I. ĐẶT VẤN ĐỀ
I.1 Xác thực danh tính trực tuyến
Trong thời đại bùng nổ các dịch vụ trên Internet như hiện nay, các tổ chức tài chính, ngân hàng, chứng khoán, bảo hiểm ngày càng cung cấp đa dạng các sản phẩm, dịch vụ trực tuyến của mình tới đông đảo khách hàng qua mạng Internet. Tuy vậy, bên cạnh những lợi ích mà các dịch vụ trực tuyến đem lại, các tổ chức tài chính phải đau đầu để tìm ra một giải pháp bảo mật tốt nhất và với chi phí hợp lý nhất mà vẫn bảo vệ được thông tin đăng kí của khách hàng khi họ tham gia vào các dịch vụ trực tuyến. Đây được coi là quyền lợi chính đáng của khách hàng và cũng là trách nhiệm không thể coi nhẹ của nhà cung cấp dịch vụ tài chính.
Một trong những thông tin quan trọng nhất của khách hàng để họ có thể truy cập dịch vụ và giao dịch tài chính là
Danh tính trực tuyến (Online Identity). Thông tin này được sử dụng để chứng thực một người đúng là khách hàng đã đăng kí với nhà cung cấp dịch vụ trước khi họ có thể truy cập và sử dụng bất cứ loại sản phẩm dịch vụ trực tuyến nào.Với mức độ quan trọng của Danh tính trực tuyến như vậy nên phần lớn các tấn công của Hacker đều nhằm vào việc là tìm cách để lấy cắp hoặc chiếm đoạt danh tính. Các tấn công có thể ở nhiều dạng như Phishing (hacker gửi một bức thư giả mạo nhà cung cấp để lừa khách hàng truy cập vào một Web site và từ đó khách hàng sẽ bị lộ thông tin cá nhân khi nhập các giá trị như Tên đăng nhập/Mật khẩu, Số tài khoản/Mật khẩu hoặc số thẻ tín dụng). Hoặc một số dạng tấn công khác như Brute force, Keylogger (Hacker ghi lại tất cả những gì khác hàng gõ lên bàn phím để từ đó lần ra mật khẩu, số tài khoản của họ). Thực tế cho thấy rằng các tấn công đánh cắp danh tính và hành vi lừa đảo trực tuyến đã thực sự gây lo ngại cho khách hàng và đã không ít lần gây là những tổn thất và hậu quả vô cùng nghiêm trọng cho những nhà cung cấp dịch vụ tài chính trực
tuyến.
Cho đến nay, hầu hết các ngân hàng, tổ chức tài chính, chứng khoán có các dịch vụ trực tuyến đã triển khai các hệ thống xác thực người dùng bằng UserName/Password được gọi là xác thực 1 yếu tố. Và họ cũng đã nhanh chóng nhận ra rằng các hệ thống xác thực 1 yếu tố đã không còn đủ mạnh để bảo vệ thông tin của khách hàng trước các tấn công ngày càng tinh vi của kẻ xấu. Bên cạnh đó, các yêu cầu về phát hiện, ngăn chặn những hành vi lừa đảo trực tuyến để giảm thiểu các rủi ro cho cả khách hàng và nhà cung cấp cũng đã được các tổ chức quản lý và giám sát hoạt động tài chính ép buộc phải thực thi.
Thực tế là hiện nay có rất nhiều công nghệ và phương pháp để xác thực danh tính trong giao dịch điện tử. Những phương pháp đó sử dụng mật khẩu, số định danh cá nhân, chứng chỉ số sử dụng PKI, các thiết bị bảo mật vật lý như Smart Card, mật khẩu dùng 1 lần (OTP), USB, yếu tố sinh trắc học để bảo vệ danh tính. Mức độ bảo mật phụ thuộc vào từng nhóm công nghệ và đối tượng hay những giao dịch cụ thể cần được bảo vệ. Tính đảm bảo của phương pháp xác thực dựa trên 3 yếu tố cơ bản sau:
1. Something a person knows: Thường được sử dụng là số PIN, mật khẩu
2. Something a person has: Được hiểu như các thiết bị vật lý: SmartCard, Token…
3. Something a person is: Được hiểu là những đặc tính sinh trắc học: Vân tay, mống mắt
Phương pháp xác thực nhiều yếu tố sẽ đảm bảo an toàn hơn phương pháp xác thực 1 yếu tố để chống lại nguy cơ lừa đảo. Sử dụng từ 2 yếu tố trở nên được gọi là Xác thực mạnh. Chi phí của việc đầu tư vào những hệ thống xác thực cũng tăng dần theo mức độ bảo mật của hệ thống. Mặc dù vậy, một hệ thống xác thực thành công không chỉ dựa vào yếu tố công nghệ mà còn phụ thuộc và rất nhiều những thành phần khác như: Các chính sách bảo mật, các hướng dẫn thực thi an toàn thông tin, khả năng quản lý và giám sát hệ thống. Và đặc biệt một hệ thống có hiệu quả thì phải được người dùng chấp nhận (tính dễ sử dụng/giá thành), đảm bảo tốt tính bảo
mật, tính mở rộng và tương thích với hệ thống ứng dụng hiện tại và tương lai.
