AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA

Transkript

1 AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA SERVER CASE BYL NAVRŽEN JAKO CENTRÁLNÍ AUTENTIZAČNÍ A AUTORIZAČNÍ SYSTÉM. JEHO PRIMÁRNÍM ÚKOLEM JE USNADNIT INTEGRACI SILNÝCH BEZPEČNOSTNÍCH METOD DO RŮZNÝCH IT PROSTŘEDÍ. CASE JE POSTAVEN NA OTEVŘENÝCH BEZPEČNOSTNÍCH A KOMUNIKAČNÍCH STANDARDECH A PODPORUJE ŠIROKOU ŠKÁLU AUTENTIZAČNÍCH METOD.

2 KLÍČOVÉ VLASTNOSTI Centrální autentizační a autorizační systém pro online služby. Podporuje široké spektrum 2faktorových bezpečnostních metod založených na bázi jednorázových hesel (OTP) a elektronickém podpisu (PKI). Postaven na otevřených komunikačních a kryptografických standardech, které usnadňují použití v různých prostředích. Modulární architektura optimalizovaná pro velkou zátěž. PROČ ZVOLIT CASE Snadná integrace silné centrální autentizace na bázi jednorázových hesel (one- time passoword, OTP) i digitálních certifikátech (PKI), vč. statických kódů a hesel, SMS hesel, hardwarových OTP tokenů, PKI čipových karet, řešení pro smartphony i klasické mobilní telefony a další. Integračně nenáročný díky standardní architektuře. Server CASE lze jednoduše integrovat do různých IT prostředí (vnitřní sítě, internetové služby, cloudová řešení). Robustní architektura je připravena na obsluhu velkého množství uživatelů. Připraven pro multikanál (metody pro PC, tablet, mobil, hlas) také díky patentovanému řešení autentizovaného volání IDcall. KDE VŠUDE CASE VYUŽIJETE CASE může najít své využití ve firmách a organizacích vyžadujících bezpečný a zároveň komfortní přístup uživatelů k informačním systémům. Typickými příklady můžou být: Přístupy do portálů elektronického bankovnictví (ebanking, ebrokerage, ) Elektronické systémy veřejné správy (egovernment). Informační systémy VŠ a univerzit Bezpečný přístup k citlivým zdravotnickým údajům a informačních systémy nemocnic (ehealth). Korporátní sféra v styku s citlivými informacemi (business consultancy / právní kanceláře, vývoj, obrana nebo audit). A mnohé další s potřebou zabezpečit online prostředí, jako: VPN, webové služby, cloudové služby. Zabezpečení vzdáleného přístup (VPN) metodami 2-faktorové autentizace. Přístup do webových služeb (intranet, extranet, internetové portály atp.) Zabezpečený přístup do cloudových řešení. Správa klíčů na dedikovaných autentizačních nástrojích (např. SIM pro síť mobilních operátorů).

