TW201445956A - 終端識別方法、機器識別碼註冊方法及相應系統、設備 - Google Patents
終端識別方法、機器識別碼註冊方法及相應系統、設備 Download PDFInfo
- Publication number
- TW201445956A TW201445956A TW102135520A TW102135520A TW201445956A TW 201445956 A TW201445956 A TW 201445956A TW 102135520 A TW102135520 A TW 102135520A TW 102135520 A TW102135520 A TW 102135520A TW 201445956 A TW201445956 A TW 201445956A
- Authority
- TW
- Taiwan
- Prior art keywords
- terminal
- identification code
- machine identification
- request
- signature
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/44—Program or device authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Power Engineering (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
一種終端識別方法、機器識別碼註冊方法及相應系統、設備。服務網路接收到終端發送的需進行簽名或證書驗證的第一請求後,從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;然後對獲取到的所述簽名或證書進行驗證,如驗證結果為合法,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。本申請案還提供了一種可信方及其對機器識別碼註冊的方法。本申請案方案可以有效地實現終端識別,並且佔用資源更少、更有利於隱私保護。
Description
本申請案係關於終端識別技術,尤其係關於一種基於機器識別碼的終端識別方法及相應網路。
隨著社會的不斷進步,網路也飛速發展,成為了我們日常生活中不可或缺的一塊,每天都會有成千上萬的人在網上購物,瀏覽新聞等。在現有電腦網路中,一個使用者在網站上就可能註冊了很多不同的ID,為做不同的事情可能就要登錄不同的服務網路,確定這些ID使用哪些終端登錄,對於如何有效地進行業務的控制,用戶的管理,風險控制及商業智慧分析,是非常重要的。
為此,在現有技術中,就產生了很多終端識別技術。現有的識別技術基本都是通過網路中的伺服器或電腦,在使用者訪問服務網路(如網站或平台)的時候,將使用者終端的資料收集回來,通過這些資料判斷出來自於哪台終端。其中應用最廣泛的就是利用瀏覽器控制項獲取MAC位址來實現識別。但是,MAC位址是從註冊表中獲取的,很容易被人篡改或偽造的,所以,存在獲得的MAC
地址不準確,甚至不真實的問題。
公開號為CN103024090A的中國發明專利申請公開了另一種識別終端的方法和系統,該方法將終端的瀏覽器軟體資訊或從硬體IO層獲得的硬體資訊作為該終端的機器識別碼,基於該機器識別碼識別終端。具體識別時,終端要抓取自己的機器識別碼並提交給服務網路,服務網路將該機器識別碼與資料庫中保存的各終端的資料資訊進行匹配,將匹配度最高的終端作為識別出的終端。
這種基於機器識別碼的終端識別方法,是從硬體IO層獲取硬體資訊,相對MAC位址來說更加精確,也更難截取和篡改。但是,這種方法在識別時,終端每次請求時都要抓取機器識別碼,且服務網路要計算抓取的機器識別碼與資料庫中各終端的資料資訊的匹配度,會消耗大量通信和計算資源,降低了用戶體驗。另外,抓取的機器識別碼在傳輸和儲存過程中容易被反編譯截獲或攻破,不利於用戶機器識別碼的隱私保護。
本申請案要解決的技術問題是提供一種佔用資源更少、更有利於隱私保護的終端識別方法及相應的服務網路和終端。
為了解決上述問題,本申請案提供了一種終端識別方法,包括:服務網路接收到終端發送的需進行簽名或證書驗證的
第一請求;所述服務網路從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;所述服務網路對獲取到的所述簽名或證書進行驗證,如驗證結果為合法,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。
較佳地,所述第一請求包括匿名登入請求和/或實名登錄請求。
較佳地,所述服務網路使用從所述簽名或證書中得到的機器識別碼標識識別所述終端之後,還包括:如所述服務網路允許所述終端登錄並建立了與所述終端的會話,所述服務網路記錄所述會話與所述機器識別碼標識的對應關係;所述服務網路對通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。
較佳地,所述服務網路從第一請求中如未獲取到所述簽名或證書,則按以下方式啟動終端機器識別碼的註冊流程:所述服務網路通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並
將所述可信方下發的所述簽名或證書發送給所述終端儲存;或者所述服務網路提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
較佳地,所述終端機器識別碼的註冊流程中,還包括:所述終端將使用者的使用者資訊和自己的機器識別碼一起直接提交或通過所述服務網路提交給所述可信方註冊,所述可信方下發的所述簽名或證書中,所述使用者的使用者標識和所述終端的機器識別碼標識一起作為簽名的資訊。
較佳地,所述服務網路或可信方將所述簽名或證書發送給所述終端儲存,包括:將所述簽名或證書作為終端向所述服務網路發送的請求中要攜帶的參數發送給所述終端儲存。
較佳地,該終端識別方法還包括:在資料庫中保存所述終端的機器識別碼標識和對應的機器識別碼或其衍生代碼;所述服務網路接收所述終端發送的需進行機器識別碼驗證的第二請求;所述服務網路從第二請求中獲取所述終端的機器識別碼及所述簽名或證書,驗證所述簽名或證書合法後,根據
