【
智慧城市网 品牌专栏】身份认证,既是企业网络安全的第一道防线,也是员工进入业务系统的第一个环节。在企业数字化转型持续深化、业务数字化水平不断提升的当下,身份认证不但要提升安全性,应对层出不穷的网络攻击,还要提升易用性,让员工操作更便利。在此背景下,
多因素认证、尤其是使用移动App的多因素认证,受到了企业和员工的欢迎。但是,多因素认证远远不是扫个码、刷个脸这么简单,而是需要诸多底层技术的支撑。企业想要实施多因素认证,实现安全与体验兼顾,必须从底层技术入手,构建完整的多因素认证体系。
案例背景
某水利监管机构(以下简称“C机构”)是水利部派出的重要流域管理机构,在流域内水资源管理、水资源保护、水土保持、采砂管理、河湖管控等工作中发挥着重要作用。C机构高度重视信息化建设,大力推进信息化与水利业务深度融合,建立了诸多业务应用,取得了丰硕的成果。为了统一管理职工身份,C机构建设了统一身份认证系统,为职工提供统一应用门户和单点登录功能,让职工可以在PC端和移动端一站式访问权限内的业务应用。
但随着近年来政务外网应用系统的数量和系统用户不断增加,以及业务和系统架构变得越发复杂,同时面临着密码认证带来的“弱口令”问题,现有统一认证服务已经难以满足当前和未来业务和管理上的需求。为了解决这一问题,C机构迫切需要对现有的统一身份认证系统进行改造,计划基于原有的身份认证App实现多因素认证,在提升身份认证安全性的同时,最大程度保证职工操作的便利性。
为了保证多因素认证的可靠性,C机构对解决方案的底层能力提出了明确的要求。
1.设备识别能力:改造后的身份认证App需要准确识别设备信息,为设备生成唯一ID,实现账号和设备的强绑定。
2.身份信息的加密传输与存储能力:移动端和服务端的身份信息必须加密传输和存储,避免身份信息被劫持后遭破译;身份认证App具备安全存储密钥的能力,并保障加密、解密过程的安全。
3.终端安全能力:身份认证App需要能够检测终端设备的安全性,识别模拟器、攻击框架、木马、病毒等安全威胁,保证App在安全的环境中运行。
方案设计
芯盾时代根据C机构的要求,基于自主研发的用户身份与访问管理平台(IAM),结合在水利行业丰富的身份管理项目经验,对C机构原有的统一身份认证系统进行改造,采用设备指纹、智能终端密码模块、终端威胁态势感知模块等产品,将手机打造成移动U盾,大幅提升安全水准,帮助C机构构建多因素认证所需的能力基座,最终全面实现业务应用的多因素认证。方案功能与设计如下:
1.多因素认证模块:对C机构原有的身份认证App进行改造,集成多因素认证模块,新增App扫码、动态口令、
指纹识别等认证方式;
2.设备指纹模块:以SDK形式集成在身份认证App中,自动采集设备特征,为每一台终端设备生成唯一的设备ID;
3.终端密码安全模块:以SDK形式集成在在身份认证App中,采用多重密钥体系、白盒算法、安全沙箱,实现密钥的安全存储,保证身份信息加密、解密过程的安全;
4.终端设备态势感知模块:在身份认证App中集成终端威胁态势感知模块,在事前核查终端安全基线,在事中实时检测设备运行状态并保证App运行环境的安全。
客户价值
经过此次改造,C机构全面不但实现了业务应用的多因素认证,身份安全水平显著提升,还构建了坚实的身份安全基座,为后续的信息化建设奠定了基础。
1.全面实现多因素认证,安全与便利兼顾
方案部署完成后,C机构的统一身份认证系统具备了多因素认证能力,诸多业务应用一站式实现了多因素认证,应用安全性得到了显著提升。C机构的职工可以借助身份认证App,采用指纹识别、动态口令、手势识别等方式完成身份认证,操作更加便利。
2.准确识别登录设备,杜绝非法设备入网
芯盾时代结合机器学习技术,采用新的算法提升设备指纹的适配性,抑制传统设备指纹容易发生的指纹漂移和指纹冲突,准确率高达99%以上。借助设备指纹,C机构实现对登录设备的统一管理,将职工账号与设备的强绑定,能够准确识别非常用设备登录等异常行为,提升了身份认证的安全性。
3.身份信息加密存储,多重防护保障安全
智能终端密码模块采用多重密钥体系保证加密、解密过程的安全,以白盒算法保护密钥和数字证书存储及运行过程安全,应用安全沙箱配合独立进程保护,在终端形成独立的软件数据防护区域,防止关键数据被窃取、被篡改。借助智能终端密码模块,C机构所有的身份信息能够以密文形式存储和传输,即使信息被劫持也难以被破译和篡改。
4.监控终端运行状态,保障运行环境安全
芯盾时代终端威胁态势感知模块内置模拟器检测270+款,双开程序检测40+,以及攻击框架、调试状态、高危软件、Root/越狱、代理服务器等独有检测技术,能够准确评估设备安全基线,避免带病设备入网。借助模块的环境安全清场功能,身份认证App会尝试清除威胁进程和应用,并提醒用户运行环境不安全,保证App在安全的终端环境下运行,避免因设备安全问题导致的安全风险。
芯盾视点
当前,网络钓鱼、数据泄露等安全事件频发,员工身份凭证外泄的情况越来越多,企业迫切需要实施多因素认证,防范身份冒用。但是多因素认证是多种技术能力的整合,需要安全厂商对身份安全有深厚的技术积累和完整的解决方案。企业在选择多因素认证产品方案时,应全面考察企业的技术能力,保证多因素认证产品自身的安全可靠。C机构此次的多因素认证项目,对有类似需求的组织和企业有着重要的借鉴意义。