本發(fā)明一般地涉及銀行卡安全技術(shù)領(lǐng)域,并且具體地,涉及與諸如無卡支付等應(yīng)用相關(guān)的安全驗(yàn)證方法和系統(tǒng)。
背景技術(shù):
隨著虛擬化交易的普及,銀行系統(tǒng)也開始越來越多地嘗試無卡支付。在無卡支付的情況下,將銀行卡放于手機(jī)中典型地可以有兩種方式:一種是在無實(shí)體卡的情況下,用戶通過特定的手機(jī)應(yīng)用程序,向銀行申請(qǐng)“空中發(fā)卡”,銀行進(jìn)行身份驗(yàn)證后,會(huì)將一張金融ic卡的全部信息加載到用戶手機(jī)的sim卡或者sd卡上;另一種是在已有實(shí)體卡的情況下,通過向發(fā)卡行申請(qǐng)實(shí)體卡的虛擬賬戶,發(fā)卡行基于令牌技術(shù)向用戶發(fā)虛擬卡。這兩種方式都存在認(rèn)證難度大的問題,一般銀行只會(huì)發(fā)卡給老客戶。一般短信驗(yàn)證的方式也容易由于手機(jī)卡補(bǔ)辦或者直接盜取驗(yàn)證碼的原因而存在很大的安全隱患。
目前現(xiàn)有的一些空中發(fā)卡方法包括采集用戶的生物特征信息進(jìn)行用戶身份認(rèn)證,通過認(rèn)證審核成功進(jìn)行發(fā)卡。此類方法具有如下幾個(gè)缺點(diǎn):(1)如指紋、聲紋等生物特征信息容易被盜取偽造,并且還需要硬件設(shè)備支持生物特征信息的采集功能,對(duì)硬件要求較高;(2)用戶的生物特征信息被盜取或者偽造不易被察覺,導(dǎo)致盜取或者偽造者可利用該方法進(jìn)行大量卡片申請(qǐng),造成用戶財(cái)產(chǎn)的持續(xù)損失;(3)沒有屏蔽非法行為的機(jī)制。
空中方法在很大程度上也依賴于用戶所使用的設(shè)備,通??赡苄枰獙⑴c虛擬卡關(guān)聯(lián)的賬戶信息與特定的用戶設(shè)備進(jìn)行綁定。目前對(duì)于諸如手機(jī)這樣的多廠商不可控設(shè)備,也沒有有效的終端id可用于設(shè)備識(shí)別。這對(duì)于無卡支付的發(fā)卡階段以及后續(xù)的交易階段都造成了很大的安全隱患。
因此,所期望的是設(shè)計(jì)一種可靠的安全驗(yàn)證方案,以提高無卡支付系統(tǒng)的安全性并且促進(jìn)無卡支付技術(shù)的推廣。
技術(shù)實(shí)現(xiàn)要素:
有鑒于此,本發(fā)明提供了一種安全驗(yàn)證方案,可改善上述問題。
一方面,本發(fā)明提供了一種安全驗(yàn)證方法,其包括:接收來自用戶的業(yè)務(wù)請(qǐng)求,所述業(yè)務(wù)請(qǐng)求包括用戶信息以及設(shè)備信息;基于所述設(shè)備信息創(chuàng)建當(dāng)前設(shè)備指紋;獲取設(shè)備指紋列表,所述設(shè)備指紋列表包括與所述用戶關(guān)聯(lián)的所有設(shè)備的先前存儲(chǔ)的設(shè)備指紋;將所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表比對(duì);以及在所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表中的至少一項(xiàng)匹配的情況下判定所述業(yè)務(wù)請(qǐng)求通過安全驗(yàn)證,其中所述設(shè)備信息包括設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù),并且所述設(shè)備指紋是基于所述設(shè)備信息構(gòu)建的設(shè)備模型。
如上所述的安全驗(yàn)證方法,其中,所述設(shè)備使用情況數(shù)據(jù)包括設(shè)備的網(wǎng)絡(luò)信息、地理位置信息以及用戶偏好行為信息中的一個(gè)或多個(gè)。
如上所述的安全驗(yàn)證方法,其中,設(shè)備的網(wǎng)絡(luò)信息包括設(shè)備的網(wǎng)絡(luò)連接信息、tcp包屬性、連接的路由器屬性、http協(xié)議屬性、wifi列表中的一個(gè)或多個(gè)。
如上所述的安全驗(yàn)證方法,其中,設(shè)備的地理位置信息包括基站定位地點(diǎn)、gps定位地點(diǎn)、與時(shí)間相關(guān)聯(lián)的軌跡及常用地中的一個(gè)或多個(gè)。
如上所述的安全驗(yàn)證方法,其中,設(shè)備的用戶偏好行為信息包括操作系統(tǒng)類型、版本號(hào)、偏好設(shè)置、應(yīng)用安裝偏好設(shè)置、鬧鐘時(shí)間、開關(guān)機(jī)時(shí)間、應(yīng)用使用頻率及時(shí)間、屏幕操作時(shí)的接觸面積、滑動(dòng)方向、鍵盤輸入的時(shí)間間隔、按壓力度、陀螺儀信息、加速度計(jì)信息中的一個(gè)或多個(gè)。
