一、概述

根据业务系统需要通过等保三级评测的要求，需要在身份认证及业务数据完整性环节进行建设增强。需求如下：

1) 用户通过PC登录业务系统时，采用双因素认证机制，首先通过移动端手机盾应用扫码登录统一认证平台，通过身份认证后单点登录到业务系统。

2) 对于业务系统关键的业务数据（字段）进行存储加密，存储于业务数据库。

3) 支持最多5个业务系统的应用安全建设。

二、解决方案

方案简述如下：

1. 建设统一身份认证平台，为多个应用提供统一的双因素认证、单点登录、用户管理功能。包括统一认证系统、统一用户管理系统、多因子身份验证系统组成
2. 建设手机盾认证系统，为统一认证平台提供基于移动端扫码登录方式的双因素认证身份鉴别机制。手机端认证系统包括手机盾客户端和手机盾系统。手机盾客户端相当于手机上软盾，起到类似于UKEY的作用。手机盾系统（云签名服务器）完成移动端协同密钥的生成、分发及管理功能。
3. 部署签名验签服务器。对应用的关键数据字段进行加密，存储于业务数据库中。

三、网络拓扑

图 部署示意图