從所述簽名或證書中得到的機器識別碼標識到所述資料庫中查詢對應的機器識別碼或其衍生代碼;如從第二請求中獲取的機器識別碼或其衍生代碼與查詢到的機器識別碼或其衍生代碼不同,拒絕此次請求。
較佳地,所述終端發送的所有請求均為所述第二請求;或者所述第二請求包括以下請求中的一種或多種:實名登錄請求;匿名登入請求;安全級別高於預設安全級別的請求;根據隨機演算法確定為需驗證機器識別碼的請求;根據檢驗週期確定為需驗證機器識別碼的請求。
相應地,本申請案還提供了一種服務網路的終端識別系統,包括:接收模組,用於接收終端發送的請求;第一驗證模組,用於在所述接收模組接收到終端發送的需進行簽名或證書驗證的第一請求時,從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書並進行驗證,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;識別模組,用於在所述第一驗證模組的驗證結果為合法時,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。
較佳地,
所述接收模組接收的第一請求包括匿名登入請求和/或實名登錄請求。
較佳地,所述識別模組使用從所述簽名或證書中得到的機器識別碼標識識別所述終端之後,如所述終端登錄成功並建立了與服務網路的會話,則記錄所述會話與所述機器識別碼標識的對應關係,對於通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。
較佳地,還包括:註冊啟動模組,用於在第一驗證模組從第一請求中未獲取到所述簽名或證書時,按以下方式啟動終端機器識別碼的註冊流程:通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並將所述可信方下發的所述簽名或證書發送給所述終端儲存;或者提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
較佳地,所述註冊啟動模組將所述可信方下發的所述簽名或證書發送給所述終端儲存,包括:將所述簽名或證書作為終端向所述服務網路發送的請求中要攜帶的參數發送給所述終端儲存。
較佳地,
所述第一驗證模組還用於在所述接收模組接收到終端發送的需進行機器識別碼驗證的第二請求時,對其中的所述簽名或證書進行驗證;所述終端識別系統還包括:資料庫,用於保存終端的機器識別碼標識和對應的機器識別碼或其衍生代碼;第二驗證模組,用於在所述第一驗證模組對第二請求中的所述簽名或證書驗證為合法時,根據從所述簽名或證書中得到的機器識別碼標識到所述資料庫中查詢對應的機器識別碼或其衍生代碼,判斷從第二請求中獲取的機器識別碼或其衍生代碼與查詢到的機器識別碼或其衍生代碼是否相同,如相同,對機器識別碼的驗證結果為合法,否則為非法;接入控制模組,用於在所述第二驗證模組的判斷結果為不相同時,拒絕此次請求。
較佳地,所述終端發送的所有請求均為所述第二請求;或者,所述第二請求包括以下請求中的一種或多種:實名登錄請求;匿名登入請求;安全級別高於預設安全級別的請求;根據隨機演算法確定為需驗證機器識別碼的請求;根據檢驗週期確定為需驗證機器識別碼的請求。
上述方案中,服務網路根據終端上報的簽名或證書中
的機器識別碼標識來識別終端,不需要匹配運算,終端也無需每次都抓取和傳輸機器識別碼,這樣在防止機器識別碼偽冒的同時,節約了通信和計算資源。另外,由於終端保存和傳輸的是服務網路才知道的機器識別碼標識而不是機器識別碼,因而也有利於用戶機器識別碼的隱私保護。
本申請案要解決的另一技術問題是提供一種終端機器識別碼的註冊方法及相應的可信方。
為了解決上述問題,本申請案提供了一種終端機器識別碼的註冊方法,應用於可信方,包括:接收註冊請求,所述註冊請求中包括終端的機器識別碼;對所述機器識別碼進行驗證,如驗證為合法,為所述機器識別碼分配一個機器識別碼標識;對包含所述機器識別碼標識的資訊進行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求方。
較佳地,所述註冊請求中還包括使用所述終端的使用者的使用者資訊;該方法還包括:對所述使用者資訊進行驗證,如驗證為合法,將使用者標識和所述機器識別碼標識一起進行簽名,所述使用者標識從所述使用者資訊中獲取或根據所述使用者資訊分配。
相應地,本申請案還提供了一種可信方,包括:接收模組,用於接收註冊請求,所述註冊請求中包括終端的機器識別碼;驗證模組,用於對所述機器識別碼進行驗證;分配模組,用於在所述驗證模組的驗證結果為合法時,為所述機器識別碼分配一個機器識別碼標識;頒發模組,用於對包含所述機器識別碼標識的資訊進行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求方。
較佳地,所述接收模組接收的所述註冊請求中還包括使用所述終端的使用者的使用者資訊;所述驗證模組對所述使用者資訊和所述機器識別碼同時進行驗證;所述頒發模組對使用者標識和所述機器識別碼標識一起進行簽名,所述使用者標識從所述使用者資訊中獲取或根據所述使用者資訊分配。
上述方案實現了終端機器識別碼標識的分配及相應簽名或證書的下發,可以用於證明終端的機器識別碼標識的真實性。而對終端機器識別碼的驗證,可以拒絕非法終端的註冊,提高終端的可信度。
11‧‧‧接收模組
12‧‧‧第一驗證模組
13‧‧‧識別模組
14‧‧‧註冊啟動模組
21‧‧‧接收模組
22‧‧‧驗證模組
23‧‧‧分配模組
24‧‧‧頒發模組
圖1是實施例一的終端識別方法的流程圖;
圖2是實施例一的終端識別系統的模組圖;圖3是實施例一的終端機器識別碼註冊方法的流程圖;圖4是實施例一的可信方的模組圖;圖5是實施例二的機器識別碼驗證方法的流程圖。
為使本申請案的目的、技術方案和優點更加清楚明白,下文中將結合附圖對本申請案的實施例進行詳細說明。需要說明的是,在不衝突的情況下,本申請案中的實施例及實施例中的特徵可以相互任意組合。
在本申請案一個典型的配置中,終端、服務網路的設備和可信方均包括一個或多個處理器(CPU)、輸入/輸出介面、網路介面和記憶體。
記憶體可能包括電腦可讀介質中的非永久性記憶體,隨機存取記憶體(RAM)和/或非易失性記憶體等形式,如唯讀記憶體(ROM)或快閃記憶體(flash RAM)。記憶體是電腦可讀介質的示例。
