生活

极光认证新产品正式亮相极光开发者大会

2019-05-15 07:51:26来源:励志吧0次阅读

2018年11月17日,首届极光开发者大会在深圳召开,本次大会由国内的移动大数据服务平台极光大数据举办,近千位互联公司技术、合作伙伴、开发者齐聚一堂,围绕大数据、人工智能、移动开发等广受关注的热点话题,共同探讨移动开发的下半场,构建健康的开发者生态。

在本次大会上,极光产品总监张希携极光开发者服务的全新产品极光认证正式亮相,并带来了《极光开发者为安全站岗》的主题演讲。

极光开发者为安全站岗

极光大数据:张希

一、认识一下CAPTCHA

这个英文单词是一个缩写,读出来是CAPTCHA,中间的t不发音,翻译过来是完全的自动化的公开图灵测试。那末图灵测试是做什么的呢?它是用来分别是电脑还是人在操作。目前来看,很多反做弊的领域都用了这个功能。CAPTCHA的发明者路易斯冯安,是一个企业家和计算机科学家,也是卡内基梅隆大学计算机科学系的副教授。同时他也创建了reCAPTCHA公司,并于2009年将这家公司成功出售给谷歌。

接下来我们看他所做的产品雏形终衍生出来的所有的产品形态。中间这个图至今还在延用,它在谷歌所有的产品线上做人机验证的测试。虽然说在国内用谷歌是不太适合的一件事情,现在都在反对,但是我估计很多从业者应该都是见过这个东西的。

个图是我们经常收到短信验证码的收件箱的通知图,还有一个近衍生出来的通过拖动划块完成拼图做的一个人机验证,终它达到的目的是识别人还是计算机。

2、验证码的发展

这张图是一个密保卡,我不知道大家有没有接触过这种产品。在2000年-2010年之间,如果有玩过魔兽世界这款游的,尤其是易代理的时候,大家应该人手一个密保卡,输入横坐标纵坐标指定的一个位置,然后来验证是不是你这个帐户绑定的那张密宝卡,从而达到你在络游戏中的资产安全。

当时在络银行,这类密保卡是主要的二次验证的一种方式。之后密保卡升级成了u盾。一张是名极一时的12306开始创立的一种验证码形式,是一种图像辨认的验证码。

3、验证码主要解决的问题

首先个问题就是计算机安全,也就是CAPTCHA所解决的主要问题。用来辨别人还是计算机从而保护计算机操作上的一些安全,避免自己的api不被恶意盗刷,或者是自己的用户系统不被盗刷,也是现在反做弊领域主要用的一种方式之一。

第二个就是财产安全。像刚才介绍的密保卡,或者是银的u盾也好,这些本质上是除密码之外,我们所使用络转帐时候做的二次认证的一个方式,它所解决的问题是财产安全的问题。

第三个就是信息安全。现在大家人均上应该有至少20款app,基本上每一款app都有帐户登录的功能。为了安全起见,我们肯定会为每个app或者邮箱系统设立独立的密码。在这类安全的使用方式之下会导致我们可能经常忘记登录密码,通常找回密码的方式肯定是需要做一个自己的号码的验证码发送,给这个app证明是我自己在重置我的用户名和密码,在这种情况下验证码保障的是个人在络上的信息安全。

四、验证码带来的问题

我们来看一下近常常有一些突发的。整体的过程基本上就是收到一堆验证码,收到一堆转帐提醒,提示自己的支付宝帐户被掏空。我们来简单的复盘一下整体的过程,常常看到有报道,但是可能有些人不太明白终究是一个什么事情。首先要引入一个大家可能会听说过的一个概念,也就是GSM短信嗅探。如果攻击者想在你的上盗走你的财产的话,首先基本上流程是这样的,首先他要假定一个2G伪基站在你附近,通过信号干扰器将你的从现在常常会用的4G或者是3G强制降级至2G,让信号连接到自己的伪基站上。

这种情况下其实这个攻击者已完全掌控了你的,掌控的是哪一部份呢?就是你上所有的app,他能通过号跟验证码执行操作。这个是非常可怕的,由于我们现在对号跟验证码功能的依赖是非常强的。

那么安全是一个相对的安全吗?我们看一下攻击者的犯罪成本,首先GSM协议漏洞。我认为这本身不是漏洞,由于本身规则上面短信就是明文传输的,它的安全保障是靠协议的安全去保障,基于点看第二点,GSM协议其实已经被开源实现,在所有的开源社区上大家应该都能找到相关的代码,这也意味着点所谓的协议安全基本上已经不存在了,当然实际上要实现开源的东西还是有一点点困难的。

