加密身份基础设施

安全是一个物理问题。
不是信任问题。

Identity Layer 从威胁表面删除凭据数据库。 Device-bound 密钥、split-knowledge 密钥派生、无需内容托管的审计。 没有存储的秘密。无违约责任。没有中央存储库。

Ed25519 授权 AES-256-GCM HKDF 推导 无身份存储 离线模拟金库 TEE / Secure Enclave 插入式集成 225 KB 全栈 物联网/NFC/移动/桌面
IDENTITY STANDARD 设备 关键 模拟 保险库 应用程序 验证- 伊尔 Ed25519 AES-256 HKDF 审计
€1.09B GDPR 罚款 2023 欧华 GDPR 2024 年调查
83% 违规涉及凭据 威瑞森 DBIR 2023
<1d 典型积分时间 Identity Middleware 设计
140+ 生产中的主动身份 八个参考部署

凭证存储是漏洞 target

过去十年的每一次重大泄露都可以追溯到集中式凭证数据库。 我们部署的架构通过设计消除了该表面。

€1.09B

2023 年,欧盟各地开出的罚款总额为 GDPR。其中大部分归因于数据保护不足和 凭证暴露。

DLA Piper GDPR 2024 年罚款调查
83%

的数据泄露涉及集中式系统中存储的凭证被泄露、薄弱或重复使用。

威瑞森 DBIR 2023
445 万美元

2023 年数据泄露的平均成本。与身份相关的事件始终名列前茅 昂贵的类别。

IBM 2023 年数据泄露成本
287天

识别和遏制违规行为的平均时间。集中式凭证存储扩展了检测和 遏制窗口。

IBM / 波奈蒙研究所 2023

不存在的凭证数据库无法被窃取。 Identity Layer 通过消除集中化来降低运营成本、违规面和责任 基础设施级别的凭证管理。 遵守 GDPR 第 25 条、eIDAS 2.0、MiFID II 和 NIS2 成为架构而非政策 层应用在不安全的基础上。

GDPR 艺术. 25 eIDAS 2.0 MiFID II NIS2

分层基础设施,而不是产品

Identity Layer 是身份基础架构套件的基线架构。 每一层都是可独立许可的,并通过设计与最小的表面集成。 完整的服务器端堆栈为 225 KB。

基金会
Identity Layer
基线身份基础设施层。 Ed25519 challenge/response, device-bound 密钥,无状态身份验证,无凭证数据库。信任原语是统一的 执行上下文:移动、桌面、IoT、NFC。
上下文隔离
Identity High Security (Identity HS)
每个产品、实例或环境的加密隔离。独立钥匙 受监管或高敏感度部署的层次结构和更高的信任边界。
整合
Identity Middleware
应用层集成表面,设计极简。您的产品仍然存在 你的产品。中间件消除了凭证责任表面,而无需重组堆栈。 5 KB 桥接器插入现有端点。路由器位于 API 前面。整合 通常在一个工作日内完成。
生产证据
参考部署
跨不同垂直领域的五种生产部署。于 Google Play 结算 和 Microsoft Store。超过 100 个活跃身份正在运行。
垂直产品
Mujo / Parta Labels / Parta Research / RENTRI / 流量
构建在身份基础架构上的生产应用程序。他们是证明 架构。它们不是获得许可的产品。
Split-knowledge 密钥派生
完整的密钥永远不会静止存在。设备碎片和服务器碎片重组 仅在易失性存储器中。破坏产生的部分材料没有任何用处。
Device-bound 身份
私钥生成并存储在设备上,不可导出。绑定到安全 Enclave 或 TEE(如果可用)。如果没有受控的重新注册,则无法迁移身份。
离线模拟金库
可打印的 QR 主密钥无需云托管或身份即可进行恢复 数据库。在 air-gapped 环境中运行。与运营商无关:QR,PDF,印刷工件。
Forward-only audit
审计功能在受控的合法激活下对元数据进行操作。留言 内容和身份在结构上仍然不可用,而不是在行政上被保留。
加密的便携式有效负载
AES-256-GCM 加密的有效负载只能由经过验证的身份读取。得可 受源自身份关系的 KEK 保护。运营商流通而不透露 内容。
物联网物理集成
相同的 challenge/response 信任原语扩展到 ESP32、RP2040 和 NTAG424 DNA NFC 徽章,带有板载 AES-128 和不可导出的钥匙。
GDPR
按架构划分的隐私。没有个人数据存储。
eIDAS 2.0
基础设施独立性和管辖权控制的设计。
MiFID II
不披露内容的审计。仅可验证的元数据。
NIS2
消除集中的破坏面。减少通知曝光。

不是原型。不是概念证明。

Identity Layer 已在多个垂直领域投入生产,并在 Google Play 和 Microsoft Store 上列出。

成分
凭证数据库 展示 减少
密码存储 必需的 减少
API密钥管理 必需的 减少
凭证重置流程 必需的 减少
会话秘密存储 必需的 减少
集中破裂面 展示 被淘汰
MJ
Mujo
加密消息传递协议
用于匿名配对的设备绑定身份。没有账户,没有电话号码。身份仅存在于设备上。使用 P2P 信令进行临时消息传递。 35 个活跃配置文件。
PL
Parta Labels
AES-256加密二维码标签系统
分裂知识推导。主密钥永远不会离开设备。适用于库存、监管链和文档工作流程。 39 个活动键。
PR
Parta Research
学术合作网络
经过身份验证的研究人员网络,无需暴露凭证。基于 Identity Standard 的社交图谱。公开测试版,Android。 65 个活跃身份。
ER
Ecosystem RENTRI
合规 SaaS - Windows
意大利废物管理合规平台。 Identity Layer 对操作员和现场设备进行身份验证。机构规模的监管环境部署。 4 个 Identity HS 部署。
EC
Ecosystem Companion
现场操作员应用程序 - Android
现场操作员的移动伴侣。用于安全现场身份验证的设备绑定身份。通过 RENTRI Windows SaaS 实现跨平台身份连续性。
µP
Identity IoT
物理节点/传感器网络/NFC接入
身份层扩展到物理节点。支持的传感器类型:温度、湿度、压力、PIR运动、GPS、电能计量。 NFC 通过带有板载 AES-128、不可导出密钥、动态 CMAC 的 NTAG424 DNA 进行访问控制。 Raspberry Pi Pico 2W 参考部署可操作。 6.5 秒内启动至验证身份。
IT
Identity Tag
NFC 徽章访问控制 - 多租户
NTAG424 DNA 徽章访问控制层构建在 Identity IoT 基础设施之上。每个徽章读取的 Ed25519 挑战/响应。多租户:每个租户独立管理自己的节点队列和徽章注册表。两种绑定模式:STD(授权终端机群)和HS(徽章通过其公钥加密绑定到特定终端)。 Flutter 管理器应用程序,用于徽章配置、节点配置和权利控制。
PT
Parta Tag
NFC 徽章管理器 - Android
Flutter 应用程序用于配置和管理 NTAG424 DNA 徽章。编写徽章有效负载、配置 STD 和 HS 绑定模式、管理节点队列和权利。用于 Identity Tag 部署的多租户接口。
PI
Parta IoT
IoT 节点管理器 - Android
Flutter 应用程序用于配置和监控 Identity IoT 节点。配置节点标识、传感器类型、租户分配和连接参数。每个节点实时读取仪表板。
140+
活跃身份
700++
已验证挑战
八个参考部署
▶ Google Play - 已通过 ◆ Microsoft Store - 已通过
实时节点 • Identity IoT
温度
--  °C
-- --
--
端到端验证延迟
--
挑战
--
验证
实时节点 • Identity ST
身份
--
挑战
--
-- 0
--
已验证挑战
--
--

三层。一种架构。

我们将身份基础设施层许可给需要加密身份的产品,而无需成为 凭证机密的保管人。

A级
集成许可
将 Identity Layer 嵌入到您现有的产品中。保留你的堆栈、你的用户体验、你的 基础设施。删除凭证责任表面。
  • 不再留下可被攻破的凭证数据库
  • 即插即用中间件,无需重建应用
  • 支持自托管或托管式部署
  • 完整技术文档与集成支持
  • 现有生产栈可在一天内上线
C级
立式交钥匙工程
为受监管环境提供全面交付,包括配置、合规性 文件和操作移交。
  • 医疗:即时获得正确角色权限,break-glass 全程可审计
  • 受监管金融:被盗设备也无法冒充客户
  • 法务与并购:任何服务方都无法读取的加密交换
  • 物理访问:无法克隆的门禁卡与门禁系统
  • 联网设备:能够证明自身身份的现场设备
定价由部署范围和管辖范围决定。可根据 NDA 要求提供。
不是 IAM 替代品: 缺失的密码学基础
不是 KYC 提供商: 无需托管即可实现可验证的流程
不是消息应用程序: 加密的便携式有效负载(QR / PDF)
不是区块链/SSI: device-bound,不需要分布式账本
请求架构简介:licensing@aeonianengineering.com

许可和技术咨询

商业许可查询由AEL(香港)处理。 可根据 WIDE(意大利)的要求提供技术文档。

商业许可 - 亚太地区 & 全球
ae Aeonian Engineering Limited
香港 - 全球独家授权商
许可@aeonianengineering.com

架构简介、保密协议、技术深入探讨和条款表可根据要求提供。 文档流是连续的,并按参与阶段进行结构化。

技术文档 - 欧洲
WIDE di D. Papa
意大利那不勒斯 - 自 1999 年以来一直是知识产权持有者和欧盟的支持
许可@simwide.com

IP 文档、架构参考和欧洲许可查询。 技术集成请求:d.papa@simwide.com。