CN111598573A - 一种设备指纹验证方法及装置 - Google Patents
一种设备指纹验证方法及装置 Download PDFInfo
- Publication number
- CN111598573A CN111598573A CN202010281402.9A CN202010281402A CN111598573A CN 111598573 A CN111598573 A CN 111598573A CN 202010281402 A CN202010281402 A CN 202010281402A CN 111598573 A CN111598573 A CN 111598573A
- Authority
- CN
- China
- Prior art keywords
- target
- information
- private key
- fingerprint
- digital signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012795 verification Methods 0.000 title claims abstract description 70
- 238000000034 method Methods 0.000 title claims abstract description 60
- 238000004590 computer program Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 abstract description 5
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 6
- 238000012954 risk control Methods 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- VZSRBBMJRBPUNF-UHFFFAOYSA-N 2-(2,3-dihydro-1H-inden-2-ylamino)-N-[3-oxo-3-(2,4,6,7-tetrahydrotriazolo[4,5-c]pyridin-5-yl)propyl]pyrimidine-5-carboxamide Chemical compound C1C(CC2=CC=CC=C12)NC1=NC=C(C=N1)C(=O)NCCC(N1CC2=C(CC1)NN=N2)=O VZSRBBMJRBPUNF-UHFFFAOYSA-N 0.000 description 1
- YLZOPXRUQYQQID-UHFFFAOYSA-N 3-(2,4,6,7-tetrahydrotriazolo[4,5-c]pyridin-5-yl)-1-[4-[2-[[3-(trifluoromethoxy)phenyl]methylamino]pyrimidin-5-yl]piperazin-1-yl]propan-1-one Chemical compound N1N=NC=2CN(CCC=21)CCC(=O)N1CCN(CC1)C=1C=NC(=NC=1)NCC1=CC(=CC=C1)OC(F)(F)F YLZOPXRUQYQQID-UHFFFAOYSA-N 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 238000007599 discharging Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000005484 gravity Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000010079 rubber tapping Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000005236 sound signal Effects 0.000 description 1
- 238000010897 surface acoustic wave method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/40—Authorisation, e.g. identification of payer or payee, verification of customer or shop credentials; Review and approval of payers, e.g. check credit lines or negative lists
- G06Q20/401—Transaction verification
- G06Q20/4014—Identity check for transactions
- G06Q20/40145—Biometric identity checks
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q20/00—Payment architectures, schemes or protocols
- G06Q20/38—Payment protocols; Details thereof
- G06Q20/382—Payment protocols; Details thereof insuring higher security of transaction
- G06Q20/3829—Payment protocols; Details thereof insuring higher security of transaction involving key management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0872—Generation of secret information including derivation or calculation of cryptographic keys or passwords using geo-location information, e.g. location data, time, relative position or proximity to other entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0877—Generation of secret information including derivation or calculation of cryptographic keys or passwords using additional device, e.g. trusted platform module [TPM], smartcard, USB or hardware security module [HSM]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
- H04L9/0897—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage involving additional devices, e.g. trusted platform module [TPM], smartcard or USB
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3226—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using a predetermined code, e.g. password, passphrase or PIN