如上所述的安全驗(yàn)證方法,其中,將所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表比對(duì)包括:根據(jù)所述設(shè)備模型所包含的所有參數(shù)進(jìn)行逐項(xiàng)對(duì)比;為每個(gè)參數(shù)賦予匹配權(quán)重;將各個(gè)參數(shù)的對(duì)比結(jié)果按所述匹配權(quán)重進(jìn)行加權(quán)平均;并且根據(jù)所述加權(quán)平均的結(jié)果來判斷所述當(dāng)前設(shè)備指紋是否與所述設(shè)備指紋列表中的項(xiàng)匹配。
如上所述的安全驗(yàn)證方法,其中,將所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表對(duì)比包括:依據(jù)所述設(shè)備歷史使用情況對(duì)所述設(shè)備指紋列表中的每個(gè)設(shè)備指紋變化進(jìn)行預(yù)測(cè);并且將所述當(dāng)前設(shè)備指紋與每個(gè)所述預(yù)測(cè)結(jié)果進(jìn)行對(duì)比。
如上所述的安全驗(yàn)證方法,其中,所述方法還包括在將所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表比對(duì)之前,將所述當(dāng)前設(shè)備指紋與設(shè)備指紋黑名單庫(kù)進(jìn)行對(duì)比,其中所述設(shè)備指紋黑名單庫(kù)保存非法設(shè)備的設(shè)備指紋。
如上所述的安全驗(yàn)證方法,其中,與設(shè)備指紋黑名單庫(kù)進(jìn)行對(duì)比包括按關(guān)鍵設(shè)備參數(shù)的優(yōu)先級(jí)逐級(jí)將所述當(dāng)前設(shè)備指紋與黑名單庫(kù)中的設(shè)備指紋進(jìn)行比對(duì)。
如上所述的安全驗(yàn)證方法,其中,所述關(guān)鍵設(shè)備參數(shù)包括mac地址、國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)imei、設(shè)備序列號(hào)以及系統(tǒng)標(biāo)識(shí)。
如上所述的安全驗(yàn)證方法,其中,所述先前存儲(chǔ)的設(shè)備指紋基于設(shè)備硬件參數(shù)以及歷史的設(shè)備使用情況數(shù)據(jù)生成。
如上所述的安全驗(yàn)證方法,其還包括周期性地從與所述用戶關(guān)聯(lián)的所有設(shè)備接收設(shè)備使用情況數(shù)據(jù)來更新所述設(shè)備指紋列表中的設(shè)備指紋。
如上所述的安全驗(yàn)證方法,其中,所述業(yè)務(wù)請(qǐng)求包括發(fā)卡請(qǐng)求以及交易請(qǐng)求。
如上所述的安全驗(yàn)證方法,其中,所述用戶信息包括與所述業(yè)務(wù)相關(guān)聯(lián)的用戶名和密碼。
另一方面,本發(fā)明還提供了一種安全驗(yàn)證平臺(tái),其包括:數(shù)據(jù)接收模塊,用于接收來自用戶的業(yè)務(wù)請(qǐng)求,所述業(yè)務(wù)請(qǐng)求包括用戶信息以及設(shè)備信息;設(shè)備指紋創(chuàng)建模塊,用于基于所述設(shè)備信息創(chuàng)建當(dāng)前設(shè)備指紋;列表獲取模塊,用于獲取設(shè)備指紋列表,所述設(shè)備指紋列表包括與所述用戶關(guān)聯(lián)的所有設(shè)備的先前存儲(chǔ)的設(shè)備指紋;比對(duì)模塊,用于將所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表比對(duì);以及判定模塊,用于在所述當(dāng)前設(shè)備指紋與所述設(shè)備指紋列表中的至少一項(xiàng)匹配的情況下判定所述業(yè)務(wù)請(qǐng)求通過安全驗(yàn)證,其中所述設(shè)備信息包括設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù),并且所述設(shè)備指紋是基于所述設(shè)備信息構(gòu)建的設(shè)備模型。
還有另一方面,本發(fā)明提供了一種安全驗(yàn)證方法,其包括:在設(shè)備處從用戶獲取采集設(shè)備信息的授權(quán);依據(jù)所述授權(quán)從所述設(shè)備采集設(shè)備信息,所述設(shè)備信息包括設(shè)備硬件參數(shù)和設(shè)備使用情況數(shù)據(jù);以及在用戶使用所述設(shè)備向安全驗(yàn)證平臺(tái)發(fā)送業(yè)務(wù)請(qǐng)求時(shí)在所述業(yè)務(wù)請(qǐng)求中添加所述設(shè)備信息。
如上所述的安全驗(yàn)證方法,其還包括:周期性地向所述安全驗(yàn)證平臺(tái)傳送所述設(shè)備使用情況數(shù)據(jù)。
又一方面,本發(fā)明提供了安全驗(yàn)證裝置,其包括:授權(quán)模塊,用于在設(shè)備處從用戶獲取采集設(shè)備信息的授權(quán);信息采集模塊,用于依據(jù)所述授權(quán)從所述設(shè)備采集設(shè)備信息,所述設(shè)備信息包括設(shè)備硬件參數(shù)和設(shè)備使用情況數(shù)據(jù);以及信息添加模塊,用于在用戶使用所述設(shè)備向安全驗(yàn)證平臺(tái)發(fā)送業(yè)務(wù)請(qǐng)求時(shí)在所述業(yè)務(wù)請(qǐng)求中添加所述設(shè)備信息。
還有另一方面,本發(fā)明提供了安全驗(yàn)證系統(tǒng),其包括用戶設(shè)備、如上所述的安全驗(yàn)證平臺(tái)以及設(shè)備指紋庫(kù),其中所述用戶設(shè)備包括如上所述的安全驗(yàn)證裝置,并且其中,所述設(shè)備指紋庫(kù)被配置為存儲(chǔ)所述設(shè)備指紋列表。
附圖說明
本發(fā)明的前述和其他目標(biāo)、特征和優(yōu)點(diǎn)根據(jù)下面對(duì)本發(fā)明的實(shí)施例的更具體的說明將是顯而易見的,這些實(shí)施例在附圖中被示意。
圖1是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證系統(tǒng)的示意應(yīng)用場(chǎng)景。
圖2是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證方法的示意流程圖。
圖3是根據(jù)本發(fā)明另一示例的安全驗(yàn)證方法的示意流程圖。
圖4是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證平臺(tái)的示意框圖。
圖5是根據(jù)本發(fā)明另一示例的安全驗(yàn)證裝置的示意框圖。
具體實(shí)施方式
現(xiàn)在參照附圖描述本發(fā)明的示意性示例,相同的附圖標(biāo)號(hào)表示相同的元件。下文描述的各示例有助于本領(lǐng)域技術(shù)人員透徹理解本發(fā)明,且各示例意在示例而非限制。圖中各元件、部件、模塊、裝置及設(shè)備本體的圖示僅示意性表明存在這些元件、部件、模塊、裝置及設(shè)備本體同時(shí)亦表明它們之間的相對(duì)關(guān)系,但并不用以限定它們的具體形狀;流程圖中各步驟的關(guān)系也不以所給出的順序?yàn)橄?,可根?jù)實(shí)際應(yīng)用進(jìn)行調(diào)整但不脫離本申請(qǐng)的保護(hù)范圍。
圖1是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證系統(tǒng)的示意框圖。如圖1所示,根據(jù)本發(fā)明的安全驗(yàn)證系統(tǒng)包括安全驗(yàn)證平臺(tái)101、用戶設(shè)備102以及設(shè)備指紋庫(kù)103,其中安全驗(yàn)證平臺(tái)101被配置為與發(fā)卡行通信。圖1所示的場(chǎng)景可以例如是無卡支付過程中的發(fā)卡環(huán)節(jié)。發(fā)卡行可以依賴于本發(fā)明所提供的安全驗(yàn)證平臺(tái)101對(duì)來自用戶設(shè)備102的發(fā)卡請(qǐng)求進(jìn)行安全驗(yàn)證。也就是說,發(fā)卡行104可以在用戶設(shè)備102通過安全驗(yàn)證平臺(tái)的驗(yàn)證之后將用戶設(shè)備102確定為可信設(shè)備,從而對(duì)該設(shè)備進(jìn)行虛擬卡的發(fā)卡操作。
該安全驗(yàn)證平臺(tái)101可以例如同時(shí)為多個(gè)發(fā)卡行進(jìn)行服務(wù)。除圖1所示的發(fā)卡環(huán)節(jié)應(yīng)用之外,該安全驗(yàn)證平臺(tái)101還可以為交易環(huán)節(jié)提供驗(yàn)證。例如,當(dāng)用戶設(shè)備需要利用與該設(shè)備綁定的虛擬卡進(jìn)行支付時(shí),支付請(qǐng)求同樣可以首先由該安全驗(yàn)證平臺(tái)來接收,以進(jìn)行設(shè)備身份驗(yàn)證,并且支付確認(rèn)方可以依據(jù)該驗(yàn)證結(jié)果來判斷是否執(zhí)行支付操作。在實(shí)踐中,該安全驗(yàn)證平臺(tái)可以獨(dú)立地實(shí)現(xiàn)或者被集成在任何第三方的可信服務(wù)平臺(tái)中。將在下文中結(jié)合圖2來詳細(xì)描述安全驗(yàn)證平臺(tái)101的操作。
