近日,时代亿宝接到一类新的需求,即将硬件令牌纳入软件令牌体系中,手机密令兼容硬件令牌且和硬件令牌显示的6位数字一样。用户在公司或在家里都可以随时随地进行账号安全的二次验证保护。
该客户已在几年前采购了硬件令牌,且硬件令牌已经在业务中成功使用了两三年,有一定的用户使用习惯。但因业务发展需要,现在要求工作人员下班回家后遇到业务受理需求也能继续处理业务,因此需要将内外接入公网,身份需要验证。现有硬件解决方案,但不太方便,需要在此基础上增加手机软件APP解决方案。需要智能校验功能,提供人性化服务。
对于软件令牌方案,该客户曾选用过为其提供硬件令牌服务的厂商提供的软件客户端方案,但最终因人性化不够或界面不美观等原因放弃,决定选用手机密令。因为手机密令已经在淘宝、支付宝、人人网、联通网上营业厅有了大量用户,在品牌、技术、服务等方面有更好保障。
该公司已经有大量硬件密令和相关种子码,并希望硬件和手机软件中的种子码一样,采取想定向激活方式,该公司会提供序列号或者类似激活码给用户,用户安装客户端输入序列号,从时代亿宝库中提取加密种子码进行计算。
该公司建议先做手机客户端动态口令基础认证,再做在线一键验证。
客户要求硬件和软件共用算法和种子,为此时代亿宝建议该公司提供算法库和种子的生成规则,时代亿宝集成到自己的认证后台中;当然也可以将认证放到该公司的后台;认证后台的功能时代亿宝可以根据该公司的具体要求进行定制开。
需求细分:
1. 客户已有40位种子码 OTP国际标准动态口令1970年算起的硬件动态口令
2. 要求手机密令和硬件动态口令显示一样数字
3. 客户会提供相应种子码和序列号在其公司服务器接口上
大致请求发送:序列号+密码+手机类型+手机序列号
验证成功返回种子码失败返回失败记录(序列号及密码不正确,或者已经绑定过手机,需要登录系统删除原手机)
4. 用户在手机上输入序列号及密码后,时代亿宝利用接口发送客户公司服务器上,验证后得到种子码,利用此种子码进行显示动态密令,如果失败就推送失败原因
解决方案:
1、时代亿宝希望该公司提供算法和种子生成规则。介于硬件令牌用户绑定关系已经确定,建议种子码放在客户服务器端,用户发起请求给手机密令,再由手机密令发送请求至客户后台进行验证。
2、具体沟通中客户提出,因为开发人员上半年的时间都排满了,所以现在没时间做开发,希望合作分为两期,上半年一期工程客户方不做任何开发即可直接先用起来,其公司管理人员可以经由网页端进行管理和引导用户验证。比如,由管理人员进行手工录入相关信息。详尽、细致、美化具有科技感的二次验证,将在下半年进行开发和部署,包括一键校验。目前先满足用起来的需求,尽快用起来基础的动态认证即可,后台管理界面都可以不要,直接进入数据库进行管理。目前硬件令牌的容差是10分钟。
3、经沟通,一期的需求没有软件令牌或硬件令牌的比对,算法一样;用户初始化后,即可正常登陆。一期需求不用建后台认证,只是建一个客户端,在客户后台进行比对。
4、综上,一期合作中时代亿宝只需要客户提供算法,以便掌握实现规则和过程,开发人员进行开发工作,即可实现用户软件令牌与硬件令牌6位密码同步显示的需求。