I.2 Lựa chọn phương pháp xác thực phù hợp
Với sự bùng phát ngày càng tăng nguy cơ lừa đảo và mức độ rủi ro trong các giao dịch thương mại trực tuyến trên Internet, Hội đồng Kiểm toán Tài Chính Liên bang (FFIEC) được sự hỗ trợ của một loạt các ngân hàng hàng đầu trên thế giới đã soạn thảo một ấn phẩm vào năm 2001 có tên “Xác thực trong môi trường giao dịch ngân hàng điện tử, chứng khoán, bảo hiểm trực tuyến”. Mục tiêu của ấn phẩm này là để hướng dẫn thực thi những chính sách xác thực mạnh cho những tổ chức tài chính tham gia vào các dịch vụ và giao dịch điện tử. Nội dung của ấn phẩm đề cập đến những hậu quả khi mất cắp danh tính và các chỉ dẫn lựa chọn công nghệ xác thực mạnh phù hợp cho tổ chức tài chính:
“ Những kẻ lừa đảo đang khai thác điểm yểu bảo mật của khách hàng khi họ hoàn toàn tin tưởng và việc xác thực 1 yếu tố khi truy cập vào các dịch vụ trực tuyến của ngân hàng, chứng khoán, email và những website giao dịch điện tử. Các tổ chức tài chính nên cân nhắc từng yếu tố sau đề nâng cao tính đảm bảo cho các giao dịch trực tuyến chống lại nguy cơ đánh cắp danh tính:”
1. Nâng cấp hệ thống xác thực 1 yếu tố dựa trên Mật khẩu lên xác thực 2 yếu tố.
2. Sử dụng chương trình dò quét để xác định và ngăn chặn tấn công lừa đảo (phishing) lấy cấp thông tin nhạy cảm như mật khẩu, số thẻ tín dụng…
3. Đào tạo khách hàng để họ nhận thức thấu đáo về tính quan trọng và cần thiết của xác thực danh tính trong môi trường điện tử.
4. Nhấn mạnh tầm quan trọng trong việc chia sẻ thông tin và cộng tác giữa ngành công nghiệp dịch vụ tài chính, chính phủ với những nhà cung cấp công nghệ.
Trong bốn đề xuất ở trên, nếu chúng ta làm tốt được đề xuất thứ nhất thì khối lượng công việc được thực hiện trong đề xuất thứ 2 và thứ 3 được giảm đi rất nhiều.Theo hướng dẫn của FFIEC nhằm nâng tính bảo mật và đảm bảo tính khả thi khi đưa vào ứng dụng, xác thực 2 yếu tố là sự lựa chọn tối ưu cho các giao dịch và truy cập trực tuyến của ngành tài chính, ngân hàng, chứng khoán và bảo hiểm.
I.3 Xác thực 2 yếu tố
Xác thực 2 yếu tố (Two-factor authentication) là phương pháp xác thực yêu cầu 2 yếu tố phụ thuộc vào nhau để chứng minh tính đúng đắn của một danh tính. Xác thực 2 yếu tố dựa trên những thông tin mà người dùng biết (số PIN, mật khẩu) cùng với những gì mà người dùng có (SmartCard, USB, Token, Grid Card…) để chứng minh danh tính. Với hai yếu tố kết hợp đồng thời, tin tặc sẽ gặp rất nhiều khó khăn để đánh cắp đầy đủ các thông tin này. Nếu 1 trong 2 yếu tố bị đánh cắp cũng chưa đủ để tin tặc sử dụng. Phương pháp này đảm bảo an toàn hơn rất nhiều so với phương pháp xác thực truyền thống dựa trên 1 yếu tố là Mật khẩu/Số Pin.Ích lợi của việc chuyển từ hệ thống xác thực 1 yếu tố sang xác thực 2 yếu tố được mô tả như sau:
“ Hiếm khi trong lĩnh vực bảo mật, bạn chỉ cần làm một sự thay đổi mà có thể giải quyết được rất nhiều vấn đề liên quan tới điểm yếu bảo mật. Việc chuyển đổi sang hệ thống xác thực 2 yếu tố có khả năng giúp bạn làm được điều đó”
• Tấn công Phishing đã có những thành công nhất định trong việc đánh cắp Mật khẩu tĩnh của khách hàng. Nếu sử dụng xác thực 2 yếu tố thì việc đánh cắp mật khẩu tĩnh là vô nghĩa.
• Ắn cắp danh tính trong môi trường giao dịch trực tuyến sẽ trở lên khó khăn hơn khi danh tính đó được bảo vệ bằng 2 yếu tố thay vì 1 yếu tố (mật khẩu/số PIN) như trước đây.
• Trong giao dịch trực tuyến, tính chống từ chối và tính bí mật là một trong những yêu cầu cần thiết của khách hàng. Rất nhiều tổ chức tài chính đã sử dụng Chữ kí số được tạo ra từ hệ thống xác thực 2 yếu tố để đảm bảo cho các giao dịch.
• Xác thực 1 yếu tố trước đây mới chỉ đáp ứng được xác thực giữa nhà cung cấp dịch vụ với khách hàng mà không có khả năng ngược lại. Hệ thống xác thực 2 yếu tố sẽ giúp cho quá trình xác thực là tương tác 2 chiều, đảm bảo tối đa tính an toàn cho các giao dịch trực tuyến.
• Cuối cùng, cân nhắc tới việc giải thoát người dùng khỏi việc phải nhớ rất nhiều mật khẩu, phải nhớ thay đổi mật khẩu theo định kì và rất nhiều rắc rối khác khi chúng ta quên chúng. Một số dạng của xác thực 2 yếu tố có khả năng giúp ta thực hiện điều đó.
