我们十分重视用户的数据的安全,本白皮书将详细向您阐述我们如何对用户的信息进行传输、分级、处理及存储,出于保密及保证业务安全的原因,部分核心算法将不会公开展示。
该加密算法是 Muna Group 自研的一种复合加密算法,密文由对称加密(AES-256-CBC)与非对称加密(RAS)组合加密而成,可以通过非对称加密的方式同服务端协商 AES 加密密钥,通过对称加密的方式加密请求体中的大数据,同时在服务端回传数据时也会使用请求时所协商的 AES 密钥进行返回数据的加密。通过此套加密算法,可以实现数据往返加密,且每次加密所使用的密钥均为随机的 32 位字符串。
通过与 Nonce 的结合,该请求方式可以做到防篡改、防重放、防劫持,即使中间人劫持了网络请求,因数据经过加密。故其无法获取请求信息也无法获取返回数据的明文,同时因为结合的 Nonce 的校验,该请求无法被任何人重放。
对于所有数据分级为 L2 及以下的数据,在传输过程中均会对主要数据进行双向加密。
登录全程的有关于账户的网络数据均会通过 MU-SEC-ARS1 加密方式进行双向加密,需要注意的是,以下数据将会被明文传输:
1.欲登录的应用的 AppID、应用名称、应用开发者。
2.用户的头像(URL)
以上信息均属于公开数据,故明文传输不会影响您的账户安全。
您的用户名和 Webauthn 认证数据均会被全程加密。
当您使用企业 SSO 服务登录时,我们仅会传输您的用户名以识别您的所属企业,除输入用户名的步骤外,您对 Muna Identity 的登录全程将在外部的受企业信任的网站进行,故您的密码不会被存储在 Muna Identity 的服务器上。
当您使用企业的 SSO 服务登录了 Muna Identity 后,应用仍会使用 Muna Identity 的 API 对用户进行鉴权,故您的用户登录日志将同一般用户一致的被存储在我们的服务器上。