CN106991317B - 安全验证方法、平台、装置和系统 - Google Patents
安全验证方法、平台、装置和系统 Download PDFInfo
- Publication number
- CN106991317B CN106991317B CN201611259993.XA CN201611259993A CN106991317B CN 106991317 B CN106991317 B CN 106991317B CN 201611259993 A CN201611259993 A CN 201611259993A CN 106991317 B CN106991317 B CN 106991317B
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- information
- equipment
- user
- fingerprints
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Power Engineering (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Collating Specific Patterns (AREA)
- Telephone Function (AREA)
- Lock And Its Accessories (AREA)
Abstract
本发明提供了一种安全验证方法,其包括:接收来自用户的业务请求,所述业务请求包括用户信息以及设备信息;基于所述设备信息创建当前设备指纹;获取设备指纹列表,所述设备指纹列表包括与所述用户关联的所有设备的先前存储的设备指纹;将所述当前设备指纹与所述设备指纹列表比对;以及在所述当前设备指纹与所述设备指纹列表中的至少一项匹配的情况下判定所述业务请求通过安全验证,其中所述设备信息包括设备硬件参数以及设备使用情况数据,并且所述设备指纹是基于设备硬件参数以及设备使用情况数据构建的设备模型。本发明还提供了相应的安全验证平台、在用户设备上实现的相应的安全验证方法、相应的安全验证装置以及安全验证系统。
Description
技术领域
本发明一般地涉及银行卡安全技术领域,并且具体地,涉及与诸如无卡支付等应用相关的安全验证方法和系统。
背景技术
随着虚拟化交易的普及,银行系统也开始越来越多地尝试无卡支付。在无卡支付的情况下,将银行卡放于手机中典型地可以有两种方式:一种是在无实体卡的情况下,用户通过特定的手机应用程序,向银行申请“空中发卡”,银行进行身份验证后,会将一张金融IC卡的全部信息加载到用户手机的SIM卡或者SD卡上;另一种是在已有实体卡的情况下,通过向发卡行申请实体卡的虚拟账户,发卡行基于令牌技术向用户发虚拟卡。这两种方式都存在认证难度大的问题,一般银行只会发卡给老客户。一般短信验证的方式也容易由于手机卡补办或者直接盗取验证码的原因而存在很大的安全隐患。
目前现有的一些空中发卡方法包括采集用户的生物特征信息进行用户身份认证,通过认证审核成功进行发卡。此类方法具有如下几个缺点:(1) 如指纹、声纹等生物特征信息容易被盗取伪造,并且还需要硬件设备支持生物特征信息的采集功能,对硬件要求较高;(2) 用户的生物特征信息被盗取或者伪造不易被察觉,导致盗取或者伪造者可利用该方法进行大量卡片申请,造成用户财产的持续损失;(3) 没有屏蔽非法行为的机制。
空中方法在很大程度上也依赖于用户所使用的设备,通常可能需要将与虚拟卡关联的账户信息与特定的用户设备进行绑定。目前对于诸如手机这样的多厂商不可控设备,也没有有效的终端ID可用于设备识别。这对于无卡支付的发卡阶段以及后续的交易阶段都造成了很大的安全隐患。
因此,所期望的是设计一种可靠的安全验证方案,以提高无卡支付系统的安全性并且促进无卡支付技术的推广。
发明内容
有鉴于此,本发明提供了一种安全验证方案,可改善上述问题。
一方面,本发明提供了一种安全验证方法,其包括:接收来自用户的业务请求,所述业务请求包括用户信息以及设备信息;基于所述设备信息创建当前设备指纹;获取设备指纹列表,所述设备指纹列表包括与所述用户关联的所有设备的先前存储的设备指纹;将所述当前设备指纹与所述设备指纹列表比对;以及在所述当前设备指纹与所述设备指纹列表中的至少一项匹配的情况下判定所述业务请求通过安全验证,其中所述设备信息包括设备硬件参数以及设备使用情况数据,并且所述设备指纹是基于所述设备信息构建的设备模型。
如上所述的安全验证方法,其中,所述设备使用情况数据包括设备的网络信息、地理位置信息以及用户偏好行为信息中的一个或多个。
如上所述的安全验证方法,其中,设备的网络信息包括设备的网络连接信息、TCP包属性、连接的路由器属性、HTTP协议属性、WiFi列表中的一个或多个。
如上所述的安全验证方法,其中,设备的地理位置信息包括基站定位地点、GPS定位地点、与时间相关联的轨迹及常用地中的一个或多个。
如上所述的安全验证方法,其中,设备的用户偏好行为信息包括操作系统类型、版本号、偏好设置、应用安装偏好设置、闹钟时间、开关机时间、应用使用频率及时间、屏幕操作时的接触面积、滑动方向、键盘输入的时间间隔、按压力度、陀螺仪信息、加速度计信息中的一个或多个。
如上所述的安全验证方法,其中,将所述当前设备指纹与所述设备指纹列表比对包括:根据所述设备模型所包含的所有参数进行逐项对比;为每个参数赋予匹配权重;将各个参数的对比结果按所述匹配权重进行加权平均;并且根据所述加权平均的结果来判断所述当前设备指纹是否与所述设备指纹列表中的项匹配。
如上所述的安全验证方法,其中,将所述当前设备指纹与所述设备指纹列表对比包括:依据所述设备历史使用情况对所述设备指纹列表中的每个设备指纹变化进行预测;并且将所述当前设备指纹与每个所述预测结果进行对比。
