110527 ca

Mobile & Cloud 환경인증강화솔루션 –CA Arcot”

May 27, 2011

Sangwon Cho, Solution Strategist

Challenge in Authentication Space – Mobile & Cloud

2 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.

사용해야 하는Applications이 기업의경계를 벗어난 외부로이동

임직원이 통제가곤란한 외부에서내부 시스템을 사용

보안 협업에 대한 요구증가

컴플라이언스, 보안정책, 및 프로세스의 준수가분산화되고 클라우드화된 환경에서 더욱 곤란

SaaS Apps& Web Services

Partner User

Customer

Mobile employee

Internal Employee

EnterpriseApps

Cloud Apps/Platforms& Web Services

SaaS Apps& Web Services

http://www.terinea.co.uk/blogs/terineatechtips/wp-content/uploads/2007/07/image45.png

http://images.google.com/imgres?imgurl=http://blog.protectwebform.com/images/microsoft_logo.jpg&imgrefurl=http://blog.protectwebform.com/p/category/ocr&usg=__QAcezF51rme7VC65VTQcoL_ZK54=&h=360&w=450&sz=35&hl=en&start=1&um=1&tbnid=MiRo0V9oQGxE8M:&tbnh=102&tbnw=127&prev=/images?q=Microsoft&hl=en&rlz=1T4GGIH_enUS278US278&um=1

Authentication – Starting Point for Access Control


controlidentitie

s

controlaccess

controlinformation

1. Authentication“Who are You”

2. Access Rights“What you can Access”

(Where you can go)(Front door)

Strong Authentication


Challenge

ConvenienceCost Security

Mobile & Cloud 환경의도입에 따라 강한 인증수단의 필요성은 인식하나, 보안강화를 위해 비용 및사용자 편의성에 대한피해를 최소화할 수 있는방법을 찾아야 한다.

CA Arcot Solution


Challenge

ConvenienceCost Security

CA Arcot WebFort & RiskFort은 위험기반강한 인증 서비스를통하여 보안강화는 물론비용 및 사용자 저항문제까지 해결

Who is Arcot?

We hope you like it, Arcot

13,000 고객사

5억 명의 사용자가사용

전 세계 Visa 카드거래의 78% 인증을담당

200,000 온라인상인

> 10억 transactions

35 개의 인증관련 특허

전문 인증 솔루션 회사

(2010년 CA Technologies사가

합병)~ 100% 재계약율

Cloud Computing 리더

7

Visit ca.com/kr


CA Arcot WebFort –versatile Authentication

Server

What is WebFort? – Versatile Authentication Server


WebFort Versatile Authentication Server

Authentication Methods

Authentication Interfaces

OpenIDSAMLChallenge/Response

RADIUSCustom

Response

• LDAP• Mainframe• Other Proprietary

Q&A OATHOTP-SMS,Email

CAP/DPA

Callout

AuthenticationEngine

• Policies• Business Rules• Configurations

Notifications,Alerts, Reports

ArcotID - PKI Challenge


“Since the invention of public key cryptography 25 years ago, people have been struggling to secure the private key without the assistance of hardware.

Arcot’s innovative Cryptographic Camouflage* has solved this problem. Finally there is a cost-effective and convenient means to strongly authenticate users and transactions over the internet without the need for cumbersome hardware * patent 7,170,058

Dr. Martin E.HellmanProfessor EmeritusStanford UniversityInventor of PKI

Dr. Taher ElgamalPhD – StanfordInventor of SSL while at Netscape

“Perhaps one of the weakest links in accessing important internet assets is a strong tie between the user and the areas they have the right to access. The use of a simple user name-password mechanism is truly a weak link.

What is unique about Arcot’s approach is that it is both strong and people friendly.

Cryptographic Camouflage


X^b19(#h7CD39J5156g*%k75¤ »y5B$17fn;hff43LqqkH◊≠xVI39#T\114ke1E459FC479C3B41hKDU&$g752NJHVD1djfHBD7549hgd1

●●

X^b19(#h7CD39J5156g*%k75¤ »y5B$17fn;hff43LqqkH◊≠xVI39#T\114ke1E459FC479C3B41hKDU&$g752NJHVD1djfHBD7549hgd1

1CE59A451B257C11DC1A4596B79B21159CA7C8439BA311A964942B5AC5B11E459FC479C3B4117675ABC59DE3711996C2A7EF64DA1

1CE59A451B257C11DC1A4596B79B21159CA7C8439BA311A964942B5AC5B11E459FC479C3B4117675ABC59DE3711996C2A7EF64DA1

StandardSoftware

KeyContainer

●●

●●●

●●●

Brute ForceLibrary Attack

Brute ForceLibrary Attack

ArcotIDSoftware

KeyContainer

6 digit PIN,1 million results

6 digit PIN,1 million results

복호화 과정에서 키의정확성에 대하여 결정하여주지 않음.

정확한 키의 확인 방법은인증서버에 인증 절차를통하여 판단할 수 있음.

