English  简体中文
   

统一认证平台方案

2019-01-06       撰稿人:飞天诚信科技股份有限公司 高慧杰 朱鹏飞 张利琴 王健健


方案背景

物联网技术、人工智能技术、云计算等技术崛起,为网络空间发展建设带来更多机遇,网络安全也遇到了前所未有的威胁与挑战。尤其对于企业而言,越来越多的业务应用开始依托云端构建,使得云端平台储存的数据资源变得日益庞大,价值也不断攀升。一旦储存的数据泄露或遭到攻击,将对企业造成难以估量的损失。在此种环境下,零信任概念应运而生。在零信任网络结构下,任何人、事、物想要进入访问网络,都需要经过全面严密的身份验证,构建网络安全的第一道屏障。

零信任架构模型是 John Kindervag 于 2010 年创建的。从2014年12月起,Google发表了多篇论文,全面介绍基于零信任架构模型的企业信息安全框架BeyondCorp,包括体系架构以及Google从2011年至今的实施情况,带动了零信任架构模型的流行。BeyondCorp 主要包括三大指导原则:

无边界设计:从特定网络连接,与用户获得的服务没有关系;

上下文感知:根据对用户与设备的了解,来授予所获得的服务;

动态访问控制:所有对服务的访问必须经过认证、授权和加密。

零信任架构模型需要企业根据用户、用户所处位置和其他数据等条件,利用微分隔和细粒度边界规则,来确定是否信任请求企业特定范围访问权的用户/主机/应用,并且依靠多因子身份认证、身份与访问管理( IAM )、编排、分析、加密、安全评级和文件系统权限等技术来完成保护企业 IT 环境的使命。随着信息安全行业发展,各类身份认证的技术也在不断增多,快速迭代。身份认证方式的多样化,导致用户身份认证服务相关的工作越来越繁重,主要表现在以下几个方面:

1)新的业务系统不断增加,依次接入各个认证服务调用复杂,工作量大;

2)密码、证书、OTP等传统认证方式多而散,生物识别、FIDO等新认证方式层出不穷;

3)认证基础设施分散、功能独立、信息无法共享、数据孤岛;

4)业务系统和认证服务交叉对接,缺少集中化管理;

5)用户安全认证设备多,重复利用率低,造成较大资源浪费。

为解决以上问题,飞天诚信科技股份有限公司(以下简称飞天诚信)基于公司多年身份认证行业技术积累,推出统一认证平台方案。

方案目标

统一认证平台方案旨在为企业机构建设一个融合统一的、开放的、智能的、易用的综合基础服务平台将实现以下方案目标:

聚合所有认证服务,统一对外接口:将基础的USBKEY、OTP等认证服务进行平滑、无缝集成,将新引入的人脸、指纹等生物识别方式进行集成。统一对外提供一套标准的API、SDK接口服务,以及协议适配;

扩展新型服务能力:支持单点登录、电子合同、FIDO指纹认证及人脸识别服务,可根据客户实际需求为客户扩展以上服务;

统一所有管理需求:实现通过统一的web平台管理所有用户、业务渠道、认证介质、认证策略、安全配置及认证日志等;

实现智能认证:对用户认证行为、认证频率、认证日志集中监控、记录、分析和统计,迅速建立大数据基础,并可对接风控系统,进一步实现智能认证。

平台架构

 

平台特性

服务全面:提供多种身份认证服务和电子签章服务,集成的业务系统可根据需要配置使用,在提高了系统安全性同时,优化了业务办理效率。

安全可靠:提供全面的安全防范措施,包含注入攻击漏洞防范、认证失效及会话管理、跨站点攻击防范、非安全对象直接应用防范、敏感信息泄露防范、CSRD防范、密码输入类攻击防范、交易数据的篡改防范、交互数据完整性防范等。

易于扩展:统一对外提供一套标准的API、SDK接口服务以及协议适配,包括主流开发语言API、webservice接口、REST接口、OAuth2.0接口等,方便新业务系统的快速接入。

易于管理:提供直观、易用的web管理平台,包含渠道管理、用户管理、认证策略管理、设备管理、认证服务管理、日志审计、统计分析及电子签章管理等功能,实现通过一个平台对所有认证服务综合管理。

用户体验度高:支持多种认证设备,包含短信、硬件令牌、软令牌、Ukey、指纹手机等,用户可根据使用喜好任意选择;支持多种新型认证方式,如指纹、虹膜、人脸、推送等,用户认证体验更快捷。 

 应用优势

 
 

典型案例

百信银行安全认证平台

百信银行是首家获批的独立法人形式的互联网直销银行,由中信银行与百度公司强强联手,通过互联网渠道跨越时间、地域的局限性,为广大个人及企业客户提供金融产品和银行服务。

我司为百信银行建设了安全认证平台,平台服务包含静态密码认证、人脸识别认证、FIDO指纹/虹膜认证、OTP认证、推送认证、证书认证及电子合同等,同时还为其建设统一管理平台和单点登录系统。目前平台已陆续接入包含手机银行、网银、财务管理中心、消费信贷系统、支付业务系统、二代支付系统等在内十多个业务系统,为上千万用户提供认证服务。

亿联银行统一安全认证平台

亿联银行是由中发金控投资管理有限公司(简称“中发金控”)和吉林三快科技有限公司(简称“三快科技”)两大民营企业发起,东北首家获批筹建、首家开业的民营银行。

我司为亿联银行建设统一认证平台,平台服务包含USBkey证书认证、OTP认证、人脸识别、FIDO指纹等,同时还为其建设统一管理平台和单点登录系统。目前已接入网银、手机银行、电话银行集、理财平台及其他业务系统,满足用户登录、支付、转账、投资等各种应用场景下的认证需求。

方案价值

在企业数字化转型过程中,零信任架构模型是应对信息安全挑战的理想方案。作为“零信任”架构的核心支撑技术和典型解决方案,统一认证平台支持用户根据实际需求,自由选择在线服务支持的认证方式/认证设备,能够提供更快速、更便捷、更安全、更加个性化的用户体验。在适应现代IT环境,推动企业安全重构及数字化转型的同时,平台也可以更好地推动信息安全产业的健康发展。另外,平台作为“零信任”安全架构的支撑技术,具备可扩展、可管理、自适应且安全性高的特点,在当前激烈的市场竞争中占据较强的优势。

 
中国密码学会电子认证专业委员会 版权所有
地址:北京市海淀区闵庄路甲89号 4号楼
联系电话:010-82546543-686
京ICP备05046059号-4