电商
APP开发关于生物识别的安全意义与方法。
APP开发公司提醒生物识别技术是运用Who You Are方法,通过可测量的身体或行为等生物特征进行身份认证的一种技术。生物特征是指唯一可测量或可自动识别、验证的生理特征或行为方式。使用传感器或者扫描仪来读取生物的特征信息,将读取的信息和用户在数据库中的特征信息比对,如果一致则通过认证。APP开发公司资深安全工程师提醒生物特征分为身体特征和行为特征两类。身体特征包括声纹、指纹、掌型、视网膜、虹膜、人体气味、脸型、手的血管和DNA等;行为特征包括签名、语音、行走步态等。目前,部分学者将视网膜识别、虹膜识别和指纹识别等归为高级生物识别技术,将掌型识别、脸型识别、语音识别和签名识别等归为次级生物识别技术,将血管纹理识别、人体气味识别、DNA识别等归为深奥的生物识别技术。
目前,我们接触最多的是指纹识别技术。我们日常使用的部分手机和笔记本电脑已具有指纹识别功能,在使用这些设备前,无需输入密码,只要将手指在扫描器上轻轻一按就能进入设备的操作界面,非常方便,而且别人很难复制。2015年3月15日晚,全球瞩目的汉诺威消费电子、信息及通信博览会
(CeBIT)在德国开幕。马云在开幕式上向德国总理默克尔与中国副总理马凯演示了蚂蚁金服的Smile to Pay扫脸技术,为嘉宾从淘宝网上购买了1948年汉诺威纪念邮票。这也使人脸认证技术为众人所知。生物特征识别的安全隐患在于,一旦生物特征信息在数据库存储或网络传输中被盗取,攻击者就可以执行某种身份欺骗攻击,并且攻击对象会涉及所有使用生物特征信息的设备。
电商APP开发信息安全关于组合认证
APP开发公司安全工程师认为单独来看,基于信息秘密的身份认证、基于信任物体的身份认证和基于生物特征的身份认证都有被破解的风险。为了进一步加强认证的安全性,双因素身份认证被越来越广泛地应用。双因素身份认证可以看作是把3种中两种要素结合起来的身份认证方法。由于需要用户身份的双重认证,双因素认证技术可抵御非法访问者,提高认证的可靠性。简而言之,该技术降低了电子商务的两大风险:来自外部非法访问者的身份欺诈和来自内部更隐蔽的网络侵犯。
目前使用最为广泛的双因素有:
①动态口令牌+静态密码;
②USB Key+静态密码;
③二层静态密码;
④手势+静态密码等。
电商APP开发信息安全关于基于挑战/应答的认证机制
基于挑战/应答(Challenge/Response)的认证机制是指每次认证时服务器向客户端发送一个不同的挑战字符串,客户端接收后,进行相应的应答。RADIUS认证机制便是基于这种方式,总体思路为服务器与客户端之间利用UDP进行交互。服务器对客户端的认证采用挑战/应答的方法,有效避免了在网络上传输口令信息被不法分子窃听的风险。该认证进行的时间不固定,每一次认证过程的报文都不相同,进而防止黑客实施“重放”攻击,极大地提高了安全性。具体认证实现时,用户仅须安装客户端程序,并申请成为合法用户,之后利用自己的账号信息对服务器发起认证请求即可,使用较为方便。挑战/应答认证过程
如图3-11所示。
①客户端向服务器发起认证请求,请求参数包括客户端用户名U,客户端的IP地址;
②认证服务器在数据库中查询该用户的身份是否合法,如果不合法,则拒绝客户端请求,否则进行下一步操作;
③认证服务器选取随机数R,发送给客户端,作为挑战;
4客户端将自己的用户名与随机数相连接,总体作为散列函数的输入,经散列变换得到H(U+R),连同用户名U,一同发送给服务器,作为应答串;
⑤认证服务器收到后,将自己的计算结果H’(U+R)与应答串H(U+R)作比较,如果二者相同,则认证成功通过,否则认证失败;
⑥认证服务器向客户端发送认证结果,告知成功或者失败。
后续认证由客户端不定期发起,省略认证请求内容,即第一步。两次认证的时间间隔一般为1~2min。如果间隔过短,会给网络、客户端、服务器造成过大的开销;如果间隔过长,安全性将受到影响,用户的用户名和IP地址有被盗用的风险。好了,
深圳APP开发公司本文关于“电商APP开发关于生物识别的安全意义与方法”知识我们就分享到这里,谢谢关注,博纳网络编辑整理。
