110527 ca
DESCRIPTION
TRANSCRIPT
Mobile & Cloud 환경인증강화솔루션 –CA Arcot”
May 27, 2011
Sangwon Cho, Solution Strategist
Challenge in Authentication Space – Mobile & Cloud
2 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
사용해야 하는Applications이 기업의경계를 벗어난 외부로이동
임직원이 통제가곤란한 외부에서내부 시스템을 사용
보안 협업에 대한 요구증가
컴플라이언스, 보안정책, 및 프로세스의 준수가분산화되고 클라우드화된 환경에서 더욱 곤란
SaaS Apps& Web Services
Partner User
Customer
Mobile employee
Internal Employee
EnterpriseApps
Cloud Apps/Platforms& Web Services
SaaS Apps& Web Services
Authentication – Starting Point for Access Control
3 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
controlidentitie
s
controlaccess
controlinformation
1. Authentication“Who are You”
2. Access Rights“What you can Access”
(Where you can go)(Front door)
Strong Authentication
4 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Challenge
ConvenienceCost Security
Mobile & Cloud 환경의도입에 따라 강한 인증수단의 필요성은 인식하나, 보안강화를 위해 비용 및사용자 편의성에 대한피해를 최소화할 수 있는방법을 찾아야 한다.
CA Arcot Solution
5 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Challenge
ConvenienceCost Security
CA Arcot WebFort & RiskFort은 위험기반강한 인증 서비스를통하여 보안강화는 물론비용 및 사용자 저항문제까지 해결
Who is Arcot?
We hope you like it, Arcot
13,000 고객사
5억 명의 사용자가사용
전 세계 Visa 카드거래의 78% 인증을담당
200,000 온라인상인
> 10억 transactions
35 개의 인증관련 특허
전문 인증 솔루션 회사
(2010년 CA Technologies사가
합병)~ 100% 재계약율
Cloud Computing 리더
7
Visit ca.com/kr
8 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
CA Arcot WebFort –versatile Authentication
Server
What is WebFort? – Versatile Authentication Server
10 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
WebFort Versatile Authentication Server
Authentication Methods
Authentication Interfaces
OpenIDSAMLChallenge/Response
RADIUSCustom
Response
• LDAP• Mainframe• Other Proprietary
Q&A OATHOTP-SMS,Email
CAP/DPA
Callout
AuthenticationEngine
• Policies• Business Rules• Configurations
Notifications,Alerts, Reports
ArcotID - PKI Challenge
11 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
“Since the invention of public key cryptography 25 years ago, people have been struggling to secure the private key without the assistance of hardware.
Arcot’s innovative Cryptographic Camouflage* has solved this problem. Finally there is a cost-effective and convenient means to strongly authenticate users and transactions over the internet without the need for cumbersome hardware * patent 7,170,058
Dr. Martin E.HellmanProfessor EmeritusStanford UniversityInventor of PKI
Dr. Taher ElgamalPhD – StanfordInventor of SSL while at Netscape
“Perhaps one of the weakest links in accessing important internet assets is a strong tie between the user and the areas they have the right to access. The use of a simple user name-password mechanism is truly a weak link.
What is unique about Arcot’s approach is that it is both strong and people friendly.
Cryptographic Camouflage
12 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
X^b19(#h7CD39J5156g*%k75¤ »y5B$17fn;hff43LqqkH◊≠xVI39#T\114ke1E459FC479C3B41hKDU&$g752NJHVD1djfHBD7549hgd1
●●
X^b19(#h7CD39J5156g*%k75¤ »y5B$17fn;hff43LqqkH◊≠xVI39#T\114ke1E459FC479C3B41hKDU&$g752NJHVD1djfHBD7549hgd1
1CE59A451B257C11DC1A4596B79B21159CA7C8439BA311A964942B5AC5B11E459FC479C3B4117675ABC59DE3711996C2A7EF64DA1
1CE59A451B257C11DC1A4596B79B21159CA7C8439BA311A964942B5AC5B11E459FC479C3B4117675ABC59DE3711996C2A7EF64DA1
StandardSoftware
KeyContainer
●●
●●●
●●●
Brute ForceLibrary Attack
Brute ForceLibrary Attack
ArcotIDSoftware
KeyContainer
6 digit PIN,1 million results
6 digit PIN,1 million results
복호화 과정에서 키의정확성에 대하여 결정하여주지 않음.
정확한 키의 확인 방법은인증서버에 인증 절차를통하여 판단할 수 있음.
올바른 키로 인증 절차가진행되지 않는다면, 불법적인접근시도에 대한 카운터를증가시키고, 일정수준 이상일경우 해당 사용자 계정을 잠금.
Protected Key:
1E459FC479C3B41
Protected Key:
1E459FC479C3B41
1E459FC479C3B41
Patented “Cryptographic Camouflage”
복호화 과정에서 올바른 키의획득 여부를 판단 할 수 있음.
따라서 키 컨테이너를 획득할수 있다면, 패스워드크랙툴로 비밀키를 획득할 수있음.
다양한 Client 종류지원
13 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
- Flash client(Flash player)- Java Applet- Native(ActiveX 등)- Adobe Reader/Adobe Acrobat
- Internet Explorer - Firefox - Chrome - etc
CA ArcotID Overview
14 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
— 소프트웨어로 구현된 안전한 2FA(two-factor) 인증방식
— 특허 받은 “cryptographic camouflage” 기술을 통한 비밀키 보호− 하드웨어의 도움 없는 “brute force” attack 방어
— 개인키(Private Key) 이동의 불필요
— man-in-the-middle 공격에 방어
— 이전과 동일한 인증 context 제공− 사용자는 이전과 동일한 username/password
interface을 사용
— Works on PC, Mac, iPads, phones, PDAs
— NIST level 3 (Govt. high security rating)
적용방안 – ArcotID (demo URL TBD)
15 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
UserID:
Password:
User Authentication
rjones
*********
1
3
45
6
2 71. 사용자가 online application( Login)에접근
2. WebFort 서버로부터 Application으로 challenge
(Random String) 전달
3. Application은 challenge을받고이를사용자에게전달
4. 사용자는 userID / password 을입력하라고하는로그인페이지에해당정보를넣고 ENTER
5. 패스워드는미리가지고있는 ArcotID 와결합하여challenge를전자서명 (password는전송되지않고ArcotID와결합하는데사용)
6. 서명된 challenge를 application에전송
7. Application은전달받은서명된 challenge을 WebFort
서버에전달하여유효성검증 – 유효하다는결과가곧사용자인증
< Login 화면> 0
0. ArcotID 받기
• 본인확인방법 : OTP, SMS, QnA등
• ArcotID을저장하는방식
Hard disk나 USB 미디어 – 개인혹은업무용단말기에적합
메모리 - 공공 PC 등에서잠깐사용할때적합
<WebFort Server>
<본인확인화면>
ArcotOTP - Mobile Authentication Application
16 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
ArcotOTP Dynamic Password
Generator
− Mobile Device을 OTP 생성기로
사용
지원 OTP 방식
− HOTP – seed value based
− TOTP – time based
− EMV – EMV key based
smart phones 과 J2ME 지원
가능한 “dumb” phones 가능
transaction에 대한 디지털 서명
가능
− man-in-the-browser 공격에 대한방어
H/W based OTP token과 ArcotOTP 비교
17 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
OTP
H/W Token Software Token ArcotOTP
Low Cost
발급 비용 높다 (H/W로 구성) 낮다 (S/W로 구성) 낮다 (S/W로 구성)
배포 비용높다 (사용자 교육비용, 사용자등록을 위한 스텝 비용 및 H/W
배포에 대한 비용 발생)
중간(사용자 교육 비용)
중간(사용자 교육 비용)
유지보수 비용
높다(손상, 도난, 분실 등으로 인한대체 비용 및 H/W 재발급에 따른
Help Desk Call 필요)
낮음 (대체비용, Help desk call 비용불필요 혹은 감소)
낮음 (대체비용, Help desk call 비용불필요 혹은 감소)
TCO높다
(높은 발급, 배포 비용)낮다
(저렴한 구축, 발급, 배포 비용)낮다
(저렴한 구축, 발급, 배포 비용)
UserConvenient
사용자 편리성불편
(별도의 H/W Token 상시 지참, 주기적 교체 필요, 재발급 지연)
중간(기존 모바일 기기 사용)
중간(기존 모바일 기기 사용)
One token-Multi Account
불가능 불가능 가능
One solution – Multi Purp
ose 미지원 미지원 지원 (WebFort에 포함)
StrongSecurity
알고리즘 비공개 비공개 공개 (OATH – HOTP, TOTP, EMV 등)
Seed 보호보호 방법 비공개 그러나 seed 값 supply chain에서 보유
보호 방법 비공개 그러나 seed 값supply chain에서 보유
Seed 값 자체 사용자 단말기에만저장(cryptographic Camouflage 사
용)
취약점 대응 곤란 (offline replace) 용이 (온라인 업데이트) 용이 (온라인 업데이트)
적용방안 - ArcotOTP (http://otp.arcot.com/)
18 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Arcot WebFort
WebFort Server
ArcotOTPKey Container
ArcotOTPApp
1
2
3
4
5
6
사용자가온라인사이트( Login) 로그인수행
어플리케이션에서사용자의 passcode 입력요구
사용자는폰에서 ArcotOTP 앱(App)을구동시킨후, PIN을넣으
면 PIN의유효성여부판별없이 PIN과 Key를이용하여 pass-
code를생성하여폰에 표시한다.(기존의 OTP는 PIN의유효성
여부를판별하여 passcode를생성, brute force attack에취약
하지만 ArcotOTP는 Cryptograpic Camouflaged 방법제공)
사용자는온라인사이트로그인을위해 passcode를넣어준다.
passcode는인증서버로보내진다.
인증서버는인증및 권한사항을체크하여실행결과출력한다.
1
2
3
4
5
6
사용자는모바일기기혹은 PC에 OTP generator을 설치하고 activation 코드를 이메일, SMS 등을통해전달 받아 OTP generator을활성화함
0
0
< Login 화면>
CA Arcot RiskFort –Fraud Detection &
Adaptive Authentication
CA RiskFort
20 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
— 계층화된 보안을 통한 인증수단의 가치 증가
— 실시간 위험 분석 및 계량화를 통한 사기 적발 및 방지
— 위험한 transaction에 대한 동적인 강한 인증 수단 요구
— VPN, Web portals, SaaS, internal application 등등과 연동
Approve
Decline
Alert CSRAdditional
Q&A2nd Channel
RiskAssessment
User ID
Device ID
Location ID
Degree ofRisk
(Score)
BusinessRules
Risk Model,Historical
Data
Contextual Information
(Date, Tx Type, Amount)
Policies
User Profile/Preference
s
AnalyticsCase
Management
TruthData
What is RiskFort?
21 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
— Online 실시간 위험평가 엔진
—모든 transaction에 대하여 위험을 평가하여점수를 부여
—각각의 위험평가 요구에 대한 결과는− Risk Score : 0 (low) ~ 100 (high)로 평가
− Risk Action –Risk Score에 대하여 추천하는 대응 방안
• ALLOW, INCR_AUTH, ALERT, DENY
− Annotation – 위험평가에 대한 자세한 설명
— Java API / Web Services을 통한 손쉬운 통합− 주요 IAM 솔루션, VPN, 포털 솔루션과 통합
— Use Cases− CNP (Card Not Present) 거래
− 온라인 뱅킹 로그인
− 기타 포털 트랜잭션
RiskFort & WebFort을통한사기방지 Use Case
22 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
금융기관에서 제공하는 서비스를 웹을 통해 이용하기 위해 별도로 구비해야 되는 OTP(One Time Password)를 위치 추적이 가능한스마트폰으로 대체하여 복제 토큰 등을 통한 사기를 방지 가능
□ As is„
□ To be„ w/ Arcot
OTP단말 별도 구비 필요
OTP단말의 위치 확인이 되지 않아 본인이 OTP소지하고 있지 않아도 본인 인증 가능
OTP OTP로그인컴퓨터
로그인컴퓨터
OTP OTP로그인컴퓨터
로그인컴퓨터
스마트폰에 OTP어플을 설치하여 이용하기 때문에 OTP단말을 별도로 구비가 불 필요
스마트폰 위치 확인 기능을 이용하여 현재 로그인 위치와 스마트 위치를 비교하여 본인인증여부를 결정
A-OK Service : Arcot Authentication
Service as a Service
24 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
What is A-OK?
— Authenication 서비스를 SaaS로 제공
− Risk 기반 인증 및 2 FA 인증을 SaaS 서비스를 SaaS 형태로 제공
− 기업은 인증시스템 설치 및 관리할 필요 없음
− 서비스 시작을 위해 초기 서비스 구매 필요
— 지원 인증 수단
− Risk 기반 인증
− Two-factor authentication with the ArcotID (PKI)
− OTP via SMS, email, mobile phone
− Security Q&A
— Customer Value
− 사용자 인증 interface에 변화가 존재하지 않으면서 Strong
Authentication 구현
− 내부/외부 여러 application에 동일한 credential 사용
− 10년 이상 Cloud Authentication 서비스 제공
− 전세계적으로 150M Users, 20K Financial institutes, 300K Merchants가
사용
25 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Arcot A-OK Service Architecture
<인증수단> <위험평가>
3-D Secure Leadership
26 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Co-authored3-D Secure
Offering in all
3 DomainsACS (Issuer)
DS(Interoperability)MPI (Acquirer)
Serving 12,000 Banks & Financial Institutions
Chosen Vendor for
Chosen Vendor for Processors
27 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
Implementation of the SAML-based single sign-on (SSO) A-OK On-Demand Service
that logs users into Google Apps Premier Edition
https://www.google.com/enterprise/marketplace/viewListing?
productListingId=3656445+2511842832683697476&pli=1
CASE – Google Apps
28 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
CASE – salesforce.com
Implementation of the Salesforce.com single sign-on (SSO) delegated
authentication for the Arcot A-OK On-Demand Servicehttp://appexchange.salesforce.com/listingDetail?listingId=a0N300000016cYCEAY
Thank you.