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Finance (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Power Engineering (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Collating Specific Patterns (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明实施例提供一种设备指纹验证方法及装置,涉及通信技术领域,以解决安全认证的安全性较低的问题。该方法包括:接收目标设备指纹;在目标设备指纹包括第一信息和数字签名的情况下,根据第一信息,获取目标公钥,第一信息指示设备唯一标识;根据目标公钥,验签该数字签名对应的目标私钥;在验签成功的情况下,确定目标设备指纹为安全的设备指纹;其中,第一信息关联目标公钥,该数字签名关联目标私钥;该设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储于该电子设备的RPMB中。
Description
技术领域
本发明实施例涉及通信技术领域,尤其涉及一种设备指纹验证方法及装置。
背景技术
随着通信技术的发展,用户使用电子设备支付的频率越来越高,电子设备的数据安全也越来越重要。
通常,设备指纹是通过采集电子设备的信息生成电子设备唯一的标识码,比如可以通过电子设备的国际移动设备识别码(international mobile equipment identity,IMEI)、媒体访问控制地址(media access control address,MAC)或者安卓标识(identitydocument,ID)等信息,生成电子设备的设备指纹。线上风险控制系统可以利用设备指纹验证收到的服务请求是否为安全的服务请求,通常,在收到一个携带有设备指纹的服务请求后,可以通过在线上风险控制系统中是否存储有该设备指纹,判断该服务请求是否为一个安全的服务请求。
然而,设备指纹容易被攻击者篡改、伪造,若线上风险控制系统将伪造的第一电子设备的设备指纹,确定一个服务请求为安全的服务请求,可能导致第一电子设备的用户财产损失,因此,目前的安全认证的安全性较低。
发明内容
本发明实施例提供一种设备指纹验证方法及装置,以解决安全认证的安全性较低的问题。
为了解决上述技术问题,本发明实施例是这样实现的:
第一方面,本发明实施例提供一种设备指纹验证方法,应用于服务器,该方法包括:接收目标设备指纹;在目标设备指纹包括第一信息和数字签名的情况下,根据第一信息,获取目标公钥,该第一信息指示设备唯一标识;根据目标公钥验签该数字签名对应的目标私钥;在验签成功的情况下,确定目标设备指纹为安全的设备指纹;其中,第一信息关联目标公钥,该数字签名关联目标私钥;该设备唯一标识、目标公钥,以及目标私钥在可信执行环境(trust execution environment,TEE)中生成,该目标私钥存储于电子设备的重放保护存储块(replay protected memory block,RPMB)中。
第二方面,本发明实施例还提供了一种服务器,该服务器包括:接收模块、获取模块、验签模块和确定模块;接收模块,用于接收目标设备指纹;获取模块,用于在接收模块接收的目标设备指纹包括第一信息和数字签名的情况下,根据第一信息,获取目标公钥,第一信息指示设备唯一标识;验签模块,用于根据获取模块获取的目标公钥验签该数字签名对应的目标私钥;确定模块,用于在验签模块验签成功的情况下,确定目标设备指纹为安全的设备指纹;其中,第一信息关联目标公钥,该数字签名关联目标私钥;该设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储于该电子设备的RPMB中。
第三方面,本发明实施例提供了一种服务器,包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序,该计算机程序被该处理器执行时实现如第一方面所述的设备指纹验证方法的步骤。
在本发明实施例中,服务器接收到的目标设备指纹,可以为一个安全的设备指纹,也可以为一个不安全的设备指纹,服务器可通过目标设备指纹中的信息进行设备指纹的验证,具体的,在目标设备指纹包括第一信息和数字签名的情况下,第一信息指示设备唯一标识,第一信息关联目标公钥,数字签名关联目标私钥,即设备唯一标识、目标公钥和目标私钥具有对应关系,而设备唯一标识、目标公钥和目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB块中,因此目标私钥不容易被篡改,服务器可以根据第一信息,获取目标公钥,然后,根据目标公钥验签数字签名对应的目标私钥;在验签成功的情况下,表示目标公钥和目标私钥匹配,该目标设备指纹中的信息真实且未被篡改,否则服务器可以确定目标设备指纹为被篡改或为伪造的设备指纹,即服务器可以根据目标设备指纹中携带的信息快速的确定目标设备指纹是否安全,从而使得使用电子设备在支付或验证身份的场景中更加安全。
第四方面,本发明实施例提供一种设备指纹验证方法,应用于电子设备,该方法包括:在满足预设条件的情况下,获取第一信息,预设条件指示该电子设备向服务器发送设备指纹进行安全验证,第一信息指示该电子设备的设备唯一标识;采用目标私钥签名,得到数字签名;根据第一信息和该数字签名,生成目标设备指纹;向服务器发送目标设备指纹;其中,第一信息关联目标公钥,该数字签名关联目标私钥,该设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储在该电子设备的RPMB中。
第五方面,本发明实施例还提供了一种电子设备,该电子设备包括:获取模块、签名模块、生成模块和发送模块;获取模块,用于在满足预设条件的情况下,获取第一信息,预设条件指示该电子设备向服务器发送设备指纹进行安全验证,第一信息指示电子设备的设备唯一标识;签名模块,用于基于目标私钥签名,得到数字签名;生成模块,用于根据获取模块获取的第一信息和签名模块签名得到的该数字签名,生成目标设备指纹;发送模块,用户向服务器发送目标设备指纹;其中,第一信息关联目标公钥,该数字签名关联目标私钥;该设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB中。
在本发明实施例中,首先,电子设备在满足预设条件的情况下,获取第一信息,电子设备采用目标私钥签名,得到数字签名;然后,电子设备根据第一信息和数字签名,可以生成目标设备指纹;最后,电子设备向服务器发送该电子设备生成的目标设备指纹。由于第一信息指示设备唯一标识,而设备唯一标识和目标私钥在TEE中生成并存储在电子设备的RPMB块中,因此,该电子设备中的设备唯一标识和目标私钥不容易被篡改。而第一信息用于指示该电子设备的设备唯一标识,数字签名为基于目标私钥生成的,从而使得基于第一信息和该数字签名生成的设备指纹安全性高,不容易被篡改,从而提高了电子设备的防伪造能力和防篡改能力,而该目标设备指纹中携带了可以用于验证安全的第一信息和数字签名,可以服务器可以根据该电子设备的公钥、第一信息、数字签名验证该设备指纹是否被篡改,使得用户在使用电子设备进行支付或验证身份的场景中更加安全。
第六方面,本发明实施例提供了一种电子设备,包括处理器、存储器及存储在该存储器上并可在该处理器上运行的计算机程序,该计算机程序被该处理器执行时实现如第二方面所述的设备指纹验证方法的步骤。
第七方面,本发明实施例提供了一种计算机可读存储介质,该计算机可读存储介质上存储计算机程序,该计算机程序被处理器执行时实现如第一方面或第四方面所述的设备指纹验证方法的步骤。
附图说明
图1为本发明实施例提供的一种可能的操作系统的架构示意图;
图2为本发明实施例提供的设备指纹验证方法的流程示意图之一;
图3为本发明实施例提供的设备指纹验证方法的流程示意图之二;
图4为本发明实施例提供的一种电子设备的结构示意图;
图5为本发明实施例提供的一种服务器的结构示意图;
图6为本发明实施例提供的一种电子设备的硬件示意图;
图7为本发明实施例提供的一种服务器的硬件示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,本文中的“/”表示或的意思,例如,A/B可以表示A或B;本文中的“和/或”仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。“多个”是指两个或多于两个。
本发明的说明书和权利要求书中的术语“第一”和“第二”等是用于区别不同的对象,而不是用于描述对象的特定顺序。例如,第一信息和第二信息等是用于区别不同的信息,而不是用于描述信息的特定顺序。