올바른 키로 인증 절차가진행되지 않는다면, 불법적인접근시도에 대한 카운터를증가시키고, 일정수준 이상일경우 해당 사용자 계정을 잠금.

Protected Key:

1E459FC479C3B41

Protected Key:

1E459FC479C3B41

1E459FC479C3B41

Patented “Cryptographic Camouflage”

복호화 과정에서 올바른 키의획득 여부를 판단 할 수 있음.

따라서 키 컨테이너를 획득할수 있다면, 패스워드크랙툴로 비밀키를 획득할 수있음.

다양한 Client 종류지원


- Flash client(Flash player)- Java Applet- Native(ActiveX 등)- Adobe Reader/Adobe Acrobat

- Internet Explorer - Firefox - Chrome - etc

CA ArcotID Overview


— 소프트웨어로 구현된 안전한 2FA(two-factor) 인증방식

— 특허 받은 “cryptographic camouflage” 기술을 통한 비밀키 보호− 하드웨어의 도움 없는 “brute force” attack 방어

— 개인키(Private Key) 이동의 불필요

— man-in-the-middle 공격에 방어

— 이전과 동일한 인증 context 제공− 사용자는 이전과 동일한 username/password

interface을 사용

— Works on PC, Mac, iPads, phones, PDAs

— NIST level 3 (Govt. high security rating)

적용방안 – ArcotID (demo URL TBD)


UserID:

Password:

User Authentication

rjones

*********

1

3

45

6

2 71. 사용자가 online application( Login)에접근

2. WebFort 서버로부터 Application으로 challenge

(Random String) 전달

3. Application은 challenge을받고이를사용자에게전달

4. 사용자는 userID / password 을입력하라고하는로그인페이지에해당정보를넣고 ENTER

5. 패스워드는미리가지고있는 ArcotID 와결합하여challenge를전자서명 (password는전송되지않고ArcotID와결합하는데사용)

6. 서명된 challenge를 application에전송

7. Application은전달받은서명된 challenge을 WebFort

서버에전달하여유효성검증 – 유효하다는결과가곧사용자인증

< Login 화면> 0

0. ArcotID 받기

• 본인확인방법 : OTP, SMS, QnA등

• ArcotID을저장하는방식

Hard disk나 USB 미디어 – 개인혹은업무용단말기에적합

메모리 - 공공 PC 등에서잠깐사용할때적합

<WebFort Server>

<본인확인화면>

ArcotOTP - Mobile Authentication Application


ArcotOTP Dynamic Password

Generator

− Mobile Device을 OTP 생성기로

사용

지원 OTP 방식

− HOTP – seed value based

− TOTP – time based

− EMV – EMV key based

smart phones 과 J2ME 지원

가능한 “dumb” phones 가능

transaction에 대한 디지털 서명

가능

− man-in-the-browser 공격에 대한방어

H/W based OTP token과 ArcotOTP 비교


OTP

H/W Token Software Token ArcotOTP

Low Cost

발급 비용 높다 (H/W로 구성) 낮다 (S/W로 구성) 낮다 (S/W로 구성)

배포 비용높다 (사용자 교육비용, 사용자등록을 위한 스텝 비용 및 H/W

배포에 대한 비용 발생)

중간(사용자 교육 비용)

중간(사용자 교육 비용)

유지보수 비용

높다(손상, 도난, 분실 등으로 인한대체 비용 및 H/W 재발급에 따른

Help Desk Call 필요)

낮음 (대체비용, Help desk call 비용불필요 혹은 감소)

낮음 (대체비용, Help desk call 비용불필요 혹은 감소)

TCO높다

(높은 발급, 배포 비용)낮다

(저렴한 구축, 발급, 배포 비용)낮다

(저렴한 구축, 발급, 배포 비용)

UserConvenient

사용자 편리성불편

(별도의 H/W Token 상시 지참, 주기적 교체 필요, 재발급 지연)

중간(기존 모바일 기기 사용)

중간(기존 모바일 기기 사용)

One token-Multi Account

불가능 불가능 가능

One solution – Multi Purp

ose 미지원 미지원 지원 (WebFort에 포함)

StrongSecurity

알고리즘 비공개 비공개 공개 (OATH – HOTP, TOTP, EMV 등)

Seed 보호보호 방법 비공개 그러나 seed 값 supply chain에서 보유

보호 방법 비공개 그러나 seed 값supply chain에서 보유

Seed 값 자체 사용자 단말기에만저장(cryptographic Camouflage 사

용)

취약점 대응 곤란 (offline replace) 용이 (온라인 업데이트) 용이 (온라인 업데이트)

적용방안 - ArcotOTP (http://otp.arcot.com/)


Arcot WebFort

WebFort Server

ArcotOTPKey Container

ArcotOTPApp

1

2

3

4

5

6

사용자가온라인사이트( Login) 로그인수행

어플리케이션에서사용자의 passcode 입력요구

사용자는폰에서 ArcotOTP 앱(App)을구동시킨후, PIN을넣으

면 PIN의유효성여부판별없이 PIN과 Key를이용하여 pass-

code를생성하여폰에 표시한다.(기존의 OTP는 PIN의유효성

여부를판별하여 passcode를생성, brute force attack에취약

하지만 ArcotOTP는 Cryptograpic Camouflaged 방법제공)

사용자는온라인사이트로그인을위해 passcode를넣어준다.

passcode는인증서버로보내진다.

