安訊奔uas-e2ee intro統(tǒng)一身份管理及強(qiáng)認(rèn)證平臺

1、統(tǒng)一身份管理及強(qiáng)認(rèn)證平臺端對端密碼/數(shù)據(jù)加密保護(hù)解決方案北京安訊奔簡介由全球銀行專業(yè)人士設(shè)計(jì)、架構(gòu)和開發(fā)北京安訊奔關(guān)于北京安訊奔科技端對端（E2E）加密的商業(yè)需求我們的客戶為什么選擇安訊奔? 我們研發(fā)銀行和企業(yè)級應(yīng)用安全管理及強(qiáng)化認(rèn)證產(chǎn)品，以確保它們能安全地訪問私人及機(jī)密信息安訊奔方案客戶北京安訊奔(在北京中關(guān)村注冊的中國公司)我們設(shè)計(jì)和構(gòu)建自主品牌、銀行級的統(tǒng)一身份管理, 應(yīng)用安全和通用認(rèn)證產(chǎn)品，以保護(hù)隱私和機(jī)密信息。主要股東:華勝天成集團(tuán) /百富勤大中華資本增值基金辦事處:北京、成都、上海、深圳、珠海研發(fā)與技術(shù)支持中心：北京、珠海、新加坡員工：員工總數(shù)超過200，其中超過120位員工是開發(fā)

2、人員國內(nèi)外金融案例： 中銀北分 中銀香港 中銀保險(xiǎn) 交行香港 蘭州銀行 寧波銀行 泰安商行 浦發(fā)銀行 中信國際 花旗集團(tuán) 大華銀行 瑞士聯(lián)合銀行 中國聯(lián)通安全認(rèn)證 超越云端 產(chǎn)品分類總體解決方案安訊奔科技的市場地位安全認(rèn)証 超越雲(yún)端我們專注于統(tǒng)一身份、憑證和訪問管理的解決方案，我們是世界級綜合信息安全解決方案的提供商統(tǒng)一身份管理及強(qiáng)化認(rèn)證平臺企業(yè)，云和移動應(yīng)用提供安全管理，強(qiáng)化認(rèn)證及端到端密碼/數(shù)據(jù)加密保護(hù)解決方案移動設(shè)備安全平臺身份管理及認(rèn)證平臺i-Sprint集團(tuán)與安訊奔科技建立了戰(zhàn)略合作伙伴關(guān)系，已授權(quán)安訊奔科技在國內(nèi)使用其所擁有的最新技術(shù)、產(chǎn)品和資源。身份管理及強(qiáng)認(rèn)證整合方案統(tǒng)一的身份

3、認(rèn)證支持多種身份認(rèn)證方式支持多步驟認(rèn)證AccessMatrix 整體解決方案統(tǒng)一單點(diǎn)登錄能使webSSO 應(yīng)用程序和非webSSO 應(yīng)用程序都運(yùn)行SSO統(tǒng)一的憑證管理統(tǒng)一的審計(jì)報(bào)告交互式用戶和功能性ID的用戶身份管理特權(quán)ID和密碼的使用管理提供訪問跟蹤和報(bào)告的能力來報(bào)告管理員工作、訪問活動以及違背安全策略的活動帳戶/密碼應(yīng)用程序應(yīng)用程序應(yīng)用程序網(wǎng)絡(luò)設(shè)備主機(jī)應(yīng)用程序操作系統(tǒng)登陸實(shí)現(xiàn)目標(biāo)統(tǒng)一身份管理支持多種安全級別的認(rèn)證方式企業(yè)應(yīng)用統(tǒng)一入口（SSO）實(shí)現(xiàn)跨系統(tǒng)的統(tǒng)一授權(quán)和鑒權(quán)實(shí)現(xiàn)跨系統(tǒng)的功能整合基于任務(wù)的標(biāo)準(zhǔn)化作業(yè)插入式認(rèn)證模塊(PAM)和認(rèn)證領(lǐng)域AccessMatrix 支持多用戶存儲、多因素和

