Аутентификационный центр (АЦ) банка унифицирует процессы аутентификации фронтальных прикладных систем, обеспечивающих дистанционное обслуживание клиентов. Решение OTP по SMS, которое является одной из модификаций АЦ, предназначено для генерации одноразовых паролей (one-time password, OTP), их отправки клиенту в виде SMS-сообщения, верификации аутентификационных данных от клиента и подтверждения транзакций. Это дополнительный фактор аутентификации, затрудняющее доступ злоумышленника в случае кражи учетных данных клиента. Методы OTP-сервиса реализуются в составе аутентификационного сервиса, работают в рамках того же приложения без возможности отдельного управления, доступны в рамках той же точки доступа (endpoint).
АИС «Население» Московской городской избирательной комиссии
Решение ОТР по SMS
1. Аутентификационный центр: OTP по SMS
Аутентификационный центр (АЦ) банка унифицирует процессы аутентификации фронтальных прикладных
систем, обеспечивающих дистанционное обслуживание клиентов. Решение OTP по SMS, которое является
одной из модификаций АЦ, предназначено для генерации одноразовых паролей (one-time password, OTP),
их отправки клиенту в виде SMS-сообщения, верификации аутентификационных данных от клиента и
подтверждения транзакций. Это дополнительный фактор аутентификации, затрудняющее доступ
злоумышленника в случае кражи учетных данных клиента. Методы OTP-сервиса реализуются в составе
аутентификационного сервиса, работают в рамках того же приложения без возможности отдельного
управления, доступны в рамках той же точки доступа (endpoint).
Архитектура
Решение основано на следующих компонентах:
модуль АЦ для работы с одноразовыми паролями (далее — OTP-сервис), предназначенный для
сервера приложений Apache Tomcat;
аппаратный модуль шифрования (hardware security module, HSM), используемый для получения
случайных чисел;
сервер учетных записей VASCO IdentiKey;
две системы управления базами данных (СУБД) MS SQL – для обслуживания рабочей БД и БД аудита.
OTP-сервис
HSM
ДСЧ
Список одноразовых
паролей
Генератор
Аутентификационный
сервис
Vasco IdentiKey
Запросы на создание
одноразовых паролей
Запросы на проверку
одноразовых паролей
SMS-шлюз
Отправка
одноразовых
паролей
Получение
случайных
чисел
Канал с защитой от НСД
2. Модуль АЦ для работы с одноразовыми паролями (АЦ ОП) выполняется в виде специализированной
разработки, унифицированной с решениями аутентификационного сервиса:
интерфейс доступа к функциям — SOAP over HTTP;
платформа исполнения – сервер приложений Tomcat 6.0;
возможность настройки для работы с одним из сервисов в качестве базы данных клиентов: Vasco
IdentiKey Server или LDAP-каталог, использующийся текущей версией аутентификационного сервиса.
Модуль АЦ ОП обеспечивает генерацию одноразовых паролей с отправкой через SMS-шлюз (при
необходимости – повторную отправку) и их проверку. Одноразовые пароли создаются на основе
аппаратных данных датчика случайных чисел, встроенного в HSM, что обеспечивает их абсолютную
случайность.
Структура системы АЦ
Аутентификационный центр представляет собой набор инфраструктурных подсистем, предназначенных
для использования прикладными системами. Он имеет машинные интерфейсы, доступные для серверов
прикладных систем по протоколу SOAP, и интерфейсы администраторов, доступные по протоколу HTTPS.
Прямое обращение пользователей к интерфейсам аутентификационного центра не предусматривается.
Система состоит из следующих основных компонент:
аутентификационный сервис;
сервер аутентификации;
сервер баз данных;
аппаратный модуль шифрования;
аппаратный балансировщик нагрузки.
Аутентификационный сервис предназначен для интеграции сервера аутентификации со смежными
системами. Он реализует необходимую логику аутентификации и сопровождения системы. Решение КРОК
представляет собой приложение Java под сервер приложений Tomcat 6. ПО размещается на выделенных
серверах под управлением Red Hat Enterprise Linux 5 64 bit.
3. Аутентификационный сервис,
разработка компании КРОК
Набор методов по аутентификации и
подтверждению транзакций
Набор методов по администрированию
аутентификационного центра
Сервер аутентификации на
основе VASCO IDENTIKEY Server
Аутентификация на основе OTP-кода
Аутентификация на основе схемы
Challenge-Response
Подтверждение транзакции на основе
OTP
Подтверждение транзакции на основе
схемы Challenge-Response
Подтверждение транзакции на основе
схемы MAC
Администрирование сервера
аутентификации
СУБД под управлением MS SQL
Server 2008
БД сервера аутентификации:
- учетные записи пользователей
- учетные записи устройств
аутентификации
- конфигурация сервера
аутентификации
- журнал событий аутентификации и
подтверждения транзакций
БД аудита системы:
- записи о подключениях
администраторов системы
- записи о произошедших изменениях
в конфигурации и хранимых данных
системы
SafeNet HSM
ProtectServer External
Выполнение криптографических
операций в защищенном исполнении
Аутентификационный центр
Общая логическая схема аутентификационного центра
Функции OTP-сервиса
Генерация пароля для аутентификации
Генерация пароля для подтверждения транзакции
Генерация пароля для установки номера телефона
Проверка одноразового пароля
Установка номера телефона
Проверка состояния
Просмотр данных аудита
Установка флага допустимости аутентификации по SMS
Поиск учетных записей