方案概述

YESsafe Token+ SDK 移动软令牌是为了满足双因素(2FA)认证解决方案的业务需求而研发设计的。作为一个已经预先集成并经过测试的双因素解决方案,它包含安讯奔AccessMatrix UAS 统一认证服务器,整体方案可降低集成的复杂程度,以及缩短部署时间;方案的对象是对安全程度要求较高的应用,例如网上银行应用、网联网应用等等,以实现对应用和远端访问的安全保护。

YESsafe Token+SDK 提供所有主要令牌功能,以实现认证(同步和提示回应)、授权、签名验证(OTP 和 PKI签署)和主机传回码。它还提供先进的令牌管理功能,以满足令牌管理生命周期的各个方面,例如令牌发行、遗失令牌、令牌不同步(日常操作的重要基础之一)等等。

安全特性

YESsafe Token+ SDK 集成了 YESsafe AppProtect+ SDK 对应用的全面保护功能,可以自动检测移动应用可能受到的威胁,并且针对威胁基于策略及时地发出警告、阻断威胁或关闭应用,并将威胁通过接口报告给后台。因此,即使在受病毒感染的系统环境中,也可保护应用不受到恶意软件和间谍软件的攻击。

YESsafe Token+ SDK 除了与手机银行应用共同实现自我保护的功能以外,还提供如下三个额外的安全保护措施:

  • 1. 生物识别
    • 为了充分利用移动设备的标准功能,YESsafe Token+ SDK 还支持移动生物识别,例如声音认证和脸部认证,以加强登录和授权过程。 在认证或授权期间,用户必须展示他们的身份识别符(你有什么)和密码或 OTP(你知道什么)。但是对于高级安全要求来说,通过利用手机的相机和麦克风,YESsafe Token+ SDK 还能利用其用户的生物信息(你是谁)来执行指纹验证、面部验证等等,从而实现更强的认证和授权安全保障。YESsafe Token+ SDK 的生物认证技术是基于服务器端处理技术,以减少在移动设备的痕迹。
  • 2. FIDO 联盟
    • FIDO 联盟(Fast IDentity Online Alliance)成立于 2012年 7月,创建了一套开放的标准协议,保证各个厂商开发的强认证技术之间的互操作性,改变目前的主流在线验证的方式(即使用密码作为主要验证手段),消除或者减弱用户对密码的依赖。YESsafe Token+ SDK 支持基于 FIDO 认证标准协议的生物认证方式,来实现无需用户密码介入(Passwordless),直接进行验证交易。用户在注册阶段,从服务器支持的多种本地验证方式中选择一种,如:指纹识别、人脸识别、语音识别等等,服务器也可保留密码验证方式,将密码和生物识别相结合,增强账户安全性。
  • 3. 可信执行环境 TEE
    • ARM 说:“TEE 设备可以为用户提供更高的安全和更友好的体验,使用户可以简单便捷地连接到数字网络上;能够在用户连接更加频繁、应用程序数据交换更大的情况下提供更智能、更快捷的用户安全通道;并且提供同交易 APP,例如移动支付、企业生产和移动银行等一样的安全架构。”YESsafe Token+ SDK 可与TEE技术集成,直接在 CPU 硬件上提供安全区域/非安全区域隔离机制,为令牌种子密钥等敏感数据以及核心算法提供可信执行环境。