4、多步驟認(rèn)證Active DirectoryLDAPRADIUSKerberosNTLME2EEAWeb token問答圖片Matrix CardEMV-CAP外部認(rèn)證集成Access Manager插入式認(rèn)證模塊一次性密碼帳號 密碼PKI 數(shù)字證書開放接口基于知識的帶外數(shù)據(jù)認(rèn)證領(lǐng)域（多步認(rèn)證流程）生物認(rèn)證國內(nèi)部分成功客戶名單唯一真實(shí)的IAM的整合解決方案，可節(jié)省最少50%的項(xiàng)目實(shí)施時(shí)間。內(nèi)建的細(xì)粒度和可自定義管理委托模塊，是特地為大型公司企業(yè)的復(fù)雜管理架構(gòu)、SaaS 和云服務(wù)而設(shè)計(jì)的。嵌入的最佳安全實(shí)踐，以避免超級用戶相關(guān)的內(nèi)部危險(xiǎn)，并去除繁重的互斥控制?，F(xiàn)成可用的并與經(jīng)FIPS證明的硬件安全

5、模塊（HSM）的整合，作為標(biāo)準(zhǔn)產(chǎn)品特性，以支持確保密鑰管理和點(diǎn)到點(diǎn)機(jī)密保護(hù)的安全。安訊奔的整體獨(dú)特優(yōu)勢 (1/2)銀行級別安全設(shè)計(jì)與大量成功部署，分布于超過45家可參考的世界級全球性和地區(qū)金融機(jī)構(gòu)，包括：全球最佳 10 家銀行中的 3 家中國排名前十銀行中3家我們擁有獨(dú)特的 IP 可擴(kuò)展的和面向未來的插入式認(rèn)證模塊（PAM），可支持市場上所有的認(rèn)證方法。經(jīng)證實(shí)及符合金融監(jiān)管機(jī)構(gòu)規(guī)則要求，在過去的 10 年，客戶項(xiàng)目成功率達(dá)到100%。安訊奔的整體獨(dú)特優(yōu)勢 (2/2)業(yè)界認(rèn)可Gartner Group高德納集團(tuán)ESSO全球市場范圍研究（2006-2013）全球SAPM范圍研究（2008年2月-2

6、013）全球認(rèn)證范圍研究（2008-2013）全球WAM研究（2008-2013）業(yè)界認(rèn)可Burton 集團(tuán)：AccessMatrix USO （2008年9月）. AccessMatrix支持分層策略模型，可以適應(yīng)首選的組織模式。策略檢查可以執(zhí)行基于角色的職責(zé)分工，變更請求需要得到兩個(gè)管理員的批準(zhǔn)。Gartner Group高德納集團(tuán)ESSO全球市場范圍研究（2006-2013）全球SAPM范圍研究（ 2008年）全球認(rèn)證范圍研究（2008-2013）全球WAM研究（2008-2013）可信度i-Sprint 的技術(shù)經(jīng)過很多世界知名機(jī)構(gòu)的專業(yè)評估:從2006年起一直出現(xiàn)在Gartner的評估

7、報(bào)告中紐約花旗銀行信息安全機(jī)構(gòu)的專業(yè)評估蘇黎世UBS 信息安全機(jī)構(gòu)的專業(yè)評估ABN Amro 全球技術(shù)風(fēng)險(xiǎn)和合規(guī)部門的評審 (倫敦/阿姆斯特丹)受DBS委托的路透社咨詢機(jī)構(gòu)評估受新加坡國稅局委托的安永(E&Y)事務(wù)所 新加坡內(nèi)務(wù)部評審受新加坡教育部委托的HP專業(yè)咨詢評估新加坡公共安全局 PRC Level 1 clearanceIBM 安全和個(gè)人事務(wù)安全評估(北美） Japan LS Forum新加坡金融管理局E2EE( End-to-End Encryption)端對端密碼/數(shù)據(jù)加密保護(hù)解決方案互聯(lián)網(wǎng)業(yè)務(wù)的安全挑戰(zhàn)商業(yè)應(yīng)用互聯(lián)網(wǎng)絡(luò)SSLWeb服務(wù)器木馬(按鍵紀(jì)錄器)和釣魚身份假冒和模仿內(nèi)部威

