Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet CÔNG TY CP PHÁT TRIỂN PHẦN MỀM VÀ HỖ TRỢ CÔNG NGHỆ -*** GIẢI PHÁP XÁC THỰC MẠNH YẾU TỐ CHO DỊCH VỤ TÀI CHÍNH TRỰC TUYẾN INTERNET BANKING, CHỨNG KHOÁN Khách hàng: Công ty Chứng khoán Phương Đông Đơn vị lập phương án Công ty MISOFT Mã dự án: Tiêu đề: Giải pháp Xác thực mạnh yếu tố Nội dung: Phiên bản: Loại tài liệu: Cung cấp cho khách hàng Ngày hoàn thành 12 năm 2007 Người thực Nguyễn Quang Trung – Kĩ sư ứng dụng xác thực mạnh Hà Nội : 12-2007 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet MỤC LỤC I ĐẶT VẤN ĐỀ I.1 Xác thực danh tính trực tuyến I.2 Lựa chọn phương pháp xác thực phù hợp I.3 Xác thực yếu tố II ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH YẾU TỐ II.1 Xác thực mạnh kết hợp nhiều phương pháp .7 II.2 Xác thực mạnh chiều chống Phishing, Pharming 10 II.3 Khả tích hợp Entrust IdentityGuard 10 II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán 13 II.3.2 Qui trình xử lý thông tin phương pháp xác thực .14 II.4 Các thành phần IdentityGuard Server 17 II.5 Lập kế hoach triển khai Entrust IdentityGuard 19 II.5.1 Các công việc cần xem xét thực thi 19 II.5.2 Tiến độ thực 20 III DỰ TOÁN KINH PHÍ 20 IV KẾT LUẬN 22 22 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet I ĐẶT VẤN ĐỀ I.1 Xác thực danh tính trực tuyến Trong thời đại bùng nổ dịch vụ Internet nay, tổ chức tài chính, ngân hàng, chứng khoán, bảo hiểm ngày cung cấp đa dạng sản phẩm, dịch vụ trực tuyến tới đông đảo khách hàng qua mạng Internet Tuy vậy, bên cạnh lợi ích mà dịch vụ trực tuyến đem lại, tổ chức tài phải đau đầu để tìm giải pháp bảo mật tốt với chi phí hợp lý mà bảo vệ thông tin đăng kí khách hàng họ tham gia vào dịch vụ trực tuyến Đây coi quyền lợi đáng khách hàng trách nhiệm coi nhẹ nhà cung cấp dịch vụ tài Một thông tin quan trọng khách hàng để họ truy cập dịch vụ giao dịch tài Danh tính trực tuyến (Online Identity) Thông tin sử dụng để chứng thực người khách hàng đăng kí với nhà cung cấp dịch vụ trước họ truy cập sử dụng loại sản phẩm dịch vụ trực tuyến Với mức độ quan trọng Danh tính trực tuyến nên phần lớn công Hacker nhằm vào việc tìm cách để lấy cắp chiếm đoạt danh tính Các công nhiều dạng Phishing (hacker gửi thư giả mạo nhà cung cấp để lừa khách hàng truy cập vào Web site từ khách hàng bị lộ thông tin cá nhân nhập giá trị Tên đăng nhập/Mật khẩu, Số tài khoản/Mật số thẻ tín dụng) Hoặc số dạng công khác Brute force, Keylogger (Hacker ghi lại tất khác hàng gõ lên bàn phím để từ lần mật khẩu, số tài khoản họ) Thực tế cho thấy công đánh cắp danh tính hành vi lừa đảo trực tuyến thực gây lo ngại cho khách hàng không lần gây Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet tổn thất hậu vô nghiêm trọng cho nhà cung cấp dịch vụ tài trực tuyến Cho đến nay, hầu hết ngân hàng, tổ chức tài chính, chứng khoán có dịch vụ trực tuyến triển khai hệ thống xác thực người dùng UserName/Password gọi xác thực yếu tố Và họ nhanh chóng nhận hệ thống xác thực yếu tố không đủ mạnh để bảo vệ thông tin khách hàng trước công ngày tinh vi kẻ xấu Bên cạnh đó, yêu cầu phát hiện, ngăn chặn hành vi lừa đảo trực tuyến để giảm thiểu rủi ro cho khách hàng nhà cung cấp tổ chức quản lý giám sát hoạt động tài ép buộc phải thực thi Thực tế có nhiều công nghệ phương pháp để xác thực danh tính giao dịch điện tử Những phương pháp sử dụng mật khẩu, số định danh cá nhân, chứng số sử dụng PKI, thiết bị bảo mật vật lý Smart Card, mật dùng lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính Mức độ bảo mật phụ thuộc vào nhóm công nghệ đối tượng hay giao dịch cụ thể cần bảo vệ Tính đảm bảo phương pháp xác thực dựa yếu tố sau: Something a person knows: Thường sử dụng số PIN, mật Something a person has: Được hiểu thiết bị vật lý: SmartCard, Token… Something a person