3 MODULÁRNÍ ARCHITEKTURA CASE AUTENTIZAČNÍ JÁDRO Autentizační jádro vystupuje jako centrální bod v řetězci autentizačních a autorizačních procesů (přihlášení uživatele, potvrzení transakce atd.). Implementuje všechny bezpečnostně citlivé operace a zajišťuje kryptografické funkce systému. Využívá certifikovaný bezpečnostní modul (FIPS Level 3). Autentizační jádro je optimalizováno tak, že umožňuje zpracování řádově několika tisíc autentizačních transakcí za minutu. KOMUNIKAČNÍ ROZHRANÍ Autentizační server CASE je připraven na snadnou implementaci do již existující infrastruktury. Systémy, které neumožňují integraci s jedním ze standardizovaných rozhraní, lze integrovat prostřednictvím individuálně vytvořených integračních rozhraní. ADMINISTRACE A SPRÁVA SYSTÉMU Back Office integruje separátní obslužné moduly. Uživatelům může sloužit k aktivaci a registraci koncových zařízení, nastavení hesel či certifikátů. Administrátorům umožňuje veškerý provozní monitoring a správu. Součástí BackOffice funkcí je také robustní auditní záznam a statistická analýza, které umožňuje detekci a prevenci vnějších útoků. MOŽNOSTI ROZŠÍŘENÍ SERVERU CASE MEP FS FEDERAČNÍ SLUŽBY Federační vrstva (Federace identit) vytváří uživatelům komfortní a vysoce bezpečné prostředí pro snadné přihlašování k aplikacím nejen v rámci interní sítě, ale i k online službám, včetně služeb třetích stran (např. Google Apps, Microsoft Office 365 aj.) MEP FS nabízí podporu standartních federačních protokolů SAML v2 a OAuth v2; mimo jiné nabízí také specializovaná rozhraní pro federativní autorizaci transakce a doplňkový framework pro federace mobilních aplikací. CASE MOBILE Mobilní aplikace, která umožňuje plné využití autentifikačního serveru CASE použitím mobilního telefonu (PaaT) online i offline pro generování OTP, nebo autentizované volání IDcall. Pro plné využití aplikace CASE mobile lze systém CASE dále rozšířit o VPN, webové služby, cloudové služby. Mobile Content Management pro správu dynamického obsahu Security Gateways pro zajištění bezpečné komunikace mezi aplikací a serverem.

4 TECHNICKÁ A BEZPEČNOSTNÍ SPECIFIKACE DOSTUPNOST HA - vysoká dostupnost Řízení výkonu (Load Balancing) Záložní instance UŽIVATELSKÉ ROZHRANÍ Samoobslužný portál uživatele ADMINISTRÁTORKÉ ROZHRANÍ Administrační rozhraní Helpdesk KRYPTOGRAFICKÉ JÁDRO CASE Využívá certifikovaný bezpečnostní modul (FIPS Level 3) PODPOROVANÉ APLIKAČNÍ PROTOKOLY RADIUS LDAP/BIND WEB-SERVICES

5 PODPOROVANÉ AUTENTIZAČNÍ METODY ID + Heslo Statické kódy PIN / PUK hesla Aktivační kódy Fyzické tokeny HW OTP (OCRA tokeny) EMV platební karty PKI čipové karty (X.509) SIM řešení SMS OTP SIM OTP (SMS Push) Mobilní token CASE mobile online CASE mobile offline (OTP generátor / QR transakce) ID Call KRYPTOGRAFICKÉ SCHÉMATA A STANDARDY Referenční algoritmy a implementované standardy: ANSI X3.92, ISO9797-1, X.509, PKCS # 1, PKCS#11, PKCS#12, CAP / DPA, OATH, GSM 11.14, 3GPP TS , 3GPP TS , RFC 2865, RFC 3280, RFC 3852, RFC 4513, RFC 4226, RFC 5652, RFC 5280, RFC 6030, RFC 6238, RFC OTP mohou být generována (resp. ověřována) na základě inkrementálního čítače nebo na základě času. Využívá certifikovaný bezpečnostní modul (FIPS Level 3). METODY OBRANY PROTI ÚTOKŮM NA KLIENTY Automatické dočasné nebo trvalé blokování metod individuálních autentizačních tokenů nebo uživatelů dle specifických situací (např. nekorektní opakované zadání hesla, vynucené blokování metody, atp.) Statistické vyhodnocování výsledků požadavků na verifikaci s různou úrovní granularity (jeden uživatel, skupina uživatelů, autentizační metoda, kanál, ) Pasivní notifikace anomálií nebo aktivní obrana pozdržením verifikačních požadavků. Časové omezení platnosti transakcí. SYSTÉMOVÉ ROZHRANÍ MŮŽE SPRAVOVAT Autentizační nástroje (vytvoření, zrušení, pozastavení, odblokování, ) Vazby autentizačních nástrojů a uživatelských identit. Úrovně rizik, které jsou schopny metody pokrýt a dalších konfiguračních parametrů.

6 CLIENT AUTHENTICATION SMART ENGINE / / obchod@monetplus.cz MONET+,a.s. Za Dvorem 505, Zlín - Štípa