8、脅BYOD移動不可信的環(huán)境云計(jì)算控制和問責(zé)公共云互聯(lián)網(wǎng)業(yè)務(wù) - 安全管理及強(qiáng)認(rèn)證解決方案商業(yè)應(yīng)用互聯(lián)網(wǎng)絡(luò)SSLWeb服務(wù)器木馬(按鍵紀(jì)錄器)和釣魚身份假冒和模仿內(nèi)部威脅BYOD移動不可信的環(huán)境云計(jì)算控制和問責(zé)公共云生物認(rèn)證動態(tài)鍵盤強(qiáng)認(rèn)證端到端加密認(rèn)證設(shè)備認(rèn)證 解決對策許多全球和地區(qū)性金融機(jī)構(gòu)都已部署了AccessMatrix解決方案，以滿足監(jiān)管機(jī)構(gòu)對網(wǎng)上銀行業(yè)務(wù)的監(jiān)管要求E2E端到端密碼加密認(rèn)證運(yùn)用2FA設(shè)備授權(quán)運(yùn)用2FA設(shè)備認(rèn)證在運(yùn)輸和儲存過程中，使用硬件安全模塊（HSM）保護(hù)令牌種子監(jiān)管要求靜態(tài)密碼登錄ID/PIN是確認(rèn)用戶在線身份最常用的認(rèn)證方式。如何保護(hù)客戶靜態(tài)PIN碼已成為許多機(jī)構(gòu)和

9、ASP/MSP/SaaS服務(wù)供應(yīng)商最關(guān)注的問題在PIN碼生成、分配、更改和重置過程中，確保PIN碼端對端被保護(hù)防“內(nèi)鬼”，特別是防止系統(tǒng)管理員用已知的密碼內(nèi)容更換用戶的密碼，來獲得受害人的帳戶信息提供100%的保證，確保除了生成 PIN碼的可信硬件外，沒有人可以知道用戶的密碼/PIN,包括Web服務(wù)器等中間層服務(wù)器在內(nèi)防止交易數(shù)據(jù)和敏感信息在傳輸過程中被泄露和篡改，確保交易數(shù)據(jù)的機(jī)密性和完整性需要避免任何潛在的安全威脅和防止黑客使用重放（replay）攻擊 商業(yè)需求 - E2E Encryption 端到端加密缺點(diǎn)和潛在的內(nèi)部威脅Fund TransferTo Account: 2567890

10、Amount: USD100,000客戶個(gè)人電腦后端應(yīng)用程序 互聯(lián)網(wǎng)通過SSLWEb服務(wù)器PIN郵件信封在生成、更改、重設(shè)PIN過程中，PIN信息可能被暴露 在內(nèi)部網(wǎng)絡(luò)中，PIN信息和機(jī)密交易數(shù)據(jù)是明文信號，它們可能會被截獲SSL終止在網(wǎng)絡(luò)服務(wù)器，除此之外，傳播的信息沒有被加密登錄用戶名: JohnDoe密碼: *0 010100 01010JohnDoeMypassword2567890USD100,000明碼數(shù)據(jù) JohnDoeMypassword2567890USD100,000明碼數(shù)據(jù) 金融行業(yè)的合規(guī)性要求Hong Kong Monetary AuthorityThe Monetary

11、 Authority of SingaporeInternet Banking Technology Risk Management Guidelines, Version 3.0 Jun 2008銀行必須確保已加密和已授權(quán)的Session在整個(gè)通信過程中保持完整。如果出現(xiàn)安全問題，此Session必須終止，受影響的交易必須解決或撤銷 需要注意的是，SSL不能提供端對端系統(tǒng)加密安全AccessMatrix UAS 端對端加密(E2EE)模塊AccessMatrix UAS 通過策略控制用戶管理，建立信息系統(tǒng)統(tǒng)一用戶視圖，統(tǒng)一管理用戶認(rèn)證，實(shí)現(xiàn)多種認(rèn)證方式的平滑選擇，實(shí)現(xiàn)按需動態(tài)設(shè)置認(rèn)證強(qiáng)度和認(rèn)

12、證策略。使用插入式認(rèn)證模塊(PAM)的辦法，支持多種的認(rèn)證方法 ，可以很容易地增加新的認(rèn)證方法，來迎合新的認(rèn)證方法。即開即用的端到端令牌生命周期管理模塊大大地簡化了令牌的發(fā)放和生命周期管理。UAS 提供細(xì)粒度和可配置認(rèn)證策略登錄策略、密碼有效期策略和密碼安全質(zhì)量策略基于多層Java的架構(gòu)提供廣泛的服務(wù)器平臺和可擴(kuò)展性以加密器(HSM)來提供強(qiáng)有力的密鑰管理，為用戶認(rèn)證進(jìn)行高效的加密解密服務(wù)。AccessMatrix UAS 統(tǒng)一身份認(rèn)證安全平臺插入式認(rèn)證模塊(PAM)和認(rèn)證領(lǐng)域AccessMatrix 支持多用戶存儲、多因素和多步驟認(rèn)證Active DirectoryLDAPRADIUSKer