如上所述的安全验证方法,其中,所述方法还包括在将所述当前设备指纹与所述设备指纹列表比对之前,将所述当前设备指纹与设备指纹黑名单库进行对比,其中所述设备指纹黑名单库保存非法设备的设备指纹。
如上所述的安全验证方法,其中,与设备指纹黑名单库进行对比包括按关键设备参数的优先级逐级将所述当前设备指纹与黑名单库中的设备指纹进行比对。
如上所述的安全验证方法,其中,所述关键设备参数包括MAC地址、国际移动设备标识IMEI、设备序列号以及系统标识。
如上所述的安全验证方法,其中,所述先前存储的设备指纹基于设备硬件参数以及历史的设备使用情况数据生成。
如上所述的安全验证方法,其还包括周期性地从与所述用户关联的所有设备接收设备使用情况数据来更新所述设备指纹列表中的设备指纹。
如上所述的安全验证方法,其中,所述业务请求包括发卡请求以及交易请求。
如上所述的安全验证方法,其中,所述用户信息包括与所述业务相关联的用户名和密码。
另一方面,本发明还提供了一种安全验证平台,其包括:数据接收模块,用于接收来自用户的业务请求,所述业务请求包括用户信息以及设备信息;设备指纹创建模块,用于基于所述设备信息创建当前设备指纹;列表获取模块,用于获取设备指纹列表,所述设备指纹列表包括与所述用户关联的所有设备的先前存储的设备指纹;比对模块,用于将所述当前设备指纹与所述设备指纹列表比对;以及判定模块,用于在所述当前设备指纹与所述设备指纹列表中的至少一项匹配的情况下判定所述业务请求通过安全验证,其中所述设备信息包括设备硬件参数以及设备使用情况数据,并且所述设备指纹是基于所述设备信息构建的设备模型。
还有另一方面,本发明提供了一种安全验证方法,其包括:在设备处从用户获取采集设备信息的授权;依据所述授权从所述设备采集设备信息,所述设备信息包括设备硬件参数和设备使用情况数据;以及在用户使用所述设备向安全验证平台发送业务请求时在所述业务请求中添加所述设备信息。
如上所述的安全验证方法,其还包括:周期性地向所述安全验证平台传送所述设备使用情况数据。
又一方面,本发明提供了安全验证装置,其包括:授权模块,用于在设备处从用户获取采集设备信息的授权;信息采集模块,用于依据所述授权从所述设备采集设备信息,所述设备信息包括设备硬件参数和设备使用情况数据;以及信息添加模块,用于在用户使用所述设备向安全验证平台发送业务请求时在所述业务请求中添加所述设备信息。
还有另一方面,本发明提供了安全验证系统,其包括用户设备、如上所述的安全验证平台以及设备指纹库,其中所述用户设备包括如上所述的安全验证装置,并且其中,所述设备指纹库被配置为存储所述设备指纹列表。
附图说明
本发明的前述和其他目标、特征和优点根据下面对本发明的实施例的更具体的说明将是显而易见的,这些实施例在附图中被示意。
图1是根据本发明一个示例的安全验证系统的示意应用场景。
图2是根据本发明一个示例的安全验证方法的示意流程图。
图3是根据本发明另一示例的安全验证方法的示意流程图。
图4是根据本发明一个示例的安全验证平台的示意框图。
图5是根据本发明另一示例的安全验证装置的示意框图。
具体实施方式
现在参照附图描述本发明的示意性示例,相同的附图标号表示相同的元件。下文描述的各示例有助于本领域技术人员透彻理解本发明,且各示例意在示例而非限制。图中各元件、部件、模块、装置及设备本体的图示仅示意性表明存在这些元件、部件、模块、装置及设备本体同时亦表明它们之间的相对关系,但并不用以限定它们的具体形状;流程图中各步骤的关系也不以所给出的顺序为限,可根据实际应用进行调整但不脱离本申请的保护范围。
图1是根据本发明一个示例的安全验证系统的示意框图。如图1所示,根据本发明的安全验证系统包括安全验证平台101、用户设备102以及设备指纹库103,其中安全验证平台101被配置为与发卡行通信。图1所示的场景可以例如是无卡支付过程中的发卡环节。发卡行可以依赖于本发明所提供的安全验证平台101对来自用户设备102的发卡请求进行安全验证。也就是说,发卡行104可以在用户设备102通过安全验证平台的验证之后将用户设备102确定为可信设备,从而对该设备进行虚拟卡的发卡操作。
该安全验证平台101可以例如同时为多个发卡行进行服务。除图1所示的发卡环节应用之外,该安全验证平台101还可以为交易环节提供验证。例如,当用户设备需要利用与该设备绑定的虚拟卡进行支付时,支付请求同样可以首先由该安全验证平台来接收,以进行设备身份验证,并且支付确认方可以依据该验证结果来判断是否执行支付操作。在实践中,该安全验证平台可以独立地实现或者被集成在任何第三方的可信服务平台中。将在下文中结合图2来详细描述安全验证平台101的操作。
图1所示的用户设备102可以是任何硬件条件符合各机构的无卡支付条件的设备。此外,该用户设备102至少应具有远程通信能力,例如通过任何有线或无线的方式。举例来说,该设备可以例如是已有的或待开发的任何智能设备,例如手机、计算机、膝上型笔记本、个人数字助理(PDA)等等。
设备指纹库103可以是任何已有或待开发的数据库设备或数据服务器等。本领域技术人员能够理解该设备指纹库能够如图1所示的那样独立地实现,也可以与安全验证平台集成,或者与其他另外的数据处理设备集成。
图2是根据本发明一个示例的安全验证方法的示意流程图。该方法可以例如在图1所示的安全验证平台101中执行。以下结合图1所示的场景来对各步骤进行描述。
首先,在步骤21中,安全验证平台101接收来自用户的业务请求。该业务请求可以例如是用户通过其所持有的某一智能设备,例如用户设备102所发出的。该业务请求可以例如是向银行端发送的虚拟卡申请请求。在其他一些示例中,该业务请求也可以是交易请求,例如支付请求。
在本发明的一些示例中,用户通过智能设备所发出的业务请求均包含用户信息以及设备信息两部分。用户信息可以例如是用户名和密码,该用户名和密码可以是由用户针对某个机构的虚拟业务所设置的。举例来说,银行可能向用户提供诸如网上银行或手机银行之类的远程客户服务,用户可能需要为使用这些服务而在本地设备上进行用户注册,这通常以用户名和密码的形式来实现。本领域技术人员能够理解用户信息还可以包括其他任何能够唯一地标识用户身份的信息。