圖1所示的用戶設(shè)備102可以是任何硬件條件符合各機(jī)構(gòu)的無卡支付條件的設(shè)備。此外,該用戶設(shè)備102至少應(yīng)具有遠(yuǎn)程通信能力,例如通過任何有線或無線的方式。舉例來說,該設(shè)備可以例如是已有的或待開發(fā)的任何智能設(shè)備,例如手機(jī)、計(jì)算機(jī)、膝上型筆記本、個(gè)人數(shù)字助理(pda)等等。
設(shè)備指紋庫(kù)103可以是任何已有或待開發(fā)的數(shù)據(jù)庫(kù)設(shè)備或數(shù)據(jù)服務(wù)器等。本領(lǐng)域技術(shù)人員能夠理解該設(shè)備指紋庫(kù)能夠如圖1所示的那樣獨(dú)立地實(shí)現(xiàn),也可以與安全驗(yàn)證平臺(tái)集成,或者與其他另外的數(shù)據(jù)處理設(shè)備集成。
圖2是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證方法的示意流程圖。該方法可以例如在圖1所示的安全驗(yàn)證平臺(tái)101中執(zhí)行。以下結(jié)合圖1所示的場(chǎng)景來對(duì)各步驟進(jìn)行描述。
首先,在步驟21中,安全驗(yàn)證平臺(tái)101接收來自用戶的業(yè)務(wù)請(qǐng)求。該業(yè)務(wù)請(qǐng)求可以例如是用戶通過其所持有的某一智能設(shè)備,例如用戶設(shè)備102所發(fā)出的。該業(yè)務(wù)請(qǐng)求可以例如是向銀行端發(fā)送的虛擬卡申請(qǐng)請(qǐng)求。在其他一些示例中,該業(yè)務(wù)請(qǐng)求也可以是交易請(qǐng)求,例如支付請(qǐng)求。
在本發(fā)明的一些示例中,用戶通過智能設(shè)備所發(fā)出的業(yè)務(wù)請(qǐng)求均包含用戶信息以及設(shè)備信息兩部分。用戶信息可以例如是用戶名和密碼,該用戶名和密碼可以是由用戶針對(duì)某個(gè)機(jī)構(gòu)的虛擬業(yè)務(wù)所設(shè)置的。舉例來說,銀行可能向用戶提供諸如網(wǎng)上銀行或手機(jī)銀行之類的遠(yuǎn)程客戶服務(wù),用戶可能需要為使用這些服務(wù)而在本地設(shè)備上進(jìn)行用戶注冊(cè),這通常以用戶名和密碼的形式來實(shí)現(xiàn)。本領(lǐng)域技術(shù)人員能夠理解用戶信息還可以包括其他任何能夠唯一地標(biāo)識(shí)用戶身份的信息。
進(jìn)一步地,設(shè)備信息至少需要包括設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù)。設(shè)備硬件參數(shù)包括設(shè)備本身出廠時(shí)的設(shè)備硬件基本參數(shù)及編號(hào)等任何能夠唯一識(shí)別該設(shè)備的信息。在一些示例中,設(shè)備硬件參數(shù)可以例如包括國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)imei、設(shè)備的出廠序列號(hào)等等。
設(shè)備使用情況數(shù)據(jù)是與用戶應(yīng)用設(shè)備的方式相關(guān)的信息。在一些示例中,設(shè)備使用情況數(shù)據(jù)包括設(shè)備的網(wǎng)絡(luò)信息、地理位置信息以及用戶偏好行為信息中的一個(gè)或多個(gè)。舉例來說,設(shè)備的網(wǎng)絡(luò)信息可以包括設(shè)備的網(wǎng)絡(luò)連接信息、tcp包屬性、連接的路由器屬性、http協(xié)議屬性、wifi列表中的一個(gè)或多個(gè)。設(shè)備的地理位置信息可以例如是基站定位地點(diǎn)、gps定位地點(diǎn)、與時(shí)間相關(guān)聯(lián)的軌跡及常用地中的一個(gè)或多個(gè)。設(shè)備的用戶偏好行為信息可以例如是操作系統(tǒng)類型、版本號(hào)、偏好設(shè)置、應(yīng)用安裝偏好設(shè)置、鬧鐘時(shí)間、開關(guān)機(jī)時(shí)間、應(yīng)用使用頻率及時(shí)間、屏幕操作時(shí)的接觸面積、滑動(dòng)方向、鍵盤輸入的時(shí)間間隔、按壓力度、陀螺儀信息、加速度計(jì)信息中的一個(gè)或多個(gè)。
在步驟23中,安全驗(yàn)證平臺(tái)101將基于業(yè)務(wù)請(qǐng)求中所包含的設(shè)備信息為該設(shè)備創(chuàng)建當(dāng)前設(shè)備指紋。設(shè)備指紋是基于設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù)兩者所構(gòu)建的設(shè)備模型。設(shè)備使用情況數(shù)據(jù)可以是對(duì)該設(shè)備進(jìn)行長(zhǎng)期數(shù)據(jù)采集和統(tǒng)計(jì)的結(jié)果。由于加入了設(shè)備使用情況數(shù)據(jù),依此構(gòu)建的設(shè)備模型具有實(shí)時(shí)性和動(dòng)態(tài)性,能夠更可靠地對(duì)各個(gè)設(shè)備進(jìn)行標(biāo)識(shí),消除了例如在設(shè)備被盜、遭到惡意篡改等情況下重要信息泄露、惡性邦卡、賬戶盜刷等的風(fēng)險(xiǎn)。
在步驟25中,安全驗(yàn)證平臺(tái)101還將獲取設(shè)備指紋列表,該設(shè)備指紋列表包括與用戶關(guān)聯(lián)的所有設(shè)備的、先前存儲(chǔ)的設(shè)備指紋。在一些示例中,該設(shè)備指紋列表被存儲(chǔ)在設(shè)備指紋庫(kù)103中。
在一些示例中,先前存儲(chǔ)的設(shè)備指紋基于設(shè)備硬件參數(shù)以及歷史的設(shè)備使用情況數(shù)據(jù)生成。安全驗(yàn)證平臺(tái)101可以例如在用戶發(fā)送業(yè)務(wù)請(qǐng)求之前就從該設(shè)備接收設(shè)備使用情況數(shù)據(jù)。這些設(shè)備使用情況數(shù)據(jù)可以例如從用戶為使用機(jī)構(gòu)的遠(yuǎn)程服務(wù)在本地設(shè)備上進(jìn)行用戶注冊(cè)時(shí)開始被收集并且與設(shè)備硬件參數(shù)和用戶信息一起向安全驗(yàn)證平臺(tái)發(fā)送。安全驗(yàn)證平臺(tái)101可以利用預(yù)先設(shè)計(jì)的建模算法將這些硬件信息和動(dòng)態(tài)信息匯總為能夠表征設(shè)備的設(shè)備指紋,并且將所生成的設(shè)備指紋與相應(yīng)的用戶信息一起發(fā)送至設(shè)備指紋庫(kù)103。在設(shè)備指紋庫(kù)中,可以以用戶信息為索引以列表的形式存儲(chǔ)用戶的每個(gè)設(shè)備的設(shè)備指紋。在實(shí)踐中,一個(gè)用戶可以有一臺(tái)或者多臺(tái)智能設(shè)備,因此同一用戶信息可以對(duì)應(yīng)一個(gè)設(shè)備指紋,也可以對(duì)應(yīng)多個(gè)設(shè)備指紋。
在一些示例中,安全驗(yàn)證平臺(tái)還可以周期性地從與用戶關(guān)聯(lián)的設(shè)備接收設(shè)備使用情況數(shù)據(jù)來更新所述設(shè)備指紋列表中的設(shè)備指紋。由于用戶的實(shí)際情況可能發(fā)生變化,設(shè)備使用情況也可能相應(yīng)地發(fā)生變化。例如用戶由于居住地變化而導(dǎo)致設(shè)備的地理位置信息改變。通過不斷接收最近的設(shè)備使用情況可以保證設(shè)備指紋的時(shí)效性,從而提供更好的用戶體驗(yàn)。
此外,設(shè)備指紋庫(kù)還可以通過由用戶直接去發(fā)卡行對(duì)設(shè)備進(jìn)行現(xiàn)場(chǎng)備案來生成。設(shè)備指紋庫(kù)的這種建立方式尤其適合用戶在首次通過該設(shè)備針對(duì)發(fā)卡機(jī)構(gòu)創(chuàng)建賬戶時(shí)要求虛擬卡綁定的情況。在另外一些示例中,安全驗(yàn)證平臺(tái)還可以從第三方接收類似的設(shè)備信息來進(jìn)行設(shè)備指紋的構(gòu)建。無論在哪種情況下,在設(shè)備使用情況數(shù)據(jù)的傳輸過程中優(yōu)選地采用單向加密傳輸?shù)姆绞?,以確保用戶信息及設(shè)備信息的安全性。
在步驟27中,安全驗(yàn)證平臺(tái)101將所生成的當(dāng)前設(shè)備指紋與設(shè)備指紋列表中的所有設(shè)備指紋進(jìn)行比對(duì),以確定發(fā)送業(yè)務(wù)請(qǐng)求的設(shè)備的正當(dāng)性。
在一些示例中,可以根據(jù)設(shè)備指紋所代表的設(shè)備模型中包含的所有參數(shù)進(jìn)行逐項(xiàng)對(duì)比。這種逐項(xiàng)對(duì)比可以被認(rèn)為是一種靜態(tài)匹配。其中,參數(shù)可以包括設(shè)備硬件參數(shù)以及諸如網(wǎng)絡(luò)信息、地理位置信息以及用戶偏好行為信息的設(shè)備使用情況參數(shù)。在按各個(gè)參數(shù)進(jìn)行精確匹配的過程中,可以為每個(gè)參數(shù)賦予匹配權(quán)重。如在上文中所提及的,設(shè)備指紋是一種具有動(dòng)態(tài)性的設(shè)備標(biāo)識(shí),其中與設(shè)備使用情況相關(guān)的參數(shù)會(huì)隨著用戶狀態(tài)的改變而發(fā)生變化。