Đứng trước nhu cầu đó, rất nhiều công ty bảo mật đã phối hợp cùng các ngân hàng, tổ chức tài chính để phát triển những giải pháp, sản phẩm để bảo vệ thông tin có liên quan tới các hoạt động giao dịch trực tuyến. Công ty Entrust, công ty phần mềm chuyên trong lĩnh vực bảo mật và mã hoá thông tin, đã là một trong các công ty hiếm hoi trên thế giới giúp cho các ngân hàng đáp ứng được đầy đủ yêu cầu về bảo vệ danh tính và chống lại các hành vi lừa đảo trực tuyến. Bên cạnh đó, giải pháp bảo mật của Entrust đã được đánh giá là có chi phí đầu tư thấp nhất so với các giải pháp của một số hãng như RSA Security, Aladdin, ActiveCard, VASCO… và đặc biệt rất phù hợp cho triển khai với số lượng người dùng lớn như trong lĩnh vực ngân hàng, chứng khoán.
Dưới đây là đánh giá của Công ty Forrester Research (www.forrester.com), một công ty toàn cầu chuyên nghiên cứu thị trường và đánh giá các sản phẩm công nghệ
Điều gì đã làm nên sự thành công của Entrust, đó là Entrust đã nhanh chóng cung cấp các giải pháp bảo mật đáp ứng kịp thời các yêu cầu cụ thể cho những tổ chức tài chính, ngân hàng, chứng khoán trong việc bảo vệ thông tin khi giao dịch trực tuyến. Đặc biệt, giải pháp của Entrust có mức chi phí đầu tư tối ưu và dễ sử dụng nhất khi triển khai cho số lượng người dùng rất lớn là những khách hàng đang sử dụng các dịch vụ ngân hàng, tài chính, chứng khoán, bảo hiểm, …
Công ty Entrust đưa ra 2 bộ sản phẩm phần mềm Strong Authentication Platform và eFraud Detection để giải quyết 2 vấn đề:
• Xác thực mạnh 2 yếu tố để bảo vệ danh tính trực tuyến.
• Giám sát và ngăn chặn các hình thức lừa đảo trực tuyến để giảm thiểu rủi ro cho các giao dịch.
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh 2 yếu tố trong bộ giải pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng dịch vụ tài chính, chứng khoán trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí đầu tư triển khai.
II. ENTRUST IDENTITYGUARD – XÁC THỰC MẠNH 2 YẾU TỐ
II.1 Xác thực mạnh kết hợp nhiều phương pháp
Entrust IdentityGuard là một sản phẩm phần mềm xác thực mạnh trong bộ giải pháp của Entrust được cấp bằng phát minh và đã giành được nhiều giải thưởng có uy tín trong lĩnh vực CNTT, bảo mật. Phần mềm này được coi là phần mềm nền tảng cho nhiều phương pháp xác thực mạnh có khả năng kết hợp với nhau nhằm vào đối tượng là khách hàng và doanh nghiệp sử dụng dịch vụ tài chính trực tuyến. Entrust IdentityGuard hỗ trợ xác thực mạnh theo phân lớp cho từng nhóm đối tượng khách hàng hoặc cho từng loại giao dịch trong khi không làm gia tăng chi phí đầu tư triển khai.
Hình dưới đây mô tả được phần nào cái nhìn tổng quan về các tính năng và ích lợi của phần mềm Entrust IdentityGuard.
Có thể coi Entrust IdentityGuard là giải pháp phần mềm duy nhất hiện nay trên thế giới có khả năng kết hợp được nhiều phương pháp xác thực đồng thời trong cùng một phần mềm. Các phương pháp xác thực của Entrust IdentityGuard không những cho phép nhà cung cấp dịch vụ xác thực mạnh người dùng, mà còn giúp cho khách hàng có thể kiểm tra tính chân thật của các Web site trước khi họ nhập các thông tin cá nhân. Chính vì các khả năng đó, Entrust IdentityGuard đã nâng mức độ đảm bảo của giải pháp vượt xa các giải pháp xác thực hiện có trên thị trường, trong khi chi phí đầu tư không phát sinh và đặc biệt là rất phù hợp khi triển khai với số lượng người sử dụng lớn cho nhiều đối tượng khách hàng.Entrust IdentityGuard có thể cung cấp hai loại xác thực đồng thời là:
• Các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ.
• Các phương pháp xác thực 2 chiều giúp người dùng có thể kiểm tra tính chân thật của các Web site dịch vụ trực tuyến.Chúng ta sẽ đi sâu hơn vào từng loại xác thực, đầu tiên là các phương pháp xác thực mạnh người dùng khi truy cập dịch vụ. Entrust hỗ trợ 6 lựa chọn phương pháp xác thực có thể thực hiện riêng lẻ hoặc kết hợp đồng thời, bao gồm:
• Xác thực người dùng bằng ma trận lưới ngẫu nhiên. Mỗi khách hàng sẽ được cấp một thẻ bảo mật trên đó in một ma trận hàng/cột với các giá trị trong các ô là chữ hoặc số ngẫu nhiên. Mỗi lần xác thực, khách hàng sẽ phải nhập một số giá trị trong ma trận theo các toạ độ, ví dụ A2, C4, F3 của ứng dụng yêu cầu. Các yêu cầu toạ độ này được thay đổi sau mỗi lần xác thực thành công và thay đổi ngẫu nhiên sao cho các giá trị mật khẩu là không bao giờ trùng nhau. Khách hàng sẽ tra trên thẻ bảo mật của mình sở hữu để nhập các giá trị tương ứng theo toạ độ được yêu cầu.
Kích thước hàng/cột của ma trận và độ dài của mật khẩu cho mỗi lần xác thực có thể thay đổi để phù hợp với từng chính sách bảo mật cụ thể. Với một ma trận hàng cột kích thước 5x10, và độ dài của mật khẩu là 3, khách hàng có thể dùng đến 19,600 mật khẩu động không trùng nhau. Ma trận hàng/cột có thể được in trên các thẻ ATM và được phát cho khách hàng.
