搞定滴滴出行雙因素認證解決方案
工作繁忙,好久沒上博客了。最近剛剛交付了一個項目,很有成就感,趕緊上來給大家彙報一下,補補作業。
先介紹一下背景哈。滴滴出行是我們公司的客戶,滴滴大名鼎鼎,就不用我多介紹了。2015年滴滴和快的合併後,就開始完善內網的信息化建設,到2016年,滴滴的信息化建設基本完成,開始重點關注信息化安全。爲解決線上線下系統弱密碼問題,滴滴希望增加一個雙因素認證平臺,從而增強帳號的安全性。
插播一條科普信息,所謂雙因素認證指的是使用兩種密碼認證機制。普通的IT系統使用的大多是用戶名+密碼,單一的密碼認證機制。如果遇到密碼泄露,就會導致門戶大開,信息丟失。雙因素認證在單一密碼之外增加了額外的驗證機制,例如短信,指紋,隨時間變化的動態碼等。用戶認證時,除了要答對密碼,還要完成二重額外認證,這樣才能完成驗證。顯然,有了雙因素認證,信息泄露的危險性就大大降低了。
目標明確後,我們就要查找合適的解決方案了。順便再介紹一句,之前我主要負責售中售後,現在變成主要負責售前和銷售。主要是因爲老了,幹不動實施了…經過俺們耐心細緻,嚴肅認真的查找,我把Gartner領導象限中的RAS,Safenet等著名產品都PASS了,沒錯,都PASS了。我最終選擇的是國貨精品,上海寧盾!
聽到這裏,不少吃瓜羣衆估計要扔來熱情的板磚。“你還想不想混了?”一般IT系統解決方案選型時,Gartner那是相當的權威,新聞聯播的地位啊。選擇Gartner領導象限中的產品,領導基本不會挑戰你。遇到這種項目機會,我按理應該立馬去抱廠商大腿,申請項目報備,爭取廠商支持纔對,爲啥我反其道而行之呢?
其實也不是我非要標新立異。列位看官有所不知,中國的互聯網企業近年來發展太快。兄弟我這兩年也做了不少互聯網客戶,接觸多了呢,隱隱約約也能摸索出互聯網企業的一些有共性的線索。互聯網企業初創時,基本把90%的精力都放在線上業務,這個大家能理解,線上業務都是生產系統,忽悠投資商搶佔市場吊打友商,線上業務是主力軍。線下業務一般都是將就使用,只要羣衆能正常上網,一般就差不多了。安全問題此時不是重點,先生存下來再說吧。等到企業在殘酷的市場競爭中活下來後,對照一下自己估值上百億的身價,再睜開全球化的視野看看,就開始對線下系統怎麼看怎麼不順眼了。反正也有錢了,短時間內把線下系統趕緊搞定。但是,由於時間短,由於任務重,由於沒經過嚴格規劃,線下系統會有不少技術上的大坑。這種大坑,被美其名曰“歷史原因”。你如果遇到“歷史原因”,往往意味着你有很多概率需要通過定製開發,填平這個大坑。再回到之前的產品選型問題,基於國內互聯網公司的這個背景,爲啥不用RAS,Safenet這些產品也就很簡單了。這些解決方案都已經產品化了,不太可能爲了個別客戶去修改產品。你但凡提出個修改需求,就得反饋到國外的研發中心,然後告訴你在下一個版本中會認真考慮你的修改建議,感謝你的來電,你有三次抽獎機會…你想想,你拿着這款產品到互聯網企業去打單會是什麼下場?
寧盾的優點何在呢?一是產品過硬,不少金融客戶在使用;二是成本低,這是意料中的;三是定製開發靈活方便,這點太重要了。寧盾是一家垂直領域專業公司,主做雙因素產品。老闆就是最早的產品經理,對產品相當熟悉。考慮到這些因素,我果斷選擇與寧盾合作,去角逐滴滴的雙因素認證項目。
滴滴對這個項目相當重視,除了寧盾,RAS,Safenet這些大廠都來了,國內的飛天誠信等廠商也都受邀參加了。滴滴對這個項目主要還是技術主導,策略是是騾子是馬拉出來遛遛。大家都別吹牛,搭好測試環境,制定測試計劃,每家廠商輪流來測。按照計劃,雙因素認證平臺需要和Exchange,堡壘機,用戶統一管理平臺及***進行對接測試。過程公開透明,大家就比拼內力吧。
經過幾個月的測試,結果如何呢?寧盾是唯一一家通過全部測試的,其他各家都折在了定製開發上,這是意料之中的。舉個例子,滴滴希望Exchange OWA使用雙因素認證時,可以單次驗證,也可以二次驗證。也就是說,用戶登錄時可以輸入密碼+動態碼,也可以先輸入密碼,通過後按照提示再輸入動態驗證碼。就這一個需求,廠商就可能需要修改認證模式,修改認證提示,修改OWA頁面…各位兄弟,給互聯網公司做項目時一定要預判到這些風險點哈!
中標後,實施起來還是很快的。下面把這個項目的幾個技術點給大家簡單介紹一下。滴滴的雙因素認證平臺使用的是動態驗證碼技術,驗證碼的發放可以通過手機短信,手機APP和硬件Token。手機APP目前是主流,APP並不需要連接互聯網,只需要根據當前的手機時間及種子文件,計算出動態碼即可。
方案拓撲:
認證流程
以Exchange用戶爲例,員工登錄ExchangeOWA系統操作流程如下:
結尾再做一個廣告,北京的哪位親有雙因素認證平臺的建設需求,可以直接聯繫我哈,[email protected]。