新闻动态

密码技术与客户业务场景高度融合，为Fintech、IoT保驾护航

专题｜身份与访问管理安全

发布时间：

2020-12-02 09:10

　　现今，在云计算、大数据、物联网、人工智能等信息技术的深度应用下，身份与访问管理平台（IAM）已经成为企业网络安全系统的重要组成部分，通过基于角色的控制，可以帮助企业组织管理数字身份以及用户对组织内系统、网络和关键信息的访问行为。

　　身份治理规划总体概述

　　随着企业信息化水平快速提升，身份治理作为企业管理平台和基础安全平台，已被大多数企业纳入企业整体经营战略规划中，那么企业如何结合自身业务形态和信息安全管理要求进行身份治理规划设计呢？我们从四个方面进行身份治理的统一规划和建设考虑：

　　风险评估：围绕身份治理管理要求，针对企业面临的信息安全挑战与存在问题，充分评估身份治理风险于合理性；

　　规划设计：结合企业的战略规划与IT规划，制定符合企业业务发展与管理模式的身份治理规划蓝图；

　　平台建设：引入身份治理建设经验与专业实施商，明确实施路径与目标，推动身份安全平台与体系建设；

　　生态融合：推动数字化转型与创新，实现身份治理线下线上、云端及物联网等多场景业务融合与生态融合。

　　新兴的身份管理系统

　　电子身份 eID

　　eID 是以密码技术为基础、以智能安全芯片为载体、由“公安部公民网络身份识别系统” 签发给公民的网络电子身份标识，它的特点是能够在不泄露身份信息的前提下在线远程识别身份。

　　具体来说，用户开通 eID 时，智能安全芯片内部会采用非对称密钥算法生成一组公私钥对，这组公私钥对可用于电子签名，基本原理是：用户可以使用自己的 eID 私钥对信息进行电子签名后发送给其他人，其他人可以使用用户的 eID公钥对签名信息进行验签。

　　用户使用 eID 通过网络向应用方自证身份时，应用方会向连接“公安部公民网络身份识别系统”的服务机构发出请求，以核实用户网络身份的真实性和有效性。

　　一旦用户网络身份通过验证，应用方就能得到用户在当前应用上的网络身份应用标识。由于用户在不同的线上应用所使用的网络身份应用标识编码不同，因此可以避免用户在不同线上应用中的行为数据被汇聚、分析和追踪。

　　目前，我国的电子身份 eID 已发行 5000 万张并且在在银行、证券、保险、征信、互联网金融、电子商务等领域广泛应用。欧盟多个国家也已经颁发了eID来替代传统的身份证件，使eID既具备了线下身份识别的功能，又具备了网络远程身份识别功能。

　　OAuth

　　OAuth 是 Open Authority 的缩写，它是一个授权框架，或称授权标准，它可以使第三方应用程序（微信、QQ 等）或客户端获得对HTTP 服务上（例如 Google、GitHub）用户信息的有限的访问权限。

　　OAuth 通过将用户身份验证委派给托管用户的服务以及授权客户端访问用户进行工作。它可以为 Web 应用和桌面应用以及移动应用提供授权流程。

　　OpenID协议

　　OpenID 是 Live Journal社区创办人Brad Fitzpatrick 提出的一个去中心化的网上身份认证系统。OpenID允许用户使用现有账户登录多个网站，而无需创建新密码。

　　取而代之的是，他们只需要预先在一个 OpenID 身份提供者的网站上注册，就可以任意享用支持 OpenID 的网站上面的资源。

　　OpenID 的最大特点是采用了去中心化的架构，任何网站都可以使用 OpenID 来作为用户登录的一种方式，任何网站也都可以作为OpenID 身份提供者。

　　目前，OpenID 正在网络上迅速普及，超过 10 亿个支持 OpenID 的用户账户和超过 50000 个网站接受 OpenID 登录，包括谷歌、Facebook、雅虎、微软、MySpace、Novell、Sun、意大利电信等等。