電腦可讀介質包括永久性和非永久性、可移動和非可移動媒體可以由任何方法或技術來實現資訊儲存。資訊可以是電腦可讀指令、資料結構、程式的模組或其他資料。電腦的儲存介質的例子包括,但不限於相變記憶體(PRAM)、靜態隨機存取記憶體(SRAM)、動態隨機存取記憶體(DRAM)、其他類型的隨機存取記憶體
(RAM)、唯讀記憶體(ROM)、電可擦除可程式設計唯讀記憶體(EEPROM)、快閃記憶體或其他記憶體技術、唯讀光碟唯讀記憶體(CD-ROM)、數位多功能光碟(DVD)或其他光學儲存、磁盒式磁帶,磁帶磁磁片儲存或其他磁性存放裝置或任何其他非傳輸介質,可用於儲存可以被計算設備訪問的資訊。按照本文中的界定,電腦可讀介質不包括非暫存電腦可讀媒體(transitory media),如調製的資料信號和載波。
本實施例的系統包括終端、服務網路和可信方,終端可以是PC、智慧手機、PDA等使用者設備。服務網路用於為終端提供網路服務,如可以是某個或多個網站系統或者網路平台,該服務網路可以識別發送請求的終端。可信方用於為終端的機器識別碼分配機器識別碼標識及頒發簽名或證書。應說明的是,該可信方可以是服務網路中的節點,也可以是服務網路之外的節點。
如圖1所示,本實施例的終端識別方法包括:
步驟110,服務網路接收到終端發送的需進行簽名或證書驗證的第一請求;這裡的需進行簽名或證書驗證的第一請求由服務網路加以設定,如可以包括匿名登入請求和/或實名登錄請求,也可以包括其他請求,對此本申請案不可以局限。在第一請求包括匿名登入請求時,服務網路在使用者匿名登
入時就會進行終端識別,進而對匿名登入狀態下的終端行為進行統計。
步驟120,服務網路從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;本實施例的機器識別碼包括能唯一標識終端的硬體和/或軟體資訊,其中的硬體資訊如可以是從終端的硬體IO層獲得的硬體資訊,軟體資訊如可以是終端的瀏覽器軟體資訊等等。
上述對終端的機器識別碼標識的簽名是可信方用自己的私密金鑰對機器識別碼標識等資訊所做的簽名,如可表示為sig CA (UMIC_id),其中“CA”表示可信方,UMIC_id表示終端的機器識別碼標識。簽名的資訊包括但不局限於機器識別碼,還可以包括其他資訊如使用者標識等,包括使用者標識的簽名可以表示為sig CA (UMIC_id ∥ User_id),其中“User_id”表示使用者標識。
所述證書是包含所述簽名的證書,在簽名的資訊包括UMIC_id和User_id時,該證書可以表示為:
步驟130,判斷是否獲取到所述簽名或證書,如獲取到,執行步驟150,否則,執行步驟140;步驟140,啟動終端機器識別碼的註冊流程,結束;本實施例中,所述服務網路從第一請求中如未獲取到所述簽名或證書,則按以下方式啟動終端機器識別碼的註冊流程:服務網路通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並將所述可信方下發的所述簽名或證書發送給所述終端儲存。在其他實施例中,所述服務網路也可以提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
在該註冊流程中,較佳地,服務網路或可信方將所述簽名或證書作為終端向所述服務網路發送的請求中要攜帶的參數發送給所述終端儲存。例如,作為Cookie中的參
數發送給終端。
需要說明的是,本申請案對如何發起終端機器識別碼的註冊不做限制,除了上述兩種方式外,也可以由終端在未獲取到所述簽名或證書時,自行向可信方註冊,而不需要服務網路在請求中不包含簽名或證書時來發起。
步驟150,對所述簽名或證書進行驗證,如驗證結果為合法,執行步驟170,否則,執行步驟160;本步驟中,服務網路使用可信方的公開金鑰解密所述簽名來實現對簽名的驗證。對證書的驗證可以採用現有的證書驗證方法,如可以加入對證書有效期、證書是否存在於證書庫中等驗證。
對簽名或證書的驗證保證了機器識別碼標識是可信方真實分配的機器識別碼標識,有效地防止了非法用戶對機器識別碼的仿造和篡改。
步驟160,拒絕該第一請求,結束;如簽名或證書的驗證結果為非法,說明該終端沒有從可信方獲取到合法的簽名或證書,此時可以拒絕該第一請求。拒絕第一請求的同時,根據設計需要,可以啟動步驟140中的終端機器識別碼的註冊流程。
步驟170,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。
使用機器識別碼標識識別所述終端,意味著機器識別碼標識相同的終端將被識別為同一終端,這樣就可以對同一終端發送請求的時間和次數進行準確地統計,可以用於
該終端是否准入網路服務的決策。
對於第一請求之外的其他請求,服務網路可以進行終端識別,也可以不進行終端識別。在一個示例中,由於一次會話(session)中終端難以改變,在步驟170之後,如服務網路允許所述終端登錄並建立了與所述終端的會話,可以記錄所述會話與所述機器識別碼標識的對應關係,對通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。這樣可以節約計算資源。但在另一實施例中,也可以將終端發送的每一請求均作為第一請求,去獲取其中的簽名或證書並進行驗證,以實現更可靠的識別。
服務網路可以使用如圖2所示的終端識別系統來實現上述終端識別方法,該識別系統包括:接收模組11,用於接收終端發送的請求;第一驗證模組12,用於在所述接收模組接收到終端發送的需進行簽名或證書驗證的第一請求時,從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書並進行驗證,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識。較佳地,所述接收模組接收的第一請求包括匿名登入請求和/或實名登錄請求。
識別模組13,用於在所述第一驗證模組的驗證結果為合法時,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。之後,如所述終端登錄成功並建立了與
服務網路的會話,識別模組可以記錄所述會話與所述機器識別碼標識的對應關係,對於通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。