13、berosNTLME2EEAWeb token問答圖片Matrix CardEMV-CAP外部認(rèn)證集成Access Manager插入式認(rèn)證模塊一次性密碼帳號 密碼PKI 數(shù)字證書開放接口基于知識的帶外數(shù)據(jù)認(rèn)證領(lǐng)域（多步認(rèn)證流程）生物認(rèn)證 AccessMatrix UAS 端對端加密（E2EE） 模塊一個(gè)現(xiàn)成的產(chǎn)品提供完整的管理和集成平臺，讓客戶能夠使用HSM設(shè)備，提供端對端的數(shù)據(jù)加密保護(hù)在傳輸過程中，為敏感商業(yè)交易數(shù)據(jù)提供交易數(shù)據(jù)的機(jī)密性與完整性利用嵌入式認(rèn)證模塊PAM，E2EE PAM可以與其他強(qiáng)認(rèn)證解決方案一起工作，如OTP令牌、PKI令牌，以增強(qiáng)登錄過程的安全性HSM集成，為機(jī)密信息提

14、供強(qiáng)密鑰管理以及加解密服務(wù) E2EE 模塊端對端加密保護(hù) (1/2)SSL加密SSL加密SSL解密SSL解密SSLSSL明文數(shù)據(jù)明文數(shù)據(jù)Web瀏覽器Web服務(wù)器后端服務(wù)器SSL模式不能端對端保護(hù)數(shù)據(jù)SSL加密SSL加密SSL解密SSL解密E2EE 加密E2EE 解密SSLSSL+始終加密Web瀏覽器Web服務(wù)器后端服務(wù)器端對端數(shù)據(jù)保護(hù)端對端加密保護(hù) (2/2)Fund TransferTo Account: 2567890Amount: USD100,000客戶個(gè)人電腦后端應(yīng)用程序基于SSL的網(wǎng)絡(luò)網(wǎng)絡(luò)服務(wù)器郵件程序PIN信息在硬件安全模塊（HSM）內(nèi)部生成，排除暴露的可能性。PIN信息與機(jī)密交

15、易數(shù)據(jù)在內(nèi)部網(wǎng)絡(luò)加密。SSL終端在網(wǎng)絡(luò)服務(wù)器，PIN信息和機(jī)密交易數(shù)據(jù)被加密。LoginUser ID: JohnDoePassword: *7xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls0 010100 010107xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls加密JohnDoeMypassword2567890USD100,000解密7xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls互聯(lián)網(wǎng)應(yīng)用AccessMatrix UAS與加密器(HSM)集成互聯(lián)網(wǎng)用戶PI

16、N在桌面上加密用戶PIN只能在HSM內(nèi)部進(jìn)行PIN解密和比較End-to-End Security Domain端對端的安全域從客戶設(shè)備到企業(yè)，E2EE保護(hù)用戶的密碼最終用戶的個(gè)人電腦AccessMatrix UAS 端對端加密（E2EE）端對端密碼保護(hù)是在客戶個(gè)人電腦和公司硬件安全模塊（HSM）中創(chuàng)建一個(gè)安全域在這個(gè)安全域中，機(jī)密信息在客戶個(gè)人電腦（客戶端）中加密，而此信息只能在公司的硬件安全模塊（HSM）中通過解密來驗(yàn)證因此，有了這一端對端加密，機(jī)密信息不會在不受信賴的環(huán)境中被暴露因?yàn)橛布踩K（HSM）是一個(gè)獨(dú)立防篡改的環(huán)境， 所以，唯一能顯示機(jī)密信息的地方就是客戶的個(gè)人電腦 1234

17、56打印機(jī)7UASServerSafenetProtect Server/EFTE2EEApplet程序, JavaScript或移動應(yīng)用程序 網(wǎng)絡(luò)Web服務(wù)器應(yīng)用程序服務(wù)器UAS服務(wù)器E2EE端對端加密 API加密器HSM E2EE端對端加密PAMEnd-to-End Encryption 端對端加密AxMxRegistry注冊表PIN郵件程序網(wǎng)關(guān)ASAAccessMatrix UAS E2EE 端對端加密 組合AxMx UAS安全服務(wù)器安全認(rèn)證服務(wù)器儲存了用戶信息、認(rèn)證和訪問控制信息，來執(zhí)行認(rèn)證和授權(quán)決定為所有用戶和管理員活動提供審計(jì)跟蹤信息和報(bào)告模塊AxMx UAS E2EE SDKE2