需要说明的是,本发明实施例中,“示例性的”或者“例如”等词用于表示作例子、例证或说明。本发明实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更可选或更具优势。确切而言,使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。
本发明实施例中的电子设备可以为具有操作系统的电子设备。该操作系统可以为安卓(Android)操作系统,可以为ios操作系统,还可以为其他可能的操作系统,本发明实施例不作具体限定。
下面以图1所示的操作系统为例,介绍一下本发明实施例提供的设备指纹验证方法所应用的软件环境。
如图1所示,为本发明实施例提供的一种可能的操作系统的架构示意图。在图1中,操作系统的架构包括4层,分别为:应用程序层、应用程序框架层、系统运行库层和内核层(具体可以为Linux内核层)。
其中,应用程序层包括操作系统中的各个应用程序(包括系统应用程序和第三方应用程序)。
应用程序框架层是应用程序的框架,开发人员可以在遵守应用程序的框架的开发原则的情况下,基于应用程序框架层开发一些应用程序。
系统运行库层包括库(也称为系统库)和操作系统运行环境。库主要为操作系统提供其所需的各类资源。操作系统运行环境用于为操作系统提供软件环境。
内核层是操作系统的操作系统层,属于操作系统软件层次的最底层。内核层基于Linux内核为操作系统提供核心系统服务和与硬件相关的驱动程序。
以图1所示的操作系统为例,本发明实施例中,开发人员可以基于上述如图1所示的操作系统的系统架构,开发实现本发明实施例提供的设备指纹验证方法的软件程序,从而使得该设备指纹验证方法可以基于如图1所示的操作系统运行。即处理器或者电子设备可以通过在操作系统中运行该软件程序实现本发明实施例提供的设备指纹验证方法。
在本发明实施例中,在电子设备的生产阶段,生产厂商可以在电子设备的TEE中为电子设备随机生成一个设备唯一标识和一对密钥对(包括私钥和公钥)。
通常,电子设备的系统运行环境(rich execution environment,REE)中运行的系统称为Rich OS(operating system),可以包含Android、IOS和Linux。TEE是REE并存的运行环境,并且给REE中的Rich OS提供安全服务,具有其自身的执行空间,比Rich OS的安全级别更高,TEE为CPU上的一块区域,这块区域的作用是给数据和代码的执行提供一个更安全的空间,并保证它们的机密性和完整性。
示例性的,可以在TEE中基于电子设备的中央处理器(central processing unit,CPU)的标识(即CPU ID)为电子设备随机生成设备唯一标识和密钥对,并将该设备唯一标识和密钥对存储在电子设备的RPMB中。
在本发明实施例中,针对私钥,存储在电子设备的RPMB中,使得电子设备的私钥不会出TEE,避免了私钥泄露或被篡改。
针对公钥的一种示例,可以将设备唯一标识和公钥发送给服务器,该服务器可以为线上风险控制系统的服务器,该服务器可以将该电子设备的设备唯一标识和公钥,存储在线上风险控制系统的密钥管理数据库中。从而,可以使得每个电子设备的设备唯一标识和密钥对一一对应。
针对公钥的另一种示例,可以将设备唯一标识和公钥发送给证书授权中心(certificate authority,CA),证书授权中心可以基于设备唯一标识和公钥生成数字证书,从而可以使得每个电子设备的设备唯一标识和密钥对一一对应。电子设备可以将该数字证书存储在该电子设备中,在使用的过程中直接使用,电子设备中也可以不存储该数字证书,在使用该数字证书时从证书授权中心中下载。
为了便于理解本发明实施例提供的设备指纹验证方法,首先介绍电子设备生成设备指纹的方案,然后再介绍服务器在收到一个设备指纹后验证该设备指纹是否为安全的设备指纹的方案。
下面结合图2中对本发明实施例的设备指纹验证方法进行说明。图2为本发明实施例提供的一种设备指纹验证方法的流程示意图,如图2所示,该设备指纹验证方法包括S101至S104:
S101、电子设备在满足预设条件的情况下,获取第一信息。
其中,预设条件指示电子设备向服务器发送设备指纹进行安全验证。
示例性的,在电子设备使用的过程中(例如支付或注册),服务器需要验证电子设备的安全性,服务器可以向电子设备发送获取电子设备的设备指纹的请求。或者,电子设备在检测到电子设备执行的业务中需要安全认证(例如需要支付认证或身份认证)的情况下,电子设备可以向服务器发送设备指纹,使得服务器根据该设备指纹认证电子设备的身份。
在本发明实施例中,第一信息指示电子设备的设备唯一标识,第一信息关联目标公钥。
示例性的,本发明实施例中的设备唯一标识可以为生产厂商在TEE中随机生成的,可以为在生产过程中生成,也可以在返厂调试过程中重新生成。
S102、电子设备基于目标私钥签名,得到数字签名。
其中,该数字签名关联目标私钥,目标公钥和目标私钥为在TEE中生成的一对密钥,目标私钥存储于电子设备的RPMB中。
示例性的,电子设备的设备唯一标识、目标公钥,以及目标私钥为该电子设备的厂商,在该电子设备的生产阶段在TEE中生成的。
S103、电子设备根据第一信息和数字签名,生成目标设备指纹。
示例性的,若每次签名生成的数字签名不同,则采用该数字签名生成的设备指纹可以不同。
S104、电子设备向服务器发送目标设备指纹。
本发明实施例提供的设备指纹验证方法,首先,电子设备在满足预设条件的情况下,获取第一信息,电子设备采用目标私钥签名,得到数字签名;然后,电子设备根据第一信息和数字签名,可以生成目标设备指纹;最后,电子设备向服务器发送该电子设备生成的目标设备指纹。由于第一信息指示设备唯一标识,而设备唯一标识和目标私钥在TEE中生成,并存储在电子设备的RPMB块中,因此,该电子设备中的设备唯一标识和目标私钥不容易被篡改。而第一信息用于指示该电子设备的设备唯一标识,数字签名为基于目标私钥生成的,从而使得基于第一信息和该数字签名生成的设备指纹安全性高,不容易被篡改,从而提高了电子设备的防伪造能力和防篡改能力,而该目标设备指纹中携带了可以用于验证安全的第一信息和数字签名,可以服务器可以根据该电子设备的公钥、第一信息、数字签名验证该设备指纹是否被篡改,使得用户在使用电子设备进行支付或验证身份的场景中更加安全。
可选地,在本发明实施例中,上述的S102具体可以通过下述的S102a执行:
S102a、电子设备采用目标私钥对第一信息签名,得到数字签名。
需要说明的是,若电子设备在生成设备识别指纹时,在仅需要上传数字签名和第一信息的情况下,电子设备可以采用目标私钥对第一信息进行签名。
示例性的,可以采用哈希算法进行数字签名,具体的,根据输入的第一信息和目标私钥,进行哈希运算,将获取的哈希值作为数字签名。
基于该方案,在满足预设条件的情况下,若电子设备无需上传其他信息进行安全验证时,可以采用第一信息和目标私钥生成目标设备指纹,可以在计算量较小的情况下,保证电子设备的安全性。
可选地,在本发明实施例中,在电子设备生成目标设备指纹的过程中,电子设备还可以采集其他信息,作为生成目标设备指纹的依据,即,在上述的S102之前,还可以包括下述的S105:
S105、在满足预设条件的情况下,电子设备获取第二信息。
其中,第二信息可以包括以下至少一项:目标系统信息、目标业务信息。
在本发明实施例中,目标系统信息可以包括以下至少一项:时间戳、电子设备的位置信息(例如GPS信息)。
在本发明实施例中,目标业务信息可以包括以下至少一项:电子设备的设备型号、电子设备的品牌、电子设备正在使用的IP地址、IMEI。
需要说明的是,电子设备使用的业务信息可以根据具体的业务确定。例如服务器可以指示电子设备采集需要使用的业务信息,电子设备也可以根据约定的规则采集需要使用的业务信息。
示例性的,目标系统信息可以为TEE中的可信应用从电子设备的TEE中获取的,目标业务信息可以为电子设备中的需要使用设备指纹的业务应用从REE中采集的。
进而,本发明实施例提供的设备指纹验证方法中,上述的S102具体可以通过下述的S102a执行:
S102a、电子设备采用目标私钥对第一信息和第二信息在的至少一个签名,得到数字签名。
具体的,电子可以设备采用目标私钥对第二信息,或第一信息和第二信息签名,得到数字签名。
示例1-1:电子设备可以采用目标私钥对第一信息签名得到第一数字签名。
示例1-2:电子设备可以采用目标私钥对第二信息签名得到第二数字签名。
示例1-3:电子设备可以采用目标私钥对第一信息和第二信息签名得到第三数字签名。
具体的,若电子设备采集了第二信息,电子设备可以不使用第一信息单独进行数字签名,即可以采用目标私钥对第二信息签名,或者采用目标私钥对第一信息和第二信息签名。
基于该方案,若电子设备需要采集第二信息,电子设备还可以将第二信息作为获取签名信息中的一个参数,可以使得生成的签名信息的安全性更高,从而可以使得服务器在获取到目标设备指纹的情况下,还可以结合第二信息进行验签,在第二信息中的内容被篡改的情况下,也可以通过验签确定出该目标设备指纹被篡改,进而确定该目标设备指纹为不安全的设备指纹。
可选地,在本发明实施例提供的设备指纹验证方法中,若电子设备获取了第二信息,则在生成设备指纹的过程中,还可以使用该第二信息生成设备指纹。即上述的S103还可以通过下述的S103a执行:
S103a、电子设备根据第一信息、第二信息和数字签名,生成目标设备指纹。
示例性的,结合上述实施例中的数字签名,电子设备可以根据第一信息、第二信息和第一数字签名,生成第一设备指纹(即目标设备指纹);电子设备可以根据第一信息、第二信息和第二数字签名,生成第二设备指纹(即目标设备指纹);电子设备可以根据第一信息、第二信息和第三数字签名,生成第三设备指纹(即目标设备指纹)。
基于该方案,电子设备在需要传输第二信息的情况下,可以基于目标私钥和第二信息进行签名得到数字签名,然后将第二信息携带在目标设备指纹中,使得生成的设备指纹的安全性更高,服务器在获取到该目标设备指纹之后,还可以根据该设备指纹确定第二信息是否被篡改,使得电子设备向服务器发送数据更加安全。
可选地,在本发明实施例中,第一信息为电子设备的设备唯一标识或数字证书;其中,该数字证书与电子设备的设备唯一标识具有对应关系,该数字证书中包括目标公钥。
示例2-1:在电子设备可以采用目标私钥对电子设备的设备唯一标识签名,得到第四数字签名。进而,电子设备可以根据设备唯一标识和第四数字签名,生成第四设备指纹。
示例2-2:在电子设备可以采用目标私钥对电子设备的设备唯一标识和第二信息签名,得到第五数字签名。进而,电子设备可以根据第二信息和第五数字签名,生成第五设备指纹;或者电子设备根据设备唯一标识、第二信息和第五数字签名,生成第六设备指纹。
示例2-3:电子设备可以采用目标私钥对电子设备的数字证书签名,得到第六数字签名。进而,电子设备可以根据设备唯一标识和第五数字签名,生成第七设备指纹。
示例2-4:电子设备可以采用目标私钥对电子设备的数字证书和第二信息签名,得到第七数字签名。进而,电子设备可以根据第二信息和第七数字签名,生成第八设备指纹;或者。根据设备唯一标识、第二信息和第七数字签名,生成第九设备指纹。
基于该方案,在得到数字签名的阶段,电子设备可以根据设备唯一标识或者数字证书和目标私钥生成数字证书,也可以根据设备唯一标识(或者数字证书)和第二信息、目标私钥生成数字证书,在生成目标设备指纹的阶段,电子设备可以根据设备唯一标识(或数字证书)和数字签名生成目标设备指纹,也可以根据设备唯一标识(或数字证书)、数字签名和第二信息生成目标设备指纹,从而使得电子设备可以采用多种不同的方式生成目标设备指纹,生成方式灵活多样。
下面结合图3中对本发明实施例的设备指纹验证方法进行说明。图3为本发明实施例提供的一种设备指纹验证方法的流程示意图,如图3所示,该设备指纹验证方法包括S201至S204:
S201、服务器接收目标设备指纹。
需要说明的是,服务器接收到的设备指纹,可以为一个安全的设备指纹,也可以为一个不安全的设备指纹。比如目标设备指纹可以为第一电子设备发送的设备指纹,也可以为第二电子设备(伪造的电子设备)发送的第一电子设备的设备指纹,也可以为第三电子设备先截获第一电子设备发送的设备指纹,发送的篡改后的第一电子设备的设备指纹。
S202、在目标设备指纹包括第一信息和数字签名的情况下,服务器根据第一信息,获取目标公钥。
其中,第一信息指示设备唯一标识,第一信息关联目标公钥。
可以理解,若一个设备指纹中不包括第一信息或不包括数字签名,或者若服务器根据第一信息,确定不到与第一信息关联的目标公钥,说明该目标设备指纹为不安全的设备指纹,该设备指纹可能是一个伪造的设备指纹,或来自一个虚假的电子设备。
S203、服务器根据目标公钥验签数字签名对应的目标私钥。
具体的,服务器根据目标公钥验签数字签名是否为采用目标公钥对应的目标私钥签名得到的。
其中,数字签名关联目标私钥,设备唯一标识、目标公钥与目标私钥为电子设备的厂商在TEE中生成的,目标私钥存储于电子设备的RPMB中。
示例性的,设备唯一标识、目标公钥与目标私钥为电子设备的厂商在TEE中随机生成的,具体可以参见上述实施例中的描述,此处不作具体限定。
需要说明的是,本发明实施例中,若数字签名为基于一对密钥中的私钥签名得到的,则需要采用该对密钥中的公钥才能验签成功。
S204、在验签成功的情况下,服务器确定目标设备指纹为安全的设备指纹。
可以理解,在服务器采用目标公钥验签失败的情况下,表示该设备指纹中的信息发生了变化,该设备指纹可能被篡改,或者该设备指纹可能是伪造的。
本发明实施例提供的设备指纹验证方法,服务器接收到的目标设备指纹,可以为一个安全的设备指纹,也可以为一个不安全的设备指纹,服务器可通过目标设备指纹中的信息进行设备指纹的验证,具体的,在目标设备指纹包括第一信息和数字签名的情况下,第一信息指示设备唯一标识,第一信息关联目标公钥,数字签名关联目标私钥,即设备唯一标识、目标公钥和目标私钥具有对应关系,而设备唯一标识、目标公钥和目标私钥在TEE中生成的,目标私钥存储在电子设备的RPMB块中,因此目标私钥不容易被篡改,服务器可以根据第一信息,获取目标公钥,然后,根据目标公钥验签数字签名对应的目标私钥;在验签成功的情况下,表示目标公钥和目标私钥匹配,该目标设备指纹中的信息真实且未被篡改,否则服务器可以确定目标设备指纹为被篡改或为伪造的设备指纹,即服务器可以根据目标设备指纹中携带的信息快速的确定目标设备指纹是否安全,从而使得使用电子设备在支付或验证身份的场景中更加安全。
可选地,在本发明实施例中,第一信息为设备唯一标识或数字证书;其中,数字证书与设备唯一标识具有对应关系,数字证书中包括与设备唯一标识对应的公钥。进而,上述的S202可以通过显示的S202a或S202b执行:
第一种可能的实现方式,上述的S202具体可以通过下述的S202a执行:
S202a、在第一信息为设备唯一标识的情况下,服务器根据该设备唯一标识,从密钥数据库中查找与该设备唯一标识对应的目标公钥。
具体的,在第一信息为设备唯一标识的情况下,服务器可以根据该设备唯一标识,查找密钥数据库中是否存在与该设备唯一标识对应的公钥,在密钥数据库中不存在与该唯一标识对应的目标公钥的情况下,服务器确定该设备唯一标识为篡改的或伪造的,即目标设备指纹不安全;在密钥数据库中存在与该唯一标识对应的公钥的情况下,服务器采用从该密钥数据库中查找到的目标公钥验签数字签名是否为采用目标公钥对应的目标私钥签名得到的。
第二种可能的实现方式,上述的S202具体可以通过下述的S202b和S202c执行:
S202b、服务器在第一信息为数字证书的情况下,确定该数字证书是否有效。
具体的,在第一信息为数字证书的情况下,服务器可以将该数字证书发送给证书授权中心,证书授权中心验证该数字证书是否有效,并将该数字证书的验证结果发送给服务器。
可以理解,在证书授权中心验证该数字证书有效的情况下,证书授权中心可以向服务器发送该数字证书验证有效的第一指示信息,在证书授权中心验证该数字证书失效(例如超时)的情况下,或者无效(信息比对不一致,无该数字证书)的情况下,证书授权中心可以向服务器发送该数字证书无效的第二指示信息。
S202c、在该数字证书有效的情况下,服务器获取数字证书中的目标公钥。
可以理解,在数字证书无效的情况下,服务器确定该数字证书可能为篡改的或伪造的,即目标设备指纹不安全;在数字证书有效的情况下,服务器使用该数字证书中的目标公钥验签数字签名是否为采用目标公钥对应的目标私钥签名得到的。
可以根据设备唯一标识或数字证书的获取的情况初步判断目标设备指纹是不安全的,还是需要继续根据其他信息进行判断是否安全。
基于该方案,在第一信息为设备唯一标识或数字证书的情况下,服务器可以采用设备唯一标识获取目标公钥,或者采用数字证书获取目标公钥,获取目标公钥的方式多样。
可选地,目标设备指纹中还包括第二信息,数字签名为采用目标私钥对第二信息,或第一信息和第二信息签名得到的。
可以理解,在目标设备指纹中包括第二信息的情况下,服务器还可以通过目标公钥和第二信息,或者通过目标公钥第一信息和第二信息验证目标设备指纹为不安全的设备指纹,在第二信息被篡改的情况下,则目标设备指纹也可以不安全的设备指纹,从而使得验证的维度更多,更加安全。
图4为本发明实施例提供的一种电子设备可能的结构示意图,如图4所示,电子设备400包括:获取模块401、签名模块402、生成模块403和发送模块404;获取模块401,用于在满足预设条件的情况下,获取第一信息,预设条件指示电子设备向服务器发送设备指纹进行安全验证,第一信息指示电子设备的设备唯一标识;签名模块402,用于基于目标私钥签名,得到数字签名;生成模块403,用于根据获取模块401获取的第一信息和签名模块402签名得到的数字签名,生成目标设备指纹;发送模块404,用户向服务器发送生成模块403生成的目标设备指纹;其中,第一信息关联目标公钥,数字签名关联目标私钥;设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB中。
可选地,签名模块402具体用于:采用目标私钥对获取模块401获取的第一信息签名,得到数字签名。
可选地,获取模块401,还用于在签名模块402基于目标私钥,获得数字签名之前,在满足预设条件的情况下,获取第二信息,第二信息包括以下至少一项:目标系统信息、目标业务信息;签名模块402,具体用于采用目标私钥对第一信息和第二信息中的至少一个签名,得到数字签名。
可选地,生成模块403具体用于:根据第一信息、第二信息和数字签名,生成电子设备的目标设备指纹。
可选地,第一信息为电子设备的设备唯一标识或数字证书;其中,数字证书与电子设备的设备唯一标识具有对应关系,数字证书中包括目标公钥。
本发明实施例提供的电子设备400能够实现上述方法实施例中电子设备实现的各个过程,为避免重复,这里不再赘述。
本发明实施例提供的一种电子设备,首先,电子设备在满足预设条件的情况下,获取第一信息,电子设备采用目标私钥签名,得到数字签名;然后,电子设备根据第一信息和数字签名,可以生成目标设备指纹;最后,电子设备向服务器发送该电子设备生成的目标设备指纹。由于第一信息指示设备唯一标识,而设备唯一标识和目标私钥在TEE中生成,并存储在电子设备的RPMB块中,因此,该电子设备中的设备唯一标识和目标私钥不容易被篡改。而第一信息用于指示该电子设备的设备唯一标识,数字签名为基于目标私钥生成的,从而使得基于第一信息和该数字签名生成的设备指纹安全性高,不容易被篡改,从而提高了电子设备的防伪造能力和防篡改能力,而该目标设备指纹中携带了可以用于验证安全的第一信息和数字签名,可以服务器可以根据该电子设备的公钥、第一信息、数字签名验证该设备指纹是否被篡改,使得用户在使用电子设备进行支付或验证身份的场景中更加安全。
图5为本发明实施例提供的一种服务器可能的结构示意图,如图5所示,服务器500包括:接收模块501、获取模块502、验签模块503和确定模块504;接收模块501,用于接收目标设备指纹;获取模块502,用于在接收模块501接收的目标设备指纹包括第一信息和数字签名的情况下,根据第一信息,获取目标公钥,第一信息指示设备唯一标识;验签模块503,用于根据获取模块502获取的目标公钥验签数字签名对应的目标私钥;确定模块504,用于在验签模块503验签成功的情况下,确定目标设备指纹为安全的设备指纹;其中,第一信息关联目标公钥,数字签名关联目标私钥;设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储于电子设备的RPMB中。
可选地,第一信息为设备唯一标识或数字证书;其中,数字证书与设备唯一标识具有对应关系,数字证书中包括与设备唯一标识对应的目标公钥。
可选地,获取模块502具体用于:在第一信息为设备唯一标识的情况下,根据设备唯一标识,从密钥数据库中查找与设备唯一标识对应的公钥;或者,在第一信息为数字证书的情况下,确定数字证书是否有效;在数字证书有效的情况下,获取数字证书中的公钥。
可选地,目标设备指纹还包括第二信息;数字签名为采用目标私钥对第一信息,或第一信息和第二信息中的至少一个签名得到的;其中,第二信息包括以下至少一项:目标系统信息、目标业务信息。
本发明实施例提供的一种服务器,服务器接收到的目标设备指纹,可以为一个安全的设备指纹,也可以为一个不安全的设备指纹,服务器可通过目标设备指纹中的信息进行设备指纹的验证,具体的,在目标设备指纹包括第一信息和数字签名的情况下,第一信息指示设备唯一标识,第一信息关联目标公钥,数字签名关联目标私钥,即设备唯一标识、目标公钥和目标私钥具有对应关系,而设备唯一标识、目标公钥和目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB块中,因此目标私钥不容易被篡改,服务器可以根据第一信息,获取目标公钥,然后,根据目标公钥验签数字签名对应的目标私钥;在验签成功的情况下,表示目标公钥和目标私钥匹配,该目标设备指纹中的信息真实且未被篡改,否则服务器可以确定目标设备指纹为被篡改或为伪造的设备指纹,即服务器可以根据目标设备指纹中携带的信息快速的确定目标设备指纹是否安全,从而使得使用电子设备在支付或验证身份的场景中更加安全。
图6为本发明实施例提供的一种电子设备的硬件示意图,该电子设备100包括但不限于:射频单元101、网络模块102、音频输出单元103、输入单元104、传感器105、显示单元106、用户输入单元107、接口单元108、存储器109、处理器110、以及电源111等部件。本领域技术人员可以理解,图6中示出的电子设备结构并不构成对电子设备的限定,电子设备可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。在本发明实施例中,电子设备包括但不限于手机、平板电脑、笔记本电脑、掌上电脑、车载电子设备、可穿戴设备、以及计步器等。
其中,处理器110,用于在满足预设条件的情况下,获取第一信息,预设条件指示电子设备向服务器发送设备指纹进行安全验证,第一信息指示电子设备的设备唯一标识;基于目标私钥签名,得到数字签名;根据第一信息和数字签名,生成目标设备指纹。射频单元101,用于向服务器发送目标设备指纹;其中,第一信息关联目标公钥,数字签名关联目标私钥;设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB中。
本发明实施例提供的一种电子设备,首先,电子设备在满足预设条件的情况下,获取第一信息,电子设备采用目标私钥签名,得到数字签名;然后,电子设备根据第一信息和数字签名,可以生成目标设备指纹;最后,电子设备向服务器发送该电子设备生成的目标设备指纹。由于第一信息指示设备唯一标识,而设备唯一标识和目标私钥在TEE中生成,并存储在电子设备的RPMB块中,因此,该电子设备中的设备唯一标识和目标私钥不容易被篡改。而第一信息用于指示该电子设备的设备唯一标识,数字签名为基于目标私钥生成的,从而使得基于第一信息和该数字签名生成的设备指纹安全性高,不容易被篡改,从而提高了电子设备的防伪造能力和防篡改能力,而该目标设备指纹中携带了可以用于验证安全的第一信息和数字签名,可以服务器可以根据该电子设备的公钥、第一信息、数字签名验证该设备指纹是否被篡改,使得用户在使用电子设备进行支付或验证身份的场景中更加安全。
应理解的是,本发明实施例中,射频单元101可用于收发信息或通话过程中,信号的接收和发送,具体的,将来自基站的下行数据接收后,给处理器110处理;另外,将上行的数据发送给基站。通常,射频单元101包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器、双工器等。此外,射频单元101还可以通过无线通信系统与网络和其他设备通信。
电子设备通过网络模块102为用户提供了无线的宽带互联网访问,如帮助用户收发电子邮件、浏览网页和访问流式媒体等。
音频输出单元103可以将射频单元101或网络模块102接收的或者在存储器109中存储的音频数据转换成音频信号并且输出为声音。而且,音频输出单元103还可以提供与电子设备100执行的特定功能相关的音频输出(例如,呼叫信号接收声音、消息接收声音等等)。音频输出单元103包括扬声器、蜂鸣器以及受话器等。
输入单元104用于接收音频或视频信号。输入单元104可以包括图形处理器(graphics processing unit,GPU)1041和麦克风1042,图形处理器1041对在视频捕获模式或图像捕获模式中由图像捕获装置(如摄像头)获得的静态图片或视频的图像数据进行处理。处理后的图像帧可以显示在显示单元106上。经图形处理器1041处理后的图像帧可以存储在存储器109(或其它存储介质)中或者经由射频单元101或网络模块102进行发送。麦克风1042可以接收声音,并且能够将这样的声音处理为音频数据。处理后的音频数据可以在电话通话模式的情况下转换为可经由射频单元101发送到移动通信基站的格式输出。
电子设备100还包括至少一种传感器105,比如光传感器、运动传感器以及其他传感器。具体地,光传感器包括环境光传感器及接近传感器,其中,环境光传感器可根据环境光线的明暗来调节显示面板1061的亮度,接近传感器可在电子设备100移动到耳边时,关闭显示面板1061和/或背光。作为运动传感器的一种,加速计传感器可检测各个方向上(一般为三轴)加速度的大小,静止时可检测出重力的大小及方向,可用于识别电子设备姿态(比如横竖屏切换、相关游戏、磁力计姿态校准)、振动识别相关功能(比如计步器、敲击)等;传感器105还可以包括指纹传感器、压力传感器、虹膜传感器、分子传感器、陀螺仪、气压计、湿度计、温度计、红外线传感器等,在此不再赘述。
显示单元106用于显示由用户输入的信息或提供给用户的信息。显示单元106可包括显示面板1061,可以采用液晶显示器(liquid crystal display,LCD)、有机发光二极管(organic light-emitting diode,OLED)等形式来配置显示面板1061。
用户输入单元107可用于接收输入的数字或字符信息,以及产生与电子设备的用户设置以及功能控制有关的键信号输入。具体地,用户输入单元107包括触控面板1071以及其他输入设备1072。触控面板1071,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板1071上或在触控面板1071附近的操作)。触控面板1071可包括触摸检测装置和触摸控制器两个部分。其中,触摸检测装置检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测装置上接收触摸信息,并将它转换成触点坐标,再送给处理器110,接收处理器110发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板1071。除了触控面板1071,用户输入单元107还可以包括其他输入设备1072。具体地,其他输入设备1072可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆,在此不再赘述。
进一步的,触控面板1071可覆盖在显示面板1061上,当触控面板1071检测到在其上或附近的触摸操作后,传送给处理器110以确定触摸事件的类型,随后处理器110根据触摸事件的类型在显示面板1061上提供相应的视觉输出。虽然在图6中,触控面板1071与显示面板1061是作为两个独立的部件来实现电子设备的输入和输出功能,但是在某些实施例中,可以将触控面板1071与显示面板1061集成而实现电子设备的输入和输出功能,具体此处不做限定。
接口单元108为外部装置与电子设备100连接的接口。例如,外部装置可以包括有线或无线头戴式耳机端口、外部电源(或电池充电器)端口、有线或无线数据端口、存储卡端口、用于连接具有识别模块的装置的端口、音频输入/输出(I/O)端口、视频I/O端口、耳机端口等等。接口单元108可以用于接收来自外部装置的输入(例如,数据信息、电力等等)并且将接收到的输入传输到电子设备100内的一个或多个元件或者可以用于在电子设备100和外部装置之间传输数据。
存储器109可用于存储软件程序以及各种数据。存储器109可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据手机的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器109可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
处理器110是电子设备的控制中心,利用各种接口和线路连接整个电子设备的各个部分,通过运行或执行存储在存储器109内的软件程序和/或模块,以及调用存储在存储器109内的数据,执行电子设备的各种功能和处理数据,从而对电子设备进行整体监控。处理器110可包括一个或多个处理单元;可选地,处理器110可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器110中。
电子设备100还可以包括给各个部件供电的电源111(比如电池),可选地,电源111可以通过电源管理系统与处理器110逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
另外,电子设备100包括一些未示出的功能模块,在此不再赘述。
可选地,本发明实施例还提供一种电子设备,结合图6,包括处理器110,存储器109,存储在存储器109上并可在处理器110上运行的计算机程序,该计算机程序被处理器110执行时实现上述设备指纹验证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
图7为实现本发明实施例的一种服务器的硬件结构示意图,该服务器900包括:处理器901、存储器902和收发器903。
本发明实施例中,在本发明实施例中,一个或多个处理器901、存储器902和收发器903可以相互连接。其中,一个或多个处理器901可以为基带处理单元(building base bandunit,BBU),也可以称为室内基带处理单元;收发器可以为射频拉远单元(remote radiounit,RRU),也可以称为遥控发射单元。另外,服务器900还可以包括一些未示出的功能模块,在此不再赘述。
其中,收发器903,用于接收目标设备指纹;处理器901,用于在目标设备指纹包括第一信息和数字签名的情况下,根据第一信息,获取目标公钥,第一信息指示设备唯一标识;根据目标公钥验签数字签名对应的目标私钥;在验签成功的情况下,确定目标设备指纹为安全的设备指纹;其中,第一信息关联目标公钥,数字签名关联目标私钥;设备唯一标识、目标公钥,以及目标私钥在TEE中生成,目标私钥存储于电子设备的RPMB中。
另外,服务器900还包括一些未示出的功能模块,在此不再赘述。
本发明实施例提供一种服务器,服务器接收到的目标设备指纹,可以为一个安全的设备指纹,也可以为一个不安全的设备指纹,服务器可通过目标设备指纹中的信息进行设备指纹的验证,具体的,在目标设备指纹包括第一信息和数字签名的情况下,第一信息指示设备唯一标识,第一信息关联目标公钥,数字签名关联目标私钥,即设备唯一标识、目标公钥和目标私钥具有对应关系,而设备唯一标识、目标公钥和目标私钥在TEE中生成,目标私钥存储在电子设备的RPMB块中,因此目标私钥不容易被篡改,服务器可以根据第一信息,获取目标公钥,然后,根据目标公钥,验签数字签名是否为采用目标公钥对应的目标私钥签名得到的;在验签成功的情况下,表示目标公钥和目标私钥匹配,该目标设备指纹中的信息真实且未被篡改,否则服务器可以确定目标设备指纹为被篡改或为伪造的设备指纹,即服务器可以根据目标设备指纹中携带的信息快速的确定目标设备指纹是否安全,从而使得使用电子设备在支付或验证身份的场景中更加安全。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述设备指纹验证方法实施例的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。其中,所述的计算机可读存储介质,如只读存储器(read-only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台电子设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
上面结合附图对本发明的实施例进行了描述,但是本发明并不局限于上述的具体实施方式,上述的具体实施方式仅仅是示意性的,而不是限制性的,本领域的普通技术人员在本发明的启示下,在不脱离本发明宗旨和权利要求所保护的范围情况下,还可做出很多形式,均属于本发明的保护之内。
Claims (15)
1.一种设备指纹验证方法,应用于服务器,其特征在于,所述方法包括:
接收目标设备指纹;
在所述目标设备指纹包括第一信息和数字签名的情况下,根据所述第一信息,获取目标公钥,所述第一信息指示设备唯一标识;
根据所述目标公钥验签所述数字签名对应的目标私钥;
在验签成功的情况下,确定所述目标设备指纹为安全的设备指纹;
其中,所述第一信息关联所述目标公钥,所述数字签名关联所述目标私钥;所述设备唯一标识、所述目标公钥,以及所述目标私钥在可信执行环境TEE中生成,所述目标私钥存储于电子设备的重放保护存储块RPMB中。
2.根据权利要求1所述的方法,其特征在于,所述第一信息为所述设备唯一标识或数字证书;
其中,所述数字证书与所述设备唯一标识具有对应关系,所述数字证书中包括与所述设备唯一标识对应的目标公钥。
3.根据权利要求2所述的方法,其特征在于,所述根据所述第一信息,获取目标公钥,包括:
在所述第一信息为设备唯一标识的情况下,根据所述设备唯一标识,从密钥数据库中查找与所述设备唯一标识对应的公钥;
或者,
在所述第一信息为数字证书的情况下,确定所述数字证书是否有效;
在所述数字证书有效的情况下,获取所述数字证书中的公钥。
4.一种设备指纹验证方法,应用于电子设备,其特征在于,
在满足预设条件的情况下,获取第一信息,所述预设条件指示所述电子设备向服务器发送设备指纹进行安全验证,所述第一信息指示所述电子设备的设备唯一标识;
基于目标私钥签名,得到数字签名;
根据所述第一信息和所述数字签名,生成目标设备指纹;
向所述服务器发送所述目标设备指纹;
其中,所述第一信息关联目标公钥,所述数字签名关联所述目标私钥;所述设备唯一标识、所述目标公钥,以及所述目标私钥在可信执行环境TEE中生成,所述目标私钥存储在所述电子设备的重放保护存储块RPMB中。
5.根据权利要求4所述的方法,其特征在于,所述根据目标私钥签名,得到数字签名,包括:
采用目标私钥对所述第一信息签名,得到数字签名。
6.根据权利要求4或5所述的方法,其特征在于,所述根据目标私钥签名,得到数字签名之前,所述方法还包括:
在满足所述预设条件的情况下,获取第二信息,所述第二信息包括以下至少一项:目标系统信息、目标业务信息;
所述采用目标私钥对所述第一信息签名,得到数字签名,包括:
采用所述目标私钥对所述第二信息,或所述第一信息和所述第二信息签名,得到数字签名;
所述根据所述第一信息和所述数字签名,生成目标设备指纹,包括:
根据所述第一信息、所述第二信息和所述数字签名,生成所述目标设备指纹。
7.一种服务器,其特征在于,所述服务器包括:接收模块、获取模块、验签模块和确定模块;
所述接收模块,用于接收目标设备指纹;
所述获取模块,用于在所述接收模块接收的所述目标设备指纹包括第一信息和数字签名的情况下,根据所述第一信息,获取目标公钥,所述第一信息指示设备唯一标识;
所述验签模块,用于根据所述获取模块获取的所述目标公钥验签所述数字签名对应的目标私钥;
所述确定模块,用于在所述验签模块验签成功的情况下,确定所述目标设备指纹为安全的设备指纹;
其中,所述第一信息关联所述目标公钥,所述数字签名关联所述目标私钥;所述设备唯一标识、所述目标公钥,以及所述目标私钥为可信执行环境TEE中生成,所述目标私钥存储于电子设备的重放保护存储块RPMB中。
8.根据权利要求7所述的服务器,其特征在于,所述第一信息为所述设备唯一标识或数字证书;
其中,所述数字证书与所述设备唯一标识具有对应关系,所述数字证书中包括与所述设备唯一标识对应的目标公钥。
9.根据权利要求8所述的服务器,其特征在于,所述获取模块具体用于:
在所述第一信息为设备唯一标识的情况下,根据所述设备唯一标识,从密钥数据库中查找与所述设备唯一标识对应的公钥;
或者,
在所述第一信息为数字证书的情况下,确定所述数字证书是否有效;
在所述数字证书有效的情况下,获取所述数字证书中的公钥。
10.一种电子设备,其特征在于,所述电子设备包括:获取模块、签名模块、生成模块和发送模块;
所述获取模块,用于在满足预设条件的情况下,获取第一信息,所述预设条件指示所述电子设备向服务器发送设备指纹进行安全验证,所述第一信息指示所述电子设备的设备唯一标识;
所述签名模块,用于基于目标私钥签名,得到数字签名;
所述生成模块,用于根据所述获取模块获取的所述第一信息和所述签名模块签名得到的数字签名,生成目标设备指纹;
所述发送模块,用户向所述服务器发送所述目标设备指纹;
其中,所述第一信息关联目标公钥,所述数字签名关联所述目标私钥;所述设备唯一标识、所述目标公钥,以及所述目标私钥在可信执行环境TEE中生成,所述目标私钥存储在所述电子设备的重放保护存储块RPMB中。
11.根据权利要求10所述的电子设备,其特征在于,所述签名模块具体用于:
采用目标私钥对所述第一信息签名,得到数字签名。
12.根据权利要求10或11所述的电子设备,其特征在于,
所述获取模块,还用于在所述签名模块基于目标私钥签名,得到数字签名之前,在满足所述预设条件的情况下,获取第二信息,所述第二信息包括以下至少一项:目标系统信息、目标业务信息;
所述签名模块,具体用于采用所述目标私钥对所述第一信息和所述第二信息中的至少一个签名,得到数字签名;
所述生成模块,具体用于根据所述第一信息、所述第二信息和所述数字签名,生成所述电子设备的目标设备指纹。
13.一种服务器,其特征在于,所述服务器包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求1至3中任一项所述的设备指纹验证方法的步骤。
14.一种电子设备,其特征在于,所述电子设备包括处理器、存储器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现如权利要求4至6中任一项所述的设备指纹验证方法的步骤。
15.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3或4至6中任一项所述的设备指纹验证方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010281402.9A CN111598573B (zh) | 2020-04-10 | 2020-04-10 | 一种设备指纹验证方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010281402.9A CN111598573B (zh) | 2020-04-10 | 2020-04-10 | 一种设备指纹验证方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111598573A true CN111598573A (zh) | 2020-08-28 |
| CN111598573B CN111598573B (zh) | 2023-10-31 |
Family
ID=72184915
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010281402.9A Active CN111598573B (zh) | 2020-04-10 | 2020-04-10 | 一种设备指纹验证方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111598573B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448819A (zh) * | 2020-11-06 | 2021-03-05 | 支付宝(杭州)信息技术有限公司 | 物联网设备的校验、签名文件的生成方法及装置 |
| CN112528343A (zh) * | 2020-12-30 | 2021-03-19 | 楚天龙股份有限公司 | 应用于指纹卡的个人化数据检查的方法、装置及介质 |
| CN112528257A (zh) * | 2020-12-04 | 2021-03-19 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN113938878A (zh) * | 2021-10-15 | 2022-01-14 | 维沃移动通信有限公司 | 一种设备标识符防伪造方法、装置和电子设备 |
| CN115379450A (zh) * | 2022-07-25 | 2022-11-22 | 中国第一汽车股份有限公司 | 数据处理方法、装置及电子设备 |
| CN116016241A (zh) * | 2022-12-27 | 2023-04-25 | 安天科技集团股份有限公司 | 一种设备指纹信息识别方法、装置、存储介质及电子设备 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100229224A1 (en) * | 2009-02-10 | 2010-09-09 | Uniloc Usa, Inc. | Web Content Access Using a Client Device Identifier |
| CN106899410A (zh) * | 2016-09-13 | 2017-06-27 | 中国移动通信有限公司研究院 | 一种设备身份认证的方法及装置 |
| CN108471352A (zh) * | 2018-03-16 | 2018-08-31 | 数安时代科技股份有限公司 | 基于分布式私钥的处理方法、系统、计算机设备及存储介质 |
| CN108964892A (zh) * | 2018-06-25 | 2018-12-07 | 北京迪曼森科技有限公司 | 可信应用标识的生成方法、应用方法、管理系统和应用系统 |
| CN110362984A (zh) * | 2019-06-28 | 2019-10-22 | 北京思源互联科技有限公司 | 多设备运行业务系统的方法及装置 |
| CN110677418A (zh) * | 2019-09-29 | 2020-01-10 | 四川虹微技术有限公司 | 可信声纹认证方法、装置、电子设备及存储介质 |
| CN110912684A (zh) * | 2018-09-14 | 2020-03-24 | 北京京东尚科信息技术有限公司 | 基于设备指纹的认证加密的系统和方法 |
-
2020
- 2020-04-10 CN CN202010281402.9A patent/CN111598573B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100229224A1 (en) * | 2009-02-10 | 2010-09-09 | Uniloc Usa, Inc. | Web Content Access Using a Client Device Identifier |
| CN106899410A (zh) * | 2016-09-13 | 2017-06-27 | 中国移动通信有限公司研究院 | 一种设备身份认证的方法及装置 |
| CN108471352A (zh) * | 2018-03-16 | 2018-08-31 | 数安时代科技股份有限公司 | 基于分布式私钥的处理方法、系统、计算机设备及存储介质 |
| CN108964892A (zh) * | 2018-06-25 | 2018-12-07 | 北京迪曼森科技有限公司 | 可信应用标识的生成方法、应用方法、管理系统和应用系统 |
| CN110912684A (zh) * | 2018-09-14 | 2020-03-24 | 北京京东尚科信息技术有限公司 | 基于设备指纹的认证加密的系统和方法 |
| CN110362984A (zh) * | 2019-06-28 | 2019-10-22 | 北京思源互联科技有限公司 | 多设备运行业务系统的方法及装置 |
| CN110677418A (zh) * | 2019-09-29 | 2020-01-10 | 四川虹微技术有限公司 | 可信声纹认证方法、装置、电子设备及存储介质 |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112448819A (zh) * | 2020-11-06 | 2021-03-05 | 支付宝(杭州)信息技术有限公司 | 物联网设备的校验、签名文件的生成方法及装置 |
| CN112528257A (zh) * | 2020-12-04 | 2021-03-19 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN112528257B (zh) * | 2020-12-04 | 2023-08-01 | 百度在线网络技术(北京)有限公司 | 安全调试方法、装置、电子设备及存储介质 |
| CN112528343A (zh) * | 2020-12-30 | 2021-03-19 | 楚天龙股份有限公司 | 应用于指纹卡的个人化数据检查的方法、装置及介质 |
| CN113938878A (zh) * | 2021-10-15 | 2022-01-14 | 维沃移动通信有限公司 | 一种设备标识符防伪造方法、装置和电子设备 |
| CN115379450A (zh) * | 2022-07-25 | 2022-11-22 | 中国第一汽车股份有限公司 | 数据处理方法、装置及电子设备 |
| CN116016241A (zh) * | 2022-12-27 | 2023-04-25 | 安天科技集团股份有限公司 | 一种设备指纹信息识别方法、装置、存储介质及电子设备 |
| CN116016241B (zh) * | 2022-12-27 | 2024-05-31 | 安天科技集团股份有限公司 | 一种设备指纹信息识别方法、装置、存储介质及电子设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111598573B (zh) | 2023-10-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111598573B (zh) | 一种设备指纹验证方法及装置 | |
| US10708065B2 (en) | Service processing method, device and system | |
| WO2017118412A1 (zh) | 一种更新密钥的方法、装置和系统 | |
| CN108595946B (zh) | 一种保护隐私的方法及终端 | |
| CN110457888B (zh) | 一种验证码输入方法、装置、电子设备及存储介质 | |
| CN109918944B (zh) | 一种信息保护方法、装置、移动终端及存储介质 | |
| CN113238868B (zh) | 任务处理方法、装置、服务器、设备、系统及存储介质 | |
| CN109819016B (zh) | 基于区块链的信息发布方法、信息接收方法和移动终端 | |
| CN108021379B (zh) | 一种应用程序的升级方法、移动终端及服务器 | |
| CN111209031B (zh) | 一种数据获取方法、装置、终端设备及存储介质 | |
| CN108460251B (zh) | 运行应用程序的方法、装置及系统 | |
| CN109639706B (zh) | 一种请求处理方法、服务器、客户端、系统、电子设备及计算机可读存储介质 | |
| CN111597540A (zh) | 应用程序的登录方法、电子设备及可读存储介质 | |
| CN112073414B (zh) | 一种工业互联网设备安全接入方法、装置、设备及存储介质 | |
| CN113221150A (zh) | 一种数据防护方法及装置 | |
| CN111159687B (zh) | 账户信息处理方法、电子设备及服务器 | |
| CN109547622B (zh) | 一种验证方法及终端设备 | |
| CN111159738A (zh) | 权限配置方法、应用登录方法及装置 | |
| CN108737341B (zh) | 业务处理方法、终端及服务器 | |
| CN110851408A (zh) | 一种文件压缩方法、文件解压方法和电子设备 | |
| CN111315039A (zh) | 一种完整性保护失败的处理方法及终端 | |
| CN110289950B (zh) | 一种密钥信息生成方法及装置 | |
| CN110032861B (zh) | 一种设置密码的方法及终端设备 | |
| CN109257441B (zh) | 一种无线局域网位置获取方法及装置 | |
| CN109409068B (zh) | 一种操作执行方法及终端 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |