Proiect cofina ţat prin Fondul European de Dezvoltare Regională
description
Transcript of Proiect cofina ţat prin Fondul European de Dezvoltare Regională
Programul Operaţional Sectorial „Creşterea Competitivităţii Economice”„Investiţii pentru viitorul dumneavoastră”
Proiect cofinaţat prin Fondul European de Dezvoltare Regională
“Conţinutul acestui material nu reprezintă în mod obligatoriu poziţia oficială a Uniunii Europene sau a Guvernului României”
Echipa ATHOS
15 Iulie 2013
Serviciu automatizat de autentificare prin
semnatura biometrică - ATHOS
Serviciu automatizat de autentificare prin semnatura biometricăATHOS
IntroducerePrezentare generală
Descriere tehnicăSlides before 1st
Section Divider
Demo
Motivație
În condiţiile în care atacurile virtuale au loc din ce în ce mai des, cu pagube din ce în ce mai însemnate, se impune nevoia de a spori gradul de securitate al aplicaţiilor care constituie ţinte ale atacatorilor.
Obiectivul proiectului
înglobarea procedurii de autentificare pe bază de semnatură pentru sporirea gradului de securitate al autentificării on-line
reducerea timpului de implementare alocat pentru realizarea sistemului de autentificare de către dezvoltatorii de soluţii de acest gen
Cu ce am pornit la drum?
Bazele ATHOS
Brevet sistem de
autentificare a semnăturii
BIOACS
SISEB
Unde am ajuns?Cheltuieli eligibile finanţate public pentru proiect: 912.843
RON
Locuri de muncă nou create datorită proiectului total: 3
Cereri de brevete rezultate din proiect: 1
Publicații științifice rezultate din proiect: 3
Contribuţia financiară privată a solicitantului la proiect: 1.386.648 RON
Cheltuieli eligibile efectuate de Softwin pentru proiect : 2.118.250 RON
Funcțiile sistemuluiSecuritate
Autorizare, confidenţialitate, integritate
Disponibilitate Peste 99% uptime
Acurateţe Performanţele metodelor de autentificare a semnăturii
FRR (False Rejection Rate) FAR (False Acceptance Rate)
Capacitate Menţinerea eficienţei sistemului la procesarea unui număr ridicat de
cereri, in timp real, folosind resurse limitate Soluţia Nvidia CUDA – putere de procesare ridicată la un preţ redus
Funcțiile sistemuluiModificabilitate
Tratarea unui număr ridicat de cereri de la clienţi din diferite regiuni geografice – replicare
InteroperabilitateArhitectură modificabilă – pot fi folosite multiple tehnologii
biometrice
ScalabilitateDistribuţia optimă a task-urilor pe resurse
Timp redus pentru proiectarea şi implementarea soluţiei
Flux de utilizare - dezvoltatorul
Achiziţie licenţă +
SDK
Creare instanţă aplicaţie
Dezvoltare
aplicaţie
Activare aplicaţie
Flux de utilizare – utilizatorul final
Creare cont în sistem
Înregistrare
Autentificare
Mod de licențiereCondiţii prevăzute în SLA
(Service Level Agreement)Timp maxim de răspunsNumăr maxim de cereri pe minutNumăr maxim de utilizatori înregistraţi în
sistemExemplu:
Aplicaţie e-banking vs aplicaţie pontaj
Pachetul comercial1) Vânzare servicii de autentificare către
dezvoltatori: Taxă tip abonament
2) Pay-per-use: Taxă pentru fiecare autentificare
Conţinut pachet:SDK clientManuale de utilizareLicenţe dezvoltare + producţie
Performanțe*Nivel de securitate
FRR: max. 10-15%FAR: max. 1%
Timp de răspuns: 1-5 secundeNumăr de cereri pe minut: mii-zeci de mii**
* în condiţiile licenţei achiziţionate şi a nefuncţionării în regim de supraîncărcare
** în funcţie de configuraţia hardware
SecurityModule
Notifier
Load Balancer
Arhitectura sistemului
ATHOS Service
Computing Service
Worker n
Worker 2
Worker 1
Data ServiceError Logging
Service
AplicațiiUtilizatoriSpecimene
Log-uri
PROXY Inspector
ATHOS PortalLicense
Administration Module
