CN105210076A - 弹性、可恢复的动态设备识别 - Google Patents
弹性、可恢复的动态设备识别 Download PDFInfo
- Publication number
- CN105210076A CN105210076A CN201480017297.0A CN201480017297A CN105210076A CN 105210076 A CN105210076 A CN 105210076A CN 201480017297 A CN201480017297 A CN 201480017297A CN 105210076 A CN105210076 A CN 105210076A
- Authority
- CN
- China
- Prior art keywords
- device label
- collection
- label collection
- label
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Abstract
本公开提供了一种接收访问服务器的请求的计算机系统。该请求包括第一设备标签集。当该第一设备标签集与先前分配的设备标签集匹配时,该计算机系统在不要求用户提供完整的访问凭证的情况下允许访问该服务器。该计算机系统使该第一设备标签集无效,并且发送第二设备标签集。如果该第一设备标签集与先前分配的设备标签集不匹配,该计算机系统会要求用户提供完整的访问凭证。
Description
技术领域
本披露涉及设备识别,更具体地涉及弹性、可恢复的动态设备标签。
背景技术
企业可以通过用户凭证(例如用户名和密码)来认证用户,进而控制用户对企业应用程序如Web应用程序的访问。企业可能希望实施使用两个或多个验证因素的双因素验证来提供一个更安全的环境。验证因素包括“所知”(例如用户名、密码、个人识别码、图案)、“所有”(例如设备、计算机、移动电话、物理卡、智能卡、验证令牌),以及“特征”(例如生物特性,如指纹或独一无二的视网膜)。当用户访问使用双因素认证的网站时,该网站可能会要求用户提供用户名和密码(“所知”)。同时,该网站还可以从与用户有关联的设备检测或接收识别数据(“所有”),并且可以借助设备标签来识别设备。而常规方法对于攻击者来说是脆弱的,因为攻击者可以截获设备标签并将设备标签复制到另一个设备来进行攻击。使用此类方法时,用户易受身份盗用和网络欺诈的影响。其他常规方法在设备标签丢失、被除去或删除时会失去与已知设备或经认证设备的联系。
发明内容
在一个具体实施中,描述了使用设备标签集来识别设备的系统。一个示例系统可包括存储器和处理设备,其中该处理设备经由网络接收一条访问服务器的请求。该访问服务器的请求中包括第一设备标签集。当该第一设备标签集与先前分配的设备标签集匹配时,该处理设备在不要求用户提供完整访问凭证的情况下允许对服务器的访问,并且使该第一设备标签集无效,然后发送第二设备标签集。当该第一设备标签集与先前分配的设备标签集不匹配时,该处理设备要求用户提供完整的访问凭证。
在一个具体实施中,该第一设备标签集为设备标签。在另外的具体实施中,该设备标签包括静态部分和动态部分。该动态部分具有第一动态值。在另一个具体实施中,发送第二设备标签集包括用第二动态值替换该第一动态值。在一个具体实施中,使该第一设备标签集无效包括使该设备标签动态部分的第一动态值无效。该第一设备标签集和该第二设备标签集可以是多个设备标签集的序列的一部分,并且该第二设备标签集在序列中排在该第一设备标签集后面。
该第一设备标签集可包括多个设备标签,并且该处理设备可在网页中放入代码,使得多个设备标签中的每一者都放置在客户端设备的不同存储位置。可经由安装在客户端设备上的应用程序来访问客户端设备中的这些存储位置。该处理设备可接收用于指示多个设备标签中每一者的位置的位置地图。当该位置地图指出第一预先确定数量的多个设备标签从这些存储位置丢失时,该处理设备还可以发送丢失的设备标签。当该位置地图指出第二预先确定数量的多个设备标签从这些存储位置丢失时,该处理设备可进一步请求完整的访问凭证。在一个具体实施中,该处理设备可使用该位置地图识别多个设备标签中的每一者是否在期望的存储位置。当该位置地图指出其中设备标签不在期望的存储位置时,该处理设备可要求用户提供完整的访问凭证。在一个具体实施中,该处理设备可接收无效的第一设备标签集并且可根据接收到的无效第一设备标签集使第二设备标签集无效。
此外,本发明还描述了一种使用设备标签集来识别设备的方法。一个实施该方法的计算机系统可经由网络接收访问服务器的请求。该请求包括第一设备标签集。当该第一设备标签集与先前分配的设备标签集匹配时,该处理设备在不要求用户提供完整访问凭证的情况下允许对服务器的访问,并且使该第一设备标签集无效,然后发送第二设备标签集。当该第一设备标签集与先前分配的设备标签集不匹配时,该处理设备要求用户提供完整的访问凭证。
此外,本发明还描述了一种使用设备标签集来识别设备的非暂态计算机可读存储介质。该非暂态计算机可读存储介质包括多个指令,当处理设备执行这些指令时,这些指令会让该处理设备经由网络接收访问服务器的请求。该请求包括第一设备标签集。当该第一设备标签集与先前分配的设备标签集匹配时,该处理设备在不要求用户提供完整访问凭证的情况下允许用户访问服务器。该处理设备还可使第一设备标签集无效并发送第二设备标签集。当第一设备标签集与先前分配的设备标签集不匹配时,处理设备要求用户提供完整的访问凭证。
在一个具体实施中,当该第一设备标签集与先前分配的无效设备标签集匹配时,该服务器确定该无效的第一设备标签集为先前有效的第一设备标签集的副本。该服务器可使与该第一设备标签集相关联的任何设备标签集(包括第二设备标签集)无效,并且可要求用户提供完整的访问凭证。
附图说明
从下面给出的详细描述和本披露的各种具体实施的附图可以更完整地了解本披露。
图1根据各种具体实施示出了示例系统架构。
图2示出了示例设备标签。
图3为设备标签模块的具体实施的框图。
图4为示出了一种使用设备标签集识别设备的方法的具体实施的流程图。
图5为示出了一种使用多个存储位置的设备标签集识别设备的方法的具体实施的流程图。
图6为可执行本文所述操作中的一者或多者的示例计算机系统的框图。
具体实施方式
本文根据各种具体实施描述了一种提供弹性、可恢复的动态设备识别的方法和系统。当一名用户使用特定客户端设备首次访问服务器(例如提供网站的服务器)时,该客户端设备对于该网站来说是未知的。该客户端设备的未知状态会给该网站带来风险。对于使用双因素认证的网站,该网站会要求用户提供多个认证因素,之后才会允许用户使用该客户端设备访问该网站。基于风险的认证技术可使用设备的上下文作为双因素认证中的第二因素。在该网站认证这些访问凭证后,该网站可向该客户端设备发送设备标签。当该客户端在将来访问该网站时,该网站可使用该设备标签将该设备识别为已知客户端设备。如果访问该网站的该客户端设备是已知的客户端设备或先前注册过的客户端设备,那么可认为该客户端的访问请求所带来的风险比未知客户端设备低。对于风险较低的访问请求,基于风险的认证系统可要求进行较低层次的用户认证和客户端设备认证。
该设备标签可以是动态的并且可在每次设备验证后更改。可使先前的设备标签失效,通过设备标签跟踪服务识别最新的设备标签。最新的设备标签可用来验证客户端设备。在标签被复制用于另一个客户端设备时这种方式有利于检测。
图1为示例系统架构100,本披露的具体实施可在该架构中运行。系统架构100可包括客户端设备101、161、181,以及资源机160、170,其中每台客户端设备和每台资源机都具有一个或多个可连接到网络130的网络连接。
资源机160、170可以是一台或多台机器,该一台或多台机器包括经由网络130连接到客户端设备101、161、181的一台或多台服务器计算机、网关或其他类似的计算设备。在系统架构100中可存在任何数量的资源机或服务器。
