OTP/PKI Authentication Internet Banking

Giải pháp xác thực mạnh & Internet Banking do công ty TOMICA nghiên cứu & phát triển từ 2008 – nay. Đã và đang triển khai áp dụng cho các ngân hàng thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank

Giới thiệu giải pháp xác thực mạnh TOMICA

Giới thiệu giải pháp xác thực Tomica - Authentication

• Giải pháp xác thực mạnh & Internet Banking do công ty TOMICA nghiên cứu & phát triển từ 2008 – nay

• Đã và đang triển khai áp dụng cho các ngân hàng

thương mại cổ phần Á Châu, Ngân hàng XNK Eximbank ,Ngân hàng TMCP Phương Đông & Công ty chứng

An toàn trong Internet Banking

• Vấn đề an toàn và bảo mật trong các dịch vụ ngân hàng điện tử như Internet banking, Mobile Banking là tối quan trọng

• Luôn cần đảm bảo thông tin khách hàng, ngân hàng

• Các giao dịch thanh toán, chuyển khoản phải tuyệt đối tin cậy

• Chống được các cơ chế tấn công, xâm nhập như :

• Mạo danh, lộ thông tin, thay đổi nội dung thông tin…

+ +

Giải pháp xác thực nào cho Internet Banking

• Giao dịch truy vấn thông tin

– Những giao dịch hay dịch truy vấn thông tin tài khoản không cần thiết phải sử dụng những phương thức xác thực hiện đại– Phương pháp cổ điển User/Pass cùng với mã hóa kênh truyền SSL là đủ

– SMS OTP là lựa chọn hiệu quả nhất so với chi phí và khả

năng rủi ro, là yếu tố cân nhắc

– Giao dịch thanh toán số $ lớn

– Chuyển khoản liên ngân hàng

– Những thông tin quan trọng đối với cá nhân tổ chức

– Khả năng xử lý khi tranh chấp xảy ra

Chữ ký số ở Việt Nam

• Có thể nói, việc ứng dụng chữ ký số vào các dịch vụ giao dịch điện

tử nói chung & Internet Banking nói riêng là phương thức an toàn nhất hiện nay

• Hạ tầng PKI ở Việt Nam, đã sẵn sàng với 5 nhà cung cấp dịch vụ chứng thư công cộng (CA), và luật giao dịch điện tử đã có hiệu lực

• Cuối năm 2012, theo kế hoạch của Tổng Cục Thuế VN, sẽ có từ 60 – 75% doanh nghiệp sẽ phải nộp báo cáo thuế qua mạng (Sử dụng chữ ký điện tử), tương đương với hàng trăm ngàn khách hàng của ngân hàng đã có sẵn thiết bị & chứng chỉ số

• Các doanh nghiệp thường sử dụng dịch vụ ngân hàng, với tần suất cũng như giá trị giao dịch lớn

OTP có đảm bảo rằng các ngân hàng triển khai dịch vụ hoàn toàn yên tâm, các rủi ro xảy ra đối với giao dịch giá trị lớn?

• Câu trả lời đó là : Sử dụng giải pháp xác thực chữ ký số

• Thông qua chuẩn PKCS#11 và CSP

• Chạy trên hầu hết tất cả các trình duyệt phổ biến hiện nay :

Certificate IDs

to be checked

Answer about Certificate States

OCSP Server

OCSP

Mô hình kiến trúc vật lý

Các thành phần hệ thống

trong hệ thống ngân hàng điện tử của ngân hàng

thumbprint/serial number của các chứng chỉ số khách hàng (giải pháp PKI) Ngoài ra còn lưu thông tin khách hàng, hệ thống CSDL cho Portal quản lý hệ thống xác thực

và chăm sóc khách hàng.

quản lý hệ thống.

– Module kiểm tra chữ ký PKCS#7

– Module phát sinh mã OTP theo cơ chế OATH (HMAC-OTP) theo cơ chế event-based

– Module kiểm tra tính hợp lệ chứng chỉ số (OCSP client và CRL phụ thuộc vào hạ tầng cụ thể của

mỗi public CA)Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng

hàng tích hợp dễ dàng vào hệ thống có sẵn Plugin Module hỗ trợ hầu hết các trình duyệt phổ biến hiện nay như : Internet Explorer, Mozilla Firefox, Opera, Chrome và Safari.

Authentication Server

• Authentication Server là server thực hiện các giao dịch xác thực

và hosting portal quản lý hệ thống

event-based

vào hạ tầng cụ thể của mỗi public CA) Ứng dụng portal giúp thanh toán viên, kiểm soát viên và nhà quản trị hệ thống thao tác trên hệ thống dễ dàng

Sơ đồ kế nối với Core Banking

• Authentication DB

• Authentication DB

• Internet Banking Server

• Internet Banking Server

Authentication

Authentication Portal

• Public CA (OCSP/CRL)

• Public CA (OCSP/CRL)

Kiểm tra trạng thái chứng thư số

Quy trình xử lý giao dịch

•Bước 1: Khách hàng kết nối đến website Internet Banking thực

hiện giao dịch (gửi kèm theo credential được phát sinh bởi USB

token thông qua giao tiếp CAPICOM trên trình duyệt Internet Explorer hoặc SignText của Mizolla Firefox)

