AUTENTIZAČNÍ SERVER CASE BEZPEČNÁ A OVĚŘENÁ IDENTITA
SERVER CASE BYL NAVRŽEN JAKO CENTRÁLNÍ AUTENTIZAČNÍ A AUTORIZAČNÍ SYSTÉM. JEHO PRIMÁRNÍM ÚKOLEM JE USNADNIT INTEGRACI SILNÝCH BEZPEČNOSTNÍCH METOD DO RŮZNÝCH IT PROSTŘEDÍ. CASE JE POSTAVEN NA OTEVŘENÝCH BEZPEČNOSTNÍCH A KOMUNIKAČNÍCH STANDARDECH A PODPORUJE ŠIROKOU ŠKÁLU AUTENTIZAČNÍCH METOD.
www.nechcihesla.cz
KLÍČOVÉ VLASTNOSTI
� Centrální autentizační a autorizační systém pro online služby.� Podporuje široké spektrum 2faktorových bezpečnostních metod založených na bázi jednorázových hesel (OTP) a elektronickém podpisu (PKI).� Postaven na otevřených komunikačních a kryptografických standardech, které usnadňují použití v různých prostředích.� Modulární architektura optimalizovaná pro velkou zátěž.
PROČ ZVOLIT CASE
� Snadná integrace silné centrální autentizace na bázi jednorázových hesel (one- time passoword, OTP) i digitálních certifikátech (PKI), vč. statických kódů a hesel, SMS hesel, hardwarových OTP tokenů, PKI čipových karet, řešení pro smartphony i klasické mobilní telefony a další. � Integračně nenáročný díky standardní architektuře. Server CASE lze jednoduše integrovat do různých IT prostředí (vnitřní sítě, internetové služby, cloudová řešení).� Robustní architektura je připravena na obsluhu velkého množství uživatelů.� Připraven pro multikanál (metody pro PC, tablet, mobil, hlas) také díky patentovanému řešení autentizovaného volání IDcall.
KDE VŠUDE CASE VYUŽIJETE
CASE může najít své využití ve firmách a organizacích vyžadujících bezpečný a zároveň komfortní přístup uživatelů k informačním systémům. Typickými příklady můžou být:
� Přístupy do portálů elektronického bankovnictví (eBanking, eBrokerage, …) � Elektronické systémy veřejné správy (eGovernment).� Informační systémy VŠ a univerzit� Bezpečný přístup k citlivým zdravotnickým údajům a informačních systémy nemocnic (eHealth).� Korporátní sféra v styku s citlivými informacemi (business consultancy / právní kanceláře, vývoj, obrana nebo audit).
A mnohé další s potřebou zabezpečit online prostředí, jako:
� VPN, webové služby, cloudové služby.� Zabezpečení vzdáleného přístup (VPN) metodami 2-faktorové autentizace.� Přístup do webových služeb (intranet, extranet, internetové portály atp.)� Zabezpečený přístup do cloudových řešení.� Správa klíčů na dedikovaných autentizačních nástrojích (např. SIM pro síť mobilních operátorů).
MODULÁRNÍ ARCHITEKTURA CASE
AUTENTIZAČNÍ JÁDRO
Autentizační jádro vystupuje jako centrální bod v řetězci autentizačních a autorizačních procesů (přihlá-šení uživatele, potvrzení transakce atd.). Implementuje všechny bezpečnostně citlivé operace a zajišťuje kryptografické funkce systému. Využívá certifikovaný bezpečnostní modul (FIPS 140-2 Level 3). Autentizační jádro je optimalizováno tak, že umožňuje zpracování řádově několika tisíc autentizačních transakcí za minutu.
KOMUNIKAČNÍ ROZHRANÍ
Autentizační server CASE je připraven na snadnou implementaci do již existující infrastruktury. Systémy, které neumožňují integraci s jedním ze standardizovaných rozhraní, lze integrovat prostřednictvím individuálně vytvořených integračních rozhraní.
ADMINISTRACE A SPRÁVA SYSTÉMU
Back O�ce integruje separátní obslužné moduly. Uživatelům může sloužit k aktivaci a registraci konco-vých zařízení, nastavení hesel či certifikátů. Administrátorům umožňuje veškerý provozní monitoring a správu. Součástí BackO�ce funkcí je také robustní auditní záznam a statistická analýza, které umož-ňuje detekci a prevenci vnějších útoků.