资源机160、170可经由网络130向客户端设备101、161、181提供互联网资源,如网页。资源机160、170可包括提供设备标签调配和管理功能的设备标签模块165、175。下面结合图3进一步详细描述了设备标签模块165、175的示例功能。在认证用户和/或客户端设备后,资源机160、170可生成并发送客户端设备的设备标签集。资源机160、170可接收并跟踪设备标签集。例如,当资源机160、170接收后来的访问请求时,资源机可验证设备标签集,而如果设备标签集是有效的,那么资源机160、170可为客户端设备生成或分配新的设备标签集。例如,如果收到的设备标签集中的某个设备标签是无效的,那么如本文更详细描述的那样,资源机160、170可使整个设备标签集以及与相应客户端设备相关联的所有设备标签集无效。当资源机160、170向客户端设备101、161、181提供所请求的网页时,设备标签模块165、175可在网页中放入代码(例如脚本),使得客户端设备101、161、181在本地存储新的或更新的设备标签集155。例如,该脚本可指示网络浏览器在客户端设备101、161、181中存储该设备标签集155。下次客户端设备101、161、181向该资源机发送访问请求时,客户端设备101、161、181可向该资源机提供设备标签集155。这样一来,设备标签模块165可以使用设备标签集155来识别客户端设备101、161、181。
在该客户端设备与网站(如由资源机160、170提供的网站)交互时,可以使用设备标签155识别客户端设备101、161、181。设备标签155可提供双因素认证所需的认证因素,比如认证因素——“所有”。设备标签的一个示例为“cookie”。cookie可存储用户偏好、登录凭证、认证数据,以及(例如)网站可用于在后续访问中识别客户端设备101、161、181的设备信息。
客户端设备101、161、181可以是带有如浏览器的应用程序的任何电子设备,也可以是带有具有类似浏览器的能力的应用程序的任何电子设备,如台式计算机、膝上型计算机、服务器计算机、移动电话(也被称为手机或蜂窝式电话)、寻呼机、个人数字助理(PDA)、无线终端、平板电脑、瘦客户端,或另一种电脑、游戏系统、电视机、机顶盒、DVD或蓝光播放器,或具有到网络130的一个或多个网络连接(无线连接或有线连接)的另一种电子设备。在系统架构100中可存在任何数量的客户端设备。
在所描绘的实施例中,客户端设备101、161、181包括一个或多个应用程序105、设备标签代理107、一个或多个存储位置151,以及从资源机160、170收到的一个或多个设备标签集155。应用程序105可为使用用户输入的URL或用户激活的链接呈现媒体对象的浏览器。应用程序105可从互联网例如资源机160、170的检索数据,然后在客户端设备101、161、181上呈现。当应用程序105与互联网网站或资源机160、170交互时,应用程序105可在客户端设备101、161、181的一个或多个存储位置151上存储或高速缓存数据、内容和信息。
设备标签代理107以可通信的方式连接到应用程序105,并且可接收并执行资源机160、170发出的多个与设备标签集155、185有关的指令。例如,设备标签代理107可帮助在存储位置151放置或设置设备标签。设备标签代理107也可识别设备标签155的多个存储位置151,并创建用于指定设备标签155的存储位置151的位置地图。该位置地图可将设备标签与存储位置关联起来并且可以采用任何格式,如表格、矩阵等等。可将该位置地图发送到资源机160、170,用于确定这些设备标签是否在正确的位置或期望的位置。当设备标签从存储位置丢失时或设备标签不在期望的存储位置时,该位置地图可给出相应的指示。设备标签代理可以是应用程序105的一部分,也可以是应用程序105的插件,还可以是独立的模块或程序。
存储位置151可以是应用程序、应用程序插件、浏览器或浏览器插件可访问的任何位置。存储位置151可以是应用程序特定的对象库,例如当应用程序为浏览器时,存储位置151可以是cookie库或HTML5存储位置。当客户端设备101、161、181上安装了多个应用程序105时,每个应用程序105可具有其自己的存储位置,不与其他应用程序105分享。存储位置151也可以是应用程序或浏览器插件的对象库,在不同的应用程序或浏览器类型之间被共享。应用程序插件例如可具有其自己的用于存储设备标签的数据存储器。例如,按照网络存储或文档对象模型(DOM)存储方法和协议,设备标签155可被存储在存储位置151。存储位置151的其他示例包括本地存储和会话存储。存储在本地存储中的设备标签在应用程序105关闭后仍会继续存在。在会话存储方面,设备标签在会话期间会继续存在,但在应用程序105关闭后,会话存储可以被清除。存储位置151可包括任何数量的本地存储、会话存储或其他存储类型,或是其任何组合。例如,当脚本指示浏览器存储设备标签集时,浏览器可将设备标签集155指引到客户端设备101、161、181中不同类别的数据存储器或存储位置151。
网络130在客户端设备101、161、181与资源机160、170之间提供连接层,可以是私有网络或公共网络,也可以是私有网络和公共网络的任何组合。例如,网络130可以是局域网(LAN)、内部网、外部网、蜂窝网络、寻呼网络或互联网,或它们的任何组合。网络连接可以是LAN连接、互联网连接、Wi-Fi连接、IEEE802.11连接、3G连接、EDGE连接、CDMA、TDMA、GSM、4G连接、LTE、LTE-Advanced、WiMAX、IEEE802.15蓝牙连接或其他类型的连接,并且可使用各种类型的协议向客户端设备101、161、181和连接到网络130的其他设备传送数据,以及从客户端设备101、161、181和连接到网络130的其他设备接收数据。
在一个具体实施中,资源机160、170生成包括一个或多个动态设备标签的设备标签集155,如结合图2和图3更详细描述的那样。例如,在成功认证用户或客户端设备后,资源机160、170可生成设备标签集155。设备标签集155中的至少一个设备标签可具有动态值,该动态值可通过设备标签模块165、175在每次验证后更改。收到访问资源机或服务器的请求后,设备标签模块165可确定与客户端设备101、161、181关联的设备标签集155是否与先前分配的设备标签集匹配。如果匹配,那么设备标签模块165可为客户端设备101、161、181分配并发送第二设备标签集155。该第二设备标签集可被客户端保存。在分配第二设备标签集155后,设备标签模块165可以将该第一设备标签集指定为无效标签集,并且在存储系统中存储无效指定记录。无效设备标签集155可被停用,而新分配的设备标签集155可由设备标签模块165识别,用于多条后续的服务器访问请求。停用无效标签也可帮助设备标签模块165检测设备标签集155中的某个设备标签是否被另一个客户端设备复制和使用。当收到两个设备标签集155时,设备标签模块165可确定后来收到的设备标签集155为早前接收到的设备标签集155的副本。例如,可能会从经认证的原始所有者或复制了设备标签集的另一个实体那里收到已停用的设备标签集。再次收到某个已停用标签时,与相应设备关联的所有标签都可被停用。设备标签集155的动态性可向伪设备特定标签提供减小的误用窗口。下面结合图2进一步详细描述动态设备标签的示例。
在另一个具体实施中,资源机160、170可强制使用多个设备标签,这些设备标签可存储于客户端设备的多个存储位置。资源机160、170可指示客户端设备161将设备标签集中的设备标签(157a、157b、…、157n)存储于多个存储位置(151a、151b、…、151n)。设备标签157可与设备标签集155的设备标签相同或类似。资源机160、170可使用设备标签157的任何一者或其任何子集来唯一地识别客户端设备161。将多个设备标签157存储到多个存储位置151可缓解设备标签157被删除时(如通过清除浏览器缓存删除时)造成的问题。用户可能会有意地或意外地从他们的客户端设备161删除一个或多个设备标签157。一些设备标签157的删除不会对客户端设备161的识别产生不利影响,只要至少一个设备标签157存在于客户端设备161中就可以。设备标签157可以是相互可恢复的,这意味着每个标签都可用于恢复任何丢失的或被删除的设备标签157。在设备标签恢复方面,资源机160、170可存储相关设备标签157的列表,如下面结合图3进一步详细描述的那样。在一些具体实施中,资源机160、170还可保持对客户端设备161中设备标签157的存储位置的跟踪。
在另一个实施例中,一个或多个设备标签157可具有看起来不敏感和低侵入性的文件名或值,这样可有助于保护客户端设备、精确识别设备和恢复设备标签。例如,设备标签的文件名可具有不易识别发送设备标签的网站的随机字母数字字符串。用户不太可能删除这些设备标签。此外,这些设备标签也不太可能被黑客窃取。
在另一个具体实施中,系统100可使用与不同的资源提供者相关联(如用于两个不同的域)的设备标签155、185。例如,域可以是Web域或网站URL。资源机160可为托管第一资源(例如第一Web域)的资源提供者,而资源机170可为托管第二资源(例如第二Web域)的资源提供者。资源提供者160、170可相互提供服务。当两个域都为同一设备创建了不同的设备标签集(例如155、185)时,该设备标签模块可将来自不同域的两个设备标签集关联起来。第一Web域例如可以是照片分享网站,第二网站域可为照片分享网站提供多种用户认证服务。在创建设备标签期间,该照片分享网站可以在其网页中放入代码(例如脚本),用于为该照片分享网站在客户端设备181中设置设备标签155。在特定具体实施中,Web_domain_A可在其网页中嵌入内联框架元素(例如iframe)。iframe可将来自网站的文档嵌入另一个网站内。web_domain_A中的iframe可在web_domain_A中放入与web_domain_B关联的代码。iframe中的脚本可将设备标签185放置在存储位置151,其中设备标签185用于web_domain_B。在使用来自不同域的设备标签集的示例中,用户使用客户端设备181访问使用第三方认证服务的网站。在认证访问照片共享网站的用户后,设备标签模块165可以向客户端设备181发送该网站的第一设备标签集155,设备标签模块175可以向客户端设备181发送认证服务的第二设备标签集185。该网站可使用设备标签集155或设备标签集185在客户端设备181后续访问时识别客户端设备181。例如,如果用于该网站的设备标签集155已经被删除,那么设备标签模块165可以使用认证服务的设备标签集185来识别客户端设备181。设备标签集155和设备标签集185还可用于恢复彼此。如果网站的设备标签集155是不完整的或丢失了,那么设备标签模块165可以使用认证服务的设备标签集185来恢复或创建新的设备标签集155。同样,认证服务的设备标签集175可使用认证服务的设备标签集185来恢复或创建该网站的新的设备标签集155。
图2示出了动态设备标签200的一个具体实施。设备标签200可以是图1的设备标签集155中的设备标签。设备标签200可以包括静态部分210和动态部分220。
静态部分210可以是唯一标识符或值,该唯一标识符或值在每次设备认证或识别后保持不变。静态部分210可以用于识别客户端设备。例如,用于特定客户端设备的设备标签200具有静态部分值a13b02c99。客户端收到的每个新的或更新的设备标签可具有静态部分值a13b02c99。当发送了多个设备标签到客户端设备时,每个设备标签都可以具有唯一的静态部分,该唯一的静态部分在每次设备认证或识别后保持不变。每个设备标签还可具有相同的静态部分。每次验证或识别设备标签后,动态部分220都可以改变。新的动态值将被发送到设备并被设备标签模块300存储,比如存储在设备标签数据365中,用于将来的设备识别。
动态部分220可以采用安全性和复杂性不同的多种形式。在创建动态值220时,可以使得难以猜中或确定动态值序列中的下一个动态值。如果序列中的后续动态值能够被容易地猜中,那么恶意用户便能够生成后续值,从而骗过认证。当动态值序列是可预测的图案时,可以在设备标签200上使用加密。由于使用位于客户端设备外的设备标签模块验证设备标签,加密密钥并不存在于客户端设备上,而是与设备标签模块在一起。
一种用于生成设备标签的静态部分和动态部分的示例方法可以使用具有随机盐值的加密简单计数器。示例公式可以是:D=加密(S||计数器||<随机盐>),其中“D”=设备标签,“S”=静态值,“计数器”=计数器值,“<随机盐>”=随机盐值,“||”指示字符串连接。在每次由服务器或由在服务器上运行的设备标签验证设备标签时,计数器都会增加1。可以使用随机盐值,使得用户或恶意用户无法使用加密值猜中计数器的值或从先前收集的动态值回放。加密由跟踪设备标签的服务器或设备标签模块完成。加密密钥只被服务器所知。服务器可以跟踪设备标签的当前计数器。如果在提交的设备标签中发现的计数器值小于上次验证的计数器值,那么设备标签会被认为是被复制的并且用户可以经过另外的认证。
另一个用于生成动态值的示例方法可以使用一次性密码(OTP)。OTP通常是对于逻辑会话或事务有效的密码。OTP可由安全令牌生成。服务器或设备标签模块可以生成基于事件的OTP秘密并且使该秘密与该静态值关联起来。下一个OTP可以设置为服务器或设备标签模块可以跟踪的动态值。该服务器或设备标签模块接受最后一个已知的设备标签。当所提交的动态值与服务器所知的设备标签动态值匹配时,服务器可以设置新的动态部分或者在其数据存储器中设置新的设备标签。客户端脚本可以设置新的动态值或在客户端设备的存储位置中设置新的设备标签。一旦某个OTP被使用,该OTP就会失效,不可被使用第二次。动态值可以被加密。登录计算系统时,用户可以手动(例如经由键盘)输入OTP,或当安全令牌耦接到客户端设备时,安全令牌本身可以向计算系统提供OTP。
用于生成设备标签200的动态值的另一个示例方法可以使用随机生成的值,服务器或设备标签模块会跟踪该随机生成的值。在该示例中,服务器或设备标签模块仅接受最后一个已知的设备标签200。当收到的动态值与服务器所知的设备标签200的动态值匹配时,服务器可以在其记录中设置新的动态值。服务器还可以提供(例如,在网页中嵌入)脚本,通过使用随机生成的动态值替换设备标签的至少动态部分,在客户端设备上的一个或多个位置设置新值。可采用各种方式生成和更新设备标签200,也可采用各种方式将设备标签200设置成无效,这些方式并非旨在限于本文所述的示例。
图3为设备标签模块300的一个具体实施的框图。设备标签模块300可能与图1的资源机160中的设备标签模块165是相同的。在一个具体实施中,设备标签模块300处在资源机160外,并且拦截访问资源机160的请求。设备标签模块300管理可以唯一地识别客户端设备的设备标签和设备标签集。设备标签模块300可以包括访问请求接收器310、设备标签创建器320、设备标签验证器330和设备标签放置器340。设备标签模块300可包括更多的组件,也可包括更少的组件。
访问请求接收器310可以从客户端设备接收访问互联网资源的访问请求,如由资源机160托管的网站。该访问请求可以包括关于客户端设备的信息,如与客户端设备关联的设备标签集。另选地,该设备标签集可以独立于来自客户端设备的访问请求而提供。当客户端设备试图访问网站时,访问请求接收器310还可以要求客户端设备提供设备标签集。访问请求接收器310可以使用设备标签数据365来确定是否设备标签集中的所有设备标签都存在。在一个具体实施中,设备标签模块300可以识别客户端设备上的一个或多个存储位置。在该具体实施中,客户端设备可以指示存储位置并将该存储位置发送到访问请求接收器。然后,该访问请求接收器可以将该存储位置存储为设备标签位置数据369。对于后续访问请求,该访问请求接收器可以将收到的第二设备标签集的位置数据与设备标签位置数据369相比较,确定收到的第二设备标签集是否在期望的位置。
