安全需求

——

4A的是一套以身份为中心的，基于账号、认证、授权、审计功能为一体访问管控平台，是用户登录其他网络和系统的统一入口。账号与认证是4A平台运转机制的关键和基础，只有实现了安全的身份认证鉴权，才能保证准入、审计、入侵检测等安全机制实施的有效和可信。当前4A平台如何确保身份实体在网络空间的唯一性和真实性，以及所使用的认证技术手段的安全性是IAM体系可持续发展须迫切解决的问题。在当下的技术结构中，知识类认证方式（所知）、资产类认证方式（所有）、本征类认证方式（所是）是构成身份认证技术主要方式。运营商4A平台采用口令、短信、OTP、指静脉等方式进行身份认证，但此类认证方式存在极大的漏洞与隐患，无法有效的抵御身份欺骗、穷举、重放、绕过、审计数据被篡改等攻击手段，面临着非授权登录、信息泄露等安全风险。

密码技术是计算安全、可证明安全、无条件安全的，是当今唯一不存在技术缺陷的安全模型。商用密码技术保障网络空间实体身份的真实性，信息的保密性、完整性及行为的可信赖，从而建立网络空间信任体系，实现网络空间安全、可信、可控的互联互通，切实保障4A平台的系统和数据资产安全。

4A统一安全管理平台密码应用方案

优势特色

——

解决方案

——

方案以4A平台共性需求和国产商用密码技术为出发点，基于SM2+SM9密码算法体系，采用数字签名和对称加密技术机制，增强4A平台在身份管理、身份数据、访问控制、安全审计等方面的安全能力。为网络所有参与实体构建可信数字身份，为访问主体和访问客体搭建动态的信任关系，为所有访问请求进行加密、认证和强制授权，为4A平台的敏感重要数据提供机密性完整性保护，为平台相关的设备提供密码应用能力。

客户端提供SM2/SM9协同签名客户端（密码模块）与移动社区APP集成，通过分量密钥安全存储、SM2协同签名、SM9协同签名等密码运算能力，实现移动社区APP基于国密技术的扫码登录功能和获得访问票据TOKEN的服务。服务端部署硬件密码机、协同签名系统、密钥管理系统，支持国密SM2、SM9、SM3、SM4算法，为4A平台、移动社区Server提供密钥生成、密钥拆分、密钥生命周期管理、公共参数维护、随机数生成、联合签名/验签等密码计算功能，实现4A平台、移动社区Server的国密身份认证、访问鉴权、可信身份、可信审计、敏感数据保护的安全能力。