• 北京市海淀区上地东路5号院京蒙高科大厦A座311室
  • 4006010089
  • market@anydef.com

企业级移动设备身份识别方案

首页 › 解决方案

企业级移动设备身份识别平台方案

市场痛点

我国移动互联网用户渗透率已近饱和,为全面推动移动互联网应用提供了丰厚的用户基础。越来越多的银行、政府开始基于移动互联网推动业务创新,并已成为业务向终端延伸的主要手段。移动互联网拓展了企业安全防护的边界,带来了更加容易暴露的访问入口,并成为移动安全攻击的首要目标,移动环境下身份安全成为首要问题。当前移动环境身份认证主要包括密码口令、短信验证码、移动数字证书、指纹认证等,但每种技术都存在或多或少的安全问题,主要表现如下:

Ø 用户名口令的方式正面临云端拖库与客户端破解的双重夹击,而密码复杂度要求、更换频率要求又极大地增加了用户负担,降低使用便利性;

Ø 短信验证存在着被劫持、伪基站、被钓鱼的风险,无法保证移动身份认证安全;

Ø 移动数字证书需要用户在手机之外,随身携带外置设备,不符合用户的使用习惯,难以推广;

Ø 手机原生指纹认证存在着多厂家、多操作系统、多版本等碎片化的技术风险,移动应用无法适配所有潜在可能,无法做到统一的移动身份认证安全;

方案介绍

随着生物识别技术的发展,越来越多的生物识别被应用于金融认证当中。越来越多的手机银行中(IOS/Andriod登录和支付等业务环节) 增加了手机指纹/人脸认证功能,得到客户的一致好评。为在保障安全性的前提下进一步提升移动APP的用户登录和支付的体验,安御道合引入统一的移动安全认证技术来对移动端的多机型生物识别技术进行统一管理与统一支持,从而使得指纹等生物认证技术得到高效推广和应用,进一步提升手机应用客户体验,同时保障客户资金安全。

 

 

建设企业级的移动设备身份识别平台,实现IOS和Android移动终端的统一应用接口标准、统一接入标准和设备环境的统一安全监测管控,为企业提供移动设备指纹的统一安全认证,实现应用本地免密认证,持续保障业务安全。主要特点如下:

Ø 安全初始化:移动设备厂商按照IFAA标注规范实现,在设备出厂时将IFAA TA部署在TEE安全环境中。IFAA TA 负责完成了IFAA本地认证的逻辑处理,包括认证指纹的登记、指纹比对、用户公私钥生成等处理过程。

Ø 双端身份验证:移动终端在可信执行环境(TEE)实现对人的生物特征值的存储和比对;移动终端和身份认证后台利用公私钥机制,实现设备和服务端的双向认证。

Ø 防重放攻击:存储在 RPMB 区域的 IFAA 密钥使用单向计数器进行了保护,可确保旧版本的密钥以及相关信息无法替换新版本,有效防止重放攻击。

Ø 防克隆攻击:IFAA 密钥的明文无法通过非安全执行环境读取,并且 IFAA 密钥的加密和存储都跟硬件设备直接相关,因此攻击者无法克隆设备进行攻击。

Ø 防root攻击:IFAA 密钥等敏感信息只能从安全执行环境进行访问,并且 IFAA TA只能由服务器端进行访问授权,因此即便攻击者获得了 Android 系统的完全访问权限,只要TEE依然安全,攻击者无法随意访问 IFAA TA,也无法获得 IFAA 密钥。

Ø 防逆向攻击:逆向工程对于将根密钥存储在二进制代码里的方案有巨大的威胁,IFAA 密钥等敏感信息并没有存储在二进制代码里,因此逆向工程没有意义。

应用场景

手机银行、企业移动办公、移动车钥匙、移动数字证书、电商移动应用