同盾反欺诈研究院丁杨:当谈论设备指纹时 我们到底在说什么

本篇文章5807字，读完约15分钟

当谈到设备指纹时，我们指的是什么？(丁洋，丁洋同盾反欺诈研究所作者)

当“设备”和“指纹”作为独立名词存在时，它们具有非常典型的硬件属性；一旦它们被组合成“设备指纹”，它就变成了一个软件概念。近年来，随着智能风力控制技术的日益强大，许多风力控制系统逐渐尝试加入这一重要的功能模块。

2014年，当我第一次加入通盾科技时，我负责设备指纹1.0版的研发。随着产品的反复升级和与客户的多次沟通，我逐渐积累了一些想法。今天，让我们抛开具体的技术细节，从更高的角度来讨论设备指纹的发展。

设备指纹诞生于未知的网络

在互联网发展的早期阶段，人们发现商业的前沿可以大大扩展，我们可以在一秒钟内与一个从未谋面的人完成一笔真正的交易。然而，更多的机会也带来更多的风险。许多人们认为理所当然的正式线下业务场景，一旦转换成在线，就会产生意想不到的风险。例如，在过去，卖方可以通过“观察文字和观察颜色”、“用一只手支付货款”、“摄像头监控”等手段准确判断买方是否是欺诈者。这意味着卖方对“谁”做了“什么”以及“何时”和“用什么方法”的永恒商业链有一个清晰的理解。但是现在在互联网上，所有的识别链接都被破坏了，实际的行为被分解成不同的个人请求，这些请求分布在许多复杂的业务模块中，所以离线积累的经验不能直接应用到布线中。因此，人们发明了各种方法试图再次完成这一业务链，“设备指纹”是判断业务主体是谁的一项重要技术。

设备指纹的“前世”

早期，在一些安全性要求很高的网上场景中，如一些银行的网上银行，纯硬件技术如u盾经常被用来跟踪业务主体，即定位上面提到的“谁”。同时，由于业务经常发生在浏览器页面，而浏览器属于操作系统的上层应用，运行在其中的脚本代码受到沙箱的限制，用户还需要安装一个控件，该控件可以跳出浏览器沙箱，直接与操作系统接口，读取u盾中的安全数据。

它相对安全。然而，随着互联网的发展，“控制”和“屏蔽”的结合已经越来越过时。作者总结了以下原因:

1.用户使用控件的体验非常差，需要漫长的安装和更新过程，普通用户很难操作；

2.移动互联网已经成为绝对的主流，而ios和android等移动互联网门户不支持控制；

3.不仅在移动端，而且在个人电脑端，一些控件的应用范围很小，许多只支持个人电脑上的ie内核浏览器。与此同时，占很大份额的桌面浏览器，如chrome和firefox，正在逐步淘汰控件的使用；

4.基于控制的本地溢出漏洞层出不穷，使得用户很容易被木马捕获或被钓鱼，反之，对系统的安全性造成严重危害。

基于以上几点，越来越多的厂商开始使用单纯依靠js的网络设备指纹技术。它具有“不安装”、“动态更新”、“无用户意识”和“兼容所有移动和桌面操作系统浏览器”的优点。此外，由于js自然受到浏览器沙盒的限制，因此各种应用中嵌入的sdk设备的指纹技术也广泛应用于一些安全性要求较高的场景中。

什么是“好的”设备指纹

很多人不知道设备的指纹，所以很容易从一开始就被一些毫无意义的机制和参数所纠缠。让我们讨论什么是“好的”设备指纹。

1.不要侵犯用户隐私

这是所有指纹产品的设备都应该严格遵守的红线。不用说，基于用户敏感信息(如用户浏览历史、用户输入的敏感数据等)开发的设备指纹产品。)，即使它们是强大的，也是毫无意义的。

