Созданный компанией КРОК аутентификационный центр предназначен для унификации процессов аутентификации фронтальных прикладных систем дистанционного обслуживания клиентов крупного банка.
Цели и задачи проекта:
- значительное повышение защищенности операционной деятельности клиентов от мошеннических угроз и рисков, связанных с хищением их идентификационных данных;
- снижение издержек на разбор конфликтных ситуаций, связанных с операциями клиентов;
- получение конкурентных преимуществ;
- уменьшение затрат на администрирование технических средств, участвующих в процессе аутентификации клиентов банка в системах дистанционного обслуживания;
- ликвидация функциональной нагрузки на приложения банка, связанной с аутентификацией клиентов и подтверждением операционной деятельности.
Автоматизированная система управления бюджетными средствами Федеральной служб...
Аутентификационный центр
1. Аутентификационный центр
Созданный компанией КРОК аутентификационный центр предназначен для унификации процессов
аутентификации фронтальных прикладных систем дистанционного обслуживания клиентов крупного банка.
Цели и задачи проекта
значительное повышение защищенности операционной деятельности клиентов от мошеннических
угроз и рисков, связанных с хищением их идентификационных данных;
снижение издержек на разбор конфликтных ситуаций, связанных с операциями клиентов;
получение конкурентных преимуществ;
уменьшение затрат на администрирование технических средств, участвующих в процессе
аутентификации клиентов банка в системах дистанционного обслуживания;
ликвидация функциональной нагрузки на приложения банка, связанной с аутентификацией
клиентов и подтверждением операционной деятельности.
Подробнее о решении
Для достижения целей проекта компания КРОК сформировала:
унифицированный набор механизмов аутентификации и подтверждения финансовых операций
клиентов для фронтальных прикладных систем дистанционного банковского обслуживания (ДБО);
механизмы двухфакторной аутентификации и подтверждения транзакций, основанной на смарт-
картах стандарта EMV;
централизованное хранение учетных записей клиентов ДБО;
технические средства, обеспечивающие выполнение разбора возможных конфликтных ситуаций.
Масштабы проекта
Аутентификационный центр создан для обслуживания не менее 10 миллионов пользователей и
обеспечивает до 50 транзакций в секунду при средней нагрузке и до 100 транзакций в секунду при пиковых
нагрузках.
В рамках проекта аутентификационный центр интегрирован со следующими прикладными системами
банка:
Телебанк;
система интерактивного голосового меню (IVR);
Банк-клиент онлайн;
Инвест-банк (перспективное направление развития);
внешний интернет-портал (перспективное направление развития);
электронные банковские терминалы (перспективное направление развития).
Структура решения
2. Аутентификационный центр представляет собой набор инфраструктурных подсистем, предназначенных
для использования прикладными системами.
Центр имеет машинные интерфейсы, доступные для серверов прикладных систем по протоколу SOAP, и
интерфейсы администраторов, доступные по протоколу HTTPS.
Прямое обращение пользователей к интерфейсам аутентификационного центра не предусмотрено.
Компоненты системы:
аутентификационный сервис;
сервер аутентификации;
сервер баз данных;
аппаратный модуль шифрования;
аппаратный балансировщик нагрузки.
Общая логическая схема аутентификационного центра
Аутентификационный сервис —
разработка компании КРОК
Набор методов по аутентификации и
подтверждению транзакций
Набор методов по администрированию
аутентификационного центра
Сервер аутентификации на
основе VASCO IDENTIKEY Server
Аутентификация на основе OTP-кода
Аутентификация на основе схемы
Challenge-Response
Подтверждение транзакции на основе
OTP
Подтверждение транзакции на основе
схемы Challenge-Response
Подтверждение транзакции на основе
схемы MAC
Администрирование сервера
аутентификации
СУБД под управлением MS SQL
Server 2008
БД сервера аутентификации:
учетные записи пользователей
учетные записи устройств
аутентификации
конфигурация сервера
аутентификации
журнал событий аутентификации и
подтверждения транзакций
БД аудита системы:
записи о подключениях
администраторов системы
записи о произошедших изменениях
в конфигурации и хранимых данных
системы
SafeNet HSM
ProtectServer External
Выполнение криптографических
операций в защищенном исполнении
Аутентификационный центр
Аутентификационный сервис предназначен для обеспечения интеграции сервера аутентификации со
смежными системами и реализует необходимую логику аутентификации и сопровождения системы.
Аутентификационный сервис — программное решение, разработанное компанией КРОК, представляющее
собой Java-приложение под сервер приложений.
3. Программное обеспечение аутентификационного сервиса размещается на выделенных серверах под
управлением Red Hat Enterprise Linux 5 64 bit и управляется сервером приложений Tomcat 6.
Сервер аутентификации — основной компонент аутентификационного центра, управляющий учетными
данными пользователей и устройств аутентификации. Он обеспечивает реализацию двухфакторных
механизмов аутентификации и подтверждения транзакций на основе EMV-карт.
Сервер баз данных предназначен для хранения информации о конфигурации сервера аутентификации,
учетных данных пользователей и устройств аутентификации системы, журнала операций по
аутентификации и подтверждению транзакций, журнала изменений в системе.
Архитектура решения предполагает разделение всей хранимой информации по базам данных: БД аудита и
БД сервера аутентификации. В качестве СУБД для серверов баз данных используется Microsoft SQL Server
2008 Enterprise Edition.
Аппаратный модуль шифрования предназначен для хранения секретных ключей, на основе которых
происходит шифрование содержимого базы данных сервера аутентификации. Модуль также обеспечивает
выполнение внутри собственной защищенной среды криптографических операций по аутентификации и
подтверждению транзакций пользователей. В качестве аппаратного модуля шифрования используется
устройство HSM SafeNet ProtectServer Gold pl220.
Внешний аппаратный балансировщик нагрузки предназначен для распределения запросов к серверами
аутентификационного сервиса и серверами аутентификации. Балансировка нагрузки запросов
аутентификации и подтверждения транзакций выполняется равномерно между серверами
Аутентификационный сервис
Аутентификационный сервис — точка доступа для прикладных систем банка.
4. Общая схема взаимодействия компонентов решения
Системы дистанционного
банковского обслуживания
Системы дистанционного
банковского обслуживания
Системы дистанционного
банковского обслуживания
Аутентификационный сервис —
разработка компании КРОК
Набор методов по аутентификации и
подтверждению транзакций
Набор методов по администрированию
аутентификационного центра
Система централизованного
хранения информации о клиентах
«CIF»
Процессинговая система «Profile»
СУБД под управлением MS SQL
Server 2008
База данных сервера аутентификации
База данных событий аудита
Система автоматизации бизнес-
процессов на основе
Lombardi TeamWorks
SafeNet HSM
ProtectServer External
Выполнение криптографических
операций в защищенном исполнении
Аутентификационный центр
Сервер аутентификации на основе
VASCO IDENTIKEY Server
s
Выполнение административных задач
Верификация операций пользователей
по аутентификации и подтверждению
транзакций
PKCS#11
TDS
SOAP
JMS, Sonic ESB
SOAP
JMS, Sonic ESB
SQL
запросы
Аутентиф. и
администр.
запросы
Аутентификационные
запросы
Определение статуса
смарт-карт
Определение доступных
пользователю прикладных систем
Запросы на
получение
случайных чисел
Административные
запросы
JMS, Sonic ESB
PKCS#11
Набор методов для аутентификации по
SMS
Генерация случайных чисел
Запросы на проверку
аутентиф. операций База данных реестра паролей
JDBC
SQL
запросы
Отказоустойчивость
Отказоустойчивость решения обеспечивается резервированием всех его компонентов, благодаря чему
выход из строя отдельных компонентов системы не влияет на ее работоспособность в целом. Для
предотвращения потери информации в случае нарушения целостности баз данных или дисковых массивов
серверного оборудования осуществляется дополнительное резервное копирование.
Катастрофоустойчивость решения обеспечивается за счет размещения его компонентов на полностью
дублированном оборудовании.