安讯奔uas-e2ee intro统一身份管理及强认证平台

1、统一身份管理及强认证平台端对端密码/数据加密保护解决方案北京安讯奔简介由全球银行专业人士设计、架构和开发北京安讯奔关于北京安讯奔科技端对端（E2E）加密的商业需求我们的客户为什么选择安讯奔? 我们研发银行和企业级应用安全管理及强化认证产品，以确保它们能安全地访问私人及机密信息安讯奔方案客户北京安讯奔(在北京中关村注册的中国公司)我们设计和构建自主品牌、银行级的统一身份管理, 应用安全和通用认证产品，以保护隐私和机密信息。主要股东:华胜天成集团 /百富勤大中华资本增值基金办事处:北京、成都、上海、深圳、珠海研发与技术支持中心：北京、珠海、新加坡员工：员工总数超过200，其中超过120位员工是开发

2、人员国内外金融案例： 中银北分 中银香港 中银保险 交行香港 兰州银行 宁波银行 泰安商行 浦发银行 中信国际 花旗集团 大华银行 瑞士联合银行 中国联通安全认证 超越云端 产品分类总体解决方案安讯奔科技的市场地位安全認証 超越雲端我们专注于统一身份、凭证和访问管理的解决方案，我們是世界级综合信息安全解决方案的提供商统一身份管理及强化认证平台企业，云和移动应用提供安全管理，强化认证及端到端密码/数据加密保护解决方案移动设备安全平台身份管理及认证平台i-Sprint集团与安讯奔科技建立了战略合作伙伴关系，已授权安讯奔科技在国内使用其所拥有的最新技术、产品和资源。身份管理及强认证整合方案统一的身份

3、认证支持多种身份认证方式支持多步骤认证AccessMatrix 整体解决方案统一单点登录能使webSSO 应用程序和非webSSO 应用程序都运行SSO统一的凭证管理统一的审计报告交互式用户和功能性ID的用户身份管理特权ID和密码的使用管理提供访问跟踪和报告的能力来报告管理员工作、访问活动以及违背安全策略的活动帐户/密码应用程序应用程序应用程序网络设备主机应用程序操作系统登陆实现目标统一身份管理支持多种安全级别的认证方式企业应用统一入口（SSO）实现跨系统的统一授权和鉴权实现跨系统的功能整合基于任务的标准化作业插入式认证模块(PAM)和认证领域AccessMatrix 支持多用户存储、多因素和

4、多步骤认证Active DirectoryLDAPRADIUSKerberosNTLME2EEAWeb token问答图片Matrix CardEMV-CAP外部认证集成Access Manager插入式认证模块一次性密码帐号 密码PKI 数字证书开放接口基于知识的带外数据认证领域（多步认证流程）生物认证国内部分成功客户名单唯一真实的IAM的整合解决方案，可节省最少50%的项目实施时间。内建的细粒度和可自定义管理委托模块，是特地为大型公司企业的复杂管理架构、SaaS 和云服务而设计的。嵌入的最佳安全实践，以避免超级用户相关的内部危险，并去除繁重的互斥控制。现成可用的并与经FIPS证明的硬件安全

5、模块（HSM）的整合，作为标准产品特性，以支持确保密钥管理和点到点机密保护的安全。安讯奔的整体独特优势 (1/2)银行级别安全设计与大量成功部署，分布于超过45家可参考的世界级全球性和地区金融机构，包括：全球最佳 10 家银行中的 3 家中国排名前十银行中3家我们拥有独特的 IP 可扩展的和面向未来的插入式认证模块（PAM），可支持市场上所有的认证方法。经证实及符合金融监管机构规则要求，在过去的 10 年，客户项目成功率达到100%。安讯奔的整体独特优势 (2/2)业界认可Gartner Group高德纳集团ESSO全球市场范围研究（2006-2013）全球SAPM范围研究（2008年2月-2

6、013）全球认证范围研究（2008-2013）全球WAM研究（2008-2013）业界认可Burton 集团：AccessMatrix USO （2008年9月）. AccessMatrix支持分层策略模型，可以适应首选的组织模式。策略检查可以执行基于角色的职责分工，变更请求需要得到两个管理员的批准。Gartner Group高德纳集团ESSO全球市场范围研究（2006-2013）全球SAPM范围研究（ 2008年）全球认证范围研究（2008-2013）全球WAM研究（2008-2013）可信度i-Sprint 的技术经过很多世界知名机构的专业评估:从2006年起一直出现在Gartner的评估