• Xác thực người dùng bằng One-Time-Password Tokens: Entrust IdentityGuard cho phép các khách hàng sử dụng Entrust OTP Tokens (hoặc Vasco OTP Token – Token của hãng Vasco – www.vasco.com) để xác thực dựa trên mật khẩu động được tạo ra từ Token mà không phải mua thêm bất cứ phần mềm xử lý nào bổ sung.
• Xác thực theo thông tin cấu hình của các thiết bị cá nhân: Entrust IdentityGuard hỗ trợ xác thực dựa trên những thông tin cấu hình của các thiết bị như PC, Notebook, Server cho lần đầu tiên khi truy cập tới dịch vụ. Khi đó các thông tin cấu hình sẽ được lưu giữ trên Server xác thực và các lần sau đó khách hàng khi sử dụng thiết bị cá nhân đã đăng kí của mình sẽ không phải xác thực lại.
• Xác thực thông qua gửi OTP bằng SMS tới thiết bị mobile: Đây là một phương pháp tương đối phổ biến trong các giao dịch điện tử. Trước khi khách hàng xác nhận thực hiện một giao dịch, ví dụ như chuyển tiền…, hệ thống sẽ tạo ra một dãy chữ số và gửi tới số mobile của khách hàng đã đăng kí trước đó bằng một tin nhắn SMS. Sau khi nhận được, khách hàng sẽ nhập dãy số đó cùng với giao dịch để đảm bảo việc chuyển tiền đúng là của khách hàng.Phương pháp này giảm thiểu rủi ro khi khách hàng bị hacker chiếm quyền điều khiển.
• Xác thực dựa trên các thông tin cá nhân: Phương pháp này giúp các ứng dụng kiểm tra tính đúng đắn của khách hàng bằng những câu hỏi, câu trả lời mà khách hàng đã đăng kí với nhà cung cấp dịch vụ. Đây là thông tin cá nhân bí mật mà chỉ có khách hàng và nhà cung cấp mới có thể biết.
• Xác thực bằng số PIN tạm thời: Phương pháp xác thực này được sử dụng trong trường hợp khách hàng quên không mang thẻ lưới (phương pháp xác thực bằng thẻ lưới). Khi đó khách hàng có thể sử dụng một số PIN tạm thời để sử dụng. Số PIN tạm thời này có thể được sử dụng lại nhiều lần trong một khoảng thời gian do hệ thống xác thực đặt trước (ví dụ thời gian sử dụng số PIN tạm thời là 1 ngày). Số PIN tạm thời này cũng sẽ tự động hết hiệu lực sử dụng ngay khi khách hàng sử dụng lại thẻ lưới.
II.2 Xác thực mạnh 2 chiều chống Phishing, Pharming
Trong các dịch vụ trực tuyến, nhà cung cấp dịch vụ thường sử dụng cơ chế xác thực để đảm bảo tính đúng đắn về danh tính của khách hàng. Đối với giao dịch trực tuyến, xác thực một chiều đối với khách hàng là chưa đủ. Khách hàng cũng cần phải biết chắc chắn là nhà cung cấp dịch vụ mà họ đang giao dịch là đúng và không bị giả mạo. Để giải quyết được vấn đề này, Entrust IdentityGuard cung cấp một phương thức xác thực tính đúng đắn của website hoặc ứng dụng mà nhà cung cấp dịch vụ bằng cách đưa ra các thông tin để người dùng xác nhận đó là những thông tin mà chỉ có khách hàng và nhà cung cấp dịch vụ biết. Những thông tin này có thể là:
• Số Serial của thẻ lưới mà khách hàng đang sở hữu.
• Số Serial của thẻ cùng với một số các giá trị ngẫu nhiên trong ma trận thẻ lưới. Nếu các thông tin của Web site trả về hoàn toàn khớp với thông tin trên thẻ bảo mật, khách hàng có thể yên tâm về tính chân thực của Web site.
• Những thông điệp bí mật/hình ảnh đặc trưng mà chỉ có khách hàng và nhà cung cấp dịch vụ biết. Khách hàng phải cung cấp các thông tin này khi đăng kí sử dụng dịch vụ cả nhà cung cấp.
II.3 Khả năng tích hợp của Entrust IdentityGuard
Entrust IdentityGuard là một phần mềm Server cung cấp các dịch vụ xác thực để tích hợp vào các nhóm ứng dụng sau:
• Nhóm các ứng dụng truy cập từ xa (Remote Access, SSL VPN) qua RADIUS Protocol
• Nhóm các ứng dụng Windows (Windows Login, Outlook Web Access, Internet Authentication Services)
• Nhóm các ứng dụng Web qua các hàm API cho Java, C#, (.NET)
Hình dưới là mô hình tổng quát triển khai Entrust IdentityGuard
Chúng ta có thể thấy với một thành phần xác thực Server tập trung có thể quản lý và xử lý xác thực cho rất nhiều ứng dụng, phương tiện xác thực đồng thời. Entrust IdentityGuard Server được cài đặt trên Server, quản lý và xác thực tập trung cho 3 nhóm ứng dụng của các tổ chức tài chính và ngân hàng. Các ứng dụng truy cập từ xa hoặc nhóm ứng dụng trên Windows sẽ được cấu hình để chuyển các yêu cầu xác thực tới Entrust IdentityGuard Server. Đối với các ứng dụng Web, lập trình viên hoặc các nhà phát triển sẽ sử dụng các API do Entrust cung cấp để thực hiện chức năng xác thực và truy vấn thông tin trong Entrust IdentityGuard Server thông qua Web services.
Danh sách các phần mềm, thiết bị đã hỗ trợ tích hợp Entrust IdentityGuard
Về phía người sử dụng, mỗi khách hàng sẽ được phát thẻ bảo mật hoặc Token…và các phương tiện đó là duy nhất với mỗi người để sử dụng cho mỗi lần truy cập. Không một phần mềm nào được cài thêm trên các máy tính của khách hàng.
II.3.1 Mô hình tích hợp Entrust IdentityGuard cho công ty Chứng khoán
Việc tích hợp Entrust IdentityGuard cho công ty Chứng khoán chính là tích hợp vào các dịch vụ (ứng dụng Web) mà công ty Chứng khoán cung cấp tới Nhà đầu tư thông qua mạng Internet. Trong mô hình này, chúng tôi đưa ra ba phương pháp xác thực mà Entrust IdentityGuard hỗ trợ. Những phương pháp này dễ dàng trong việc tích hợp cho các lập trình viên, tăng mức độ bảo mật cho các dịch và thuận tiện cho Nhà đầu tư khi sử dụng. Đó là:
• Xác thực bằng thẻ lưới áp dụng cho quá trình đăng nhập vào Web site của công ty Chứng khoán.
• Xác thực bằng OTP Token (sử dụng Entrust OTP Token hoặc Vasco OTP Token Go6) áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua và bán Cổ phiếu) qua Internet.
• Xác thực bằng OTP gửi bằng tin nhắn SMS tới thiết bị mobile (điện thoại di động) của Nhà đầu tư áp dụng cho dịch vụ giao dịch chứng khoán (dịch vụ mua và bán Cổ phiếu) qua Internet.
Tùy thuộc vào qui mô của từng công ty Chứng khoán, mức độ rủi ro của từng dịch vụ mà công ty Chứng khoán có thể triển khai phương pháp xác thực thẻ lưới + OTP Token hoặc thẻ lưới + OTP gửi qua SMS hoặc cả ba phương pháp.
Các thành phần trong mô hình
• Nhà đầu tư: Nhà đầu tư có thể sử dụng các phương pháp xác thực thẻ lưới, OTP Token, OTP gửi bằng SMS để xác thực trước khi sử dụng một dịch vụ nào đó của công ty Chứng khoán.
• Nhà cung cấp dịch vụ:
o Gửi nhận tin nhắn SMS: có trách nhiệm gửi và nhận tin nhắn giữa Nhà đầu tư và công ty Chứng khoán.
o Internet: nơi đặt máy chủ Web của công ty Chứng khoán.
• Công ty Chứng khoán: nơi cung cấp các dịch vụ về chứng khoán cho Nhà đầu tư qua mạng Internet, mạng di động,…
o Máy chủ dịch vụ: cung cấp các dịch vụ giá trị gia tăng như: vấn tin, xem bảng giá, giao dịch chứng khoán, tư vấn,…
o Hệ thống core chứng khoán: là hệ thống phần mềm chuyên dụng trong lĩnh vực chứng khoán.
o Máy chủ xác thực: hệ thống này có trách nhiệm xác thực Nhà đầu tư trước khi họ tham ra vào một dịch vụ nào đó của công ty Chứng khoán.
II.3.2 Qui trình xử lý thông tin trong các phương pháp xác thực
Entrust IdentityGuard đóng vai trò tích hợp bổ sung yếu tố xác thực thứ 2 vào các ứng dụng cần xác thực mạnh. Đối với mỗi loại ứng dụng sẽ có những cơ chế tích hợp khác nhau. Đối với ứng dụng Web việc tích hợp sẽ thông qua các Web Services và hàm API xác thực của IdentityGuard cung cấp. Các lập trình viên sẽ customize bổ sung xác thực mạnh mà không làm thay đổi đến cấu trúc của ứng dụng. Sau khi đã tích hợp thành công, cơ chế làm việc sẽ như sau:
Qui trình sử dụng thẻ lưới khi đăng nhập vào Web site của công ty Chứng khoán:
• Nhà đầu tư sử dụng trình duyệt Web (FireFox hoặc IE) truy cập vào Web site của công ty Chứng khoán (được host trên Máy chủ Web), họ sẽ được ứng dụng yêu cầu nhập Mã tài khoản/Mật khẩu.
• Thông tin về Mã tài khoản/Mật khẩu được gửi về Máy chủ dịch vụ. Tại đây, dịch vụ xác thực có chức năng kiểm tra tính chính xác của thông tin này. Nếu Mã tài khoản/Mật khẩu của Nhà đầu tư là chính xác, dịch vụ xác thực sẽ gửi Mã tài khoản tới Máy chủ xác thực.
• Máy chủ xác thực sẽ sinh ra các câu hỏi về thẻ lưới tương ứng với Mã tài khoản nhận được và gửi câu hỏi về Máy chủ dịch vụ.
• Máy chủ dịch vụ sẽ chuyển câu hỏi tới máy chủ Web.
• Máy chủ Web sẽ thể hiện các câu hỏi đó trên màn hình ứng dụng (Ví dụ: [A1], [D3], [J3]). Việc ứng dụng đưa ra các giá trị này chính là việc ứng dụng của công ty Chứng khoán đang xác thực Nhà đầu tư
• Nhà đầu tư, trước khi trả lời những câu hỏi đó, họ cần phải xác thực lại ứng dụng của công ty Chứng khoán có phải là ứng dụng thật hay không bằng cách kiểm tra số serial trên thẻ lưới của mình với số serial trên màn hình ứng dụng. Nếu chúng giống nhau thì đó chính là ứng dụng thật được cung cấp bởi công ty Chứng khoán.
Khi đó Nhà đầu tư sẽ nhập giá trị tọa độ tương ứng. (Ví dụ: [A1]=P, [D3]=8, [J3]=9).
