1 / 21

Аутентификационный центр - решение для интернет-банкинга

Аутентификационный центр - решение для интернет-банкинга. Чернышев Антон anton@computel.ru. Содержание. Типовые угрозы в реальной среде Механизмы защиты Способы аутентификации Аутентификационный центр Архитектура решения Пример EMV- аутентификации Подпись транзакции Свойства решения

wolfe
Download Presentation

Аутентификационный центр - решение для интернет-банкинга

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Аутентификационный центр -решение для интернет-банкинга Чернышев Антон anton@computel.ru

  2. Содержание • Типовые угрозы в реальной среде • Механизмы защиты • Способы аутентификации • Аутентификационный центр • Архитектура решения • Пример EMV-аутентификации • Подпись транзакции • Свойства решения • Вопросы 2

  3. Типовые угрозы в реальной среде • Работа в открытой среде Интернет • Компьютер клиента не является доверенной средой • Вся передаваемая информация не тайна • Вся передаваемая информация может быть изменена по пути • Выманивание информации с использованием методов социальной инженерии • Фишинг • Подставные сайты • Специально разработанные вирусы – трояны • Угрозы для серверной части • Инсайд, коммерческий подкуп, шантаж … 3

  4. Фишинг • Попытка мошенническим путем получить важную информацию, такую как имя пользователя, пароли или данные о параметрах платежных карт, путем представления мошенника в качестве заслуживающей доверия организациис использованием электронных каналов А также: • Голосовой фишинг • SMS фишинг • Вмешательство в работу DNS серверов 4

  5. Примеры выуживания паролей 5

  6. Шпионское ПО • Попытка незаконным путем получить доступ к важной информации, как-то: имена пользователей, пароли, номера платежных карт путем скрытого перехвата информации, передаваемой во время информационного обмена 6

  7. Механизмы защиты • Строгая Аутентификация пользователей Действительно ли перед нами тот кто мы думаем? • Проверка целостности транзакций Соответствует ли пришедшая транзакция запрошенной клиентом? • Аудит операций Кто, когда, какую выполнял операцию и по какому праву? 7

  8. Множество механизмов аутентификации • Простой пароль - однозначно нет • Одноразовые пароли на основе времени/события • Запрос – ответ, обеспечение целостности транзакции • EMV механизмы, CAP • На основе несимметричных алгоритмов (PKI) • Специфические механизмы привязки к мобильным устройствам 8

  9. Приемлемый вариант Пароль Механизмы аутентификации Risk Стоимость Биометрия Смарт карта Цифровой сертификат Носимый токен Мобильный аплет Пароль через SMS Безопасность Шифрованный пароль Шифрованный пароль 9 9

  10. Аутентификационный центр • Универсальное решение строгой многофакторной аутентификации! • Решение обеспечивает выполнение трех наиболее важных требований: • Реализацию разнообразных механизмов строгой многофакторной аутентификации; • Контроль целостности транзакций; • Ведение аудит-журналов для юридического подтверждения операций. “Best use of B2B e-Commerce” “Online Security solution of the year” 10

  11. Архитектура решения Разная реализация Front для HTTP, SMS и т.д. SafeSign Crypto Module Сервер аутентификации SSAS Database Модуль интеграции с SSAS Сотрудники или клиенты банка Модуль интеграции с Интернет-Банк Интерфейс с Front Application Front Application Интернет-Банк DMZ

  12. EMV-аутентификация (режим «Запрос-Ответ») SafeSign Crypto Module Сервер аутентификации SSAS Database Модуль интеграции с SSAS Сотрудники или клиенты банка Модуль интеграции с Интернет-Банк Интерфейс с Front Application Front Application Интернет-Банк • Пользователь заходит на сайт. Еще не аутентифицирован • Сервер генерирует Запрос и сохраняет его в качестве сессионной информации • Сервер отправляет Запрос приложению

  13. EMV-аутентификация (режим «Запрос-Ответ») SafeSign Crypto Module Сервер аутентификации SSAS Database Модуль интеграции с SSAS Сотрудники или клиенты банка Модуль интеграции с Интернет-Банк 1736 5564 2948 2039 * * * * RESPONSE CHALLENGE ENTER PIN Интерфейс с Front Application Front Application Интернет-Банк • Пользователь использует карточку и кардридер, чтобы получить Ответ • Вводит Логин и ответ на web-странице и отправляет на сервер

  14. EMV-аутентификация (режим «Запрос-Ответ») SafeSign Crypto Module Сервер аутентификации SSAS Database Модуль интеграции с SSAS Сотрудники или клиенты банка Модуль интеграции с Интернет-Банк Интерфейс с Front Application Front Application Интернет-Банк • Логин, Запрос и Ответ посылаются на SSAS • SSAS проверяет параметры верификации для данного логина в базе данных • Если находит, то Запрос отправляется на SSCM • SSCM отвечает положительно или отрицательно на запрос аутентификации

  15. EMV-аутентификация (режим «Запрос-Ответ») SafeSign Crypto Module Сервер аутентификации SSAS Database Модуль интеграции с SSAS Сотрудники или клиенты банка Модуль интеграции с Интернет-Банк Интерфейс с Front Application Front Application Интернет-Банк Если ответ положительный, то пользователь получает доступ к своей странице в интернет-банке

  16. Подпись транзакции 9876 5432 1234 Сервер аутентификации 5000 2942 8613 2942 8613 ENTER PIN * * * * DATA 1234 5000 MAC • Вводятся данные транзакциина Web-странице • Пользователь использует токен для подписи транзакции. Вводится ПИН • Вводятся данные транзакции в токен • Токен вычисляет MAC по даннымс использованием секретного ключа токена • MAC вводится на Web-странице

  17. Подпись транзакции 9876 5432 1234 Сервер аутентификации 5000 2942 8613 9876 5432 1234 5000 ….. 2942 8613 1234 5000 ? 2942 8613 2942 8613 = • Данные транзакции и MAC отправляются на сервер аутентификации • Сервер аутентификации заново вычисляет MAC по данным транзакции и сравнивает с полученным. • Если они совпадут, то транзакция принимается

  18. Аппаратная защищенность Все криптографические преобразования и операции выполняются внутри аппаратного криптографического модуля HSM - SafeSign Crypto Module сертифицированного в соответствии с жесткими требованиями стандарта FIPS 140-2 Level 3; • Безопасное хранение ключей и сертификатов; • Защита аудит логов; • Состоит из 2х модулей для отказоустойчивой кластеризации и балансировки нагрузки; 18

  19. Отказоустойчивая кластеризация и балансировка нагрузки • Статическая балансировка нагрузки • Автоматическое опр. отказов • Нет единой точки отказа • Прозрачно для приложений DNS mapping App/WebServer 1 Host 1 Crypto Module Cluster Crypto Module Browser/Client Browser/Client App App SSAS Server Browser/Client Browser/Client Host 2 App/WebServer 2 Crypto Module Cluster Browser/Client Browser/Client App SSAS Server 19

  20. Свойства решения • Представленное решение является универсальной единой платформой аутентификации в рамках всей интернет системы банка • Соответствует настоящим и будущим потребностям в строгой многофакторной аутентификации • Защита от мошенничества, в том числе со стороны сотрудников банка Основные Преимущества • Широкая гамма токенов и механизмов аутентификации • Защищенный аудит-лог • Высокая масштабируемость • Отказоустойчивость и балансировка нагрузки • Легкая интеграция с существующими и новыми системами • Легкое управление • Квалифицированная команда разработки и внедрения 20

  21. Спасибо за внимание! Вопросы?? 21

More Related