Download
1 / 28
280 likes | 540 Views
OTP/PKI Authentication Internet Banking. Thanh Trinh. Sale Director thanhtn@tomica.vn 090 868 1359. Giới thiệu giải pháp xác thực mạnh TOMICA. Giới thiệu giải pháp xác thực Tomica - Authentication
E N D
OTP/PKI AuthenticationInternet Banking Thanh Trinh Sale Director thanhtn@tomica.vn 090 868 1359
Giới thiệu giải pháp xác thực mạnh TOMICA Giới thiệu giải pháp xác thực Tomica - Authentication • Giải pháp xác thực mạnh & Internet Banking do công ty TOMICA nghiên cứu & phát triển từ 2008 – nay. • Đã và đang triển khai áp dụng cho các ngân hàng thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank ,Ngân hàng TMCP Phương Đông & Công ty chứng khoán ACBS… • Hỗ trợ 4 giải pháp xác thực trong cùng 1 hệ thống : • PKI Authentication • OTP Token (Yubikey OTP) • SMS OTP • Email OTP
An toàn trong Internet Banking • Vấn đề an toàn và bảo mật trong các dịch vụ ngân hàng điện tử như Internet banking, Mobile Banking là tối quan trọng • Luôn cần đảm bảo thông tin khách hàng, ngân hàng.. • Các giao dịch thanh toán, chuyển khoản phải tuyệt đối tin cậy • Chống được các cơ chế tấn công, xâm nhập như : • Mạo danh, lộ thông tin, thay đổi nội dung thông tin…
Đánh giá các phương thức xác thực PIN PIN PIN + + + + + + + No PasswordPolicy PasswordPolicy Password Weaker Stronger
Giải pháp xác thực nào cho Internet Banking • Giao dịch truy vấn thông tin • Những giao dịch hay dịch truy vấn thông tin tài khoản không cần thiết phải sử dụng những phương thức xác thực hiện đại • Phương pháp cổ điển User/Pass cùng với mã hóa kênh truyền SSL là đủ • Giao dịch chuyển $ mệnh giá thấp (<= 500$) • SMS OTP là lựa chọn hiệu quả nhất so với chi phí và khả năng rủi ro, là yếu tố cân nhắc • Giao dịch giá trị lớn & thông tin tối quan trọng • Giao dịch thanh toán số $ lớn • Chuyển khoản liên ngân hàng • Những thông tin quan trọng đối với cá nhân tổ chức • Khả năng xử lý khi tranh chấp xảy ra
Xác thực chữ ký số (PKI Authentication) OTP SMS GRID CARD USERNAME / PASSWORD DIGITAL SIGNATURE OTP TOKEN VIRTUAL KEYBOARD
Chữ ký số ở Việt Nam • Có thể nói, việc ứng dụng chữ ký số vào các dịch vụ giao dịch điện tử nói chung & Internet Banking nói riêng là phương thức an toàn nhất hiện nay. • Hạ tầng PKI ở Việt Nam, đã sẵn sàng với 5 nhà cung cấp dịch vụ chứng thư công cộng (CA), và luật giao dịch điện tử đã có hiệu lực. • Cuối năm 2012, theo kế hoạch của Tổng Cục Thuế VN, sẽ có từ 60 – 75% doanh nghiệp sẽ phải nộp báo cáo thuế qua mạng (Sử dụng chữ ký điện tử), tương đương với hàng trăm ngàn khách hàng của ngân hàng đã có sẵn thiết bị & chứng chỉ số. • Các doanh nghiệp thường sử dụng dịch vụ ngân hàng, với tần suất cũng như giá trị giao dịch lớn • Liệu các phương thức xác thực như SMS OTP, Hardware Token OTP có đảm bảo rằng các ngân hàng triển khai dịch vụ hoàn toàn yên tâm, các rủi ro xảy ra đối với giao dịch giá trị lớn? • Câu trả lời đó là : Sử dụng giải pháp xác thực chữ ký số.
