安讯奔-简介with pki端到端手机令牌管理和验证平台解决方案

1、端到端手机令牌管理和验证平台解决方案YESsafe 移动安全平台由全球银行专业人士设计、架构和开发Trust without Boundaries关于安讯奔北京安讯奔科技有限责任公司（以下简称“安讯奔”），是中国身份管理和应用安全解决方案领跑者，专注于为全球金融机构和安全敏感环境提供身份管理及认证、特权凭证和访问控制管理解决方案的本土提供商。关于安讯奔我们设计和研发自主品牌、银行级的统一身份管理, 应用安全和通用认证产品，以保护隐私和机密信息。主要股东:华胜天成集团 /百富勤大中华资本增值基金办事处:北京、成都、上海、深圳、珠海研发与技术支持中心：北京、珠海、新加坡员工：员工总数超过200，其

2、中超过130位员工是开发人员安全认证 超越云端 软件产品我们的软件产品已经“中国化”，满足中国本地用户的需求。知识产权和资质我们已在中国申请了各种知识产权和资质，满足中国市场业务需求。软件著作权销售许可证我们设计和构建自主品牌、银行级的凭证管理和通用认证产品，以保护隐私和机密信息。正在申请中的专利 具有政府采购资格商务无界限 安讯达千里安讯奔的技术已帮助超过150个全球性和区域性金融机构，政府机构和大型企业，以保护机构/企业的机密信息和关键业务交易，资产总值估算超过10万亿美元。安全认证 超越云端Beijing An Xun Ben Technology (AXBSEC) as a leade

3、r in China for Identity, Credential and Access Management Solution enables individuals, organizations and societies to build trust and identity assurance for powering huge productivity gain.作为中国领先的身份管理、认证和访问控制解决方案的提供商，安讯奔致力于为个人、企业和全社会建立可信和可靠的身份管理体系，以提升巨大的生产力愿景Vision Statement安讯奔如何支持我们的客户我们的价值主张是扩大我们

4、客户的业务空间!RAMP声誉 Reputation审计合规 Audit compliance减少金融风险 Minimize Financial risk利润和生产率增长 Profit and Productivity Growth产品分类移动保护移动应用身份认证移动单点登录手机令牌移动应用管理（扫描、监控、加固）近距离无线通讯技术(NFC )云计算/互联网保护虚拟机安全保护端到端加密联邦身份认证及单点登录安讯奔完整解决方案身份保护集中用户身份管理统一身份认证单点登录 SSO特权账号管理集中授权管理数据保护数据库访问监控,审计,数据屏蔽虚拟机安全保护数据实时加密统一身份管理及强化认证平台企业，云

5、和移动应用提供安全管理，强化认证及端到端密码/数据加密保护解决方案移动设备安全平台身份管理及认证平台i-Sprint集团与安讯奔科技建立了战略合作伙伴关系，已授权安讯奔科技在国内使用其所拥有的最新技术、产品和资源。插入式认证模块(PAM)和认证领域AccessMatrix 支持多用户存储、多因素和多步骤认证Active DirectoryLDAPRADIUSKerberosNTLME2EEAWeb token问答图片Matrix CardEMV-CAP外部认证集成Access Manager插入式认证模块一次性密码帐号 密码PKI 数字证书开放接口基于知识的带外数据认证领域（多步认证流程）生物

6、认证 You future is secure with ourA-B-C-D-EAuthentication 身份认证通过不同的验证方法加强用户认证Biometrics - 生物识别纳入下一代成本效益的生物认证，加强身份识别Cloud -云安全云环境具有和公司内部一样的安全环境Device for Mobility -移动设备保护用户可以安全地通过移动设备去使用公司里的资源 End to End Encryption -端到端加密端到端加密防止内部欺诈的身份和数据被盗我们的安全技术重点与未来: A-B-C-D-E 移动安全解决方案Enable individuals, organizatio

7、ns and societies to enhance the “Power of Mobility” through the use of any intelligent mobile device as a trusted device to protect, store, retrieve and process data/information as well as to authorize transactions将任何智能移动设备作为一个值得信赖的设备，保护，存储，检索和处理数据/信息以及授权交易，使个人，企业和社会感受 “安全无忧的移动生活”。-畅享移动安全无忧！愿景移动安全In

8、tegrate our proven world-class security solution with any intelligent mobile device to create ahighly secure trusted device with ease of use . We will continue to incorporate latest and state of the art mobile technologies to innovate leading edge features in Mobile Protection, Identity Assurance, a

9、nd Transaction Authorisation.通过我们先进的安全的，久经考验的安全平台让任何智能移动设备与“易用性”同时存在，打造一个高度安全可信的移动设备。我们会继续创新，为社会提供更好的移动安全服务。使命宣言移动安全移动平台安全解决方案YESsafe TokenYESsafe IDYESsafe Mobile SSO PlatformYESsafe Mobile Application Security ServicesYESsafe Personal Information Manager（PIM）YESsafe SDKYESsafe2大产品家族YESsafe是移动设备安全管

10、理平台AccessMatrix是统一身份管理及强认证平台安讯奔依托自主知识产权的YESsafe系列和AccessMatrix系列2大产品家族，实现移动设备安全加固、身份管理、企业级单点登录、网络单点登录、统一认证和特权账号密码管理的集成方案，具有可靠性、稳定性和灵活性；不断为企业、云和移动应用提供统一身份管理、强化认证、单点登录及端到端密码/数据加密保护解决方案YESsafe 手机令牌 Mobile Token提供一个具有成本效益的移动令牌的平台，以取代USB PKI 令牌和OTP令牌减少令牌成本，分配成本 e.g. 自助服务 和运营成本 e.g.用户支持提供更简单性和易用性的方法，使用智能移

11、动设备来提供让强身份验证和授权YESsafe手机令牌价值主张YESsafe手机令牌YesSafe令牌是利用基于成熟的技术和算法验证和授权的新一代移动安全令牌，通过移动软件令牌的方式来实现验证用户身份和进行授权验证两大主要功能一次性密码(OTP)PKI / 数字证书提供交易签名保证信息的不可抵赖性和数据完整性保护NFC Card蓝牙4.0/BLESecure MicroSDK Card with PKISIM Jacket wth PKI CardPhone ConnectorLightingUSB利用硬件保护PKI密钥 YESsafe Mobile Token功能YESsafe令牌配合Acce

12、ssMatrix通用认证服务器(Universal Authentication Server，UAS）、令牌管理服务器共同使用，以实现验证用户身份和进行授权验证的两大主要功能基于时间的OTP功能只响应的OTP令牌有挑战码响应的OTP令牌带交易签名的OTP令牌 （What-you-see-What-you-sign)基于PKI/电子证书功能带电子交易签名的令牌 （What-you-see-What-you-sign)YESsafe手机令牌结合OTP和PKI功能YESsafe令牌充分利用移动设备的高级功能，通过智能的方式来捕捉的交易数据并使安全变的简单摄像头作为扫描/光学设备而不需要在交易数据时

13、键入任何操作通过蓝牙/ NFC / USB /PUSH Notification等方式推送通知进行身份验证和授权数据支持不同的交付渠道例如网络，手机，电话，信息亭，无人值守柜台，呼叫中心等。移动连接提供双通道身份验证和授权 消除中间人攻击问题同时支持在线和离线模式YESsafe手机令牌将安全简化! 离线模式(没有流量) 使用移动设备上的摄像头扫描加密的QR码或条形码获取各种不同渠道（web，kiosk ）的交易信息 支持可配置的数据格式，以提供最大的灵活性 支持离线模式YESsafe手机令牌作为一个光学令牌YESsafe手机令牌光学扫描捕获成交纪录1用户成功登录并执行交易2一个加密的QR码包括

14、交易细节将显示3用户使用YESsafe令牌来扫描QR码来获取交易信息并输入PIN码以确认，并生成OTP轉帳交易轉出帳號:xxxx轉入帳號:xxxx轉帳金額:xxx交易签名789457利用移动平台上的推送通知功能来接收的交易批准通知和详细的交易信息提供一个不同的交付渠道进行认证YESsafe手机令牌推送通知来捕获成交纪录 在线模式 （使用流量连接为OOB回传通道）YESsafe手机令牌交易授权通过第二个通道1用户成功登录并执行交易3用户将审查该交易请求，并通过输入用户PIN码在移动设备上批准该交易Enter PIN to Approve*2加密的授权请求将通过推送通知由用户发送到移动终端审批轉帳

15、交易轉出帳號:xxxx轉入帳號:xxxx轉帳金額:xxx交易签名789457利用移动设备的现有连接接收并确认进行交付交易信息的认证和授权通过让两种不同的沟通渠道，完成交易提供额外的安全YESsafe手机令牌使用第二个通道或者带外通道进行交易授权YESsafe手机令牌利用第二个通道/带外通道进行光学扫描和交易授权1用户成功登录并执行交易2一个加密的QR码带交易细节将会显示3用户使用YESsafe Token扫描QR码接收交易信息并输入一个PIN码确认4批准将通过第二通道发送到身份验证和授权服务器轉帳交易轉出帳號:xxxx轉入帳號:xxxx轉帳金額:xxx確認 取消EnterPassword*YE

