密码服务平台：助力政企“密码认证”取代“口令登录”

据《左传》记载：公元前525年，吴国与楚国打仗，吴王乘坐的船被楚军截获。吴国士兵十分着急，便在一个漆黑的夜晚，派了３个士兵装扮成楚兵，潜伏到楚军中。他们事先约定好，以“余皇”为暗号互相联系，便夺回了吴王的船只。“暗号”在军队等特殊机构使用，这些预先约定好的信息通常被称为“口令”，作为验证身份的一种方法，这就是现在信息系统中账号口令的前身。

1.泄密事件频发，口令登录安全性低

在现代社会，随着信息化和互联网化的不断发展，用户口令因其简单和低成本而得到了广泛地使用，已经渗透到生活的方方面面，无论是日常办公、社交娱乐还是网上购物。然而，这种方式存在严重的安全隐患。它的安全性仅依赖于口令，口令一旦泄露，轻则造成财产损失，重则危害人身安全。而且简单的口令很容易遭受到字典、穷举甚至暴力计算破解。

近年来，频频发生的大规模“口令”泄露事件：12306网站用户信息（含账户口令）外泄事件、美国管道运营商RockYou2021口令泄密事件等。这些都为黑客和不法分子破解用户“口令”提供了源源不断的信息，引起人们对“口令”安全性的担忧。

2.密码认证：一种安全合规的认证方式

(1)密码认证概述

“密码认证”是指采用基于对称密码算法或者杂凑密码算法的消息鉴别码（MAC）机制，或者基于公钥密码算法的数字签名机制等密码技术对通信实体进行身份认证。它是一种高安全性的认证技术。最常用的“密码认证”方式，就是基于数字证书的认证方式，它广泛应用于电子政务和电子商务领域。

随着PKI技术日趋成熟，许多应用中开始使用数字证书进行身份认证与数字加密。数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术，可以对网络上传输的信息进行加密和解密、数字签名和签名验证，确保网上传递信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

(2)密码认证合法合规

密码认证，除了具备高安全性的特点以外，还符合国家对于身份鉴别的管理规范要求。政企单位采用密码认证进行身份鉴别，可以满足等级保护和密码应用测评的相关要求。

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）明确要求：

• 应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。

• 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别，且其中一种鉴别技术至少应使用密码技术实现。

• 应对系统管理员进行身份鉴别，只允许其通过特定的命令或操作界面进行系统管理操作，并对这些操作进行审计。

《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）明确要求在以下几种场景需要采用密码技术进行身份鉴别。

• 重要物理区域人员的访问需要进行身份鉴别。

• 网络通信实体双方需要进行双向身份鉴别。

• 从外部连接到内部网络的设备需要进行接入认证。

• 对登录设备的用户需要进行身份鉴别。

• 对登录和访问应用系统的用户需要进行身份鉴别。

3.安盟华御PaaS化身份认证服务

安盟华御PaaS化身份认证服务，采用云原生技术架构，依托公司密码服务平台，为用户提供基于密码技术的强身份认证能力，帮助应用系统满足等级保护和密码应用测评的身份鉴别要求。平台基于数字证书，采用统一的数字化身份信息，实现访问用户身份的统一认证，帮助政企单位实现统一用户管理、统一应用登录、统一认证管理、统一授权管理和统一日志审计，解决云上应用系统用户分散管理、独立认证、多次登录等问题。

安盟华御身份认证服务体系

(1)核心能力

基于密码技术的强身份认证。平台提供统一的身份认证机制，为所有应用提供统一的单点登录门户界面。门户既支持基于密码技术的证书认证方式，也支持将证书认证与其他认证方式相结合，为用户提供多因子认证方式。同时，平台还可以基于组织机构或者角色配置安全认证策略，为管理员和普通用户提供不同安全级别的认证方式。

安盟华御身份认证服务应用统一认证门户

一体化服务运维管控。平台采用多级消费者标识和流控技术，实现应用可信标识、安全访问鉴权和精细化限流。同时，支持以多种维度对身份认证服务调用情况进行统计监控，可视化呈现服务实时运行状态和密码应用健康态势。

多租户运营计费管理。平台支持云平台多租户部署，以服务租赁的方式为各租户单位提供服务。支持按租户单位分配身份认证服务资源，按应用进行服务配额管理。租户管理员可以以本单位视角进行应用、服务、资源配额、统计分析等功能操作。

(2)服务特色

安盟华御PaaS化身份认证服务基于密码服务平台为政企单位提供强身份认证能力。具备以下特色：

安盟华御PaaS化身份认证服务

服务PaaS化：采用轻量级的PaaS化服务，减少用户投入。贴合云环境身份认证场景，也可满足传统身份认证服务需求。

服务弹性化：用户可根据终端和应用数量按需申请身份认证服务资源，并可根据实际情况动态调整身份认证服务能力。

服务一体化：身份认证服务与密码服务平台服务体系中的各类密码服务、数据安全服务等相互融合，为用户提供一体化服务方案。提供统一标准SDK，减少开发人员对接，应用可快速集成密码能力。

多租户隔离：支持同时为云上多个租户单位提供身份认证服务，采用安全隔离设计机制，有效保证不同租户单位间身份、应用等数据安全隔离。

安全合规：平台本身符合等级保护和密码应用测评相关管理和技术要求，采用经过商密检测的产品和技术，提供的身份认证服务可以帮助应用系统满足等级保护和密码应用测评的身份鉴别要求。

4.安盟华御密码服务平台 守护云时代身份安全

安盟信息密码服务平台是安全合规、统一管理、部署灵活、服务弹性可计量的，平台对外向应用系统提供高安全的身份认证服务等各类密码服务，消除应用系统长期使用“口令（PassWord）登录”的安全风险，帮助应用系统满足等级保护和密码应用测评的身份鉴别等各类密码应用要求。同时，平台采用多模式资源集成技术，通过整合各种密码设备和系统、数据安全防护产品，打造服务化、场景化，易于行业快速对接集成的服务能力，保障数据全生命周期安全，守护云时代身份安全，助力网络安全事业发展，推动我国数字经济高质量发展！