产品概述
通付盾多因子身份认证产品(HUE)支持多种身份认证方式方法。
(1)根据你所知道的信息来证明你的身份(知道什么)的方法
目前在HUE中支持手势认证,基于PKI体系,利用国密SM2算法数字签名技术进行认证,且手势密码不在任何地方存储,仅仅记在用户的脑子中。
(2)根据你所拥有的东西来证明你的身份(拥有什么)的方法
目前在HUE中支持重要信息确认,基于移动设备,将关键交易信息回显到与业务账号所绑定的移动设备上供用户判别确认,实现与设备、时间、空间的强关联验证,提供较传统方式更高安全等级的身份认证方式。
通付盾多因子身份认证产品首次使用时需完成HUE身份认证服务开通(绑定设备)过程(建立业务账号与其设备的关联),后续使用则可自动获取HUE身份认证服务,HUE后台服务自动依据匹配的策略提供一种或多种认证方式,实现多因子身份认证机制。
通付盾HUE多因子身份认证产品无需其他硬件(U盾)支持,安全便捷,拥有良好的用户体验。
通付盾HUE多因子身份认证产品同时支持移动端和PC端发起认证服务的应用场景,如银行领域的转账汇款,电子商务领域的支付,物流领域的确认收货,通用的用户登录等等。可广泛应用于网银、第三方支付、O2O、电子商务、物流、云计算等行业。
产品功能
1、核心功能
HUE多因子身份认证产品的核心功能是身份认证,即在银行等业务系统的一次认证(如账号密码验证)基础上,提供基于用户的业务账号、设备及手势密码的二次认证,确保各项关键业务交易的安全性。HUE SDK可集成在手机银行等业务APP中,业务平台的用户只需持其移动设备即可完成身份认证,HUE-4.0.2.4版本支持重要信息确认、手势认证、手势+指纹认证、人脸认证、时空码认证、扫码认证、加密短信认证、电话回拨认证共计8种认证方式。
u 重要信息确认
当用户在进行转账汇款等交易时,HUE会将关键业务信息回显至与当前业务账号绑定的移动设备上,用户使用移动设备来确认业务信息的真实性,只有当用户在该绑定设备上点击确认交易才能继续。
u 手势认证
当用户在进行转账汇款等交易时,经过重要信息确认后还需要经过手势认证,手势即用户在初次绑定账号时设置的一组手势密码,用于鉴别用户身份,确定是否为本人操作。
u 手势+指纹认证
当用户在进行转账汇款等交易时,经过重要信息确认后还需要经过系统录入的指纹认证,方便快捷。当指纹验证失败次数达到阈值,则唤醒手势密码认证,确定是否为本人操作。
u 人脸认证
当用户在进行转账汇款等交易时,经过重要信息确认后还需要经过活体检测后获取的人脸照片进行认证,人脸即用户在初次绑定账号时通过活体检测设置的一张本人人脸照片,用于鉴别用户身份,确定是否为本人操作。
u 时空码认证
时空码认证是一种用户无感知的设备认证方式,主要通过HUE后台的时空码校验完成认证过程,该认证方式适用于需要不在用户界面上有任何感知的前提下进行设备校验的使用场景。时空码认证无感知,故无相应的产品原型与界面。
u 扫码认证
扫码认证是一种通过移动设备扫描web端动态二维码完成的用户设备认证,用户可以通过扫码认证方式完成网站快捷登录,进行扫码绑定,扫码认证等操作。该认证方式适用于同时具有PC端与APP端业务场景的用户。
u 加密短信认证
一种手机号认证方式,通过短信验证码的方式完成用户的手机号认证。由短信网关系统向对应的手机号码发出包含6位验证码的短信,用户将该6位验证码填入验证码校验框完成手机号认证,客户端将验证码发送至HUE服务端前将验证码加密,以提高验证码安全性。
u 电话回拨认证
一种手机号认证方式,通过语音验证码的方式完成用户的手机号认证。由电话回拨系统向对应的手机号码发起语音通话,并在语音通话过程中播放6位验证码,用户将获取到的验证码输入校验框完成手机号认证。
u 电话回拨认证
一种手机号认证方式,通过语音验证码的方式完成用户的手机号认证。由电话回拨系统向对应的手机号码发起语音通话,并在语音通话过程中播放6位验证码,用户将获取到的验证码输入校验框完成手机号认证。
2、外延功能
上述二次认证功能实现的前提是,业务平台的用户完成其业务账号与所持设备的关系绑定,并设置与该账号和设备对应的手势密码,在建立起上述业务账号、设备与手势密码的唯一对应关系后,用户在该业务平台上进行各项关键交易时才能获取到HUE提供的二次认证服务。围绕设备绑定,手势密码的设置,HUE支持以下外延功能。
u 账号绑定
当用户初次登录集成了HUE服务的业务平台后进行操作时,页面会提示用户进行账号绑定,从而开通HUE服务。首先需进行银行认证,认证通过后需设置手势密码或人脸照片或二者都设置,设置完成即完成了该业务账号与设备的绑定。
u 账号解绑
当用户无需再使用该业务账号时,可自主在移动设备上进行其账号与设备关系的解绑。具体流程为:用户在移动设备上点击账号解绑,通过手势密码或人脸认证后即可完成解绑,若用户不记得手势密码或无法使用原人脸解绑,也可通过HUE配套的业务后台进行解绑。
u 修改手势
当用户想修改其设置的用于二次认证的手势密码时,可自主在移动设备上发起修改手势请求,通过手势认证(旧手势校验)后即可重新设置新手势。
u 找回手势
当用户忘记其设置的用于二次认证的手势密码,想要找回手势密码时,可自主在移动设备上发起找回手势请求,通过银行认证后即可重新设置手势密码。
u 更换设备(重新绑定)
当用户移动设备丢失或需更换新设备时,可通过重新绑定功能将其账号重新绑定到新设备上,具体操作流程为:用户在新设备上登录其业务账号,完成一系列身份认证(银行认证、手势认证、人脸认证)后即可完成重新绑定,若用户设置的是手势认证,可能出现以下情况:
1) 用户记得手势密码时,重新绑定流程可正常完成(通过银行认证、手势认证);
2 ) 用户忘记手势密码时,若其旧设备还在,需先在旧设备上找回手势密码(通过银行认证即可找回手势密码),然后再到新设备上完成重新绑定流程(通过银行认证、手势认证);
3 )当用户忘记手势密码时,若其旧设备已丢失,需先联系银行客服将其账号解绑(即让该账号回到未绑定状态),然后用户按照初次绑定的流程完成绑定(银行认证、设置手势密码);
以上的二次认证(重要信息确认、手势认证、人脸认证),绑定与解绑,修改手势,找回手势,重新绑定等功能,皆可完全依靠移动设备实现;此外,对于移动设备而言,无需外接设备、无需内置证书,用户使用时也只需在移动设备上按键确认、绘制手势即可完成身份认证,用户体验好。
u 企业管理平台
HUE产品在支持终端用户方便快捷地进行身份认证的同时,还为业务系统管理者提供一个配套的企业管理平台,业务系统管理者可在该平台上快速查询终端用户的操作日志、认证记录、认证过程、认证设备、账号及最终认证结果等详情,同时支持一键导出认证举证报告。
3、动态可配功能
HUE4.0.2.4实现了各功能流程的动态配置,能快捷满足多样化客户需求。
如前所述对HUE核心功能及外延功能介绍,目前,HUE产品在设计上共涉及到认证(APP端)、扫码认证(Web端)、绑定(APP端)、扫码绑定(Web端)、解绑、更换设备、修改手势、找回手势8大功能链;此外,HUE产品中目前支持时空码认证、重要信息确认、设置手势、设置人脸、手势密码认证、手势+指纹认证、人脸认证、扫一扫、加密短信认证、电话回拨认证及下载私钥(下载私钥这一可配项是为防止客户端私钥丢失的情况,配置了该项之后系统在进行手势认证前会先检查客户端是否存在私钥,若不存在就从服务器下载)11种可配操作项。
根据不同客户需求,可启用“认证(APP端)、扫码认证(Web端)、绑定(APP端)、扫码绑定(Web端)、解绑、更换设备、修改手势、找回手势”8条功能链中的一条或几条功能链,同时,每条功能链上可配置不同的操作项/认证方式。
可配项 功能链 | 设置手势 | 设 置 人脸 | 时空码认证 | 重要信息确认 | 扫一扫(web) | 手势认证 | 指纹 认证 | 人脸 认证 | 加密短信 | 电话回拨 | 下载私钥 |
认证(APP) | √ | √ | |||||||||
扫码认证 | √ | √ | |||||||||
绑定(APP) | √ | ||||||||||
扫码绑定 | √ | √ | |||||||||
解绑 | √ | ||||||||||
更换设备 | √ | ||||||||||
修改手势 | √ | ||||||||||
找回手势 |
例如,某客户需要启用认证(APP端)、扫码认证(Web端)、绑定(APP端)、扫码绑定(Web端)、解绑、更换设备、修改手势7大功能链,如下图表,认证(APP端)功能链中需进行重要信息确认和手势认证,扫码认证(web端)功能链中需进行扫码认证和手势认证……以此类推,每条功能链都可以配置不同的操作项。
典型应用场景
以电商APP支付场景,用户在输入完支付密码后,获取HUE身份认证服务,主要采用了重要信息确认、手势密码认证两种身份认证方式,通过这两种认证后方可交易成功。
产品优势
客户可根据不用的应用、不同的业务场景、不同的安全度需求配置不同安全强度的身份认证策略,以平衡业务安全度与用户便捷性,在满足业务安全的基础上,提高用户便捷性,提升用户体验感。
1、 更安全
专利技术:通付盾自主研发的时空码、设备指纹技术,拥有多项国内/国际专利;
国密算法:使用国密SM2、SM3、SM4算法和真随机数;
安全通讯:网络访问鉴权,完整性校验,所有数据加密传输;
安全信道:基于设备指纹技术构建HUE身份认证产品和后台服务间的带外(OOB)安全信道;
PKI技术:基于PKI(公钥基础设施)体系,支持私钥签名验证、数据完整性验证;
模拟硬件:移动应用软件(APP/SDK)模拟硬件U盾功能,安全比肩U盾;
权威认证:目前已通过国家信息安全测评中心的安全检测,获得EAL3级认证;通过国家密码局商用密码检测中心检测,符合GM/T0028-2014《密码模块安全技术要求》。
2、更便捷
操作便捷:通过移动设备实现身份认证,无需额外硬件;
统一认证:支持移动端和PC端的业务场景;
更好体验:多种认证方式组合,安全体验佳;
3、 更灵活
策略灵活:HUE身份认证产品可依据不同的业务场景、不同的安全等级要求配置对应的认证策略;
设置灵活:HUE身份认证产品支持安全选项自定义配置,适应不同客户需求;
与传统认证方式比较
认证方式 | 短信验证码 (SMS OTP) | 令牌 (OTP) | U盾 (PKI USBKey) | HUE |
基本原理 | 采用单次密码通过短信渠道发送至手机 | 基于内置密钥和时间生成单次有效的密码 | 通过液晶屏显示交易关键要素供用户核对确认 | 采用软件模拟硬件,结合PKI体系,提供多种认证方式的身份认证产品 |
业务信息 | 包含 包含时间、金额信息 | 不包含 无需联网、不包含业务信息 | 包含 显示业务信息让用户确认 | 包含 推送业务信息让用户确认 |
安全级别 | 低 非常容易劫持 | 较低 容易钓鱼 | 高 防劫持、防篡改 | 高 PKI签名验证、多因子组合式身份认证 |
用户体验 | 较好 偶尔延迟、接受不到 | 较差 额外硬件 | 差 额外硬件、操作复杂 | 好 安全、便捷 |
使用成本 | 较高 每次4-5分钱 | 高 每2-3年认证费几十元 | 高 每2-3年认证费几十元 | 低 |
产品相关专利与资质
通付盾HUE多因子身份认证产品通过了国家相关权威机构的认证,拥有较全面的安全认证资质,同时拥有多项发明专利技术
获得了公安部计算机信息系统安全专用产品销售许可证
通过了中国信息安全测评中心EAL3级资质认证(目前国内最高权威机构及目前最高等级);
通过了国家密码管理局检测及资质评审测评,符合国密标准;
通付盾企业为商用密码定点生单位
通过了银行卡检测中心应用软件安全测试
此外,通付盾企业还拥有相关领域的多项国际国内发明专利,7项国内专利,获得2项国际专利:
1 review for Cisco