本發(fā)明涉及客戶端安全認證技術領域，尤其涉及一種客戶端設備的安全認證系統(tǒng)、方法及客戶端可信識別裝置。

背景技術：

當前，隨著互聯(lián)網(wǎng)金融的快速發(fā)展，金融交易的風險控制也將面臨巨大挑戰(zhàn)。犯罪分子可以通過黑客攻擊、撞庫、釣魚等非法手段，獲取客戶身份證、姓名、交易卡密碼、手機號等敏感信息，在各種客戶端設備上，仿冒真實客戶進行登錄、支付、轉(zhuǎn)賬交易等操作，給客戶資金安全帶來了巨大風險。為了有效控制這類風險，需要對客戶端設備進行可信識別，若判定到客戶端設備是可信的，說明是客戶本人進行交易操作；若判定客戶端設備是不可信的，說明交易操作存在風險，進而需要采取拒絕非法操作措施。

目前，現(xiàn)有技術中最常用的可信識別方法主要以網(wǎng)絡地址與硬件地址捆綁作為識別要素，但這種識別方式存在如下問題：一方面，網(wǎng)絡地址與硬件地址是可以修改的，也很容易被偽造，犯罪分子可以利用偽地址進行登錄，造成可信識別系統(tǒng)將非法客戶端設備誤判為可信設備。另一方面，由于識別要素比較單一，識別準確度不高，會出現(xiàn)誤判斷的情況，比如客戶修改操作系統(tǒng)參數(shù)，或設備硬件變更引起網(wǎng)絡或硬件地址變化，可信識別系統(tǒng)會將合法的客戶端設備誤判為不可信設備，從而影響客戶正常交易?？梢?，當前亟需一種快速、準確識別安全客戶端設備的方法，提高安全防控效果，保護客戶的資金財產(chǎn)安全。

技術實現(xiàn)要素：

本發(fā)明的實施例提供一種客戶端設備的安全認證系統(tǒng)、方法及客戶端可信識別裝置，以解決現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

為達到上述目的，本發(fā)明采用如下技術方案：

一種客戶端設備的安全認證系統(tǒng)，包括：客戶端設備、客戶端可信識別裝置、交易應用服務器設備、認證服務器設備、指紋特征庫設備、客戶認證信息庫設備；所述客戶端設備與所述客戶端可信識別裝置連接；所述客戶端設備通過外部網(wǎng)絡與所述交易應用服務器設備通信連接；所述客戶端可信識別裝置通過外部網(wǎng)絡與所述認證服務器設備通信連接；所述認證服務器設備通過局域網(wǎng)絡分別與所述指紋特征庫設備和客戶認證信息庫設備通信連接；

所述客戶端可信識別裝置，用于監(jiān)測客戶端設備，并在監(jiān)測到客戶端設備向所述交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息，將所述認證信息發(fā)送到所述認證服務器設備；

所述認證服務器設備，用于解析所述認證信息，并向所述指紋特征庫設備發(fā)送匹配請求；

所述指紋特征庫設備，用于查詢所述客戶身份標識對應的各客戶歷史設備指紋信息，并根據(jù)所述客戶歷史設備指紋信息與指紋要素信息中的各指紋要素進行匹配，確定所述認證信息與各客戶歷史設備的匹配度，并將各匹配度中的最大值發(fā)送給所述認證服務器設備；

所述認證服務器設備，還用于根據(jù)所述匹配度中的最大值確定客戶端設備的認證狀態(tài)；在所述認證狀態(tài)為認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在所述認證狀態(tài)為待認證狀態(tài)時，根據(jù)客戶認證信息庫設備進行新設備可信認證；在新設備可信認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在新設備可信認證失敗時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識；

所述客戶端可信識別裝置，還用于通過所述客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

具體的，所述指紋要素信息包括軟件要素、硬件要素和網(wǎng)絡要素；所述軟件要素包括操作系統(tǒng)信息、瀏覽器名稱信息、屏幕分辨率信息；所述硬件要素包括cpu等級信息、硬盤編號信息；所述網(wǎng)絡要素包括網(wǎng)絡類型信息、mac地址信息。

此外，所述客戶端可信識別裝置，具體用于：

根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼；

將客戶端可信識別裝置綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串。

此外，在所述指紋特征庫設備中記錄有客戶身份標識對應的各客戶歷史設備指紋信息，所述客戶身份標識對應的各客戶歷史設備指紋信息包括指紋要素信息中各要素指紋特征項的實際取值以及各要素指紋特征項對應的可信概率值；

