TWI718354B - 安全驗證方法、平臺、裝置和系統 - Google Patents

安全驗證方法、平臺、裝置和系統 Download PDF

Info

Publication number
TWI718354B
TWI718354B TW106145987A TW106145987A TWI718354B TW I718354 B TWI718354 B TW I718354B TW 106145987 A TW106145987 A TW 106145987A TW 106145987 A TW106145987 A TW 106145987A TW I718354 B TWI718354 B TW I718354B
Authority
TW
Taiwan
Prior art keywords
security verification
information
user
fingerprint
device fingerprint
Prior art date
Application number
TW106145987A
Other languages
English (en)
Other versions
TW201824108A (zh
Inventor
童耀剛
鄧建賓
周鈺
張玉風
Original Assignee
大陸商中國銀聯股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 大陸商中國銀聯股份有限公司 filed Critical 大陸商中國銀聯股份有限公司
Publication of TW201824108A publication Critical patent/TW201824108A/zh
Application granted granted Critical
Publication of TWI718354B publication Critical patent/TWI718354B/zh

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Power Engineering (AREA)
  • Collating Specific Patterns (AREA)
  • Lock And Its Accessories (AREA)
  • Telephone Function (AREA)

Abstract

本發明提供了一種安全驗證方法,其包括:接收來自用戶的業務請求,所述業務請求包括使用者資訊以及設備資訊;基於所述設備資訊創建當前設備指紋;獲取設備指紋清單,所述設備指紋清單包括與所述使用者關聯的所有設備的先前存儲的設備指紋;將所述當前設備指紋與所述設備指紋清單比對;以及在所述當前設備指紋與所述設備指紋清單中的至少一項匹配的情況下判定所述業務請求通過安全驗證,其中所述設備資訊包括設備硬體參數以及設備使用情況資料,並且所述設備指紋是基於設備硬體參數以及設備使用情況資料構建的設備模型。本發明還提供了相應的安全驗證平臺、在使用者設備上實現的相應的安全驗證方法、相應的安全驗證裝置以及安全驗證系統。

Description

安全驗證方法、平臺、裝置和系統
本發明一般地涉及銀行卡安全技術領域,並且具體地,涉及與諸如無卡支付等應用相關的安全驗證方法和系統。
隨著虛擬化交易的普及,銀行系統也開始越來越多地嘗試無卡支付。在無卡支付的情況下,將銀行卡放於手機中典型地可以有兩種方式:一種是在無實體卡的情況下,使用者通過特定的手機應用程式,向銀行申請“空中發卡”,銀行進行身份驗證後,會將一張金融IC卡的全部資訊載入到使用者手機的SIM卡或者SD卡上;另一種是在已有實體卡的情況下,通過向發卡行申請實體卡的虛擬帳戶,發卡行基於權杖技術向用戶發虛擬卡。這兩種方式都存在認證難度大的問題,一般銀行只會發卡給老客戶。一般短信驗證的方式也容易由於手機卡補辦或者直接盜取驗證碼的原因而存在很大的安全隱患。
目前現有的一些空中發卡方法包括採集使用者的生物特徵資訊進行使用者身份認證,通過認證審核成功進行發卡。此類方法具有如下幾個缺點:(1)如指紋、 聲紋等生物特徵資訊容易被盜取偽造,並且還需要硬體設備支援生物特徵資訊的採集功能,對硬體要求較高;(2)使用者的生物特徵資訊被盜取或者偽造不易被察覺,導致盜取或者偽造者可利用該方法進行大量卡片申請,造成使用者財產的持續損失;(3)沒有遮罩非法行為的機制。
空中方法在很大程度上也依賴於使用者所使用的設備,通常可能需要將與虛擬卡關聯的帳戶資訊與特定的使用者設備進行綁定。目前對於諸如手機這樣的多廠商不可控設備,也沒有有效的終端ID可用於設備識別。這對於無卡支付的發卡階段以及後續的交易階段都造成了很大的安全隱患。
因此,所期望的是設計一種可靠的安全驗證方案,以提高無卡支付系統的安全性並且促進無卡支付技術的推廣。
有鑑於此,本發明提供了一種安全驗證方案,可改善上述問題。
一方面,本發明提供了一種安全驗證方法,其包括:接收來自用戶的業務請求,所述業務請求包括使用者資訊以及設備資訊;基於所述設備資訊創建當前設備指紋;獲取設備指紋清單,所述設備指紋清單包括與所述使用者關聯的所有設備的先前存儲的設備指紋;將所述當前設備指紋與所述設備指紋清單比對;以及在所述當前設 備指紋與所述設備指紋清單中的至少一項匹配的情況下判定所述業務請求通過安全驗證,其中所述設備資訊包括設備硬體參數以及設備使用情況資料,並且所述設備指紋是基於所述設備資訊構建的設備模型。
如上所述的安全驗證方法,其中,所述設備使用情況資料包括設備的網路資訊、地理位置資訊以及使用者偏好行為資訊中的一個或多個。
如上所述的安全驗證方法,其中,設備的網路資訊包括設備的網路連接資訊、TCP包屬性、連接的路由器屬性、HTTP協定屬性、WiFi清單中的一個或多個。
如上所述的安全驗證方法,其中,設備的地理位置資訊包括基站定位元地點、GPS定位地點、與時間相關聯的軌跡及常用地中的一個或多個。
如上所述的安全驗證方法,其中,設備的使用者偏好行為資訊包括作業系統類型、版本號、偏好設置、應用安裝偏好設置、鬧鐘時間、開關機時間、應用使用頻率及時間、螢幕操作時的接觸面積、滑動方向、鍵盤輸入的時間間隔、按壓力度、陀螺儀資訊、加速度計資訊中的一個或多個。
如上所述的安全驗證方法,其中,將所述當前設備指紋與所述設備指紋清單比對包括:根據所述設備模型所包含的所有參數進行逐項對比;為每個參數賦予匹配權重;將各個參數的對比結果按所述匹配權重進行加權平均;並且根據所述加權平均的結果來判斷所述當前設備 指紋是否與所述設備指紋清單中的項匹配。
如上所述的安全驗證方法,其中,將所述當前設備指紋與所述設備指紋清單對比包括:依據所述設備歷史使用情況對所述設備指紋清單中的每個設備指紋變化進行預測;並且將所述當前設備指紋與每個所述預測結果進行對比。
如上所述的安全驗證方法,其中,所述方法還包括在將所述當前設備指紋與所述設備指紋清單比對之前,將所述當前設備指紋與設備指紋黑名單庫進行對比,其中所述設備指紋黑名單庫保存非法設備的設備指紋。
如上所述的安全驗證方法,其中,與設備指紋黑名單庫進行對比包括按關鍵設備參數的優先順序逐級將所述當前設備指紋與黑名單庫中的設備指紋進行比對。
如上所述的安全驗證方法,其中,所述關鍵設備參數包括MAC位址、國際移動設備標識IMEI、設備序號以及系統標識。
如上所述的安全驗證方法,其中,所述先前存儲的設備指紋基於設備硬體參數以及歷史的設備使用情況資料生成。
如上所述的安全驗證方法,其還包括週期性地從與所述使用者關聯的所有設備接收設備使用情況資料來更新所述設備指紋清單中的設備指紋。
如上所述的安全驗證方法,其中,所述業務請求包括發卡請求以及交易請求。
如上所述的安全驗證方法,其中,所述使用者資訊包括與所述業務相關聯的用戶名和密碼。
另一方面,本發明還提供了一種安全驗證平臺,其包括:資料接收模組,用於接收來自使用者的業務請求,所述業務請求包括使用者資訊以及設備資訊;設備指紋創建模組,用於基於所述設備資訊創建當前設備指紋;清單獲取模組,用於獲取設備指紋清單,所述設備指紋清單包括與所述使用者關聯的所有設備的先前存儲的設備指紋;比對模組,用於將所述當前設備指紋與所述設備指紋清單比對;以及判定模組,用於在所述當前設備指紋與所述設備指紋清單中的至少一項匹配的情況下判定所述業務請求通過安全驗證,其中所述設備資訊包括設備硬體參數以及設備使用情況資料,並且所述設備指紋是基於所述設備資訊構建的設備模型。
還有另一方面,本發明提供了一種安全驗證方法,其包括:在設備處從使用者獲取採集設備資訊的授權;依據所述授權從所述設備採集設備資訊,所述設備資訊包括設備硬體參數和設備使用情況資料;以及在使用者使用所述設備向安全驗證平臺發送業務請求時在所述業務請求中添加所述設備資訊。
如上所述的安全驗證方法,其還包括:週期性地向所述安全驗證平臺傳送所述設備使用情況資料。
