www.tomica.vn

OTP/PKI Authentication Internet Banking

Thanh Trinh

Sale Directorthanhtn@tomica.vn

090 868 1359

www.tomica.vn

Giới thiệu giải pháp xác thực mạnh TOMICA

Giới thiệu giải pháp xác thực Tomica - Authentication• Giải pháp xác thực mạnh & Internet Banking do công ty

TOMICA nghiên cứu & phát triển từ 2008 – nay.• Đã và đang triển khai áp dụng cho các ngân hàng

thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank ,Ngân hàng TMCP Phương Đông & Công ty chứng khoán ACBS…

• Hỗ trợ 4 giải pháp xác thực trong cùng 1 hệ thống :– PKI Authentication– OTP Token (Yubikey OTP)– SMS OTP– Email OTP

www.tomica.vn

An toàn trong Internet Banking

• Vấn đề an toàn và bảo mật trong các dịch vụ ngân hàng điện tử như Internet banking, Mobile Banking là tối quan trọng

• Luôn cần đảm bảo thông tin khách hàng, ngân hàng..• Các giao dịch thanh toán, chuyển khoản phải tuyệt đối

tin cậy• Chống được các cơ chế tấn công, xâm nhập như :• Mạo danh, lộ thông tin, thay đổi nội dung thông tin…

www.tomica.vn

Đánh giá các phương thức xác thực

Password

Weaker Stronger

No PasswordPolicy

PasswordPolicy + + +

++++PIN PIN PIN

www.tomica.vn

Giải pháp xác thực nào cho Internet Banking

• Giao dịch truy vấn thông tin– Những giao dịch hay dịch truy vấn thông tin tài khoản không

cần thiết phải sử dụng những phương thức xác thực hiện đại– Phương pháp cổ điển User/Pass cùng với mã hóa kênh truyền

SSL là đủ

• Giao dịch chuyển $ mệnh giá thấp (<= 500$)– SMS OTP là lựa chọn hiệu quả nhất so với chi phí và khả

năng rủi ro, là yếu tố cân nhắc

• Giao dịch giá trị lớn & thông tin tối quan trọng– Giao dịch thanh toán số $ lớn– Chuyển khoản liên ngân hàng– Những thông tin quan trọng đối với cá nhân tổ chức– Khả năng xử lý khi tranh chấp xảy ra

www.tomica.vn

Xác thực chữ ký số (PKI Authentication)

OTP SMS

OTP TOKEN

GRID CARD

DIGITAL SIGNATURE

USERNAME / PASSWORD

VIRTUAL KEYBOARD

www.tomica.vn

Chữ ký số ở Việt Nam

• Có thể nói, việc ứng dụng chữ ký số vào các dịch vụ giao dịch điện tử nói chung & Internet Banking nói riêng là phương thức an toàn nhất hiện nay.

• Hạ tầng PKI ở Việt Nam, đã sẵn sàng với 5 nhà cung cấp dịch vụ chứng thư công cộng (CA), và luật giao dịch điện tử đã có hiệu lực.

• Cuối năm 2012, theo kế hoạch của Tổng Cục Thuế VN, sẽ có từ 60 – 75% doanh nghiệp sẽ phải nộp báo cáo thuế qua mạng (Sử dụng chữ ký điện tử), tương đương với hàng trăm ngàn khách hàng của ngân hàng đã có sẵn thiết bị & chứng chỉ số.

• Các doanh nghiệp thường sử dụng dịch vụ ngân hàng, với tần suất cũng như giá trị giao dịch lớn

• Liệu các phương thức xác thực như SMS OTP, Hardware Token OTP có đảm bảo rằng các ngân hàng triển khai dịch vụ hoàn toàn yên tâm, các rủi ro xảy ra đối với giao dịch giá trị lớn?

• Câu trả lời đó là : Sử dụng giải pháp xác thực chữ ký số.

www.tomica.vn

Xác thực PKI

•22

•11Xác thực danh tính

(Chống giả mạo)

Bảo mật dữ liệu (Mã hóa)

www.tomica.vn

Xác thực PKI

•44•33

Chống chối bỏ trách nhiệm(Bảo vệ quyền lợi cho người ký, người thi hành. Được luật

hóa)

Toàn vẹn dữ liệu(Đảm bảo tính chính xác của dữ

liệu, chống giả mạo)

www.tomica.vn

PKI - Authentication

• Tuân theo tiêu chuẩn quốc tế và các tiêu chuẩn ứng dụng hạ tầng PKI

• Phát sinh chữ ký số PKCS#7. CHỐNG CHỐI BỎ và được các nhà cung cấp dịch vụ chứng thư số đứng ra giải quyết.