PROXY
Aplicație client 1
Aplicație client 2
PROXYAplicație client m
ATHOS ServiceReverse PROXY
Preluare și validare cereri De autentificare De date
Securitate – TSL, HTTPS, autentificare mutuală (certificate)
Arhitectura sistemului – Componente server
Load Balancer
ATHOS Service
Computing Service
Worker n
Worker 2
Worker 1
Arhitectura sistemului – Componente server
Computing ServiceConstruire task-uri
Returnare date aplicaţie şi utilizator Asignare priorităţi Preluare template din baza de date
Monitorizare Task-uri Nivel de încărcare sistem
Administrare și stocare informații statistice Workeri
Load Balancer
ATHOS Service
Computing Service
Worker n
Worker 2
Worker 1
Arhitectura sistemului – Componente server
Load BalancerDistribuţie task-uri pe resurse
Optimizare respectare cerinţe licenţe Optimizare utilizare resurse Optimizare capacitate procesare
ATHOS Service
Computing Service
Worker n
Worker 2
Worker 1
Load Balancer
Arhitectura sistemului – Componente server
WorkerManagement procese de autentificare
API autentificare biometrică Procesare pe unităţi de calcul multi-core (CPU) şi
many-core (GPU)
Load Balancer
ATHOS Service
Computing Service
Worker n
Worker 2
Worker 1
Arhitectura sistemului – Componente server
Data ServiceAutorizare şi servire cereri de dateValidare şi stochare date
Aplicaţii Utilizatori Specimene Componente
Security ModuleHashingCriptare
Notifier
Error Logging Service
Log-uri
SecurityModule
Data Service
AplicațiiUtilizatoriSpecimene
Arhitectura sistemului – Componente server
Error Logging ServiceÎnregistrare evenimente componenteNotificare prin e-mail la nivel de aplicație și
sistem Periodică La cerere
Generare rapoarte la nivel de aplicație și sistem Periodică La cerere
Notifier
Error Logging Service
Log-uri
SecurityModule
Data Service
AplicațiiUtilizatoriSpecimene
Arhitectura sistemului – Componente server
ATHOS PortalAdministrare aplicaţiiAdministrarea utilizatoriAdministrare (parţială) componente sistemStocare template-uriConfigurare serviciilor auxiliare (logare,
raportare)
PROXY Inspector
ATHOS Portal
License Administration
Module
Arhitectura sistemului – Componente server
PROXY InspectorPermite procesarea de task-uri la clientMonitorizează modulele de procesare sub-task-
uri
License Administration ModuleModul ATHOS sau third-partyAdministrare licenţe comerciale de utilizare
PROXY Inspector
ATHOS Portal
License Administration
Module
Funcționalități specifice integrării ATHOS
Modul achiziție
semnături
Arhitectura sistemului – Componente client
PROXYModul comunicație cu ATHOS
Interoperabilitate Acces securizat
Redirecționare sub-task-uriAplicație client
Modul achiziție semnăturiCod specific integrării cu ATHOSCod specific aplicației
Client Execution Module
PROXY
Aplicație client
Client Execution Module
Flux de utilizare - autentificare
SecurityModule
Load Balancer
ATHOS Service
Computing Service
Worker
Semnătură în format BIR
Data Service
PROXYAplicație
client
Modul achiziție
semnături
Cerere de autentificare
generată la nivel de aplicație
Cerere de autentificare în format standard
ATHOS
Cerere date aplicație/utilizatorCerere template
Template criptat
Template decriptat
Task autentificareCerere de procesare
Rezultat procesare
Rezultat task
Răspuns cerere de autentificare
Răspuns cerere de autentificare
Algoritm de planificare
Algoritm dezvoltat de echipa SOFTWIN, în curs de brevetare (US PTO)
Distribuția task-urilor de autentificare pe resursele disponibileRespectare SLAUtilizare eficientă resurseDegradare uniformă a performanțelor la
încărcare
Algoritm de planificare
Module auxiliare specifice
