安全需求

——

飞书是一套协同办公与企业管理的平台，集即时沟通、知识库、音视频会议、文档协同、云盘、工作台等功能于一体。它是现代化企业管理的重要工具之一，可以帮助企业提高管理效率、工作效率和信息化水平，降低成本、提高质量，增强员工的工作积极性和创造力，从而增强企业的竞争力和可持续发展能力。飞书提供常规适度的身份、访问、数据的安全机制和技术，支持与企业现有的SSO单点登录系统集成完成双向身份的互信，但目前，不管是飞书原生的身份认证机制还是集成的SSO系统的身份认证机制，均采用的是“用户名+口令”登录飞书工作台。

当下的技术结构中，基于身份机制的实体认证鉴别技术，是网络信息系统中应用最广泛和最被认可的。身份认证鉴别是验证的形式化过程，是对主体或资源所声称特性数据属性的真实性进行确认的过程。身份认证鉴别的实质就是证明“你就是你”。宏观上讲，身份认证鉴别的方式有3类方法：所知（根据你所知道的信息证明身份，如用户名+口令等）、所有（根据你所拥有的东西证明身份，如身份证、信用卡、工牌等）、所是（根据你的身体特征证明身份，如指纹、声音等）。采用“用户名+口令”的校验方式，存在较大的安全隐患，如口令太简单，容易被猜测；口令在公网中明文传输，容易被篡改；黑客通过重放、撞库、中间人攻击、穷举法/字典法、网络钓鱼等破译技术盗取用户名和口令导致信息泄露与数据安全事件，任何意外或恶意的泄露行为，都很可能造成企业重要信息泄露、数字资产受损、商业竞争力下降，严重事件甚至将直接威胁到企业的日常经营。 

飞书商用密码应用解决方案

优势特色

——

解决方案

——

为解决客戶员工在不同设备使用飞书的用户身份认证、访问鉴别的安全需求，拉通业务系统统一登录平台、JumpServer堡垒机平台、特权账号管理平台、认证平台、腾讯iOA等不同应用系统身份认证和鉴权体系的国密算法技术应用，实现飞书和其他应用系统中用户身份的合法性和真实性。构建一套基于IBC、PKI多密码体制的统一的密码服务平台，支持SM1、SM2、SM3、SM4、SM9系列国产商用密码算法，通过软件密码模块+REST API接口对外提供统一的身份认证、权限鉴别等密码应用服务。

1. 飞书APP集成SM2/SM9协同签名客户端（密码模块），实现基于数字签名技术机制的身份认证和鉴权，员工用户通过扫码方式登录飞书Web工作台和飞书APP。

2. 飞书H5集成JSON-SDK，实现基于数字签名技术机制的身份认证和鉴权，员工用户通过托管密钥登录飞书H5应用。

3. 飞书PC客户端集成SM2/SM9协同签名客户端（密码模块）的SDK，实现基于数字签名技术机制的身份认证和鉴权，员工用户通过标识密钥登录飞书Web工作台。

4. 飞书WEB端的浏览器侧集成JSON-Web的SDK，实现基于数字签名技术机制的身份认证和鉴权，员工用户通过证书登录飞书Web工作台。

5. 统一密码服务平台为设备及业务系统提供身份鉴别密钥、数据保护对称加密密钥、密钥管理密钥、会话密钥的生成、分发、使用、存储、更新等功能。

6. 统一密码服务平台采用分布式+异地灾备+高并发部署架构，实现37万人7x24系统服务。