• Tương thích với PKI Token & PKI Smartcard. (Javacard, Native Card)

• Thông qua chuẩn PKCS#11 và CSP

• Chạy trên hầu hết tất cả các trình duyệt phổ biến hiện nay :– Internet Explorer

– Firefox Mozilla

– Chrome

– Opera

– Safari

• Hỗ trợ kiểm tra trạng thái chứng thư Offlline mode & Online mode

www.tomica.vn

CRL và OCSP ServerCRL và OCSP Server

User CACRL

Directory

Download CRL

CRL

User CACRL

Directory

Download

CRL

Certificate IDs

to be checked

Answer about

Certificate States

OCSP

Server

OCSP

www.tomica.vn

Mô hình kiến trúc vật lý

www.tomica.vn

Các thành phần hệ thống

• Front-End Module Là module giao tiếp giữa hệ thống xác thực và các thành phần trong hệ thống ngân hàng điện tử của ngân hàng

• Authentication Module Module chính của giải pháp xác thực Internet Banking• Database Server để lưu các giá trị secret, counter (giải pháp OTP) và mã

thumbprint/serial number của các chứng chỉ số khách hàng (giải pháp PKI). Ngoài ra còn lưu thông tin khách hàng, hệ thống CSDL cho Portal quản lý hệ thống xác thực và chăm sóc khách hàng.

• Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống.

– Module kiểm tra chữ ký PKCS#7– Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based– Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ

thể của mỗi public CA)Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng

• Plugin module, TOMICA cung cấp module này để các nhà phát triển web của ngân hàng tích hợp dễ dàng vào hệ thống có sẵn. Plugin Module hỗ trợ hầu hết các trình duyệt phổ biến hiện nay như : Internet Explorer, Mozilla Firefox, Opera, Chrome và Safari.

www.tomica.vn

Authentication Server

• Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống.

– Module kiểm tra chữ ký PKCS#7– Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ

chế event-based– Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ

thuộc vào hạ tầng cụ thể của mỗi public CA). Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng

www.tomica.vn

Sơ đồ kế nối với Core Banking

•Authentication DB

•Authentication DB

•Internet Banking Server

•Internet Banking Server

Authentication Service

Authentication Portal

•Public CA (OCSP/CRL)

•Public CA (OCSP/CRL)

Kiểm tra trạng thái chứng thư số

Phát sinh PKCS#7 thông qua signAText

WS Auth

Stored Procedure

SQL Job

www.tomica.vn

Quy trình xử lý giao dịch

•Bước 1: Khách hàng kết nối đến website Internet Banking thực hiện giao dịch (gửi kèm theo credential được phát sinh bởi USB token thông qua giao tiếp CAPICOM trên trình duyệt Internet Explorer hoặc SignText của Mizolla Firefox)•Bước 2: Internet Banking Server kiểm tra tính hợp lệ của credential (username/password) (sử dụng webservice mà Authentication Server cung cấp)•Bước 3: Nếu credential hợp lệ, chuyển PKCS#7 signature và nội dung giao dịch đến Front-End Server để xử lý•Bước 4: Authentication Server sử dụng function PKCS#7 Verification để kiểm tra tính hợp lệ của chữ ký

•Dùng bouncycastle để kiểm tra tính hợp lệ giữa PKCS#7 signature và nội dung giao dịch•Kết xuất các chứng chỉ số của khách hàng và nhà cung cấp chứng chỉ số dựa vào PKCS#7 signature•Dựa vào số serial number của chứng chỉ số khách hàng kiểm tra trong Database Server đã lưu trữ chứng chỉ này chưa•Kiểm tra chứng chỉ của nhà cung cấp chứng chỉ số (CA) đã đăng ký với Authentication Server chưa•Sử dụng OCSP/CRL Client và thông tin của chứng chỉ số khách hàng để kiểm tra trạng thái của chứng chỉ số của khách hàng (Kích hoạt/ Thu Hồi/ Không Xác Định) bằng cách kết nối trực tiếp tới OCSP Server của nhà cung cấp chứng chỉ số hoặc tải định kỳ file crl của từng nhà cung cấp. Module kiểm tra trạng thái chứng chỉ số hoạt động có bộ định tuyến nhà cung cấp dịch vụ dựa vào số serial number của chứng chỉ số.