如果客户端设备请求访问不具有设备标签,那么设备标签创建器320可以为客户端设备创建设备标签集,用于在将来识别和验证设备。设备标签创建器320可以创建新的设备标签集或更新的现有设备标签集,并且将这些设备标签集分配给客户端设备,用于在将来识别客户端设备。同样,当网站不接收客户端设备的完整设备标签集时,设备标签创建器320可以恢复丢失的设备标签,或为客户端设备创建新的设备标签集。设备标签可以是动态的,也可以是具有动态部分,如结合图2更详细的描述那样。设备标签还可以在设备标签集内进行分组。在设备标签集内的设备标签可以被指引到客户端设备的不同存储位置或存储类型。在一个示例中,为每个存储位置或存储类型创建至少两个设备标签。可以为存储位置生成随机的、强且长的标识符名称值对c1=cv1、c2=cv2、…、cm=cvm,其中m>1,并且其中“=”指示两个标签之间的配对。客户端集合c1、c2、…、cm可以发送到客户端设备,而配对的集合cv1、cv2、…、cvm可以被设备标签模块300用来验证客户端集合。可为HTML5存储生成不同的标识符集h1=hv1、h2=hv2、…、hn=hvn,其中n>1,并且其中“=”指示两个标签之间的配对。同样,集合h1、h2、…、hn可以发送到客户端设备,并且集合hv1、hv2、…、hvn可由设备标签模块300存储。多个设备标签还可以与特定网站或域相关联。还可以将诱骗性设备标签,如具有非描述性名称的设备标签,与各个设备标签集混合。此外,可以为设备标签命名一般的名称,使与设备标签集相关的信息变得模糊,不会引起客户端设备用户的注意。例如,不把设备标签命名为“cookie:userCorporationWebSite”,设备标签文件名可以是“cookie:useri491e009g155”或“cookie:userphotoediting”。
如果设备标签模块300从该客户端设备收到设备标签集,那么设备标签验证器330可以使用设备标签数据365确定收到的设备标签集是否有效,如下面所述。如果设备标签集是有效的,那么设备标签模块便能够识别该客户端设备。设备标签验证器330可以通过确定设备标签集是否与先前分配的或配对的设备标签集匹配来验证该设备标签集。继续上面的配对集合示例——收到的设备标签集包括设备标签c1、c2、c3。如果设备标签模块300的设备标签集包括设备标签cv1、cv2、cv3,则表示名称值对是匹配的,设备标签验证器330将确认收到的设备标签集有效。如果设备标签模块300的设备标签集包括设备标签dv1、dv2、dv3,则表示名称值对是不匹配的,设备标签验证器330将确认收到的设备标签集无效。设备标签验证器330还可以使用设备标签位置369确定收到的设备标签是否有效。在上述配对集合示例中,即使收到的设备标签集的值与配对集合的那些值匹配,如果收到的集合中的至少一个设备标签的位置是不正确的,那么设备标签验证器330会确定收到的集合是无效的。设备标签验证器330可以通知设备标签模块300的其他组件,告知它们收到的设备标签集是否有效。设备标签验证器330可以接收设备标签集的设备标签子集并且仍然验证该设备标签集。即使从客户端设备移除设备标签子集,也不会阻止客户端设备验证成功。如果设备标签模块从客户端设备收到设备标签集的一部分,设备标签验证器330还是可以确定请求接收器310收到的设备标签集是否有效。为了成功验证客户端设备,设备标签验证器330还可以要求提供第一设备标签集c1、c2、…、cm的至少一个设备标签和第二集合h1、hn、…、hn的至少一个设备标签。设备标签验证器330可以将丢失的设备标签通知给设备标签创建器320,使得设备标签创建器320可以恢复或创建新的设备标签。
设备标签放置器340可以向客户端设备发送设备标签集。设备标签放置器340还可以根据设备标签位置数据369将多个设备标签指引到该客户端设备的特定存储位置。
数据存储器350可以是永久性存储单元。永久性存储单元可以是本地存储单元,也可以是远程存储单元。永久性存储单元可以是磁性存储单元、光学存储单元、固态存储单元、电子存储单元(主存储器)或类似的存储单元。永久性存储单元可以是单片设备或分布式设备集合。本文所用的“集合”指的是任何正整数数量的项目。数据存储器350可以存储设备标签数据365和设备标签位置数据369。
设备标签数据365可以包括与设备标签集相关的任何数据或信息。设备标签之间的关系可存储为设备标签数据365。如果某个设备标签是无效的并且创建了新的设备标签来替换该设备标签,那么这些设备标签之间的关系可以存储下来。设备标签序列也可以存储。关于当前设备标签的信息也可以存储。当一次在设备中设置了多个设备标签时,这些设备标签之间的关系可以存储为设备标签数据365。此外,设备标签集与客户端相关联的数据也可以存储。当使用设备标签对识别设备时,可以在设备标签数据365中存储设备标签对集合,并对其进行查询,用以验证客户端设备上的设备标签是否匹配或相关的设备标签对。设备标签集与客户端设备之间的关系也可以存储。
设备标签位置数据369可以包括每个设备标签集的位置数据。当设备标签存储在客户端设备上的多个存储位置时,设备标签位置数据369可存储每个设备标签的存储位置。验证客户端设备时,可查询设备标签位置数据369,检查客户端设备的设备标签是否在期望的存储位置。
可通过设备标签模块确定设备标签是否已经被复制或被转移到另一个设备。如果设备标签被复制到另一个客户端设备并且被验证为有效,那么就在其他客户端设备中为设备标签设置新值。新值由设备标签模块300存储,并且旧值失效。下次原始客户端设备进入设备识别例程时,其设备标签会被发现是旧的且无效的。设备标签模块300可以将该无效的设备标签视为被复制或被盗,因为新值应该已经覆盖了该客户端设备中的旧值。设备标签模块300可以使与该设备标签关联的所有设备标签(包括最近有效的设备标签集)无效,从而阻止进一步使用第二客户端设备中的更新的设备标签。可以要求该客户端设备的用户进行进一步的认证。在认证用户时,可以在原始客户端设备中设置新的设备标签。这种机制可以将被盗的或被复制的设备标签的攻击窗口限制到原始客户端设备的下次认证。
图4为一种用于弹性、可恢复的动态设备识别的方法400的具体实施的流程图。方法400可以由处理逻辑执行,该处理逻辑可包括硬件(例如电路、专用逻辑、可编程逻辑、微代码等)、软件(例如在处理设备上运行的指令)或它们的一种组合。在一个具体实施中,由图1的服务器机器160中的设备标签模块165执行方法400。
在块405处,处理逻辑从客户端设备接收一条访问服务器(例如网站、域)上的资源的请求。该请求可以包括用户的访问凭证(例如用户名、密码)和设备的访问凭证。例如,当处理逻辑未收到关于该请求的访问凭证时,处理逻辑可以要求提出访问请求的客户端设备提供访问凭证。
在块410处,处理逻辑可以确定该客户端设备中是否存在设备标签集。如果该设备标签集包括在收到的请求中,处理逻辑可以确定该客户端设备中存在该设备标签集。另选地,处理逻辑可以向该客户端设备查询该设备标签集。
如果不存在该设备标签集,那么在块415处,处理逻辑可以要求该客户端设备的用户提供完整的访问凭证。完整的访问凭证可以包括所知因素(例如用户名、密码、个人识别码、图案)、所有因素(例如发送到设备的代码、一次性密码、设备标签、缓存、令牌值),以及内在因素(例如人体生物特征)的组合。例如,完整的访问凭证可以是用户名、密码和发送到客户端设备的过期代码。
在块420处,处理逻辑认证收到的完整访问凭证。为了认证访问请求,处理逻辑可以向数据存储器查询允许的访问凭证组合。如果认证成功,在块425处,处理逻辑可以向该客户端设备分配并发送新的设备标签集。处理逻辑还可以在本地存储被分配和被发送给该客户端设备的设备标签集。该设备标签集可以是一个或多个设备标签,用于在将来识别客户端设备,如本文所述。在块427处,处理逻辑可以允许该访问请求,从而允许该客户端设备访问该服务器。