• Câu trả lời của Nhà đâu tư sẽ được chuyển tới Máy chủ xác thực. Sau khi kiểm tra, Máy chủ xác thực sẽ trả lại kết quả tới Nhà đầu tư thông qua Máy chủ dịch vụ và Máy chủ Web.
• Nếu kết quả kiểm tra đúng thì Nhà đầu tư sẽ đăng nhập thành công và có thể sử dụng các dịch vụ của công ty Chứng khoán (ví dụ: vấn tin tài khoản, thông tin về các công ty niêm yết cổ phiếu,…). Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và nguyên nhân sai.
Qui trình sử dụng OTP Token khi đặt lệnh qua Web của công ty Chứng khoán:
• Trước khi sử dụng dịch vụ đặt lênh qua Web, Nhà đầu tư đã phải đăng nhập thành công vào Web site của công ty Chứng khoán.
• Nhà đầu tư nhập các thông tin cần thiết trong giao dịch đặt lệnh.
• Các thông tin này sẽ được gửi tới Máy chủ dịch vụ. Tại đây, dịch vụ đặt lệnh sẽ kiểm tra tính hợp lệ của các thông tin đó. Nếu các thông tin đều hợp lệ, Máy chủ dịch vụ sẽ gửi Mã tài khoản tới Máy chủ xác thực.
• Máy chủ xác thực sẽ lấy ra số serial Token tương ứng với Mã tài khoản và gửi tới Máy chủ dịch vụ.
• Máy chủ dịch vụ sẽ gửi thông tin này tới máy chủ Web.
• Máy chủ Web sẽ hiển thị số serial Token trên màn hình. Và yêu cầu nhà đầu tư nhập số OTP Token vào ô Số OTP Token• Nhà đầu tư sẽ kiểm tra số serial Token trên màn hình với Token của mình. Nếu chúng giống nhau. Nhà đầu tư sẽ bấm vào nút ở mặt trước Token để lấy số OTP.
• Nhà đầu tư nhập số OTP đó vào ô Số OTP Token trên màn hình.
• Giá trị này sẽ được gửi về Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra.
• Nếu kết quả kiểm tra đúng thì thông tin về phiên giao dịch đó sẽ được chuyển tới hệ thống core chứng khoán để xử lý. Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và nguyên nhân sai.
Qui trình sử dụng OTP gửi bằng SMS khi đặt lệnh qua Web của công ty Chứng khoán:
• Trước khi sử dụng dịch vụ đặt lênh qua Web, Nhà đầu tư đã phải đăng nhập thành công vào Web site của công ty Chứng khoán. Nhà đầu tư phải đăng kí số di động cho công ty Chứng khoán.
• Nhà đầu tư nhập các thông tin cần thiết trong giao dịch đặt lệnh.
• Các thông tin này sẽ được gửi tới Máy chủ dịch vụ. Tại đây, dịch vụ đặt lệnh sẽ kiểm tra tính hợp lệ của các thông tin đó. Nếu các thông tin đều hợp lệ, Máy chủ dịch vụ sẽ gửi yêu cầu nhập số OTP gửi bằng SMS tới Máy chủ Web.
• Máy chủ Web sẽ đưa ra một giao diện Web, yêu cầu Nhà đầu tư nhập số OTP gửi bằng SMS. Và một nút Sinh OTP có chức năng sinh ra OTP gửi tới mobile phone của Nhà đầu tư.
• Nếu Nhà đầu tư chưa nhận được số OTP cho phiên giao dịch đó, họ bấm nút sinh OTP để lấy số OTP sẽ được gửi tới mobile phone của họ từ công ty Chứng khoán.
• Khi Nhà đầu tư bấm nút sinh OTP, yêu cầu này sẽ được gửi tới Máy chủ dịch vụ.
• Tại đây, dịch vụ xác thực sẽ gửi Mã tài khoản và yêu cầu đó tới Máy chủ xác thực. Máy chủ xác thực sẽ sinh ra một số OTP (thời hạn sử dụng, độ dài số OTP này được hệ thống xác thực thiết lập từ đầu ví dụ: thời hạn sử dụng là 5 phút, độ dài là 4 kí tự) và gửi tới Máy chủ dịch vụ.
• Tại Máy chủ dịch vụ, số OTP này sẽ được dịch vụ gửi tin nhắn SMS gửi tới nhà cung cấp dịch vụ SMS. Qua SMS Gateway, mạng di động, số OTP này sẽ tới mobile phone của Nhà đầu tư. Đồng thời dịch vụ xác thực cũng gửi yêu cầu tới máy chủ Web yêu câu Nhà đầu tư nhập số OTP đó vào ô Số OTP gửi qua SMS
• Nhà đầu tư sau khi nhận được số OTP dưới dạng một tin nhắn SMS sẽ nhập giá trị đó
vào ô Số OTP gửi qua SMS
• Giá trị này sẽ được gửi về Máy chủ xác thực thông qua Máy chủ dịch vụ để kiểm tra.
• Nếu kết quả kiểm tra đúng thì thông tin về phiên giao dịch đó sẽ được chuyển tới hệ thống core chứng khoán để xử lý. Nếu sai thì Nhà đầu tư sẽ nhận được thông báo và nguyên nhân sai.
Entrust IdentityGuard đóng vai trò tích hợp yếu tố xác thực thứ 2 để đưa hệ thống xác thực hiện có trở thành xác thực mạnh 2 yếu tố.