进一步地,设备信息至少需要包括设备硬件参数以及设备使用情况数据。设备硬件参数包括设备本身出厂时的设备硬件基本参数及编号等任何能够唯一识别该设备的信息。在一些示例中,设备硬件参数可以例如包括国际移动设备标识IMEI、设备的出厂序列号等等。
设备使用情况数据是与用户应用设备的方式相关的信息。在一些示例中,设备使用情况数据包括设备的网络信息、地理位置信息以及用户偏好行为信息中的一个或多个。举例来说,设备的网络信息可以包括设备的网络连接信息、TCP包属性、连接的路由器属性、HTTP协议属性、WiFi列表中的一个或多个。设备的地理位置信息可以例如是基站定位地点、GPS定位地点、与时间相关联的轨迹及常用地中的一个或多个。设备的用户偏好行为信息可以例如是操作系统类型、版本号、偏好设置、应用安装偏好设置、闹钟时间、开关机时间、应用使用频率及时间、屏幕操作时的接触面积、滑动方向、键盘输入的时间间隔、按压力度、陀螺仪信息、加速度计信息中的一个或多个。
在步骤23中,安全验证平台101将基于业务请求中所包含的设备信息为该设备创建当前设备指纹。设备指纹是基于设备硬件参数以及设备使用情况数据两者所构建的设备模型。设备使用情况数据可以是对该设备进行长期数据采集和统计的结果。由于加入了设备使用情况数据,依此构建的设备模型具有实时性和动态性,能够更可靠地对各个设备进行标识,消除了例如在设备被盗、遭到恶意篡改等情况下重要信息泄露、恶性邦卡、账户盗刷等的风险。
在步骤25中,安全验证平台101还将获取设备指纹列表,该设备指纹列表包括与用户关联的所有设备的、先前存储的设备指纹。在一些示例中,该设备指纹列表被存储在设备指纹库103中。
在一些示例中,先前存储的设备指纹基于设备硬件参数以及历史的设备使用情况数据生成。安全验证平台101可以例如在用户发送业务请求之前就从该设备接收设备使用情况数据。这些设备使用情况数据可以例如从用户为使用机构的远程服务在本地设备上进行用户注册时开始被收集并且与设备硬件参数和用户信息一起向安全验证平台发送。安全验证平台101可以利用预先设计的建模算法将这些硬件信息和动态信息汇总为能够表征设备的设备指纹,并且将所生成的设备指纹与相应的用户信息一起发送至设备指纹库103。在设备指纹库中,可以以用户信息为索引以列表的形式存储用户的每个设备的设备指纹。在实践中,一个用户可以有一台或者多台智能设备,因此同一用户信息可以对应一个设备指纹,也可以对应多个设备指纹。
在一些示例中,安全验证平台还可以周期性地从与用户关联的设备接收设备使用情况数据来更新所述设备指纹列表中的设备指纹。由于用户的实际情况可能发生变化,设备使用情况也可能相应地发生变化。例如用户由于居住地变化而导致设备的地理位置信息改变。通过不断接收最近的设备使用情况可以保证设备指纹的时效性,从而提供更好的用户体验。
此外,设备指纹库还可以通过由用户直接去发卡行对设备进行现场备案来生成。设备指纹库的这种建立方式尤其适合用户在首次通过该设备针对发卡机构创建账户时要求虚拟卡绑定的情况。在另外一些示例中,安全验证平台还可以从第三方接收类似的设备信息来进行设备指纹的构建。无论在哪种情况下,在设备使用情况数据的传输过程中优选地采用单向加密传输的方式,以确保用户信息及设备信息的安全性。
在步骤27中,安全验证平台101将所生成的当前设备指纹与设备指纹列表中的所有设备指纹进行比对,以确定发送业务请求的设备的正当性。
在一些示例中,可以根据设备指纹所代表的设备模型中包含的所有参数进行逐项对比。这种逐项对比可以被认为是一种静态匹配。其中,参数可以包括设备硬件参数以及诸如网络信息、地理位置信息以及用户偏好行为信息的设备使用情况参数。在按各个参数进行精确匹配的过程中,可以为每个参数赋予匹配权重。如在上文中所提及的,设备指纹是一种具有动态性的设备标识,其中与设备使用情况相关的参数会随着用户状态的改变而发生变化。设备指纹库中所存储的设备指纹与当前生成的设备指纹之间在时效性上存在一定的差异,因此不一定需要每个参数都完全一致,而是可以通过权重来加以区别。进一步地,可以将当前设备指纹与列表中的每一项的各个参数的对比结果按预先分配的匹配权重进行加权平均,计算多值匹配度。最后,根据加权平均的结果,即多值匹配度来判断当前设备指纹是否与设备指纹列表中的项匹配。在一些示例中,例如可以将加权平均的结果与预先确定的阈值进行比较:如高于阈值则认为是匹配,否则认为是不匹配。
在另外一些示例中,还可以采用动态匹配的方式。如在上文中所提及的,设备指纹是一种具有动态性的设备标识,尤其是其中与设备使用情况相关的参数可能不断发生变化。因此,在设备指纹匹配时,除了当前值与存储值的精确匹配之外,还可以将当前值与基于以往数据的预测进行比较。在一些示例中,利用与设备指纹库集成的或独立于该设备指纹库的外部处理设备通过机器学习的方法,分析前期采集的硬件信息和设备使用情况数据,由此预测持续的设备指纹变化,并将该预测结果作为更新的设备指纹存储在设备指纹库中,用于后续的设备指纹比对。通过动态方法进行比对,可以在保证安全性的同时,大大改善用户体验,为整个业务处理过程增加便利性。此外,还可以同时地或交替地采用动态或静态的对比方式。
在将当前设备指纹与设备指纹列表中的各项进行比对,并且确定至少有一项匹配的情况下,安全验证平台在步骤29中判定所收到的业务请求通过安全验证。进一步地,在图1所示的场景中,安全验证平台101会通知发卡行可以开始正常的虚拟卡发卡或绑卡操作。
在本发明中,通过结合设备的使用情况数据来构建设备指纹,有效地解决了现有无卡支付发卡和交易环节仅基于卡号信息及手机码验证等方式的不足,大大降低了恶意绑卡及盗刷的风险。相比于生物特征信息,用户的智能设备在被盗取后可以及时由安全验证平台发觉,从而及时联系验证平台或者发卡行进行设备指纹的报失冻结或者信息的更新,并且由于采取了单向加密的保护措施,即使智能设备被盗取也不会丢失个人信息。此外,本发明所提供的方案通过加强服务器端的验证处理,使得在用户端的验证条件要求被降低。