Xác thực PKI Xác thực danh tính (Chống giả mạo) Bảomậtdữliệu (Mãhóa) 1 2
Xác thực PKI Toànvẹndữliệu (Đảmbảotínhchínhxáccủadữliệu, chốnggiảmạo) 3 4 Chốngchốibỏtráchnhiệm (Bảovệquyềnlợichongườiký, ngườithihành. Đượcluậthóa)
PKI - Authentication • Tuân theo tiêu chuẩn quốc tế và các tiêu chuẩn ứng dụng hạ tầng PKI • Phát sinh chữ ký số PKCS#7. CHỐNG CHỐI BỎ và được các nhà cung cấp dịch vụ chứng thư số đứng ra giải quyết. • Tương thích với PKI Token & PKI Smartcard. (Javacard, Native Card) • Thông qua chuẩn PKCS#11 và CSP • Chạy trên hầu hết tất cả các trình duyệt phổ biến hiện nay : • Internet Explorer • Firefox Mozilla • Chrome • Opera • Safari • Hỗ trợ kiểm tra trạng thái chứng thư Offlline mode & Online mode
CRL và OCSP Server Download CRL CRL User CA CRL Directory Certificate IDs to be checked Download CRL CRL User OCSP Server CA Answer about Certificate States Directory OCSP
Các thành phần hệ thống • Front-End Module Là module giao tiếp giữa hệ thống xác thực và các thành phần trong hệ thống ngân hàng điện tử của ngân hàng • Authentication Module Module chính của giải pháp xác thực Internet Banking • Database Serverđể lưu các giá trị secret, counter (giải pháp OTP) và mã thumbprint/serial number của các chứng chỉ số khách hàng (giải pháp PKI). Ngoài ra còn lưu thông tin khách hàng, hệ thống CSDL cho Portal quản lý hệ thống xác thực và chăm sóc khách hàng. • Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống. • Module kiểm tra chữ ký PKCS#7 • Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based • Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ thể của mỗi public CA)Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng • Plugin module, TOMICA cung cấp module này để các nhà phát triển web của ngân hàng tích hợp dễ dàng vào hệ thống có sẵn. Plugin Module hỗ trợ hầu hết các trình duyệt phổ biến hiện nay như : Internet Explorer, Mozilla Firefox, Opera, Chrome và Safari.
Authentication Server • Authentication Server là server thực hiện các giao dịch xác thực và hosting portal quản lý hệ thống. • Module kiểm tra chữ ký PKCS#7 • Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based • Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ thể của mỗi public CA). Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng
Sơ đồ kế nối với Core Banking Authentication DB Public CA (OCSP/CRL) Authentication Portal Stored Procedure SQL Job Phátsinh PKCS#7 thông qua signAText Internet Banking Server Kiểmtratrạngtháichứngthưsố WebPage TOMICA plugin WS Auth Authentication Service
Quy trình xử lý giao dịch • Bước 1: Khách hàng kết nối đến website Internet Banking thực hiện giao dịch (gửi kèm theo credential được phát sinh bởi USB token thông qua giao tiếp CAPICOM trên trình duyệt Internet Explorer hoặc SignText của Mizolla Firefox) • Bước 2: Internet Banking Server kiểm tra tính hợp lệ của credential (username/password) (sử dụng webservice mà Authentication Server cung cấp) • Bước 3: Nếu credential hợp lệ, chuyển PKCS#7 signature và nội dung giao dịch đến Front-End Server để xử lý • Bước 4: Authentication Server sử dụng function PKCS#7 Verification để kiểm tra tính hợp lệ của chữ ký • Dùng bouncycastle để kiểm tra tính hợp lệ giữa PKCS#7 signature và nội dung giao dịch • Kết xuất các chứng chỉ số của khách hàng và nhà cung cấp chứng chỉ số dựa vào PKCS#7 signature • Dựa vào số serial number của chứng chỉ số khách hàng kiểm tra trong Database Server đã lưu trữ chứng chỉ này chưa • Kiểm tra chứng chỉ của nhà cung cấp chứng chỉ số (CA) đã đăng ký với Authentication Server chưa • Sử dụng OCSP/CRL Client và thông tin của chứng chỉ số khách hàng để kiểm tra trạng thái của chứng chỉ số của khách hàng (Kích hoạt/ Thu Hồi/ Không Xác Định) bằng cách kết nối trực tiếp tới OCSP Server của nhà cung cấp chứng chỉ số hoặc tải định kỳ file crl của từng nhà cung cấp. Module kiểm tra trạng thái chứng chỉ số hoạt động có bộ định tuyến nhà cung cấp dịch vụ dựa vào số serial number của chứng chỉ số. • Bước 5: Chuyển kết quả xác thực đến Front-End Server • Bước 6: Chuyển kết quả xác thực đến Internet Banking Server để xử lý trong KoreBank • Bước 7: Thực hiện các nghiệp vụ ngân hàng trong KoreBank • Bước 8: Thông báo kết quả giao dịch cho khách hàng
Web Services API trong Authentication WS XÁC THỰC HỆ THỐNG DỰA VÀO THÔNG TIN ĐƯỢC GỬI LÊN TỪ PLUGIN SIGNATEXT
Thành phần vật lý • 1 Server xác thực (Authentication Services) • 1 Server cơ sở dữ liệu hệ thống xác thực (Database Server Authentication) • 1 Server hệ thống quản trị (Authentication Portal Server) ****** ******
PKI – Thành phần hệ thống xác thực • Đối với hệ thống ngân hàng cần phải duy trì dịch vụ 24/7 cho nên cấu hình hệ thống đề xuất từ 4 - 6 Server. REPLICATION: 3 SERVER BACKUP TƯƠNG ỨNG TỔNG CỘNG: 6 SERVER
Giải pháp xác thực mạnh -TOMICA Ngoài ra, giải pháp xác thực mạnh của công ty TOMICA có sẵn các chức năng xác thực khác, có thể điều chỉnh bởi các tham số hóa : • SMS OTP • Email OTP • YUBIKEY OTP Token
Khách hàng Đãvàđangtriểnkhaiápdụngchocáckháchhànglàngânhàng, côngtychứngkhoánnhư : • Ngânhàngthươngmạicổphần Á Châu • Ngânhàng XNK Eximbank • Ngânhàng TMCP PhươngĐông • Công tychứngkhoán ACBS. • Viện tin họcứngdụngBộ Công Thương • Dựán Công An thànhphốHàNội..
Đối tác hỗ trợ • TOMICA là đối tác của Viettel-CA trong mọi dự án PKI, và Viettel-CA sẽ cam kết hỗ trợ giá ưu đãi chỉ dành cho đối tác RA của Viettel đối với khách hàng của TOMICA • FEITIAN Corp : Là đối tác sản xuất và cung cấp PKI Token hầu hết ở Việt Nam hiện nay, FEITEAN, cam kết cung cấp giá tốt nhất, cũng như các dịch vụ OEM thiết bị Token mà TOMICA cung cấp cho khách hàng.
Thank you CÔNG TY GIẢI PHÁP THẺ MINH THÔNG 16/2 Ter Đinh Tiên Hoàng, F Dakao, Q 1, HCM Tel : 08 3911 8920 – Fax : 08 3911 8921 www.tomica.vn – www.tomicalab.com
Giới thiệu về thiết bị xác thực Yubikey OTP • Sản phẩm công nghệ cao của Yubico (Thụy Điển) • Phát sinh mã OTP an toàn • Mã OTP 32 ký tự mã hóa bởi thuật toán AES128 • Kết hợp PIN/password thành xác thực hai nhân tố (two factor authentication) • Chống lại tấn công attack-relay • Mã ePoch theo thời gian
Yubikey – Hardware OTP Token • Xác thực theo chuẩn HID • Chạm vào Yubikey sẽ tự động phát sinh ra mã OTP và định danh thiết bị • Chạy trên mọi máy tính và mọi platform • Không cần cài đặt middleware ONE TIME PASSWORD IDENTITY ccccccccehllvjjitleikcffjndtjkgnrejudfrjncun ccccccccehllcrnhttrgbgikrcctihnlhclrvhkldcdj
Yubikey – OTP Token ứng dụng • Được thiết kế cho các dịch vụ xác thực điện toán đám mây • Hỗ trợ mọi nên tảng, Windows, Linux, Mac … • Không phải cài đặt Driver • Khả năng sử dụng 1 thiết bị cho nhiều dịch vụ • Có gói miễn phí Authentication Services của nhà sản xuất. • Phần mềm cá thể hóa & hệ thống xác thực miễn phí từ nhà sản xuất.
Yubikey – Hardware OTP Token Khách hàng của Yubikey • Doanh nghiệp • Chính phủ • Dịch vụ điện toán đám mây • Ngân hàng, tổ chức tài chính
