资源描述
安全认证策略
为增加EOPM平台和B2B平台的安全性,可以考虑对用户登录和一些关键操作进行安全认证.因现在手机应用比较广泛,可以使用手机APP作为认证工具,免去了线下令牌设备的交接。用户只需要下载APP客户端,并绑定手机设备信息,服务器保存用户的设备信息,并为每一用户生成一把密钥。
1. 手机令牌认证
手机令牌认证是采用手机作为动态口令的生成载体,用户只需下载并安装公司自主开发的APP客户端,即可实现认证功能,具体操作步骤如下:
(1) 用户在手机上安装APP,并与注册手机绑定(可绑定手机号码或手机设备编号)
(2) 用户在电脑上打开操作页面,显示出平台生成的随机验证码
(3) 用户在手机APP上输入验证码后会显示出动态口令
(4) 用户在电脑上输入动态口令
(5) 提交到服务器进行验证,服务器的口令生成算法与手机APP的口令生成算法要保持一致,建议输入因子包含:随机验证码、用户手机标识(手机号码或手机设备编号)、时间戳、密钥(每用户一把密钥)
(6) 服务器认证后,将结果返回给用户电脑显示结果,进行后续操作
(7) 当手机APP的令牌与服务器的令牌失步时,可以进行校准,该操作需要APP连网到服务器,而生成动态口令的操作可以离线操作
2. 扫码认证
扫码认证是借助手机扫描二维码的功能,对用户操作进行验证,用户只需下载并安装公司自主开发的APP客户端,即可实现认证功能,具体操作步骤如下:
(1) 用户在手机上安装APP,并与注册手机绑定(可绑定手机号码或手机设备编号)
(2) 用户在电脑上打开操作页面,显示出平台生成的二维码
(3) 用户通过手机APP扫描二维码
(4) APP自动向服务器提交认证请求,并携带自身的设备信息和扫码内容,设备信息使用用户密钥进行加密(每用户一把密钥)
(5) 服务器比对用户的认证信息和服务器上的信息是否一致,并返回验证结果到用户电脑
(6) 用户电脑显示结果,进行后续操作
展开阅读全文