[发明专利]一种防止设备指纹标识欺诈的方法及装置

说明书

本发明公开了一种防止设备指纹标识欺诈的方法及装置，该方法具体为：随机采集当前设备的一个或者多个特征项，将该特征项和业务请求的特征值一起形成签名文件，该签名文件和指纹识别业务请求一起提交，来匹配的设备与用户的权限，进而确定当前用户的权限。本发明针对现有技术存在的风险，提出一个通过在业务会话里采集部分特征，并和业务会话里的参数一起签名，来保障指纹token不会被人非法冒用。该方案可以保障提交上来的指纹token可信度，即改token确实是当前用户操作的设备。

技术领域

本发明涉及一种防止设备指纹标识欺诈的方法及装置。

背景技术

设备指纹技术是互联网领域里较常见的一项技术，在业务安全领域尤其普遍，是一个基础安全服务。其目的是通过采集设备的一系列特征信息，上送到服务端，服务端经过算法分析和匹配，为每个设备生成唯一的标识。

如图1所示，具体工作流程是：从客户端(包括web页面，app，小程序等)采集多种设备环境信息，将信息加密后上报到设备指纹服务端，服务端解密数据，然后进行分析计算，如果是第一次访问的新设备，则生成一个新的设备指纹，如果经分析该设备之前已经采集上报过，则通过一些算法关联匹配找到之前的设备指纹，然后服务器生成一个token(该token并不是设备指纹，但通过token可以查询到设备指纹)，返回给客户端。客户端的其他业务接口里，如果需要有设备指纹的，则携带设备指纹token，进行业务接口通信。

上述的设备指纹工作流程，是目前常见安全厂商提供的设备指纹服务通用工作流程。该流程有一个问题就是设备指纹token返回到客户端以后，token本身并没有和设备强绑定，即如果获取到设备A的指纹指纹token，则可以把该token手动写入另一台设备B，设备B发起业务请求然后携带该token后，服务端则会认为这是从A设备过来的请求，从而做到了设备欺骗或者篡改设备。

现有技术中，中国专利CN201511017178.8，公开了一种基于指纹识别的认证方法及系统。该方法包括：获取使用公钥加密用户的指纹特征值；使用私钥解密加密的用户的指纹特征值以获取所述用户的指纹特征值；根据预先存储的指纹特征值库中存在与所获取的所述用户的指纹特征值匹配的指纹特征值认证该用户；根据预先存储的指纹特征值库中的与所获取的所述用户的指纹特征值匹配的权限确定该用户的权限，以确认用户是否能够登录云计算管理平台。从而来达到防止非法用户伪造或假冒用户身份，保障信息安全性的目的。该现有技术方案仍然存在设备欺骗或者篡改设备的风险。

发明内容

针对现有技术存在的问题，本发明的目的在于提供一种防止设备指纹标识欺诈的方法及装置，通过辅助验证的方案来解决设备指纹token可能被冒用的问题。

为实现上述目的，本发明一种防止设备指纹标识欺诈的方法，具体为：随机采集当前设备的一个或者多个特征项，将该特征项和业务请求的特征值一起形成签名文件，该签名文件和指纹识别业务请求一起提交，来匹配的设备与用户的权限，进而确定当前用户的权限。

进一步，所述特征值为会话id和/或用户id。特征值也可为任何具备会话或者用户唯一标识的特征，比如手机号，流水号，订单号，邮箱等，为了保证唯一性，可以再绑定一个随机数或者uuid。

进一步，所述方法的具体步骤为：

1)指纹设备向客户端的SDK提供一个api，该api可以随机获取当前设备的一个或者多个特征项；

2)把随机获取到的特征项和当前会话的会话id和/或用户id一起形成签名文件；

3)准备提交业务会话时，需要携带设备指纹token，签名文件随业务提交会话一起上送给业务服务器，同时把特征项的名称一同提交给服务端；

4)业务服务器收到请求以后，对该签名文件进行校验；来匹配的设备与用户的权限，进而确定当前用户的权限。