CN112861112A - 一种防止设备指纹标识欺诈的方法及装置 - Google Patents
一种防止设备指纹标识欺诈的方法及装置 Download PDFInfo
- Publication number
- CN112861112A CN112861112A CN202110170668.0A CN202110170668A CN112861112A CN 112861112 A CN112861112 A CN 112861112A CN 202110170668 A CN202110170668 A CN 202110170668A CN 112861112 A CN112861112 A CN 112861112A
- Authority
- CN
- China
- Prior art keywords
- fingerprint
- fraud
- signature file
- equipment
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/953—Querying, e.g. by the use of web search engines
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/71—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
- G06F21/73—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information by creating or determining hardware identification, e.g. serial numbers
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Mathematical Physics (AREA)
- Data Mining & Analysis (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种防止设备指纹标识欺诈的方法及装置,该方法具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。本发明针对现有技术存在的风险,提出一个通过在业务会话里采集部分特征,并和业务会话里的参数一起签名,来保障指纹token不会被人非法冒用。该方案可以保障提交上来的指纹token可信度,即改token确实是当前用户操作的设备。
Description
技术领域
本发明涉及一种防止设备指纹标识欺诈的方法及装置。
背景技术
设备指纹技术是互联网领域里较常见的一项技术,在业务安全领域尤其普遍,是一个基础安全服务。其目的是通过采集设备的一系列特征信息,上送到服务端,服务端经过算法分析和匹配,为每个设备生成唯一的标识。
如图1所示,具体工作流程是:从客户端(包括web页面,app,小程序等)采集多种设备环境信息,将信息加密后上报到设备指纹服务端,服务端解密数据,然后进行分析计算,如果是第一次访问的新设备,则生成一个新的设备指纹,如果经分析该设备之前已经采集上报过,则通过一些算法关联匹配找到之前的设备指纹,然后服务器生成一个token(该token并不是设备指纹,但通过token可以查询到设备指纹),返回给客户端。客户端的其他业务接口里,如果需要有设备指纹的,则携带设备指纹token,进行业务接口通信。
上述的设备指纹工作流程,是目前常见安全厂商提供的设备指纹服务通用工作流程。该流程有一个问题就是设备指纹token返回到客户端以后,token本身并没有和设备强绑定,即如果获取到设备A的指纹指纹token,则可以把该token手动写入另一台设备B,设备B发起业务请求然后携带该token后,服务端则会认为这是从A设备过来的请求,从而做到了设备欺骗或者篡改设备。
现有技术中,中国专利CN201511017178.8,公开了一种基于指纹识别的认证方法及系统。该方法包括:获取使用公钥加密用户的指纹特征值;使用私钥解密加密的用户的指纹特征值以获取所述用户的指纹特征值;根据预先存储的指纹特征值库中存在与所获取的所述用户的指纹特征值匹配的指纹特征值认证该用户;根据预先存储的指纹特征值库中的与所获取的所述用户的指纹特征值匹配的权限确定该用户的权限,以确认用户是否能够登录云计算管理平台。从而来达到防止非法用户伪造或假冒用户身份,保障信息安全性的目的。该现有技术方案仍然存在设备欺骗或者篡改设备的风险。
发明内容
针对现有技术存在的问题,本发明的目的在于提供一种防止设备指纹标识欺诈的方法及装置,通过辅助验证的方案来解决设备指纹token可能被冒用的问题。
为实现上述目的,本发明一种防止设备指纹标识欺诈的方法,具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。
进一步,所述特征值为会话id和/或用户id。特征值也可为任何具备会话或者用户唯一标识的特征,比如手机号,流水号,订单号,邮箱等,为了保证唯一性,可以再绑定一个随机数或者uuid。
进一步,所述方法的具体步骤为:
1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当前设备的一个或者多个特征项;
2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件;
3)准备提交业务会话时,需要携带设备指纹token,签名文件随业务提交会话一起上送给业务服务器,同时把特征项的名称一同提交给服务端;