在一些优选示例中,除图2所示的步骤之外,安全验证平台101还可以被配置为在将当前设备指纹与设备指纹列表比对之前,将该当前设备指纹与设备指纹黑名单库进行对比。一般地,设备指纹黑名单库保存非法设备的设备指纹,这些非法设备的信息可以从外部收集也可以通过在之前的比对过程中不断积累。
与设备指纹黑名单库的比对同样可以采用上文中就设备指纹列表比对所描述的静态和动态方法。在另外一些示例中,与设备指纹黑名单库进行对比可以是按关键设备参数的优先级逐级将所述当前设备指纹与黑名单库中的设备指纹进行比对。举例来说,关键设备参数可以是MAC地址、国际移动设备标识IMEI、设备序列号以及系统标识,优先级按各项所列出的顺序为从高到低。也就是说,在黑名单比对中,首先将当前设备指纹包含的MAC地址信息与黑名单库中的每个设备指纹项中的MAC地址信息比对。如果找到匹配,则可以将当前请求中的设备指纹判定为审核失败。如果没有找到MAC地址信息匹配的项,则接着比对设备序列号,以此类推。
相比于传统的单因子体系和设备信息字符串体系的不足,采用多因子分离式认证方式,基于诸如MAC地址、IMEI、序列号和安卓ID等关键设备参数作为黑名单设备指纹因子,并根据几个设备指纹因子的唯一性和可靠性的强度优先级,构建设备指纹黑名单因子层级库。在黑名单入库阶段,会对相关指纹因子的唯一性和可靠性进行检测,并依据检测结果选择可靠的因子入黑名单因子层级库,从而提高了黑名单库的有效性。依据预先设定的可靠度优先级逐级比较,可以实现对黑名单设备的精确匹配追踪。
在一些示例中,黑名单的建立可以按照以下原则:一次审核失败的设备指纹信息进入灰名单列表,多次审核失败的进入黑名单。此外,机构的其他业务系统也可以按照业务规则将违规的设备列入设备指纹黑名单。
此外,黑名单列表中的设备指纹也可以进行恢复。例如,用户可以向安全验证平台提交用户资料,经过审核成功则可删除黑名单列表中用户的对应设备。
在设备指纹列表比对之前,通过黑名单比对直接对于非法设备拒绝审核,这提高了无卡支付发卡的安全性以及高危情况下非法设备审核的效率。
图3是根据本发明另一示例的安全验证方法的示意流程图。图3所示的安全验证方法通常可以在图1所示的用户设备102中实现,与图2所示的方法共同来完成本发明所提供的安全验证方案。
如图3所示,首先在步骤31在设备处从用户获取采集设备信息的授权。接着,在步骤33中,依据该授权从用户的设备采集设备信息。在本发明中,所采集的设备信息至少包括设备硬件参数和设备使用情况数据两者,其中设备使用情况数据例如可以是设备的网络信息、地理位置信息以及用户偏好行为信息等等。进一步地,在步骤35中,当用户使用该设备向安全验证平台发送业务请求时在该业务请求中添加所采集的设备信息。
图3所示的方法可以例如在用户设备上安装的应用程序(APP)中实现,或者被实现为软件开发工具包SDK以嵌入机构向用户设备所提供的应用程序中。举例来说,用户为使用机构所提供的手机银行服务可能需要在手机设备上安装相应的APP。该APP可以在用户创建帐户(通常包括用户名和密码)并用该帐户登录之后向用户请求授权,并在获得授权之后对设备信息进行采集。所采集的信息可以被发送至安全验证平台以为该设备创建设备指纹,无论用户是否进行任何业务请求。安全验证平台可以将所有来自同一用户账户的设备指纹信息存储为设备指纹列表,如在上文中所描述的那样。在一些示例中,用户设备上的应用程序还可以周期性地向安全验证平台传送设备使用情况数据,以供安全验证平台不断地对设备指纹库进行更新,从而有助于与之后收到的业务请求中的设备信息进行比对。
本领域技术人员能够理解图3所示的方法不必须实现在用户的设备上,而可以例如由独立的第三方来实现。此外,该方法也可以任何软件或硬件的形式来实现。
总的来说,采用本发明所提供的安全验证方案对于用户使用的智能设备没有附加的功能要求,通常只需要用户授权验证方或机构方获取设备的权利,这大大提高了用户体验并且降低了各方用于设备审核的成本。
图4是根据本发明一个示例的安全验证平台的示意框图。如图4所示,安全验证平台400包括数据接收模块41,设备指纹创建模块43、列表获取模块45、比对模块47以及判定模块。具体地,数据接收模块41用于接收来自用户的业务请求。在本发明中,这些业务请求就包括用户信息和设备信息两者,其中设备信息将包括设备硬件参数以及设备使用情况数据。设备指纹创建模块43用于基于设备信息创建当前设备指纹。在本发明中,设备指纹是基于设备硬件参数以及设备使用情况数据构建的设备模型。列表获取模块45用于获取设备指纹列表,该设备指纹列表包括与该用户关联的所有设备的先前存储的设备指纹。比对模块47用于将当前设备指纹与设备指纹列表中的各个设备指纹进行比对。判定模块49用于在当前设备指纹与设备指纹列表中的至少一项匹配的情况下判定所接收的业务请求通过安全验证。
图4所示的安全验证平台400能够被配置为实现上文所描述的任何与本发明所提供的、在安全验证平台处实现的安全验证过程相关的操作。本领域技术人员能够理解,图4所示的模块划分仅是示意性的,这些模块能够按照具体实现来集成或进一步划分,并且以任何软件或硬件的形式来实现。
图5是根据本发明另一示例的安全验证装置的示意框图。如图5所示,安全验证装置500包括授权模块51、信息采集模块53以及信息添加模块55。在实践中,该安全验证装置500可以被集成或安装在用户可能用来向机构发送业务请求的设备中。具体地,授权模块51用于在设备处从用户获取采集设备信息的授权。信息采集模块53用于依据所获得的授权从用户的设备采集设备信息。在本发明中,所采集的设备信息将包括设备硬件参数和设备使用情况数据两者。信息添加模块55用于在用户使用其设备向安全验证平台发送业务请求时在该业务请求中添加所采集的设备信息。
