兰州银行统一用户认证和访问控制项目、端到端加密项目、渠道整合 (一户通) 项目
自 2013 年起,安讯奔先后为兰州银行设计并实施了多期信息安全建设项目,由内部的员工统一身份认证和授权管理扩展到外部用户的一卡通。各期项目的详情如下:
项目背景
兰州银行新老系统众多,用户登录不同的系统需要使用不同的账号密码,急需统一密码策略,加强系统密码管理的强度和安全性;同时,建立对特权账号进行全面的流程审批管理和实时审计。
解决方案
从身份认证、单点登录、特权账号管理三个方面满足客户需求:
- 通过 AccessMatrix™ UAS 实现统一用户管理和强身份认证
- 针对老旧系统,通过AccessMatrix™ USO, 实现无需改造应用系统的单点登录;针对新开发的系统,通过 AccessMatrix™ UAM Web SSO 提供 API 集成,实现统一认证和单点登录
- 通过 AccessMatrix™ UCM,实现对全行服务器主机、网络设备和数据库的特权账号的管理和审计
客户收益
- 集成了几十个应用系统,用户无需记忆很多的密码口令,实现一次登录
- 采用无需更改任何应用系统的单点登录,实施成本低、 周期短、风险小
- 重置口令的工作任务大大降低,生产效率明显提高
- 实现了特权账号的可控使用,做到了事前审批、事中控制和事后审计的全方位安全管理
- 实现了集中的用户单点登录管理和应用访问的全面管理和审计
- 实现了统一的密码安全策略管理,全面满足公司对密码安全策略的规定
- 整体降低了安全风险,提高了银行的信誉和形象
项目背景
客户需要实现以下数据保护功能:
- 通过非对称加密方式实现重要信息加密
- 通过强认证平台实现端到端加密密钥的分发和管理
- 通过对称加密方式实现长数据报文加密
- 实现客户端与服务器端的双向加密
解决方案
AccessMatrix E2EE 端到端加密方案,主要使用 RSA、AES、SHA 等方式,实现行内手机银行 App、移动办公 App、三维商城 App 这三个移动端应用的客户端和服务器端之间传输信息的端到端加密。
- 采用 AccessMatrix 提供的密钥分发和密钥管理机制
- 从客户端到服务器端使用非对称加密和对称加密并行的方式
- 从服务器端到客户端使用对称加密的方式
- 从服务器端到客户端使用的对称密钥由客户端根据当次公钥信息随机生成
- 改造应用程序的客户端和服务器端:添加 SDK 包、改变应用程序消息接受和消息发送部分
客户收益
- 实现了密钥的平台统一分发和管理、统一的审计和记录
- 实现了双向加密:客户端到服务器端的数据传输的加密、服务器端到客户端的数据传输的加密
- 成功集成了三个应用系统(手机银行,移动办公,三维商城)
项目背景
业务系统众多,各自独立,无法信息共享,一个用户需要为登录不同业务系统开多个账户,用户使用不变,增加管理负担,需要实现一个用户可登录多个业务的渠道整合,实现用户信息共享、统一用户管理,减少管理员维护工作量;同时,要求使用银行统一的密码加密控件,并提供拓展第三方认证的功能,。
解决方案
安讯奔的电子渠道整合一户通解决方案,主要使一户通用户绑定各业务系统用户并依据目前运维的流程,在原应用系统的源代码下增加 SAML 认证配置以及绑定业务相关的调用,实现一户通用户可以在多个业务系统单点登录 。
- 采用 AccessMatrix 提供的统一认证,用户管理,单点登录,统一授权和审计功能
- 新上系统采用一户通服务器 (CCWeb,CCServer)提供的 API 集成,实现业务绑定以及单点登录
- 使用 SAML 的认证和授权作为PC 端接入规范
- 使用 Oath 作为移动端单点登录接入规范
- 统一认证采用 AccessMatrix 的 PAM 认证模块,无缝接入各种认证方法,例如:静态密码、手机令牌(二维码登录)、人脸识别等认证方法
客户收益
- 实现各业务系统之间的信息共享:
- “一户通”用户信息共享给绑定的业务系统
- 避免用户在业务系统中重复开多个账户
- 共享信息基于业务系统安全认证后再返回给业务系统,保证用户信息安全
- 降低用户使用难度,提高系统易用性
- 实现密码安全策略的强制性
- 银行可以强制遵从密码安全策略,从而避免可能发生的由于弱密码安全策略导致的安全隐患
- 用户密码不再保留在各个业务系统上,统一密文保存,并由 AccessMatrix 认证,实现用户统一管理
- 实现账户聚合,用户只需记住一个用户名与密码
- 实现集中实名认证,集中的用户生命周期管理
- 允许客户轻松开通、访问业务,随时随地管理资产
- 至少增加 2倍客户访问量,减少 50%以上客户流失,增强客户粘性
客户评价
我行从 2013年开始跟安讯奔公司合作,由内部的员工统一身份认证和授权管理扩展到外部用户的一卡通项目,对我行的安全管理以及业务拓展方面都发挥了积极的作用,我们也期待与安讯奔公司有更深入的合作,实现双赢目标。
– 兰州银行, 信息科技部