4)业务服务器收到请求以后,对该签名文件进行校验;来匹配的设备与用户的权限,进而确定当前用户的权限。
进一步,所述步骤3)中,只需要上传所述特征项的名称,特征项的具体数值不需要上送给服务端;
进一步,所述步骤4)中,具体步骤为
A)通过设备指纹token在服务端查询到设备信息;
B)根据所述特征项的名称,从查询到的设备信息中读取该特征项的具体数值;
C)采用所述步骤2)中相同的方式,该特征项与当前会话的会话id和/或用户id一起形成第二签名文件;
D)比较所述步骤2)中的签名文件与第二签名文件是否一致;
E)如果一致,则设备指纹token可以认定是可信的;如果不一致则设备指纹token并不是对应当前设备,有设备欺诈的风险。
进一步,所述步骤2)中的签名文件为一次性使用。
进一步,所述服务端进行设备信息随机采集和加签名文件的过程,代码需要进行保护,进行加固或者混淆。
进一步,所述步骤3)中上传的数据使用加密算法进行加密。
进一步,所述特征项为当前设备的一个固定特征项。固定特征项可以为手机的imei、mac、idfa、系统版本号、手机型号等等,浏览器上可以是浏览器版本、useragent等信息。
一种防止设备指纹标识欺诈的装置,所述装置实施上述任一项所述防止设备指纹标识欺诈的方法。
本发明针对现有技术存在的风险,提出一个通过在业务会话里采集部分特征,并和业务会话里的参数一起签名,来保障指纹token不会被人非法冒用。该方案可以保障提交上来的指纹token可信度,即改token确实是当前用户操作的设备。
附图说明
图1为现有技术的设备指纹工作流程图;
图2为本发明流程图。
具体实施方式
下面将结合附图,对本发明的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本发明中的具体含义。
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。
本发明一种防止设备指纹标识欺诈的方法,具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。本发明需要使用指纹服务的系统来完成这些操作。
所述特征值为会话id和/或用户id。特征值也可为任何具备会话或者用户唯一标识的特征,比如手机号,流水号,订单号,邮箱等,为了保证唯一性,可以再绑定一个随机数或者uuid。特征项和业务请求的会话id和/或用户id一起形成签名文件。
本发明一种防止设备指纹标识欺诈的方法,具体步骤为:
1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当前设备的一个或者多个特征项;
特征项可以采集多个,比如采集设备的imei字段,比如手机的imei,mac,idfa,系统版本号,手机型号,浏览器上可以是浏览器版本,useragent等。特征项也可以为当前设备的一个固定特征项。固定特征项可以为手机的imei、mac、idfa、系统版本号、手机型号等等,浏览器上可以是浏览器版本、useragent等信息。随机特征项采集可以是设备指纹SDK提供接口,也可以业务系统自行采集。
2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件。
对于一个扩展的实施例,本发明中,采集部分特征项和业务会话里的信息一起做签名时,业务会话的信息不限于会话id或者用户id,也可以是其他业务会话,但需要是当前业务会话特有的可用于签名的信息。比如当前订单的订单号,流水号,手机号,邮箱,sessionid等信息。
3)准备提交业务会话时,需要携带设备指纹token,设备指纹token与签名文件随业务提交会话一起上送给业务服务器,同时把特征项的名称一同提交给服务端;
该步骤中,只需要上传所述特征项的名称,比如名称是imei;这里需要注意的是:特征项的具体数值(imei的具体值)不需要上送给服务端。
4)业务服务器收到请求以后,对该签名文件进行校验;来匹配的设备与用户的权限,进而确定当前用户的权限。
进一步,所述步骤4)中,具体步骤为
A)首先通过设备指纹token可以到设备指纹服务端查询到设备信息;
B)根据上送的随机设备特征项的名称,比如imei,从查询到的设备信息中读取imei的具体数值;
C)采用所述步骤2)中相同的方式,该特征项与当前会话的会话id和/或用户id一起形成第二签名文件;
D)比较所述步骤2)中的签名文件与第二签名文件是否一致;
E)比较和接口提交上来的签名是否一致。如果一致,则设备指纹token可以认定是可信的;如果不一致则设备指纹token并不是对应当前设备,有设备欺诈的风险。
出于安全,签名文件最好是一次性使用,服务端进行判断,签名在一段时间内(比如一周),仅可以使用一次,再次使用非法。针对签名的唯一性,可以在生成签名的时候,再添加个随机字串,类似uuid。Uuid需要一起提交到服务端。
同样出于安全,服务端进行设备信息随机采集和加签名文件的过程,代码需要进行保护,进行加固或者混淆,上传的数据要使用加密算法进行加密。
设备指纹服务对设备指纹token可以判断其是否合法和有效,但是无法判断这个设备指纹token在业务上使用时,是否是在其真实对应的设备上。本发明主要针对这个风险,提出一个通过在业务会话里采集部分特征,并和业务会话里的参数一起签名,来保障设备指纹token不会被人非法冒用。该方案可以保障提交上来的设备指纹token可信度,即该设备指纹token确实是当前用户操作的设备。
本发明主要针对设备指纹的使用场景,在使用设备指纹token的时候,因为设备指纹token是保存在客户端的,存在被人调换和冒用的风险,本发明主要针对这个风险。
客户端的设备指纹token使用者,在使用设备指纹token的时候,在其客户端进行设备信息的采样,并和业务会话里的信息一起做签名文件,来保障两点:一是设备指纹token不能从别的客户端获取使用,二是签名信息也需要保障不会被人冒用。