图5所示的安全验证装置500能够被配置为实现上文所描述的任何与本发明所提供的安全验证过程相关的、在用户设备处实现的操作。本领域技术人员能够理解,图5所示的模块划分仅是示意性的,这些模块能够按照具体实现来集成或进一步划分,并且以任何软件或硬件的形式来实现。
应当说明的是,以上具体实施方式仅用以说明本发明的技术方案而非对其进行限制。尽管参照上述具体实施方式对本发明进行了详细的说明,本领域的普通技术人员应当理解,依然可以对本发明的具体实施方式进行修改或对部分技术特征进行等同替换而不脱离本发明的实质,其均涵盖在本发明请求保护的范围中。
Claims (17)
1.一种安全验证方法,其包括:
接收来自用户的业务请求,所述业务请求包括用户信息以及设备信息;
基于所述设备信息创建当前设备指纹;
获取设备指纹列表,所述设备指纹列表包括与所述用户关联的所有设备的先前存储的设备指纹;
将所述当前设备指纹与所述设备指纹列表比对;以及
在所述当前设备指纹与所述设备指纹列表中的至少一项匹配的情况下判定所述业务请求通过安全验证,
其中所述设备信息包括设备硬件参数以及设备使用情况数据,并且所述设备指纹是基于设备硬件参数以及设备使用情况数据构建的设备模型,
所述方法还包括在将所述当前设备指纹与所述设备指纹列表比对之前,将所述当前设备指纹与设备指纹黑名单库进行对比,其中所述设备指纹黑名单库保存非法设备的设备指纹,
其中,与设备指纹黑名单库进行对比包括按关键设备参数的优先级逐级将所述当前设备指纹与黑名单库中的设备指纹进行比对,其中,关键设备参数的优先级基于设备指纹因子的唯一性和可靠性,
其中,利用与设备指纹库集成的或独立于该设备指纹库的外部处理设备通过机器学习的方法,分析前期采集的所述设备硬件参数以及设备使用情况数据,由此预测持续的设备指纹变化,并将该预测结果作为更新的设备指纹存储在设备指纹库中,用于后续的设备指纹比对。
2.如权利要求1所述的安全验证方法,其中,所述设备使用情况数据包括设备的网络信息、地理位置信息以及用户偏好行为信息中的一个或多个。
3.如权利要求2所述的安全验证方法,其中,设备的网络信息包括设备的网络连接信息、TCP包属性、连接的路由器属性、HTTP协议属性、WiFi列表中的一个或多个。
4.如权利要求2所述的安全验证方法,其中,设备的地理位置信息包括基站定位地点、GPS定位地点、与时间相关联的轨迹及常用地中的一个或多个。
5.如权利要求2所述的安全验证方法,其中,设备的用户偏好行为信息包括操作系统类型、版本号、偏好设置、应用安装偏好设置、闹钟时间、开关机时间、应用使用频率及时间、屏幕操作时的接触面积、滑动方向、键盘输入的时间间隔、按压力度、陀螺仪信息、加速度计信息中的一个或多个。
6.如权利要求1所述的安全验证方法,其中,将所述当前设备指纹与所述设备指纹列表比对包括:
根据所述设备模型所包含的所有参数进行逐项对比;
为每个参数赋予匹配权重;
将各个参数的对比结果按所述匹配权重进行加权平均;并且
根据所述加权平均的结果来判断所述当前设备指纹是否与所述设备指纹列表中的项匹配。
7.如权利要求1所述的安全验证方法,其中,将所述当前设备指纹与所述设备指纹列表对比包括:
依据所述设备历史使用情况对所述设备指纹列表中的每个设备指纹变化进行预测;并且
将所述当前设备指纹与每个所述预测结果进行对比。
8.如权利要求1所述的安全验证方法,其中,所述方法还包括在将所述当前设备指纹与所述设备指纹列表比对之前,将所述当前设备指纹与设备指纹黑名单库进行对比,其中所述设备指纹黑名单库保存非法设备的设备指纹。
9.如权利要求8所述的安全验证方法,其中,与设备指纹黑名单库进行对比包括按关键设备参数的优先级逐级将所述当前设备指纹与黑名单库中的设备指纹进行比对。
10.如权利要求9所述的安全验证方法,其中,所述关键设备参数包括MAC地址、国际移动设备标识IMEI、设备序列号以及系统标识。
11.如权利要求1所述的安全验证方法,其中,所述先前存储的设备指纹基于设备硬件参数以及历史的设备使用情况数据生成。
12.如权利要求1所述的安全验证方法,其还包括周期性地从与所述用户关联的所有设备接收设备使用情况数据来更新所述设备指纹列表中的设备指纹。
13.如权利要求1所述的安全验证方法,其中,所述业务请求包括发卡请求以及交易请求。
14.如权利要求1所述的安全验证方法,其中,所述用户信息包括与所述业务相关联的用户名和密码。
15.一种安全验证平台,其包括:
数据接收模块,用于接收来自用户的业务请求,所述业务请求包括用户信息以及设备信息;
设备指纹创建模块,用于基于所述设备信息创建当前设备指纹;
列表获取模块,用于获取设备指纹列表,所述设备指纹列表包括与所述用户关联的所有设备的先前存储的设备指纹;
比对模块,用于将所述当前设备指纹与所述设备指纹列表比对;以及
判定模块,用于在所述当前设备指纹与所述设备指纹列表中的至少一项匹配的情况下判定所述业务请求通过安全验证,
其中所述设备信息包括设备硬件参数以及设备使用情况数据,并且所述设备指纹是基于设备硬件参数以及设备使用情况数据构建的设备模型,
其中,在将所述当前设备指纹与所述设备指纹列表比对之前,将所述当前设备指纹与设备指纹黑名单库进行对比,其中所述设备指纹黑名单库保存非法设备的设备指纹,
其中,与设备指纹黑名单库进行对比包括按关键设备参数的优先级逐级将所述当前设备指纹与黑名单库中的设备指纹进行比对,其中,关键设备参数的优先级基于设备指纹因子的唯一性和可靠性,
其中,利用与设备指纹库集成的或独立于该设备指纹库的外部处理设备通过机器学习的方法,分析前期采集的所述设备硬件参数以及设备使用情况数据,由此预测持续的设备指纹变化,并将该预测结果作为更新的设备指纹存储在设备指纹库中,用于后续的设备指纹比对。
16.一种安全验证装置,其包括:
授权模块,用于在设备处从用户获取采集设备信息的授权;
信息采集模块,用于依据所述授权从所述设备采集设备信息,所述设备信息包括设备硬件参数和设备使用情况数据;以及