設(shè)備指紋庫(kù)中所存儲(chǔ)的設(shè)備指紋與當(dāng)前生成的設(shè)備指紋之間在時(shí)效性上存在一定的差異,因此不一定需要每個(gè)參數(shù)都完全一致,而是可以通過權(quán)重來加以區(qū)別。進(jìn)一步地,可以將當(dāng)前設(shè)備指紋與列表中的每一項(xiàng)的各個(gè)參數(shù)的對(duì)比結(jié)果按預(yù)先分配的匹配權(quán)重進(jìn)行加權(quán)平均,計(jì)算多值匹配度。最后,根據(jù)加權(quán)平均的結(jié)果,即多值匹配度來判斷當(dāng)前設(shè)備指紋是否與設(shè)備指紋列表中的項(xiàng)匹配。在一些示例中,例如可以將加權(quán)平均的結(jié)果與預(yù)先確定的閾值進(jìn)行比較:如高于閾值則認(rèn)為是匹配,否則認(rèn)為是不匹配。
在另外一些示例中,還可以采用動(dòng)態(tài)匹配的方式。如在上文中所提及的,設(shè)備指紋是一種具有動(dòng)態(tài)性的設(shè)備標(biāo)識(shí),尤其是其中與設(shè)備使用情況相關(guān)的參數(shù)可能不斷發(fā)生變化。因此,在設(shè)備指紋匹配時(shí),除了當(dāng)前值與存儲(chǔ)值的精確匹配之外,還可以將當(dāng)前值與基于以往數(shù)據(jù)的預(yù)測(cè)進(jìn)行比較。在一些示例中,利用與設(shè)備指紋庫(kù)集成的或獨(dú)立于該設(shè)備指紋庫(kù)的外部處理設(shè)備通過機(jī)器學(xué)習(xí)的方法,分析前期采集的硬件信息和設(shè)備使用情況數(shù)據(jù),由此預(yù)測(cè)持續(xù)的設(shè)備指紋變化,并將該預(yù)測(cè)結(jié)果作為更新的設(shè)備指紋存儲(chǔ)在設(shè)備指紋庫(kù)中,用于后續(xù)的設(shè)備指紋比對(duì)。通過動(dòng)態(tài)方法進(jìn)行比對(duì),可以在保證安全性的同時(shí),大大改善用戶體驗(yàn),為整個(gè)業(yè)務(wù)處理過程增加便利性。此外,還可以同時(shí)地或交替地采用動(dòng)態(tài)或靜態(tài)的對(duì)比方式。
在將當(dāng)前設(shè)備指紋與設(shè)備指紋列表中的各項(xiàng)進(jìn)行比對(duì),并且確定至少有一項(xiàng)匹配的情況下,安全驗(yàn)證平臺(tái)在步驟29中判定所收到的業(yè)務(wù)請(qǐng)求通過安全驗(yàn)證。進(jìn)一步地,在圖1所示的場(chǎng)景中,安全驗(yàn)證平臺(tái)101會(huì)通知發(fā)卡行可以開始正常的虛擬卡發(fā)卡或綁卡操作。
在本發(fā)明中,通過結(jié)合設(shè)備的使用情況數(shù)據(jù)來構(gòu)建設(shè)備指紋,有效地解決了現(xiàn)有無卡支付發(fā)卡和交易環(huán)節(jié)僅基于卡號(hào)信息及手機(jī)碼驗(yàn)證等方式的不足,大大降低了惡意綁卡及盜刷的風(fēng)險(xiǎn)。相比于生物特征信息,用戶的智能設(shè)備在被盜取后可以及時(shí)由安全驗(yàn)證平臺(tái)發(fā)覺,從而及時(shí)聯(lián)系驗(yàn)證平臺(tái)或者發(fā)卡行進(jìn)行設(shè)備指紋的報(bào)失凍結(jié)或者信息的更新,并且由于采取了單向加密的保護(hù)措施,即使智能設(shè)備被盜取也不會(huì)丟失個(gè)人信息。此外,本發(fā)明所提供的方案通過加強(qiáng)服務(wù)器端的驗(yàn)證處理,使得在用戶端的驗(yàn)證條件要求被降低。
在一些優(yōu)選示例中,除圖2所示的步驟之外,安全驗(yàn)證平臺(tái)101還可以被配置為在將當(dāng)前設(shè)備指紋與設(shè)備指紋列表比對(duì)之前,將該當(dāng)前設(shè)備指紋與設(shè)備指紋黑名單庫(kù)進(jìn)行對(duì)比。一般地,設(shè)備指紋黑名單庫(kù)保存非法設(shè)備的設(shè)備指紋,這些非法設(shè)備的信息可以從外部收集也可以通過在之前的比對(duì)過程中不斷積累。
與設(shè)備指紋黑名單庫(kù)的比對(duì)同樣可以采用上文中就設(shè)備指紋列表比對(duì)所描述的靜態(tài)和動(dòng)態(tài)方法。在另外一些示例中,與設(shè)備指紋黑名單庫(kù)進(jìn)行對(duì)比可以是按關(guān)鍵設(shè)備參數(shù)的優(yōu)先級(jí)逐級(jí)將所述當(dāng)前設(shè)備指紋與黑名單庫(kù)中的設(shè)備指紋進(jìn)行比對(duì)。舉例來說,關(guān)鍵設(shè)備參數(shù)可以是mac地址、國(guó)際移動(dòng)設(shè)備標(biāo)識(shí)imei、設(shè)備序列號(hào)以及系統(tǒng)標(biāo)識(shí),優(yōu)先級(jí)按各項(xiàng)所列出的順序?yàn)閺母叩降?。也就是說,在黑名單比對(duì)中,首先將當(dāng)前設(shè)備指紋包含的mac地址信息與黑名單庫(kù)中的每個(gè)設(shè)備指紋項(xiàng)中的mac地址信息比對(duì)。如果找到匹配,則可以將當(dāng)前請(qǐng)求中的設(shè)備指紋判定為審核失敗。如果沒有找到mac地址信息匹配的項(xiàng),則接著比對(duì)設(shè)備序列號(hào),以此類推。