7、报告中纽约花旗银行信息安全机构的专业评估苏黎世UBS 信息安全机构的专业评估ABN Amro 全球技术风险和合规部门的评审 (伦敦/阿姆斯特丹)受DBS委托的路透社咨询机构评估受新加坡国税局委托的安永(E&Y)事务所 新加坡内务部评审受新加坡教育部委托的HP专业咨询评估新加坡公共安全局 PRC Level 1 clearanceIBM 安全和个人事务安全评估(北美） Japan LS Forum新加坡金融管理局E2EE( End-to-End Encryption)端对端密码/数据加密保护解决方案互联网业务的安全挑战商业应用互联网络SSLWeb服务器木马(按键纪录器)和钓鱼身份假冒和模仿内部威

8、胁BYOD移动不可信的环境云计算控制和问责公共云互联网业务 - 安全管理及强认证解决方案商业应用互联网络SSLWeb服务器木马(按键纪录器)和钓鱼身份假冒和模仿内部威胁BYOD移动不可信的环境云计算控制和问责公共云生物认证动态键盘强认证端到端加密认证设备认证 解决对策许多全球和地区性金融机构都已部署了AccessMatrix解决方案，以满足监管机构对网上银行业务的监管要求E2E端到端密码加密认证运用2FA设备授权运用2FA设备认证在运输和储存过程中，使用硬件安全模块（HSM）保护令牌种子监管要求静态密码登录ID/PIN是确认用户在线身份最常用的认证方式。如何保护客户静态PIN码已成为许多机构和

9、ASP/MSP/SaaS服务供应商最关注的问题在PIN码生成、分配、更改和重置过程中，确保PIN码端对端被保护防“内鬼”，特别是防止系统管理员用已知的密码内容更换用户的密码，来获得受害人的帐户信息提供100%的保证，确保除了生成 PIN码的可信硬件外，没有人可以知道用户的密码/PIN,包括Web服务器等中间层服务器在内防止交易数据和敏感信息在传输过程中被泄露和篡改，确保交易数据的机密性和完整性需要避免任何潜在的安全威胁和防止黑客使用重放（replay）攻击 商业需求 - E2E Encryption 端到端加密缺点和潜在的内部威胁Fund TransferTo Account: 2567890

10、Amount: USD100,000客户个人电脑后端应用程序 互联网通过SSLWEb服务器PIN邮件信封在生成、更改、重设PIN过程中，PIN信息可能被暴露 在内部网络中，PIN信息和机密交易数据是明文信号，它们可能会被截获SSL终止在网络服务器，除此之外，传播的信息没有被加密登录用户名: JohnDoe密码: *0 010100 01010JohnDoeMypassword2567890USD100,000明码数据 JohnDoeMypassword2567890USD100,000明码数据 金融行业的合规性要求Hong Kong Monetary AuthorityThe Monetary

11、 Authority of SingaporeInternet Banking Technology Risk Management Guidelines, Version 3.0 Jun 2008银行必须确保已加密和已授权的Session在整个通信过程中保持完整。如果出现安全问题，此Session必须终止，受影响的交易必须解决或撤销 需要注意的是，SSL不能提供端对端系统加密安全AccessMatrix UAS 端对端加密(E2EE)模块AccessMatrix UAS 通过策略控制用户管理，建立信息系统统一用户视图，统一管理用户认证，实现多种认证方式的平滑选择，实现按需动态设置认证强度和认

12、证策略。使用插入式认证模块(PAM)的办法，支持多种的认证方法 ，可以很容易地增加新的认证方法，来迎合新的认证方法。即开即用的端到端令牌生命周期管理模块大大地简化了令牌的发放和生命周期管理。UAS 提供细粒度和可配置认证策略登录策略、密码有效期策略和密码安全质量策略基于多层Java的架构提供广泛的服务器平台和可扩展性以加密器(HSM)来提供强有力的密钥管理，为用户认证进行高效的加密解密服务。AccessMatrix UAS 统一身份认证安全平台插入式认证模块(PAM)和认证领域AccessMatrix 支持多用户存储、多因素和多步骤认证Active DirectoryLDAPRADIUSKer

13、berosNTLME2EEAWeb token问答图片Matrix CardEMV-CAP外部认证集成Access Manager插入式认证模块一次性密码帐号 密码PKI 数字证书开放接口基于知识的带外数据认证领域（多步认证流程）生物认证 AccessMatrix UAS 端对端加密（E2EE） 模块一个现成的产品提供完整的管理和集成平台，让客户能够使用HSM设备，提供端对端的数据加密保护在传输过程中，为敏感商业交易数据提供交易数据的机密性与完整性利用嵌入式认证模块PAM，E2EE PAM可以与其他强认证解决方案一起工作，如OTP令牌、PKI令牌，以增强登录过程的安全性HSM集成，为机密信息提

