More Related Content Similar to 110527 CA (20) 110527 CA1. Mobile & Cloud 환경
인증강화 솔루션 –
CA Arcot
”
Sangwon Cho, Solution Strategist
May 27, 2011
2. Challenge in Authentication Space – Mobile & Cloud
보안 협업에 대한 요구
증가
Cloud Apps/Platforms
& Web Services
Partner
User
SaaS Apps
SaaS Apps
Customer & Web Services
& Web Services
임직원이 통제가
곤란한 외부에서
내부 시스템을 사용
사용해야 하는
Mobile Applications이 기업의
employee 경계를 벗어난 외부로
이동
Enterprise
Apps
Internal
Employee
컴플라이언스, 보안정책, 및 프로세스의 준수가
분산화되고 클라우드화된 환경에서 더욱 곤란
2 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
3. Authentication – Starting Point for Access Control
control control control
identitie access information
s
1. Authentication 2. Access Rights
“Who are You” “What you can Access”
(Front door) (Where you can go)
3 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
4. Strong Authentication
Mobile & Cloud 환경의
도입에 따라 강한 인증
수단의 필요성은 인식하나,
보안강화를 위해 비용 및
사용자 편의성에 대한
피해를 최소화할 수 있는
방법을 찾아야 한다.
Cost Convenience Security
Challenge
4 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
5. CA Arcot Solution
CA Arcot WebFort &
RiskFort은 위험기반
강한 인증 서비스를
통하여 보안강화는 물론
비용 및 사용자 저항
문제까지 해결
Cost Convenience Security
Challenge
5 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
7. We hope you like it, Arcot
전 세계 Visa 카드
전문 인증 솔루션 회사
거래의 78% 인증을
(2010년 CA Technologies사가
담당
합병)
~ 100% 재계약율
35 개의 인증
관련 특허
5억 명의 사용자가
사용 > 10억 transactions
Cloud Computing 리더
200,000 온라인
상인
13,000 고객사
7
8. Visit ca.com/kr
8 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
10. What is WebFort? – Versatile Authentication Server
WebFort Versatile Authentication Server
Authentication Methods
OTP- • LDAP
CAP/ Callou • Mainframe
Q&A OATH SMS, • Other
DPA t
Email Proprietary
• Policies Authentication Notifications,
• Business Rules Engine Alerts, Reports
• Configurations
Authentication Interfaces
Challenge/ Custom
SAML RADIUS OpenID
Response Response
10 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
11. ArcotID - PKI Challenge
“Since the invention of public key cryptography 25
years ago, people have been struggling to secure the
private key without the assistance of hardware.
Arcot’s innovative Cryptographic Camouflage* has solved
Dr. Martin this problem. Finally there is a cost-effective and
E.Hellman
Professor Emeritus convenient means to strongly authenticate users and
Stanford University transactions over the internet without the need for
Inventor of PKI
cumbersome hardware * patent 7,170,058
“Perhaps one of the weakest links in accessing
important internet assets is a strong tie between the
user and the areas they have the right to access. The
use of a simple user name-password mechanism is truly a
Dr. Taher Elgamal weak link.
PhD – Stanford
Inventor of SSL What is unique about Arcot’s approach is that it is
while at Netscape
both strong and people friendly.
11 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
12. Cryptographic Camouflage
●
●
Standard X^b19(#h7CD39J5 복호화 과정에서 올바른 키의
획득 여부를 판단 할 수 있음.
Software 156g*%k75¤ »y5B$
Key Brute Force
Library Attack 17fn;hff43LqqkH 따라서 키 컨테이너를 획득할
Container 수 있다면, 패스워드
◊≠xVI39#T114ke 크랙툴로 비밀키를 획득할 수
Protected Key:
6 digit PIN, 1E459FC479C3B41 있음.
1 million results
1E459FC479C3B41 hKDU&$g752NJHVD
1djfHBD7549hgd1
●
●
● 복호화 과정에서 키의
Patented “Cryptographic Camouflage” ●
● 정확성에 대하여 결정하여
1CE59A451B257C1 주지 않음.
ArcotID 1DC1A4596B79B21 정확한 키의 확인 방법은
Software 159CA7C8439BA31 인증서버에 인증 절차를
Key Brute Force 통하여 판단할 수 있음.
Library Attack
1A964942B5AC5B1
Container 1E459FC479C3B41 올바른 키로 인증 절차가
진행되지 않는다면, 불법적인
Protected Key:
6 digit PIN, 17675ABC59DE371 접근시도에 대한 카운터를
1 million results
1E459FC479C3B41 1996C2A7EF64DA1 증가시키고, 일정수준 이상일
● 경우 해당 사용자 계정을 잠금.