Structură de date pentru stocarea task-urilor
Modul distribuție/planificare
Modul monitorizare
Modul de estimare a stării/performanțelor
Modul construire task-uri
Sub-modul prioritizare
Sub-modul clasificare
Algoritm de planificare
Schemă de prioritizare pe baza SLA
Determinare proporționalitatetask-uri urgente și non-urgente
Clasificare resurse pe baza proporționalității task-urilorCapacitatePutere de procesareNivel de încredere
][][
][][
max
min iPN
iN
iT
TjP group
Securitate
Conexiune securizată între clienți și core-ul ATHOS (TSL)
Stocarea criptată a template-urilor (AES)
Autentificare și autorizare la nivel de servicii ATHOS
Tehnologii
PerformanțeRespectare SLA
Degradare performanțe„Stress testing”14% deviație standard a degradării
performanțelor per aplicații
Încărcare Condiție SLA Grad respectare
Normală Număr de cereri garantat pe minut
100%
Timp garantat de răspuns 100%
Ridicată Număr de cereri garantat pe minut
99.6%
Timp garantat de răspuns 90%
PerformanțeCapacitate de procesare Workeri
Configurație hardware Număr procese autentificare
Număr cereri / 60 de secunde
Timp mediu de răspuns (milisecunde)
Intel Core 2 Duo CPU 2 120 487
Intel Core i5-3320M 1 350 249
Intel Core 2 Duo E7400GPU (2 x nVidia GeForce GTX
275)
2 900 385
Intel Xeon X5560 3 120 722
Intel Xeon E5-2407 4 600 398
Intel Core i5-2500GPU (3 x nVidia GeForce GTX
570)
3 4000 291
PerformanțeScalabilitate
1 2 4 80
5001000150020002500300035004000
Scalabilitate la adăugare de resurse
Task-uri / minut
Nr. Workeri
1 2 30
1000
2000
3000
4000
5000
Scalabilitate la adăugare de procese
Task-uri / minut
Nr. PROCESE
PerformanțeÎncărcare resurse
Task-uri / minut Task-uri rezolvate pe resursa 1 (%)
Task-uri rezolvate pe resursa 2 (%)
200 50% 50% (50%-0%)
400 50% 50% (48%-2%)
600 50% 50% (30%-20%)
800 52% 48% (23%-25%)
1000 46% 54% (27%-27%)
1200 41% 59% (29%-30%)
PerformanțePână la 5000 cereri pe minut (7,2 milioane
cereri/zi)Server de date
Intel Xeon E5-2407, CPU: 2.40 GHz, 2 proc. x 8 core x 1 thread
Server central Intel Xeon E7302, CPU: 2.13GHz, 4 core X 4 threads
Workeri Intel Core 2 Duo CPU 3 x Intel Core i5-3320M Intel Core 2 Duo E7400, GPU (2 x nVidia GeForce GTX 275) Intel Core i5-2500, GPU (3 x nVidia GeForce GTX 570)
Informații suplimentare A. Salinca, S. M. Rusu, Ș. Diaconescu: An approach to data
collection in an online signature verification system, 8th International Conference on Web Information Systems and Technologies, Porto, Portugal 18 – 21 April 2012, WEBIST
A. Salinca, S. M. Rusu, A. M. Pricochi: SOA–Based Authentication System for Dynamic Handwritten Signature, Advances in Information Systems and Technologies, 735-744, Springer Berlin Heidelberg, 2013
A. M. Pricochi, A. Salinca, S. M. Rusu, B. Ivașcu: A Dynamic Load Balancing Strategy for a Distributed Biometric Authentication System, 9th International Conference on Web Information Systems and Technologies, Aachen, Germany 8 – 10 May 2013, WEBIST
Demo
ATHOS
Athos PortalAplicaţie
demonstrativă de tip HomeBank
Click icon to add picture
Demo flux de utilizare ATHOS
Aplicaţie demo de tip HomeBank
Autentificare prin semnătura dinamică olografă folosind ATHOS
Dezvoltare aplicaţie conform SDK
Adaugare utilizator în aplicaţia din ATHOS
Adăugare aplicaţie în ATHOS
Procurare licenţă Inserare în sistem Activare aplicaţie
Adăugare subiect în ATHOS
Creare cont Activare cont
Demo – facilități
ATHOSÎnregistrare
Autentificare
Management utilizatori•Sincronizare utilizatori aplicaţie
•Sincronizare date aplicaţie
Notificare evenimente
Rapoarte şi statistici
Management de securitate
SDK
Discuţii - Întrebări şi răspunsuri
Vă mulţumim!