CN112765588B - 一种身份识别方法、装置、电子设备及存储介质 - Google Patents
一种身份识别方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN112765588B CN112765588B CN202110081702.7A CN202110081702A CN112765588B CN 112765588 B CN112765588 B CN 112765588B CN 202110081702 A CN202110081702 A CN 202110081702A CN 112765588 B CN112765588 B CN 112765588B
- Authority
- CN
- China
- Prior art keywords
- information
- equipment
- determining
- data block
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 73
- 238000003860 storage Methods 0.000 title claims abstract description 15
- 238000012795 verification Methods 0.000 claims abstract description 50
- 230000001960 triggered effect Effects 0.000 claims abstract description 9
- 230000000875 corresponding effect Effects 0.000 claims description 94
- 230000008569 process Effects 0.000 claims description 25
- 238000004590 computer program Methods 0.000 claims description 13
- 230000008859 change Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 10
- 230000002596 correlated effect Effects 0.000 claims description 6
- 230000001172 regenerating effect Effects 0.000 claims description 6
- 238000004891 communication Methods 0.000 claims description 5
- 238000004422 calculation algorithm Methods 0.000 description 19
- 238000010586 diagram Methods 0.000 description 15
- 230000006870 function Effects 0.000 description 6
- 238000005242 forging Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 238000012954 risk control Methods 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 3
- 238000004519 manufacturing process Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 239000004973 liquid crystal related substance Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000005457 optimization Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000007423 decrease Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/32—User authentication using biometric data, e.g. fingerprints, iris scans or voiceprints
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Telephonic Communication Services (AREA)
- Storage Device Security (AREA)
Abstract
本申请涉及计算机技术领域,尤其涉及一种身份识别方法、装置、电子设备及存储介质,触发身份识别流程时,获取终端设备上报的第一签名信息;根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;将所述第三签名信息与对应的设备信息数据块中的第二签名信息进行比对验证,在比对验证一致时,确定终端设备的身份识别通过,以提高终端设备的身份识别的安全性和可靠性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种身份识别方法、装置、电子设备及存储介质。
背景技术
随着网络发展和普及,网络安全问题也越来越多,尤其是对于支付产品,如何保证安全性是非常重要的。现有技术中,可以基于终端设备的身份识别来进行风险控制,例如若不能有效地识别出用户认证过的终端设备,则可以认为用户的业务处理场景存在风险,从而执行相应的风险控制策略。
但是现有技术中,终端设备的身份识别方法,主要是终端设备本地生成设备指纹,以用于身份识别,但是本地生成算法容易被反编译破解,本地存储设备指纹的安全性也较低,另外现有技术中还可以由服务器根据终端设备上报的设备信息进行匹配和身份识别,或者服务器根据设备信息生成设备指纹并下发给终端设备,以用于身份识别,但是这种方式攻击者可能会修改或盗取设备信息,从而降低了终端设备的身份识别的可靠性。
发明内容
本申请实施例提供一种身份识别方法、装置、电子设备及存储介质,以提高终端设备的身份识别的安全性和可靠性。
本申请实施例提供的具体技术方案如下:
一种身份识别方法,包括:
触发身份识别流程时,获取终端设备上报的第一签名信息;
根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;
获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;
将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过。
可选的,获取终端设备上报的第一签名信息之前,还包括:
获取所述终端设备在未读取到所述第一签名信息时上报的所述第一设备信息;
根据所述第一设备信息,生成所述终端设备的设备信息数据块;
接收所述终端设备发送的用户的生物特征信息;
确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过,并将生成的所述设备信息数据块中的所述第二签名信息发送给所述终端设备,以使所述终端设备存储接收到的所述第二签名信息。
可选的,在比对验证不一致时,进一步包括:
根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度;
若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过;
若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过。