MOŽNOSTI ROZŠÍŘENÍ SERVERU CASE
MEP FS – FEDERAČNÍ SLUŽBY
Federační vrstva (Federace identit) vytváří uživa-telům komfortní a vysoce bezpečné prostředí pro snadné přihlašování k aplikacím nejen v rámci interní sítě, ale i k online službám, včetně služeb třetích stran (např. Google Apps, Microsoft O�ce 365 aj.)
MEP FS nabízí podporu standartních federačních protokolů SAML v2 a OAuth v2; mimo jiné nabízí také specializovaná rozhraní pro federativní auto-rizaci transakce a doplňkový framework pro fede-race mobilních aplikací.
CASE MOBILE
Mobilní aplikace, která umožňuje plné využití autentifikačního serveru CASE použitím mobilní-ho telefonu (PaaT) online i o�ine pro generování OTP, nebo autentizované volání IDcall.
Pro plné využití aplikace CASE mobile lze systém CASE dále rozšířit o� VPN, webové služby, cloudové služby.� Mobile Content Management pro správu dynamického obsahu� Security Gateways pro zajištění bezpečné komunikace mezi aplikací a serverem.
TECHNICKÁ A BEZPEČNOSTNÍ SPECIFIKACE
DOSTUPNOST
� HA - vysoká dostupnost� Řízení výkonu (Load Balancing)� Záložní instance
UŽIVATELSKÉ ROZHRANÍ
� Samoobslužný portál uživatele
ADMINISTRÁTORKÉ ROZHRANÍ
� Administrační rozhraní� Helpdesk
KRYPTOGRAFICKÉ JÁDRO CASE
� Využívá certifikovaný bezpečnostní modul (FIPS 140-2 Level 3)
PODPOROVANÉ APLIKAČNÍ PROTOKOLY
� RADIUS� LDAP/BIND� WEB-SERVICES
KRYPTOGRAFICKÉ SCHÉMATA A STANDARDY� Referenční algoritmy a implementované standardy: ANSI X3.92, ISO9797 - 1, X.509, PKCS # 1, PKCS#11, PKCS#12, CAP / DPA, OATH, GSM 11.14, 3GPP TS 51.011, 3GPP TS 23.048, RFC 2865, RFC 3280, RFC 3852, RFC 4513, RFC 4226, RFC 5652, RFC 5280, RFC 6030, RFC 6238, RFC 6287.� OTP mohou být generována (resp. ověřována) na základě inkrementálního čítače nebo na základě času.� Využívá certifikovaný bezpečnostní modul (FIPS 140-2 Level 3).
METODY OBRANY PROTI ÚTOKŮM NA KLIENTY
� Automatické dočasné nebo trvalé blokování metod individuálních autentizačních tokenů nebo uživatelů dle specifických situací (např. nekorektní opakované zadání hesla, vynucené blokování metody, atp.) � Statistické vyhodnocování výsledků požadavků na verifikaci s různou úrovní granularity (jeden uživatel, skupina uživatelů, autentizační metoda, kanál, …) Pasivní notifikace anomálií nebo aktivní obrana pozdržením verifikačních požadavků.� Časové omezení platnosti transakcí.
SYSTÉMOVÉ ROZHRANÍ MŮŽE SPRAVOVAT
� Autentizační nástroje (vytvoření, zrušení, pozastavení, odblokování, …)� Vazby autentizačních nástrojů a uživatelských identit.� Úrovně rizik, které jsou schopny metody pokrýt a dalších konfiguračních parametrů.
www.nechcihesla.cz
PODPOROVANÉ AUTENTIZAČNÍ METODY
ID + Heslo� Statické kódy� PIN / PUK hesla� Aktivační kódy
ID Call
SIM řešení� SMS OTP� SIM OTP (SMS Push)
Fyzické tokeny� HW OTP (OCRA tokeny)� EMV platební karty� PKI čipové karty (X.509)
Mobilní token� CASE mobile – online� CASE mobile – o�ine (OTP generátor / QR transakce)
CLIENT AUTHENTICATION SMART ENGINE
www.nechcihesla.cz / www.monetplus.cz / [email protected] MONET+,a.s. Za Dvorem 505, 763 14 Zlín - Štípa