又一方面,本發明提供了安全驗證裝置,其包括:授權模組,用於在設備處從使用者獲取採集設備資 訊的授權;資訊採集模組,用於依據所述授權從所述設備採集設備資訊,所述設備資訊包括設備硬體參數和設備使用情況資料;以及資訊添加模組,用於在使用者使用所述設備向安全驗證平臺發送業務請求時在所述業務請求中添加所述設備資訊。
還有另一方面,本發明提供了安全驗證系統,其包括使用者設備、如上所述的安全驗證平臺以及設備指紋庫,其中所述使用者設備包括如上所述的安全驗證裝置,並且其中,所述設備指紋庫被配置為存儲所述設備指紋清單。
41:資料接收模組
43:設備指紋創建模組
45:清單獲取模組
47:比對模組
49:判定模組
51:授權模組
53:資訊採集模組
55:資訊添加模組
100:安全驗證系統
101:安全驗證平臺
102:使用者設備
103:設備指紋庫
104:發卡行
400:安全驗證平臺
500:安全驗證裝置
本發明的前述和其他目標、特徵和優點根據下面對本發明的實施例的更具體的說明將是顯而易見的,這些實施例在附圖中被示意。
圖1是根據本發明一個示例的安全驗證系統的示意應用場景。
圖2是根據本發明一個示例的安全驗證方法的示意流程圖。
圖3是根據本發明另一示例的安全驗證方法的示意流程圖。
圖4是根據本發明一個示例的安全驗證平臺的示意方塊圖。
圖5是根據本發明另一示例的安全驗證裝置的 示意方塊圖。
現在參照附圖描述本發明的示意性示例,相同的附圖標號表示相同的元件。下文描述的各示例有助於本領域技術人員透徹理解本發明,且各示例意在示例而非限制。圖中各元件、部件、模組、裝置及設備本體的圖示僅示意性表明存在這些元件、部件、模組、裝置及設備本體同時亦表明它們之間的相對關係,但並不用以限定它們的具體形狀;流程圖中各步驟的關係也不以所給出的順序為限,可根據實際應用進行調整但不脫離本申請的保護範圍。
圖1是根據本發明一個示例的安全驗證系統的示意方塊圖。如圖1所示,根據本發明的安全驗證系統100包括安全驗證平臺101、使用者設備102以及設備指紋庫103,其中安全驗證平臺101被配置為與發卡行通信。圖1所示的場景可以例如是無卡支付過程中的發卡環節。發卡行可以依賴于本發明所提供的安全驗證平臺101對來自使用者設備102的發卡請求進行安全驗證。也就是說,發卡行104可以在使用者設備102通過安全驗證平臺的驗證之後將使用者設備102確定為可信設備,從而對該設備進行虛擬卡的發卡操作。
該安全驗證平臺101可以例如同時為多個發卡行進行服務。除圖1所示的發卡環節應用之外,該安全驗 證平臺101還可以為交易環節提供驗證。例如,當使用者設備需要利用與該設備綁定的虛擬卡進行支付時,支付請求同樣可以首先由該安全驗證平臺來接收,以進行設備身份驗證,並且支付確認方可以依據該驗證結果來判斷是否執行支付操作。在實踐中,該安全驗證平臺可以獨立地實現或者被集成在任何協力廠商的可信服務平臺中。將在下文中結合圖2來詳細描述安全驗證平臺101的操作。
圖1所示的使用者設備102可以是任何硬體條件符合各機構的無卡支付條件的設備。此外,該使用者設備102至少應具有遠端通訊能力,例如通過任何有線或無線的方式。舉例來說,該設備可以例如是已有的或待開發的任何智慧設備,例如手機、電腦、膝上型筆記本、個人數位助理(PDA)等等。
設備指紋庫103可以是任何已有或待開發的資料庫設備或資料伺服器等。本領域技術人員能夠理解該設備指紋庫能夠如圖1所示的那樣獨立地實現,也可以與安全驗證平臺集成,或者與其他另外的資料處理設備集成。
圖2是根據本發明一個示例的安全驗證方法的示意流程圖。該方法可以例如在圖1所示的安全驗證平臺101中執行。以下結合圖1所示的場景來對各步驟進行描述。
首先,在步驟21中,安全驗證平臺101接收來自用戶的業務請求。該業務請求可以例如是用戶通過其所持有的某一智慧設備,例如使用者設備102所發出的。該 業務請求可以例如是向銀行端發送的虛擬卡申請請求。在其他一些示例中,該業務請求也可以是交易請求,例如支付請求。
在本發明的一些示例中,使用者通過智慧設備所發出的業務請求均包含使用者資訊以及設備資訊兩部分。使用者資訊可以例如是用戶名和密碼,該用戶名和密碼可以是由使用者針對某個機構的虛擬業務所設置的。舉例來說,銀行可能向用戶提供諸如網上銀行或手機銀行之類的遠端客戶服務,使用者可能需要為使用這些服務而在本地設備上進行使用者註冊,這通常以用戶名和密碼的形式來實現。本領域技術人員能夠理解使用者資訊還可以包括其他任何能夠唯一地標識使用者身份的資訊。
進一步地,設備資訊至少需要包括設備硬體參數以及設備使用情況資料。設備硬體參數包括設備本身出廠時的設備硬體基本參數及編號等任何能夠唯一識別該設備的資訊。在一些示例中,設備硬體參數可以例如包括國際移動設備標識IMEI、設備的出廠序號等等。
設備使用情況資料是與使用者應用設備的方式相關的資訊。在一些示例中,設備使用情況資料包括設備的網路資訊、地理位置資訊以及使用者偏好行為資訊中的一個或多個。舉例來說,設備的網路資訊可以包括設備的網路連接資訊、TCP包屬性、連接的路由器屬性、HTTP協定屬性、WiFi清單中的一個或多個。設備的地理位置資訊可以例如是基站定位地點、GPS定位地點、與時間相關 聯的軌跡及常用地中的一個或多個。設備的使用者偏好行為資訊可以例如是作業系統類型、版本號、偏好設置、應用安裝偏好設置、鬧鐘時間、開關機時間、應用使用頻率及時間、螢幕操作時的接觸面積、滑動方向、鍵盤輸入的時間間隔、按壓力度、陀螺儀資訊、加速度計資訊中的一個或多個。
在步驟23中,安全驗證平臺101將基於業務請求中所包含的設備資訊為該設備創建當前設備指紋。設備指紋是基於設備硬體參數以及設備使用情況資料兩者所構建的設備模型。設備使用情況資料可以是對該設備進行長期資料獲取和統計的結果。由於加入了設備使用情況資料,依此構建的設備模型具有即時性和動態性,能夠更可靠地對各個設備進行標識,消除了例如在設備被盜、遭到惡意篡改等情況下重要資訊洩露、惡性綁卡、帳戶盜刷等的風險。
在步驟25中,安全驗證平臺101還將獲取設備指紋清單,該設備指紋清單包括與使用者關聯的所有設備的、先前存儲的設備指紋。在一些示例中,該設備指紋清單被存儲在設備指紋庫103中。
在一些示例中,先前存儲的設備指紋基於設備硬體參數以及歷史的設備使用情況資料生成。安全驗證平臺101可以例如在用戶發送業務請求之前就從該設備接收設備使用情況資料。這些設備使用情況資料可以例如從使用者為使用機構的遠端服務在本地設備上進行使用者註 冊時開始被收集並且與設備硬體參數和使用者資訊一起向安全驗證平臺發送。安全驗證平臺101可以利用預先設計的建模演算法將這些硬體資訊和動態資訊匯總為能夠表徵設備的設備指紋,並且將所生成的設備指紋與相應的使用者資訊一起發送至設備指紋庫103。在設備指紋庫中,可以以使用者資訊為索引以清單的形式存儲使用者的每個設備的設備指紋。在實踐中,一個用戶可以有一台或者多台智慧設備,因此同一使用者資訊可以對應一個設備指紋,也可以對應多個設備指紋。
在一些示例中,安全驗證平臺還可以週期性地從與使用者關聯的設備接收設備使用情況資料來更新所述設備指紋清單中的設備指紋。由於使用者的實際情況可能發生變化,設備使用情況也可能相應地發生變化。例如使用者由於居住地變化而導致設備的地理位置資訊改變。通過不斷接收最近的設備使用情況可以保證設備指紋的時效性,從而提供更好的用戶體驗。
此外,設備指紋庫還可以通過由用戶直接去發卡行對設備進行現場備案來生成。設備指紋庫的這種建立方式尤其適合使用者在首次通過該設備針對發卡機構創建帳戶時要求虛擬卡綁定的情況。在另外一些示例中,安全驗證平臺還可以從協力廠商接收類似的設備資訊來進行設備指紋的構建。無論在哪種情況下,在設備使用情況資料的傳輸過程中優選地採用單向加密傳輸的方式,以確保使用者資訊及設備資訊的安全性。
在步驟27中,安全驗證平臺101將所生成的當前設備指紋與設備指紋清單中的所有設備指紋進行比對,以確定發送業務請求的設備的正當性。
在一些示例中,可以根據設備指紋所代表的設備模型中包含的所有參數進行逐項對比。這種逐項對比可以被認為是一種靜態匹配。其中,參數可以包括設備硬體參數以及諸如網路資訊、地理位置資訊以及使用者偏好行為資訊的設備使用情況參數。在按各個參數進行精確匹配的過程中,可以為每個參數賦予匹配權重。如在上文中所提及的,設備指紋是一種具有動態性的設備標識,其中與設備使用情況相關的參數會隨著使用者狀態的改變而發生變化。設備指紋庫中所存儲的設備指紋與當前生成的設備指紋之間在時效性上存在一定的差異,因此不一定需要每個參數都完全一致,而是可以通過權重來加以區別。進一步地,可以將當前設備指紋與清單中的每一項的各個參數的對比結果按預先分配的匹配權重進行加權平均,計算多值匹配度。最後,根據加權平均的結果,即多值匹配度來判斷當前設備指紋是否與設備指紋清單中的項匹配。在一些示例中,例如可以將加權平均的結果與預先確定的閾值進行比較:如高於閾值則認為是匹配,否則認為是不匹配。
在另外一些示例中,還可以採用動態匹配的方式。如在上文中所提及的,設備指紋是一種具有動態性的設備標識,尤其是其中與設備使用情況相關的參數可能 不斷發生變化。因此,在設備指紋匹配時,除了當前值與存儲值的精確匹配之外,還可以將當前值與基於以往資料的預測進行比較。在一些示例中,利用與設備指紋庫集成的或獨立於該設備指紋庫的外部處理設備通過機器學習的方法,分析前期採集的硬體資訊和設備使用情況資料,由此預測持續的設備指紋變化,並將該預測結果作為更新的設備指紋存儲在設備指紋庫中,用於後續的設備指紋比對。通過動態方法進行比對,可以在保證安全性的同時,大大改善用戶體驗,為整個業務處理過程增加便利性。此外,還可以同時地或交替地採用動態或靜態的對比方式。
在將當前設備指紋與設備指紋清單中的各項進行比對,並且確定至少有一項匹配的情況下,安全驗證平臺在步驟29中判定所收到的業務請求通過安全驗證。進一步地,在圖1所示的場景中,安全驗證平臺101會通知發卡行可以開始正常的虛擬卡發卡或綁卡操作。
在本發明中,通過結合設備的使用情況資料來構建設備指紋,有效地解決了現有無卡支付發卡和交易環節僅基於卡號資訊及手機碼驗證等方式的不足,大大降低了惡意綁卡及盜刷的風險。相比於生物特徵資訊,使用者的智慧設備在被盜取後可以及時由安全驗證平臺發覺,從而及時聯繫驗證平臺或者發卡行進行設備指紋的報失凍結或者資訊的更新,並且由於採取了單向加密的保護措施,即使智慧設備被盜取也不會丟失個人資訊。此外,本發明所提供的方案通過加強伺服器端的驗證處理,使得在 用戶端的驗證條件要求被降低。
在一些優選示例中,除圖2所示的步驟之外,安全驗證平臺101還可以被配置為在將當前設備指紋與設備指紋清單比對之前,將該當前設備指紋與設備指紋黑名單庫進行對比。一般地,設備指紋黑名單庫保存非法設備的設備指紋,這些非法設備的資訊可以從外部收集也可以通過在之前的比對過程中不斷積累。
與設備指紋黑名單庫的比對同樣可以採用上文中就設備指紋清單比對所描述的靜態和動態方法。在另外一些示例中,與設備指紋黑名單庫進行對比可以是按關鍵設備參數的優先順序逐級將所述當前設備指紋與黑名單庫中的設備指紋進行比對。舉例來說,關鍵設備參數可以是MAC位址、國際移動設備標識IMEI、設備序號以及系統標識,優先順序按各項所列出的順序為從高到低。也就是說,在黑名單比對中,首先將當前設備指紋包含的MAC位址資訊與黑名單庫中的每個設備指紋項中的MAC位址資訊比對。如果找到匹配,則可以將當前請求中的設備指紋判定為審核失敗。如果沒有找到MAC位址資訊匹配的項,則接著比對設備序號,以此類推。
相比于傳統的單因數體系和設備資訊字串體系的不足,採用多因數分離式認證方式,基於諸如MAC位址、IMEI、序號和安卓ID等關鍵設備參數作為黑名單設備指紋因數,並根據幾個設備指紋因數的唯一性和可靠性的強度優先順序,構建設備指紋黑名單因數層級庫。在黑名 單入庫階段,會對相關指紋因數的唯一性和可靠性進行檢測,並依據檢測結果選擇可靠的因數入黑名單因數層級庫,從而提高了黑名單庫的有效性。依據預先設定的可靠度優先順序逐級比較,可以實現對黑名單設備的精確匹配追蹤。
在一些示例中,黑名單的建立可以按照以下原則:一次審核失敗的設備指紋資訊進入灰名單清單,多次審核失敗的進入黑名單。此外,機構的其他業務系統也可以按照業務規則將違規的設備列入設備指紋黑名單。
此外,黑名單清單中的設備指紋也可以進行恢復。例如,使用者可以向安全驗證平臺提交使用者資料,經過審核成功則可刪除黑名單清單中使用者的對應設備。
在設備指紋清單比對之前,通過黑名單比對直接對於非法設備拒絕審核,這提高了無卡支付發卡的安全性以及高危情況下非法設備審核的效率。
圖3是根據本發明另一示例的安全驗證方法的示意流程圖。圖3所示的安全驗證方法通常可以在圖1所示的使用者設備102中實現,與圖2所示的方法共同來完成本發明所提供的安全驗證方案。
如圖3所示,首先在步驟31在設備處從使用者獲取採集設備資訊的授權。接著,在步驟33中,依據該授權從使用者的設備採集設備資訊。在本發明中,所採集的設備資訊至少包括設備硬體參數和設備使用情況資料兩 者,其中設備使用情況資料例如可以是設備的網路資訊、地理位置資訊以及使用者偏好行為資訊等等。進一步地,在步驟35中,當使用者使用該設備向安全驗證平臺發送業務請求時在該業務請求中添加所採集的設備資訊。
圖3所示的方法可以例如在使用者設備上安裝的應用程式(APP)中實現,或者被實現為軟體開發套件SDK以嵌入機構向使用者設備所提供的應用程式中。舉例來說,用戶為使用機構所提供的手機銀行服務可能需要在手機設備上安裝相應的APP。該APP可以在用戶創建帳戶(通常包括用戶名和密碼)並用該帳戶登錄之後向用戶請求授權,並在獲得授權之後對設備資訊進行採集。所採集的資訊可以被發送至安全驗證平臺以為該設備創建設備指紋,無論使用者是否進行任何業務請求。安全驗證平臺可以將所有來自同一使用者帳戶的設備指紋資訊存儲為設備指紋清單,如在上文中所描述的那樣。在一些示例中,使用者設備上的應用程式還可以週期性地向安全驗證平臺傳送設備使用情況資料,以供安全驗證平臺不斷地對設備指紋庫進行更新,從而有助於與之後收到的業務請求中的設備資訊進行比對。
本領域技術人員能夠理解圖3所示的方法不必須實現在使用者的設備上,而可以例如由獨立的協力廠商來實現。此外,該方法也可以任何軟體或硬體的形式來實現。
總的來說,採用本發明所提供的安全驗證方 案對於使用者使用的智慧設備沒有附加的功能要求,通常只需要用戶授權驗證方或機構方獲取設備的權利,這大大提高了用戶體驗並且降低了各方用於設備審核的成本。
圖4是根據本發明一個示例的安全驗證平臺的示意方塊圖。如圖4所示,安全驗證平臺400包括資料接收模組41,設備指紋創建模組43、清單獲取模組45、比對模組47以及判定模組。具體地,資料接收模組41用於接收來自使用者的業務請求。在本發明中,這些業務請求就包括使用者資訊和設備資訊兩者,其中設備資訊將包括設備硬體參數以及設備使用情況資料。設備指紋創建模組43用於基於設備資訊創建當前設備指紋。在本發明中,設備指紋是基於設備硬體參數以及設備使用情況資料構建的設備模型。清單獲取模組45用於獲取設備指紋清單,該設備指紋清單包括與該使用者關聯的所有設備的先前存儲的設備指紋。比對模組47用於將當前設備指紋與設備指紋清單中的各個設備指紋進行比對。判定模組49用於在當前設備指紋與設備指紋清單中的至少一項匹配的情況下判定所接收的業務請求通過安全驗證。
圖4所示的安全驗證平臺400能夠被配置為實現上文所描述的任何與本發明所提供的、在安全驗證平臺處實現的安全驗證過程相關的操作。本領域技術人員能夠理解,圖4所示的模組劃分僅是示意性的,這些模組能夠按照具體實現來集成或進一步劃分,並且以任何軟體或硬體的形式來實現。
圖5是根據本發明另一示例的安全驗證裝置的示意方塊圖。如圖5所示,安全驗證裝置500包括授權模組51、資訊採集模組53以及資訊添加模組55。在實踐中,該安全驗證裝置500可以被集成或安裝在用戶可能用來向機構發送業務請求的設備中。具體地,授權模組51用於在設備處從使用者獲取採集設備資訊的授權。資訊採集模組53用於依據所獲得的授權從使用者的設備採集設備資訊。在本發明中,所採集的設備資訊將包括設備硬體參數和設備使用情況資料兩者。資訊添加模組55用於在使用者使用其設備向安全驗證平臺發送業務請求時在該業務請求中添加所採集的設備資訊。
圖5所示的安全驗證裝置500能夠被配置為實現上文所描述的任何與本發明所提供的安全驗證過程相關的、在使用者設備處實現的操作。本領域技術人員能夠理解,圖5所示的模組劃分僅是示意性的,這些模組能夠按照具體實現來集成或進一步劃分,並且以任何軟體或硬體的形式來實現。
應當說明的是,以上具體實施方式僅用以說明本發明的技術方案而非對其進行限制。儘管參照上述具體實施方式對本發明進行了詳細的說明,本領域的普通技術人員應當理解,依然可以對本發明的具體實施方式進行修改或對部分技術特徵進行等同替換而不脫離本發明的實質,其均涵蓋在本發明請求保護的範圍中。

Claims (19)

  1. 一種安全驗證方法,其包括:安全驗證平臺接收來自用戶的業務請求,該業務請求包括使用者資訊以及設備資訊;該安全驗證平臺基於該設備資訊創建當前設備指紋;該安全驗證平臺獲取設備指紋清單,該設備指紋清單包括與該使用者關聯的所有設備的先前存儲的設備指紋;該安全驗證平臺將該當前設備指紋與該設備指紋清單比對;以及該安全驗證平臺在該當前設備指紋與該設備指紋清單中的至少一項匹配的情況下判定該業務請求通過安全驗證,其中該設備資訊包括設備硬體參數以及設備使用情況資料,並且該設備指紋是基於設備硬體參數以及設備使用情況資料構建的設備模型;其中,該設備使用情況資料至少包括使用者偏好行為資訊並隨著使用者狀態的改變而發生變化。
  2. 如申請專利範圍第1項所述的安全驗證方法,其中,該設備使用情況資料還包括設備的網路資訊和/或地理位置資訊。
  3. 如申請專利範圍第2項所述的安全驗證方法,其中, 設備的網路資訊包括設備的網路連接資訊、TCP包屬性、連接的路由器屬性、HTTP協定屬性、WiFi清單中的一個或多個。
  4. 如申請專利範圍第2項所述的安全驗證方法,其中,設備的地理位置資訊包括基站定位元地點、GPS定位地點、與時間相關聯的軌跡及常用地中的一個或多個。
  5. 如申請專利範圍第2項所述的安全驗證方法,其中,設備的使用者偏好行為資訊包括作業系統類型、版本號、偏好設置、應用安裝偏好設置、鬧鐘時間、開關機時間、應用使用頻率及時間、螢幕操作時的接觸面積、滑動方向、鍵盤輸入的時間間隔、按壓力度、陀螺儀資訊、加速度計資訊中的一個或多個。
  6. 如申請專利範圍第1項所述的安全驗證方法,其中,該安全驗證平臺將該當前設備指紋與該設備指紋清單比對包括:該安全驗證平臺根據該設備模型所包含的所有參數進行逐項對比;該安全驗證平臺為每個參數賦予匹配權重;該安全驗證平臺將各個參數的對比結果按該匹配權重進行加權平均;並且該安全驗證平臺根據該加權平均的結果來判斷該當前 設備指紋是否與該設備指紋清單中的項匹配。
  7. 如申請專利範圍第1項所述的安全驗證方法,其中,該安全驗證平臺將該當前設備指紋與該設備指紋清單對比包括:該安全驗證平臺依據該設備歷史使用情況對該設備指紋清單中的每個設備指紋變化進行預測;並且該安全驗證平臺將該當前設備指紋與每個該預測結果進行對比。
  8. 如申請專利範圍第1項所述的安全驗證方法,其中,該方法還包括在該安全驗證平臺將該當前設備指紋與該設備指紋清單比對之前,該安全驗證平臺將該當前設備指紋與設備指紋黑名單庫進行對比,其中該設備指紋黑名單庫保存非法設備的設備指紋。
  9. 如申請專利範圍第8項所述的安全驗證方法,其中,該安全驗證平臺將該當前設備指紋與設備指紋黑名單庫進行對比包括該安全驗證平臺按關鍵設備參數的優先順序逐級將該當前設備指紋與黑名單庫中的設備指紋進行比對。
  10. 如申請專利範圍第9項所述的安全驗證方法,其中,該關鍵設備參數包括MAC位址、國際移動設備標識IMEI、設備序號以及系統標識。
  11. 如申請專利範圍第1項所述的安全驗證方法,其中,該先前存儲的設備指紋基於設備硬體參數以及歷史的設備使用情況資料生成。
  12. 如申請專利範圍第1項所述的安全驗證方法,其還包括該安全驗證平臺週期性地從與該使用者關聯的所有設備接收設備使用情況資料來更新該設備指紋清單中的設備指紋。
  13. 如申請專利範圍第1項所述的安全驗證方法,其中,該業務請求包括發卡請求以及交易請求。
  14. 如申請專利範圍第1項所述的安全驗證方法,其中,該使用者資訊包括與該業務相關聯的用戶名和密碼。
  15. 一種安全驗證平臺,其包括:資料接收模組,用於接收來自使用者的業務請求,該業務請求包括使用者資訊以及設備資訊;設備指紋創建模組,用於基於該設備資訊創建當前設備指紋;清單獲取模組,用於獲取設備指紋清單,該設備指紋清單包括與該使用者關聯的所有設備的先前存儲的設備指紋; 比對模組,用於將該當前設備指紋與該設備指紋清單比對;以及判定模組,用於在該當前設備指紋與該設備指紋清單中的至少一項匹配的情況下判定該業務請求通過安全驗證,其中該設備資訊包括設備硬體參數以及設備使用情況資料,並且該設備指紋是基於設備硬體參數以及設備使用情況資料構建的設備模型;其中,該設備使用情況資料至少包括使用者偏好行為資訊並隨著使用者狀態的改變而發生變化。
  16. 一種安全驗證方法,其包括:在設備處從使用者獲取採集設備資訊的授權;依據該授權從該設備採集設備資訊,該設備資訊包括設備硬體參數和設備使用情況資料;以及在使用者使用該設備向安全驗證平臺發送業務請求時在該業務請求中添加該設備資訊;其中,該設備使用情況資料至少包括使用者偏好行為資訊並隨著使用者狀態的改變而發生變化。
  17. 如申請專利範圍第16項所述的安全驗證方法,其還包括:週期性地向該安全驗證平臺傳送該設備使用情況資料。
  18. 一種安全驗證裝置,其包括:授權模組,用於在設備處從使用者獲取採集設備資訊的授權;資訊採集模組,用於依據該授權從該設備採集設備資訊,該設備資訊包括設備硬體參數和設備使用情況資料;以及資訊添加模組,用於在使用者使用該設備向安全驗證平臺發送業務請求時在該業務請求中添加該設備資訊;其中,該設備使用情況資料至少包括使用者偏好行為資訊並隨著使用者狀態的改變而發生變化。
  19. 一種安全驗證系統,其包括使用者設備、如申請專利範圍第15項所述的安全驗證平臺以及設備指紋庫,其中該使用者設備包括如申請專利範圍第18項所述的安全驗證裝置,並且其中,該設備指紋庫被配置為存儲該設備指紋清單。
TW106145987A 2016-12-30 2017-12-27 安全驗證方法、平臺、裝置和系統 TWI718354B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201611259993.X 2016-12-30
??201611259993.X 2016-12-30
CN201611259993.XA CN106991317B (zh) 2016-12-30 2016-12-30 安全验证方法、平台、装置和系统

Publications (2)

Publication Number Publication Date
TW201824108A TW201824108A (zh) 2018-07-01
TWI718354B true TWI718354B (zh) 2021-02-11

Family

ID=59414363

Family Applications (1)

Application Number Title Priority Date Filing Date
TW106145987A TWI718354B (zh) 2016-12-30 2017-12-27 安全驗證方法、平臺、裝置和系統

Country Status (3)

Country Link
CN (1) CN106991317B (zh)
TW (1) TWI718354B (zh)
WO (1) WO2018121387A1 (zh)

Families Citing this family (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106991317B (zh) * 2016-12-30 2020-01-21 中国银联股份有限公司 安全验证方法、平台、装置和系统
CN107404491B (zh) * 2017-08-14 2018-06-22 腾讯科技(深圳)有限公司 终端环境异常检测方法、检测装置及计算机可读存储介质
CN110737881B (zh) * 2018-07-18 2021-01-26 马上消费金融股份有限公司 一种智能设备指纹验证方法及装置
CN109120605A (zh) 2018-07-27 2019-01-01 阿里巴巴集团控股有限公司 身份验证及账户信息变更方法和装置
CN109146616A (zh) * 2018-07-27 2019-01-04 重庆小雨点小额贷款有限公司 一种业务审批方法、装置、服务器及存储介质
CN109255623A (zh) * 2018-07-27 2019-01-22 重庆小雨点小额贷款有限公司 一种业务审批方法、服务器、客户端及存储介质
CN109889487B (zh) * 2018-12-29 2021-11-12 奇安信科技集团股份有限公司 外部设备接入终端的处理方法及装置
EP3955143A4 (en) * 2019-06-26 2022-06-22 Rakuten Group, Inc. FRAUD DEDUCTION SYSTEM, FRAUD DEDUCTION METHOD, AND PROGRAM
CN110427785B (zh) * 2019-07-23 2023-07-14 腾讯科技(深圳)有限公司 设备指纹的获取方法和装置、存储介质及电子装置
US11057189B2 (en) 2019-07-31 2021-07-06 Advanced New Technologies Co., Ltd. Providing data authorization based on blockchain
US11252166B2 (en) 2019-07-31 2022-02-15 Advanced New Technologies Co., Ltd. Providing data authorization based on blockchain
CN110473096A (zh) * 2019-07-31 2019-11-19 阿里巴巴集团控股有限公司 基于智能合约的数据授权方法及装置
US11251963B2 (en) 2019-07-31 2022-02-15 Advanced New Technologies Co., Ltd. Blockchain-based data authorization method and apparatus
CN110543506B (zh) * 2019-09-10 2022-09-09 百度在线网络技术(北京)有限公司 数据分析方法、装置、电子设备及存储介质
CN112491776B (zh) * 2019-09-11 2022-10-18 华为云计算技术有限公司 安全认证方法及相关设备
CN110557829B (zh) * 2019-09-17 2020-12-11 北京东方国信科技股份有限公司 一种融合指纹库的定位方法及定位装置
CN110689019B (zh) * 2019-09-27 2022-05-24 中国银行股份有限公司 Ocr识别模型的确定方法及装置
CN111193714B (zh) * 2019-12-06 2022-10-04 武汉极意网络科技有限公司 一种验证码打码平台自动化追踪方法及系统
CN112948771B (zh) * 2019-12-11 2023-04-18 浙江宇视科技有限公司 权限校验方法、装置、可读存储介质及电子设备
TWI727566B (zh) * 2019-12-26 2021-05-11 玉山商業銀行股份有限公司 設備綁定驗證方法及系統
US11310051B2 (en) 2020-01-15 2022-04-19 Advanced New Technologies Co., Ltd. Blockchain-based data authorization method and apparatus
CN111291356B (zh) * 2020-03-03 2023-01-24 Oppo广东移动通信有限公司 安全风险控制方法及相关产品
CN112073375B (zh) * 2020-08-07 2023-09-26 中国电力科学研究院有限公司 一种适用于电力物联网客户侧的隔离装置及隔离方法
CN112581123B (zh) * 2020-12-08 2024-02-23 中国银联股份有限公司 卡管理方法、用户终端、服务器、系统及存储介质
CN112765587A (zh) * 2021-01-20 2021-05-07 Oppo广东移动通信有限公司 业务操作验证方法和装置、控制方法和装置、服务器
CN113037736B (zh) * 2021-03-02 2023-07-14 四川九州电子科技股份有限公司 一种认证鉴权方法、装置、系统及计算机存储介质
CN113191892A (zh) * 2021-05-27 2021-07-30 中国工商银行股份有限公司 基于设备指纹的账户风险防控方法、装置、系统及介质
CN113468495A (zh) * 2021-06-30 2021-10-01 上海和数软件有限公司 一种区块链指纹识别认证个人资产的实现方法
CN113572773A (zh) * 2021-07-27 2021-10-29 迈普通信技术股份有限公司 一种接入设备及终端接入控制方法
CN113643042B (zh) * 2021-08-20 2024-04-05 武汉极意网络科技有限公司 一种基于线上业务安全的安全验证系统
CN113901417B (zh) * 2021-10-09 2024-01-30 中原银行股份有限公司 一种移动设备指纹生成方法及可读存储介质
CN114499994B (zh) * 2021-12-30 2024-06-04 科大讯飞股份有限公司 设备指纹的识别方法、装置、电子设备及介质
TWI813326B (zh) * 2022-06-08 2023-08-21 英屬開曼群島商網際威信股份有限公司 設備指紋推論系統及方法
CN116975831B (zh) * 2023-09-25 2023-12-05 国网山东省电力公司日照供电公司 一种基于指纹识别技术的安全认证方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104867011A (zh) * 2014-02-21 2015-08-26 中国电信股份有限公司 对移动支付进行安全控制的方法与装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103186851B (zh) * 2011-12-30 2018-05-25 上海博泰悦臻电子设备制造有限公司 基于云数据处理技术的电子支付系统
CN102710770A (zh) * 2012-06-01 2012-10-03 汪德嘉 一种上网设备识别方法及其实现系统
WO2014145708A1 (en) * 2013-03-15 2014-09-18 Visa International Service Association Snap mobile security apparatuses, methods and systems
CN105989079B (zh) * 2015-02-11 2019-10-08 阿里巴巴集团控股有限公司 获取设备指纹的方法及装置
CN105989373B (zh) * 2015-02-15 2019-07-23 阿里巴巴集团控股有限公司 利用训练模型实现的获取设备指纹方法及装置
CN105933266B (zh) * 2015-08-20 2019-07-12 中国银联股份有限公司 一种验证方法及服务器
CN106991317B (zh) * 2016-12-30 2020-01-21 中国银联股份有限公司 安全验证方法、平台、装置和系统

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104867011A (zh) * 2014-02-21 2015-08-26 中国电信股份有限公司 对移动支付进行安全控制的方法与装置

Also Published As

Publication number Publication date
CN106991317B (zh) 2020-01-21
CN106991317A (zh) 2017-07-28
TW201824108A (zh) 2018-07-01
WO2018121387A1 (zh) 2018-07-05

Similar Documents

Publication Publication Date Title
TWI718354B (zh) 安全驗證方法、平臺、裝置和系統
US11763311B2 (en) Multi-device transaction verification
US11588824B2 (en) Systems and methods for proximity identity verification
US11017386B2 (en) Cloud-based transactions with magnetic secure transmission
JP6803935B2 (ja) 不正および改ざんに対するデバイスの論理的妥当性確認
CN108804906B (zh) 一种用于应用登陆的系统和方法
KR102457683B1 (ko) 데이터 분석을 사용하여 인증을 수행하기 위한 시스템 및 방법
RU2702076C2 (ru) Аутентификация в распределенной среде
US9489503B2 (en) Behavioral stochastic authentication (BSA)
RU2537795C2 (ru) Доверенный дистанционный удостоверяющий агент (traa)
RU2523304C2 (ru) Доверенный администратор достоверности (tim)
US9754255B1 (en) Geo-location based authentication in a mobile point-of-sale terminal
US8990572B2 (en) Methods and systems for conducting smart card transactions
US12081544B2 (en) Systems and methods for preventing unauthorized network access
JPWO2011077512A1 (ja) 本人認証方法、本人認証システム及び携行型通信端末
JP2011523726A (ja) 通信装置を一時的にパーソナル化する方法
Hassan et al. A secure multi factor user authentication framework for electronic payment system
CN114245889A (zh) 用于基于行为生物测定数据认证交易的系统、方法和计算机程序产品
CN108604280B (zh) 交易方法、交易信息处理方法、交易终端及服务器
KR101212509B1 (ko) 서비스 제어시스템 및 그 방법
CN117857071A (zh) 使用钱包卡的密码验证
KR20140043071A (ko) 접속 시도 기기 인증 시스템 및 방법
KR101195027B1 (ko) 서비스 보안시스템 및 그 방법
KR101700833B1 (ko) 카드 사용자 인증 시스템 및 그를 위한 인증서버와 휴대단말기
KR20170072654A (ko) 스마트 뱅킹 보안강화 장치 및 그 방법