110527 CA
Upcoming SlideShare
Loading in...5
×
 

110527 CA

on

  • 1,557 views

 

Statistics

Views

Total Views
1,557
Slideshare-icon Views on SlideShare
1,557
Embed Views
0

Actions

Likes
0
Downloads
6
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    110527 CA 110527 CA Presentation Transcript

    • Mobile & Cloud 환경인증강화 솔루션 –CA Arcot”Sangwon Cho, Solution StrategistMay 27, 2011
    • Challenge in Authentication Space – Mobile & Cloud보안 협업에 대한 요구증가 Cloud Apps/Platforms & Web Services Partner User SaaS Apps SaaS Apps Customer & Web Services & Web Services임직원이 통제가곤란한 외부에서내부 시스템을 사용 사용해야 하는 Mobile Applications이 기업의 employee 경계를 벗어난 외부로 이동 Enterprise Apps Internal Employee 컴플라이언스, 보안정책, 및 프로세스의 준수가 분산화되고 클라우드화된 환경에서 더욱 곤란 2 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • Authentication – Starting Point for Access Control control control control identitie access information s 1. Authentication 2. Access Rights “Who are You” “What you can Access” (Front door) (Where you can go)3 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • Strong Authentication Mobile & Cloud 환경의 도입에 따라 강한 인증 수단의 필요성은 인식하나, 보안강화를 위해 비용 및 사용자 편의성에 대한 피해를 최소화할 수 있는 방법을 찾아야 한다. Cost Convenience Security Challenge4 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CA Arcot Solution CA Arcot WebFort & RiskFort은 위험기반 강한 인증 서비스를 통하여 보안강화는 물론 비용 및 사용자 저항 문제까지 해결 Cost Convenience Security Challenge5 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • Who is Arcot?
    • We hope you like it, Arcot 전 세계 Visa 카드 전문 인증 솔루션 회사 거래의 78% 인증을 (2010년 CA Technologies사가 담당 합병)~ 100% 재계약율 35 개의 인증 관련 특허 5억 명의 사용자가 사용 > 10억 transactionsCloud Computing 리더 200,000 온라인 상인 13,000 고객사 7
    • Visit ca.com/kr8 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CA Arcot WebFort –versatile AuthenticationServer
    • What is WebFort? – Versatile Authentication Server WebFort Versatile Authentication Server Authentication Methods OTP- • LDAP CAP/ Callou • Mainframe Q&A OATH SMS, • Other DPA t Email Proprietary • Policies Authentication Notifications, • Business Rules Engine Alerts, Reports • Configurations Authentication Interfaces Challenge/ Custom SAML RADIUS OpenID Response Response10 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • ArcotID - PKI Challenge “Since the invention of public key cryptography 25 years ago, people have been struggling to secure the private key without the assistance of hardware. Arcot’s innovative Cryptographic Camouflage* has solvedDr. Martin this problem. Finally there is a cost-effective andE.HellmanProfessor Emeritus convenient means to strongly authenticate users andStanford University transactions over the internet without the need forInventor of PKI cumbersome hardware * patent 7,170,058 “Perhaps one of the weakest links in accessing important internet assets is a strong tie between the user and the areas they have the right to access. The use of a simple user name-password mechanism is truly aDr. Taher Elgamal weak link.PhD – StanfordInventor of SSL What is unique about Arcot’s approach is that it iswhile at Netscape both strong and people friendly.11 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • Cryptographic Camouflage ● ● Standard X^b19(#h7CD39J5 복호화 과정에서 올바른 키의 획득 여부를 판단 할 수 있음. Software 156g*%k75¤ »y5B$ Key Brute Force Library Attack 17fn;hff43LqqkH 따라서 키 컨테이너를 획득할 Container 수 있다면, 패스워드 ◊≠xVI39#T114ke 크랙툴로 비밀키를 획득할 수 Protected Key: 6 digit PIN, 1E459FC479C3B41 