密碼服務(wù)平臺(tái):助力政企“密碼認(rèn)證”取代“口令登錄”
據(jù)《左傳》記載:公元前525年,吳國(guó)與楚國(guó)打仗,吳王乘坐的船被楚軍截獲。吳國(guó)士兵十分著急,便在一個(gè)漆黑的夜晚,派了3個(gè)士兵裝扮成楚兵,潛伏到楚軍中。他們事先約定好,以“余皇”為暗號(hào)互相聯(lián)系,便奪回了吳王的船只。“暗號(hào)”在軍隊(duì)等特殊機(jī)構(gòu)使用,這些預(yù)先約定好的信息通常被稱(chēng)為“口令”,作為驗(yàn)證身份的一種方法,這就是現(xiàn)在信息系統(tǒng)中賬號(hào)口令的前身。
1.泄密事件頻發(fā),口令登錄安全性低
在現(xiàn)代社會(huì),隨著信息化和互聯(lián)網(wǎng)化的不斷發(fā)展,用戶口令因其簡(jiǎn)單和低成本而得到了廣泛地使用,已經(jīng)滲透到生活的方方面面,無(wú)論是日常辦公、社交娛樂(lè)還是網(wǎng)上購(gòu)物。然而,這種方式存在嚴(yán)重的安全隱患。它的安全性?xún)H依賴(lài)于口令,口令一旦泄露,輕則造成財(cái)產(chǎn)損失,重則危害人身安全。而且簡(jiǎn)單的口令很容易遭受到字典、窮舉甚至暴力計(jì)算破解。
近年來(lái),頻頻發(fā)生的大規(guī)模“口令”泄露事件:12306網(wǎng)站用戶信息(含賬戶口令)外泄事件、美國(guó)管道運(yùn)營(yíng)商RockYou2021口令泄密事件等。這些都為黑客和不法分子破解用戶“口令”提供了源源不斷的信息,引起人們對(duì)“口令”安全性的擔(dān)憂。
2.密碼認(rèn)證:一種安全合規(guī)的認(rèn)證方式
(1)密碼認(rèn)證概述
“密碼認(rèn)證”是指采用基于對(duì)稱(chēng)密碼算法或者雜湊密碼算法的消息鑒別碼(MAC)機(jī)制,或者基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份認(rèn)證。它是一種高安全性的認(rèn)證技術(shù)。最常用的“密碼認(rèn)證”方式,就是基于數(shù)字證書(shū)的認(rèn)證方式,它廣泛應(yīng)用于電子政務(wù)和電子商務(wù)領(lǐng)域。
隨著PKI技術(shù)日趨成熟,許多應(yīng)用中開(kāi)始使用數(shù)字證書(shū)進(jìn)行身份認(rèn)證與數(shù)字加密。數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即CA中心簽發(fā)的,以數(shù)字證書(shū)為核心的加密技術(shù),可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證,確保網(wǎng)上傳遞信息的機(jī)密性、完整性,以及交易實(shí)體身份的真實(shí)性,簽名信息的不可否認(rèn)性,從而保障網(wǎng)絡(luò)應(yīng)用的安全性。
(2)密碼認(rèn)證合法合規(guī)
密碼認(rèn)證,除了具備高安全性的特點(diǎn)以外,還符合國(guó)家對(duì)于身份鑒別的管理規(guī)范要求。政企單位采用密碼認(rèn)證進(jìn)行身份鑒別,可以滿足等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)的相關(guān)要求。
《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019)明確要求:
應(yīng)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別,身份標(biāo)識(shí)具有唯一性,身份鑒別信息具有復(fù)雜度要求并定期更換。