信息添加模块,用于在用户使用所述设备向安全验证平台发送业务请求时在所述业务请求中添加所述设备信息,
其中,在将设备指纹与设备指纹列表比对之前,将设备指纹与设备指纹黑名单库进行对比,其中设备指纹黑名单库保存非法设备的设备指纹,
其中,与设备指纹黑名单库进行对比包括按关键设备参数的优先级逐级将设备指纹与黑名单库中的设备指纹进行比对,其中,关键设备参数的优先级基于设备指纹因子的唯一性和可靠性。
17.一种安全验证系统,其包括用户设备、如权利要求15所述的安全验证平台以及设备指纹库,其中所述用户设备包括如权利要求16所述的安全验证装置,并且其中,所述设备指纹库被配置为存储所述设备指纹列表。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611259993.XA CN106991317B (zh) | 2016-12-30 | 2016-12-30 | 安全验证方法、平台、装置和系统 |
| PCT/CN2017/117600 WO2018121387A1 (zh) | 2016-12-30 | 2017-12-21 | 安全验证方法、平台、装置和系统 |
| TW106145987A TWI718354B (zh) | 2016-12-30 | 2017-12-27 | 安全驗證方法、平臺、裝置和系統 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611259993.XA CN106991317B (zh) | 2016-12-30 | 2016-12-30 | 安全验证方法、平台、装置和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN106991317A CN106991317A (zh) | 2017-07-28 |
| CN106991317B true CN106991317B (zh) | 2020-01-21 |
Family
ID=59414363
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611259993.XA Active CN106991317B (zh) | 2016-12-30 | 2016-12-30 | 安全验证方法、平台、装置和系统 |
Country Status (3)
| Country | Link |
|---|---|
| CN (1) | CN106991317B (zh) |
| TW (1) | TWI718354B (zh) |
| WO (1) | WO2018121387A1 (zh) |
Families Citing this family (33)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106991317B (zh) * | 2016-12-30 | 2020-01-21 | 中国银联股份有限公司 | 安全验证方法、平台、装置和系统 |
| CN107404491B (zh) * | 2017-08-14 | 2018-06-22 | 腾讯科技(深圳)有限公司 | 终端环境异常检测方法、检测装置及计算机可读存储介质 |
| CN110737881B (zh) * | 2018-07-18 | 2021-01-26 | 马上消费金融股份有限公司 | 一种智能设备指纹验证方法及装置 |
| CN109255623A (zh) * | 2018-07-27 | 2019-01-22 | 重庆小雨点小额贷款有限公司 | 一种业务审批方法、服务器、客户端及存储介质 |
| CN109120605A (zh) | 2018-07-27 | 2019-01-01 | 阿里巴巴集团控股有限公司 | 身份验证及账户信息变更方法和装置 |
| CN109146616A (zh) * | 2018-07-27 | 2019-01-04 | 重庆小雨点小额贷款有限公司 | 一种业务审批方法、装置、服务器及存储介质 |
| CN109889487B (zh) * | 2018-12-29 | 2021-11-12 | 奇安信科技集团股份有限公司 | 外部设备接入终端的处理方法及装置 |
| US20210264299A1 (en) * | 2019-06-26 | 2021-08-26 | Rakuten, Inc. | Fraud estimation system, fraud estimation method and program |
| CN110427785B (zh) * | 2019-07-23 | 2023-07-14 | 腾讯科技(深圳)有限公司 | 设备指纹的获取方法和装置、存储介质及电子装置 |
| US11251963B2 (en) | 2019-07-31 | 2022-02-15 | Advanced New Technologies Co., Ltd. | Blockchain-based data authorization method and apparatus |
| US11252166B2 (en) | 2019-07-31 | 2022-02-15 | Advanced New Technologies Co., Ltd. | Providing data authorization based on blockchain |
| CN110473096A (zh) * | 2019-07-31 | 2019-11-19 | 阿里巴巴集团控股有限公司 | 基于智能合约的数据授权方法及装置 |
| US11057189B2 (en) | 2019-07-31 | 2021-07-06 | Advanced New Technologies Co., Ltd. | Providing data authorization based on blockchain |
| CN110543506B (zh) * | 2019-09-10 | 2022-09-09 | 百度在线网络技术(北京)有限公司 | 数据分析方法、装置、电子设备及存储介质 |
| CN112491776B (zh) * | 2019-09-11 | 2022-10-18 | 华为云计算技术有限公司 | 安全认证方法及相关设备 |
| CN110557829B (zh) * | 2019-09-17 | 2020-12-11 | 北京东方国信科技股份有限公司 | 一种融合指纹库的定位方法及定位装置 |
| CN110689019B (zh) * | 2019-09-27 | 2022-05-24 | 中国银行股份有限公司 | Ocr识别模型的确定方法及装置 |
| CN111193714B (zh) * | 2019-12-06 | 2022-10-04 | 武汉极意网络科技有限公司 | 一种验证码打码平台自动化追踪方法及系统 |
| CN112948771B (zh) * | 2019-12-11 | 2023-04-18 | 浙江宇视科技有限公司 | 权限校验方法、装置、可读存储介质及电子设备 |
| TWI727566B (zh) * | 2019-12-26 | 2021-05-11 | 玉山商業銀行股份有限公司 | 設備綁定驗證方法及系統 |
| US11310051B2 (en) | 2020-01-15 | 2022-04-19 | Advanced New Technologies Co., Ltd. | Blockchain-based data authorization method and apparatus |
| CN111291356B (zh) * | 2020-03-03 | 2023-01-24 | Oppo广东移动通信有限公司 | 安全风险控制方法及相关产品 |
| CN112073375B (zh) * | 2020-08-07 | 2023-09-26 | 中国电力科学研究院有限公司 | 一种适用于电力物联网客户侧的隔离装置及隔离方法 |
| CN112581123B (zh) * | 2020-12-08 | 2024-02-23 | 中国银联股份有限公司 | 卡管理方法、用户终端、服务器、系统及存储介质 |
| CN112765587A (zh) * | 2021-01-20 | 2021-05-07 | Oppo广东移动通信有限公司 | 业务操作验证方法和装置、控制方法和装置、服务器 |
| CN113037736B (zh) * | 2021-03-02 | 2023-07-14 | 四川九州电子科技股份有限公司 | 一种认证鉴权方法、装置、系统及计算机存储介质 |
| CN113191892A (zh) * | 2021-05-27 | 2021-07-30 | 中国工商银行股份有限公司 | 基于设备指纹的账户风险防控方法、装置、系统及介质 |
| CN113468495A (zh) * | 2021-06-30 | 2021-10-01 | 上海和数软件有限公司 | 一种区块链指纹识别认证个人资产的实现方法 |
| CN113572773A (zh) * | 2021-07-27 | 2021-10-29 | 迈普通信技术股份有限公司 | 一种接入设备及终端接入控制方法 |
| CN113643042B (zh) * | 2021-08-20 | 2024-04-05 | 武汉极意网络科技有限公司 | 一种基于线上业务安全的安全验证系统 |
| CN113901417B (zh) * | 2021-10-09 | 2024-01-30 | 中原银行股份有限公司 | 一种移动设备指纹生成方法及可读存储介质 |
| TWI813326B (zh) * | 2022-06-08 | 2023-08-21 | 英屬開曼群島商網際威信股份有限公司 | 設備指紋推論系統及方法 |
| CN116975831B (zh) * | 2023-09-25 | 2023-12-05 | 国网山东省电力公司日照供电公司 | 一种基于指纹识别技术的安全认证方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104867011A (zh) * | 2014-02-21 | 2015-08-26 | 中国电信股份有限公司 | 对移动支付进行安全控制的方法与装置 |
| CN105933266A (zh) * | 2015-08-20 | 2016-09-07 | 中国银联股份有限公司 | 一种验证方法及服务器 |
| CN105989079A (zh) * | 2015-02-11 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 获取设备指纹的方法及装置 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103186851B (zh) * | 2011-12-30 | 2018-05-25 | 上海博泰悦臻电子设备制造有限公司 | 基于云数据处理技术的电子支付系统 |
| CN102710770A (zh) * | 2012-06-01 | 2012-10-03 | 汪德嘉 | 一种上网设备识别方法及其实现系统 |
| WO2014145708A1 (en) * | 2013-03-15 | 2014-09-18 | Visa International Service Association | Snap mobile security apparatuses, methods and systems |
