安全认证策略.doc

安全认证策略 为增加EOPM平台和B2B平台的安全性，可以考虑对用户登录和一些关键操作进行安全认证.因现在手机应用比较广泛，可以使用手机APP作为认证工具,免去了线下令牌设备的交接。用户只需要下载APP客户端,并绑定手机设备信息，服务器保存用户的设备信息，并为每一用户生成一把密钥。 1． 手机令牌认证 手机令牌认证是采用手机作为动态口令的生成载体,用户只需下载并安装公司自主开发的APP客户端，即可实现认证功能,具体操作步骤如下： （1） 用户在手机上安装APP，并与注册手机绑定(可绑定手机号码或手机设备编号) （2） 用户在电脑上打开操作页面，显示出平台生成的随机验证码 （3） 用户在手机APP上输入验证码后会显示出动态口令 （4） 用户在电脑上输入动态口令 （5） 提交到服务器进行验证，服务器的口令生成算法与手机APP的口令生成算法要保持一致，建议输入因子包含:随机验证码、用户手机标识（手机号码或手机设备编号）、时间戳、密钥（每用户一把密钥） （6） 服务器认证后，将结果返回给用户电脑显示结果,进行后续操作 （7） 当手机APP的令牌与服务器的令牌失步时,可以进行校准,该操作需要APP连网到服务器，而生成动态口令的操作可以离线操作 2． 扫码认证 扫码认证是借助手机扫描二维码的功能，对用户操作进行验证，用户只需下载并安装公司自主开发的APP客户端，即可实现认证功能，具体操作步骤如下: （1） 用户在手机上安装APP，并与注册手机绑定（可绑定手机号码或手机设备编号） （2） 用户在电脑上打开操作页面，显示出平台生成的二维码 （3） 用户通过手机APP扫描二维码 （4） APP自动向服务器提交认证请求，并携带自身的设备信息和扫码内容，设备信息使用用户密钥进行加密（每用户一把密钥) （5） 服务器比对用户的认证信息和服务器上的信息是否一致,并返回验证结果到用户电脑 （6） 用户电脑显示结果,进行后续操作