本发明还提供一种防止设备指纹标识欺诈的装置,所述装置实施上述任一项所述防止设备指纹标识欺诈的方法。本发明防止设备指纹标识欺诈的装置可以适用设备指纹的所有支持平台,包括安卓客户端,ios客户端,web页面和小程序。
Claims (10)
1.一种防止设备指纹标识欺诈的方法,其特征在于,该方法具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。
2.如权利要求1所述的防止设备指纹标识欺诈的方法,其特征在于,所述特征值为会话id和/或用户id。
3.如权利要求2所述的防止设备指纹标识欺诈的方法,其特征在于,所述方法的具体步骤为:
1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当前设备的一个或者多个特征项;
2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件;
3)准备提交业务会话时,需要携带设备指纹token,签名文件随业务提交会话一起上送给业务服务器,同时把特征项的名称一同提交给服务端;
4)业务服务器收到请求以后,对该签名文件进行校验;来匹配的设备与用户的权限,进而确定当前用户的权限。
4.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述步骤3)中,只需要上传所述特征项的名称,特征项的具体数值不需要上送给服务端。
5.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述步骤4)中,具体步骤为
A)通过设备指纹token在服务端查询到设备信息;
B)根据所述特征项的名称,从查询到的设备信息中读取该特征项的具体数值;
C)采用所述步骤2)中相同的方式,该特征项与当前会话的会话id和/或用户id一起形成第二签名文件;
D)比较所述步骤2)中的签名文件与第二签名文件是否一致;
E)如果一致,则设备指纹token可以认定是可信的;如果不一致则设备指纹token并不是对应当前设备,有设备欺诈的风险。
6.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述步骤2)中的签名文件为一次性使用。
7.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述服务端进行设备信息随机采集和加签名文件的过程,代码需要进行保护,进行加固或者混淆。
8.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述步骤3)中上传的数据使用加密算法进行加密。
9.如权利要求1所述的防止设备指纹标识欺诈的方法,其特征在于,所述特征项为当前设备的一个固定特征项。
10.一种防止设备指纹标识欺诈的装置,其特征在于,所述装置实施上述权利要求1-9任一项所述防止设备指纹标识欺诈的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110170668.0A CN112861112A (zh) | 2021-02-08 | 2021-02-08 | 一种防止设备指纹标识欺诈的方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110170668.0A CN112861112A (zh) | 2021-02-08 | 2021-02-08 | 一种防止设备指纹标识欺诈的方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112861112A true CN112861112A (zh) | 2021-05-28 |
Family
ID=75989045
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110170668.0A Pending CN112861112A (zh) | 2021-02-08 | 2021-02-08 | 一种防止设备指纹标识欺诈的方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112861112A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676480A (zh) * | 2021-08-20 | 2021-11-19 | 北京顶象技术有限公司 | 一种设备指纹篡改检测方法及装置 |
CN113779651A (zh) * | 2021-09-23 | 2021-12-10 | 北京神州慧安科技有限公司 | 硬盘防盗方法和装置 |
CN114024777A (zh) * | 2022-01-05 | 2022-02-08 | 北京顶象技术有限公司 | 一种检测设备指纹是否碰撞的方法及装置 |
CN115484053A (zh) * | 2022-08-02 | 2022-12-16 | 国网浙江省电力有限公司桐乡市供电公司 | 一种基于人工智能的零信任物联网终端设备身份认证方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101142570A (zh) * | 2004-06-14 | 2008-03-12 | 约维申有限公司 | 网络安全和欺诈检测系统及方法 |
CN107622198A (zh) * | 2017-07-11 | 2018-01-23 | 上海点融信息科技有限责任公司 | 用于实现设备指纹的方法、装置和计算机可读存储介质 |
CN107645381A (zh) * | 2016-07-21 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 安全验证实现方法及装置 |
CN112187465A (zh) * | 2020-08-21 | 2021-01-05 | 招联消费金融有限公司 | 无感登录方法、装置、计算机设备和存储介质 |
-
2021
- 2021-02-08 CN CN202110170668.0A patent/CN112861112A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101142570A (zh) * | 2004-06-14 | 2008-03-12 | 约维申有限公司 | 网络安全和欺诈检测系统及方法 |
CN107645381A (zh) * | 2016-07-21 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 安全验证实现方法及装置 |
CN107622198A (zh) * | 2017-07-11 | 2018-01-23 | 上海点融信息科技有限责任公司 | 用于实现设备指纹的方法、装置和计算机可读存储介质 |
CN112187465A (zh) * | 2020-08-21 | 2021-01-05 | 招联消费金融有限公司 | 无感登录方法、装置、计算机设备和存储介质 |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676480A (zh) * | 2021-08-20 | 2021-11-19 | 北京顶象技术有限公司 | 一种设备指纹篡改检测方法及装置 |
CN113676480B (zh) * | 2021-08-20 | 2023-11-14 | 北京顶象技术有限公司 | 一种设备指纹篡改检测方法及装置 |
CN113779651A (zh) * | 2021-09-23 | 2021-12-10 | 北京神州慧安科技有限公司 | 硬盘防盗方法和装置 |
CN114024777A (zh) * | 2022-01-05 | 2022-02-08 | 北京顶象技术有限公司 | 一种检测设备指纹是否碰撞的方法及装置 |
CN114024777B (zh) * | 2022-01-05 | 2022-03-25 | 北京顶象技术有限公司 | 一种检测设备指纹是否碰撞的方法及装置 |
CN115484053A (zh) * | 2022-08-02 | 2022-12-16 | 国网浙江省电力有限公司桐乡市供电公司 | 一种基于人工智能的零信任物联网终端设备身份认证方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112861112A (zh) | 一种防止设备指纹标识欺诈的方法及装置 | |
CN109359691B (zh) | 基于区块链的身份验证方法和系统 | |
CN110098932B (zh) | 一种基于安全电子公证技术的电子文书签署方法 | |
EP3343831A1 (en) | Identity authentication method and apparatus | |
EP2115993B1 (en) | Method for generating digital fingerprint | |
CN109040070B (zh) | 文件发送方法、设备及计算机可读存储介质 | |
CN109729046B (zh) | 二维码扫描方法和终端、认证方法和服务器及服务系统 | |
CN107026836B (zh) | 一种业务实现方法和装置 | |
CN108737110B (zh) | 一种用于防重放攻击的数据加密传输方法及装置 | |
CN107809438A (zh) | 一种网络身份认证方法、系统及其使用的用户代理设备 | |
CN105164689A (zh) | 用户认证 | |
CN101150407A (zh) | 基于指纹的网络身份验证方法 | |
CN109088865A (zh) | 用户身份认证方法、装置、可读存储介质和计算机设备 | |
WO2017116989A1 (en) | Methods and systems for secure digital credentials | |
CN114531277A (zh) | 一种基于区块链技术的用户身份认证方法 | |
CN108989038B (zh) | 一种用于地理位置认证的识别设备、系统及方法 | |
CN108009406B (zh) | 一种账号冻结方法、账号解冻方法及服务器 | |
CN115842680A (zh) | 一种网络身份认证管理方法及系统 | |
CN112383401B (zh) | 一种提供身份鉴别服务的用户名生成方法及系统 | |
CN111698204B (zh) | 一种双向身份认证的方法及装置 | |
CN109460647B (zh) | 一种多设备安全登录的方法 | |
CN110995661A (zh) | 一种网证平台 | |
CN110691091A (zh) | 基于身份认证的数据采集方法、装置、及计算机设备 | |
CN109936522B (zh) | 设备认证方法及设备认证系统 | |
CN116866093B (zh) | 身份认证方法、身份认证设备以及可读存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |