All
Я создаю интерфейс для системы (нашей), которая содержит конфиденциальные данные, которые теперь должны быть доступны через системный интерфейс (нашего собственного дизайна) для того, что будет встроено в другие системы клиента.
Сценарий : - SystemB вызывает SystemA.NewInterface.getData (), где SystemA является уже существующим (нашим), а SystemB является авторизованным авторизованным абонентом.
Вопрос состоит в следующем: какой механизм аутентификация хорош здесь?
Конечно, будет использоваться стандартная сетевая защита (SSL / TLS, блокировка портов, фильтрация IP-адресов). Но IP-адреса могут быть подделаны. Данные, которые поступают, будут запутаны (для защиты чувствительности и анонимности лиц, у которых были собраны данные), но, тем не менее, очень ценны при получении в большом количестве.
Выдача сертификата (сертификатов) в вызывающую систему невозможна.
У меня есть представление пакета плана / дизайна / сигареты для двухфакторной (ish) системы аутентификации, которая смоделирована по обмену ключами во многом как 'Диффи-Хеллман' ( Википедия по Диффи-Хеллману ) но он достаточно вовлечен, чтобы деловые люди могли задавать вопросы о его пригодности. Правильные вопросы, где правильные ответы очень техничны.
Я не думаю, что бизнес поймет причины такого технического выбора / плана.
Существуют ли какие-либо глобальные или национальные руководящие принципы или стандарты для аутентификации для системных-> системных интерфейсов, которые не используют сертификаты в регулируемом мире (правительственные, военные, медицинские правила)?
Если я могу ссылаться на стандарт со стороны глобального оргкомитета по стандартизации или регулирующего органа, тогда я с радостью воспользуюсь (расширю?) Этим шаблоном ... тогда бизнес может знать, что это больше, чем просто техническая «магия» / дым и зеркала .
Большое спасибо за помощь!
Aidanapword