2.安全性和用户体验之间的平衡

好的设备指纹需要在安全性和用户体验之间找到最佳平衡；事实上，这一概念可以引申到更广泛的层面，即“安全保护应该在安全和业务发展之间找到最佳平衡”。

对于安全从业者来说，这是我们应该记住的第一条规则——安全永远为企业服务。上述“硬”设备指纹(U盾)的消除和“软”设备指纹(js，sdk)的开发就是这一概念的有力证明。虽然“软”设备指纹的功能和安全性在某些情况下有些差，但它极大地改善了用户体验。结合综合风险识别的其他维度，实践证明“软”设备指纹机制是有效的，风险是可控的。

3.确保稳定性、兼容性和性能

实验室创新不同于工厂技术，实验室中诞生的创新技术在实际工业生产之前还有很长的路要走。这在设备指纹领域也很明显。我们经常可以看到，许多“异想天开”的技术被炒作为用于设备指纹，但考虑到兼容性和稳定性，事实上，他们中的大多数不能在在线环境中使用。这些通常只有真正开发设备指纹的技术人员才有经验。

稳定性、兼容性、性能等。所有这些都需要考虑。在复杂的客户端环境和各种使用场景下，一个好的指纹产品必须是一个经过考验的“战士”。以同墩sdk为例，我们进行了大量的在线和离线测试(多台局部门机或村舍机的兼容性测试、运行功耗统计、上亿装机容量的在线运行、高性能服务器集群压力测试、极端情况下的完全降级处理方案等)。)以确保最终交付产品的质量。

4.迎合技术发展

网络技术和移动技术都在迅速发展，一些旧技术也在不断被淘汰。设备指纹是一种集成了多种技术的产品，因此必须不断重复才能适应新技术发展的趋势。例如，几年前，当html5技术刚刚出现时，我们研究了websocket、canvas、cors、本地存储等。发现了许多有价值的可用技术。另一方面，千疮百孔的flash即将被淘汰，大多数桌面浏览器都没有默认打开，我们在最新版本中给了它一个“死缓”。

不仅功能迭代需要利用新技术，而且设备指纹的应用场景和使用模式也应尽可能与技术发展保持一致。例如，许多制造商现在采用“混合应用开发”的框架，因此我们有针对性地开发了适应功能，将应用中的h5与本地sdk相结合，以实现全面的设备识别。

5.适合业务场景

很多人都知道设备指纹有两个著名的评价标准:“稳定性”和“唯一性”。稳定性用于评估历史上出现的设备仍被识别的能力。这就像一个罪犯，无论如何变装，仍然可以被警察发现。唯一性评估从另一个角度将一个设备识别为另一个设备的错误概率。例如，警察知道一个罪犯的特征是“175厘米”和“短发”，但他们不能逮捕所有具有这两个特征的人作为罪犯，因为这两个特征不能只定位一个人。换句话说，这两个特征的熵太小了。然而，如果我们加上另一个特征——“在左脸和眼睛下面有一个3厘米的横向疤痕”，这是非常明显的。通过这三个特点，警方有很大的信心追查到罪犯。这个“疤痕”特征是一个很好的参数，可以用来判断设备指纹的唯一性。

在实际使用过程中，“稳定性”和“独特性”不能同时实现。此外，性价比也是一个关键因素(将会有一些方法来确保一个特性同时加强另一个特性，但是制造商也应该考虑他们是否能够承担开发和技术成本)。

然后我们需要再次找到平衡点。我们如何找到这一点？答案是适应业务场景。说白了，这就是制造商想要如何使用设备的指纹。让我们举两个典型的例子:

案例1:广告营销

广告营销场景往往需要结合不同人的兴趣爱好来推动不同的广告达到准确传递的目的。在许多情况下，需要定位用户的设备，然后根据兴趣绘制设备的图像。事实上，我们可以放弃部分“唯一性”来迎合这个场景中设备指纹的“稳定性”。因为此时，企业更多考虑的是人群的整体覆盖，而不是担心是否每个人和每个设备都定位准确。因此，有时我们发现在手机应用中浏览一个产品是推荐在电脑上过一段时间，这不是黑色技术。广告制造商可能只使用您的外部ip作为设备的指纹。