如果在块410处,客户端设备中存在设备标签集,处理逻辑可以在块430处要求提供部分访问凭证。例如,如果完整的访问凭证包括用户名、密码和发送到客户端设备的过期代码,部分访问代码可以是用户名和密码,不包括过期密码。在一个具体实施中,在确定客户端设备中存在设备标签集后,处理逻辑还可以确定收到的设备标签集是否与先前分配的设备标签集匹配。如果该设备标签集与先前分配的设备标签集匹配,那么处理逻辑可在不要求客户端设备的用户提供完整访问凭证的情况下允许访问服务器。如果该设备标签集与先前分配的设备标签集不匹配,设备标签模块可以要求客户端设备用户提供完整的访问凭证。
在块435处,处理逻辑认证部分访问凭证。如果认证成功,在块440处,处理逻辑可以为该客户端设备创建、分配并发送更新的设备标签集。处理逻辑还可以向设备标签集中的一个或多个设备标签发送更新,直到并且包括替换该客户端设备中的该设备标签集。处理逻辑可以使设备标签集无效,并且向客户端设备分配并发送第二设备标签集。在块427处,处理逻辑可以允许该访问请求,从而允许客户端设备访问服务器。在具体实施中,当客户端设备的用户后续尝试访问时,第二设备标签可以是第一设备标签集。
图5为用于弹性、可恢复的动态设备识别的方法500的另一个具体实施的流程图。方法500可以由处理逻辑执行,该处理逻辑可包括硬件(例如电路、专用逻辑、可编程逻辑、微代码等)、软件(例如在处理设备上运行的指令)或它们的一种组合。在一个具体实施中,由图1的服务器机器160中的设备标签模块165执行方法500。
在块505处,处理逻辑从客户端设备接收访问服务器(例如网站、域)上的资源的请求。该请求可以包括用户的访问凭证(例如用户名、密码)和设备的访问凭证。例如,当处理逻辑未收到关于该请求的访问凭证时,处理逻辑可以要求提出访问请求的客户端设备提供访问凭证。
在块510处,处理逻辑可以识别该客户端设备中是否存在设备标签集,以及设备标签集中的设备标签是否存在于客户端设备中期望的存储位置。作为访问请求的一部分,处理逻辑可以从客户端设备接收设备标签集存在于客户端设备的期望的存储位置的指示。存储位置可以是浏览器、浏览器插件或客户端代理或安装在客户端设备上的应用程序可访问的任何存储位置,如本文所述。处理逻辑还可以向该客户端设备查询不同存储位置的位置地图,以及存储在每个存储位置的多个设备标签集。收到这个位置地图后,处理逻辑可以将收到的位置地图与先前收到的位置地图进行比较,确定设备标签是否在期望的存储位置。处理逻辑还可以检测设备标签集是否附带在该访问请求中。
如果该设备标签集不在期望的存储位置,那么在块515处,处理逻辑可以要求客户端设备的用户提供完整的访问凭证,如本文所述。
在块520处,处理逻辑认证收到的完整访问凭证。如果认证成功,在块525处,处理逻辑可以向该客户端设备分配并发送设备标签集,其中设备标签可以被设置在客户端设备的不同存储位置。处理逻辑还可以保持对客户端设备所分配和发送的设备标签集的跟踪。处理逻辑还可以从客户端设备接收位置地图来保持对设备标签的存储位置的跟踪。将该设备标签集分配给该客户端设备时,处理逻辑可以指示应该将设备标签放置在哪些存储位置。该客户端设备还可以将设备标签放置在任何可用的存储位置,然后将存储位置报告给处理逻辑。在此类示例中,在该客户端设备放置号设备标签集的设备标签后,处理逻辑可以收到存储位置。在块527处,处理逻辑可以允许该访问请求,从而允许该客户端设备访问该服务器。
如果在块510处,处理逻辑使用来自该客户端设备的该位置地图确认设备标签集存在于客户端设备的期望的存储位置,那么在块530处,处理逻辑可以要求提供完整访问凭证的一部分。例如,如果完整的访问凭证包括用户名、密码和发送到客户端设备的过期代码,那么完整访问凭证的一部分可以是用户名和密码,不包括过期密码。在一个具体实施中,在使用来自客户端设备的位置地图确认设备标签集存在于客户端设备的期望的存储位置后,处理逻辑还可以确定收到的设备标签集是否与先前分配的设备标签集匹配。如果收到的设备标签集与先前分配的设备标签集匹配,那么设备标签模块可在不要求客户端设备的用户提供完整访问凭证的情况下允许访问服务器。如果该设备标签集与先前分配的设备标签集不匹配,设备标签模块可以要求客户端设备用户提供完整的访问凭证。在要求客户端设备的用户提供完整的访问凭证前,处理逻辑可以允许一个宽限时间窗口,并且支持允许的重试次数。
在块535处,处理逻辑认证完整访问凭证的一部分。如果认证成功,在块540处,处理逻辑可以为该客户端设备分配和发送更新的设备标签集。处理逻辑还可以向设备标签集中的一个或多个设备标签发送更新,直到并且包括向客户端设备发送一条替换客户端设备中的设备标签集的指令。如果某些存储位置的设备标签丢失了,那么处理逻辑可以向这些存储位置发送替换设备标签或新的设备标签,并且指示客户端设备放置新的设备标签。处理逻辑还可以使该设备标签集无效,并且向客户端设备分配并发送第二设备标签集。在块527处,处理逻辑可以允许该访问请求,从而允许该客户端设备访问该服务器。
图6示出了计算机系统600的示例机器,在该机器内,可以执行使该机器执行本文所讨论的方法的任一者或多者的指令集。在可供选择的具体实施中,该机器可以连接到(例如,网络连接到)LAN、内部网、外部网和/或互联网中的其他机器。该机器可以在客户端-服务器网络环境中以服务器或客户机的身份运行,或者在对等(或分布式)网络环境中作为对等机运行。
该机器可以是个人计算机(PC)、平板PC、机顶盒(STB)、个人数字助理(PDA)、蜂窝电话、网络设备、服务器、网络路由器、交换机或网桥,或能够(顺序地或以其他方式)执行对该机器采取的动作进行指定的指令的集合的任何机器。此外,虽然示出了单个机器,但术语“机器”还应视为包括机器的任何集合,该集合独立地或联合地执行一指令集(或多个指令集)以执行本文所讨论的方法的任一者或多者。
示例计算机系统600包括处理设备602、主存储器604(例如,只读存储器(ROM)、闪存、诸如同步DRAM(SDRAM)或DRAM(RDRAM)的动态随机存取存储器(DRAM)等)、静态存储器606(例如,闪存、静态随机存取存储器(SRAM)等)以及数据存储设备618,它们通过总线630彼此进行通信。
处理设备602代表一个或多个通用处理设备,诸如微处理器、中央处理单元等等。更具体地讲,处理设备可以是复杂指令集计算(CISC)微处理器、精简指令集计算(RISC)微处理器、超长指令字(VLIW)微处理器,或实施其他指令集的处理器或实施指令集的组合的处理器。处理设备602还可以是一个或多个专用处理设备,诸如专用集成电路(ASIC)、现场可编程门阵列(FPGA)、数字信号处理器(DSP)、网络处理器等等。处理设备602被配置为执行指令622以执行本文所讨论的操作和步骤。
计算机系统600可以进一步包括网络接口设备608。计算机系统600还可以包括视频显示单元610(例如,液晶显示器(LCD)或阴极射线管(CRT))、字母数字输入设备612(例如,键盘)、光标控制设备614(例如,鼠标)以及信号生成设备616(例如,扬声器)。
数据存储设备618可以包括机器可读存储介质628(也称为计算机可读介质),在机器可读存储介质628上存储有体现本文所讨论的方法或功能的任一者或多者的指令622或软件的一个或多个集合。在计算机系统600执行指令622期间,指令622还可以完整地或至少部分地驻留在主存储器604内和/或处理设备602内,主存储器604和处理设备602还构成机器可读存储介质。
在一个具体实施中,指令622包括用于设备标签模块(例如,图3的设备标签模块300)的指令,和/或包含调用设备标签模块中的模块的方法的软件库。虽然机器可读存储介质628在示例性具体实施中显示为单个介质,但术语“机器可读存储介质”应视为包括存储了一个或多个指令集的单个介质或多个介质(例如,集中式或分布式数据库和/或相关缓存和服务器)。术语“机器可读存储介质”还应视为包括能够存储或编码用于由机器执行且使机器执行本披露的方法的任一者或多者的指令集的任何介质。术语“机器可读存储介质”应因此视为包括但不限于固态存储器、光学介质以及磁介质。
前面的详细描述的某些部分以对计算机内存中的数据位操作的算法和符号表示的方式来呈现。这些算法描述和表示是数据处理领域的那些技术人员用于将其工作的本质(substance)最有效地传达给本领域的其他技术人员的方式。算法在此通常被构思成达到所需结果的操作的有条理的序列。操作是指需要物理量的物理操纵的那些步骤。通常(但不是必须的),这些量采用能够被存储、组合、比较以及以其他方式操纵的电信号或磁信号的形式。已经证明,有时主要出于常见用法的原因,将这些信号称为位、值、元素、符号、字符、项、数等是方便的。
然而,应该牢记,这些和类似术语中的全部都将与适当的物理量相关,并且仅仅是应用于这些量的方便标记。除非另有具体说明,否则根据以上讨论显而易见的是,应当理解,在全部描述中,使用诸如“识别”、“确定”、“发送”、“创建”等术语的讨论是指计算机系统或类似电子计算设备的动作和过程,所述动作和过程将表示为计算机系统的寄存器和内存内的物理(电子)量的数据操纵和转换为类似地表示为计算机系统内存或寄存器或其他此类信息存储设备内的物理量的其他数据。
本披露还涉及用于执行本文中操作的设备。该设备可出于预期目的而专门构造,或者其可包括由存储在计算机中的计算机程序选择性地启动或重新配置的通用计算机。此类计算机程序可以存储在计算机可读存储介质中,诸如但不限于包括软盘、光盘、CD-ROM和磁光盘在内的任何类型的磁盘、只读存储器(ROM)、随机存取存储器(RAM)、EPROM、EEPROM、磁卡或光卡,或适合用于存储电子指令的任何类型的介质,每种介质都被耦接至计算机系统总线。
本文呈现的算法和展示并不是固有地与任何特定计算机或其他设备有关。按照本文中的教导,各种通用系统可以与程序一起使用,或者构造更专用的设备来执行方法可证明是便利的。各种这样的这些系统的结构将根据以下描述显现。另外,并未结合任何具体的编程语言来描述本披露。应当理解,可以使用各种编程语言来实施如本文所述的本披露的教导。
本披露可以作为计算机程序产品或软件提供,该计算机程序产品或软件可以包括其上存储有指令的机器可读介质,这些指令可用于对计算机系统(或其他电子设备)编程,以根据本披露执行程序。机器可读介质包括以机器(例如计算机)可读的形式存储信息的任何机构。例如,机器可读(例如计算机可读)机构包括机器(例如计算机)可读存储介质,如只读存储器(“ROM”)、随机存取存储器(“RAM”)、磁盘存储介质、光存储介质、闪存设备等等。
在前述说明中,已参考特定示例具体实施描述了本披露的具体实施。很显然,在不脱离本披露的具体实施的更广泛的精神和范围的情况下可对本披露的具体实施作出各种修改,如下述权利要求所提及的。因此,本披露中的说明和附图旨在提供示例,而非进行限制。
Claims (15)
1.一种方法,包括:
经由网络接收访问服务器的请求,所述请求包括第一设备标签集;
当所述第一设备标签集与先前分配的设备标签集匹配时,
在不要求用户提供完整访问凭证的情况下允许用户访问所述服务器,
使所述第一设备标签集无效,并且
发送第二设备标签集;并且
当所述第一设备标签集与先前分配的设备标签集不匹配时,要求用户提供完整的访问凭证。
2.根据权利要求1所述的方法,其中所述第一设备标签集包括设备标签。
3.根据权利要求2所述的方法,其中所述设备标签包括静态部分和动态部分,其中所述动态部分具有第一动态值,其中发送第二标签集包括用第二动态值替换所述第一动态值,并且其中使所述第一设备标签集无效包括使所述设备标签的所述动态部分的所述第一动态值无效。
4.根据权利要求1所述的方法,其中所述第一设备标签集和所述第二设备标签集是多个设备标签集的序列的一部分,并且所述第二设备标签集在序列中排在所述第一设备标签集的后面。
5.根据权利要求1所述的方法,其中:
所述第一设备标签集包括多个设备标签,并且
所述方法还包括在网页中放入代码,所述代码使得所述多个设备标签中的每一者被放置在客户端设备的不同存储位置,其中所述客户端设备的所述存储位置可经由安装在所述客户端设备上的应用程序访问。
6.根据权利要求5所述的方法,还包括:
接收位置地图,所述位置地图指示所述多个设备标签中的每一者的位置;
当所述位置地图指示第一预先确定数量的所述多个设备标签从所述存储位置丢失时,发送所述丢失设备标签;并且
当所述位置地图指示第二预先确定数量的所述多个设备标签从所述存储位置丢失时,要求提供所述完整的访问凭证。
7.根据权利要求5所述的方法,还包括:
接收位置地图,所述位置地图指示所述多个设备标签中的每一者的位置;
并且
当所述位置地图指示所述设备标签中的一者不在期望的存储位置时,要求所述用户提供所述完整的访问凭证。
8.根据权利要求1所述的方法,还包括:
接收无效的第一设备标签集;以及
根据所述收到的无效的第一设备标签集使所述第二设备标签集无效。
9.一种系统,包括:
存储器;和
处理设备,所述处理设备与所述存储器耦接,以:
经由网络接收访问服务器的请求,所述请求包括第一设备标签集;
当所述第一设备标签集与先前分配的设备标签集匹配时,在不要求用户提供完整的访问凭证的情况下允许访问所述服务器,
使所述第一设备标签集无效,并且
发送第二设备标签集;并且
当所述第一设备标签集与先前分配的设备标签集不匹配时,要求用户提供完整的访问凭证。
10.根据权利要求9所述的系统,其中所述设备标签包括静态部分和动态部分,其中所述动态部分具有第一动态值,其中发送第二标签集包括用第二动态值替换所述第一动态值;并且其中使所述第一设备标签集无效包括使所述设备标签的所述动态部分的所述第一动态值无效。
11.根据权利要求10所述的系统,其中所述第一设备标签集和所述第二设备标签集是多个设备标签集的序列的一部分,并且所述第二设备标签集在序列中排在所述所述设备标签集的后面。
12.一种非暂态计算机可读存储介质,所述计算机可读存储介质包括指令,当由处理设备执行时,所述指令使所述处理设备:
经由网络接收访问服务器的请求,所述请求包括第一设备标签集;
当所述第一设备标签集与先前分配的设备标签集匹配时,在不要求用户提供完整的访问凭证的情况下允许访问所述服务器,
使所述第一设备标签集无效,并且
发送第二设备标签集;并且
当所述第一设备标签集与先前分配的设备标签集不匹配时,要求用户提供完整的访问凭证。
13.根据权利要求12所述的非暂态计算机可读存储介质,其中所述第一设备标签集包括设备标签,其中所述设备标签包括静态部分和动态部分,其中所述动态部分具有第一动态值,并且其中发送第二设备标签集包括用第二动态值替换所述第一动态值。
14.根据权利要求12所述的非暂态计算机可读存储介质,其中:
所述第一设备标签集包括多个设备标签,并且所述处理设备还:
在网页中放入代码,所述代码使得所述多个设备标签中的每一者被放置在客户端设备的不同存储位置,其中所述客户端设备的所述存储位置可经由安装在所述客户端设备上的应用程序访问。
15.根据权利要求14所述的非暂态计算机可读存储介质,所述处理设备还:
接收位置地图,所述位置地图指示所述多个设备标签中的每一者的位置;
当所述位置地图指示第一预先确定数量的所述设备标签从所述存储位置丢失时,发送所述丢失设备标签;并且
当所述位置地图指示第二预先确定数量的所述设备标签从所述存储位置丢失时,要求提供所述完整的访问凭证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/856,352 US9015817B2 (en) | 2013-04-03 | 2013-04-03 | Resilient and restorable dynamic device identification |
| US13/856352 | 2013-04-03 | ||
