安全认证策略为增加 EOPM 平台和 B2B 平台的安全性,可以考虑对用户登录和一些关键操作进行安全认证.因现在手机应用比较广泛,可以使用手机 APP 作为认证工具,免去了线下令牌设备的交接。用户只需要下载 APP 客户端,并绑定手机设备信息,服务器保存用户的设备信息,并为每一用户生成一把密钥。1.手机令牌认证手机令牌认证是采纳手机作为动态口令的生成载体,用户只需下载并安装公司自主开发的 APP 客户端,即可实现认证功能,具体操作步骤如下:(1)用户在手机上安装 APP,并与注册手机绑定(可绑定手机号码或手机设备编号)(2)用户在电脑上打开操作页面,显示出平台生成的随机验证码(3)用户在手机 APP 上输入验证码后会显示出动态口令(4)用户在电脑上输入动态口令(5)提交到服务器进行验证,服务器的口令生成算法与手机 APP 的口令生成算法要保持一致,建议输入因子包含:随机验证码、用户手机标识(手机号码或手机设备编号)、时间戳、密钥(每用户一把密钥)(6)服务器认证后,将结果返回给用户电脑显示结果,进行后续操作(7)当手机 APP 的令牌与服务器的令牌失步时,可以进行校准,该操作需要 APP 连网到服务器,而生成动态口令的操作可以离线操作2.扫码认证扫码认证是借助手机扫描二维码的功能,对用户操作进行验证,用户只需下载并安装公司自主开发的 APP 客户端,即可实现认证功能,具体操作步骤如下:(1)用户在手机上安装 APP,并与注册手机绑定(可绑定手机号码或手机设备编号)(2)用户在电脑上打开操作页面,显示出平台生成的二维码(3)用户通过手机 APP 扫描二维码(4)APP 自动向服务器提交认证请求,并携带自身的设备信息和扫码内容,设备信息使用用户密钥进行加密(每用户一把密钥)(5)服务器比对用户的认证信息和服务器上的信息是否一致,并返回验证结果到用户电脑(6)用户电脑显示结果,进行后续操作