•Bước 5: Chuyển kết quả xác thực đến Front-End Server •Bước 6: Chuyển kết quả xác thực đến Internet Banking Server để xử lý trong KoreBank•Bước 7: Thực hiện các nghiệp vụ ngân hàng trong KoreBank•Bước 8: Thông báo kết quả giao dịch cho khách hàng

www.tomica.vn

Web Services API trong Authentication WS

XÁC THỰC HỆ THỐNG DỰA VÀO THÔNG TIN ĐƯỢC GỬI LÊN TỪ PLUGIN SIGNATEXT

www.tomica.vn

Thành phần vật lý

******

• 1 Server xác thực (Authentication Services)• 1 Server cơ sở dữ liệu hệ thống xác thực (Database Server

Authentication)• 1 Server hệ thống quản trị (Authentication Portal Server)

******

www.tomica.vn

PKI – Thành phần hệ thống xác thực

• Đối với hệ thống ngân hàng cần phải duy trì dịch vụ 24/7 cho nên cấu hình hệ thống đề xuất từ 4 - 6 Server.

REPLICATION: 3 SERVER BACKUP TƯƠNG ỨNGTỔNG CỘNG: 6 SERVER

www.tomica.vn

Giải pháp xác thực mạnh -TOMICA

Ngoài ra, giải pháp xác thực mạnh của công ty TOMICA có sẵn các chức năng xác thực khác, có thể điều chỉnh bởi các tham số hóa :

– SMS OTP– Email OTP– YUBIKEY OTP Token

www.tomica.vn

Khách hàng

Đã và đang triển khai áp dụng cho các khách hàng là ngân hàng, công ty chứng khoán như :•Ngân hàng thương mại cổ phần Á Châu•Ngân hàng XNK Eximbank•Ngân hàng TMCP Phương Đông•Công ty chứng khoán ACBS.•Viện tin học ứng dụng Bộ Công Thương•Dự án Công An thành phố Hà Nội..

www.tomica.vn

Đối tác hỗ trợ

• TOMICA là đối tác của Viettel-CA trong mọi dự án PKI, và Viettel-CA sẽ cam kết hỗ trợ giá ưu đãi chỉ dành cho đối tác RA của Viettel đối với khách hàng của TOMICA

• FEITIAN Corp : Là đối tác sản xuất và cung cấp PKI Token hầu hết ở Việt Nam hiện nay, FEITEAN, cam kết cung cấp giá tốt nhất, cũng như các dịch vụ OEM thiết bị Token mà TOMICA cung cấp cho khách hàng.

www.tomica.vn

Thank you

CÔNG TY GIẢI PHÁP THẺ MINH THÔNG16/2 Ter Đinh Tiên Hoàng, F Dakao, Q 1, HCM

Tel : 08 3911 8920 – Fax : 08 3911 8921

www.tomica.vn – www.tomicalab.com

www.tomica.vn

Giới thiệu thêm về YUBIKEY OTP Token

www.tomica.vn

Giới thiệu về thiết bị xác thực Yubikey OTP

• Sản phẩm công nghệ cao của Yubico (Thụy Điển)• Phát sinh mã OTP an toàn• Mã OTP 32 ký tự mã hóa bởi thuật toán AES128• Kết hợp PIN/password thành xác thực hai nhân tố (two factor

authentication)• Chống lại tấn công attack-relay• Mã ePoch theo thời gian

www.tomica.vn

Yubikey – Hardware OTP Token

• Xác thực theo chuẩn HID• Chạm vào Yubikey sẽ tự động phát sinh ra mã OTP và

định danh thiết bị• Chạy trên mọi máy tính và mọi platform• Không cần cài đặt middleware

ccccccccehllvjjitleikcffjndtjkgnrejudfrjncun

ccccccccehllcrnhttrgbgikrcctihnlhclrvhkldcdj

IDENTITY ONE TIME PASSWORD

www.tomica.vn

Yubikey – OTP Token ứng dụng

• Được thiết kế cho các dịch vụ xác thực điện toán đám mây

• Hỗ trợ mọi nên tảng, Windows, Linux, Mac …

• Không phải cài đặt Driver• Khả năng sử dụng 1 thiết

bị cho nhiều dịch vụ• Có gói miễn phí

Authentication Services của nhà sản xuất.

• Phần mềm cá thể hóa & hệ thống xác thực miễn phí từ nhà sản xuất.

www.tomica.vn

Yubikey – Hardware OTP Token

Khách hàng của Yubikey• Doanh nghiệp• Chính phủ• Dịch vụ điện toán đám mây• Ngân hàng, tổ chức tài

chính