| PCT/US2014/032755 WO2014165640A1 (en) | 2013-04-03 | 2014-04-03 | Resilient and restorable dynamic device identification |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105210076A true CN105210076A (zh) | 2015-12-30 |
| CN105210076B CN105210076B (zh) | 2018-12-18 |
Family
ID=50771605
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480017297.0A Active CN105210076B (zh) | 2013-04-03 | 2014-04-03 | 弹性、可恢复的动态设备识别 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9015817B2 (zh) |
| EP (1) | EP2981924B1 (zh) |
| JP (1) | JP6374947B2 (zh) |
| CN (1) | CN105210076B (zh) |
| CA (1) | CA2907708A1 (zh) |
| WO (1) | WO2014165640A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026832A (zh) * | 2016-10-10 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 账户登录方法、设备和服务器 |
| CN114095200A (zh) * | 2021-09-28 | 2022-02-25 | 阿里巴巴(中国)有限公司 | 资源访问权限管理方法、装置、电子设备及介质 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9270344B2 (en) * | 2013-02-01 | 2016-02-23 | Creating Revolutions, LLC | Combination process interaction |
| US11615199B1 (en) | 2014-12-31 | 2023-03-28 | Idemia Identity & Security USA LLC | User authentication for digital identifications |
| US10567170B2 (en) * | 2015-12-24 | 2020-02-18 | Mcafee, Llc | Hardware-generated dynamic identifier |
| US10652365B2 (en) | 2016-01-06 | 2020-05-12 | Adobe Inc. | Robust computing device identification framework |
| US11134071B2 (en) * | 2018-04-23 | 2021-09-28 | Oracle International Corporation | Data exchange during multi factor authentication |
| US11586724B1 (en) * | 2019-10-10 | 2023-02-21 | Authidote LLC | System and methods for authenticating content |
| CN115134143B (zh) * | 2022-06-28 | 2023-05-16 | 广东电网有限责任公司 | 一种全域物联网设备认证方法、装置及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078604A1 (en) * | 2002-10-18 | 2004-04-22 | Mike Rice | Device independent authentication system and method |
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| US20110035784A1 (en) * | 2009-08-07 | 2011-02-10 | Palo Alto Research Center Incorporated | Method and apparatus for detecting cyber threats |
| CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN102595391A (zh) * | 2011-01-18 | 2012-07-18 | 中兴通讯股份有限公司 | 一种实现安全触发的方法、系统和装置 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003196237A (ja) * | 2001-12-26 | 2003-07-11 | Nec Corp | サービス提供システム及びサービス提供方法 |
| JP4097623B2 (ja) * | 2004-04-26 | 2008-06-11 | システムニーズ株式会社 | 本人認証インフラストラクチャシステム |
| US10108982B2 (en) * | 2013-02-26 | 2018-10-23 | Oath (Americas) Inc. | Systems and methods for accessing first party cookies |
| US9148416B2 (en) * | 2013-03-15 | 2015-09-29 | Airwatch Llc | Controlling physical access to secure areas via client devices in a networked environment |
-
2013
- 2013-04-03 US US13/856,352 patent/US9015817B2/en active Active
-
2014
- 2014-04-03 WO PCT/US2014/032755 patent/WO2014165640A1/en active Application Filing
- 2014-04-03 CA CA2907708A patent/CA2907708A1/en not_active Abandoned
- 2014-04-03 CN CN201480017297.0A patent/CN105210076B/zh active Active
- 2014-04-03 EP EP14725845.3A patent/EP2981924B1/en active Active
- 2014-04-03 JP JP2016506598A patent/JP6374947B2/ja active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040078604A1 (en) * | 2002-10-18 | 2004-04-22 | Mike Rice | Device independent authentication system and method |
| CN101772024A (zh) * | 2008-12-29 | 2010-07-07 | 中国移动通信集团公司 | 一种用户身份确定方法及装置和系统 |
