全て、
私は、機密データを含むシステム(私たち)のインターフェイスを構築しています。このデータは、クライアントの他のシステムに組み込まれるものに対して、(私たち自身の設計の)システムインターフェイスを介して利用できるようにする必要があります。
シナリオ:-SystemBはSystemA.NewInterface.getData()を呼び出します。ここで、SystemAは既存のもの(私たち)であり、SystemBは認証された許可された呼び出し元です。
質問の中心は次のとおりです。ここで適切な認証メカニズムは何ですか。
もちろん、標準のネットワークレベルのセキュリティ(SSL / TLS、ポートブロッキング、IPアドレスフィルタリング)が使用されます。ただし、IPアドレスはスプーフィングされる可能性があります。流れるデータは(データが収集された人の機密性と匿名性を保護するために)難読化されますが、それでも大量に取得すると非常に価値があります。
呼び出し側システムに証明書を発行することはできません。
「Diffie-Hellman」(Diffie-Hellmanのウィキペディア)のようなキー交換をモデルにした2要素(ish)認証システムの計画/設計/ガレットパケットビューがありますが、ビジネスマンが十分に関与しているそれの適合性について質問するかもしれません。有効な回答が非常に技術的である有効な質問。
私は、企業がそのような技術的な選択/計画の理由を理解するとは思わない。
規制対象の世界(政府、軍事、医療機関)で証明書を使用しないシステム->システムインターフェイスの認証に関するグローバルまたは国内のガイドラインまたは標準はありますか?
グローバルな組織/標準委員会または規制機関による標準を引用できる場合は、そのパターンを喜んで使用(拡張?)します...そうすれば、ビジネスはそれが単なる技術的な「奇妙な」/煙と鏡以上のものであることを知ることができます。
助けてくれてありがとう!
Aidanapword