可选的,根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度,具体包括:
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对;
根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和所述第二设备信息的匹配度。
可选的,根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和第二设备信息的匹配度,具体包括:
按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,所述信息类型是根据设备信息的稳定程度所划分的;
根据所述每一信息类型中各条目一致的数量,以及预设的所述每一信息类型对应的权重值,确定所述第一设备信息和所述第二设备信息的匹配度,其中,所述每一信息类型对应的权重值与所述每一信息类型的稳定程度呈正相关,并且权重值越高对所述匹配度的影响越大。
可选的,将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一进行比对,具体包括:
根据预设的每一信息类型对应的误差条件,分别判断所述每一信息类型中各条目的信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,所述每一信息类型的稳定程度与对应的误差条件呈负相关。
可选的,若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过之后,进一步包括:
接收所述终端设备发送的用户的生物特征信息;
若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过。
可选的,若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过,或,若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过时,进一步包括:
根据所述第二设备信息更新所述对应的设备信息数据块中的第一设备信息;
根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新所述对应的设备信息数据块中的第二签名信息,以及将所述重新生成的签名信息发送给所述终端设备,以使所述终端设备更新并存储所述重新生成的签名信息。
可选的,确定所述终端设备的身份识别通过时,进一步包括:
生成会话标识,并将所述会话标识发送给所述终端设备,以使所述终端设备基于所述会话标识进行触发身份识别流程所对应后续的业务数据通信,所述会话标识对应设置有有效时长。
一种身份识别装置,包括:
第一获取模块,用于触发身份识别流程时,获取终端设备上报的第一签名信息;
查找模块,用于根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;
处理模块,用于获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;
验证模块,用于将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过。
可选的,获取终端设备上报的第一签名信息之前,还包括:
第二获取模块,用于获取所述终端设备在未读取到所述第一签名信息时上报的所述第一设备信息;
第一生成模块,用于根据所述第一设备信息,生成所述终端设备的设备信息数据块;
第三获取模块,用于接收所述终端设备发送的用户的生物特征信息;
第一确定模块,用于确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过;
发送模块,用于将生成的所述设备信息数据块中的所述第二签名信息发送给所述终端设备,以使所述终端设备存储接收到的所述第二签名信息。
可选的,在比对验证不一致时,进一步包括,第二确定模块,用于:
根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度;
若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过;
若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过。
可选的,根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度时,所述第二确定模块具体用于:
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对;
根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和所述第二设备信息的匹配度。
可选的,根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和第二设备信息的匹配度时,所述第二确定模块具体用于:
按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,所述信息类型是根据设备信息的稳定程度所划分的;
根据所述每一信息类型中各条目一致的数量,以及预设的所述每一信息类型对应的权重值,确定所述第一设备信息和所述第二设备信息的匹配度,其中,所述每一信息类型对应的权重值与所述每一信息类型的稳定程度呈正相关,并且权重值越高对所述匹配度的影响越大。
可选的,将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对时,所述第二确定模块具体用于:
根据预设的每一信息类型对应的误差条件,分别判断所述每一信息类型中各条目的信息的设备信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,所述每一信息类型的稳定程度与对应的误差条件呈负相关。
可选的,若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过之后,进一步包括,第三确定模块,用于:
接收所述终端设备发送的用户的生物特征信息;
若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过。
可选的,若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过,或,若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过时,进一步包括,更新模块,用于:
根据所述第二设备信息更新所述对应的设备信息数据块中的第一设备信息;
根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新所述对应的设备信息数据块中的第二签名信息,以及将所述重新生成的签名信息发送给所述终端设备,以使所述终端设备更新并存储所述重新生成的签名信息。
可选的,确定所述终端设备的身份识别通过时,进一步包括:
第二生成模块,用于生成会话标识,并将所述会话标识发送给所述终端设备,以使所述终端设备基于所述会话标识进行触发身份识别流程所对应后续的业务数据通信,所述会话标识对应设置有有效时长。
一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述任一种身份识别方法的步骤。
一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一种身份识别方法的步骤。