II.4 Các thành phần chính trong IdentityGuard Server
Entrust IdentityGuard Server chạy trên Server cài hệ điều hành Microsoft Windows Server 2003 hoặc RedHat Linux Advance Server 3.0 trở lên. Cơ sở dữ liệu sử dụng để lưu trữ các thông tin xác thực tuân theo các chuẩn LDAP như MS Active Directory hoặc DBMS như Oracle, IBM DB2 hoặc MS SQL 2000 Server. Tích hợp vào các ứng dụng phát triển được thực hiện thông qua các Web service và hàm API cho ngôn ngữ Java, C# .NET.
Với khả năng tương thích như vậy, Entrust IdentityGuard dễ dàng áp dụng triển khai vào các mô hình ứng dụng CNTT của tổ chức tài chính, chứng khoán và ngân hàng hiện nay.
Hình dưới mô tả các thành phần chính trong Entrust IdentityGuard Server bao gồm
Một số đặc điểm kĩ thuật của Entrust Token (AT Token):
• Tạo Mật khẩu dùng một lần (OTP) theo chuẩn DES (Data Encrytion Standard) và 3DES (triple DES).
• OTP được tạo theo yếu tố thời gian, sự kiện hoặc tổ hợp cả thời gian và sự kiện. Đảm bảo tính duy nhất của mật khẩu.
• Thời gian thay đổi mật khẩu 60s.
• Thời gian sử dụng Token từ 6 năm
• Mật khẩu OTP có độ dài là 8 kí tự số và được hiện thị trên màn hình LCD của thiết bị.
• Độc lập với hệ thống máy tính. Loại bỏ các nguy cơ bị phá hoại từ các hệ thống máy tính
• Trọng lượng rất nhỏ, 25 grams bao gồm cả pin. Kích thước 45 : 38 :11 mm (L:W:H)
• Thiết kế một nút bấm
• Trọng lượng và hình thức phù hợp với việc phải sử dụng thường xuyên và có khả năng mang bên mình như có thể dễ dàng đeo vào cổ, chùm chìa khoá.
• Có khả năng chống nước (độ sâu 1 mét).
Một số đặc điểm kĩ thuật của Vasco Token (Go6):
• Tạo Mật khẩu dùng một lần (OTP) theo chuẩn DES (Data Encrytion Standard), 3DES (triple DES) và AES
• OTP được tạo theo yếu tố thời gian có thể thiết lập theo yêu cầu của công ty Chứng khoán (từ 8s đến vài giờ, mặc định là 36s).
• Thời gian sử dụng 7 năm.
• Màn hình LCD hiển thị 8 kí tự số
• Độc lập với hệ thống máy tính. Loại bỏ các nguy cơ bị phá hoại từ các hệ thống máy tính
• Trọng lượng 14gram, Kích thước 62,7 : 25,9 : 9,8 mm (L:W:H)
• Thiết kế một nút bấm
• Trọng lượng và hình thức phù hợp với việc phải sử dụng thường xuyên và có khả năng mang bên mình như có thể dễ dàng đeo vào cổ, chùm chìa khoá
• Có khả năng chống nước (độ sâu 1 mét).
• Có khả năng chịu rơi (độ cao 1 mét).
II.5 Lập kế hoach triển khai Entrust IdentityGuard
II.5.1 Các công việc cần xem xét và thực thi
Trước khi lựa chọn mô hình triển khai phù hợp cho xác thực mạnh 2 yếu tố của Entrust IdentityGuard, chúng ta cần phải xem xét tới những yêu cầu thực tế của hệ thống như:
• Đánh giá mức độ quan trọng của các ứng dụng để cân bằng chi phí đầu tư.
• Xác định loại ứng dụng nào mà Entrust IdentityGuard sẽ bảo vệ?
o Ứng dụng Web.
o Truy cập Windows.
o Ứng dụng truy cập từ xa.
• Hạ tầng CNTT hiện có của tổ chức:
o Hạ tầng các thiết bị phần cứng, mạng.
o Các phần mềm ứng dụng hiện có, cơ sở dữ liệu…
• Số lượng người dùng cần quản lý cho các truy cập?
• Sử dụng mô hình phân phối thẻ bảo mật nào tới khách hàng? Entrust IdentityGuard hỗ trợ 2 mô hình cấp phát thẻ sau:
o Mô hình sản xuất thẻ trước khi khách hàng đăng kí.
o Mô hình cung cấp thẻ theo yêu cầu đăng kí của khách hàng.
• Xác định mô hình in ấn và bảo mật thẻ.
Thực thi:
• Xây dựng chính sách bảo mật và các hướng dẫn cụ thể để thực thi chính sách
o Những chích sách về bảo mật, xác thực.
o Hướng dẫn cụ thể những vấn đề về bảo mật đối với thẻ Entrust IdentityGuard
+ Sử dụng giao thức trao đổi dữ liệu nào khi giao dịch.
+ Kích thước của ma trân in trên thẻ là bao nhiêu. Độ lớn của mật khẩu như thế nào, số lần nhập sai mật khẩu tối đa là bao nhiêu.…
• Hướng dẫn cụ thể các yêu cầu kĩ thuật khi vận hành hệ thống
o Phân tách các nhóm máy PC, máy tính.
o Sử dụng máy chủ sao lưu dự phòng, máy chủ chia tải…
o Xây dựng hệ thống mạng (LAN, Intranet, VPN, Internet) đáp ứng yêu cầu của ứng dụng.
• Quản trị
o Có kế hoạch kiểm tra người dùng đến thời hạn phải thay thế thẻ.
o Rà soát các dữ liệu thẻ, người dùng không tồn tại trong quản lý của dịch vụ..
o Quản lý và cấp những số PIN tạm thời cho khách hàng truy cập dịch vụ khi
không có thẻ…
• Lập kế hoạch phân bổ con người.
o Nhóm quản trị hệ thống.
o Nhóm quản trị Cơ sở dữ liệu.
o Nhóm phát triển phần mềm (Lập trình trên Java, C#, .NET)
o Nhóm triển khai và hỗ trợ khách hàng.
• Từng bước triển khai thử nghiệm hệ thống.
III. DỰ TOÁN KINH PHÍ
Dự toán tổng kinh phí để triển khai và vận hành hệ thống xác thực mạnh Entrust IdentityGuard sẽ phụ thuộc vào các yếu tố sau:
• Loại ứng dụng nào sẽ được tích hợp xác thực
o Ứng dụng Web: Tích hợp Xác thực mạnh vào Code của ứng dụng
o Truy cập từ xa: VPN
o Login Windows…
Loại tích hợp vào ứng dụng Web yêu cầu phải có đội ngũ phát triển ứng dụng, họ sẽ sử dụng các Web Serivce và hàm API cho Java, C#, .NET của Entrust để thực hiện các công đoạn yêu cầu xác thực 2 yếu tố và xử lý những dữ liệu người dùng nhập.
Sau đó xác định ra phiên bản IdentityGuard Server nào sẽ được mua.
• Phương tiện xác thực nào sẽ được sử dụng. Nếu là sử dụng thẻ bảo mật thì các chi phí sau sẽ được cân nhắc:
o Chi phí các dịch vụ in ấn thẻ bảo mật
o Chi phí thay thế và cấp mới thẻ• Nếu phương tiện là các One-Time-Password Token. Chi phí sẽ phụ thuộc vào số
lượng Token dự kiến sẽ sử dụng.
• Ngoài ra còn một số các chi phí khác, cụ thể bao gồm:
o Chi phí tư vấn và xây dựng các chính sách bảo mật trong quá trình vận hành và sử dụng các phương tiện xác thực mạnh.
o Chi phí triển khai, cài đặt và thiết lập các chính sách bảo mật vào hệ thống.
o Chi phí đào tạo quản trị và hướng dẫn sử dụng
o Chi phí về phát triển tích hợp Xác thực mạnh vào code của các ứng dụng Web.
o Chi phí hỗ trợ trực tiếp của hãng được tính theo định kì hàng năm.
Đối với các dịch vụ ngân hàng trực tuyến như Internet Banking hoặc trong lĩnh vực chứng khoán, quá trình tích hợp xác thực mạnh sẽ bao gồm các công việc đầu tư như sau:
• Mua Entrust IdentityGuard Server for Consumer: Tính theo License Server
• Mua License cho từng users
• Xác định chi phí tích hợp Xác thực mạnh vào Code của ứng dụng Web: Dùng Java, C#, .NET
• Chi phí mua OTP Token nếu có yêu cầu.
• Chi phí in ấn thẻ ban đầu.
• Các chi phí dịch vụ hỗ trợ triển khai, đào tạo
IV. KẾT LUẬN
Sự phát triển nhanh chóng của các dịch vụ trực tuyến cũng như các giao dịch thương mại điện tử luôn kéo theo nguy cơ mất cắp thông tin và rủi ro trong giao dịch cho khách hàng và nhà cung cấp dịch vụ. Các hình thức tấn công, lừa đảo đánh cắp danh tính trực tuyến trên Internet ngày càng trở nên phong phú và tính vi dưới sự hỗ trợ của máy móc và công nghệ. Để bảo vệ quyền lợi cũng như giá trị tài sản của khách hàng, các nhà cung cấp dịch vụ tài chính sẽ phải thực thi những chính sách an toàn thông tin trước khi cung cấp dịch vụ tới khách hàng. Yêu cầu về xác thực trong các giao dịch điện tử cũng nằm trong những vấn đề cần ưu tiên hàng đầu.Ngày nay, xác thực 1 yếu tố đã trở nên không đảm bảo để chống lại những tấn công, giả mạo ăn cắp thông tin trực tuyến. Xác thực dựa trên 3 yếu tố thì đảm bảo tối đa tính bảo mật nhưng chi phí đầu tư vào các hệ thống này là rất cao. Trong khi đó, xác thức 2 yếu tố ngày càng trở nên phổ biến và được sử dụng rộng rãi do đảm bảo được tính bảo mật cùng với chi phí đầu tư phù hợp. Entrust IdentityGuard được coi là sự lựa chọn tối ưu khi xây dựng hệ thống xác thực mạnh 2 yếu tố cho các giao dịch thương mại trực tuyến.
Entrust IdentityGuard đảm bảo tính an toàn để chống lại các tấn công ăn cắp danh tính trực tuyến. Hỗ trợ xác thực mạnh cho cả phía khách hàng và nhà cung cấp dịch vụ. Có khả năng mở rộng, tích hợp cao, dễ sử dụng và với chi phí hợp lý. Cùng với công nghệ và chất lượng dịch vụ, Entrust và các sản phẩm bảo mật của mình đảm
bảo sẽ cung cấp những giải pháp tốt nhất để cho giao dịch thương mại điện tử trực tuyến.Hiện nay, Công ty Entrust đang hợp tác với nhà cung cấp các giải pháp bảo mật hàng đầu của Việt Nam là Công ty Phát triển Phần mềm và Hỗ trợ Công nghệ - MISOFT để cung cấp dịch vụ tư vấn, giải pháp cũng như sản phẩm xác thực tới Ngân hàng, tổ chức tài chính, chứng khoán và doanh nghiệp ở Việt Nam
Thứ Bảy, 23 tháng 10, 2010
Giải pháp xác thực mạnh 2 yếu tố cho các dịch vụ trực tuyến trên Internet
Đăng ký:
Đăng Nhận xét (Atom)
Không có nhận xét nào:
Đăng nhận xét