is: Được hiểu đặc tính sinh trắc học: Vân tay, mống mắt Phương pháp xác thực nhiều yếu tố đảm bảo an toàn phương pháp xác thực yếu tố để chống lại nguy lừa đảo Sử dụng từ yếu tố trở nên gọi Xác thực mạnh Chi phí việc đầu tư vào hệ thống xác thực tăng dần theo mức độ bảo mật hệ thống Mặc dù vậy, hệ thống xác thực thành công không dựa vào yếu tố công nghệ mà phụ thuộc nhiều thành phần khác như: Các sách bảo mật, hướng dẫn thực thi an toàn thông tin, khả quản lý giám sát hệ thống Và đặc biệt hệ thống có hiệu phải người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo mật, tính mở rộng tương thích với hệ thống ứng dụng tương lai I.2 Lựa chọn phương pháp xác thực phù hợp Với bùng phát ngày tăng nguy lừa đảo mức độ rủi ro giao dịch thương mại trực tuyến Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) hỗ trợ loạt ngân hàng hàng đầu giới soạn thảo ấn phẩm vào năm 2001 có tên “Xác thực môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực tuyến” Mục tiêu ấn phẩm để hướng dẫn thực thi sách xác thực mạnh cho tổ chức tài tham gia vào dịch vụ giao dịch điện tử Nội dung ấn phẩm đề cập đến hậu cắp danh tính dẫn lựa chọn công nghệ xác thực mạnh phù hợp cho tổ chức tài chính: “ Những kẻ lừa đảo khai thác điểm yểu bảo mật khách hàng họ hoàn toàn tin tưởng việc xác thực yếu tố truy cập vào dịch vụ trực tuyến ngân hàng, chứng Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet khoán, email website giao dịch điện tử Các tổ chức tài nên cân nhắc yếu tố sau đề nâng cao tính đảm bảo cho giao dịch trực tuyến chống lại nguy đánh cắp danh tính:” Nâng cấp hệ thống xác thực yếu tố dựa Mật lên xác thực yếu tố Sử dụng chương trình dò quét để xác định ngăn chặn công lừa đảo (phishing) lấy cấp thông tin nhạy cảm mật khẩu, số thẻ tín dụng… Đào tạo khách hàng để họ nhận thức thấu đáo tính quan trọng cần thiết xác thực danh tính môi trường điện tử Nhấn mạnh tầm quan trọng việc chia sẻ thông tin cộng tác ngành công nghiệp dịch vụ tài chính, phủ với nhà cung cấp công nghệ Trong bốn đề xuất trên, làm tốt đề xuất thứ khối lượng công việc thực đề xuất thứ thứ giảm nhiều.Theo hướng dẫn FFIEC nhằm nâng tính bảo mật đảm bảo tính khả thi đưa vào ứng dụng, xác thực yếu tố lựa chọn tối ưu cho giao dịch truy cập trực tuyến ngành tài chính, ngân hàng, chứng khoán bảo hiểm I.3 Xác thực yếu tố Xác thực yếu tố (Two-factor authentication) phương pháp xác thực yêu cầu yếu tố phụ thuộc vào để chứng minh tính đắn danh tính Xác thực yếu tố dựa thông tin mà người dùng biết (số PIN, mật khẩu) với mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính Với hai yếu tố kết hợp đồng thời, tin tặc gặp nhiều khó khăn để đánh cắp đầy đủ thông tin Nếu yếu tố bị đánh cắp chưa đủ để tin tặc sử dụng Phương pháp đảm bảo an toàn nhiều so với phương pháp xác thực truyền thống dựa yếu tố Mật khẩu/Số Pin Ích lợi việc chuyển từ hệ thống xác thực yếu tố sang xác thực yếu tố mô tả sau: “ Hiếm lĩnh vực bảo mật, bạn cần làm thay đổi mà giải nhiều vấn đề liên quan tới điểm yếu bảo mật Việc chuyển đổi sang hệ thống xác thực yếu tố có khả giúp bạn làm điều đó” • Tấn công Phishing có thành công định việc đánh cắp Mật tĩnh khách hàng Nếu sử dụng xác thực yếu tố việc đánh cắp mật tĩnh vô nghĩa • Ắn cắp danh tính môi trường giao dịch trực tuyến trở lên khó khăn danh tính bảo vệ yếu tố thay yếu tố (mật khẩu/số PIN) trước Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Trong giao dịch trực tuyến, tính chống từ chối tính bí mật yêu cầu cần thiết khách hàng Rất nhiều tổ chức tài sử dụng Chữ kí số tạo từ hệ thống xác thực yếu tố để đảm bảo cho giao dịch • Xác thực yếu tố trước đáp ứng xác thực nhà cung cấp dịch vụ với khách hàng mà khả ngược lại Hệ thống xác thực yếu tố giúp cho trình xác thực tương tác chiều, đảm bảo tối đa tính an toàn cho giao dịch trực tuyến • Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ nhiều mật khẩu, phải nhớ thay đổi mật theo định kì nhiều rắc rối khác quên chúng Một số dạng xác thực yếu tố có khả giúp ta thực điều Đứng trước nhu cầu đó, nhiều công ty bảo mật phối hợp ngân hàng, tổ chức tài để phát triển giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới hoạt động giao dịch trực tuyến Công ty Entrust, công ty phần mềm chuyên lĩnh vực bảo mật mã hoá thông tin, công ty hoi giới giúp cho ngân hàng đáp ứng đầy đủ yêu cầu bảo vệ danh tính chống lại hành vi lừa đảo trực tuyến Bên cạnh đó, giải pháp bảo mật Entrust đánh giá có chi phí đầu tư thấp so với giải pháp số hãng RSA Security, Aladdin, ActiveCard, VASCO… đặc biệt phù hợp cho triển khai với số lượng người dùng lớn lĩnh vực ngân hàng, chứng khoán Dưới đánh giá Công ty Forrester Research (www.forrester.com), công ty toàn cầu chuyên nghiên cứu thị trường đánh giá sản phẩm công nghệ Sản phẩm / Công nghệ xác thực One-Time-Password Tokens Dịch vụ OTP RSA Token Smart Card (EMV) Xác thực số PIN/TAN Entrust IdentityGuard Xác thực Mobile Nhập giá trị xác thực bàn phím ảo Xác thực danh sách dãy số Tính tiện dùng Tính sử dụng Tính bảo mật Chi phí đầu tư Khả quản trị Khả tích hợp 5 5 4 3 3 3 5 5 5 4 5 5 5 5 2 Số điểm: = = tốt Theo nguồn: Công ty nghiên cứu đánh giá sản phẩm công nghệ Forrester Research Điều làm nên thành công Entrust, Entrust nhanh chóng cung cấp giải pháp bảo mật đáp ứng kịp thời yêu cầu cụ thể cho tổ chức tài chính, ngân hàng, Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet chứng khoán việc bảo vệ thông tin giao dịch trực tuyến Đặc biệt, giải pháp Entrust có mức chi phí đầu tư tối ưu dễ sử dụng triển khai cho số lượng người dùng lớn khách hàng sử dụng dịch vụ ngân hàng, tài chính, chứng khoán, bảo hiểm, … Công ty Entrust đưa sản phẩm phần mềm Strong Authentication Platform eFraud Detection để giải vấn đề: • Xác thực mạnh yếu tố để bảo vệ danh tính trực tuyến • Giám sát ngăn chặn hình thức lừa đảo trực tuyến để giảm thiểu rủi ro cho giao dịch Entrust IdentityGuard sản phẩm phần mềm xác thực mạnh yếu tố giải pháp Entrust cấp phát minh giành nhiều giải thưởng có uy tín lĩnh vực CNTT, bảo mật Phần mềm coi phần mềm tảng cho nhiều phương pháp xác thực mạnh có khả kết hợp với nhằm vào đối tượng khách hàng doanh nghiệp sử dụng dịch vụ tài chính, chứng khoán trực tuyến Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho nhóm đối tượng khách hàng cho loại giao dịch không làm gia tăng chi phí đầu tư triển khai II ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH YẾU TỐ II.1 Xác thực mạnh kết hợp nhiều phương pháp Entrust IdentityGuard sản phẩm phần mềm xác thực mạnh giải pháp Entrust cấp phát minh giành nhiều giải thưởng có uy tín lĩnh vực CNTT, bảo mật Phần mềm coi phần mềm tảng cho nhiều phương pháp xác thực mạnh có khả kết hợp với nhằm vào đối tượng khách hàng doanh nghiệp sử dụng dịch vụ tài trực tuyến Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho nhóm đối tượng khách hàng cho loại giao dịch không làm gia tăng chi phí đầu tư triển khai Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet Hình mô tả phần nhìn tổng quan tính ích lợi phần mềm Entrust IdentityGuard Có thể coi Entrust IdentityGuard giải pháp phần mềm giới có khả kết hợp nhiều phương pháp xác thực đồng thời phần mềm Các phương pháp xác thực Entrust IdentityGuard cho phép nhà cung cấp dịch vụ xác thực mạnh người dùng, mà giúp cho khách hàng kiểm tra tính chân thật Web site trước họ nhập thông tin cá nhân Chính khả đó, Entrust IdentityGuard nâng mức độ đảm bảo giải pháp vượt xa giải pháp xác thực có thị trường, chi phí đầu tư không phát sinh đặc biệt phù hợp triển khai với số lượng người sử dụng lớn cho nhiều đối tượng khách hàng Entrust IdentityGuard cung cấp hai loại xác thực đồng thời là: • Các phương pháp xác thực mạnh người dùng truy cập dịch vụ • Các phương pháp xác thực chiều giúp người dùng kiểm tra tính chân thật Web site dịch vụ trực tuyến Chúng ta sâu vào loại xác thực, phương pháp xác thực mạnh người dùng truy cập dịch vụ Entrust hỗ trợ lựa chọn phương pháp xác thực thực riêng lẻ kết hợp đồng thời, bao gồm: • Xác thực người dùng ma trận lưới ngẫu nhiên Mỗi khách hàng cấp thẻ bảo mật in ma trận hàng/cột với giá trị ô chữ số ngẫu nhiên Mỗi lần xác thực, khách hàng phải nhập số giá trị ma trận theo toạ độ, ví dụ A2, C4, F3 ứng dụng yêu cầu Các yêu cầu toạ độ thay đổi sau lần xác thực thành công thay đổi ngẫu nhiên cho giá trị mật không trùng Khách hàng tra thẻ bảo mật sở hữu để nhập giá Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet trị tương ứng theo toạ độ yêu cầu Kích thước hàng/cột ma trận độ dài mật cho lần xác thực thay đổi để phù hợp với sách bảo mật cụ thể Với ma trận hàng cột kích thước 5x10, độ dài mật 3, khách hàng dùng đến 19,600 mật động không trùng Ma trận hàng/cột in thẻ ATM phát cho khách hàng • Xác thực người dùng One-Time-Password Tokens: Entrust IdentityGuard cho phép khách hàng sử dụng Entrust OTP Tokens (hoặc Vasco OTP Token – Token hãng Vasco – www.vasco.com) để xác thực dựa mật động tạo từ Token mà mua thêm phần mềm xử lý bổ sung • Xác thực theo thông tin cấu hình thiết bị cá nhân: Entrust IdentityGuard hỗ trợ xác thực dựa thông tin cấu hình thiết bị PC, Notebook, Server cho lần truy cập tới dịch vụ Khi thông tin cấu hình lưu giữ Server xác thực lần sau khách hàng sử dụng thiết bị cá nhân đăng kí xác thực lại • Xác thực thông qua gửi OTP SMS tới thiết bị mobile: Đây phương pháp tương đối phổ biến giao dịch điện tử Trước khách hàng xác nhận thực giao dịch, ví dụ chuyển tiền…, hệ thống tạo dãy chữ số gửi tới số mobile khách hàng đăng kí trước tin nhắn SMS Sau nhận được, khách hàng nhập dãy số với giao dịch để đảm bảo việc chuyển tiền khách hàng Phương pháp giảm thiểu rủi ro khách hàng bị hacker chiếm quyền điều khiển Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Xác thực dựa thông tin cá nhân: Phương pháp giúp ứng dụng kiểm tra tính đắn khách hàng câu hỏi, câu trả lời mà khách hàng đăng kí với nhà cung cấp dịch vụ Đây thông tin cá nhân bí mật mà có khách hàng nhà cung cấp biết • Xác thực số PIN tạm thời: Phương pháp xác thực sử dụng trường hợp khách hàng quên không mang thẻ lưới (phương pháp xác thực thẻ lưới) Khi khách hàng sử dụng số PIN tạm thời để sử dụng Số PIN tạm thời sử dụng lại nhiều lần khoảng thời gian hệ thống xác thực đặt trước (ví dụ thời gian sử dụng số PIN tạm thời ngày) Số PIN tạm thời tự động hết hiệu lực sử dụng khách hàng sử dụng lại thẻ lưới II.2 Xác thực mạnh chiều chống Phishing, Pharming Trong dịch vụ trực tuyến, nhà cung cấp dịch vụ thường sử dụng chế xác thực để đảm bảo tính đắn danh tính khách hàng Đối với giao dịch trực tuyến, xác thực chiều khách hàng chưa đủ Khách hàng cần phải biết chắn nhà cung cấp dịch vụ mà họ giao dịch không bị giả mạo Để giải vấn đề này, Entrust IdentityGuard cung cấp phương thức xác thực tính đắn website ứng dụng mà nhà cung cấp dịch vụ cách đưa thông tin để người dùng xác nhận thông tin mà có khách hàng nhà cung cấp dịch vụ biết Những thông tin là: • Số Serial thẻ lưới mà khách hàng sở hữu • Số Serial thẻ với số giá trị ngẫu nhiên ma trận thẻ lưới Nếu thông tin Web site trả hoàn toàn khớp với thông tin thẻ bảo mật, khách hàng yên tâm tính chân thực Web site • Những thông điệp bí mật/hình ảnh đặc trưng mà có khách hàng nhà cung cấp dịch vụ biết Khách hàng phải cung cấp thông tin đăng kí sử dụng dịch vụ nhà cung cấp II.3 Khả tích hợp Entrust IdentityGuard Entrust IdentityGuard phần mềm Server cung cấp dịch vụ xác thực để tích hợp vào nhóm ứng dụng sau: 10 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Nhóm ứng dụng truy cập từ xa (Remote Access, SSL VPN) qua RADIUS Protocol • Nhóm ứng dụng Windows (Windows Login, Outlook Web Access, Internet Authentication Services) • Nhóm ứng dụng Web qua hàm API cho Java, C#, (.NET) Hình mô hình tổng quát triển khai Entrust IdentityGuard Chúng ta thấy với thành phần xác thực Server tập trung quản lý xử lý xác thực cho nhiều ứng dụng, phương tiện xác thực đồng thời Entrust IdentityGuard Server cài đặt Server, quản lý xác thực tập trung cho nhóm ứng dụng tổ chức tài ngân hàng Các ứng dụng truy cập từ xa nhóm ứng dụng Windows cấu hình để chuyển yêu cầu xác thực tới Entrust IdentityGuard Server Đối với ứng dụng Web, lập trình viên nhà phát triển sử dụng API Entrust cung cấp để thực chức xác thực truy vấn thông tin Entrust IdentityGuard Server thông qua Web services 11 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet Danh sách phần mềm, thiết bị hỗ trợ tích hợp Entrust IdentityGuard Về phía người sử dụng, khách hàng phát thẻ bảo mật Token…và phương tiện với người để sử dụng cho lần truy cập Không phần mềm cài thêm máy tính khách hàng Mỗi khách hàng sở hữu thẻ bảo mật 12 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán Việc tích hợp Entrust IdentityGuard cho công ty Chứng khoán tích hợp vào dịch vụ (ứng dụng Web) mà công ty Chứng khoán cung cấp tới Nhà đầu tư thông qua mạng Internet Trong mô hình này, đưa ba phương pháp xác thực mà Entrust IdentityGuard hỗ trợ Những phương pháp dễ dàng việc tích hợp cho lập trình viên, tăng mức độ bảo mật cho dịch thuận tiện cho Nhà đầu tư sử dụng Đó là: • Xác thực thẻ lưới áp dụng cho trình đăng nhập vào Web site công ty Chứng khoán • Xác thực OTP Token (sử dụng Entrust OTP Token Vasco OTP Token Go6) áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua bán Cổ phiếu) qua Internet • Xác thực OTP gửi tin nhắn SMS tới thiết bị mobile (điện thoại di động) Nhà đầu tư áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua bán Cổ phiếu) qua Internet Tùy thuộc vào qui mô công ty Chứng khoán, mức độ rủi ro dịch vụ mà công ty Chứng khoán triển khai phương pháp xác thực thẻ lưới + OTP Token thẻ lưới + OTP gửi qua SMS ba phương pháp Mô hình tích hợp Các thành phần mô hình • Nhà đầu tư: Nhà đầu tư sử dụng phương pháp xác thực thẻ lưới, OTP Token, OTP gửi SMS để xác thực trước sử dụng dịch vụ công ty Chứng khoán • Nhà cung cấp dịch vụ: o Gửi nhận tin nhắn SMS: có trách nhiệm gửi nhận tin nhắn Nhà đầu tư công ty Chứng khoán o Internet: nơi đặt máy chủ Web công ty Chứng khoán 13 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Công ty Chứng khoán: nơi cung cấp dịch vụ chứng khoán cho Nhà đầu tư qua mạng Internet, mạng di động,… o Máy chủ dịch vụ: cung cấp dịch vụ giá trị gia tăng như: vấn tin, xem bảng giá, giao dịch chứng khoán, tư vấn,… o Hệ thống core chứng khoán: hệ thống phần mềm chuyên dụng lĩnh vực chứng khoán o Máy chủ xác thực: hệ thống có trách nhiệm xác thực Nhà đầu tư trước họ tham vào dịch vụ công ty Chứng khoán II.3.2 Qui trình xử lý thông tin phương pháp xác thực Entrust IdentityGuard đóng vai trò tích hợp bổ sung yếu tố xác thực thứ vào ứng dụng cần xác thực mạnh Đối với loại ứng dụng có chế tích hợp khác Đối với ứng dụng Web việc tích hợp thông qua Web Services hàm API xác thực IdentityGuard cung cấp Các lập trình viên customize bổ sung xác thực mạnh mà không làm thay đổi đến cấu trúc ứng dụng Sau tích hợp thành công, chế làm việc sau: Qui trình sử dụng thẻ lưới đăng nhập vào Web site công ty Chứng khoán: • Nhà đầu tư sử dụng trình duyệt Web (FireFox IE) truy cập vào Web site công ty Chứng khoán (được host Máy chủ Web), họ ứng dụng yêu cầu nhập Mã tài khoản/Mật • Thông tin Mã tài khoản/Mật gửi Máy chủ dịch vụ Tại đây, dịch vụ xác thực có chức kiểm tra tính xác thông tin Nếu Mã tài khoản/Mật Nhà đầu tư xác, dịch vụ xác thực gửi Mã tài khoản tới Máy chủ xác thực • Máy chủ xác thực sinh câu hỏi thẻ lưới tương ứng với Mã tài khoản nhận gửi câu hỏi Máy chủ dịch vụ • Máy chủ dịch vụ chuyển câu hỏi tới máy chủ Web • Máy chủ Web thể câu hỏi hình ứng dụng (Ví dụ: [A1], [D3], [J3]) Việc ứng dụng đưa giá trị việc ứng dụng công ty Chứng khoán xác thực Nhà đầu tư 14 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Nhà đầu tư, trước trả lời câu hỏi đó, họ cần phải xác thực lại ứng dụng công ty Chứng khoán có phải ứng dụng thật hay không cách kiểm tra số serial thẻ lưới với số serial hình ứng dụng Nếu chúng giống ứng dụng thật cung cấp công ty Chứng khoán Khi Nhà đầu tư nhập giá trị tọa độ tương ứng (Ví dụ: [A1]=P, [D3]=8, [J3]=9) • Câu trả lời Nhà đâu tư chuyển tới Máy chủ xác thực Sau kiểm tra, Máy chủ xác thực trả lại kết tới Nhà đầu tư thông qua Máy chủ dịch vụ Máy chủ Web • Nếu kết kiểm tra Nhà đầu tư đăng nhập thành công sử dụng dịch vụ công ty Chứng khoán (ví dụ: vấn tin tài khoản, thông tin công ty niêm yết cổ phiếu,…) Nếu sai Nhà đầu tư nhận thông báo nguyên nhân sai Qui trình sử dụng OTP Token đặt lệnh qua Web công ty Chứng khoán: • Trước sử dụng dịch vụ đặt lênh qua Web, Nhà đầu tư phải đăng nhập thành công vào Web site công ty Chứng khoán • Nhà đầu tư nhập thông tin cần thiết giao dịch đặt lệnh • Các thông tin gửi tới Máy chủ dịch vụ Tại đây, dịch vụ đặt lệnh kiểm tra tính hợp lệ thông tin Nếu thông tin hợp lệ, Máy chủ dịch vụ gửi Mã tài khoản tới Máy chủ xác thực • Máy chủ xác thực lấy số serial Token tương ứng với Mã tài khoản gửi tới Máy chủ dịch vụ • Máy chủ dịch vụ gửi thông tin tới máy chủ Web • Máy chủ Web hiển thị số serial Token hình Và yêu cầu nhà đầu tư nhập số OTP Token vào ô Số OTP Token 15 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Nhà đầu tư kiểm tra số serial Token hình với Token Nếu chúng giống Nhà đầu tư bấm vào nút mặt trước Token để lấy số OTP • Nhà đầu tư nhập số OTP vào ô Số OTP Token hình • Giá trị gửi Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra • Nếu kết kiểm tra thông tin phiên giao dịch chuyển tới hệ thống core chứng khoán để xử lý Nếu sai Nhà đầu tư nhận thông báo nguyên nhân sai Qui trình sử dụng OTP gửi SMS đặt lệnh qua Web công ty Chứng khoán: • Trước sử dụng dịch vụ đặt lênh qua Web, Nhà đầu tư phải đăng nhập thành công vào Web site công ty Chứng khoán Nhà đầu tư phải đăng kí số di động cho công ty Chứng khoán • Nhà đầu tư nhập thông tin cần thiết giao dịch đặt lệnh • Các thông tin gửi tới Máy chủ dịch vụ Tại đây, dịch vụ đặt lệnh kiểm tra tính hợp lệ thông tin Nếu thông tin hợp lệ, Máy chủ dịch vụ gửi yêu cầu nhập số OTP gửi SMS tới Máy chủ Web • Máy chủ Web đưa giao diện Web, yêu cầu Nhà đầu tư nhập số OTP gửi SMS Và nút Sinh OTP có chức sinh OTP gửi tới mobile phone Nhà đầu tư • Nếu Nhà đầu tư chưa nhận số OTP cho phiên giao dịch đó, họ bấm nút sinh OTP để lấy số OTP gửi tới mobile phone họ từ công ty Chứng khoán • Khi Nhà đầu tư bấm nút sinh OTP, yêu cầu gửi tới Máy chủ dịch vụ • Tại đây, dịch vụ xác thực gửi Mã tài khoản yêu cầu tới Máy chủ xác thực Máy chủ xác thực sinh số OTP (thời hạn sử dụng, độ dài số OTP hệ thống xác thực thiết lập từ đầu ví dụ: thời hạn sử dụng phút, độ dài kí tự) gửi tới Máy chủ dịch vụ • Tại Máy chủ dịch vụ, số OTP dịch vụ gửi tin nhắn SMS gửi tới nhà cung cấp dịch vụ SMS Qua SMS Gateway, mạng di động, số OTP tới mobile phone Nhà đầu tư Đồng thời dịch vụ xác thực gửi yêu cầu tới máy chủ Web yêu câu Nhà đầu tư nhập số OTP vào ô Số OTP gửi qua SMS 16 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Nhà đầu tư sau nhận số OTP dạng tin nhắn SMS nhập giá trị vào ô Số OTP gửi qua SMS • Giá trị gửi Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra • Nếu kết kiểm tra thông tin phiên giao dịch chuyển tới hệ thống core chứng khoán để xử lý Nếu sai Nhà đầu tư nhận thông báo nguyên nhân sai Entrust IdentityGuard đóng vai trò tích hợp yếu tố xác thực thứ để đưa hệ thống xác thực có trở thành xác thực mạnh yếu tố II.4 Các thành phần IdentityGuard Server Entrust IdentityGuard Server chạy Server cài hệ điều hành Microsoft Windows Server 2003 RedHat Linux Advance Server 3.0 trở lên Cơ sở liệu sử dụng để lưu trữ thông tin xác thực tuân theo chuẩn LDAP MS Active Directory DBMS Oracle, IBM DB2 MS SQL 2000 Server Tích hợp vào ứng dụng phát triển thực thông qua Web service hàm API cho ngôn ngữ Java, C# NET Với khả tương thích vậy, Entrust IdentityGuard dễ dàng áp dụng triển khai vào mô hình ứng dụng CNTT tổ chức tài chính, chứng khoán ngân hàng Hình mô tả thành phần Entrust IdentityGuard Server bao gồm 17 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet Một số đặc điểm kĩ thuật Entrust Token (AT Token): • Tạo Mật dùng lần (OTP) theo chuẩn DES (Data Encrytion Standard) 3DES (triple DES) • OTP tạo theo yếu tố thời gian, kiện tổ hợp thời gian kiện Đảm bảo tính mật • Thời gian thay đổi mật 60s • Thời gian sử dụng Token từ năm • Mật OTP có độ dài kí tự số thị hình LCD thiết bị • Độc lập với hệ thống máy tính Loại bỏ nguy bị phá hoại từ hệ thống máy tính • Trọng lượng nhỏ, 25 grams bao gồm pin Kích thước 45 : 38 :11 mm (L:W:H) • Thiết kế nút bấm • Trọng lượng hình thức phù hợp với việc phải sử dụng thường xuyên có khả mang bên dễ dàng đeo vào cổ, chùm chìa khoá • Có khả chống nước (độ sâu mét) Một số đặc điểm kĩ thuật Vasco Token (Go6): • Tạo Mật dùng lần (OTP) theo chuẩn DES (Data Encrytion Standard), 3DES (triple DES) AES • OTP tạo theo yếu tố thời gian thiết lập theo yêu cầu công ty Chứng khoán (từ 8s đến vài giờ, mặc định 36s) • Thời gian sử dụng năm • Màn hình LCD hiển thị kí tự số • Độc lập với hệ thống máy tính Loại bỏ nguy bị phá hoại từ hệ thống máy tính • Trọng lượng 14gram, Kích thước 62,7 : 25,9 : 9,8 mm (L:W:H) • Thiết kế nút bấm • Trọng lượng hình thức phù hợp với việc phải sử dụng thường xuyên có khả mang bên dễ dàng đeo vào cổ, chùm chìa khoá • Có khả chống nước (độ sâu mét) • Có khả chịu rơi (độ cao mét) 18 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet II.5 Lập kế hoach triển khai Entrust IdentityGuard II.5.1 Các công việc cần xem xét thực thi Trước lựa chọn mô hình triển khai phù hợp cho xác thực mạnh yếu tố Entrust IdentityGuard, cần phải xem xét tới yêu cầu thực tế hệ thống như: • Đánh giá mức độ quan trọng ứng dụng để cân chi phí đầu tư • Xác định loại ứng dụng mà Entrust IdentityGuard bảo vệ? o Ứng dụng Web o Truy cập Windows o Ứng dụng truy cập từ xa • Hạ tầng CNTT có tổ chức: o Hạ tầng thiết bị phần cứng, mạng o Các phần mềm ứng dụng có, sở liệu… • Số lượng người dùng cần quản lý cho truy cập? • Sử dụng mô hình phân phối thẻ bảo mật tới khách hàng? Entrust IdentityGuard hỗ trợ mô hình cấp phát thẻ sau: o Mô hình sản xuất thẻ trước khách hàng đăng kí o Mô hình cung cấp thẻ theo yêu cầu đăng kí khách hàng • Xác định mô hình in ấn bảo mật thẻ Thực thi: • Xây dựng sách bảo mật hướng dẫn cụ thể để thực thi sách o Những chích sách bảo mật, xác thực o Hướng dẫn cụ thể vấn đề bảo mật thẻ Entrust IdentityGuard •  Sử dụng giao thức trao đổi liệu giao dịch  Kích thước ma trân in thẻ Độ lớn mật nào, số lần nhập sai mật tối đa bao nhiêu.… Hướng dẫn cụ thể yêu cầu kĩ thuật vận hành hệ thống o Phân tách nhóm máy PC, máy tính o Sử dụng máy chủ lưu dự phòng, máy chủ chia tải… o Xây dựng hệ thống mạng (LAN, Intranet, VPN, Internet) đáp ứng yêu cầu ứng dụng • Quản trị o Có kế hoạch kiểm tra người dùng đến thời hạn phải thay thẻ 19 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet o Rà soát liệu thẻ, người dùng không tồn quản lý dịch vụ o Quản lý cấp số PIN tạm thời cho khách hàng truy cập dịch vụ thẻ… • Lập kế hoạch phân bổ người o Nhóm quản trị hệ thống o Nhóm quản trị Cơ sở liệu o Nhóm phát triển phần mềm (Lập trình Java, C#, NET) o Nhóm triển khai hỗ trợ khách hàng • Từng bước triển khai thử nghiệm hệ thống II.5.2 Tiến độ thực Phụ thuộc vào yêu cầu hạ tầng CNTT cụ thể tổ chức, doanh nghiệp công ty Liên hệ: Công ty MISOFT – 11 Phan Huy Chú Điện thoại: 04 9331613 Email: misoft@misoft.com.vn trungnq@misoft.com.vn III DỰ TOÁN KINH PHÍ Dự toán tổng kinh phí để triển khai vận hành hệ thống xác thực mạnh Entrust IdentityGuard phụ thuộc vào yếu tố sau: • Loại ứng dụng tích hợp xác thực o Ứng dụng Web: Tích hợp Xác thực mạnh vào Code ứng dụng o Truy cập từ xa: VPN o Login Windows… Loại tích hợp vào ứng dụng Web yêu cầu phải có đội ngũ phát triển ứng dụng, họ sử dụng Web Serivce hàm API cho Java, C#, NET Entrust để thực công đoạn yêu cầu xác thực yếu tố xử lý liệu người dùng nhập Sau xác định phiên IdentityGuard Server mua • Phương tiện xác thực sử dụng Nếu sử dụng thẻ bảo mật chi phí sau cân nhắc: o Chi phí dịch vụ in ấn thẻ bảo mật o Chi phí thay cấp thẻ 20 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet • Nếu phương tiện One-Time-Password Token Chi phí phụ thuộc vào số lượng Token dự kiến sử dụng • Ngoài số chi phí khác, cụ thể bao gồm: o Chi phí tư vấn xây dựng sách bảo mật trình vận hành sử dụng phương tiện xác thực mạnh o Chi phí triển khai, cài đặt thiết lập sách bảo mật vào hệ thống o Chi phí đào tạo quản trị hướng dẫn sử dụng o Chi phí phát triển tích hợp Xác thực mạnh vào code ứng dụng Web o Chi phí hỗ trợ trực tiếp hãng tính theo định kì hàng năm Đối với dịch vụ ngân hàng trực tuyến Internet Banking lĩnh vực chứng khoán, trình tích hợp xác thực mạnh bao gồm công việc đầu tư sau: • Mua Entrust IdentityGuard Server for Consumer: Tính theo License Server • Mua License cho users • Xác định chi phí tích hợp Xác thực mạnh vào Code ứng dụng Web: Dùng Java, C#, NET • Chi phí mua OTP Token có yêu cầu • Chi phí in ấn thẻ ban đầu • Các chi phí dịch vụ hỗ trợ triển khai, đào tạo 21 Giải pháp xác thực mạnh yếu tố cho dịch vụ trực tuyến Internet IV KẾT LUẬN Sự phát triển nhanh chóng dịch vụ trực tuyến giao dịch thương mại điện tử kéo theo nguy cắp thông tin rủi ro giao dịch cho khách hàng nhà cung cấp dịch vụ Các hình thức công, lừa đảo đánh cắp danh tính trực tuyến Internet ngày trở nên phong phú tính vi hỗ trợ máy móc công nghệ Để bảo vệ quyền lợi giá trị tài sản khách hàng, nhà cung cấp dịch vụ tài phải thực thi sách an toàn thông tin trước cung cấp dịch vụ tới khách hàng Yêu cầu xác thực giao dịch điện tử nằm vấn đề cần ưu tiên hàng đầu Ngày nay, xác thực yếu tố trở nên không đảm bảo để chống lại công, giả mạo ăn cắp thông tin trực tuyến Xác thực dựa yếu tố đảm bảo tối đa tính bảo mật chi phí đầu tư vào hệ thống cao Trong đó, xác thức yếu tố ngày trở nên phổ biến sử dụng rộng rãi đảm bảo tính bảo mật với chi phí đầu tư phù hợp Entrust IdentityGuard coi lựa chọn tối ưu xây dựng hệ thống xác thực mạnh yếu tố cho giao dịch thương mại trực tuyến Entrust IdentityGuard đảm bảo tính an toàn để chống lại công ăn cắp danh tính trực tuyến Hỗ trợ xác thực mạnh cho phía khách hàng nhà cung cấp dịch vụ Có khả mở rộng, tích hợp cao, dễ sử dụng với chi phí hợp lý Cùng với công nghệ chất lượng dịch vụ, Entrust sản phẩm bảo mật đảm bảo cung cấp giải pháp tốt giao dịch thương mại điện tử trực tuyến Hiện nay, Công ty Entrust hợp tác với nhà cung cấp giải pháp bảo mật hàng đầu Việt Nam Công ty Phát triển Phần mềm Hỗ trợ Công nghệ - MISOFT để cung cấp dịch vụ tư vấn, giải pháp sản phẩm xác thực tới Ngân hàng, tổ chức tài chính, chứng khoán doanh nghiệp Việt Nam 22