本申请实施例中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;触发身份识别流程时,获取终端设备上报的第一签名信息,根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息,进而将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过,这样,在服务器侧根据终端的设备信息生成签名信息,并且在服务器和终端设备都存储设备信息和签名信息,可以通过签名信息和设备信息进行身份识别,从根本上保证终端设备识别是可信且是唯一的,而无需过度依赖对运行环境的监测与严控,提高身份识别效率和安全性,降低了伪造设备身份的可能性。
附图说明
图1为本申请实施例中设备信息数据块示意图;
图2为本申请实施例中一种身份识别方法流程图;
图3为本申请实施例中新终端设备注册流程示意图;
图4为本申请实施例中老终端设备身份识别流程示意图;
图5为本申请实施例中身份识别装置结构示意图;
图6为本申请实施例中电子设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,并不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
为便于对本申请实施例的理解,下面先对几个概念进行简单介绍:
消息摘要算法:包含消息摘要算法(Message Digest Algorithm,MD)、安全散列算法(Secure Hash Algorithm,SHA)和消息认证码算法(Message Authentication Code,MAC)共3大系列,常用于验证数据的完整性,是数字签名算法的核心算法。消息摘要算法又称为散列算法,其核心在于散列函数的单向性,即通过散列函数可获得对应的散列值,但不可通过该散列值反推原始信息,这是消息摘要算法的安全性的根本所在。
风控:是风险控制的简称,风险控制是指风险管理者采取各种措施和方法,消灭或减少风险事件发生的各种可能性,或风险控制者减少风险事件发生时造成的损失。
设备指纹:是指可以用于唯一标识出该设备的设备特征或者独特的设备标识,包括一些固有的、较难篡改的、唯一的设备标识。例如设备的硬件ID,如手机在生产过程中都会被赋予一个唯一的国际移动设备识别(International Mobile Equipment Identity,IMEI)编号,用于唯一标识该台设备,又例如电脑的网卡,在生产过程中会被赋予唯一的介质访问控制(Media Access Control,MAC)地址,这些设备唯一的标识符可以将其视为设备指纹。
运行环境安全:指程序在运行时的自我检测,确保当前处于一个相对安全的运行环境,包括设备root、常见调试框架、应用多开、模拟器的检测等。
另外需要说明的是,本申请实施例中的第一设备信息、第二设备信息,以及第一签名信息、第二签名信息、第三签名信息等,其中的“第一”、“第二”等限定仅是为了更好地区分说明,并没有实际顺序限制。
随着网络发展和普及,网络安全问题也越来越多,尤其是对于支付产品,如何保证安全性是非常重要的。现有技术中,可以基于终端设备的身份识别来进行风险控制,例如若不能有效地识别出用户认证过的终端设备,则可以认为用户的业务处理场景存在风险,从而执行相应的风险控制策略。
但是现有技术中,终端设备的身份识别方法,主要是终端设备本地生成设备指纹,以用于身份识别,但是本地生成算法容易被反编译破解,本地存储设备指纹的安全性也较低,另外现有技术中还可以由服务器根据终端设备上报的设备信息进行匹配和身份识别,或者服务器根据设备信息生成设备指纹并下发给终端设备,以用于身份识别,但是这种方式攻击者可能会修改或盗取设备信息,从而降低了终端设备的身份识别的可靠性。
因此,针对上述问题,为保证安全性,本申请实施例中提供了一种身份识别方法,设计设备信息数据块,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对数据块标识和第一设备信息进行完整性校验的第二签名信息,在触发身份识别流程时,获取终端设备上报的第一签名信息;根据第一签名信息,查找到终端设备对应的设备信息数据块,获取终端设备上报的第二设备信息,并根据第二设备信息生成第三签名信息;进而将第三签名信息与对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定终端设备的身份识别通过,这样,设计设备信息数据块,将设备信息、签名信息也都存储在服务器和终端设备中,进而可以通过终端设备上报的第一签名信息查找对应设备信息数据块,并通过终端设备上报的第二设备信息生成第三签名信息,将第三签名信息与设备信息数据块中的第二签名信息进行比对验证,进而确定终端设备的身份,从根本上确保终端设备识别的可信性和唯一性,而无需过度依赖对运行环境的监测与严控,不仅仅是终端设备或服务器存储某一种信息,当签名信息被篡改或盗用时,攻击者也无法获知签名的入参及生成规则,无法对动态化设备参数进行完整还原,所以无法通过服务器签名校验,降低了伪造设备身份的可能性。
为便于对本申请实施例中的身份识别方法更好地理解,下面先对本申请实施例中的设计的设备信息数据块进行说明。本申请实施例中本,针对每个终端设备,都对应生成并存储一个设备信息数据块,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对数据块标识和第一设备信息进行完整性校验的第二签名信息,例如,参阅图1所示,为本申请实施例中设备信息数据块示意图,设备信息数据块主要包括数据块标识(flag)、第一设备信息(即实际数据data)和第二签名信息三部分,具体地,1)数据块标识代表设备信息数据块的关键字,是识别终端设备的唯一标识;2)第一设备信息即为实际数据部分,主要存放终端设备的基本信息及部分可变参数等条目,用于终端设备身份的校验,为设备信息置换提供依据;3)第二签名信息主要用于对数据块标识和第一设备信息的完整性校验,可以是利用摘要算法生成的哈希值,能够防止被攻击者恶意窜改、盗用,同时也可以用于查找设备信息数据块。
其中,本申请实施例中第一设备信息,以及文中的第二设备信息中设备信息并不进行限制,设备信息可以来源有厂商硬件信息、外部设备信息、操作系统信息、应用程序信息、用户个人信息等,例如参阅表1所示,为本申请实施例中列举的几种设备信息。
表1.
本申请实施例中,虽然设备信息可能会发生变化,但是利用有限的可变去映射固定的数据块标识,可以对重置操作进行桥接,保证映射关系的唯一性。并且,本申请实施例中,还可以根据设备信息的稳定程度划分了多个信息类型,例如可以划分为稳定和不稳定,还可以划分为多个稳定程度等级,例如表1中,将稳定程度划分为了五个稳定程度等级,即五种信息类型,表1中从上到下,稳定程度逐渐降低,例如,IMEI、蓝牙地址、CPU信息等是比较稳定的信息,通常是不会发生更改,而启动开机时间、位置信息等信息波动性较大。
基于上述实施例,下面先对本申请实施例中的身份识别方法进行说明,参阅图2所示,为本申请实施例中一种身份识别方法流程图,该方法包括:
步骤200:触发身份识别流程时,获取终端设备上报的第一签名信息。
本申请实施例中,在初始注册时,服务器会根据终端设备上报的第一设备信息,生成第二签名信息,进而生成该终端设备的设备信息数据块,设备信息数据块存储在服务器,并将生成的第二签名信息发送给终端设备,终端设备将服务器返回的第二签名信息加密存储在本地,以用于后续身份识别。在执行终端设备的身份识别业务时,终端设备会读取本地保存的签名信息,本申请实施例中将终端设备在本地读取的签名信息称为第一签名信息,正常情况下即终端设备身份能够识别成功无伪造等情况时,第一签名信息是与设备信息数据块中第二签名信息相同的,读取到第一签名信息后,即可以进行后续的身份识别流程,若第一签名信息丢失即未读取到第一签名信息,则走新设备注册流程。