| CN105989373B (zh) * | 2015-02-15 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 利用训练模型实现的获取设备指纹方法及装置 |
| CN106991317B (zh) * | 2016-12-30 | 2020-01-21 | 中国银联股份有限公司 | 安全验证方法、平台、装置和系统 |
-
2016
- 2016-12-30 CN CN201611259993.XA patent/CN106991317B/zh active Active
-
2017
- 2017-12-21 WO PCT/CN2017/117600 patent/WO2018121387A1/zh active Application Filing
- 2017-12-27 TW TW106145987A patent/TWI718354B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104867011A (zh) * | 2014-02-21 | 2015-08-26 | 中国电信股份有限公司 | 对移动支付进行安全控制的方法与装置 |
| CN105989079A (zh) * | 2015-02-11 | 2016-10-05 | 阿里巴巴集团控股有限公司 | 获取设备指纹的方法及装置 |
| CN105933266A (zh) * | 2015-08-20 | 2016-09-07 | 中国银联股份有限公司 | 一种验证方法及服务器 |
Also Published As
| Publication number | Publication date |
|---|---|
| TWI718354B (zh) | 2021-02-11 |
| TW201824108A (zh) | 2018-07-01 |
| WO2018121387A1 (zh) | 2018-07-05 |
| CN106991317A (zh) | 2017-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106991317B (zh) | 安全验证方法、平台、装置和系统 | |
| CN109691014B (zh) | 物联网装置和应用程序之间的生物计量识别和验证 | |
| EP3271885B1 (en) | Multi-device transaction verification | |
| EP1922632B1 (en) | Extended one-time password method and apparatus | |
| EP2248295B1 (en) | System and method for wireless device based user authentication | |
| CN106850209A (zh) | 一种身份认证方法及装置 | |
| US20220094678A1 (en) | Systems and methods for user authentication based on multiple devices | |
| CN103905194B (zh) | 身份溯源认证方法及系统 | |
| JP2011523726A (ja) | 通信装置を一時的にパーソナル化する方法 | |
| Cheng et al. | A secure and practical key management mechanism for NFC read-write mode | |
| CN101909279A (zh) | 应用于手机视频监控的鉴权方法 | |
| CN103856940A (zh) | 安全认证方法和系统 | |
| CN107046516B (zh) | 一种识别移动终端身份的风控控制方法及装置 | |
| CN109587683B (zh) | 短信防监听的方法及系统、应用程序和终端信息数据库 | |
| KR101212509B1 (ko) | 서비스 제어시스템 및 그 방법 | |
| KR101879843B1 (ko) | Ip 주소와 sms를 이용한 인증 방법 및 시스템 | |
| CN103679975A (zh) | 一种用于移动终端的支付方法和系统 | |
| CN105471920A (zh) | 一种验证码处理方法及装置 | |
| CN105678543A (zh) | 支付密钥计算方法和装置 | |
| CN105279414A (zh) | 一种基于指纹应用的验证装置及方法 | |
| CN109561428A (zh) | 远程鉴权方法及其装置、设备和存储介质 | |
| KR20170042137A (ko) | 인증 서버 및 방법 | |
| Jayapandian | Business Transaction Privacy and Security Issues in Near Field Communication | |
| CN114553573A (zh) | 身份认证方法及装置 | |
| Prayogi et al. | Utilization of Mobile Network Infrastructure to Prevent Financial Mobile Application Account Takeover |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1240346 Country of ref document: HK |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |