[发明专利]客户端设备的安全认证系统、方法及客户端可信识别装置

说明书

技术领域

本发明涉及客户端安全认证技术领域，尤其涉及一种客户端设备的安全认证系统、方法及客户端可信识别装置。

背景技术

当前，随着互联网金融的快速发展，金融交易的风险控制也将面临巨大挑战。犯罪分子可以通过黑客攻击、撞库、钓鱼等非法手段，获取客户身份证、姓名、交易卡密码、手机号等敏感信息，在各种客户端设备上，仿冒真实客户进行登录、支付、转账交易等操作，给客户资金安全带来了巨大风险。为了有效控制这类风险，需要对客户端设备进行可信识别，若判定到客户端设备是可信的，说明是客户本人进行交易操作；若判定客户端设备是不可信的，说明交易操作存在风险，进而需要采取拒绝非法操作措施。

目前，现有技术中最常用的可信识别方法主要以网络地址与硬件地址捆绑作为识别要素，但这种识别方式存在如下问题：一方面，网络地址与硬件地址是可以修改的，也很容易被伪造，犯罪分子可以利用伪地址进行登录，造成可信识别系统将非法客户端设备误判为可信设备。另一方面，由于识别要素比较单一，识别准确度不高，会出现误判断的情况，比如客户修改操作系统参数，或设备硬件变更引起网络或硬件地址变化，可信识别系统会将合法的客户端设备误判为不可信设备，从而影响客户正常交易。可见，当前亟需一种快速、准确识别安全客户端设备的方法，提高安全防控效果，保护客户的资金财产安全。

发明内容

本发明的实施例提供一种客户端设备的安全认证系统、方法及客户端可信识别装置，以解决现有技术中的可信识别方法中识别要素单一，且可修改，造成识别结果不准确的问题。

为达到上述目的，本发明采用如下技术方案：

一种客户端设备的安全认证系统，包括：客户端设备、客户端可信识别装置、交易应用服务器设备、认证服务器设备、指纹特征库设备、客户认证信息库设备；所述客户端设备与所述客户端可信识别装置连接；所述客户端设备通过外部网络与所述交易应用服务器设备通信连接；所述客户端可信识别装置通过外部网络与所述认证服务器设备通信连接；所述认证服务器设备通过局域网络分别与所述指纹特征库设备和客户认证信息库设备通信连接；

所述客户端可信识别装置，用于监测客户端设备，并在监测到客户端设备向所述交易应用服务器设备发送交易会话请求时，采集所述客户端设备的指纹要素信息，并根据客户端可信识别装置绑定的客户身份标识与所述指纹要素信息生成认证信息，将所述认证信息发送到所述认证服务器设备；

所述认证服务器设备，用于解析所述认证信息，并向所述指纹特征库设备发送匹配请求；

所述指纹特征库设备，用于查询所述客户身份标识对应的各客户历史设备指纹信息，并根据所述客户历史设备指纹信息与指纹要素信息中的各指纹要素进行匹配，确定所述认证信息与各客户历史设备的匹配度，并将各匹配度中的最大值发送给所述认证服务器设备；

所述认证服务器设备，还用于根据所述匹配度中的最大值确定客户端设备的认证状态；在所述认证状态为认证成功时，向所述客户端可信识别装置发送所述客户身份标识以及可信标识；在所述认证状态为待认证状态时，根据客户认证信息库设备进行新设备可信认证；在新设备可信认证成功时，向所述客户端可信识别装置发送所述客户身份标识以及可信标识；在新设备可信认证失败时，向所述客户端可信识别装置发送所述客户身份标识以及不可信标识；

所述客户端可信识别装置，还用于通过所述客户端设备向交易应用服务器设备发送客户端设备认证结果，以使得所述交易应用服务器设备根据客户端设备认证结果，对所述交易会话请求进行处理；所述客户端设备认证结果包括所述客户身份标识以及不可信标识，或者所述客户身份标识以及可信标识。

具体的，所述指纹要素信息包括软件要素、硬件要素和网络要素；所述软件要素包括操作系统信息、浏览器名称信息、屏幕分辨率信息；所述硬件要素包括CPU等级信息、硬盘编号信息；所述网络要素包括网络类型信息、MAC地址信息。

此外，所述客户端可信识别装置，具体用于：

根据预先设置的串码格式将各指纹要素信息生成为指纹串码；

将客户端可信识别装置绑定的客户身份标识封装入所述指纹串码中，并进行加密，生成认证信息字符串。

此外，在所述指纹特征库设备中记录有客户身份标识对应的各客户历史设备指纹信息，所述客户身份标识对应的各客户历史设备指纹信息包括指纹要素信息中各要素指纹特征项的实际取值以及各要素指纹特征项对应的可信概率值；

所述指纹特征库设备，具体用于：

查询所述客户身份标识对应的各客户历史设备指纹信息；