则下面对注册流程进行具体说明,获取终端设备上报的第一签名信息之前,还包括:
A1、获取终端设备在未读取到第一签名信息时上报的第一设备信息。
本申请实施例中,终端设备可以多维度采集设备信息,例如,包括终端设备生成的设备指纹、运行环境检查情况等信息,具体本申请实施例中并不进行限制,其中,本地生成的设备指纹,一般利用设备信息+随机数+时间戳生成通用唯一识别码(UniversallyUnique Identifier,UUID),在海量的终端设备中可以减少冲突概率,该标识由终端程序本地保存维护;运行环境检查可以获得终端设备当前是否处于root或者可调试状态等信息,检查结果不会阻断流程。
A2、根据第一设备信息,生成终端设备的设备信息数据块。
本申请实施例中,每个终端设备唯一对应一个设备信息数据块,由数据块标识、第一设备信息和第二签名信息三部分组成,其中,数据块标识可以是服务器随机分配的,但保证每个终端设备对应的数据块标识都是唯一的,并且由于第一设备信息可以根据不同的稳定程度而分为不同信息类型,相对稳定的部分具备不可变或者少量可变性,不稳定的部分会存在波动性,可以设定一个相对稳定的误差范围,只要在这个误差范围内都是有效的,例如利用位置信息确定活跃城市或区域,附近Wi-Fi列表也是相对稳定的,但是存在波动性,因此本申请实施例中在生成第二签名信息时,可以不采用所有的第一设备信息包含的所有条目的信息来计算,而是选取其中相对稳定的条目的信息加入完整性校验,作为入参生成第二签名信息,而不稳定的条目的信息仅作为关联老终端设备的匹配因子。
A3、接收终端设备发送的用户的生物特征信息。
其中,生物特征信息并不进行限制,例如为人脸、指纹等。
A4、确定用户的生物特征信息验证通过时,确定终端设备的身份识别通过,并将生成的设备信息数据块中的第二签名信息发送给终端设备,以使终端设备存储接收到的第二签名信息。
本申请实施例中,在注册流程中,服务器确定终端设备的身份识别通过后,将第二签名信息发送给终端设备,终端设备存储第二签名信息,其中,终端设备在存储第二签名信息时,可以采用多点加密保存的形式,例如图片文件隐写、写入系统配置、安装目录等方式,本申请实施例中并不进行限制。
另外,终端设备与服务器之间的信息传输,可以采用加密算法加密传输,以提高安全性,例如采用非对称加密算法等。
步骤210:根据第一签名信息,查找到终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对数据块标识和第一设备信息进行完整性校验的第二签名信息。
进一步地,若根据第一签名信息,未查找到终端设备对应的设备信息数据块,则也走新设备注册流程。
步骤220:获取终端设备上报的第二设备信息,并根据第二设备信息生成第三签名信息。
本申请实施例中,查找到设备信息数据块后,由于第一签名信息是终端设备上报的,为防止对第一签名信息的盗用或篡改等,因此还需要进行一步进行签名校验,终端设备上报第二设备信息,生成新的第三签名信息,其中,在根据第一设备信息生成第三签名信息时,要确保与设备信息数据块中生成第二签名信息时入参相同,例如,第二签名信息是根据IMEI、MAC地址、蓝牙地址生成的,则也需要使用第二设备信息中的IMEI、MAC地址、蓝牙地址的取值来生成第三签名信息。
步骤230:将第三签名信息与对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定终端设备的身份识别通过。
本申请实施例中,第三签名信息和第二签名信息比对一致,说明终端设备未发生变化,可以成功置换出数据块标识,确定终端设备的身份识别通过。
进一步地,第三签名信息和第二签名信息比对不一致时,说明终端设备的状态或设备信息发生了变化,还需要进一步确认变化是否为有效变化,具体地,在比对验证不一致时,本申请实施例中还提供了一种可能的实施方式:
B1、根据第二设备信息和对应的设备信息数据块中的第一设备信息,确定第一设备信息和第二设备信息的匹配度。
本申请实施例中,计算上报的第二设备信息与设备信息数据块中的第一设备信息的匹配度,匹配的信息越多安全性越强。
具体地:B1.1、将第一设备信息和第二设备信息中各对应条目的信息进行逐一比对。
即例如将第一设备信息中的IMEI与第二设备信息中的IMEI进行比对,将第一设备信息中的MAC地址与第二设备信息中的MAC地址进行比对等,在进行比对时,可以不仅限于参与签名信息计算的条目,未参与签名信息计算的条目也可以进行比对。
并且,本申请实施例中,可以采用分级匹配方式,根据设备信息的稳定程度划分为多个信息类型,并且赋予不同权重值,以及匹配时的误差条件,具体执行该步骤B1.1具体包括:根据预设的每一信息类型对应的误差条件,分别判断每一信息类型中各条目的信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,每一信息类型的稳定程度与对应的误差条件呈负相关。
即本申请实施例中,稳定程度越高的信息类型其误差条件越严格,即所允许的误差范围越小,例如,也如上述表1所示,按照稳定程度划分为五种信息类型,分别为信息类型1、信息类型2、信息类型3、信息类型4和信息类型5,其中,信息类型1、信息类型2、信息类型3、信息类型4相对稳定,需要取绝对值相等,信息类型5波动性较大,可以设置一个误差范围,在误差范围内的认为是比对一致的,例如,位置信息显示处于相同地区范围的都认为是一致的。
B1.2、根据第一设备信息和第二设备信息中各条目一致的数量,确定第一设备信息和第二设备信息的匹配度。
执行该步骤B1.2具体包括:1)按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,信息类型是根据设备信息的稳定程度所划分的。
2)根据每一信息类型中各条目一致的数量,以及预设的每一信息类型对应的权重值,确定第一设备信息和第二设备信息的匹配度,其中,每一信息类型对应的权重值与每一信息类型的稳定程度呈正相关,并且权重值越高对匹配度的影响越大。
例如,共五种信息类型,稳定程度从高到低依次为信息类型1、信息类型2、信息类型3、信息类型4和信息类型5,分别对应的权重为ω1、ω2、ω3、ω4、ω5,并且ω1>ω2>ω3>ω4>ω5,通过比对分别统计每一信息类型中各条目一致的数量,如统计的一致的数量分别为d1、d2、d3、d4和d5,则匹配度x可以采用以下计算方式:
这样,本申请实施例中采用信息分级匹配方法,加权确定出匹配度,可以提高匹配度计算的准确性。
B2、若确定匹配度大于等于可信阈值,则确定终端设备的身份识别通过。
其中,可信阈值y动态可调,例如,当运行环境检查结果为不安全时,可以上调y值增强校验,以提高安全性,具体可信阈值可以根据实际情况而设置,本申请实施例中并不进行限制。
B3、若确定匹配度小于可信阈值,则确定终端设备的身份识别未通过。
匹配度小于可信阈值,说明可能存在恶意盗用设备签名信息的风险,会触发风控校验进而验证生物特征信息,例如人脸、指纹等,进一步地,若确定匹配度小于可信阈值后,本申请实施例中还提供了一种生物特征信息校验方式,具体地:接收终端设备发送的用户的生物特征信息;若确定用户的生物特征信息验证通过时,确定终端设备的身份识别通过。
也就是说,在匹配度小于可信阈值时,还可以通过生物特征信息再次进行身份识别,若生物特征信息验证通过,则也可以认为终端设备的身份识别通过,进一步地,若生物特征信息也验证失败,则进入新设备注册流程。
进一步地,本申请实施例中,确定终端设备的设备识别通过后,为了提高后续匹配准确性,优化算法,尤其是针对匹配度小于可信阈值但生物特征信息验证通过的情况,这时虽然设备信息的匹配超出了匹配算法的识别的误差条件,但是身份识别通过了,说明设备信息变化应该是有效的,因此可以记录这部分变化的设备信息,更新设备信息数据块,具体地,本申请实施例中提供一种更新的实施方式:若确定匹配度大于等于可信阈值,则确定终端设备的身份识别通过,或,若确定用户的生物特征信息验证通过时,确定终端设备的身份识别通过时,进一步包括:1)根据第二设备信息更新对应的设备信息数据块中的第一设备信息。2)根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新对应的设备信息数据块中的第二签名信息,以及将重新生成的签名信息发送给终端设备,以使终端设备更新并存储重新生成的签名信息。