所述指紋特征庫設備，具體用于：

查詢所述客戶身份標識對應的各客戶歷史設備指紋信息；

將指紋要素信息中的各指紋要素的取值與各客戶歷史設備相應各要素指紋特征項的實際取值進行匹配；若指紋要素信息中的一指紋要素的取值與其相應要素指紋特征項的實際取值不相同，則選取相應要素指紋特征項對應的可信概率值；

根據(jù)公式：p＝p1·p2·...·pk確定所述認證信息與各客戶歷史設備的匹配度；其中，p為所述認證信息與各客戶歷史設備的匹配度；pk表示同一客戶歷史設備中選取的各相應要素指紋特征項對應的可信概率值。

另外，所述認證服務器設備，具體用于：

判斷所述匹配度中的最大值是否大于預先設置的匹配度閾值；在所述匹配度中的最大值大于所述匹配度閾值時，確定客戶端設備的認證狀態(tài)為認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在所述匹配度中的最大值小于等于所述匹配度閾值時，確定客戶端設備的認證狀態(tài)為待認證狀態(tài)。

進一步的，所述認證服務器設備，具體還用于：

在確定客戶端設備的認證狀態(tài)為待認證狀態(tài)時，向客戶端可信識別裝置發(fā)送所述客戶身份標識以及待認證標識；

所述客戶端可信識別裝置，具體還用于在接收到所述待認證標識后，接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備；

所述認證服務器設備，具體還用于向客戶認證信息庫設備發(fā)送新設備可信認證請求信息；所述新設備可信認證請求信息包括所述客戶身份標識以及所述客戶認證信息；

所述客戶認證信息庫設備，具體用于根據(jù)所述客戶身份標識在客戶認證信息庫設備本地查詢所述客戶身份標識對應的認證信息內(nèi)容，將所述客戶認證信息與所述認證信息內(nèi)容進行匹配，生成匹配結(jié)果，并將所述匹配結(jié)果發(fā)送給所述認證服務器設備；所述匹配結(jié)果包括匹配成功結(jié)果和匹配失敗結(jié)果；

所述認證服務器設備，具體還用于在所述匹配結(jié)果為匹配成功結(jié)果時，確定新設備可信認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識，并通過指紋特征庫設備存儲所述客戶身份標識對應的認證信息，以更新客戶身份標識對應的各客戶歷史設備指紋信息；在所述匹配結(jié)果為匹配失敗結(jié)果時，確定新設備可信認證失敗，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識。

具體的，所述客戶認證信息包括介質(zhì)號或生物特征信息；所述介質(zhì)號包括客戶認證密碼；所述生物特征信息包括客戶手指指紋信息、客戶手掌掌紋信息、客戶人臉識別信息、客戶聲音識別信息或者客戶眼球識別信息。

一種客戶端設備的安全認證方法，應用于上述的客戶端設備的安全認證系統(tǒng)，所述方法包括：

客戶端可信識別裝置監(jiān)測客戶端設備，并在監(jiān)測到客戶端設備向交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息，將所述認證信息發(fā)送到認證服務器設備；

所述認證服務器設備解析所述認證信息，并向指紋特征庫設備發(fā)送匹配請求；

所述指紋特征庫設備查詢所述客戶身份標識對應的各客戶歷史設備指紋信息，并根據(jù)所述客戶歷史設備指紋信息與指紋要素信息中的各指紋要素進行匹配，確定所述認證信息與各客戶歷史設備的匹配度，并將各匹配度中的最大值發(fā)送給所述認證服務器設備；

所述認證服務器設備根據(jù)所述匹配度中的最大值確定客戶端設備的認證狀態(tài)；在所述認證狀態(tài)為認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在所述認證狀態(tài)為待認證狀態(tài)時，根據(jù)客戶認證信息庫設備進行新設備可信認證；在新設備可信認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在新設備可信認證失敗時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識；

所述客戶端可信識別裝置通過所述客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

具體的，所述指紋要素信息包括軟件要素、硬件要素和網(wǎng)絡要素；所述軟件要素包括操作方法信息、瀏覽器名稱信息、屏幕分辨率信息；所述硬件要素包括cpu等級信息、硬盤編號信息；所述網(wǎng)絡要素包括網(wǎng)絡類型信息、mac地址信息。

具體的，所述采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息，包括：

根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼；

將客戶端可信識別裝置綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串。

具體的，在所述指紋特征庫設備中記錄有客戶身份標識對應的各客戶歷史設備指紋信息，所述客戶身份標識對應的各客戶歷史設備指紋信息包括指紋要素信息中各要素指紋特征項的實際取值以及各要素指紋特征項對應的可信概率值；

所述指紋特征庫設備查詢所述客戶身份標識對應的各客戶歷史設備指紋信息，并根據(jù)所述客戶歷史設備指紋信息與指紋要素信息中的各指紋要素進行匹配，確定所述認證信息與各客戶歷史設備的匹配度，包括：

查詢所述客戶身份標識對應的各客戶歷史設備指紋信息；

將指紋要素信息中的各指紋要素的取值與各客戶歷史設備相應各要素指紋特征項的實際取值進行匹配；若指紋要素信息中的一指紋要素的取值與其相應要素指紋特征項的實際取值不相同，則選取相應要素指紋特征項對應的可信概率值；

根據(jù)公式：p＝p1·p2·...·pk確定所述認證信息與各客戶歷史設備的匹配度；其中，p為所述認證信息與各客戶歷史設備的匹配度；pk表示同一客戶歷史設備中選取的各相應要素指紋特征項對應的可信概率值。

具體的，所述認證服務器設備根據(jù)所述匹配度中的最大值確定客戶端設備的認證狀態(tài)；在所述認證狀態(tài)為認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識，包括：

判斷所述匹配度中的最大值是否大于預先設置的匹配度閾值；在所述匹配度中的最大值大于所述匹配度閾值時，確定客戶端設備的認證狀態(tài)為認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在所述匹配度中的最大值小于等于所述匹配度閾值時，確定客戶端設備的認證狀態(tài)為待認證狀態(tài)。

具體的，在所述認證狀態(tài)為待認證狀態(tài)時，根據(jù)客戶認證信息庫設備進行新設備可信認證，包括：

在確定客戶端設備的認證狀態(tài)為待認證狀態(tài)時，向客戶端可信識別裝置發(fā)送所述客戶身份標識以及待認證標識；

所述客戶端可信識別裝置在接收到所述待認證標識后，接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備；

所述認證服務器設備向客戶認證信息庫設備發(fā)送新設備可信認證請求信息；所述新設備可信認證請求信息包括所述客戶身份標識以及所述客戶認證信息；

所述客戶認證信息庫設備根據(jù)所述客戶身份標識在客戶認證信息庫設備本地查詢所述客戶身份標識對應的認證信息內(nèi)容，將所述客戶認證信息與所述認證信息內(nèi)容進行匹配，生成匹配結(jié)果，并將所述匹配結(jié)果發(fā)送給所述認證服務器設備；所述匹配結(jié)果包括匹配成功結(jié)果和匹配失敗結(jié)果；

所述方法還包括：

所述認證服務器設備在所述匹配結(jié)果為匹配成功結(jié)果時，確定新設備可信認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識，并通過指紋特征庫設備存儲所述客戶身份標識對應的認證信息，以更新客戶身份標識對應的各客戶歷史設備指紋信息；在所述匹配結(jié)果為匹配失敗結(jié)果時，確定新設備可信認證失敗，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識。

具體的，所述客戶認證信息包括介質(zhì)號或生物特征信息；所述介質(zhì)號包括客戶認證密碼；所述生物特征信息包括客戶手指指紋信息、客戶手掌掌紋信息、客戶人臉識別信息、客戶聲音識別信息或者客戶眼球識別信息。

一種客戶端可信識別裝置，包括：

客戶端設備監(jiān)測單元，用于監(jiān)測客戶端設備；

指紋要素信息采集單元，用于在監(jiān)測到客戶端設備向交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息；

信息安全通訊單元，用于將所述認證信息發(fā)送到認證服務器設備；接收認證服務器設備發(fā)送的客戶身份標識以及可信標識，或者接收認證服務器設備發(fā)送的客戶身份標識以及不可信標識；通過客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

進一步的，所述的客戶端可信識別裝置，還包括：

信息整合加密單元，用于根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼；將客戶端可信識別裝置綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串。

進一步的，所述信息安全通訊單元，還用于接收認證服務器設備發(fā)送的客戶身份標識以及待認證標識；接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備。

本發(fā)明實施例提供的一種客戶端設備的安全認證系統(tǒng)、方法及客戶端可信識別裝置，通過采集多元化的客戶端設備的指紋要素信息，與指紋特征庫中的客戶歷史設備指紋信息匹配，對客戶端設備的可信性進行認證；在客戶端設備首次認證未通過時，還可以進一步進行新設備可信認證，保證了客戶端設備的可靠性，在降低了交易風險的同時，也提升客戶的操作體驗，可以提高安全防控效果，保護客戶的資金財產(chǎn)安全，避免了現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