●
●
12 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
13. 다양한 Client 종류 지원
- Flash client(Flash player) - Internet Explorer
- Java Applet - Firefox
- Native(ActiveX 등) - Chrome
- Adobe Reader/Adobe Acrobat - etc
13 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
14. CA ArcotID Overview
— 소프트웨어로 구현된 안전한 2FA(two-
factor) 인증방식
— 특허 받은 “cryptographic camouflage”
기술을 통한 비밀키 보호
− 하드웨어의 도움 없는 “brute force” attack
방어
— 개인키(Private Key) 이동의 불필요
— man-in-the-middle 공격에 방어
— 이전과 동일한 인증 context 제공
− 사용자는 이전과 동일한 username/password
interface을 사용
— Works on PC, Mac, iPads, phones, PDAs
— NIST level 3 (Govt. high security rating)
14 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
15. 적용방안 – ArcotID (demo URL TBD)
0. ArcotID 받기
<본인 확인 화면>
• 본인확인 방법 : OTP, SMS, QnA 등
0 < Login 화면>
• ArcotID을 저장하는 방식
Hard disk나 USB 미디어 – 개인 혹은 업무용 단말기에
적합
메모리 - 공공 PC 등에서 잠깐 사용할 때 적합
1. 사용자가 online application( Login)에 접근
2 7
2. WebFort 서버로부터 Application으로 challenge 3
(Random String) 전달 1
3. Application은 challenge을 받고 이를 사용자에게
전달
6
4. 사용자는 userID / password 을 입력하라고 하는
<WebFort Server>
로그인 페이지에 해당 정보를 넣고 ENTER
5. 패스워드는 미리 가지고 있는 ArcotID 와 결합하여 5 4
challenge를 전자 서명 (password는 전송되지 않고 User Authentication
ArcotID와 결합하는데 사용)
UserID: rjones
6. 서명된 challenge를 application에 전송
7. Application은 전달 받은 서명된 challenge을 WebFort Password: *********
서버에 전달하여 유효성 검증 – 유효하다는
결과가 곧 사용자 인증
15 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
16. ArcotOTP - Mobile Authentication Application
ArcotOTP Dynamic Password
Generator
− Mobile Device을 OTP 생성기로
사용
지원 OTP 방식
− HOTP – seed value based
− TOTP – time based
− EMV – EMV key based
smart phones 과 J2ME 지원
가능한 “dumb” phones 가능
transaction에 대한 디지털 서명
가능
− man-in-the-browser 공격에 대한
방어
16 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
17. H/W based OTP token과 ArcotOTP 비교
OTP
H/W Token Software Token ArcotOTP
발급 비용 높다 (H/W로 구성) 낮다 (S/W로 구성) 낮다 (S/W로 구성)
높다 (사용자 교육비용, 사용자
중간 중간
배포 비용 등록을 위한 스텝 비용 및 H/W
(사용자 교육 비용) (사용자 교육 비용)
배포에 대한 비용 발생)
Low 높다
낮음 (대체비용, Help desk call
Cost (손상, 도난, 분실 등으로 인한 낮음 (대체비용, Help desk call
유지보수 비용 비용불필요 혹은 감소)
대체 비용 및 H/W 재발급에 따른 비용불필요 혹은 감소)
Help Desk Call 필요)
높다 낮다 낮다
TCO
(높은 발급, 배포 비용) (저렴한 구축, 발급, 배포 비용) (저렴한 구축, 발급, 배포 비용)
불편
중간 중간
사용자 편리성 (별도의 H/W Token 상시 지참,
(기존 모바일 기기 사용) (기존 모바일 기기 사용)
주기적 교체 필요, 재발급 지연)
User
One token-
Conveni 불가능 불가능 가능
Multi Account
ent
One solution
– Multi Purp 미지원 미지원 지원 (WebFort에 포함)
ose
알고리즘 비공개 비공개 공개 (OATH – HOTP, TOTP, EMV 등)
Seed 값 자체 사용자 단말기에만
Strong 보호 방법 비공개 그러나 seed 보호 방법 비공개 그러나 seed 값
Seed 보호 저장(cryptographic Camouflage 사
Security 값 supply chain에서 보유 supply chain에서 보유
용)
취약점 대응 곤란 (offline replace) 용이 (온라인 업데이트) 용이 (온라인 업데이트)
17 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
18. 적용방안 - ArcotOTP (http://otp.arcot.com/)
< Login 화면>
Arcot WebFort
5
6
4 WebFort Server
2
1 ArcotOTP
3 1 사용자가 온라인 사이트( Login) 로그인 수행
Key Container
2 어플리케이션에서 사용자의 passcode 입력 요구
3 사용자는 폰에서 ArcotOTP 앱(App)을 구동시킨후, PIN을 넣으
0 ArcotOTP 면 PIN의 유효성 여부 판별없이 PIN과 Key를 이용하여 pass-
App code를 생성하여 폰에 표시한다.(기존의 OTP는 PIN의 유효성
여부를 판별하여 passcode를 생성, brute force attack에 취약
하지만 ArcotOTP는 Cryptograpic Camouflaged 방법 제공)
4 사용자는 온라인 사이트 로그인을 위해 passcode를 넣어준다.
0 사용자는 모바일 기기 혹은 PC에 OTP 5 passcode는 인증서버로 보내진다.
generator을 설치하고 activation 코드를 이메일,
SMS 등을 통해 전달 받아 OTP generator을 6 인증서버는 인증 및 권한 사항을 체크하여 실행결과 출력한다.
활성화함
18 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
20. CA RiskFort
Truth
Data
Risk Model,
Case
Historical Analytics
Management
Data
Polici
es
Approve
User ID
Alert CSR
Risk Degree of
Business Additional
Device ID Assessment Risk Q&A
Rules
Location (Score) 2nd Channel
ID Decline
User
Contextual Profile/
Information Preference
(Date, Tx Type, s
Amount)
— 계층화된 보안을 통한 인증수단의 가치 증가
— 실시간 위험 분석 및 계량화를 통한 사기 적발 및 방지
— 위험한 transaction에 대한 동적인 강한 인증 수단 요구
— VPN, Web portals, SaaS, internal application 등등과 연동
20 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
21. What is RiskFort?
— Online 실시간 위험평가 엔진
— 모든 transaction에 대하여 위험을 평가하여
점수를 부여
— 각각의 위험평가 요구에 대한 결과는
− Risk Score : 0 (low) ~ 100 (high)로 평가
− Risk Action –Risk Score에 대하여 추천하는 대응 방안
• ALLOW, INCR_AUTH, ALERT, DENY
− Annotation – 위험평가에 대한 자세한 설명
— Java API / Web Services을 통한 손쉬운 통합
− 주요 IAM 솔루션, VPN, 포털 솔루션과 통합
— Use Cases
− CNP (Card Not Present) 거래
− 온라인 뱅킹 로그인
− 기타 포털 트랜잭션
21 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
22. RiskFort & WebFort을 통한 사기방지 Use Case
금융기관에서 제공하는 서비스를 웹을 통해 이용하기 위해 별도로 구비해야 되는 OTP(One Time Password)를 위치 추적이 가능한
스마트폰으로 대체하여 복제 토큰 등을 통한 사기를 방지 가능
□ As is„
로그인
OTP 컴퓨터 OTP
로그인
컴퓨터
OTP단말 별도 구비 필요
OTP단말의 위치 확인이 되지 않아 본인이 OTP소지하고 있지 않아도 본인 인증 가능
□ To be„ w/ Arcot
로그인
OTP 컴퓨터 OTP
로그인
컴퓨터
스마트폰에 OTP어플을 설치하여 이용하기 때문에 OTP단말을 별도로 구비가 불 필요
스마트폰 위치 확인 기능을 이용하여 현재 로그인 위치와 스마트 위치를 비교하여 본인인증여부를 결정
22 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
24. What is A-OK?
— Authenication 서비스를 SaaS로 제공
− Risk 기반 인증 및 2 FA 인증을 SaaS 서비스를 SaaS 형태로 제공
− 기업은 인증시스템 설치 및 관리할 필요 없음
− 서비스 시작을 위해 초기 서비스 구매 필요
— 지원 인증 수단
− Risk 기반 인증
− Two-factor authentication with the ArcotID (PKI)
− OTP via SMS, email, mobile phone
− Security Q&A
— Customer Value
− 사용자 인증 interface에 변화가 존재하지 않으면서 Strong
Authentication 구현
− 내부/외부 여러 application에 동일한 credential 사용
− 10년 이상 Cloud Authentication 서비스 제공
24 전세계적으로 150M Users,Copyright ©2011 CA. All rights institutes, 300K Merchants가
− Arcot A-OK Service from CA Technologies 20K Financial reserved.
25. Arcot A-OK Service Architecture
<인증수단> <위험평가>
25 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
26. 3-D Secure Leadership
Co-authored Chosen Vendor
3-D Secure for
Serving 12,000 Banks
& Financial
Institutions
Chosen Vendor
Offering in for Processors
all
3 Domains
ACS (Issuer)
DS
(Interoperability)
MPI (Acquirer)
26 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
27. CASE – Google Apps
Implementation of the SAML-based single sign-on (SSO) A-OK On-Demand Service
that logs users into Google Apps Premier Edition
https://www.google.com/enterprise/marketplace/viewListing?
productListingId=3656445+2511842832683697476&pli=1
27 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.
28. CASE – salesforce.com
Implementation of the Salesforce.com single sign-on (SSO) delegated
authentication for the Arcot A-OK On-Demand Service
http://appexchange.salesforce.com/listingDetail?listingId=a0N300000016cYCEAY
28 Arcot A-OK Service from CA Technologies Copyright ©2011 CA. All rights reserved.