为了更好地解释这一点，我经常举这样一个例子:营销场景中设备的指纹就像标记1000个人的兴趣。其中一个是错的，没有大问题。他最多推荐一个他不喜欢的广告；反欺诈是不同的。如果1，000中有一个错误的标记，那么这个人很有可能是一个欺诈者或者错误地杀死了一个高质量的客户，这将会产生很大的影响。换句话说，很难用营销设备的指纹来保证反欺诈的效果。

刚才提到了外部网络的ip，我们可以简单地扩展一下思路。随着ipv6的发展，出现了大量的ip地址。事实上，当一个人出生时，他可以被赋予一个固定的ip来上网，这样所有的网络行为都可以被精确地跟踪。但这不一定是件好事。

案例2:可信设备系统

在反欺诈领域有两种不同的世界观:一种是从一堆未知的请求中找出可能的欺诈；一是允许已知的高质量用户进行操作，其他未知用户需要通过短信验证或更严格的二次身份确认。两种方法中的一种增强了对坏人的覆盖，另一种增强了已知好人的用户体验。先进的反欺诈系统通常混合使用这两种机制。所谓的可信设备架构是第二种架构，它基于已知的可信操作来沉淀可信设备架构。

在这种情况下使用的设备指纹应该更加注重唯一性还是稳定性？

答案仍然是“稳定”，但它应该比案例1中的营销场景更加独特。可以理解，黑色产品很容易将自己伪装成一个全新的设备，但重新安装系统却是一件大事。但是很难假装是一个已知的可信设备。随着维度的增加，难度会成倍增加。例如，如果我们是通过跨越“ip家庭城市”、“系统语言”和“wifi名称”这三个维度获得的可信设备，则特定的可信帐户很难模拟相同的环境。

有些人可能会问:为什么不完全支持“独特性”，这似乎更安全？这是因为普通用户也有一些潜在的环境变化。例如，如果一个人在家上网，他可能使用移动电话、台式计算机或膝上型计算机，并且经常在多个设备之间切换。如果他完全偏向于“唯一性”，参数的每一个微小变化都需要用户重新验证整个过程，用户体验将会非常差；对于制造商来说，二次验证通常需要支付一些费用，比如发送短信。当用户数量较大时，这些成本会大幅增加。

以上只是两个典型的业务场景。最终如何设置设备指纹平衡点完全取决于业务需求。从商业产品的角度来看，如何更好地解决这个问题？

我们给出了一个答案——灵活且可配置。通盾科技同时提供多种身份证，每种身份证都有不同的稳定性和唯一性偏好，客户可以根据自己的业务场景灵活选择。

上面所说的只是业务场景的一个方面:“稳定性”和“独特性”。事实上，作为一个“业务”风险控制产品，每个方面都应该努力做到这一点。

6.设备异常环境识别

许多人误解了设备的指纹只能用作设备的唯一标识，即跟踪“设备id”。但事实上，设备指纹可以做得更多。甚至可以说，设备id的功能只占其所有功能的30%左右。我们上面引用的两个案例:可信设备和广告营销，可以说这不是一个典型的反欺诈业务。目前，中国最典型的场景是“账户”和“营销”，这也是黑色产品获利最多的场景。在这些情况下，黑色产品通常可以通过伪造新设备或伪造一些系统基本参数(如地理位置、imei号码等)来绕过商业限制。)。通过上层设备的指纹获得的所有参数都是伪造的，因此基于这些伪造数据计算的设备id是没有意义的。就像美丽的空城堡一样，没有坚实的基础可以深入地下。打好基础的关键在于“系统环境异常的识别”。对于常见的黑色产品对机器框架、机器对机器软件和伪装软件，必须有针对性地识别设备指纹。只有当当前系统环境没有异常时，设备id才是可信和可用的。

以同一个屏蔽设备的指纹为例，目前我们几乎可以识别出android和ios的所有潜在修改和伪造行为。此外，通过对常用黑造软件进行有针对性的监控和逆向研究，结合服务器端的数据分析和建模，可以在设备上贴上30多种异常标签，包括“调试行为”、“模拟器虚拟机”等。

对于“软”设备指纹，设备异常环境的识别可能比设备id更重要。

7.强大的自我保护机制

设备指纹是一个从“端”到“云”的综合系统。不仅在客户端有交叉验证和劫持检测，在服务器端也有数据建模和联合预防和控制。任何疏忽都可能被黑色产品打破，因此有必要在客户端加强和保护代码。

这也是为了在与黑色产品对抗的过程中保持信息不对称的优势。在一定程度上，我们通过这种信息不对称，在进攻和防守之间保持着微弱的领先优势。所以对于许多指纹系统来说，“开源”意味着平庸和被忽视。双方都在绞尽脑汁地拼个你死我活，突然他们把钱给别人看，后果可想而知。

当谈到设备指纹时，你应该知道这些尖锐的问题

近年来，笔者在现场接触了很多客户，也回答了很多关于设备指纹的问题，其中有一些问题是专业性的，一针见血。以下是作者简单整理并与你分享的一些问题。

问题1:如何评价设备的“稳定性”和“唯一性”，是否有量化标准？

回答:

这似乎是一个悖论:如果有一个判断设备指纹的好参数，为什么不用它作为设备指纹呢？

但是如果你想一想，你可能不会没有解决办法。我们排除了粗略的大样本环境测试(样本是网上比较的九根牛一毛)，剩下的最好办法就是根据一些商业数据和生活常识做出这个判断。关于保密的原因我就不细说了，但是我们已经形成了一套有效的评估和预警机制。

问题2:如果我刷机器并重新安装系统，你还能找到这个设备吗？如果设备的指纹没用。

回答:

软件级的跟踪硬件肯定有它的局限性，一些小的“技巧”即使被刷过并清除，仍然可以被恢复。然而，如果它真的是一个彻底的潜在变化，甚至是硬件修改，如更换硬盘，这肯定是不够的，仅仅依靠指纹的设备，一个完整的风力控制系统是必要的。设备指纹不是银弹，我们做的不是100%绝对防御。这是提高黑产品犯罪成本的关键。

问题3:你能以这种方式使用你的设备指纹吗，我会得到一些你想要的参数并把它们发送给你，你会给我们返回一个设备id？

回答:

这种方式没有多大意义。

如上所述，设备指纹是一个从“端”到“云”的系统。这种简单地使用“云”而不是“端”的方式很可能导致服务器接收的数据完全被黑色产品伪造。我们常说“数据决定模型的上限”，很多客户更注重服务器端模型，但是不可靠的数据使得模型非常差甚至是负面的。

问题4:你能为我们打开设备的指纹来源吗？我们担心你会做一些不安全的事情？

回答:

如上所述，设备指纹的开源意味着设备指纹的死亡。对于商业产品来说，一个客户的开源意味着所有客户的开源，它也意味着黑色产品的开源。安全产品的核心代码不能是开源的，否则会根据黑产品的说明受到攻击。

安全问题是可以理解的。但从另一个角度来看，互联网的发展实际上是建立在供应链中所有环节的相互信任之上的。我们从不担心浏览器窃取用户隐私，也不担心微信支付宝窃取用户隐私，尽管它们的大部分代码都不是开源的。作为风险控制领域的领导者，我们非常感谢6，000多位客户的信任和支持。

问题5:为什么你想使用三方产品而不是自己开发技术？

回答:

这是非常困难、昂贵和昂贵的，需要仔细考虑。专业的东西仍然留给专业人士。

问题6:为什么同一个盾牌的指纹是最好的指纹？

回答:

试着去了解。