Authentication II - PKI based, comparisons

Download Report

Transcript Authentication II - PKI based, comparisons 

OTP/PKI Authentication
Internet Banking
Thanh Trinh
Sale Director
[email protected]
090 868 1359
www.tomica.vn
Giới thiệu giải pháp xác thực mạnh TOMICA
Giới thiệu giải pháp xác thực Tomica - Authentication
• Giải pháp xác thực mạnh & Internet Banking do công ty
TOMICA nghiên cứu & phát triển từ 2008 – nay.
• Đã và đang triển khai áp dụng cho các ngân hàng
thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank
,Ngân hàng TMCP Phương Đông & Công ty chứng
khoán ACBS…
• Hỗ trợ 4 giải pháp xác thực trong cùng 1 hệ thống :
–
–
–
–
PKI Authentication
OTP Token (Yubikey OTP)
SMS OTP
Email OTP
www.tomica.vn
An toàn trong Internet Banking
• Vấn đề an toàn và bảo mật trong các dịch vụ ngân hàng
•
•
•
•
điện tử như Internet banking, Mobile Banking là tối quan
trọng
Luôn cần đảm bảo thông tin khách hàng, ngân hàng..
Các giao dịch thanh toán, chuyển khoản phải tuyệt đối
tin cậy
Chống được các cơ chế tấn công, xâm nhập như :
Mạo danh, lộ thông tin, thay đổi nội dung thông tin…
www.tomica.vn
Đánh giá các phương thức xác thực
No Password
Policy
Password
Policy
PIN
PIN
PIN
+
+
+
+
+
+
+
Password
Weaker
www.tomica.vn
Stronger
Giải pháp xác thực nào cho Internet Banking
• Giao dịch truy vấn thông tin
– Những giao dịch hay dịch truy vấn thông tin tài khoản không
cần thiết phải sử dụng những phương thức xác thực hiện đại
– Phương pháp cổ điển User/Pass cùng với mã hóa kênh truyền
SSL là đủ
• Giao dịch chuyển $ mệnh giá thấp (<= 500$)
– SMS OTP là lựa chọn hiệu quả nhất so với chi phí và khả
năng rủi ro, là yếu tố cân nhắc
• Giao dịch giá trị lớn & thông tin tối quan trọng
–
–
–
–
www.tomica.vn
Giao dịch thanh toán số $ lớn
Chuyển khoản liên ngân hàng
Những thông tin quan trọng đối với cá nhân tổ chức
Khả năng xử lý khi tranh chấp xảy ra
Xác thực chữ ký số (PKI Authentication)
OTP SMS
GRID CARD
USERNAME / PASSWORD
DIGITAL SIGNATURE
OTP TOKEN
VIRTUAL KEYBOARD
www.tomica.vn
Chữ ký số ở Việt Nam
•
•
•
•
•
•
Có thể nói, việc ứng dụng chữ ký số vào các dịch vụ giao dịch điện
tử nói chung & Internet Banking nói riêng là phương thức an toàn
nhất hiện nay.
Hạ tầng PKI ở Việt Nam, đã sẵn sàng với 5 nhà cung cấp dịch vụ
chứng thư công cộng (CA), và luật giao dịch điện tử đã có hiệu lực.
Cuối năm 2012, theo kế hoạch của Tổng Cục Thuế VN, sẽ có từ 60
– 75% doanh nghiệp sẽ phải nộp báo cáo thuế qua mạng (Sử dụng
chữ ký điện tử), tương đương với hàng trăm ngàn khách hàng của
ngân hàng đã có sẵn thiết bị & chứng chỉ số.
Các doanh nghiệp thường sử dụng dịch vụ ngân hàng, với tần suất
cũng như giá trị giao dịch lớn
Liệu các phương thức xác thực như SMS OTP, Hardware Token
OTP có đảm bảo rằng các ngân hàng triển khai dịch vụ hoàn toàn
yên tâm, các rủi ro xảy ra đối với giao dịch giá trị lớn?
Câu trả lời đó là : Sử dụng giải pháp xác thực chữ ký số.
www.tomica.vn
Xác thực PKI
Bảo mật dữ liệu
(Mã hóa)
•1
Xác thực danh tính
(Chống giả mạo)
www.tomica.vn
•2
Xác thực PKI
Toàn vẹn dữ liệu
(Đảm bảo tính chính xác của dữ
liệu, chống giả mạo)
•3
Chống chối bỏ trách nhiệm
(Bảo vệ quyền lợi cho người ký, người thi hành. Được luật
hóa)
www.tomica.vn
•4
PKI - Authentication
•
•
•
•
•
Tuân theo tiêu chuẩn quốc tế và các tiêu chuẩn ứng dụng hạ tầng
PKI
Phát sinh chữ ký số PKCS#7. CHỐNG CHỐI BỎ và được các nhà
cung cấp dịch vụ chứng thư số đứng ra giải quyết.
