本公開提供了一種接收訪問服務器的請求的計算機系統。該請求包括第一設備標簽集。當該第一設備標簽集與先前分配的設備標簽集匹配時，該計算機系統在不要求用戶提供完整的訪問憑證的情況下允許訪問該服務器。該計算機系統使該第一設備標簽集無效，并且發送第二設備標簽集。如果該第一設備標簽集與先前分配的設備標簽集不匹配，該計算機系統會要求用戶提供完整的訪問憑證。

技術領域

本披露涉及設備識別，更具體地涉及彈性、可恢復的動態設備標簽。

背景技術

企業可以通過用戶憑證(例如用戶名和密碼)來認證用戶，進而控制用戶對企業應用程序如Web應用程序的訪問。企業可能希望實施使用兩個或多個驗證因素的雙因素驗證來提供一個更安全的環境。驗證因素包括“所知”(例如用戶名、密碼、個人識別碼、圖案)、“所有”(例如設備、計算機、移動電話、物理卡、智能卡、驗證令牌)，以及“特征”(例如生物特性，如指紋或獨一無二的視網膜)。當用戶訪問使用雙因素認證的網站時，該網站可能會要求用戶提供用戶名和密碼(“所知”)。同時，該網站還可以從與用戶有關聯的設備檢測或接收識別數據(“所有”)，并且可以借助設備標簽來識別設備。而常規方法對于攻擊者來說是脆弱的，因為攻擊者可以截獲設備標簽并將設備標簽復制到另一個設備來進行攻擊。使用此類方法時，用戶易受身份盜用和網絡欺詐的影響。其他常規方法在設備標簽丟失、被除去或刪除時會失去與已知設備或經認證設備的聯系。

發明內容

在一個具體實施中，描述了使用設備標簽集來識別設備的系統。一個示例系統可包括存儲器和處理設備，其中該處理設備經由網絡接收一條訪問服務器的請求。該訪問服務器的請求中包括第一設備標簽集。當該第一設備標簽集與先前分配的設備標簽集匹配時，該處理設備在不要求用戶提供完整訪問憑證的情況下允許對服務器的訪問，并且使該第一設備標簽集無效，然后發送第二設備標簽集。當該第一設備標簽集與先前分配的設備標簽集不匹配時，該處理設備要求用戶提供完整的訪問憑證。

在一個具體實施中，該第一設備標簽集為設備標簽。在另外的具體實施中，該設備標簽包括靜態部分和動態部分。該動態部分具有第一動態值。在另一個具體實施中，發送第二設備標簽集包括用第二動態值替換該第一動態值。在一個具體實施中，使該第一設備標簽集無效包括使該設備標簽動態部分的第一動態值無效。該第一設備標簽集和該第二設備標簽集可以是多個設備標簽集的序列的一部分，并且該第二設備標簽集在序列中排在該第一設備標簽集后面。

該第一設備標簽集可包括多個設備標簽，并且該處理設備可在網頁中放入代碼，使得多個設備標簽中的每一者都放置在客戶端設備的不同存儲位置?？山浻砂惭b在客戶端設備上的應用程序來訪問客戶端設備中的這些存儲位置。該處理設備可接收用于指示多個設備標簽中每一者的位置的位置地圖。當該位置地圖指出第一預先確定數量的多個設備標簽從這些存儲位置丟失時，該處理設備還可以發送丟失的設備標簽。當該位置地圖指出第二預先確定數量的多個設備標簽從這些存儲位置丟失時，該處理設備可進一步請求完整的訪問憑證。在一個具體實施中，該處理設備可使用該位置地圖識別多個設備標簽中的每一者是否在期望的存儲位置。當該位置地圖指出其中設備標簽不在期望的存儲位置時，該處理設備可要求用戶提供完整的訪問憑證。在一個具體實施中，該處理設備可接收無效的第一設備標簽集并且可根據接收到的無效第一設備標簽集使第二設備標簽集無效。

此外，本發明還描述了一種使用設備標簽集來識別設備的方法。一個實施該方法的計算機系統可經由網絡接收訪問服務器的請求。該請求包括第一設備標簽集。當該第一設備標簽集與先前分配的設備標簽集匹配時，該處理設備在不要求用戶提供完整訪問憑證的情況下允許對服務器的訪問，并且使該第一設備標簽集無效，然后發送第二設備標簽集。當該第一設備標簽集與先前分配的設備標簽集不匹配時，該處理設備要求用戶提供完整的訪問憑證。