應(yīng)采用口令、密碼技術(shù)、生物技術(shù)等兩種或兩種以上組合的鑒別技術(shù)對(duì)用戶進(jìn)行身份鑒別,且其中一種鑒別技術(shù)至少應(yīng)使用密碼技術(shù)實(shí)現(xiàn)。
應(yīng)對(duì)系統(tǒng)管理員進(jìn)行身份鑒別,只允許其通過(guò)特定的命令或操作界面進(jìn)行系統(tǒng)管理操作,并對(duì)這些操作進(jìn)行審計(jì)。
《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021)明確要求在以下幾種場(chǎng)景需要采用密碼技術(shù)進(jìn)行身份鑒別。
重要物理區(qū)域人員的訪問(wèn)需要進(jìn)行身份鑒別。
網(wǎng)絡(luò)通信實(shí)體雙方需要進(jìn)行雙向身份鑒別。
從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備需要進(jìn)行接入認(rèn)證。
對(duì)登錄設(shè)備的用戶需要進(jìn)行身份鑒別。
對(duì)登錄和訪問(wèn)應(yīng)用系統(tǒng)的用戶需要進(jìn)行身份鑒別。
3.安盟華御PaaS化身份認(rèn)證服務(wù)
安盟華御PaaS化身份認(rèn)證服務(wù),采用云原生技術(shù)架構(gòu),依托公司密碼服務(wù)平臺(tái),為用戶提供基于密碼技術(shù)的強(qiáng)身份認(rèn)證能力,幫助應(yīng)用系統(tǒng)滿足等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)的身份鑒別要求。平臺(tái)基于數(shù)字證書(shū),采用統(tǒng)一的數(shù)字化身份信息,實(shí)現(xiàn)訪問(wèn)用戶身份的統(tǒng)一認(rèn)證,幫助政企單位實(shí)現(xiàn)統(tǒng)一用戶管理、統(tǒng)一應(yīng)用登錄、統(tǒng)一認(rèn)證管理、統(tǒng)一授權(quán)管理和統(tǒng)一日志審計(jì),解決云上應(yīng)用系統(tǒng)用戶分散管理、獨(dú)立認(rèn)證、多次登錄等問(wèn)題。
安盟華御身份認(rèn)證服務(wù)體系
(1)核心能力
基于密碼技術(shù)的強(qiáng)身份認(rèn)證。平臺(tái)提供統(tǒng)一的身份認(rèn)證機(jī)制,為所有應(yīng)用提供統(tǒng)一的單點(diǎn)登錄門(mén)戶界面。門(mén)戶既支持基于密碼技術(shù)的證書(shū)認(rèn)證方式,也支持將證書(shū)認(rèn)證與其他認(rèn)證方式相結(jié)合,為用戶提供多因子認(rèn)證方式。同時(shí),平臺(tái)還可以基于組織機(jī)構(gòu)或者角色配置安全認(rèn)證策略,為管理員和普通用戶提供不同安全級(jí)別的認(rèn)證方式。
安盟華御身份認(rèn)證服務(wù)應(yīng)用統(tǒng)一認(rèn)證門(mén)戶
一體化服務(wù)運(yùn)維管控。平臺(tái)采用多級(jí)消費(fèi)者標(biāo)識(shí)和流控技術(shù),實(shí)現(xiàn)應(yīng)用可信標(biāo)識(shí)、安全訪問(wèn)鑒權(quán)和精細(xì)化限流。同時(shí),支持以多種維度對(duì)身份認(rèn)證服務(wù)調(diào)用情況進(jìn)行統(tǒng)計(jì)監(jiān)控,可視化呈現(xiàn)服務(wù)實(shí)時(shí)運(yùn)行狀態(tài)和密碼應(yīng)用健康態(tài)勢(shì)。
多租戶運(yùn)營(yíng)計(jì)費(fèi)管理。平臺(tái)支持云平臺(tái)多租戶部署,以服務(wù)租賃的方式為各租戶單位提供服務(wù)。支持按租戶單位分配身份認(rèn)證服務(wù)資源,按應(yīng)用進(jìn)行服務(wù)配額管理。租戶管理員可以以本單位視角進(jìn)行應(yīng)用、服務(wù)、資源配額、統(tǒng)計(jì)分析等功能操作。