註冊啟動模組14,該模組可選,用於在第一驗證模組從第一請求中未獲取到所述簽名或證書時,可以按以下方式啟動終端機器識別碼的註冊流程:通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並將所述可信方下發的所述簽名或證書發送給所述終端儲存,較佳地,將所述簽名或證書作為終端向所述服務網路發送的請求中要攜帶的參數發送給所述終端儲存。或者,可以提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
在實現時,以上模組可以各自分佈在不同的實體中,也可以有多個分佈在同一實體中。
相應地,可信方對終端機器識別碼進行註冊的方法如圖3所示,包括:步驟210,接收註冊請求,所述註冊請求中包括終端的機器識別碼;步驟220,對所述機器識別碼進行驗證,如驗證為合法,為所述機器識別碼分配一個機器識別碼標識;這裡對機器識別碼進行驗證如可以是檢查通用設備的合法性,比如通過序號查證硬碟是否是一個真正廠家的設
信方是實現這些功能的模組構成的邏輯實體。
上述實施例中,機器識別碼與使用者標識沒有綁定,易遭受機器識別碼替換攻擊。例如,第二終端和第一終端、第三終端分別建立使用者間的秘密頻道之後,第二終端將第一終端發送給它的機器識別碼作為自己的機器識別碼發送給第三終端,第三終端就無法識別出第二終端發送的機器識別碼並非第二終端自己的機器碼。為此,在上述實施例的基礎上,較佳地,在終端機器識別碼的註冊流程中,終端可以將使用者的使用者資訊和自己的機器識別碼一起直接提交或通過服務網路提交給可信方註冊,其中使用者資訊可以是使用者輸入的或者是本機存放區的。而在註冊請求中包括所述使用者資訊時,可信方進行註冊時,可以對所述使用者資訊進行驗證,如驗證為合法,將使用者標識和所述機器識別碼標識一起作為要簽名的資訊進行簽名,其中的使用者標識可以從所述使用者資訊中獲取或根據所述使用者資訊分配。這樣就將使用者標識和機器識別碼標識綁定在簽名或證書中,可以有效防止上述的機器識別碼替換攻擊。
實施例一的服務網路將機器識別碼標識作為終端標識,實現了對終端的識別。但是,非法用戶有可能會將大量可信方下發的簽名或證書存放在同一台機器上,就如現有的垃圾帳戶一樣,存在大量的垃圾簽名或證書,只是比
備等。需要說明的是,對於終端識別來說,該處的驗證是可選的,但增加驗證可以拒絕非法終端的註冊,提高終端的可信度。
步驟230,對包含所述機器識別碼標識的資訊進行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求方。
如圖4所示,該可信方包括:接收模組21,用於接收註冊請求,所述註冊請求中包括終端的機器識別碼;驗證模組22,用於對所述機器識別碼進行驗證;分配模組23,用於在所述驗證模組的驗證結果為合法時,為所述機器識別碼分配一個機器識別碼標識;頒發模組24,用於對包含所述機器識別碼標識的資訊進行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求方。
當接收的註冊請求中還包括使用所述終端的使用者的使用者資訊時,所述驗證模組對所述使用者資訊和所述機器識別碼同時進行驗證;所述頒發模組對使用者標識和所述機器識別碼標識一起進行簽名,所述使用者標識從所述使用者資訊中獲取或根據所述使用者資訊分配。
同樣地,上述驗證模組是可選的。在不包括驗證模組的情況下,分配模組可以直接為註冊請求中的機器識別碼分配機器識別碼標識。另需說明的是,可信方包括的上述模組可以在同一實體中,也可以分佈在不同的實體中,可
現有的垃圾帳戶註冊成本要高些。然後通過惡意程式向服務網路發送請求,並在不同的請求中使用不同的簽名或證書。此時服務網路將不能實現對終端的有效識別。因此,本實施例在實施例一的基礎,增加了機器識別碼驗證的處理。
本實施例中,需要將機器識別碼標識和對應的機器識別碼或其衍生代碼保存在資料庫中,具體地,可以由可信方將終端的機器識別碼和為其分配的機器識別碼標識對應保存到資料庫中並進行維護,或者由可信方將終端的機器識別碼和機器識別碼標識發送給服務網路,由服務網路保存到資料庫中並進行維護。為了更好地保護終端的機器識別碼隱私,可以用機器識別碼的衍生代碼代替機器識別碼保存在資料庫中,所謂的機器識別碼的衍生代碼指基於所述機器識別碼計算得到的一代碼,例如,機器識別碼包括N比特硬體資訊和/或M比特瀏覽器軟體資訊時,可以將該N比特硬體資訊和/或M比特瀏覽器軟體資訊的散列值作為該機器識別碼的衍生代碼。
如圖5所示,本實施例的機器識別碼驗證過程包括;步驟310,服務網路接收到終端發送的請求;步驟320,判斷接收的請求是否是需進行機器識別碼驗證的第二請求,如果不是,執行步驟330,否則,執行步驟340;本實施例中,需進行機器識別碼驗證的第二請求由服務網路和終端事先約定。但在其他實施例中,也可以由服
務網路或終端設定。當第二請求由終端設定時,服務網路可以通過檢測請求中是否攜帶有終端的機器識別碼和簽名/證書來確定該請求是否為第二請求。當第二請求由服務網路設定時,可以由服務網路通知終端上報機器識別碼和簽名/證書。對於哪些請求作為第二請求,本申請案不做局限。
例如,對於安全要求高的服務網路,可以將終端發送的所有請求均設定為第二請求,確保終端可信,提高網路服務的安全性。
又如,可以將以下請求中的一種或多種設定為第二請求:實名登錄請求;匿名登入請求;安全級別高於預設安全級別的請求,如涉及支付、轉帳的請求;根據隨機演算法確定為需驗證機器識別碼的請求,終端可以隨機地將某一請求確定為第二請求;根據檢驗週期確定為需驗證機器識別碼的請求,如終端在完成一次檢測後,在設定的時間段即檢測週期內不再進行檢測,而將超出該檢測週期後發送的請求確定為第二請求。
當然,在資料安全要求不高的場景,也可以不進行本實施例的機器識別碼的驗證。
步驟330,按照其他請求的處理方法處理,結束;
如果該請求是第一請求,此時可以進行簽名或證書的驗證,進而識別終端。如果是其他請求,可以不進行終端識別,或者根據記錄的機器識別碼標識與會話的對應關係來識別終端。
步驟340,從第二請求中獲取所述終端的機器識別碼及所述簽名或證書,如驗證所述簽名或證書合法,根據從所述簽名或證書中得到的機器識別碼標識到所述資料庫中查詢對應的機器識別碼或其衍生代碼;步驟350,判斷獲取的機器識別碼或其衍生代碼與查詢到的機器識別碼或其衍生代碼是否相同,如不同,執行步驟360,否則執行步驟370;如果資料庫中保存的是機器識別碼,服務網路只需要將獲取的機器識別碼和資料庫中相應的機器識別碼比較即可。如果資料庫中保存的是機器識別碼的衍生代碼,服務網路需要先按照相同的演算法對獲取的機器識別碼進行運算得到其衍生代碼,再將該衍生代碼與資料庫中相應的衍生代碼比較。
步驟360,拒絕此次請求,結束;此處拒絕請求後,可以不做其他處理,也可以提示用戶重新進行機器識別碼的註冊,或者也可以將該機器識別碼標識設為無效或非法,對後續收到的簽名或證書中具有該機器識別碼標識的請求均加以拒絕。
步驟370,繼續其它的網路服務准入的判斷。
此處其它的網路服務准入的判斷如可以對所述終端發
送請求的間隔和次數進行統計,判斷所述終端的請求是否由惡意的電腦程式發送的,等等。
需要說明的是,如果該第二請求同時也是第一請求,同樣要完成對第一請求的其他處理,如根據所述簽名或證書中的機器識別碼標識識別終端。
本實施例服務網路中的終端識別系統在實施例一的基礎上,增加了以下功能和功能模組:所述第一驗證模組還用於在所述接收模組接收到終端發送的需進行機器識別碼驗證的第二請求時,對其中的所述簽名或證書進行驗證;此外,所述終端識別系統還包括:資料庫,用於保存終端的機器識別碼標識和對應的機器識別碼或其衍生代碼;第二驗證模組,用於在所述第一驗證模組對第二請求中的所述簽名或證書驗證為合法時,根據從所述簽名或證書中得到的機器識別碼標識到所述資料庫中查詢對應的機器識別碼或其衍生代碼,判斷從第二請求中獲取的機器識別碼或其衍生代碼與查詢到的機器識別碼或其衍生代碼是否相同,如相同,對機器識別碼的驗證結果為合法,否則為非法;接入控制模組,用於在所述第二驗證模組的驗證結果為非法時,拒絕此次請求。
本領域普通技術人員可以理解上述方法中的全部或部分步驟可通過程式來指令相關硬體完成,所述程式可以儲
存於電腦可讀儲存介質中,如唯讀記憶體、磁片或光碟等。可選地,上述實施例的全部或部分步驟也可以使用一個或多個積體電路來實現,相應地,上述實施例中的各模組/單元可以採用硬體的形式實現,也可以採用軟體功能模組的形式實現。本申請案不限制於任何特定形式的硬體和軟體的結合。
以上所述僅為本申請的較佳實施例而已,並不用於限制本申請案,對於本領域的技術人員來說,本申請案可以有各種更改和變化。凡在本申請案的精神和原則之內,所作的任何修改、等同替換、改進等,均應包含在本申請案的保護範圍之內。
Claims (15)
- 一種終端識別方法,包括:服務網路接收到終端發送的需進行簽名或證書驗證的第一請求;所述服務網路從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;所述服務網路對獲取到的所述簽名或證書進行驗證,如驗證結果為合法,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。
- 如申請專利範圍第1項所述的方法,其中,所述第一請求包括匿名登入請求和/或實名登錄請求。
- 如申請專利範圍第2項所述的方法,其中,所述服務網路使用從所述簽名或證書中得到的機器識別碼標識識別所述終端之後,還包括:如所述服務網路允許所述終端登錄並建立了與所述終端的會話,所述服務網路記錄所述會話與所述機器識別碼標識的對應關係;所述服務網路對通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。
- 如申請專利範圍第1或2或3項所述的方法,其中, 所述服務網路從第一請求中如未獲取到所述簽名或證書,則按以下方式啟動終端機器識別碼的註冊流程:所述服務網路通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並將所述可信方下發的所述簽名或證書發送給所述終端儲存;或者所述服務網路提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
- 如申請專利範圍第4項所述的方法,其中:所述終端機器識別碼的註冊流程中,還包括:所述終端將使用者的使用者資訊和自己的機器識別碼一起直接提交或通過所述服務網路提交給所述可信方註冊,所述可信方下發的所述簽名或證書中,所述使用者的使用者標識和所述終端的機器識別碼標識一起作為簽名的資訊。
- 如申請專利範圍第4項所述的方法,其中,所述服務網路或可信方將所述簽名或證書發送給所述終端儲存,包括:將所述簽名或證書作為終端向所述服務網路發送的請求中要攜帶的參數發送給所述終端儲存。
- 如申請專利範圍第1項所述的方法,其中,還包括:在資料庫中保存所述終端的機器識別碼標識和對應的機器識別碼或其衍生代碼; 所述服務網路接收所述終端發送的需進行機器識別碼驗證的第二請求;所述服務網路從第二請求中獲取所述終端的機器識別碼及所述簽名或證書,驗證所述簽名或證書合法後,根據從所述簽名或證書中得到的機器識別碼標識到所述資料庫中查詢對應的機器識別碼或其衍生代碼;如從第二請求中獲取的機器識別碼或其衍生代碼與查詢到的機器識別碼或其衍生代碼不同,拒絕此次請求。
- 如申請專利範圍第7項所述的方法,其中,所述終端發送的所有請求均為所述第二請求;或者所述第二請求包括以下請求中的一種或多種:實名登錄請求;匿名登入請求;安全級別高於預設安全級別的請求;根據隨機演算法確定為需驗證機器識別碼的請求;根據檢驗週期確定為需驗證機器識別碼的請求。
- 一種終端機器識別碼的註冊方法,應用於可信方,包括:接收註冊請求,所述註冊請求中包括終端的機器識別碼;對所述機器識別碼進行驗證,如驗證為合法,為所述機器識別碼分配一個機器識別碼標識;對包含所述機器識別碼標識的資訊進行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求 方。
- 如申請專利範圍第9項所述的方法,其中,所述註冊請求中還包括使用所述終端的使用者的使用者資訊;該方法還包括:對所述使用者資訊進行驗證,如驗證為合法,將使用者標識和所述機器識別碼標識一起進行簽名,所述使用者標識從所述使用者資訊中獲取或根據所述使用者資訊分配。
- 一種服務網路的終端識別系統,包括:接收模組,用於接收終端發送的請求;第一驗證模組,用於在所述接收模組接收到終端發送的需進行簽名或證書驗證的第一請求時,從第一請求中獲取可信方對所述終端的機器識別碼標識的簽名或證書並進行驗證,其中,所述機器識別碼標識是所述可信方為所述終端的機器識別碼分配的一個標識;識別模組,用於在所述第一驗證模組的驗證結果為合法時,使用從所述簽名或證書中得到的機器識別碼標識識別所述終端。
- 如申請專利範圍第11項所述的終端識別系統,其中,所述接收模組接收的第一請求包括匿名登入請求和/或實名登錄請求。
- 如申請專利範圍第12項所述的終端識別系統, 其中,所述識別模組使用從所述簽名或證書中得到的機器識別碼標識識別所述終端之後,如所述終端登錄成功並建立了與服務網路的會話,則記錄所述會話與所述機器識別碼標識的對應關係,對於通過所述會話接收的後續的請求,均識別為具有所述機器識別碼標識的終端發送的請求。
- 如申請專利範圍第11或12或13項所述的終端識別系統,其中,還包括:註冊啟動模組,用於在第一驗證模組從第一請求中未獲取到所述簽名或證書時,按以下方式啟動終端機器識別碼的註冊流程:通知所述終端上報自己的機器識別碼,將所述終端上報的機器識別碼提交給所述可信方註冊,並將所述可信方下發的所述簽名或證書發送給所述終端儲存;或者提示所述終端通過網路提供的機器識別碼註冊介面,將自己的機器識別碼提交給所述可信方註冊,以獲取所述可信方下發的所述簽名或證書並儲存。
- 一種可信方,包括:接收模組,用於接收註冊請求,所述註冊請求中包括終端的機器識別碼;驗證模組,用於對所述機器識別碼進行驗證;分配模組,用於在所述驗證模組的驗證結果為合法時,為所述機器識別碼分配一個機器識別碼標識;頒發模組,用於對包含所述機器識別碼標識的資訊進 行簽名,將所述簽名或包含所述簽名的證書發送給所述註冊請求的請求方。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310200130.5A CN104184713B (zh) | 2013-05-27 | 2013-05-27 | 终端识别方法、机器识别码注册方法及相应系统、设备 |
| ??201310200130.5 | 2013-05-27 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201445956A true TW201445956A (zh) | 2014-12-01 |
| TWI633775B TWI633775B (zh) | 2018-08-21 |
Family
ID=51023108
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102135520A TWI633775B (zh) | 2013-05-27 | 2013-10-01 | 終端識別方法、機器識別碼註冊方法及相應系統、設備 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9648008B2 (zh) |
| EP (1) | EP3005648B1 (zh) |
| JP (1) | JP6574168B2 (zh) |
| CN (1) | CN104184713B (zh) |
| HK (1) | HK1202728A1 (zh) |
| TW (1) | TWI633775B (zh) |
| WO (1) | WO2014193841A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI671656B (zh) * | 2015-05-07 | 2019-09-11 | 香港商阿里巴巴集團服務有限公司 | 用戶登錄對話管控方法、裝置及伺服器 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9923719B2 (en) | 2014-12-09 | 2018-03-20 | Cryptography Research, Inc. | Location aware cryptography |
| CN105763521B (zh) * | 2014-12-18 | 2019-09-20 | 阿里巴巴集团控股有限公司 | 一种设备验证方法及装置 |
| US10149159B1 (en) * | 2015-03-19 | 2018-12-04 | Proxidyne, Inc. | Trusted beacon system and method |
| JP6250595B2 (ja) * | 2015-07-01 | 2017-12-20 | e−Janネットワークス株式会社 | 通信システム及びプログラム |
| CN106407203A (zh) * | 2015-07-29 | 2017-02-15 | 阿里巴巴集团控股有限公司 | 一种对目标终端进行识别的方法和设备 |
| CN106714075B (zh) | 2015-08-10 | 2020-06-26 | 华为技术有限公司 | 一种处理授权的方法和设备 |
| CN105573893B (zh) * | 2015-12-25 | 2018-03-02 | 珠海国芯云科技有限公司 | 一种软件监控方法和装置 |
| CN106846562B (zh) * | 2016-12-26 | 2020-01-07 | 努比亚技术有限公司 | 一种验证装置以及发送验证信息的方法 |
| CN107360001B (zh) * | 2017-07-26 | 2021-12-14 | 创新先进技术有限公司 | 一种数字证书管理方法、装置和系统 |
| CN108986267A (zh) * | 2018-06-29 | 2018-12-11 | 江苏恒宝智能系统技术有限公司 | 一种应用于电子密码锁控制的用户注册方法和系统 |
| US11831792B2 (en) * | 2018-11-26 | 2023-11-28 | Forticode Limited | Mutual authentication of computer systems over an insecure network |
| CN110516581A (zh) * | 2019-08-21 | 2019-11-29 | 新疆丝路大道信息科技有限责任公司 | 汽车租赁平台用户信息安全识别方法、系统及电子设备 |
| CN112448930A (zh) * | 2019-09-02 | 2021-03-05 | 北京车和家信息技术有限公司 | 账号注册方法、装置、服务器及计算机可读存储介质 |
| EP4049164A4 (en) | 2019-10-21 | 2022-12-07 | Universal Electronics Inc. | CONSENT MANAGEMENT SYSTEM WITH REGISTRATION AND SYNCHRONIZATION PROCESS |
| CN111680334B (zh) * | 2020-06-11 | 2023-05-09 | 深圳市网心科技有限公司 | 一种磁盘安全访问方法、装置、设备、介质 |
| CN112270161A (zh) * | 2020-10-10 | 2021-01-26 | 中国信息通信研究院 | 一种支持自定义编码规则的可信标识符的方法和装置 |
| CN112422709B (zh) * | 2020-11-05 | 2023-06-20 | 中国联合网络通信集团有限公司 | 标识管理方法、终端设备、标识解析二级节点及介质 |
| CN113348454A (zh) * | 2021-06-25 | 2021-09-03 | 商汤国际私人有限公司 | 一种集群管理方法、装置、电子设备及存储介质 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005530397A (ja) | 2002-06-17 | 2005-10-06 | コーニンクレッカ フィリップス エレクトロニクス エヌ ヴィ | 装置間の認証方法 |
| JP4397675B2 (ja) * | 2003-11-12 | 2010-01-13 | 株式会社日立製作所 | 計算機システム |
| US7809949B2 (en) | 2005-07-26 | 2010-10-05 | Apple Inc. | Configuration of a computing device in a secure manner |
| JP2009503967A (ja) * | 2005-07-26 | 2009-01-29 | フランス テレコム | 単一の物理デバイスを用いた保護されたトランザクションの制御方法、それに対応する物理デバイス、システム及びコンピュータプログラム |
| CN101093566A (zh) * | 2006-06-23 | 2007-12-26 | 联想(北京)有限公司 | 一种安全的移动支付系统、设备及方法 |
| US8689300B2 (en) | 2007-01-30 | 2014-04-01 | The Boeing Company | Method and system for generating digital fingerprint |
| JP5292712B2 (ja) * | 2007-03-23 | 2013-09-18 | 日本電気株式会社 | 認証連携システム、中継装置、認証連携方法および認証連携プログラム |
| WO2008131021A1 (en) * | 2007-04-17 | 2008-10-30 | Visa U.S.A. Inc. | Method and system for authenticating a party to a transaction |
| CN101312453B (zh) * | 2007-05-21 | 2011-11-02 | 联想(北京)有限公司 | 用户终端及其登录网络服务系统的方法 |
| WO2009002804A2 (en) * | 2007-06-22 | 2008-12-31 | Chumby Industries, Inc. | Systems and methods for device registration |
| US9043896B2 (en) | 2007-08-31 | 2015-05-26 | International Business Machines Corporation | Device certificate based appliance configuration |
| JP5104188B2 (ja) * | 2007-10-15 | 2012-12-19 | ソニー株式会社 | サービス提供システム及び通信端末装置 |
| WO2010121020A1 (en) | 2009-04-15 | 2010-10-21 | Interdigital Patent Holdings, Inc. | Validation and/or authentication of a device for communication with a network |
| US9135424B2 (en) | 2009-05-29 | 2015-09-15 | Paypal, Inc. | Secure identity binding (SIB) |
| US9112905B2 (en) | 2010-10-22 | 2015-08-18 | Qualcomm Incorporated | Authentication of access terminal identities in roaming networks |
| JP2012216183A (ja) * | 2011-03-30 | 2012-11-08 | Sony Corp | サーバ装置およびサービス提供方法 |
| US8683232B2 (en) * | 2011-05-18 | 2014-03-25 | Cpo Technologies Corporation | Secure user/host authentication |
| CN103024090B (zh) | 2011-09-20 | 2015-07-01 | 阿里巴巴集团控股有限公司 | 一种识别用户终端的方法和系统 |
| EP2786607A1 (en) * | 2011-12-02 | 2014-10-08 | Entersect Technologies (Pty) Ltd. | Mutually authenticated communication |
| US20130147511A1 (en) | 2011-12-07 | 2013-06-13 | Patrick Koeberl | Offline Device Authentication and Anti-Counterfeiting Using Physically Unclonable Functions |
| US9130837B2 (en) * | 2012-05-22 | 2015-09-08 | Cisco Technology, Inc. | System and method for enabling unconfigured devices to join an autonomic network in a secure manner |
| US8938792B2 (en) | 2012-12-28 | 2015-01-20 | Intel Corporation | Device authentication using a physically unclonable functions based key generation system |
| CN105051699A (zh) * | 2013-03-28 | 2015-11-11 | 爱迪德技术有限公司 | 生成标识符 |
-
2013
- 2013-05-27 CN CN201310200130.5A patent/CN104184713B/zh active Active
- 2013-10-01 TW TW102135520A patent/TWI633775B/zh active
-
2014
- 2014-05-27 US US14/287,930 patent/US9648008B2/en active Active
- 2014-05-27 WO PCT/US2014/039590 patent/WO2014193841A1/en active Application Filing
- 2014-05-27 JP JP2016516736A patent/JP6574168B2/ja active Active
- 2014-05-27 EP EP14733844.6A patent/EP3005648B1/en active Active
-
2015
- 2015-03-27 HK HK15103133.5A patent/HK1202728A1/zh unknown
-
2017
- 2017-03-24 US US15/469,150 patent/US20170201516A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI671656B (zh) * | 2015-05-07 | 2019-09-11 | 香港商阿里巴巴集團服務有限公司 | 用戶登錄對話管控方法、裝置及伺服器 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20170201516A1 (en) | 2017-07-13 |
| US9648008B2 (en) | 2017-05-09 |
| CN104184713B (zh) | 2018-03-27 |
| US20140351912A1 (en) | 2014-11-27 |
| EP3005648B1 (en) | 2020-02-19 |
| JP2016521932A (ja) | 2016-07-25 |
| JP6574168B2 (ja) | 2019-09-11 |
| HK1202728A1 (zh) | 2015-10-02 |
| EP3005648A1 (en) | 2016-04-13 |
| TWI633775B (zh) | 2018-08-21 |
| CN104184713A (zh) | 2014-12-03 |
| WO2014193841A1 (en) | 2014-12-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI633775B (zh) | 終端識別方法、機器識別碼註冊方法及相應系統、設備 | |
| US11651109B2 (en) | Permission management method, permission verification method, and related apparatus | |
| US10642969B2 (en) | Automating internet of things security provisioning | |
| US11870769B2 (en) | System and method for identifying a browser instance in a browser session with a server | |
| US9660817B2 (en) | Advising clients about certificate authority trust | |
| US9998438B2 (en) | Verifying the security of a remote server | |
| WO2016095739A1 (zh) | 一种设备验证方法及装置 | |
| JP6728414B2 (ja) | セキュアインタラクションにおけるサービス運用妨害攻撃を検出するための方法及びデバイス | |
| TW201405459A (zh) | 登錄驗證方法、客戶端、伺服器及系統 | |
| US10439809B2 (en) | Method and apparatus for managing application identifier | |
| US8881273B2 (en) | Device reputation management | |
| WO2016155373A1 (zh) | Dns安全查询方法和装置 | |
| US20230403154A1 (en) | Verifier credential determination by a registrant | |
| CN114861144A (zh) | 基于区块链的数据权限处理方法 | |
| TWI670990B (zh) | 自動連線安全無線網路的方法與系統 | |
| WO2023287435A1 (en) | Blockchain for digital certificate transactions | |
| CN117478333A (zh) | 证书的智能验证方法、装置、设备及存储介质 | |
| TW201828131A (zh) | 資訊註冊、認證方法及裝置 |