　　2020身份与访问管理趋势

　　身份和访问管理即服务

　　管理一组应用程序和文件的访问可能很棘手，且要求很高。尽管IAM早已迁移到云中（即使Microsoft的古老Active Directory软件也跳到了Azure），但对应用程序进行精细维护的责任仍然在于管理员。

　　借助IAM即服务（IAMaaS），许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具：他们只需使用一次登录（SSO）即可访问所需的所有资源和解决方案。

　　借助IAMaaS，用户可以轻松、自动化地连接安全和防欺诈保护系统，提高应用程序和文件的安全性，而无需付出额外的努力。此外，自动化工具将大大减少管理员的工作负担。

　　微服务的身份和访问管理

　　微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败，整个应用程序也不会崩溃。

　　取而代之的是，自动化系统启动了故障组件的副本，使用户的停机时间降至零。

　　从传统的IAM的角度来看，这是有问题的。现在，应用程序的各个组件可以通过网络进行通信，这意味着攻击者有可能窃听或伪造这些通信。有时，这些服务使用公共互联网在多个数据中心之间进行通信，这使得加密和安全性变得更加重要。

　　因此，IAM解决方案开始与微服务集成。在一个这样的解决方案中，微服务之间的每个通信还包括一个唯一的令牌，该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。

　　这对应用程序造成的性能影响很小，但却可以防止不良行为者假冒微服务或窃听您的应用程序。

　　自主身份

　　用户所拥有的身份数据，需重复证明，也不属于自己，这是一件怪诞但现实的事情，这不仅仅带来不便，而且是数据泄露的万恶之源。

　　自主主权身份是搭建在区块链上的数字身份，也是用户对数字身份掌控度最高的形式，此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性，因此在自主、安全、可控层面更上一层楼。

　　在物理世界中，用户可以通过多种方式来验证其身份，而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。

　　过去，显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份，指的是当个人使用这些实体来验证其身份时，没有第三方（发行机构除外）维护副本，因此被盗的风险较小。

　　简而言之，自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据，而不必将其提交到某个公司管理的集中化数据库中，因为如果这些公司被黑客入侵，数据泄露将不可避免。

　　自我主权身份的问题在于，目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在，许多自我主权身份的支持者认为，区块链是一种加密的去中心化个人信息数据库，代表了个人可以轻松地在线验证其身份的理想机制。

　　因此，整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格（Zug）市发生，您的城镇可能是下一个。

　　总之，可以预见的是，随着全球主要公司和政府努力“消灭密码”，在线身份识别和管理方式也正面临一场巨变。

　　身份与访问管理产品及解决方案

　　卫士通统一身份认证系统

　　产品介绍：

　　卫士通通过身份管理与身份认证系统提供了一套统一的、高安全性和高可靠性的统一身份认证解决方案，将分散用户和权限资源进行统一、集中的管控，用户访问应用的安全认证和单点登录。用户一次认证登录后就可访问所有有权访问的应用系统，避免频繁登录，并且能够保证用户身份的合法性和唯一性，对于应用系统的访问建立一套完整的安全防护和用户管理机制。身份管理与身份认证的核心业务场景如下：

身份管理与身份认证的核心业务场景

　　方案特性

　　满足单位内组织架构、用户统一身份管理、同一单位不同网络域统一身份管理与身份认证、行业上下级单位统一身份管理与身份认证；支持多种基于国密算法的身份认证模式；可根据业务应用系统安全登记设置应用系统认证方式和等级；支持统一授予用户访问业务应用系统权限，支持授权模板，参照模板自动授权；支持用户操作日志、认证日志、访问日志统一管理与审计。

　　客户关注的主要功能

　　组织管理：对单位内的组织机构进行维护，支持手动录入在组织信息、EXCEL导入组织信息；用户管理：支持对单位内的用户信息进行维护，为用户分配唯一身份标识；应用资源管理：维护应用系统基本信息，分配应用系统身份标识；人员分组管理：按照人员属性建立人员分组，可支持属性分组、离散用户分组；身份订阅：支持为业务应用系统订阅组织架构数据、用户身份数据；应用授权：支持授予用户访问业务应用系统权限，支持分组授权；身份认证：支持用户名\口令认证、证书认证、短信认证、二维码扫码认证、动态口令认证、二次认证、多因素认证。

　　给客户带来的核心价值

　　卫士通统一身份认证系统面向各企事业单位，提供安全且可靠的身份管理、身份认证，是企事业单位信息化建设过程中的基础和核心业务支撑系统。其可实现企事业单位资源有序共享，业务安全协同，达到一次认证，全网通行的效果，有力地保障业务应用和数据的安全。

　　基于轻量级密码算法的身份认证解决方案

　　方案介绍：

　　身份认证安全解决方案，采用轻量级密码技术SM9算法、IBC-CHAP挑战应答及OpenID等技术实现统一的安全身份认证和访问控制，使用手机号码、邮箱账户作为用户标识公钥，无需管理维护复杂的密钥基础设施。

　　用户使用扫码认证APP（支持Android/iOS），扫描一次二维码可安全登录多个应用系统。通过随机数的签名/验签方式实现高强度身份认证，杜绝弱口令猜测、字典攻击、撞库攻击等问题。支持密钥分片、联合签名的密码技术，实现无证书无介质增强认证，为用户提供基于智能终端的统一安全认证服务。

　　方案特性

　　基于SM9算法的身份认证

　　扫码APP的签名私钥使用了SM9国密算法生成，从数据安全上保证了身份认证的安全性；

　　无证书无介质

　　通过软件模块实现密钥及证书的安全存储和算法运算，实现在移动端场景下无需芯片、Ukey等安全硬件介质

　　安全便捷

　　无需用户记忆多个用户名、密码，也无需用户进行多次登录访问应用系统。

　　主要功能

　　单点登录

　　统一身份认证，即邮箱、OA、ERP等各种业务系统仅需登录一次即可访问所有应用系统。

　　强身份认证

　　支持国密SM2、SM9算法进行签名验证操作完身份认证，用户只需要使用扫码认证即可进入系统，无需口令，杜绝弱口令、撞库等风险。

　　联合签名服务

　　基于SM2/SM9的联合签名，保证只有移动智能终端生成完整的数字签名，服务端如果没有移动智能终端配合也不能生成完整的数字签名，验证保证数字签名的合法性。

　　安全数据交互

　　基于双向认证的安全传输通道，实现移动智能终端和服务端之间的数据加密传输，有效避免SSL、IPsec协议的单向认证、中间人攻击等问题。

　　核心价值

　　支持快速构建B/S应用和APP的单点登录，支持已建设的B/S业务系统零改动集成单点登录功能。方案可应用于政府、企事业单位、运营商等应用系统的统一用户管理、统一认证、应用系统增强认证、移动端认证等场景。

　　天融信VPN产品

　　产品介绍：

　　天融信作为国内最早从事信息安全产品研发生产的专业安全厂商，自1998年开始推出VPN产品，历经了二十余年的VPN技术积累与市场考验。天融信VPN产品综合了IPSEC/SSL VPN技术，采用开放性的系统架构，融合了身份认证、访问控制等手段，向客户提供完整的安全接入解决方案。

　　主要功能

　　具有完全自主知识产权的TOS（Topsec Operating System）安全操作系统，全模块化的设计，使用中间层的理念，减少系统对硬件的依赖性。还可随时扩展防病毒模块，净化VPN网络。

　　具有全面的客户管理功能，IPSEC/SSL客户采用同一套账号管理，16级的管理员三权分立，能变被动防护为主动防御，实现权限分级。支持应用系统单点登录以及主从账号绑定，支持用户名口令、数字证书、动态令牌、短信等多种认证组合方式，支持国密局《IPSec VPN技术规范》和《SSL VPN技术规范》以及SM2/SM3/SM4国密算法。

