OTP/PKI Authentication Internet Banking
description
Transcript of OTP/PKI Authentication Internet Banking
www.tomica.vn
OTP/PKI Authentication Internet Banking
Thanh Trinh
Sale [email protected]
090 868 1359
www.tomica.vn
Giới thiệu giải pháp xác thực mạnh TOMICA
Giới thiệu giải pháp xác thực Tomica - Authentication• Giải pháp xác thực mạnh & Internet Banking do công ty
TOMICA nghiên cứu & phát triển từ 2008 – nay.• Đã và đang triển khai áp dụng cho các ngân hàng
thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank ,Ngân hàng TMCP Phương Đông & Công ty chứng khoán ACBS…
• Hỗ trợ 4 giải pháp xác thực trong cùng 1 hệ thống :– PKI Authentication– OTP Token (Yubikey OTP)– SMS OTP– Email OTP
www.tomica.vn
An toàn trong Internet Banking
• Vấn đề an toàn và bảo mật trong các dịch vụ ngân hàng điện tử như Internet banking, Mobile Banking là tối quan trọng
• Luôn cần đảm bảo thông tin khách hàng, ngân hàng..• Các giao dịch thanh toán, chuyển khoản phải tuyệt đối
tin cậy• Chống được các cơ chế tấn công, xâm nhập như :• Mạo danh, lộ thông tin, thay đổi nội dung thông tin…
www.tomica.vn
Đánh giá các phương thức xác thực
Password
Weaker Stronger
No PasswordPolicy
PasswordPolicy + + +
++++PIN PIN PIN
www.tomica.vn
Giải pháp xác thực nào cho Internet Banking
• Giao dịch truy vấn thông tin– Những giao dịch hay dịch truy vấn thông tin tài khoản không
cần thiết phải sử dụng những phương thức xác thực hiện đại– Phương pháp cổ điển User/Pass cùng với mã hóa kênh truyền
SSL là đủ
• Giao dịch chuyển $ mệnh giá thấp (<= 500$)– SMS OTP là lựa chọn hiệu quả nhất so với chi phí và khả
năng rủi ro, là yếu tố cân nhắc
• Giao dịch giá trị lớn & thông tin tối quan trọng– Giao dịch thanh toán số $ lớn– Chuyển khoản liên ngân hàng– Những thông tin quan trọng đối với cá nhân tổ chức– Khả năng xử lý khi tranh chấp xảy ra
www.tomica.vn
Xác thực chữ ký số (PKI Authentication)
OTP SMS
OTP TOKEN
GRID CARD
DIGITAL SIGNATURE
USERNAME / PASSWORD
VIRTUAL KEYBOARD
www.tomica.vn
Chữ ký số ở Việt Nam
• Có thể nói, việc ứng dụng chữ ký số vào các dịch vụ giao dịch điện tử nói chung & Internet Banking nói riêng là phương thức an toàn nhất hiện nay.
• Hạ tầng PKI ở Việt Nam, đã sẵn sàng với 5 nhà cung cấp dịch vụ chứng thư công cộng (CA), và luật giao dịch điện tử đã có hiệu lực.
• Cuối năm 2012, theo kế hoạch của Tổng Cục Thuế VN, sẽ có từ 60 – 75% doanh nghiệp sẽ phải nộp báo cáo thuế qua mạng (Sử dụng chữ ký điện tử), tương đương với hàng trăm ngàn khách hàng của ngân hàng đã có sẵn thiết bị & chứng chỉ số.
• Các doanh nghiệp thường sử dụng dịch vụ ngân hàng, với tần suất cũng như giá trị giao dịch lớn
• Liệu các phương thức xác thực như SMS OTP, Hardware Token OTP có đảm bảo rằng các ngân hàng triển khai dịch vụ hoàn toàn yên tâm, các rủi ro xảy ra đối với giao dịch giá trị lớn?
• Câu trả lời đó là : Sử dụng giải pháp xác thực chữ ký số.
www.tomica.vn
Xác thực PKI
•22
•11Xác thực danh tính
(Chống giả mạo)
Bảo mật dữ liệu (Mã hóa)
www.tomica.vn
Xác thực PKI
•44•33
Chống chối bỏ trách nhiệm(Bảo vệ quyền lợi cho người ký, người thi hành. Được luật
hóa)
Toàn vẹn dữ liệu(Đảm bảo tính chính xác của dữ
liệu, chống giả mạo)
www.tomica.vn
PKI - Authentication
• Tuân theo tiêu chuẩn quốc tế và các tiêu chuẩn ứng dụng hạ tầng PKI
• Phát sinh chữ ký số PKCS#7. CHỐNG CHỐI BỎ và được các nhà cung cấp dịch vụ chứng thư số đứng ra giải quyết.
