close

Вход

Забыли?

вход по аккаунту

Аутентификационный центр

код для вставкиСкачать
Аутентификационный центр
Созданный компанией КРОК аутентификационный центр предназначен для унификации процессов
аутентификации фронтальных прикладных систем дистанционного обслуживания клиентов крупного банка.
Цели и задачи проекта

значительное повышение защищенности операционной деятельности клиентов от мошеннических
угроз и рисков, связанных с хищением их идентификационных данных;

снижение издержек на разбор конфликтных ситуаций, связанных с операциями клиентов;

получение конкурентных преимуществ;

уменьшение затрат на администрирование технических средств, участвующих в процессе
аутентификации клиентов банка в системах дистанционного обслуживания;

ликвидация функциональной нагрузки на приложения банка, связанной с аутентификацией
клиентов и подтверждением операционной деятельности.
Подробнее о решении
Для достижения целей проекта компания КРОК сформировала:

унифицированный набор механизмов аутентификации и подтверждения финансовых операций
клиентов для фронтальных прикладных систем дистанционного банковского обслуживания (ДБО);

механизмы двухфакторной аутентификации и подтверждения транзакций, основанной на смарткартах стандарта EMV;

централизованное хранение учетных записей клиентов ДБО;

технические средства, обеспечивающие выполнение разбора возможных конфликтных ситуаций.
Масштабы проекта
Аутентификационный центр создан для обслуживания не менее 10 миллионов пользователей и
обеспечивает до 50 транзакций в секунду при средней нагрузке и до 100 транзакций в секунду при пиковых
нагрузках.
В рамках проекта аутентификационный центр интегрирован со следующими прикладными системами
банка:

Телебанк;

система интерактивного голосового меню (IVR);

Банк-клиент онлайн;

Инвест-банк (перспективное направление развития);

внешний интернет-портал (перспективное направление развития);

электронные банковские терминалы (перспективное направление развития).
Структура решения
Аутентификационный центр представляет собой набор инфраструктурных подсистем, предназначенных
для использования прикладными системами.
Центр имеет машинные интерфейсы, доступные для серверов прикладных систем по протоколу SOAP, и
интерфейсы администраторов, доступные по протоколу HTTPS.
Прямое обращение пользователей к интерфейсам аутентификационного центра не предусмотрено.
Компоненты системы:

аутентификационный сервис;

сервер аутентификации;

сервер баз данных;

аппаратный модуль шифрования;

аппаратный балансировщик нагрузки.
Общая логическая схема аутентификационного центра
Аутентификационный центр
Аутентификационный сервис —
разработка компании КРОК
Сервер аутентификации на
основе VASCO IDENTIKEY Server
Аутентификация на основе OTP-кода
Набор методов по аутентификации и
подтверждению транзакций
Аутентификация на основе схемы
Challenge-Response
Подтверждение транзакции на основе
OTP
Подтверждение транзакции на основе
схемы Challenge-Response
Набор методов по администрированию
аутентификационного центра
Подтверждение транзакции на основе
схемы MAC
Администрирование сервера
аутентификации
СУБД под управлением MS SQL
Server 2008
БД сервера аутентификации:
 учетные записи пользователей
 учетные записи устройств
аутентификации
 конфигурация сервера
аутентификации
 журнал событий аутентификации и
подтверждения транзакций
БД аудита системы:
 записи о подключениях
администраторов системы
 записи о произошедших изменениях
в конфигурации и хранимых данных
системы
SafeNet HSM
ProtectServer External
Выполнение криптографических
операций в защищенном исполнении
Аутентификационный сервис предназначен для обеспечения интеграции сервера аутентификации со
смежными системами и реализует необходимую логику аутентификации и сопровождения системы.
Аутентификационный сервис — программное решение, разработанное компанией КРОК, представляющее
собой Java-приложение под сервер приложений.
Программное обеспечение аутентификационного сервиса размещается на выделенных серверах под
управлением Red Hat Enterprise Linux 5 64 bit и управляется сервером приложений Tomcat 6.
Сервер аутентификации — основной компонент аутентификационного центра, управляющий учетными
данными пользователей и устройств аутентификации. Он обеспечивает реализацию двухфакторных
механизмов аутентификации и подтверждения транзакций на основе EMV-карт.
Сервер баз данных предназначен для хранения информации о конфигурации сервера аутентификации,
учетных данных пользователей и устройств аутентификации системы, журнала операций по
аутентификации и подтверждению транзакций, журнала изменений в системе.
Архитектура решения предполагает разделение всей хранимой информации по базам данных: БД аудита и
БД сервера аутентификации. В качестве СУБД для серверов баз данных используется Microsoft SQL Server
2008 Enterprise Edition.
Аппаратный модуль шифрования предназначен для хранения секретных ключей, на основе которых
происходит шифрование содержимого базы данных сервера аутентификации. Модуль также обеспечивает
выполнение внутри собственной защищенной среды криптографических операций по аутентификации и
подтверждению транзакций пользователей. В качестве аппаратного модуля шифрования используется
устройство HSM SafeNet ProtectServer Gold pl220.
Внешний аппаратный балансировщик нагрузки предназначен для распределения запросов к серверами
аутентификационного сервиса и серверами аутентификации. Балансировка нагрузки запросов
аутентификации и подтверждения транзакций выполняется равномерно между серверами
Аутентификационный сервис
Аутентификационный сервис — точка доступа для прикладных систем банка.
Общая схема взаимодействия компонентов решения
Система централизованного
хранения информации о клиентах
«CIF»
Определение доступных
пользователю прикладных систем
JMS, Sonic ESB
Процессинговая система «Profile»
JMS, Sonic ESB
Определение статуса
смарт-карт
Аутентификационный сервис —
разработка компании КРОК
Аутентификационный центр
СУБД под управлением MS SQL
Server 2008
Сервер аутентификации на основе
VASCO IDENTIKEY Server
Выполнение административных задач
TDS
База данных сервера аутентификации
s
Системы дистанционного
Системы дистанционного
банковского
Системы обслуживания
дистанционного
банковского
обслуживания
банковского обслуживания
SOAP
Аутентификационные
запросы
Набор методов по аутентификации и
подтверждению транзакций
Набор методов для аутентификации по
SMS
SQL
запросы
SOAP
Аутентиф. и
администр.
запросы
JDBC
SQL
запросы
Верификация операций пользователей
по аутентификации и подтверждению
транзакций
PKCS#11
Запросы на проверку
аутентиф. операций
База данных событий аудита
База данных реестра паролей
SafeNet HSM
ProtectServer External
PKCS#11
Запросы на
получение
случайных чисел
Набор методов по администрированию
аутентификационного центра
JMS, Sonic ESB
Выполнение криптографических
операций в защищенном исполнении
Генерация случайных чисел
Административные
запросы
Система автоматизации бизнеспроцессов на основе
Lombardi TeamWorks
Отказоустойчивость
Отказоустойчивость решения обеспечивается резервированием всех его компонентов, благодаря чему
выход из строя отдельных компонентов системы не влияет на ее работоспособность в целом. Для
предотвращения потери информации в случае нарушения целостности баз данных или дисковых массивов
серверного оборудования осуществляется дополнительное резервное копирование.
Катастрофоустойчивость решения обеспечивается за счет размещения его компонентов на полностью
дублированном оборудовании.
1/--страниц
Пожаловаться на содержимое документа