接下来看一下络上推荐的保护做法:

种说尽可能更换4G,提升防御等级,增加攻击难度。实际上作案者或者是攻击者可以通过干扰器让你的从4G强迫降级到2G的。这种方法虽然在日常生活中能有一定的保障,但是实际上效果不是特别的好。

第二种是平时保护好个人信息,包括身份证号、银行卡号等敏感信息。

第三种是关闭移动信号,只用家用的办公室等的安全WiFi上,这一点我认为有其不便利性。

一点我认为是有用的,睡前要关机或者设置飞行模式,让没法接收短信,为什么说是有用的。由于我们回头去看一些,包括我的资金被非法转移的一些收到验证码,它的作案时间都是在晚上,由于夜间攻击者是有一个完整的作案时间。让你在不被发现或者不在中途干扰操作的情况下能够实行所有的犯法手段,所以说睡前关机或者设置飞行模式是一个非常有用的建议。

固然以上这些建议是针对终端用户来讲。但是对于开发者来说,我们还能做什么来保障我们的用户的信息安全?

五、极光认证能做什么?

极光认证JVerification整合了3大运营商的数据络关认证能力,为开发者提供了检验用户提供的号码和本机SIM卡号码是不是一致的一个功能,优化用户本机认证体验。极光认证是极光开发者业务产品线的第六个产品。

我们来简单看一下整体的一个业务流程,也就是大家输入号码、发起号码认证、完成登录注册和一些相干的功能。通过极光认证,由用户输入号码,由app向SDK发起向运营商取号的请求,拿到取号单,这些完整的过程都是有数据加密的。取号之后再拿结合出来的整体数据包,包括用户的号码和从运营商取到的密文运营商去完成认证过程,终完成注册和登录,或是一些相关的操作。如果认证失败,开发者也可以选择在自己的app添加一些相关的交互,去转制传统的短信验证,让整体的交互流程变的更顺畅。

下面我们再来看一些基础的应用场景。极光认证到底能为开发者带来什么?首先它能满足我们所能想到的三个场景,本机号码登录注册和二次认证相关的。理论上现在我们所用的所有的验证码的场景其实都是可以被这个产品所替换的,那它有什么好处?点安全性高,第二点用户体验好。

我们来仔细讲一讲为何说安全性高。首先认证这个产品,运营商为什么要绞尽脑汁想提供这类能力,为什么要给极光这类能力让极光帮助开发者解决这个问题,这是我们刚才所讲到的验证码的安全问题。

点就是为什么说安全性高,我们现在所有的数据包括从运营商拿到的数据、给运营商的数据都是通过高强度的加密算法、加密传输的。第二点,它的开发本来就是替代传统的验证码,来避免之前所说的短信带来的一些安全上的威胁,所以终来看它目前来看是相对安全的一个产品。

为什么说用户体验好?我们来看两个流程图,个是传统的短信验证的流程图。首先我要用短信验证,要在app上输入号码,开发者服务器收到这个要求后,会给这个号码发一个验证码。固然开发者服务器中间还存在生成验证码的过程,存在存储问题等。之后这个请求会发到短信平台,从短信平台再到运营商,由运营商发验证到用户的,用户看自己的信箱读到验证码,输入app,再到开发者服务器,再回来,来完成全部的认证流程。

然后来看一下极光认证缩减以后的流程,app只需要经过从自己的开发者服务器,到极光服务器再到运营商的过程。为什么一定要过极光服务器呢?因为运营商目前对于认证的能力,只对极光这种服务提供商开放,这个是必经的路径。光认证系需要经过四个流程,比起传统的短信验证,压缩了很多时间。

我今天的分享就是以上这些。很感谢大家今天来参加极光开发者大会,谢谢。

关于极光

极光(纳斯达克股票代码:JG)成立于2011年,是中国的移动大数据服务平台。极光专注于为移动应用开发者提供稳定高效的消息推送、即时通讯、统计分析、社会化组件和短信等开发者服务。截止到2018年9月份,极光已为36.9万移动开发者和99.1万款移动应用提供服务,其开发工具包(SDK)安装量累计近174亿,月度独立活跃装备近10.3亿部。基于海量数据和洞察积累,极光已将业务拓展至大数据服务领域,包括营销(极光效果通)、金融风控、市场洞察以及商业地理服务(极光iZone)。极光将继续借助人工智能与机器学习为移动大数据赋能,致力于为社会和各行各业提高运营效率,优化决策制定。

痛经为什么不能吃辣的
痛经饮食要注意什么
痛经怎么食物调理
分享到: