Лучшая модель аутентификации системы к системе (двухфакторная) (с высочайшими стандартами / подписью правительства)?

Все,

Я создаю интерфейс для системы (нашей), которая содержит конфиденциальные данные, которые теперь должны быть доступны через системный интерфейс (нашего собственного дизайна) для того, что будет встроено в другие системы клиента.

Сценарий:- SystemB вызывает SystemA.NewInterface.getData(), где SystemA является уже существующим (нашим), а SystemB является авторизованным авторизованным абонентом.

Вопрос состоит в том, какой механизм аутентификации здесь хорош?

Конечно, будет использоваться стандартная защита на уровне сети (SSL/TLS, блокировка портов, фильтрация IP-адресов). Но IP-адреса могут быть подделаны. Данные, которые поступают, будут запутаны (для защиты чувствительности и анонимности лиц, у которых были собраны данные), но, тем не менее, очень ценны при получении в большом количестве.

Выдача сертификата (сертификатов) в вызывающую систему не возможна.

У меня есть представление пакета "план / дизайн / сигарета" для двухфакторной (ish) системы аутентификации, которая смоделирована по обмену ключами, очень похожему на "Диффи-Хеллман" ( википедия по Диффи-Хеллману), но она достаточно вовлечена, чтобы деловые люди может задавать вопросы о его пригодности. Правильные вопросы, где правильные ответы очень технические.

Я не думаю, что бизнес поймет причины такого технического выбора / плана.

Существуют ли какие-либо глобальные или национальные руководящие принципы или стандарты для аутентификации для системных и системных интерфейсов, которые не используют сертификаты в регулируемом мире (правительственные, военные, медицинские реестры)?

Если я могу ссылаться на стандарт со стороны глобального оргкомитета по стандартизации или регулирующего органа, я с радостью буду использовать (расширять?) Этот шаблон... тогда бизнес может знать, что это больше, чем просто техническая "магия" / дым и зеркала.

Большое спасибо за помощь!

Aidanapword