| US20110035784A1 (en) * | 2009-08-07 | 2011-02-10 | Palo Alto Research Center Incorporated | Method and apparatus for detecting cyber threats |
| CN101998407A (zh) * | 2009-08-31 | 2011-03-30 | 中国移动通信集团公司 | 基于wlan接入认证的业务访问方法 |
| CN102595391A (zh) * | 2011-01-18 | 2012-07-18 | 中兴通讯股份有限公司 | 一种实现安全触发的方法、系统和装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026832A (zh) * | 2016-10-10 | 2017-08-08 | 阿里巴巴集团控股有限公司 | 账户登录方法、设备和服务器 |
| WO2018068631A1 (zh) * | 2016-10-10 | 2018-04-19 | 阿里巴巴集团控股有限公司 | 账户登录方法、设备和服务器 |
| US11019051B2 (en) | 2016-10-10 | 2021-05-25 | Advanced New Technologies Co., Ltd. | Secure authentication using variable identifiers |
| US11184347B2 (en) | 2016-10-10 | 2021-11-23 | Advanced New Technologies Co., Ltd. | Secure authentication using variable identifiers |
| CN114095200A (zh) * | 2021-09-28 | 2022-02-25 | 阿里巴巴(中国)有限公司 | 资源访问权限管理方法、装置、电子设备及介质 |
| CN114095200B (zh) * | 2021-09-28 | 2023-12-01 | 阿里巴巴(中国)有限公司 | 资源访问权限管理方法、装置、电子设备及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2981924B1 (en) | 2020-11-11 |
| US9015817B2 (en) | 2015-04-21 |
| JP2016516250A (ja) | 2016-06-02 |
| CA2907708A1 (en) | 2014-10-09 |
| US20140304786A1 (en) | 2014-10-09 |
| EP2981924A1 (en) | 2016-02-10 |
| CN105210076B (zh) | 2018-12-18 |
| WO2014165640A1 (en) | 2014-10-09 |
| JP6374947B2 (ja) | 2018-08-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105210076A (zh) | 弹性、可恢复的动态设备识别 | |
| US10305902B2 (en) | Two-channel authentication proxy system capable of detecting application tampering and method therefor | |
| US9467463B2 (en) | System and method for assessing vulnerability of a mobile device | |
| WO2018213519A1 (en) | Secure electronic transaction authentication | |
| CN104704511A (zh) | 网络中自注册中qr码的使用 | |
| US20190149540A1 (en) | Service provision system, service provision method, verification device, verification method, and computer program | |
| JP2004015530A5 (zh) | ||
| US20150067772A1 (en) | Apparatus, method and computer-readable storage medium for providing notification of login from new device | |
| CN102932391A (zh) | P2sp系统中处理数据的方法、装置和系统 | |
| US20160330030A1 (en) | User Terminal For Detecting Forgery Of Application Program Based On Hash Value And Method Of Detecting Forgery Of Application Program Using The Same | |
| CN110958239B (zh) | 访问请求的校验方法和装置、存储介质及电子装置 | |
| CN110417718A (zh) | 处理网站中的风险数据的方法、装置、设备及存储介质 | |
| KR102011363B1 (ko) | 블록체인 인증을 이용한 소프트웨어 인증 방법 | |
| CN108768938B (zh) | 一种网页数据加解密方法及装置 | |
| WO2016173174A1 (zh) | 锁网数据升级方法和装置 | |
| US20200204528A1 (en) | Data encryption and decryption processing method in cloud network environment | |
| Vecchiato et al. | A security configuration assessment for android devices | |
| CN114822796A (zh) | 基于智能合约的疫苗分配管理系统、方法及合约平台 | |
| CN107864160A (zh) | 一种基于唯一的登录身份证号进行统一用户认证的方法 | |
| JP2015121947A (ja) | ログイン中継サーバ装置、ログイン中継方法、及びプログラム | |
| Cho et al. | User credential cloning attacks in android applications: exploiting automatic login on android apps and mitigating strategies | |
| KR102520329B1 (ko) | 블록체인 기반 어뷰징 탐지 서비스 제공 시스템 | |
| JP5584588B2 (ja) | データベース処理装置、データベース処理システム、データベース処理方法、およびプログラム | |
| CN103544431B (zh) | 一种对非法程序的免疫方法、系统及装置 | |
| KR101295608B1 (ko) | 위치 인증 메시지를 이용한 이중 인증 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20200106 Address after: California, USA Patentee after: CA,INC. Address before: California, USA Patentee before: Symantec Corporation |
|
| TR01 | Transfer of patent right |