14、供强密钥管理以及加解密服务 E2EE 模块端对端加密保护 (1/2)SSL加密SSL加密SSL解密SSL解密SSLSSL明文数据明文数据Web浏览器Web服务器后端服务器SSL模式不能端对端保护数据SSL加密SSL加密SSL解密SSL解密E2EE 加密E2EE 解密SSLSSL+始终加密Web浏览器Web服务器后端服务器端对端数据保护端对端加密保护 (2/2)Fund TransferTo Account: 2567890Amount: USD100,000客户个人电脑后端应用程序基于SSL的网络网络服务器邮件程序PIN信息在硬件安全模块（HSM）内部生成，排除暴露的可能性。PIN信息与机密交

15、易数据在内部网络加密。SSL终端在网络服务器，PIN信息和机密交易数据被加密。LoginUser ID: JohnDoePassword: *7xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls0 010100 010107xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls加密JohnDoeMypassword2567890USD100,000解密7xayxtwdajeqjlwxyxjaxjt873A6814591731jhqqjljls互联网应用AccessMatrix UAS与加密器(HSM)集成互联网用户PI

16、N在桌面上加密用户PIN只能在HSM内部进行PIN解密和比较End-to-End Security Domain端对端的安全域从客户设备到企业，E2EE保护用户的密码最终用户的个人电脑AccessMatrix UAS 端对端加密（E2EE）端对端密码保护是在客户个人电脑和公司硬件安全模块（HSM）中创建一个安全域在这个安全域中，机密信息在客户个人电脑（客户端）中加密，而此信息只能在公司的硬件安全模块（HSM）中通过解密来验证因此，有了这一端对端加密，机密信息不会在不受信赖的环境中被暴露因为硬件安全模块（HSM）是一个独立防篡改的环境， 所以，唯一能显示机密信息的地方就是客户的个人电脑 1234

17、56打印机7UASServerSafenetProtect Server/EFTE2EEApplet程序, JavaScript或移动应用程序 网络Web服务器应用程序服务器UAS服务器E2EE端对端加密 API加密器HSM E2EE端对端加密PAMEnd-to-End Encryption 端对端加密AxMxRegistry注册表PIN邮件程序网关ASAAccessMatrix UAS E2EE 端对端加密 组合AxMx UAS安全服务器安全认证服务器储存了用户信息、认证和访问控制信息，来执行认证和授权决定为所有用户和管理员活动提供审计跟踪信息和报告模块AxMx UAS E2EE SDKE2

18、EE Applet/Javacript/移动应用程序：在客户浏览器中加载E2EE SDK，对登录ID/PIN和机密数据进行加密应用程序安全代理（ASA）：API库用来在UAS服务器和E2EE操作之间提供服务E2EE嵌入式认证模块（PAM）：UAS E2EE认证模块，调用E2EE API来验证PIN及更改密码等PIN打印程序模块PIN打印程序模块调用E2EE API，在HSM内生成密码，并通过直接与HSM联接的打印机打印密码信封HSM软件接口实现UAS服务器和HSM设备间的集成和通讯AccessMatrix UAS E2EE 端对端加密组件支持基于XML-RPC, SOAP的Web Servic

19、es调用提供Java, .Net, Andriod, Object C集成示例代码, 仅需5至20行代码即可完成远程服务调用提供详细的异常处理说明支持目前所有流行的应用服务器以及客户端调用无需培训既可以现有系统无缝衔接详尽的配置以及使用文档请参阅与现有应用集成(1/2)可选java applet或javascript作为客户端加密库来集成现有系统实现E2EE验证仅需2次远程调用(XML-RPC或SOAP)即可完成用户认证, 修改密码, 重置密码等操作1) 预认证: 调用AccessMatrix提供的service来获取加密所需信息2) 登陆/密码认证: 利用预认证获取的信息调用applet或者

20、javascript加密用户密码, 调用相应service进行认证, 认证成功系统会生成一个session ID 用于后续操作验证密码质量策略以及密码过期策略属性等可以通过AccessMatrix进行设置与现有应用集成(2/2)快速迁移：现有应用程序为用户在用户表中创建一个标示来标示是否已经完成迁移如果标志是“N”,在登录时如果用户使用现有的静态密码,用户将强制执行更改密码创建E2EE密码 如果标示是“Y”，用户将被引导至E2EE登陆页面如果一段时间以后，比如：6个月。现有用户密码登陆页面将被移除并且“没有迁移”将被调用。这时，服务台将请求一个新的E2EE密码来登陆。迁移现有用户到端对端加密(E2EE)1或2台运行AccessMatrix的硬件服务器1或2台HSM如需打印密码还需1台连接到HSM的打印机硬件需求结合软件和防篡改硬件，防止他人通过共享宽带无线链接进行任何凭据盗窃活动。从登录点（如客户浏览器）到验证点（如HSM），整个过程凭证都一直被加密克服了SSL的缺点，提供额外的安全功能，从登录点一直到Web服务器、后端处理应用的主机系统，全程加密保护机密信息启用已增强的