있음. 1 million results 1E459FC479C3B41 hKDU&$g752NJHVD 1djfHBD7549hgd1 ● ● ● 복호화 과정에서 키의 Patented “Cryptographic Camouflage” ● ● 정확성에 대하여 결정하여 1CE59A451B257C1 주지 않음. ArcotID 1DC1A4596B79B21 정확한 키의 확인 방법은 Software 159CA7C8439BA31 인증서버에 인증 절차를 Key Brute Force 통하여 판단할 수 있음. Library Attack 1A964942B5AC5B1 Container 1E459FC479C3B41 올바른 키로 인증 절차가 진행되지 않는다면, 불법적인 Protected Key: 6 digit PIN, 17675ABC59DE371 접근시도에 대한 카운터를 1 million results 1E459FC479C3B41 1996C2A7EF64DA1 증가시키고, 일정수준 이상일 ● 경우 해당 사용자 계정을 잠금. ● ●12 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • 다양한 Client 종류 지원 - Flash client(Flash player) - Internet Explorer - Java Applet - Firefox - Native(ActiveX 등) - Chrome - Adobe Reader/Adobe Acrobat - etc13 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CA ArcotID Overview— 소프트웨어로 구현된 안전한 2FA(two- factor) 인증방식— 특허 받은 “cryptographic camouflage” 기술을 통한 비밀키 보호 − 하드웨어의 도움 없는 “brute force” attack 방어— 개인키(Private Key) 이동의 불필요— man-in-the-middle 공격에 방어— 이전과 동일한 인증 context 제공 − 사용자는 이전과 동일한 username/password interface을 사용— Works on PC, Mac, iPads, phones, PDAs— NIST level 3 (Govt. high security rating)14 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • 적용방안 – ArcotID (demo URL TBD)0. ArcotID 받기 <본인 확인 화면> • 본인확인 방법 : OTP, SMS, QnA 등 0 < Login 화면> • ArcotID을 저장하는 방식  Hard disk나 USB 미디어 – 개인 혹은 업무용 단말기에 적합  메모리 - 공공 PC 등에서 잠깐 사용할 때 적합1. 사용자가 online application( Login)에 접근 2 72. WebFort 서버로부터 Application으로 challenge 3 (Random String) 전달 13. Application은 challenge을 받고 이를 사용자에게 전달 64. 사용자는 userID / password 을 입력하라고 하는 <WebFort Server> 로그인 페이지에 해당 정보를 넣고 ENTER5. 패스워드는 미리 가지고 있는 ArcotID 와 결합하여 5 4 challenge를 전자 서명 (password는 전송되지 않고 User Authentication ArcotID와 결합하는데 사용) UserID: rjones6. 서명된 challenge를 application에 전송7. Application은 전달 받은 서명된 challenge을 WebFort Password: ********* 서버에 전달하여 유효성 검증 – 유효하다는 결과가 곧 사용자 인증15 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • ArcotOTP - Mobile Authentication Application ArcotOTP Dynamic Password Generator − Mobile Device을 OTP 생성기로 사용 지원 OTP 방식 − HOTP – seed value based − TOTP – time based − EMV – EMV key based smart phones 과 J2ME 지원 가능한 “dumb” phones 가능 transaction에 대한 디지털 서명 가능 − man-in-the-browser 공격에 대한 방어16 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • H/W based OTP token과 ArcotOTP 비교 OTP H/W Token Software Token ArcotOTP 발급 비용 높다 (H/W로 구성) 낮다 (S/W로 구성) 낮다 (S/W로 구성) 높다 (사용자 교육비용, 사용자 중간 중간 배포 비용 등록을 위한 스텝 비용 및 H/W (사용자 교육 비용) (사용자 교육 비용) 배포에 대한 비용 발생) Low 높다 낮음 (대체비용, Help desk call Cost (손상, 도난, 분실 등으로 인한 낮음 (대체비용, Help desk call 유지보수 비용 비용불필요 혹은 감소) 대체 비용 및 H/W 재발급에 따른 비용불필요 혹은 감소) Help Desk Call 필요) 높다 낮다 낮다 TCO (높은 발급, 배포 비용) (저렴한 구축, 발급, 배포 비용) (저렴한 구축, 발급, 배포 비용) 불편 중간 중간 사용자 편리성 (별도의 H/W Token 상시 지참, (기존 모바일 기기 사용) (기존 모바일 기기 사용) 주기적 교체 필요, 재발급 지연) User One token-Conveni 불가능 불가능 가능 Multi Account ent One solution – Multi Purp 미지원 미지원 지원 (WebFort에 포함) ose 알고리즘 비공개 비공개 공개 (OATH – HOTP, TOTP, EMV 등) Seed 값 자체 사용자 단말기에만 Strong 보호 방법 비공개 그러나 seed 보호 방법 비공개 그러나 seed 값 Seed 보호 저장(cryptographic Camouflage 사Security 값 supply chain에서 보유 supply chain에서 보유 용) 취약점 대응 곤란 (offline replace) 용이 (온라인 업데이트) 용이 (온라인 업데이트) 17 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • 적용방안 - ArcotOTP (http://otp.arcot.com/) < Login 화면> Arcot WebFort 5 6 4 WebFort Server 2 1 ArcotOTP 3 1 사용자가 온라인 사이트( Login) 로그인 수행 Key Container 2 어플리케이션에서 사용자의 passcode 입력 요구 3 사용자는 폰에서 ArcotOTP 앱(App)을 구동시킨후, PIN을 넣으 0 ArcotOTP 면 PIN의 유효성 여부 판별없이 PIN과 Key를 이용하여 pass- App code를 생성하여 폰에 표시한다.(기존의 OTP는 PIN의 유효성 여부를 판별하여 passcode를 생성, brute force attack에 취약 하지만 ArcotOTP는 Cryptograpic Camouflaged 방법 제공) 4 사용자는 온라인 사이트 로그인을 위해 passcode를 넣어준다. 0 사용자는 모바일 기기 혹은 PC에 OTP 5 passcode는 인증서버로 보내진다. generator을 설치하고 activation 코드를 이메일, SMS 등을 통해 전달 받아 OTP generator을 6 인증서버는 인증 및 권한 사항을 체크하여 실행결과 출력한다. 활성화함18 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CA Arcot RiskFort –Fraud Detection &Adaptive Authentication
    • CA RiskFort Truth Data Risk Model, Case Historical Analytics Management Data Polici es Approve User ID Alert CSR Risk Degree of Business Additional Device ID Assessment Risk Q&A Rules Location (Score) 2nd Channel ID Decline User Contextual Profile/ Information Preference (Date, Tx Type, s Amount) — 계층화된 보안을 통한 인증수단의 가치 증가 — 실시간 위험 분석 및 계량화를 통한 사기 적발 및 방지 — 위험한 transaction에 대한 동적인 강한 인증 수단 요구 — VPN, Web portals, SaaS, internal application 등등과 연동20 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • What is RiskFort?— Online 실시간 위험평가 엔진— 모든 transaction에 대하여 위험을 평가하여 점수를 부여— 각각의 위험평가 요구에 대한 결과는 − Risk Score : 0 (low) ~ 100 (high)로 평가 − Risk Action –Risk Score에 대하여 추천하는 대응 방안 • ALLOW, INCR_AUTH, ALERT, DENY − Annotation – 위험평가에 대한 자세한 설명— Java API / Web Services을 통한 손쉬운 통합 − 주요 IAM 솔루션, VPN, 포털 솔루션과 통합— Use Cases − CNP (Card Not Present) 거래 − 온라인 뱅킹 로그인 − 기타 포털 트랜잭션21 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • RiskFort & WebFort을 통한 사기방지 Use Case금융기관에서 제공하는 서비스를 웹을 통해 이용하기 위해 별도로 구비해야 되는 OTP(One Time Password)를 위치 추적이 가능한스마트폰으로 대체하여 복제 토큰 등을 통한 사기를 방지 가능 □ As is„ 로그인 OTP 컴퓨터 OTP 로그인 컴퓨터  OTP단말 별도 구비 필요  OTP단말의 위치 확인이 되지 않아 본인이 OTP소지하고 있지 않아도 본인 인증 가능 □ To be„ w/ Arcot 로그인 OTP 컴퓨터 OTP 로그인 컴퓨터  스마트폰에 OTP어플을 설치하여 이용하기 때문에 OTP단말을 별도로 구비가 불 필요  스마트폰 위치 확인 기능을 이용하여 현재 로그인 위치와 스마트 위치를 비교하여 본인인증여부를 결정22 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • A-OK Service :Arcot AuthenticationService as a Service
    • What is A-OK?— Authenication 서비스를 SaaS로 제공 − Risk 기반 인증 및 2 FA 인증을 SaaS 서비스를 SaaS 형태로 제공 − 기업은 인증시스템 설치 및 관리할 필요 없음 − 서비스 시작을 위해 초기 서비스 구매 필요— 지원 인증 수단 − Risk 기반 인증 − Two-factor authentication with the ArcotID (PKI) − OTP via SMS, email, mobile phone − Security Q&A— Customer Value − 사용자 인증 interface에 변화가 존재하지 않으면서 Strong Authentication 구현 − 내부/외부 여러 application에 동일한 credential 사용 − 10년 이상 Cloud Authentication 서비스 제공24 전세계적으로 150M Users,Copyright ©2011 CA. All rights institutes, 300K Merchants가 − Arcot A-OK Service from CA Technologies 20K Financial reserved.
    • Arcot A-OK Service Architecture <인증수단> <위험평가>25 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • 3-D Secure Leadership Co-authored Chosen Vendor 3-D Secure for Serving 12,000 Banks & Financial Institutions Chosen Vendor Offering in for Processors all 3 Domains ACS (Issuer) DS (Interoperability) MPI (Acquirer)26 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CASE – Google Apps Implementation of the SAML-based single sign-on (SSO) A-OK On-Demand Service that logs users into Google Apps Premier Edition https://www.google.com/enterprise/marketplace/viewListing? productListingId=3656445+2511842832683697476&pli=127 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • CASE – salesforce.com Implementation of the Salesforce.com single sign-on (SSO) delegated authentication for the Arcot A-OK On-Demand Service http://appexchange.salesforce.com/listingDetail?listingId=a0N300000016cYCEAY28 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
    • Thank you.