(2)服務(wù)特色
安盟華御PaaS化身份認(rèn)證服務(wù)基于密碼服務(wù)平臺(tái)為政企單位提供強(qiáng)身份認(rèn)證能力。具備以下特色:
安盟華御PaaS化身份認(rèn)證服務(wù)
服務(wù)PaaS化:采用輕量級(jí)的PaaS化服務(wù),減少用戶投入。貼合云環(huán)境身份認(rèn)證場(chǎng)景,也可滿足傳統(tǒng)身份認(rèn)證服務(wù)需求。
服務(wù)彈性化:用戶可根據(jù)終端和應(yīng)用數(shù)量按需申請(qǐng)身份認(rèn)證服務(wù)資源,并可根據(jù)實(shí)際情況動(dòng)態(tài)調(diào)整身份認(rèn)證服務(wù)能力。
服務(wù)一體化:身份認(rèn)證服務(wù)與密碼服務(wù)平臺(tái)服務(wù)體系中的各類(lèi)密碼服務(wù)、數(shù)據(jù)安全服務(wù)等相互融合,為用戶提供一體化服務(wù)方案。提供統(tǒng)一標(biāo)準(zhǔn)SDK,減少開(kāi)發(fā)人員對(duì)接,應(yīng)用可快速集成密碼能力。
多租戶隔離:支持同時(shí)為云上多個(gè)租戶單位提供身份認(rèn)證服務(wù),采用安全隔離設(shè)計(jì)機(jī)制,有效保證不同租戶單位間身份、應(yīng)用等數(shù)據(jù)安全隔離。
安全合規(guī):平臺(tái)本身符合等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)相關(guān)管理和技術(shù)要求,采用經(jīng)過(guò)商密檢測(cè)的產(chǎn)品和技術(shù),提供的身份認(rèn)證服務(wù)可以幫助應(yīng)用系統(tǒng)滿足等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)的身份鑒別要求。
4.安盟華御密碼服務(wù)平臺(tái) 守護(hù)云時(shí)代身份安全
安盟信息密碼服務(wù)平臺(tái)是安全合規(guī)、統(tǒng)一管理、部署靈活、服務(wù)彈性可計(jì)量的,平臺(tái)對(duì)外向應(yīng)用系統(tǒng)提供高安全的身份認(rèn)證服務(wù)等各類(lèi)密碼服務(wù),消除應(yīng)用系統(tǒng)長(zhǎng)期使用“口令(PassWord)登錄”的安全風(fēng)險(xiǎn),幫助應(yīng)用系統(tǒng)滿足等級(jí)保護(hù)和密碼應(yīng)用測(cè)評(píng)的身份鑒別等各類(lèi)密碼應(yīng)用要求。同時(shí),平臺(tái)采用多模式資源集成技術(shù),通過(guò)整合各種密碼設(shè)備和系統(tǒng)、數(shù)據(jù)安全防護(hù)產(chǎn)品,打造服務(wù)化、場(chǎng)景化,易于行業(yè)快速對(duì)接集成的服務(wù)能力,保障數(shù)據(jù)全生命周期安全,守護(hù)云時(shí)代身份安全,助力網(wǎng)絡(luò)安全事業(yè)發(fā)展,推動(dòng)我國(guó)數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展!
提交
一站式全覆蓋|安盟信息助力建設(shè)云密碼服務(wù)運(yùn)營(yíng)體系
商用密碼產(chǎn)品|服務(wù)器密碼機(jī)的前世今生
創(chuàng)新商用密碼應(yīng)用|火力發(fā)電廠信息系統(tǒng)密碼應(yīng)用方案
攜手共赴未來(lái) 護(hù)航數(shù)智發(fā)展 新奧集團(tuán)與安盟信息簽署戰(zhàn)略合作
智慧礦山無(wú)人礦車(chē)密碼應(yīng)用解決方案