18、EE Applet/Javacript/移動應(yīng)用程序：在客戶瀏覽器中加載E2EE SDK，對登錄ID/PIN和機(jī)密數(shù)據(jù)進(jìn)行加密應(yīng)用程序安全代理（ASA）：API庫用來在UAS服務(wù)器和E2EE操作之間提供服務(wù)E2EE嵌入式認(rèn)證模塊（PAM）：UAS E2EE認(rèn)證模塊，調(diào)用E2EE API來驗(yàn)證PIN及更改密碼等PIN打印程序模塊PIN打印程序模塊調(diào)用E2EE API，在HSM內(nèi)生成密碼，并通過直接與HSM聯(lián)接的打印機(jī)打印密碼信封HSM軟件接口實(shí)現(xiàn)UAS服務(wù)器和HSM設(shè)備間的集成和通訊AccessMatrix UAS E2EE 端對端加密組件支持基于XML-RPC, SOAP的Web Servic

19、es調(diào)用提供Java, .Net, Andriod, Object C集成示例代碼, 僅需5至20行代碼即可完成遠(yuǎn)程服務(wù)調(diào)用提供詳細(xì)的異常處理說明支持目前所有流行的應(yīng)用服務(wù)器以及客戶端調(diào)用無需培訓(xùn)既可以現(xiàn)有系統(tǒng)無縫銜接詳盡的配置以及使用文檔請參閱與現(xiàn)有應(yīng)用集成(1/2)可選java applet或javascript作為客戶端加密庫來集成現(xiàn)有系統(tǒng)實(shí)現(xiàn)E2EE驗(yàn)證僅需2次遠(yuǎn)程調(diào)用(XML-RPC或SOAP)即可完成用戶認(rèn)證, 修改密碼, 重置密碼等操作1) 預(yù)認(rèn)證: 調(diào)用AccessMatrix提供的service來獲取加密所需信息2) 登陸/密碼認(rèn)證: 利用預(yù)認(rèn)證獲取的信息調(diào)用applet或者

20、javascript加密用戶密碼, 調(diào)用相應(yīng)service進(jìn)行認(rèn)證, 認(rèn)證成功系統(tǒng)會生成一個(gè)session ID 用于后續(xù)操作驗(yàn)證密碼質(zhì)量策略以及密碼過期策略屬性等可以通過AccessMatrix進(jìn)行設(shè)置與現(xiàn)有應(yīng)用集成(2/2)快速遷移：現(xiàn)有應(yīng)用程序?yàn)橛脩粼谟脩舯碇袆?chuàng)建一個(gè)標(biāo)示來標(biāo)示是否已經(jīng)完成遷移如果標(biāo)志是“N”,在登錄時(shí)如果用戶使用現(xiàn)有的靜態(tài)密碼,用戶將強(qiáng)制執(zhí)行更改密碼創(chuàng)建E2EE密碼 如果標(biāo)示是“Y”，用戶將被引導(dǎo)至E2EE登陸頁面如果一段時(shí)間以后，比如：6個(gè)月?，F(xiàn)有用戶密碼登陸頁面將被移除并且“沒有遷移”將被調(diào)用。這時(shí)，服務(wù)臺將請求一個(gè)新的E2EE密碼來登陸。遷移現(xiàn)有用戶到端對端加密(E2EE)1或2臺運(yùn)行AccessMatrix的硬件服務(wù)器1或2臺HSM如需打印密碼還需1臺連接到HSM的打印機(jī)硬件需求結(jié)合軟件和防篡改硬件，防止他人通過共享寬帶無線鏈接進(jìn)行任何憑據(jù)盜竊活動。從登錄點(diǎn)（如客戶瀏覽器）到驗(yàn)證點(diǎn)（如HSM），整個(gè)過程憑證都一直被加密克服了SSL的缺點(diǎn)，提供額外的安全功能，從登錄點(diǎn)一直到Web服務(wù)器、后端處理應(yīng)用的主機(jī)系統(tǒng)，全程加密保護(hù)機(jī)密信息啟用已增強(qiáng)的