本发明专利技术公开了一种防止设备指纹标识欺诈的方法及装置,该方法具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。本发明专利技术针对现有技术存在的风险,提出一个通过在业务会话里采集部分特征,并和业务会话里的参数一起签名,来保障指纹token不会被人非法冒用。该方案可以保障提交上来的指纹token可信度,即改token确实是当前用户操作的设备。
【技术实现步骤摘要】
一种防止设备指纹标识欺诈的方法及装置
本专利技术涉及一种防止设备指纹标识欺诈的方法及装置。
技术介绍
设备指纹技术是互联网领域里较常见的一项技术,在业务安全领域尤其普遍,是一个基础安全服务。其目的是通过采集设备的一系列特征信息,上送到服务端,服务端经过算法分析和匹配,为每个设备生成唯一的标识。如图1所示,具体工作流程是:从客户端(包括web页面,app,小程序等)采集多种设备环境信息,将信息加密后上报到设备指纹服务端,服务端解密数据,然后进行分析计算,如果是第一次访问的新设备,则生成一个新的设备指纹,如果经分析该设备之前已经采集上报过,则通过一些算法关联匹配找到之前的设备指纹,然后服务器生成一个token(该token并不是设备指纹,但通过token可以查询到设备指纹),返回给客户端。客户端的其他业务接口里,如果需要有设备指纹的,则携带设备指纹token,进行业务接口通信。上述的设备指纹工作流程,是目前常见安全厂商提供的设备指纹服务通用工作流程。该流程有一个问题就是设备指纹token返回到客户端以后,token本身并没有和设备强绑定,即如果获取到设备A的指纹指纹token,则可以把该token手动写入另一台设备B,设备B发起业务请求然后携带该token后,服务端则会认为这是从A设备过来的请求,从而做到了设备欺骗或者篡改设备。现有技术中,中国专利CN201511017178.8,公开了一种基于指纹识别的认证方法及系统。该方法包括:获取使用公钥加密用户的指纹特征值;使用私钥解密加密的用户的指纹特征值以获取所述用户的指纹特征值;根据预先存储的指纹特征值库中存在与所获取的所述用户的指纹特征值匹配的指纹特征值认证该用户;根据预先存储的指纹特征值库中的与所获取的所述用户的指纹特征值匹配的权限确定该用户的权限,以确认用户是否能够登录云计算管理平台。从而来达到防止非法用户伪造或假冒用户身份,保障信息安全性的目的。该现有技术方案仍然存在设备欺骗或者篡改设备的风险。
技术实现思路
针对现有技术存在的问题,本专利技术的目的在于提供一种防止设备指纹标识欺诈的方法及装置,通过辅助验证的方案来解决设备指纹token可能被冒用的问题。为实现上述目的,本专利技术一种防止设备指纹标识欺诈的方法,具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。进一步,所述特征值为会话id和/或用户id。特征值也可为任何具备会话或者用户唯一标识的特征,比如手机号,流水号,订单号,邮箱等,为了保证唯一性,可以再绑定一个随机数或者uuid。进一步,所述方法的具体步骤为:1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当前设备的一个或者多个特征项;2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件;3)准备提交业务会话时,需要携带设备指纹token,签名文件随业务提交会话一起上送给业务服务器,同时把特征项的名称一同提交给服务端;4)业务服务器收到请求以后,对该签名文件进行校验;来匹配的设备与用户的权限,进而确定当前用户的权限。进一步,所述步骤3)中,只需要上传所述特征项的名称,特征项的具体数值不需要上送给服务端;进一步,所述步骤4)中,具体步骤为A)通过设备指纹token在服务端查询到设备信息;B)根据所述特征项的名称,从查询到的设备信息中读取该特征项的具体数值;C)采用所述步骤2)中相同的方式,该特征项与当前会话的会话id和/或用户id一起形成第二签名文件;D)比较所述步骤2)中的签名文件与第二签名文件是否一致;E)如果一致,则设备指纹token可以认定是可信的;如果不一致则设备指纹token并不是对应当前设备,有设备欺诈的风险。进一步,所述步骤2)中的签名文件为一次性使用。进一步,所述服务端进行设备信息随机采集和加签名文件的过程,代码需要进行保护,进行加固或者混淆。进一步,所述步骤3)中上传的数据使用加密算法进行加密。进一步,所述特征项为当前设备的一个固定特征项。固定特征项可以为手机的imei、mac、idfa、系统版本号、手机型号等等,浏览器上可以是浏览器版本、useragent等信息。一种防止设备指纹标识欺诈的装置,所述装置实施上述任一项所述防止设备指纹标识欺诈的方法。本专利技术针对现有技术存在的风险,提出一个通过在业务会话里采集部分特征,并和业务会话里的参数一起签名,来保障指纹token不会被人非法冒用。该方案可以保障提交上来的指纹token可信度,即改token确实是当前用户操作的设备。附图说明图1为现有技术的设备指纹工作流程图;图2为本专利技术流程图。具体实施方式下面将结合附图,对本专利技术的技术方案进行清楚、完整地描述,显然,所描述的实施例是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。在本专利技术的描述中,需要说明的是,术语“中心”、“上”、“下”、“左”、“右”、“竖直”、“水平”、“内”、“外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本专利技术和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本专利技术的限制。此外,术语“第一”、“第二”、“第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。在本专利技术的描述中,需要说明的是,除非另有明确的规定和限定,术语“安装”、“相连”、“连接”应做广义理解,例如,可以是固定连接,也可以是可拆卸连接,或一体地连接;可以是机械连接,也可以是电连接;可以是直接相连,也可以通过中间媒介间接相连,可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以根据具体情况理解上述术语在本专利技术中的具体含义。以下结合附图对本专利技术的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本专利技术,并不用于限制本专利技术。本专利技术一种防止设备指纹标识欺诈的方法,具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。本专利技术需要使用指纹服务的系统来完成这些操作。所述特征值为会话id和/或用户id。特征值也可为任何具备会话或者用户唯一标识的特征,比如手机号,流水号,订单号,邮箱等,为了保证唯一性,可以再绑定一个随机数或者uuid。特征项和业务请求的会话id和/或用户id一起形成签名文件。本专利技术一种防止设备指纹标识欺诈的方法,具体步骤为:1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当本文档来自技高网...
【技术保护点】
1.一种防止设备指纹标识欺诈的方法,其特征在于,该方法具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。/n
【技术特征摘要】
1.一种防止设备指纹标识欺诈的方法,其特征在于,该方法具体为:随机采集当前设备的一个或者多个特征项,将该特征项和业务请求的特征值一起形成签名文件,该签名文件和指纹识别业务请求一起提交,来匹配的设备与用户的权限,进而确定当前用户的权限。
2.如权利要求1所述的防止设备指纹标识欺诈的方法,其特征在于,所述特征值为会话id和/或用户id。
3.如权利要求2所述的防止设备指纹标识欺诈的方法,其特征在于,所述方法的具体步骤为:
1)指纹设备向客户端的SDK提供一个api,该api可以随机获取当前设备的一个或者多个特征项;
2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件;
3)准备提交业务会话时,需要携带设备指纹token,签名文件随业务提交会话一起上送给业务服务器,同时把特征项的名称一同提交给服务端;
4)业务服务器收到请求以后,对该签名文件进行校验;来匹配的设备与用户的权限,进而确定当前用户的权限。
4.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所述步骤3)中,只需要上传所述特征项的名称,特征项的具体数值不需要上送给服务端。
5.如权利要求3所述的防止设备指纹标识欺诈的方法,其特征在于,所...
【专利技术属性】
技术研发人员:杜威,张晓科,陈树华,
申请(专利权)人:北京顶象技术有限公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。