• Tương thích với PKI Token & PKI Smartcard. (Javacard, Native Card)
• Thông qua chuẩn PKCS#11 và CSP
• Chạy trên hầu hết tất cả các trình duyệt phổ biến hiện nay :– Internet Explorer
– Firefox Mozilla
– Chrome
– Opera
– Safari
• Hỗ trợ kiểm tra trạng thái chứng thư Offlline mode & Online mode
www.tomica.vn
CRL và OCSP ServerCRL và OCSP Server
User CACRL
Directory
Download CRL
CRL
User CACRL
Directory
Download
CRL
Certificate IDs
to be checked
Answer about
Certificate States
OCSP
Server
OCSP
www.tomica.vn
Mô hình kiến trúc vật lý
www.tomica.vn
Các thành phần hệ thống
• Front-End Module Là module giao tiếp giữa hệ thống xác thực và các thành phần trong hệ thống ngân hàng điện tử của ngân hàng
• Authentication Module Module chính của giải pháp xác thực Internet Banking• Database Server để lưu các giá trị secret, counter (giải pháp OTP) và mã
thumbprint/serial number của các chứng chỉ số khách hàng (giải pháp PKI). Ngoài ra còn lưu thông tin khách hàng, hệ thống CSDL cho Portal quản lý hệ thống xác thực và chăm sóc khách hàng.
• Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống.
– Module kiểm tra chữ ký PKCS#7– Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based– Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ
thể của mỗi public CA)Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng
• Plugin module, TOMICA cung cấp module này để các nhà phát triển web của ngân hàng tích hợp dễ dàng vào hệ thống có sẵn. Plugin Module hỗ trợ hầu hết các trình duyệt phổ biến hiện nay như : Internet Explorer, Mozilla Firefox, Opera, Chrome và Safari.
www.tomica.vn
Authentication Server
• Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống.
– Module kiểm tra chữ ký PKCS#7– Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ
chế event-based– Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ
thuộc vào hạ tầng cụ thể của mỗi public CA). Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng
www.tomica.vn
Sơ đồ kế nối với Core Banking
•Authentication DB
•Authentication DB
•Internet Banking Server
•Internet Banking Server
Authentication Service
Authentication Portal
•Public CA (OCSP/CRL)
•Public CA (OCSP/CRL)
Kiểm tra trạng thái chứng thư số
Phát sinh PKCS#7 thông qua signAText
WS Auth
Stored Procedure
SQL Job
www.tomica.vn
Quy trình xử lý giao dịch
•Bước 1: Khách hàng kết nối đến website Internet Banking thực hiện giao dịch (gửi kèm theo credential được phát sinh bởi USB token thông qua giao tiếp CAPICOM trên trình duyệt Internet Explorer hoặc SignText của Mizolla Firefox)•Bước 2: Internet Banking Server kiểm tra tính hợp lệ của credential (username/password) (sử dụng webservice mà Authentication Server cung cấp)•Bước 3: Nếu credential hợp lệ, chuyển PKCS#7 signature và nội dung giao dịch đến Front-End Server để xử lý•Bước 4: Authentication Server sử dụng function PKCS#7 Verification để kiểm tra tính hợp lệ của chữ ký
•Dùng bouncycastle để kiểm tra tính hợp lệ giữa PKCS#7 signature và nội dung giao dịch•Kết xuất các chứng chỉ số của khách hàng và nhà cung cấp chứng chỉ số dựa vào PKCS#7 signature•Dựa vào số serial number của chứng chỉ số khách hàng kiểm tra trong Database Server đã lưu trữ chứng chỉ này chưa•Kiểm tra chứng chỉ của nhà cung cấp chứng chỉ số (CA) đã đăng ký với Authentication Server chưa•Sử dụng OCSP/CRL Client và thông tin của chứng chỉ số khách hàng để kiểm tra trạng thái của chứng chỉ số của khách hàng (Kích hoạt/ Thu Hồi/ Không Xác Định) bằng cách kết nối trực tiếp tới OCSP Server của nhà cung cấp chứng chỉ số hoặc tải định kỳ file crl của từng nhà cung cấp. Module kiểm tra trạng thái chứng chỉ số hoạt động có bộ định tuyến nhà cung cấp dịch vụ dựa vào số serial number của chứng chỉ số.