Tương thích với PKI Token & PKI Smartcard. (Javacard, Native
Card)
Thông qua chuẩn PKCS#11 và CSP
Chạy trên hầu hết tất cả các trình duyệt phổ biến hiện nay :
–
–
–
–
–
•
Internet Explorer
Firefox Mozilla
Chrome
Opera
Safari
Hỗ trợ kiểm tra trạng thái chứng thư Offlline mode & Online mode
www.tomica.vn
CRL và OCSP Server
Download CRL
CRL
User
CA
CRL
Directory
Certificate IDs
to be checked
User
Answer about
Certificate States
OCSP
Server
Download
CRL
CRL
CA
Directory
www.tomica.vn
OCSP
Mô hình kiến trúc vật lý
www.tomica.vn
Các thành phần hệ thống
•
•
•
•
Front-End Module Là module giao tiếp giữa hệ thống xác thực và các thành phần
trong hệ thống ngân hàng điện tử của ngân hàng
Authentication Module Module chính của giải pháp xác thực Internet Banking
Database Server để lưu các giá trị secret, counter (giải pháp OTP) và mã
thumbprint/serial number của các chứng chỉ số khách hàng (giải pháp PKI). Ngoài ra
còn lưu thông tin khách hàng, hệ thống CSDL cho Portal quản lý hệ thống xác thực
và chăm sóc khách hàng.
Authentication Server là server thực hiện các giao dịch xác thực và hosting portal
quản lý hệ thống.
–
–
–
•
Module kiểm tra chữ ký PKCS#7
Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based
Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ thể của
mỗi public CA)Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao
tác trên hệ thống dễ dàng
Plugin module, TOMICA cung cấp module này để các nhà phát triển web của ngân
hàng tích hợp dễ dàng vào hệ thống có sẵn. Plugin Module hỗ trợ hầu hết các trình
duyệt phổ biến hiện nay như : Internet Explorer, Mozilla Firefox, Opera, Chrome và
Safari.
www.tomica.vn
Authentication Server
•
Authentication Server là server thực hiện các giao dịch xác thực
và hosting portal quản lý hệ thống.
–
–
Module kiểm tra chữ ký PKCS#7
Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế
event-based
–
Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc
vào hạ tầng cụ thể của mỗi public CA). Ứng dụng portal giúp thanh toán viên,
kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng
www.tomica.vn
Sơ đồ kế nối với Core Banking
•Authentication
•Public CA
(OCSP/CRL)
DB
Authentication
Portal
Kiểm tra trạng thái
chứng thư số
plugin
•TOMICA
Phát sinh
PKCS#7 thông
qua signAText
•WebPage
Stored
Procedure
SQL Job
•Internet Banking
WS Auth
Server
Authentication
Service
www.tomica.vn
Quy trình xử lý giao dịch
•Bước 1: Khách hàng kết nối đến website Internet Banking thực
hiện giao dịch (gửi kèm theo credential được phát sinh bởi USB
token thông qua giao tiếp CAPICOM trên trình duyệt Internet
Explorer hoặc SignText của Mizolla Firefox)
•Bước 2: Internet Banking Server kiểm tra tính hợp lệ của credential
(username/password) (sử dụng webservice mà Authentication
Server cung cấp)
•Bước 3: Nếu credential hợp lệ, chuyển PKCS#7 signature và nội
dung giao dịch đến Front-End Server để xử lý
•Bước 4: Authentication Server sử dụng function PKCS#7
Verification để kiểm tra tính hợp lệ của chữ ký
•Dùng bouncycastle để kiểm tra tính hợp lệ giữa PKCS#7
signature và nội dung giao dịch
•Kết xuất các chứng chỉ số của khách hàng và nhà cung
cấp chứng chỉ số dựa vào PKCS#7 signature
•Dựa vào số serial number của chứng chỉ số khách hàng
kiểm tra trong Database Server đã lưu trữ chứng chỉ này
chưa
•Kiểm tra chứng chỉ của nhà cung cấp chứng chỉ số (CA)
đã đăng ký với Authentication Server chưa
•Sử dụng OCSP/CRL Client và thông tin của chứng chỉ số
khách hàng để kiểm tra trạng thái của chứng chỉ số của
khách hàng (Kích hoạt/ Thu Hồi/ Không Xác Định) bằng
cách kết nối trực tiếp tới OCSP Server của nhà cung cấp
chứng chỉ số hoặc tải định kỳ file crl của từng nhà cung
cấp. Module kiểm tra trạng thái chứng chỉ số hoạt động có
bộ định tuyến nhà cung cấp dịch vụ dựa vào số serial
number của chứng chỉ số.
•Bước 5: Chuyển kết quả xác thực đến Front-End Server
•Bước 6: Chuyển kết quả xác thực đến Internet Banking Server để
xử lý trong KoreBank
•Bước 7: Thực hiện các nghiệp vụ ngân hàng trong KoreBank
•Bước 8: Thông báo kết quả giao dịch cho khách hàng
www.tomica.vn
Web Services API trong Authentication WS
XÁC THỰC HỆ THỐNG DỰA VÀO
THÔNG TIN ĐƯỢC GỬI LÊN TỪ
PLUGIN SIGNATEXT
www.tomica.vn
Thành phần vật lý
•
•
•
1 Server xác thực (Authentication Services)
1 Server cơ sở dữ liệu hệ thống xác thực (Database Server
Authentication)
1 Server hệ thống quản trị (Authentication Portal Server)
******
******
www.tomica.vn
PKI – Thành phần hệ thống xác thực
•
Đối với hệ thống ngân hàng cần phải duy trì dịch vụ 24/7 cho nên
cấu hình hệ thống đề xuất từ 4 - 6 Server.
REPLICATION: 3 SERVER
BACKUP TƯƠNG ỨNG
TỔNG CỘNG: 6 SERVER
www.tomica.vn
Giải pháp xác thực mạnh -TOMICA
Ngoài ra, giải pháp xác thực mạnh của công ty TOMICA có
sẵn các chức năng xác thực khác, có thể điều chỉnh bởi
các tham số hóa :
– SMS OTP
– Email OTP
– YUBIKEY OTP Token
www.tomica.vn
Khách hàng
Đã và đang triển khai áp dụng cho các khách hàng là ngân hàng,
công ty chứng khoán như :
•
Ngân hàng thương mại cổ phần Á Châu
•
Ngân hàng XNK Eximbank
•
Ngân hàng TMCP Phương Đông
•
Công ty chứng khoán ACBS.
•
Viện tin học ứng dụng Bộ Công Thương
•
Dự án Công An thành phố Hà Nội..
www.tomica.vn
Đối tác hỗ trợ
•
•
TOMICA là đối tác của Viettel-CA trong mọi dự án PKI, và ViettelCA sẽ cam kết hỗ trợ giá ưu đãi chỉ dành cho đối tác RA của Viettel
đối với khách hàng của TOMICA
FEITIAN Corp : Là đối tác sản xuất và cung cấp PKI Token hầu hết
ở Việt Nam hiện nay, FEITEAN, cam kết cung cấp giá tốt nhất, cũng
như các dịch vụ OEM thiết bị Token mà TOMICA cung cấp cho
khách hàng.
www.tomica.vn
Thank you
CÔNG TY GIẢI PHÁP THẺ MINH THÔNG
16/2 Ter Đinh Tiên Hoàng, F Dakao, Q 1, HCM
Tel : 08 3911 8920 – Fax : 08 3911 8921
www.tomica.vn – www.tomicalab.com
www.tomica.vn
Giới thiệu thêm về YUBIKEY OTP Token
www.tomica.vn
Giới thiệu về thiết bị xác thực Yubikey OTP
•
•
•
•
•
•
Sản phẩm công nghệ cao của Yubico (Thụy Điển)
Phát sinh mã OTP an toàn
Mã OTP 32 ký tự mã hóa bởi thuật toán AES128
Kết hợp PIN/password thành xác thực hai nhân tố (two factor
authentication)
Chống lại tấn công attack-relay
Mã ePoch theo thời gian
www.tomica.vn
Yubikey – Hardware OTP Token
IDENTITY
ONE TIME PASSWORD
ccccccccehllvjjitleikcffjndtjkgnrejudfrjncun
ccccccccehllcrnhttrgbgikrcctihnlhclrvhkldcdj
•
•
•
•
Xác thực theo chuẩn HID
Chạm vào Yubikey sẽ tự động phát sinh ra mã OTP và
định danh thiết bị
Chạy trên mọi máy tính và mọi platform
Không cần cài đặt middleware
www.tomica.vn
Yubikey – OTP Token ứng dụng
•
•
•
•
•
•
www.tomica.vn
Được thiết kế cho các
dịch vụ xác thực điện
toán đám mây
Hỗ trợ mọi nên tảng,
Windows, Linux, Mac …
Không phải cài đặt Driver
Khả năng sử dụng 1 thiết
bị cho nhiều dịch vụ
Có gói miễn phí
Authentication Services
của nhà sản xuất.
Phần mềm cá thể hóa &
hệ thống xác thực miễn
phí từ nhà sản xuất.
Yubikey – Hardware OTP Token
Khách hàng của Yubikey
• Doanh nghiệp
• Chính phủ
• Dịch vụ điện toán đám mây
• Ngân hàng, tổ chức tài
chính
www.tomica.vn