这样,设备信息数据块中第一设备信息及第二签名更新成功后,可以将重新生成的签名信息下发到终端设备,终端设备可以更新本地存储的第一签名信息,实现签名信息的置换并重新绑定终端设备的身份。
进一步地,完成注册流程或身份识别流程后,确定终端设备的身份识别通过时,后续终端设备与服务器就可以进行业务流程,为提高效率,并不需要每次业务传输时都进行一次身份识别,在确定身份识别通过后,可以生成临时的会话标识,用于短期业务交互,具体本申请实施例中提供了一种可能的实施方式,生成会话标识,并将会话标识发送给终端设备,以使终端设备基于会话标识进行触发身份识别流程所对应后续的业务数据通信,会话标识对应设置有有效时长。
本申请实施例中,会话标识为临时的,是一段不会重复、难以伪造的字符串,在终端设备注册成功或身份识别成功后,由服务器生成并设置有效时长,与终端设备或者互联网协议地址(Internet Protocol Address,IP地址)无关,可用于短期业务交互,不必每次都带上设备信息或签名信息进行校验,但是会话标识是有时长限制的,为临时的,通常仅在单次业务流程中有效,单次业务流程中断或结束,终端设备下次再次发起业务流程时仍需要再进行身份识别,从而身份识别通过后获取会话标识,以用于本次业务流程。
本申请实施例中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对数据块标识和第一设备信息进行完整性校验的第二签名信息;在触发身份识别流程时,获取终端设备上报的第一签名信息;根据第一签名信息,查找到终端设备对应的设备信息数据块,获取终端设备上报的第二设备信息,并根据第二设备信息生成第三签名信息,进而将第三签名信息与对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定终端设备的身份识别通过,这样,在服务器侧根据终端的设备信息生成签名信息并下发给终端设备,并且在服务器和终端设备都存储设备信息和签名信息,当终端设备中签名信息被篡改或被盗用时,攻击者也无法获知签名信息的入参及生成规则,无法对动态化的设备信息进行完整还原,因此无法通过服务器端的签名校验,降低了伪造设备身份的可能性,从根本上确保终端设备识别是可信且唯一的,进而可以关联用户行为数据,增强风控系统的准确性和可靠性,提高识别效率,减少对用户打扰,能够有效防范欺诈、钓鱼等行为。
基于上述实施例,下面采用具体应用场景,对本申请实施例中的身份识别方法进行说明,具体可以分为以下几方面进行说明。
第一方面:新终端设备注册流程。
参阅图3所示,为本申请实施例中新终端设备注册流程示意图,具体包括:
步骤300:终端设备采集第一设备信息。
本申请实施例中,终端设备在与服务器进行业务交互时,服务器可以识别出是否是新终端设备,若识别出新终端设备,可以引导用户进行生物特征信息完善等,以完成终端设备的注册。
其中,第一设备信息具体并不进行限制,例如包括设备指纹、运行环境检查相关信息等。
步骤301:终端设备向服务器上报第一设备信息。
步骤302:服务器进入新终端设备注册流程。
步骤303:服务器生成设备信息数据块。
其中,设备信息数据块中至少包括数据块标识、第一设备信息和第二签名信息。
步骤304:服务器向终端设备返回设备信息数据块中的第二签名信息和生成的会话标识。
本申请实施例中,由服务器完成终端设备注册,首次注册时还需要获取生物特征信息,以用于身份识别,在身份识别通过后再将第二签名信息和会话标识发送给终端设备,进而终端设备可以基于会话标识来进行本次业务交互。
步骤305:终端设备存储第二签名信息。
例如,为进一步提高安全性,防止误删、篡改或被盗,可以采用多点加密保存第二签名信息,本申请实施例中并不进行限制。
第二方面:老终端设备身份识别流程。
参阅图4所示,为本申请实施例中老终端设备身份识别流程示意图,具体包括:
步骤400:终端设备读取第一签名信息。
步骤401:终端设备判断是否存在第一签名信息,若是,则执行步骤402,否则,则执行步骤404。
本申请实施例中,终端设备读取本地保存的第一签名信息,若第一签名信息是加密存储,则采用相应加密方法进行解密以获得第一签名信息,若第一签名信息丢失,未读取到第一签名信息,则直接走新终端设备注册流程,若读取到第一签名信息,进而服务器可以根据第一签名信息来查找对应的设备信息数据块。
步骤402:服务器根据第一签名信息,查找设备信息数据块。
步骤403:服务器判断是否查找到设备信息数据块,若是,则执行步骤405,否则,则执行步骤404。
步骤404:进入新终端设备注册流程。
步骤405:终端设备采集第二设备信息。
这时,是在身份识别流程,查找到设备信息数据块,说明之前的第一签名信息是正确的,为保证安全性,防止签名信息被盗用,则还需通过当前采集上报的第二设备信息,进行签名信息校验。
步骤406:服务器根据第二设备信息生成第三签名信息。
步骤407:服务器判断第三签名信息与设备信息数据块中的第二签名信息是否一致,若是,则执行步骤414,否则,则执行步骤408。
即若确定重新生成的第三签名信息也是正确的,则说明终端设备的设备信息也都是有效的、正确的并且未发生变化,因此可以确定终端设备的身份识别通过,可以向终端设备返回生成的会话标识,若重新生成的第三签名信息不正确,说明终端设备的设备信息发生了变化,存在风险,因此还需要进行进一步验证。
步骤408:服务器判断设备信息变化是否有效,若是,则执行步骤411,否则,则执行步骤409。
其中,判断设备信息变化是否有效,具体地:根据第二设备信息和对应的设备信息数据块中的第一设备信息,确定第一设备信息和第二设备信息的匹配度,若确定匹配度大于等于可信阈值,则确定设备信息变化是有效的,身份识别通过,若确定匹配度小于可信阈值,则确定设备信息变化是无效的,需要进一步验证身份。
步骤409:触发风控流程。
即通过生物特征信息进行身份识别。
步骤410:终端设备验证生物特征信息是否有效,若是,则执行步骤411,否则,则返回执行步骤404。
例如,触发风控流程时,终端设备可以引导用户输入生物特征信息,进而可以将输入的生物特征信息发送给服务器,服务器将验证结果返回给终端设备,终端设备可以获知生物特征信息验证结果。当然也可以由终端设备执行对生物特征信息的验证,本申请实施例中并不进行限制。
步骤411:服务器更新对应的设备信息数据块。
即确定生物特征信息验证通过时,或者设备信息变化有效时,即确定终端设备的身份识别通过,则可以更新设备信息数据块中的第一设备信息和第二签名信息,以用于后续算法优化。
步骤412:服务器向终端设备发送更新后的设备信息数据块中重新生成的签名信息。
步骤413:终端设备更新本地存储的第一签名信息。
步骤414:服务器向终端设备发送生成的会话标识。
步骤415:结束。
进而终端设备可以基于该会话标识进行本次的业务交互。
这样,本申请实施例中,在支付或其他业务场景中,对于新终端设备,需要先注册,服务器生成设备信息数据块,并将生成的签名信息发送给终端设备以进行存储,对于已经认证过的终端设备,即老终端设备,同时需要防止恶意用户伪造身份信息,可以通过终端设备上报的其本地存储的第一签名信息,查找设备信息数据块,并获取终端设备上报的第一设备信息,生成第三签名信息,将第三签名信息与对应的设备信息数据块中的第二签名信息进行比对验证,比对验证一致时,可以确定身份识别通过,比对验证不一致时,需要进一步采用设备信息匹配度验证、生物特征信息验证等其它方式进行验证,提高了识别效率,也可以保证身份识别的准确性。
基于同一发明构思,本申请实施例中还提供了一种身份识别装置,该身份识别装置可以是硬件结构、软件模块、或硬件结构加软件模块。基于上述实施例,参阅图5所示,本申请实施例中身份识别装置,具体包括:
第一获取模块50,用于触发身份识别流程时,获取终端设备上报的第一签名信息;
查找模块51,用于根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;
处理模块52,用于获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;
验证模块53,用于将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过。
可选的,获取终端设备上报的第一签名信息之前,还包括:
第二获取模块54,用于获取所述终端设备在未读取到所述第一签名信息时上报的所述第一设备信息;
第一生成模块55,用于根据所述第一设备信息,生成所述终端设备的设备信息数据块;
第三获取模块56,用于接收所述终端设备发送的用户的生物特征信息;
第一确定模块57,用于确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过;
发送模块58,用于将生成的所述设备信息数据块中的所述第二签名信息发送给所述终端设备,以使所述终端设备存储接收到的所述第二签名信息。
可选的,在比对验证不一致时,进一步包括,第二确定模块59,用于:
根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度;
若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过;
若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过。
可选的,根据所述第二设备信息和对应的所述设备信息数据块中的第一设备信息,确定所述第一设备信息和所述第二设备信息的匹配度时,所述第二确定模块59具体用于:
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对;
根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和所述第二设备信息的匹配度。
可选的,根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和第二设备信息的匹配度时,所述第二确定模块59具体用于:
按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,所述信息类型是根据设备信息的稳定程度所划分的;
根据所述每一信息类型中各条目一致的数量,以及预设的所述每一信息类型对应的权重值,确定所述第一设备信息和所述第二设备信息的匹配度,其中,所述每一信息类型对应的权重值与所述每一信息类型的稳定程度呈正相关,并且权重值越高对所述匹配度的影响越大。
可选的,将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对时,所述第二确定模块59具体用于:
根据预设的每一信息类型对应的误差条件,分别判断所述每一信息类型中各条目的信息的设备信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,所述每一信息类型的稳定程度与对应的误差条件呈负相关。
可选的,若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过之后,进一步包括,第三确定模块510,用于:
接收所述终端设备发送的用户的生物特征信息;
若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过。
可选的,若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过,或,若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过时,进一步包括,更新模块511,用于:
根据所述第二设备信息更新所述对应的设备信息数据块中的第一设备信息;
根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新所述对应的设备信息数据块中的第二签名信息,以及将所述重新生成的签名信息发送给所述终端设备,以使所述终端设备更新并存储所述重新生成的签名信息。
可选的,确定所述终端设备的身份识别通过时,进一步包括:
第二生成模块512,用于生成会话标识,并将所述会话标识发送给所述终端设备,以使所述终端设备基于所述会话标识进行触发身份识别流程所对应后续的业务数据通信,所述会话标识对应设置有有效时长。
基于上述实施例,参阅图6所示为本申请实施例中电子设备的结构示意图。
本申请实施例提供了一种电子设备,该电子设备可以包括处理器610(CenterProcessing Unit,CPU)、存储器620、输入设备630和输出设备640等,输入设备630可以包括键盘、鼠标、触摸屏等,输出设备640可以包括显示设备,如液晶显示器(Liquid CrystalDisplay,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器620可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器610提供存储器620中存储的程序指令和数据。在本申请实施例中,存储器620可以用于存储本申请实施例中任一种身份识别方法的程序。
处理器610通过调用存储器620存储的程序指令,处理器610用于按照获得的程序指令执行本申请实施例中任一种身份识别方法。
基于上述实施例,本申请实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,计算机程序被处理器执行时实现上述任意方法实施例中的身份识别方法。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本申请的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本申请范围的所有变更和修改。
显然,本领域的技术人员可以对本申请实施例进行各种改动和变型而不脱离本申请实施例的精神和范围。这样,倘若本申请实施例的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。
Claims (14)
1.一种身份识别方法,其特征在于,包括:
触发身份识别流程时,获取终端设备上报的第一签名信息;
根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;
获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;
将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过;
在比对验证不一致时,进一步包括:
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对,具体包括:根据预设的每一信息类型对应的误差条件,分别判断所述每一信息类型中各条目的信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,所述每一信息类型的稳定程度与对应的误差条件呈负相关,所述信息类型的稳定程度表征所述信息类型的设备信息的波动性;
根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和所述第二设备信息的匹配度;
若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过;
若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过。
2.如权利要求1所述的方法,其特征在于,获取终端设备上报的第一签名信息之前,还包括:
获取所述终端设备在未读取到所述第一签名信息时上报的所述第一设备信息;
根据所述第一设备信息,生成所述终端设备的设备信息数据块;
接收所述终端设备发送的用户的生物特征信息;
确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过,并将生成的所述设备信息数据块中的所述第二签名信息发送给所述终端设备,以使所述终端设备存储接收到的所述第二签名信息。
3.如权利要求1所述的方法,其特征在于,根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和第二设备信息的匹配度,具体包括:
按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,所述信息类型是根据设备信息的稳定程度所划分的,所述设备信息的稳定程度表征所述设备信息发生更改的程度;
根据所述每一信息类型中各条目一致的数量,以及预设的所述每一信息类型对应的权重值,确定所述第一设备信息和所述第二设备信息的匹配度,其中,所述每一信息类型对应的权重值与所述每一信息类型的稳定程度呈正相关,并且权重值越高对所述匹配度的影响越大,所述信息类型的稳定程度表征所述信息类型的设备信息的波动性。
4.如权利要求1所述的方法,其特征在于,若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过之后,进一步包括:
接收所述终端设备发送的用户的生物特征信息;
若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过。
5.如权利要求4所述的方法,其特征在于,若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过,或,若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过时,进一步包括:
根据所述第二设备信息更新所述对应的设备信息数据块中的第一设备信息;
根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新所述对应的设备信息数据块中的第二签名信息,以及将所述重新生成的签名信息发送给所述终端设备,以使所述终端设备更新并存储所述重新生成的签名信息。
6.如权利要求1-5任一项所述的方法,其特征在于,确定所述终端设备的身份识别通过时,进一步包括:
生成会话标识,并将所述会话标识发送给所述终端设备,以使所述终端设备基于所述会话标识进行触发身份识别流程所对应后续的业务数据通信,所述会话标识对应设置有有效时长。
7.一种身份识别装置,其特征在于,包括:
第一获取模块,用于触发身份识别流程时,获取终端设备上报的第一签名信息;
查找模块,用于根据所述第一签名信息,查找到所述终端设备对应的设备信息数据块,其中,每个终端设备对应一个唯一的设备信息数据块,每个设备信息数据块中至少包括数据块标识、第一设备信息和用于对所述数据块标识和所述第一设备信息进行完整性校验的第二签名信息;
处理模块,用于获取所述终端设备上报的第二设备信息,并根据所述第二设备信息生成第三签名信息;
验证模块,用于将所述第三签名信息与所述对应的设备信息数据块中的第二签名信息进行比对验证,并在比对验证一致时,确定所述终端设备的身份识别通过;
在比对验证不一致时,进一步包括,第二确定模块,用于:
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对;
根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和所述第二设备信息的匹配度;
若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过;
若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过;
将所述第一设备信息和所述第二设备信息中各对应条目的信息进行逐一比对时,所述第二确定模块具体用于:
根据预设的每一信息类型对应的误差条件,分别判断所述每一信息类型中各条目的信息的设备信息是否符合对应的误差条件,若确定符合对应的误差条件,则确定比对一致,若确定不符合对应的误差条件,则确定比对不一致,其中,所述每一信息类型的稳定程度与对应的误差条件呈负相关,所述信息类型的稳定程度表征所述信息类型的设备信息的波动性。
8.如权利要求7所述的装置,其特征在于,获取终端设备上报的第一签名信息之前,还包括:
第二获取模块,用于获取所述终端设备在未读取到所述第一签名信息时上报的所述第一设备信息;
第一生成模块,用于根据所述第一设备信息,生成所述终端设备的设备信息数据块;
第三获取模块,用于接收所述终端设备发送的用户的生物特征信息;
第一确定模块,用于确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过;
发送模块,用于将生成的所述设备信息数据块中的所述第二签名信息发送给所述终端设备,以使所述终端设备存储接收到的所述第二签名信息。
9.如权利要求7所述的装置,其特征在于,根据所述第一设备信息和所述第二设备信息中各条目一致的数量,确定所述第一设备信息和第二设备信息的匹配度时,所述第二确定模块具体用于:
按照各条目所属的信息类型,分别统计每一信息类型中各条目一致的数量,其中,所述信息类型是根据设备信息的稳定程度所划分的,所述设备信息的稳定程度表征所述设备信息发生更改的程度;
根据所述每一信息类型中各条目一致的数量,以及预设的所述每一信息类型对应的权重值,确定所述第一设备信息和所述第二设备信息的匹配度,其中,所述每一信息类型对应的权重值与所述每一信息类型的稳定程度呈正相关,并且权重值越高对所述匹配度的影响越大,所述信息类型的稳定程度表征所述信息类型的设备信息的波动性。
10.如权利要求7所述的装置,其特征在于,若确定所述匹配度小于所述可信阈值,则确定所述终端设备的身份识别未通过之后,进一步包括,第三确定模块,用于:
接收所述终端设备发送的用户的生物特征信息;
若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过。
11.如权利要求10所述的装置,其特征在于,若确定所述匹配度大于等于可信阈值,则确定所述终端设备的身份识别通过,或,若确定所述用户的生物特征信息验证通过时,确定所述终端设备的身份识别通过时,进一步包括,更新模块,用于:
根据所述第二设备信息更新所述对应的设备信息数据块中的第一设备信息;
根据更新后第一设备信息,重新生成签名信息,并根据重新生成的签名信息更新所述对应的设备信息数据块中的第二签名信息,以及将所述重新生成的签名信息发送给所述终端设备,以使所述终端设备更新并存储所述重新生成的签名信息。
12.如权利要求7-11任一项所述的装置,其特征在于,确定所述终端设备的身份识别通过时,进一步包括:
第二生成模块,用于生成会话标识,并将所述会话标识发送给所述终端设备,以使所述终端设备基于所述会话标识进行触发身份识别流程所对应后续的业务数据通信,所述会话标识对应设置有有效时长。
13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现权利要求1-6任一项所述方法的步骤。