附圖說明

為了更清楚地說明本發(fā)明實施例或現(xiàn)有技術中的技術方案，下面將對實施例或現(xiàn)有技術描述中所需要使用的附圖作簡單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明的一些實施例，對于本領域普通技術人員來講，在不付出創(chuàng)造性勞動性的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明實施例提供的一種客戶端設備的安全認證系統(tǒng)的結(jié)構示意圖；

圖2為本發(fā)明實施例提供的一種客戶端設備的安全認證方法的流程圖一；

圖3為本發(fā)明實施例提供的一種客戶端設備的安全認證方法的流程圖二；

圖4為本發(fā)明實施例提供的一種客戶端可信識別裝置的結(jié)構示意圖。

具體實施方式

下面將結(jié)合本發(fā)明實施例中的附圖，對本發(fā)明實施例中的技術方案進行清楚、完整地描述，顯然，所描述的實施例僅僅是本發(fā)明一部分實施例，而不是全部的實施例?；诒景l(fā)明中的實施例，本領域普通技術人員在沒有做出創(chuàng)造性勞動前提下所獲得的所有其他實施例，都屬于本發(fā)明保護的范圍。

如圖1所示，本發(fā)明實施例提供一種客戶端設備的安全認證系統(tǒng)，包括：客戶端設備11、客戶端可信識別裝置12、交易應用服務器設備13、認證服務器設備14、指紋特征庫設備15、客戶認證信息庫設備16。所述客戶端設備11與所述客戶端可信識別裝置12連接；所述客戶端設備11通過外部網(wǎng)絡與所述交易應用服務器設備13通信連接；所述客戶端可信識別裝置12通過外部網(wǎng)絡與所述認證服務器設備14通信連接；所述認證服務器設備14通過局域網(wǎng)絡分別與所述指紋特征庫設備15和客戶認證信息庫設備16通信連接。值得說明的是，在本發(fā)明實施例中，客戶端可信識別裝置12可以作為硬件設備部署于客戶端設備11內(nèi)部或以接口方式(例如串行端口、usb端口等硬件端口，但不僅局限于此)連接到客戶端設備11上。此處的客戶端設備可以為智能手機、平板電腦、筆記本電腦等。

所述客戶端可信識別裝置12，用于監(jiān)測客戶端設備11，并在監(jiān)測到客戶端設備11向所述交易應用服務器設備13發(fā)送交易會話請求時，采集所述客戶端設備11的指紋要素信息，并根據(jù)客戶端可信識別裝置12綁定的客戶身份標識與所述指紋要素信息生成認證信息，將所述認證信息發(fā)送到所述認證服務器設備14。此處，所述客戶端可信識別裝置12綁定的客戶身份標識可以是在客戶領取客戶端可信識別裝置12時進行的協(xié)議綁定，也可以是客戶通過柜面(如銀行柜臺業(yè)務)修改綁定。另外，客戶端可信識別裝置采集客戶端設備11的指紋要素信息可以通過多種技術實現(xiàn)，例如插件/控件、javascript、分析http/https協(xié)議等，但不僅局限于此。

所述認證服務器設備14，用于解析所述認證信息，并向所述指紋特征庫設備15發(fā)送匹配請求。

所述指紋特征庫設備15，用于查詢所述客戶身份標識對應的各客戶歷史設備指紋信息，并根據(jù)所述客戶歷史設備指紋信息與指紋要素信息中的各指紋要素進行匹配，確定所述認證信息與各客戶歷史設備的匹配度，并將各匹配度中的最大值發(fā)送給所述認證服務器設備14。

所述認證服務器設備14，還用于根據(jù)所述匹配度中的最大值確定客戶端設備11的認證狀態(tài)；在所述認證狀態(tài)為認證成功時，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及可信標識；在所述認證狀態(tài)為待認證狀態(tài)時，根據(jù)客戶認證信息庫設備16進行新設備可信認證；在新設備可信認證成功時，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及可信標識；在新設備可信認證失敗時，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及不可信標識。

所述客戶端可信識別裝置12，還用于通過所述客戶端設備11向交易應用服務器設備13發(fā)送客戶端設備11認證結(jié)果，以使得所述交易應用服務器設備13根據(jù)客戶端設備11認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備11認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

具體的，所述指紋要素信息可以包括軟件要素、硬件要素和網(wǎng)絡要素；所述軟件要素包括操作系統(tǒng)信息(例如linux、window7等)、瀏覽器名稱信息(例如ie、chrome等)、屏幕分辨率信息(例如1024×768、1440×900等)；所述硬件要素包括中央處理器(centralprocessingunit，簡稱cpu)等級信息、硬盤編號信息(例如n34568888)；所述網(wǎng)絡要素包括網(wǎng)絡類型信息(例如光纖)、mac地址(mediaaccesscontrol地址)信息、ip地址信息(例如210.213.45.6)等。

此外，所述客戶端可信識別裝置12，具體用于：

根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼。

將客戶端可信識別裝置12綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串。

此外，在所述指紋特征庫設備15中記錄有客戶身份標識對應的各客戶歷史設備指紋信息，所述客戶身份標識對應的各客戶歷史設備指紋信息包括指紋要素信息中各要素指紋特征項的實際取值以及各要素指紋特征項對應的可信概率值。

所述指紋特征庫設備15，具體用于：

查詢所述客戶身份標識對應的各客戶歷史設備指紋信息。

將指紋要素信息中的各指紋要素的取值與各客戶歷史設備相應各要素指紋特征項的實際取值進行匹配；若指紋要素信息中的一指紋要素的取值與其相應要素指紋特征項的實際取值不相同，則選取相應要素指紋特征項對應的可信概率值。

根據(jù)公式：p＝p1·p2·...·pk確定所述認證信息與各客戶歷史設備的匹配度；其中，p為所述認證信息與各客戶歷史設備的匹配度；pk表示同一客戶歷史設備中選取的各相應要素指紋特征項對應的可信概率值。

另外，所述認證服務器設備14，具體用于：

判斷所述匹配度中的最大值是否大于預先設置的匹配度閾值；在所述匹配度中的最大值大于所述匹配度閾值時，確定客戶端設備11的認證狀態(tài)為認證成功，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及可信標識；在所述匹配度中的最大值小于等于所述匹配度閾值時，確定客戶端設備11的認證狀態(tài)為待認證狀態(tài)。

進一步的，所述認證服務器設備14，具體還用于：

在確定客戶端設備11的認證狀態(tài)為待認證狀態(tài)時，向客戶端可信識別裝置12發(fā)送所述客戶身份標識以及待認證標識。

所述客戶端可信識別裝置12，具體還用于在接收到所述待認證標識后，接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備14。

此處，在客戶端可信識別裝置12中可以設置相應用于采集客戶認證信息的硬件，例如觸摸式顯示屏、微型鍵盤，或者能夠采集生物特征信息的集成電路模塊，如指紋識別器等。

所述認證服務器設備14，具體還用于向客戶認證信息庫設備16發(fā)送新設備可信認證請求信息；所述新設備可信認證請求信息包括所述客戶身份標識以及所述客戶認證信息。

所述客戶認證信息庫設備16，具體用于根據(jù)所述客戶身份標識在客戶認證信息庫設備16本地查詢所述客戶身份標識對應的認證信息內(nèi)容，將所述客戶認證信息與所述認證信息內(nèi)容進行匹配，生成匹配結(jié)果，并將所述匹配結(jié)果發(fā)送給所述認證服務器設備14；所述匹配結(jié)果包括匹配成功結(jié)果和匹配失敗結(jié)果。

所述認證服務器設備14，具體還用于在所述匹配結(jié)果為匹配成功結(jié)果時，確定新設備可信認證成功，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及可信標識，并通過指紋特征庫設備15存儲所述客戶身份標識對應的認證信息，以更新客戶身份標識對應的各客戶歷史設備指紋信息；在所述匹配結(jié)果為匹配失敗結(jié)果時，確定新設備可信認證失敗，向所述客戶端可信識別裝置12發(fā)送所述客戶身份標識以及不可信標識。

具體的，所述客戶認證信息包括介質(zhì)號或生物特征信息；所述介質(zhì)號包括客戶認證密碼；所述生物特征信息包括客戶手指指紋信息、客戶手掌掌紋信息、客戶人臉識別信息、客戶聲音識別信息或者客戶眼球識別信息。

本發(fā)明實施例提供的一種客戶端設備的安全認證系統(tǒng)，通過采集多元化的客戶端設備的指紋要素信息，與指紋特征庫中的客戶歷史設備指紋信息匹配，對客戶端設備的可信性進行認證；在客戶端設備首次認證未通過時，還可以進一步進行新設備可信認證，保證了客戶端設備的可靠性，在降低了交易風險的同時，也提升客戶的操作體驗，可以提高安全防控效果，保護客戶的資金財產(chǎn)安全，避免了現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

對應于上述圖1所示的客戶端設備的安全認證系統(tǒng)，如圖2所示，本發(fā)明實施例提供一種客戶端設備的安全認證方法，應用于上述的客戶端設備的安全認證系統(tǒng)，所述方法包括：

步驟201、客戶端可信識別裝置監(jiān)測客戶端設備，并在監(jiān)測到客戶端設備向交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息，將所述認證信息發(fā)送到認證服務器設備。

步驟202、所述認證服務器設備解析所述認證信息，并向指紋特征庫設備發(fā)送匹配請求。

步驟203、所述指紋特征庫設備查詢所述客戶身份標識對應的各客戶歷史設備指紋信息，并根據(jù)所述客戶歷史設備指紋信息與指紋要素信息中的各指紋要素進行匹配，確定所述認證信息與各客戶歷史設備的匹配度，并將各匹配度中的最大值發(fā)送給所述認證服務器設備。

步驟204、所述認證服務器設備根據(jù)所述匹配度中的最大值確定客戶端設備的認證狀態(tài)；在所述認證狀態(tài)為認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在所述認證狀態(tài)為待認證狀態(tài)時，根據(jù)客戶認證信息庫設備進行新設備可信認證；在新設備可信認證成功時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識；在新設備可信認證失敗時，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識。

步驟205、所述客戶端可信識別裝置通過所述客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

本發(fā)明實施例提供的一種客戶端設備的安全認證方法，通過采集多元化的客戶端設備的指紋要素信息，與指紋特征庫中的客戶歷史設備指紋信息匹配，對客戶端設備的可信性進行認證；在客戶端設備首次認證未通過時，還可以進一步進行新設備可信認證，保證了客戶端設備的可靠性，在降低了交易風險的同時，也提升客戶的操作體驗，可以提高安全防控效果，保護客戶的資金財產(chǎn)安全，避免了現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

為了使本領域的技術人員更好的了解本發(fā)明，下面列舉一個更為詳細和具體的實施例，如圖3所示，本發(fā)明實施例提供一種客戶端設備的安全認證方法，包括：

步驟301、客戶端可信識別裝置監(jiān)測客戶端設備。

步驟302、在監(jiān)測到客戶端設備向交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼，將客戶端可信識別裝置綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串，將認證信息字符串形成的認證信息發(fā)送到認證服務器設備。

此處，所述指紋要素信息可以包括軟件要素、硬件要素和網(wǎng)絡要素；所述軟件要素包括操作方法信息、瀏覽器名稱信息、屏幕分辨率信息；所述硬件要素包括cpu等級信息、硬盤編號信息；所述網(wǎng)絡要素包括網(wǎng)絡類型信息、mac地址信息。

此處，例如未能獲取的指紋要素可以留空，形成客戶端設備對應的指紋串碼，如{linux，光纖，...}；再將客戶身份標識，如(0234567)封裝入指紋串碼；最后進行進行加密，構成認證信息字符串，例如{0234567}{linux，光纖，...}。

另外，此處的交易會話可以根據(jù)不同的交易業(yè)務特性而不同，比如網(wǎng)銀、手機銀行以登錄登出作為一次交易會話，而網(wǎng)上銀行支付交易可以以每筆支付作為一次交易會話。

步驟303、所述認證服務器設備解析所述認證信息，并向指紋特征庫設備發(fā)送匹配請求。

步驟304、所述指紋特征庫設備查詢所述客戶身份標識對應的各客戶歷史設備指紋信息。

具體的，在所述指紋特征庫設備中記錄有客戶身份標識對應的各客戶歷史設備指紋信息，所述客戶身份標識對應的各客戶歷史設備指紋信息包括指紋要素信息中各要素指紋特征項的實際取值以及各要素指紋特征項對應的可信概率值。

如下表1所示：

表1：

例如，一個客戶歷史設備的要素指紋特征項為瀏覽器，其實際取值是ie，其他要素指紋特征項與上述設備認證信息中的設備指紋是一樣的，則得到匹配度為0.99。若在前述基礎上，其操作系統(tǒng)為windows7，則匹配度應該為0.99×0.95＝0.9405。

步驟305、將指紋要素信息中的各指紋要素的取值與各客戶歷史設備相應各要素指紋特征項的實際取值進行匹配；若指紋要素信息中的一指紋要素的取值與其相應要素指紋特征項的實際取值不相同，則選取相應要素指紋特征項對應的可信概率值。

此處，例如一個客戶歷史設備有i個要素指紋特征項ni(i＝1，···，i)，每個特征項對應一個可信概率值pi(i＝1，···，i)，所述可信概率值就是這個要素指紋特征項對設備唯一性的影響程度，對設備唯一性的影響程度與可信概率值呈反向趨勢。例如，若要素指紋特征項為ip地址，當ip地址改變了，對設備唯一性的影響程度小，那么它的可信概率值就比較大；確定該要素指紋特征項的數(shù)值，通常是根據(jù)業(yè)務領域的經(jīng)驗來設定數(shù)值，通常要素指紋特征項為ip地址的可信概率值為0.98，但不僅局限于此。

步驟306、根據(jù)公式：p＝p1·p2·...·pk確定所述認證信息與各客戶歷史設備的匹配度。

其中，p為所述認證信息與各客戶歷史設備的匹配度；pk表示同一客戶歷史設備中選取的各相應要素指紋特征項對應的可信概率值。此處，p≤i。

步驟307、將各匹配度中的最大值發(fā)送給所述認證服務器設備。

步驟308、所述認證服務器設備判斷所述匹配度中的最大值是否大于預先設置的匹配度閾值。

預先設置的匹配度閾值可以根據(jù)業(yè)務的實際需求進行設置，通常設置為75％。

在所述匹配度中的最大值大于所述匹配度閾值時，執(zhí)行步驟309。否則，在所述匹配度中的最大值小于等于所述匹配度閾值時，執(zhí)行步驟310。

步驟309、確定客戶端設備的認證狀態(tài)為認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識。在步驟309之后繼續(xù)執(zhí)行步驟316。

步驟310、確定客戶端設備的認證狀態(tài)為待認證狀態(tài)，向客戶端可信識別裝置發(fā)送所述客戶身份標識以及待認證標識。

步驟311、客戶端可信識別裝置在接收到所述待認證標識后，接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備。

步驟312、認證服務器設備向客戶認證信息庫設備發(fā)送新設備可信認證請求信息。

其中，所述新設備可信認證請求信息包括所述客戶身份標識以及所述客戶認證信息。

此處，所述客戶認證信息包括介質(zhì)號或生物特征信息；所述介質(zhì)號包括客戶認證密碼；所述生物特征信息包括客戶手指指紋信息、客戶手掌掌紋信息、客戶人臉識別信息、客戶聲音識別信息或者客戶眼球識別信息。

步驟313、客戶認證信息庫設備根據(jù)所述客戶身份標識在客戶認證信息庫設備本地查詢所述客戶身份標識對應的認證信息內(nèi)容，將所述客戶認證信息與所述認證信息內(nèi)容進行匹配，生成匹配結(jié)果，并將所述匹配結(jié)果發(fā)送給所述認證服務器設備。

其中，所述匹配結(jié)果包括匹配成功結(jié)果和匹配失敗結(jié)果。在步驟313之后執(zhí)行步驟314或者步驟315。

步驟314、認證服務器設備在所述匹配結(jié)果為匹配成功結(jié)果時，確定新設備可信認證成功，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及可信標識，并通過指紋特征庫設備存儲所述客戶身份標識對應的認證信息，以更新客戶身份標識對應的各客戶歷史設備指紋信息。

步驟315、認證服務器設備在所述匹配結(jié)果為匹配失敗結(jié)果時，確定新設備可信認證失敗，向所述客戶端可信識別裝置發(fā)送所述客戶身份標識以及不可信標識。

在步驟314和步驟315之后，繼續(xù)執(zhí)行步驟316。

步驟316、所述客戶端可信識別裝置通過所述客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理。

其中，所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

此處，當交易應用服務器設備得到的認證結(jié)果中存在可信標識，則允許客戶端設備與其進行交易會話。否則，當交易應用服務器設備得到的認證結(jié)果中存在不可信標識，則拒絕交易會話。

本發(fā)明實施例提供的一種客戶端設備的安全認證方法，通過采集多元化的客戶端設備的指紋要素信息，與指紋特征庫中的客戶歷史設備指紋信息匹配，對客戶端設備的可信性進行認證；在客戶端設備首次認證未通過時，還可以進一步進行新設備可信認證，保證了客戶端設備的可靠性，在降低了交易風險的同時，也提升客戶的操作體驗，可以提高安全防控效果，保護客戶的資金財產(chǎn)安全，避免了現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

如圖4所示，本發(fā)明實施例提供一種客戶端可信識別裝置，包括：

客戶端設備監(jiān)測單元41，用于監(jiān)測客戶端設備。

指紋要素信息采集單元42，用于在監(jiān)測到客戶端設備向交易應用服務器設備發(fā)送交易會話請求時，采集所述客戶端設備的指紋要素信息，并根據(jù)客戶端可信識別裝置綁定的客戶身份標識與所述指紋要素信息生成認證信息。

信息安全通訊單元43，用于將所述認證信息發(fā)送到認證服務器設備；接收認證服務器設備發(fā)送的客戶身份標識以及可信標識，或者接收認證服務器設備發(fā)送的客戶身份標識以及不可信標識；通過客戶端設備向交易應用服務器設備發(fā)送客戶端設備認證結(jié)果，以使得所述交易應用服務器設備根據(jù)客戶端設備認證結(jié)果，對所述交易會話請求進行處理；所述客戶端設備認證結(jié)果包括所述客戶身份標識以及不可信標識，或者所述客戶身份標識以及可信標識。

進一步的，如圖4所示，所述的客戶端可信識別裝置，還包括：

信息整合加密單元44，用于根據(jù)預先設置的串碼格式將各指紋要素信息生成為指紋串碼；將客戶端可信識別裝置綁定的客戶身份標識封裝入所述指紋串碼中，并進行加密，生成認證信息字符串。

進一步的，所述信息安全通訊單元43，還用于接收認證服務器設備發(fā)送的客戶身份標識以及待認證標識；接收用戶輸入的客戶認證信息，并將所述客戶身份標識以及所述客戶認證信息發(fā)送給所述認證服務器設備。

本發(fā)明實施例提供的一種客戶端可信識別裝置，通過采集多元化的客戶端設備的指紋要素信息，與指紋特征庫中的客戶歷史設備指紋信息匹配，對客戶端設備的可信性進行認證；在客戶端設備首次認證未通過時，還可以進一步進行新設備可信認證，保證了客戶端設備的可靠性，在降低了交易風險的同時，也提升客戶的操作體驗，可以提高安全防控效果，保護客戶的資金財產(chǎn)安全，避免了現(xiàn)有技術中的可信識別方法中識別要素單一，且可修改，造成識別結(jié)果不準確的問題。

本領域內(nèi)的技術人員應明白，本發(fā)明的實施例可提供為方法、系統(tǒng)、或計算機程序產(chǎn)品。因此，本發(fā)明可采用完全硬件實施例、完全軟件實施例、或結(jié)合軟件和硬件方面的實施例的形式。而且，本發(fā)明可采用在一個或多個其中包含有計算機可用程序代碼的計算機可用存儲介質(zhì)(包括但不限于磁盤存儲器、cd-rom、光學存儲器等)上實施的計算機程序產(chǎn)品的形式。

本發(fā)明是參照根據(jù)本發(fā)明實施例的方法、設備(系統(tǒng))、和計算機程序產(chǎn)品的流程圖和/或方框圖來描述的。應理解可由計算機程序指令實現(xiàn)流程圖和/或方框圖中的每一流程和/或方框、以及流程圖和/或方框圖中的流程和/或方框的結(jié)合?？商峁┻@些計算機程序指令到通用計算機、專用計算機、嵌入式處理機或其他可編程數(shù)據(jù)處理設備的處理器以產(chǎn)生一個機器，使得通過計算機或其他可編程數(shù)據(jù)處理設備的處理器執(zhí)行的指令產(chǎn)生用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的裝置。

這些計算機程序指令也可存儲在能引導計算機或其他可編程數(shù)據(jù)處理設備以特定方式工作的計算機可讀存儲器中，使得存儲在該計算機可讀存儲器中的指令產(chǎn)生包括指令裝置的制造品，該指令裝置實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能。

這些計算機程序指令也可裝載到計算機或其他可編程數(shù)據(jù)處理設備上，使得在計算機或其他可編程設備上執(zhí)行一系列操作步驟以產(chǎn)生計算機實現(xiàn)的處理，從而在計算機或其他可編程設備上執(zhí)行的指令提供用于實現(xiàn)在流程圖一個流程或多個流程和/或方框圖一個方框或多個方框中指定的功能的步驟。

本發(fā)明中應用了具體實施例對本發(fā)明的原理及實施方式進行了闡述，以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核心思想；同時，對于本領域的一般技術人員，依據(jù)本發(fā)明的思想，在具體實施方式及應用范圍上均會有改變之處，綜上所述，本說明書內(nèi)容不應理解為對本發(fā)明的限制。