　　还有丰富全面的型号供选择，全面覆盖了小微分支、分公司到企业总部的安全传输场景。客户可以根据自身的情况来选择产品型号，最大限度的降低接入成本。而且资质齐全，产品合规、安全、高效、易于管理。

　　航空工业商网零信任安全管理平台

　　方案介绍：

　　航空工业商网零信任安全管理平台结合业务场景及安全防护现状，格尔软件通过零信任架构+合规的密码技术+传统安全防护融合应用的措施，解决工业有线和无线网络、工业应用和移动APP的数据访问的安全性问题，重构企业信息安全边界，从根源上解决数据访问的安全性问题，弥补传统安全在主动防御措施方面的缺失，有效解决了该平台建设的最大困惑。

　　方案特性

　　先进、合规、合理，全面，实现智能化、科学化、可持续、针对性的安全防护

　　方案功能

　　遵循零信任“以密码为基石、以身份为中心、以权限为边界、持续信任评估、动态访问控制”的理念，对业务平台访问主体进行身份化、规范化管理，采用基于密码技术的数字证书作为可信标识，联动统一的授权管理服务和安全审计服务，对中航办公业务系统的网络接入控制、应用访问控制、应用服务调用、数据获取服务等不同场景提供动态、持续的强身份认证与权限控制，行为分析及责任认定，实现全网全域对象可信、可控、可管、可追溯，

　　方案价值

　　航空工业商网零信任管理平台是集团公司乃至军工行业内首个采用新型“零信任”技术部署应用来统一支撑全集团全级次单位日常办公的平台，通过平台建设、应用及改造升级，作为行业样本工程，向行业内其他单位充分展示中航工业集团在信息化技术领域的创新应用能力，以及在行业内信息安全保障的领先地位，对带动行业其他集团单位响应落实国家“数字化转型”战略，起到先驱示范作用。同时，格尔软件是国内首批零信任技术架构的实践者，基于20多年传统信任技术的深厚积累以及适应时代的不断技术创新和实践，确保平台成功建设和应用，展现了格尔参与各行各业数字化转型中的信任保障建设的能力。

　　安御道合智能身份识别平台

　　方案介绍：

　　方案特性

　　全生物特征支持：应用和各生物特征算法解耦，实现生物特征算法插拔式的对接。

　　全渠道服务：为客户全渠道提供统一的生物特征和传统安全认证服务能力。

　　隐私数据的安全保护：基于国产密码技术，全面保护客户身份、生物特征等隐私数据安全。

　　高可用保障：采用集群部署，支持纵向和横向扩展，可以快速适应业务增长。

　　智能化运维：支持服务群组动态在线调整、服务实时监控与告警、异常服务自动隔离、多渠道监控等功能。

　　客户关注的主要功能

　　接入管理：接收相关应用或渠道的请求，具有流量控制、负载、多协议支持、认证授权能力，提供实时、安全的交易服务。

　　认证服务管理：处理认证业务，集成和整合各种生物特征认证方式及传统的认证方式，处理各种认证交易的差异性，实现各种业务场景的定制化。

　　基础算法管理：提供基础的认证算法管理，支持多种算法及同一算法的多种厂商共存。

　　数据存储管理：存储平台所需的各种数据，包括客户信息、特征信息、流水信息、管理信息等，对敏感信息，采用国密算法加密保护。

　　监控运维管理：管理及配置平台所需的相关信息，监控平台的运行情况，支持对平台进行集中维护。

　　给客户带来的核心价值

　　适应科技发展，提升业务创新能力，强化业务黏性，提高政策监管符合度；建设统一身份认证服务平台，提供多模态认证业务集中化服务；以密码技术为核心，便捷、安全，极大降低了外部客户认证风险；构建统一认证服务能力，打破认证能力分散、独立引起的烟囱效应；集中化建设与管理，提升企业安全认证能力与综合安全管理水平。