인증서버는인증및 권한사항을체크하여실행결과출력한다.

1

2

3

4

5

6

사용자는모바일기기혹은 PC에 OTP generator을 설치하고 activation 코드를 이메일, SMS 등을통해전달 받아 OTP generator을활성화함

0

0

< Login 화면>

http://otp.arcot.com/

CA Arcot RiskFort –Fraud Detection &

Adaptive Authentication

CA RiskFort


— 계층화된 보안을 통한 인증수단의 가치 증가

— 실시간 위험 분석 및 계량화를 통한 사기 적발 및 방지

— 위험한 transaction에 대한 동적인 강한 인증 수단 요구

— VPN, Web portals, SaaS, internal application 등등과 연동

Approve

Decline

Alert CSRAdditional

Q&A2nd Channel

RiskAssessment

User ID

Device ID

Location ID

Degree ofRisk

(Score)

BusinessRules

Risk Model,Historical

Data

Contextual Information

(Date, Tx Type, Amount)

Policies

User Profile/Preference

s

AnalyticsCase

Management

TruthData

What is RiskFort?


— Online 실시간 위험평가 엔진

—모든 transaction에 대하여 위험을 평가하여점수를 부여

—각각의 위험평가 요구에 대한 결과는− Risk Score : 0 (low) ~ 100 (high)로 평가

− Risk Action –Risk Score에 대하여 추천하는 대응 방안

• ALLOW, INCR_AUTH, ALERT, DENY

− Annotation – 위험평가에 대한 자세한 설명

— Java API / Web Services을 통한 손쉬운 통합− 주요 IAM 솔루션, VPN, 포털 솔루션과 통합

— Use Cases− CNP (Card Not Present) 거래

− 온라인 뱅킹 로그인

− 기타 포털 트랜잭션

RiskFort & WebFort을통한사기방지 Use Case


금융기관에서 제공하는 서비스를 웹을 통해 이용하기 위해 별도로 구비해야 되는 OTP(One Time Password)를 위치 추적이 가능한스마트폰으로 대체하여 복제 토큰 등을 통한 사기를 방지 가능

□ As is„

□ To be„ w/ Arcot

OTP단말 별도 구비 필요

OTP단말의 위치 확인이 되지 않아 본인이 OTP소지하고 있지 않아도 본인 인증 가능

OTP OTP로그인컴퓨터

로그인컴퓨터

OTP OTP로그인컴퓨터

로그인컴퓨터

스마트폰에 OTP어플을 설치하여 이용하기 때문에 OTP단말을 별도로 구비가 불 필요

스마트폰 위치 확인 기능을 이용하여 현재 로그인 위치와 스마트 위치를 비교하여 본인인증여부를 결정

A-OK Service : Arcot Authentication

Service as a Service


What is A-OK?

— Authenication 서비스를 SaaS로 제공

− Risk 기반 인증 및 2 FA 인증을 SaaS 서비스를 SaaS 형태로 제공

− 기업은 인증시스템 설치 및 관리할 필요 없음

− 서비스 시작을 위해 초기 서비스 구매 필요

— 지원 인증 수단

− Risk 기반 인증

− Two-factor authentication with the ArcotID (PKI)

− OTP via SMS, email, mobile phone

− Security Q&A

— Customer Value

− 사용자 인증 interface에 변화가 존재하지 않으면서 Strong

Authentication 구현

− 내부/외부 여러 application에 동일한 credential 사용

− 10년 이상 Cloud Authentication 서비스 제공

− 전세계적으로 150M Users, 20K Financial institutes, 300K Merchants가

사용


Arcot A-OK Service Architecture

<인증수단> <위험평가>

3-D Secure Leadership


Co-authored3-D Secure

Offering in all

3 DomainsACS (Issuer)

DS(Interoperability)MPI (Acquirer)

Serving 12,000 Banks & Financial Institutions

Chosen Vendor for

Chosen Vendor for Processors


Implementation of the SAML-based single sign-on (SSO) A-OK On-Demand Service

that logs users into Google Apps Premier Edition

https://www.google.com/enterprise/marketplace/viewListing?

productListingId=3656445+2511842832683697476&pli=1

CASE – Google Apps

https://www.google.com/enterprise/marketplace/viewListing?productListingId=3656445+2511842832683697476&pli=1




CASE – salesforce.com

Implementation of the Salesforce.com single sign-on (SSO) delegated

authentication for the Arcot A-OK On-Demand Servicehttp://appexchange.salesforce.com/listingDetail?listingId=a0N300000016cYCEAY

http://appexchange.salesforce.com/listingDetail?listingId=a0N300000016cYCEAY

Thank you.

110527 ca

Education