高防cdn_网站高防服务器租用_如何办-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > DDOS防御 > 高防cdn_网站高防服务器租用_如何办

高防cdn_网站高防服务器租用_如何办

小墨安全管家 2021-06-08 13:07 DDOS防御 89 ℃
DDoS防御
返回2019年5月8日分享罗布·奥托EMEA现场CTO在这篇博文中,我将描述监管银行和金融服务提供商需要使用标准eIDAS证书来识别和授权API客户。我将提出一具基于PingFederate和PingAccess的挑战的技术解决方案,以及来自Konsentus的TPP检查API。 PSD2和安全API依照欧盟第二个支付服务指令(PSD2),所有受监管的账户服务支付服务提供商(ASPSS)都必须提供安全API,允许受监管、可信的第三方提供商(TPP)代表账户持有人访咨询帐户和支付服务。PSD2法规技术标准(RTS)规定,TPP应可以使用任何eIDAS合格信托服务提供商(QTSP)颁发的合格证书,防DDoS,以识别并验证自个儿是否符合ASSP 《电子识别、认证和信任服务(eIDAS)条例》为欧盟范围内治理各方之间安全数字交互提供了框架。eIDAS定义了涵盖各种用例的很多标准;可是,在本讨论的范围内,感兴趣的是使用eIDAS合格数字证书 eIDAS和PSD2当受监管的TPP实体希翼使用eIDAS合格证书以使用PSD2API时,至少还有两个其他方发挥作用 第一具将是服务于该TPP管辖权的国家主管当局。NCA负责审查和验证TPP组织,DDoS防御,并最后来公布TPP授权编号,该编号将保存在公共登记处。换句话讲,TPP管辖区的NCA是对因此否监管特定TPP执行PSD2下交易以及应向所述TPP提供哪些PSD2服务(如账户信息或付款发起)的真相来源。 一旦TPP从NCA获得授权编号,他们就能够从合格的信托服务提供商(QTSP)获得合格证书,该证书将包括此号码,作为向其他方(例如ASPSS)以加密方式声明TPP身份的一种方式。那个地点有两种不同类型的证书,TPP能够获得并使用以下一种或两种: -合格网站认证证书(QWAC)-合格印章证书(QSealC) 尽管关于上下文大概会变化的证书类型的意见,但一致意见也许是,TPP应使用QWAC举行传输级别验证,并使用QSealC举行事务和有效负载签名。 对本主题的更详细的解释超出了本文的范围,但建议阅读所有相同的内容 eIDAS挑战尽管表面上,这种模式也许为TPP识别咨询题提供了一具合理的解决方案(不需要或要求向开放银行名目等第三方实体登记),但仍有一些相当令人关切的挑战需要克服 假设QWAC不过一具相当专业的X509证书,所以任何ASSP都能够简单地采纳相互TLS作为TPP OAuth客户端的客户端身份验证机制,从而获得eIDAS支持"免费",前提是他们的OAuth授权服务器支持此功能(固然,PingFederate支持) 可是,存在一种固有的脱节,即负责维护TPP(NCA)监管状态的实体与颁发证书的实体(QTSP)不同。此外,任何一方都没有义务彼此保持同步;当TPP证书被撤销时,QTSP无义务通知任何NCA,当TPP的监管状态发生变化时,NCA有义务通知QTSP。换言之,假如TPP的监管地位被撤销,仍然拥有彻底有效的QWAC或QSealC,则彻底有大概 责任和风险在那个地点彻底降在ASSPS的肩上,因为在每次TPP执行PSD2交易时,都需要它们验证每个TPP的监管状态。这意味着在实践中,每个ASSP需要对相应的NCA寄存器执行实时检查,每次TPP提供eIDAS证书来验证事务。这是除了需要执行的标准证书有效性检查之外,还需要执行这些检查来检测证书本身的撤销。 TPP检查救援服务为了简化和简化ASPSP的TPP检查过程,很多组织如今提供专用的TPP检查服务,能够经过可同步到内部存储库的合并名目,DDoS防御,或者经过SaaS API。其中一具组织是Konsentus,他提供了TPP监管状态API,ASSP能够使用该API依照TPP的公共证书执行实时检查。API使用从所有适用NCA和QTSP寄存器中提取的合并名目,并返回一具JSON有效负载,详细讲明TPP的当前状态。接着,ASSPS能够将此信息用作其策略的一部分,以确定是否允许特定事务然后 下面是KonsentusSandboxAPI在我经过我的示例eIDAS证书时返回的响应有效负载示例(请我的朋友在InfoCert提供):  如我们所见,有效载荷提供与eIDAS证书本身相关的信息(例如签名有效性、到期、撤销和QTSP),以及来自应用程序NCA寄存器的信息,详细讲明了该TPP被授权的特定支付服务。 解决TPP认证挑战 本文的其余部分将重点介绍一具技术解决方案,该解决方案允许ASSP使用QTSP向该TPP发出的QWAC对PSD2事务举行身份验证 目标体系结构使用PingFederate和PingAccess以及KonsentusAPI提供端到端解决方案。从概念上看,如下所示:  在那个体系结构中,我们使用PingAccess作为安全代理,在PingFederate的标准oauth2.0端点之前添加额外的基于策略的爱护 TPP客户机使用其eIDAS QWAC,经过相互TLS向PingAccess发出OAuth2.0令牌请求。它还提供了一具客户端ID(在PingFederate中预先注册,并与QWAC可分辨名称关联)。PingAccess验证证书(执行标准颁发者和有效性检查),接着使用自定义规则调用Konsentus TPP checking API,传递QWAC公共证书以猎取有关TPP的进一步详细信息。假如从KonsentusAPI接收到的详细信息表明事务应该然后,PingAccess将请求传递给PingFederate 接着,PingFederate使用其配置的逻辑对客户端举行身份验证并发出适当的令牌。 下面的顺序图更详细地描述了这些交互:  注意:TPP客户端的注册(手动注册或使用动态客户端注册)不在本讨论范围内。我将在适当时候发表一篇后续文章,描述使用eIDAS证书举行客户注册的潜在想法 配置详细信息为了证明上述解决方案,我配置了一具简单的设置来演示流程。我将使用客户端凭据流举行演示,DDoS防御,然而当TPP作为Auth代码流的一部分对令牌端点发出调用时,将使用相同的想法 平联我创建了一具OAuth客户端,它使用我的测试eIDAS证书举行身份验证:  我必须确保导入QTSP的根签名证书,以及:  我还将OGNL表达式添加到访咨询令牌映射中,以便在发出访咨询令牌后将客户端证书哈希包含到访咨询令牌中:  PingAccessPingAccess经过定义引用PingFederate的站点和定义代理终结点的应用程序来配置为代理PingFederate令牌终结点: 

高防cdn_网站高防服务器租用_如何办


DDoS防御

当前位置:主页 > DDOS防御 > 高防cdn_网站高防服务器租用_如何办

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119