相比于傳統(tǒng)的單因子體系和設(shè)備信息字符串體系的不足,采用多因子分離式認(rèn)證方式,基于諸如mac地址、imei、序列號(hào)和安卓id等關(guān)鍵設(shè)備參數(shù)作為黑名單設(shè)備指紋因子,并根據(jù)幾個(gè)設(shè)備指紋因子的唯一性和可靠性的強(qiáng)度優(yōu)先級(jí),構(gòu)建設(shè)備指紋黑名單因子層級(jí)庫(kù)。在黑名單入庫(kù)階段,會(huì)對(duì)相關(guān)指紋因子的唯一性和可靠性進(jìn)行檢測(cè),并依據(jù)檢測(cè)結(jié)果選擇可靠的因子入黑名單因子層級(jí)庫(kù),從而提高了黑名單庫(kù)的有效性。依據(jù)預(yù)先設(shè)定的可靠度優(yōu)先級(jí)逐級(jí)比較,可以實(shí)現(xiàn)對(duì)黑名單設(shè)備的精確匹配追蹤。
在一些示例中,黑名單的建立可以按照以下原則:一次審核失敗的設(shè)備指紋信息進(jìn)入灰名單列表,多次審核失敗的進(jìn)入黑名單。此外,機(jī)構(gòu)的其他業(yè)務(wù)系統(tǒng)也可以按照業(yè)務(wù)規(guī)則將違規(guī)的設(shè)備列入設(shè)備指紋黑名單。
此外,黑名單列表中的設(shè)備指紋也可以進(jìn)行恢復(fù)。例如,用戶可以向安全驗(yàn)證平臺(tái)提交用戶資料,經(jīng)過審核成功則可刪除黑名單列表中用戶的對(duì)應(yīng)設(shè)備。
在設(shè)備指紋列表比對(duì)之前,通過黑名單比對(duì)直接對(duì)于非法設(shè)備拒絕審核,這提高了無卡支付發(fā)卡的安全性以及高危情況下非法設(shè)備審核的效率。
圖3是根據(jù)本發(fā)明另一示例的安全驗(yàn)證方法的示意流程圖。圖3所示的安全驗(yàn)證方法通??梢栽趫D1所示的用戶設(shè)備102中實(shí)現(xiàn),與圖2所示的方法共同來完成本發(fā)明所提供的安全驗(yàn)證方案。
如圖3所示,首先在步驟31在設(shè)備處從用戶獲取采集設(shè)備信息的授權(quán)。接著,在步驟33中,依據(jù)該授權(quán)從用戶的設(shè)備采集設(shè)備信息。在本發(fā)明中,所采集的設(shè)備信息至少包括設(shè)備硬件參數(shù)和設(shè)備使用情況數(shù)據(jù)兩者,其中設(shè)備使用情況數(shù)據(jù)例如可以是設(shè)備的網(wǎng)絡(luò)信息、地理位置信息以及用戶偏好行為信息等等。進(jìn)一步地,在步驟35中,當(dāng)用戶使用該設(shè)備向安全驗(yàn)證平臺(tái)發(fā)送業(yè)務(wù)請(qǐng)求時(shí)在該業(yè)務(wù)請(qǐng)求中添加所采集的設(shè)備信息。
圖3所示的方法可以例如在用戶設(shè)備上安裝的應(yīng)用程序(app)中實(shí)現(xiàn),或者被實(shí)現(xiàn)為軟件開發(fā)工具包sdk以嵌入機(jī)構(gòu)向用戶設(shè)備所提供的應(yīng)用程序中。舉例來說,用戶為使用機(jī)構(gòu)所提供的手機(jī)銀行服務(wù)可能需要在手機(jī)設(shè)備上安裝相應(yīng)的app。該app可以在用戶創(chuàng)建帳戶(通常包括用戶名和密碼)并用該帳戶登錄之后向用戶請(qǐng)求授權(quán),并在獲得授權(quán)之后對(duì)設(shè)備信息進(jìn)行采集。所采集的信息可以被發(fā)送至安全驗(yàn)證平臺(tái)以為該設(shè)備創(chuàng)建設(shè)備指紋,無論用戶是否進(jìn)行任何業(yè)務(wù)請(qǐng)求。安全驗(yàn)證平臺(tái)可以將所有來自同一用戶賬戶的設(shè)備指紋信息存儲(chǔ)為設(shè)備指紋列表,如在上文中所描述的那樣。在一些示例中,用戶設(shè)備上的應(yīng)用程序還可以周期性地向安全驗(yàn)證平臺(tái)傳送設(shè)備使用情況數(shù)據(jù),以供安全驗(yàn)證平臺(tái)不斷地對(duì)設(shè)備指紋庫(kù)進(jìn)行更新,從而有助于與之后收到的業(yè)務(wù)請(qǐng)求中的設(shè)備信息進(jìn)行比對(duì)。
本領(lǐng)域技術(shù)人員能夠理解圖3所示的方法不必須實(shí)現(xiàn)在用戶的設(shè)備上,而可以例如由獨(dú)立的第三方來實(shí)現(xiàn)。此外,該方法也可以任何軟件或硬件的形式來實(shí)現(xiàn)。
總的來說,采用本發(fā)明所提供的安全驗(yàn)證方案對(duì)于用戶使用的智能設(shè)備沒有附加的功能要求,通常只需要用戶授權(quán)驗(yàn)證方或機(jī)構(gòu)方獲取設(shè)備的權(quán)利,這大大提高了用戶體驗(yàn)并且降低了各方用于設(shè)備審核的成本。
圖4是根據(jù)本發(fā)明一個(gè)示例的安全驗(yàn)證平臺(tái)的示意框圖。如圖4所示,安全驗(yàn)證平臺(tái)400包括數(shù)據(jù)接收模塊41,設(shè)備指紋創(chuàng)建模塊43、列表獲取模塊45、比對(duì)模塊47以及判定模塊。具體地,數(shù)據(jù)接收模塊41用于接收來自用戶的業(yè)務(wù)請(qǐng)求。在本發(fā)明中,這些業(yè)務(wù)請(qǐng)求就包括用戶信息和設(shè)備信息兩者,其中設(shè)備信息將包括設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù)。設(shè)備指紋創(chuàng)建模塊43用于基于設(shè)備信息創(chuàng)建當(dāng)前設(shè)備指紋。在本發(fā)明中,設(shè)備指紋是基于設(shè)備硬件參數(shù)以及設(shè)備使用情況數(shù)據(jù)構(gòu)建的設(shè)備模型。列表獲取模塊45用于獲取設(shè)備指紋列表,該設(shè)備指紋列表包括與該用戶關(guān)聯(lián)的所有設(shè)備的先前存儲(chǔ)的設(shè)備指紋。比對(duì)模塊47用于將當(dāng)前設(shè)備指紋與設(shè)備指紋列表中的各個(gè)設(shè)備指紋進(jìn)行比對(duì)。判定模塊49用于在當(dāng)前設(shè)備指紋與設(shè)備指紋列表中的至少一項(xiàng)匹配的情況下判定所接收的業(yè)務(wù)請(qǐng)求通過安全驗(yàn)證。
圖4所示的安全驗(yàn)證平臺(tái)400能夠被配置為實(shí)現(xiàn)上文所描述的任何與本發(fā)明所提供的、在安全驗(yàn)證平臺(tái)處實(shí)現(xiàn)的安全驗(yàn)證過程相關(guān)的操作。本領(lǐng)域技術(shù)人員能夠理解,圖4所示的模塊劃分僅是示意性的,這些模塊能夠按照具體實(shí)現(xiàn)來集成或進(jìn)一步劃分,并且以任何軟件或硬件的形式來實(shí)現(xiàn)。
圖5是根據(jù)本發(fā)明另一示例的安全驗(yàn)證裝置的示意框圖。如圖5所示,安全驗(yàn)證裝置500包括授權(quán)模塊51、信息采集模塊53以及信息添加模塊55。在實(shí)踐中,該安全驗(yàn)證裝置500可以被集成或安裝在用戶可能用來向機(jī)構(gòu)發(fā)送業(yè)務(wù)請(qǐng)求的設(shè)備中。具體地,授權(quán)模塊51用于在設(shè)備處從用戶獲取采集設(shè)備信息的授權(quán)。信息采集模塊53用于依據(jù)所獲得的授權(quán)從用戶的設(shè)備采集設(shè)備信息。在本發(fā)明中,所采集的設(shè)備信息將包括設(shè)備硬件參數(shù)和設(shè)備使用情況數(shù)據(jù)兩者。信息添加模塊55用于在用戶使用其設(shè)備向安全驗(yàn)證平臺(tái)發(fā)送業(yè)務(wù)請(qǐng)求時(shí)在該業(yè)務(wù)請(qǐng)求中添加所采集的設(shè)備信息。
圖5所示的安全驗(yàn)證裝置500能夠被配置為實(shí)現(xiàn)上文所描述的任何與本發(fā)明所提供的安全驗(yàn)證過程相關(guān)的、在用戶設(shè)備處實(shí)現(xiàn)的操作。本領(lǐng)域技術(shù)人員能夠理解,圖5所示的模塊劃分僅是示意性的,這些模塊能夠按照具體實(shí)現(xiàn)來集成或進(jìn)一步劃分,并且以任何軟件或硬件的形式來實(shí)現(xiàn)。
應(yīng)當(dāng)說明的是,以上具體實(shí)施方式僅用以說明本發(fā)明的技術(shù)方案而非對(duì)其進(jìn)行限制。盡管參照上述具體實(shí)施方式對(duì)本發(fā)明進(jìn)行了詳細(xì)的說明,本領(lǐng)域的普通技術(shù)人員應(yīng)當(dāng)理解,依然可以對(duì)本發(fā)明的具體實(shí)施方式進(jìn)行修改或?qū)Σ糠旨夹g(shù)特征進(jìn)行等同替換而不脫離本發(fā)明的實(shí)質(zhì),其均涵蓋在本發(fā)明請(qǐng)求保護(hù)的范圍中。