•Bước 5: Chuyển kết quả xác thực đến Front-End Server •Bước 6: Chuyển kết quả xác thực đến Internet Banking Server để xử lý trong KoreBank•Bước 7: Thực hiện các nghiệp vụ ngân hàng trong KoreBank•Bước 8: Thông báo kết quả giao dịch cho khách hàng
www.tomica.vn
Web Services API trong Authentication WS
XÁC THỰC HỆ THỐNG DỰA VÀO THÔNG TIN ĐƯỢC GỬI LÊN TỪ PLUGIN SIGNATEXT
www.tomica.vn
Thành phần vật lý
******
• 1 Server xác thực (Authentication Services)• 1 Server cơ sở dữ liệu hệ thống xác thực (Database Server
Authentication)• 1 Server hệ thống quản trị (Authentication Portal Server)
******
www.tomica.vn
PKI – Thành phần hệ thống xác thực
• Đối với hệ thống ngân hàng cần phải duy trì dịch vụ 24/7 cho nên cấu hình hệ thống đề xuất từ 4 - 6 Server.
REPLICATION: 3 SERVER BACKUP TƯƠNG ỨNGTỔNG CỘNG: 6 SERVER
www.tomica.vn
Giải pháp xác thực mạnh -TOMICA
Ngoài ra, giải pháp xác thực mạnh của công ty TOMICA có sẵn các chức năng xác thực khác, có thể điều chỉnh bởi các tham số hóa :
– SMS OTP– Email OTP– YUBIKEY OTP Token
www.tomica.vn
Khách hàng
Đã và đang triển khai áp dụng cho các khách hàng là ngân hàng, công ty chứng khoán như :•Ngân hàng thương mại cổ phần Á Châu•Ngân hàng XNK Eximbank•Ngân hàng TMCP Phương Đông•Công ty chứng khoán ACBS.•Viện tin học ứng dụng Bộ Công Thương•Dự án Công An thành phố Hà Nội..
www.tomica.vn
Đối tác hỗ trợ
• TOMICA là đối tác của Viettel-CA trong mọi dự án PKI, và Viettel-CA sẽ cam kết hỗ trợ giá ưu đãi chỉ dành cho đối tác RA của Viettel đối với khách hàng của TOMICA
• FEITIAN Corp : Là đối tác sản xuất và cung cấp PKI Token hầu hết ở Việt Nam hiện nay, FEITEAN, cam kết cung cấp giá tốt nhất, cũng như các dịch vụ OEM thiết bị Token mà TOMICA cung cấp cho khách hàng.
www.tomica.vn
Thank you
CÔNG TY GIẢI PHÁP THẺ MINH THÔNG16/2 Ter Đinh Tiên Hoàng, F Dakao, Q 1, HCM
Tel : 08 3911 8920 – Fax : 08 3911 8921
www.tomica.vn – www.tomicalab.com
www.tomica.vn
Giới thiệu thêm về YUBIKEY OTP Token
www.tomica.vn
Giới thiệu về thiết bị xác thực Yubikey OTP
• Sản phẩm công nghệ cao của Yubico (Thụy Điển)• Phát sinh mã OTP an toàn• Mã OTP 32 ký tự mã hóa bởi thuật toán AES128• Kết hợp PIN/password thành xác thực hai nhân tố (two factor
authentication)• Chống lại tấn công attack-relay• Mã ePoch theo thời gian
www.tomica.vn
Yubikey – Hardware OTP Token
• Xác thực theo chuẩn HID• Chạm vào Yubikey sẽ tự động phát sinh ra mã OTP và
định danh thiết bị• Chạy trên mọi máy tính và mọi platform• Không cần cài đặt middleware
ccccccccehllvjjitleikcffjndtjkgnrejudfrjncun
ccccccccehllcrnhttrgbgikrcctihnlhclrvhkldcdj
IDENTITY ONE TIME PASSWORD
www.tomica.vn
Yubikey – OTP Token ứng dụng
• Được thiết kế cho các dịch vụ xác thực điện toán đám mây
• Hỗ trợ mọi nên tảng, Windows, Linux, Mac …
• Không phải cài đặt Driver• Khả năng sử dụng 1 thiết
bị cho nhiều dịch vụ• Có gói miễn phí
Authentication Services của nhà sản xuất.
• Phần mềm cá thể hóa & hệ thống xác thực miễn phí từ nhà sản xuất.
www.tomica.vn
Yubikey – Hardware OTP Token
Khách hàng của Yubikey• Doanh nghiệp• Chính phủ• Dịch vụ điện toán đám mây• Ngân hàng, tổ chức tài
chính