14.一种计算机可读存储介质,其上存储有计算机程序,其特征在于:所述计算机程序被处理器执行时实现权利要求1-6任一项所述方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110081702.7A CN112765588B (zh) | 2021-01-21 | 2021-01-21 | 一种身份识别方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110081702.7A CN112765588B (zh) | 2021-01-21 | 2021-01-21 | 一种身份识别方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112765588A CN112765588A (zh) | 2021-05-07 |
| CN112765588B true CN112765588B (zh) | 2024-05-10 |
Family
ID=75702250
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110081702.7A Active CN112765588B (zh) | 2021-01-21 | 2021-01-21 | 一种身份识别方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112765588B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531270B (zh) * | 2021-12-31 | 2023-11-03 | 网络通信与安全紫金山实验室 | 针对分段路由标签探测的防御方法及装置 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护系统中终端设备可信认证方法及其系统 |
| CN108805573A (zh) * | 2018-04-21 | 2018-11-13 | 深圳市元征科技股份有限公司 | 一种信息验证方法、服务器及存储介质 |
| WO2020056597A1 (zh) * | 2018-09-18 | 2020-03-26 | 王健 | 物品身份管理方法、终端、微处理单元、标识设备和系统 |
| CN112016134A (zh) * | 2020-09-01 | 2020-12-01 | 中国银行股份有限公司 | 一种验证文件完整性的方法及装置 |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101720268B1 (ko) * | 2015-10-26 | 2017-03-27 | (주)아이알엠 | 환자정보 보호를 위한 의료영상의 클라우드 데이터베이스 구축 및 판독 방법 |
-
2021
- 2021-01-21 CN CN202110081702.7A patent/CN112765588B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106656499A (zh) * | 2015-07-15 | 2017-05-10 | 同方股份有限公司 | 一种数字版权保护系统中终端设备可信认证方法及其系统 |
| CN108805573A (zh) * | 2018-04-21 | 2018-11-13 | 深圳市元征科技股份有限公司 | 一种信息验证方法、服务器及存储介质 |
| WO2020056597A1 (zh) * | 2018-09-18 | 2020-03-26 | 王健 | 物品身份管理方法、终端、微处理单元、标识设备和系统 |
| CN112019493A (zh) * | 2019-05-31 | 2020-12-01 | 北京京东尚科信息技术有限公司 | 身份认证方法、身份认证装置、计算机设备和介质 |
| CN112016134A (zh) * | 2020-09-01 | 2020-12-01 | 中国银行股份有限公司 | 一种验证文件完整性的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112765588A (zh) | 2021-05-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10965668B2 (en) | Systems and methods to authenticate users and/or control access made by users based on enhanced digital identity verification | |
| EP3178011B1 (en) | Method and system for facilitating terminal identifiers | |
| US9800574B2 (en) | Method and apparatus for providing client-side score-based authentication | |
| US10142308B1 (en) | User authentication | |
| CN108259502A (zh) | 用于获取接口访问权限的鉴定方法、服务端及存储介质 | |
| CN110943840B (zh) | 一种签名验证方法 | |
| CN112000853B (zh) | 设备唯一标识的生成/反馈方法、介质及客户端、服务端 | |
| CN109684878A (zh) | 一种基于区块链技术隐私信息防篡改方法及系统 | |
| CN112765588B (zh) | 一种身份识别方法、装置、电子设备及存储介质 | |
| CN110443039A (zh) | 插件安全性的检测方法、装置以及电子设备 | |
| CN111917760B (zh) | 一种基于标识解析的网络协同制造跨域融合信任管控方法 | |
| KR101876672B1 (ko) | 블록 체인을 이용한 전자 서명 방법 및 이를 실행하는 시스템 | |
| CN113596839A (zh) | 一种安全可靠的定向访问免流流量认证方法 | |
| CN111143808B (zh) | 系统安全认证方法、装置及计算设备、存储介质 | |
| CN112613893A (zh) | 一种用户恶意注册识别方法、系统、设备及介质 | |
| CN109145543B (zh) | 一种身份认证方法 | |
| CN107995167B (zh) | 一种设备识别方法及服务器 | |
| CN108965335B (zh) | 防止恶意访问登录接口的方法、电子设备及计算机介质 | |
| CN110971609A (zh) | Drm客户端证书的防克隆方法、存储介质及电子设备 | |
| EP3756332A1 (en) | Automated account recovery using trusted devices | |
| CN113849802A (zh) | 一种设备认证方法、装置、电子设备及存储介质 | |
| WO2018226500A1 (en) | Biometric identification system and associated methods | |
| WO2020228564A1 (zh) | 一种应用服务方法与装置 | |
| CN112104625A (zh) | 一种进程访问的控制方法及装置 | |
| JP2016095637A (ja) | 認証処理装置、方法およびプログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |