全部,
我正在为一个包含敏感数据的系统(我们的)构建一个接口,这些敏感数据现在必须通过(我们自己设计的)系统接口提供给将被构建到客户其他系统中的内容。
场景:- SystemB 调用 SystemA.NewInterface.getData() 其中 SystemA 是预先存在的(我们的),而 SystemB 是经过身份验证的授权调用者。
问题集中在:这里哪种身份验证机制好?
当然,将使用标准网络级安全性(SSL/TLS、端口阻塞、IP 地址过滤)。但是IP地址可以被欺骗。流动的数据将被混淆(以保护收集数据的人的敏感性和匿名性),但在批量获取时仍然非常有价值。
向呼叫系统颁发证书不是一种选择。
我有一个双因素(ish)身份验证系统的计划/设计/cgarette 数据包视图,该系统以密钥交换为模型,非常类似于“Diffie-Hellman”(关于 Diffie-Hellman 的维基百科),但它涉及的内容足以让业务人员可能会问它的适用性问题。有效问题的有效答案非常技术性。
我认为企业不会理解这种技术选择/计划的原因。
是否有任何全球或国家指南或标准用于系统-> 系统接口的认证,但在受监管的世界(政府、军事、医疗法规)中不使用证书?
如果我可以引用全球组织/标准委员会或监管机构的标准,那么我将很乐意使用(扩展?)该模式……那么企业可以知道它不仅仅是技术“巫术”/烟雾和镜子。
非常感谢您的帮助!
爱达纳语