面向移劢 / 互联网的身份安全解决方案 黄冠辉 (rayes.huang@oracle.com) Oracle 身份管理不安全团队
安全 是贯穿 2013 年度的最热门话题 十八届三中全会 : 中国国家安全委员会机构的诞生 2
交叉销售 电子商务 车联网 物联网 网上营业厅 除提供传统电信业务外, 如何提供良好的客户增值服务 ; 移动支付金融创新 业务转型 社交网络 移动办公 如何保留高端客户 ; 如何增加客户粘合度 ; 移动应用 云服务 社交 CRM 身份管理为业务转型保驾护航 3 Copyright 2012, 2013, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 12
业务转型 创新的技术出发点 移动设备云服务社交网络物联网 BYOD 合规策略 企业和个人数据 较低的设备 应用和数据安全 针对 ios Android 的统一平台 私有云 公共云 混合云服务 SaaS 应用的身份 基于云的访问策略 基于云的身份管理 用户利用社交 ID 登录 简化注册和市场促销 信任是困难的 OAuth & OpenID 将导致其他第三方身份提供者服务 千万 数十亿的设备连接 生成大量数据 需要实时决策, 安全和生命周期管理 4 MB
交互点已经转移 购买行为受社交媒体影响的比例达到 71% BizChanger2012 年 1 月 Gartner 2012 的财富 500 强企业 62% 部署移动应用 5
BYOD MDM MAM 移动安全 微信 微博 移动支付促进客户粘合度 欺诈短信敏感内容网络钓鱼 拒绝服务和 SQL 注入 移动设备 社交服务 短信电子邮件 网站 具有 6 Copyright 版权所有 2012,Oracle 2013, and/or 和 / 或其关联公司 保留所有权利 its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 12
DEVICES BY 2020 -Ericsson 预测 : 到 2019, 移动设备使用量 93 亿, 智能手机出货量是现在的三倍, 宽带扩展是当今的 10 倍 -Ericsson 副总裁 : 智能手机出货量首次达到 10 亿, 用了五年, 但令人惊讶的是达到 20 亿, 只用了不到 2 年时间 7 Copyright 2013, Oracle and/or its affiliates. All rights reserved. Insert Information Protection Policy Classification from Slide 12
物联网环境下, 安全无处丌在 8
新业务创新, 需要身份的统一 及其运营 员工 集成 用户体验 合作伙伴 企业 IT 用户数据隐私 可管理性 客户 供应商 服务架构 成本 & 效益 9
Business Values 身份管理, 对于业务创新的业务价值 物联网 用户体验 互联网金融 企业身份 电子商务 IT 运维改善 IT Values 法规遵从客户体验业务激活 创新 & 互劢 10
面向移劢 / 互联网的身份管理解决方案 11
新环境下, 身份管理所涉及的趋势 云服务下的身份运营 移动设备 社交身份 实时防欺诈 认证作为一个服务基于云的访问门户 为 SaaS 应用提供云身 份存储 用户自服务 完整的报表和审计 基于身份驱动的控 统一管理 跨渠道市场 BYOD 方案的支持 MDM 方案 MAM 方案的补充 协调社交和其他 IdP 支持 Oauth 和 OpenID 简化注册和用户交 安全体验 社交信任 网上商城防欺诈平台 防欺诈平台的实时性 管理性 多渠道性 网上商城风险管理流程规范 合规性 12
身份管理帮助如下企业级客户 Cisco, Huawei 提供基于身份和角色自劢身份管理和审核工作流程 ; Cisco 在其电子商务平台上, 部署自适应防欺诈平台 ; 英国电信通过实施身份服务平台 防欺诈服务部署, 管理电信内部应用的帐号服务 同时也提供对外用户的统一认证服务 统一防欺诈服务 ; 挪威电信 Vodafone Turkcell 通过实施企业身份管理解决方案, 梳理企业内部帐号生命周期管理 提供用户自劣服务, 显着降低成本 ; 丰田汽车提供基于移劢的智能汽车服务 ; Version 韩国电信提供统一的中央目录用户认证 ; 13
BT: 基于云架构的身份运营平台 Manage User Identity Managed Fraud URU Clients Managed Authentn BT Identity Services Privileged Access Mgmt PKI 14
BT: 身份服务平台 Systems and Operational Management Identity Audit Identity Anti-Fraud Identity Authorization Identity Authentication Identity Assurance Identity Hub 15
为什么 Mobile 总是 IT 最头疼的问题? 移劢访问复杂性信息和应用架构讨论 discussions 在这之前, 如何看绿认证 授权的需求呢 安全 如何确保网络安全? 是否需要离线支持? 当设备丢失戒被盗, 如何确保公司数字? 访问应用和数据, 需要什么策略控制? 设备如何连接 (WiFi/cell)? 从哪里上网 (GEO)? 设备 / 应用类型 支持哪些设备 (ios, Android..)? 我们支持最好的应用类型 (Web, Hybrid, Native)? 如何快速开发安全的应用? 在丌影响工作效率环境下, 如何在安全加密环境中安全的访问公司应用? 哪里可以安全托管请求不供应应用? 所有权 我们可控制公司拥有的设备, 如何确保个人设备呢? 我们的 BYOD 策略是什么? 我们是否需要一个单独的架构和团队来维护移劢的安全? 16
移动安全 各种技术 MDM MAM 你可能听说过很多有关设备安全 (MDM) 的一些安全词汇 从设备安全到支持 BYOD 移劢应用管理 Container Registration 传统应用的访问管理的挑戓 : 认证 授权 单点登录 17
Oracle 移动安全策略安全的分离 / 管理企业应用及数据 移动终端安全传输及应用安全身份管理服务与应用资源安全 通过策略控制用户向容器外浏览 移动数据 分离 保护及删除企业应用及数据 跨平台的解决方案 确保终端到企业应用的通信安全 应用商店 管理用户及设备 统一的用户 角色 策略 请求管理 单点登录 风险管控及强认证 Copyright 2012, Oracle and/or its affiliates. All right 18
Oracle 移动安全套件 Secure Enterprise Workspace Secure Browser Secure Container/ Workspace 认证 传输加密 本地加密 防止数据泄露 策略控制 PIM (email, calendar, contacts, tasks) Mobile File Management w/ doc editing 员工要通过移动设备访问企业数据 解决访问应用及文档时的认证 加密等问题 Business Apps Copyright 2012, Oracle and/or its affiliates. All right 19
结合移动设备防欺诈服务, 提供移动安全服务 设备指纹和跟踪 设备注册访问管理丢失 & 遗忘服务认证 访问服务 Native App SDK GPS/WIFI 地理信息自适应防欺诈服务基于风险的 KBA & OTP Web App REST 移劢技术 & 社交服务 交易风险分析 用户身份库 Security App 20
三位一体的综合风险评估 : 规则 + 行为 + 预测 User 用户 柜员 Location Device 用户知道什么 ( 认证面板, 密码, 预留问题质诟 ) 用户拥有什么 ( 设备指纹 ) 用户在做什么 ( 自学习的用户行为模型 ) 用户在哪 ( 地理位置 ) 网银 业务应用 管理员 规则引擎 预测风险技术 21
移劢应用 社交集成部署框架 Mobile Device We b Native App Oracle SDK Social Log In Persona l Phrase App REST Calls Oracle M&S Oracle OpenSSO Directory OAAM Security Image Real Time Risk Analysis Mobile SSO : App to App, App to Web Authorization Risk Management Social Login / Sign On Core Identity, Access, & Risk Management 22
Access Management API 网关确保服务安全 Secure REST API s API Control & Governance Threat Protection Client Throttling Transformation API Management & Monitoring Extend Access Management to REST API s Context Aware Authentication Authorization Security Tokens Data Redaction Audit 23
API 网关服务授权 服务调用客户端..Card No: 124 *$#%^*!@..Card No: 124 API Gateway *$#%^*!@ PEP PDP Response Customer Service - getuserinfo - updateuserinfo - deleteuser 服务接口 Web Service Entitlements Server <SOAP:Envelope> <SOAP:Body> <getcustomerdetailresponse> <name> Frank Xu </name> <mobile> +8613901152345 </mobile> <Adress>********** </Adress> <NationalID> ********** </NationalID> </getcustomerdetailresponse> </SOAP:Body></SOAP:Envelope> if ( 登陆 ID = 用户名 ) and ( 劢作 = 查诟家庭成员信息 ) Return Grant Obligation = "mask with ***" 24
客户案例 : 丰田汽车 Oracle 解决方案 : Oracle API Gateway (OAG) 多数据中心的多活部署 使用 OEM 实现对服务和资源的监控及通知 允许用户使用社交网络帐户登录汽车移劢应用 使用基于 JWT 令牌的长会话 使用 OAG 进行内容过滤及网络威胁监控 (DDOS, 架构,SQL 注入,XSS 等攻击 ) 使用 OVD 虚拟化客户目录和企业目录 对设备丢失 / 被盗, 账号锁定 / 禁用等情况提供必要的控制措施, 确保令牌失效 性能调优, 确保 SLA 每笔交易响应时间 <1 秒 Oracle Access Manager Mobile and Social (OAMMS) 解决方案介绍 : 项目介绍 : Oracle Virtual Directory (OVD) 第 1 阶段 : 安全平台的搭建, 幵提供基本的安全服务 [ 完成 ] 上线日期 :2013 年 9 月 2 日 时间 :5 个月 第 2 阶段 : 设备注册, 不第三方娱乐服务提供商集成,Web 应用单点登录 [ 进行中 ] 上线日期 :2014 年 9 月 强大的基础设施,3 年内实现每天超过 20 万个事务的支持 Oracle Directory Server (ODSEE) 25
RESTful Services Telematics Security Solution Conceptual Architecture 26 User User Enrollment Login and and Remote Vehicle Vehicle Registration Operation a. User Login c. Issue JWT b. User Authentication Oracle IAM Stack Vehicle Owners Internet 1. User d. Enrollment Remote Operation Request 3. VIN Validation 5. PIN Validation 6. Register Vehicle Telematics Service Provider Private Network 2. Create e. JWT User Validation ID OAG OAMMS f. Remote 4. Operation Issue PINExecution Vehicle Wireless Provider OUD Manufacturer s Infrastructure 26
甲骨文提供端对端的安全保护和审计 访问网关 Web Applications Web Applications Mobile Clients HTTP GET/POST REST REST XML 认证授权目录 应用 数据库防火墙 数据库访问策略和审计 应用访问策略和审计 服务调用策略和审计 账号分配策略和审计 权限分配策略和审计 Mobile Clients SOAP 身份管理 应用 Web Services JMS Web Services 多渠道 / 多协议接入安全网关应用安全保护 数据安全保护 全面审计 ( 账户 角色 服务 数据 访问 授权 ) 27
28