•Bước 2: Internet Banking Server kiểm tra tính hợp lệ của

credential (username/password) (sử dụng webservice mà Authentication Server cung cấp)

•Bước 3: Nếu credential hợp lệ, chuyển PKCS#7 signature và nội

dung giao dịch đến Front-End Server để xử lý

•Bước 4: Authentication Server sử dụng function PKCS#7 Verification để kiểm tra tính hợp lệ của chữ ký

•Dùng bouncycastle để kiểm tra tính hợp lệ giữa PKCS#7

signature và nội dung giao dịch

• Kết xuất các chứng chỉ số của khách hàng và nhà cung cấp chứng chỉ số dựa vào PKCS#7 signature

• Dựa vào số serial number của chứng chỉ số khách hàng kiểm tra trong Database Server đã lưu trữ chứng chỉ này chưa

• Kiểm tra chứng chỉ của nhà cung cấp chứng chỉ số (CA)

đã đăng ký với Authentication Server chưa

•Sử dụng OCSP/CRL Client và thông tin của chứng chỉ số

khách hàng để kiểm tra trạng thái của chứng chỉ số của khách hàng (Kích hoạt/ Thu Hồi/ Không Xác Định) bằng

cách kết nối trực tiếp tới OCSP Server của nhà cung cấp

chứng chỉ số hoặc tải định kỳ file crl của từng nhà cung cấp Module kiểm tra trạng thái chứng chỉ số hoạt động có

bộ định tuyến nhà cung cấp dịch vụ dựa vào số serial number của chứng chỉ số.

•Bước 5: Chuyển kết quả xác thực đến Front-End Server

•Bước 6: Chuyển kết quả xác thực đến Internet Banking Server để

xử lý trong KoreBank

•Bước 7: Thực hiện các nghiệp vụ ngân hàng trong KoreBank

Web Services API trong Authentication WS

XÁC THỰC HỆ THỐNG DỰA VÀO THÔNG TIN ĐƯỢC GỬI LÊN TỪ PLUGIN SIGNATEXT

Thành phần vật lý

******

• 1 Server xác thực (Authentication Services)

• 1 Server cơ sở dữ liệu hệ thống xác thực (Database Server Authentication)

• 1 Server hệ thống quản trị (Authentication Portal Server)

******

PKI – Thành phần hệ thống xác thực

• Đối với hệ thống ngân hàng cần phải duy trì dịch vụ 24/7 cho nên cấu hình hệ thống đề xuất từ 4 - 6 Server

REPLICATION: 3 SERVER BACKUP TƯƠNG ỨNG TỔNG CỘNG: 6 SERVER

Giải pháp xác thực mạnh -TOMICA

Ngoài ra, giải pháp xác thực mạnh của công ty TOMICA có sẵn các chức năng xác thực khác, có thể điều chỉnh bởi các tham số hóa :

– SMS OTP

– Email OTP

– YUBIKEY OTP Token

•Công ty chứng khoán ACBS.

•Viện tin học ứng dụng Bộ Công Thương

•Dự án Công An thành phố Hà Nội

Đối tác hỗ trợ

• TOMICA là đối tác của CA trong mọi dự án PKI, và

Viettel-CA sẽ cam kết hỗ trợ giá ưu đãi chỉ dành cho đối tác RA của Viettel đối với khách hàng của TOMICA

• FEITIAN Corp : Là đối tác sản xuất và cung cấp PKI Token hầu hết

ở Việt Nam hiện nay, FEITEAN, cam kết cung cấp giá tốt nhất, cũng như các dịch vụ OEM thiết bị Token mà TOMICA cung cấp cho

khách hàng

Thank you

CÔNG TY GIẢI PHÁP THẺ MINH THÔNG

16/2 Ter Đinh Tiên Hoàng, F Dakao, Q 1, HCM Tel : 08 3911 8920 – Fax : 08 3911 8921

Giới thiệu thêm về YUBIKEY OTP Token

Giới thiệu về thiết bị xác thực Yubikey OTP

authentication)

Yubikey – Hardware OTP Token

• Xác thực theo chuẩn HID

• Chạm vào Yubikey sẽ tự động phát sinh ra mã OTP và

định danh thiết bị

• Chạy trên mọi máy tính và mọi platform

• Không cần cài đặt middleware

ccccccccehllvjjitleikcffjndtjkgnrejudfrjncun ccccccccehllcrnhttrgbgikrcctihnlhclrvhkldcdj

Yubikey – OTP Token ứng dụng

• Được thiết kế cho các dịch vụ xác thực điện toán đám mây

• Hỗ trợ mọi nên tảng, Windows, Linux, Mac …

• Không phải cài đặt Driver

• Khả năng sử dụng 1 thiết

bị cho nhiều dịch vụ

• Có gói miễn phí Authentication Services của nhà sản xuất

• Phần mềm cá thể hóa &

hệ thống xác thực miễn phí từ nhà sản xuất

Yubikey – Hardware OTP Token