16、Ssafe手机令牌利用第二个通道/带外通道推送通知和交易授权1用户成功登陆并执行一个交易3在移动设备上用户将检查交易请求输入PIN码批准交易2加密的授权请求将发送到手机推送告警让用户批准4认证和授权批准或者签名信息通过手机设备交付给服务器轉帳交易轉出帳號:xxxx轉入帳號:xxxx轉帳金額:xxx確認 取消Enter PIN to Approve* YESsafe手机令牌安全保护用户注册需要下载令牌种子或软的PKI证书，并通过认证过程激活令牌所有的令牌种子使用唯一的设备ID和其他用户信息为基础在本地加密。令牌和外部来源的所有数据交换，例如QRcode的，推送通知，服务器等之间通过服务提供商的密

17、钥和设备密钥进行加密。设备指纹令牌激活过程中捕获信息为用户设备验证和数据加密检查YESsafe令牌是否在一个被ROOT的的设备上运行，并允许服务供应商决定行动YESsafe手机令牌应用程序保护的实现 交易数据的完整性保护使用端到端加密，以保护数据的完整性进行双向通讯 双通道的交易签名要求用户签名交易基于数据并从服务器的确认交易数据确认要求用户重新输入随机的一项重要的交易数据，强制用户验证确认信息，例如受益人帐户号码账号提交: -999随机挑选几个数字，供用户确认e.g. *9-9*-999-* or 999-9*-999-* YESsafe手机令牌其他安全控制来保护交易完整性YESsafe令牌

18、是新一代移动OTP和PKI令牌的解决方案也具有强烈关注安全的设计。与传统的OTP令牌和PKI令牌比较，它提供了许多灵活的用例和易用性方面。YESsafe令牌已与FIPS和EAL4级认证的芯片集成，以保护种子文件和数字证书，并提供极高的安全性除了签约的功能， YESsafe令牌支持双通道认证和授权功能，它克服了传统的令牌的限制和一些常见的漏洞，如MITMA，MITBA等总结YESsafe Mobile Token (OTP & PKI)YESsafe Mobile ID (Access Portal, Mobile SSO)YESsafe Conference ID & Management S

19、ystem YESsafe Personal Information Manager（PIM）YESsafe SDKYESsafe移动安全平台 PKI SupportPKI（Public Key Infrastructure ） 即公钥基础设施，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI(Public Key Infrastructure)CA(Certificate Authority)C

20、A(Certificate Authority)是数字证书认证中心的简称，是指发放、管理、废除数字证书的机构。CA的作用是检查证书持有者身份的合法性，并签发证书（在证书上签字），以防证书被伪造或篡改，以及对证书和密钥进行管理。PKCS(The Public-Key Cryptography Standards)是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。PKCS#10：描述证书请求语法。PKCS#12：描述个人信息交换语法标准。描述了将用户公钥、私钥、证书和其他相关信

21、息打包的语法。PKCS(The Public-Key Cryptography Standards)CSR(Cerificate Signing Request) ，即证书请求文件，也就是证书申请者在申请数字证书时由CSP(加密服务提供者)在生成私钥的同时也生成证书请求文件，证书申请 者只要把CSR文件提交给证书颁发机构后，证书颁发机构使用其根证书私钥签名就生成了证书公钥文件，也就是颁发给用户的证书。CSR CSR(Cerificate Signing Request) YESsafe PKI Token分为软件和硬件两种。AM5.3.0上搭载了小型CA服务器，用于YESsafe PKI To

22、ken的验证。YESsafe PKI Token软件PKI令牌流程：在YESsafe Token应用里产生一对公钥和私钥，生成PKCS#10格式的CSR证书并把私钥保存在YESsafe Token上。上传CSR证书到AM5服务器，CSR证书让AM5搭载的CA服务器签名后，传送回YESsafe Token保存。YESsafe Token 使用私钥对信息签名，然后把信息，签名和证书，一起发送到AM5验证。Software PKI TokenHardware PKI Token我们现在支持硬件令牌，应用流程：YESsafeToken服务器生成CSR证书，让AM5搭载的CA签名后，和私钥一起生成PKCS#12格式的pfx文件。把pkx文件导入mToken硬件令牌。当有信息需要签名的时候，YESsafeToken搜索mToken硬件令牌，通过BLE（Bluetooth Low Energy）技术和mToken连接。把信息传送到mToken签名，并取的签名证书。把信息，签名和签名证书一起传到AM5认证。 PKI Demo FlowYESsafe PKI Token De