng)絡(luò)瀏覽器在客戶端設(shè)備101�、161、181中存儲該設(shè)備標(biāo)簽集155�。下次客戶端設(shè)備101、161��、181向該資源機(jī)發(fā)送訪問請求時(shí)�����,客戶端設(shè)備101����、161��、181可向該資源機(jī)提供設(shè)備標(biāo)簽集155。這樣一來�,設(shè)備標(biāo)簽?zāi)K165可以使用設(shè)備標(biāo)簽集155來識別客戶端設(shè)備101、161����、181。
[0021]在該客戶端設(shè)備與網(wǎng)站(如由資源機(jī)160�����、170提供的網(wǎng)站)交互時(shí)��,可以使用設(shè)備標(biāo)簽155識別客戶端設(shè)備101�����、161����、181。設(shè)備標(biāo)簽155可提供雙因素認(rèn)證所需的認(rèn)證因素�����,比如認(rèn)證因素一一 “所有”����。設(shè)備標(biāo)簽的一個(gè)示例為“cookie”��。cookie可存儲用戶偏好�����、登錄憑證�、認(rèn)證數(shù)據(jù)����,以及(例如)網(wǎng)站可用于在后續(xù)訪問中識別客戶端設(shè)備101、161�、181的設(shè)備信息。
[0022]客戶端設(shè)備101���、161�、181可以是帶有如瀏覽器的應(yīng)用程序的任何電子設(shè)備�����,也可以是帶有具有類似瀏覽器的能力的應(yīng)用程序的任何電子設(shè)備���,如臺式計(jì)算機(jī)���、膝上型計(jì)算機(jī)��、服務(wù)器計(jì)算機(jī)、移動電話(也被稱為手機(jī)或蜂窩式電話)��、尋呼機(jī)���、個(gè)人數(shù)字助理(PDA)��、無線終端���、平板電腦、瘦客戶端����,或另一種電腦、游戲系統(tǒng)���、電視機(jī)�、機(jī)頂盒�、DVD或藍(lán)光播放器,或具有到網(wǎng)絡(luò)130的一個(gè)或多個(gè)網(wǎng)絡(luò)連接(無線連接或有線連接)的另一種電子設(shè)備�����。在系統(tǒng)架構(gòu)100中可存在任何數(shù)量的客戶端設(shè)備。
[0023]在所描繪的實(shí)施例中���,客戶端設(shè)備101�����、161����、181包括一個(gè)或多個(gè)應(yīng)用程序105���、設(shè)備標(biāo)簽代理107����、一個(gè)或多個(gè)存儲位置151�,以及從資源機(jī)160、170收到的一個(gè)或多個(gè)設(shè)備標(biāo)簽集155����。應(yīng)用程序105可為使用