Компанія Продукти Наші партнери Технічна підтримка База знань

ПОШУК

 

Vasco Vacman Controller Новини

VACMAN® Controller компанії VASCO

Дозволяє інтегрувати надійну автентифікацію в прикладні програми користувачів без необхідності переписувати програмний код. VACMAN® Controller може надійно захистити любу ділянку вашої мережі без внесення змін в прикладні програми. Необхідно лише зв’язати VACMAN Controller з вашою прикладною програмою, і він автоматично перебере на себе управління входом до системи любого користувача, якому ви дозволили підключитися за допомогою токена Digipass®.

Інтеграція, що не потребує спеціальних знань

За допомогою VACMAN Controller легко здійснювати адміністрування прав доступу. Досить лише добавити ще одне поле до існуючої бази користувачів, описавши в ньому специфікацію токену для конкретного користувача. VACMAN Controller за цією специфікацією проводить автентифікацію запиту, що поступив на вхід системи, незалежно від того, який із режимів застосовано: лише запит, запит і підтвердження, чи цифровий підпис. Можна також вказати тип токена Digipass, який видається користувачеві – від маленького Digipass 300 до складного Digipass 800 на основі смарт карти, чи навіть продуктів на базі PDA и PC.

Ефективна система, що не потребує значних витрат

Для введення в експлуатацію системи на основі VACMAN знадобиться лише декілька днів, в той же час Ваша компанія отримає гнучку систему захисту мережі, що відповідає сучасним стандартам.

Універсальність

VACMAN Controller дозволяє реалізувати віддалений доступ до любих прикладних програм, від простого обміну даними до повнофункціональних систем електронної комерції. Впровадження системи знімає обмеження щодо роботи віддалених користувачів з прикладними програмами, оскільки VACMAN Controller забезпечує автентифікацію, яка основана на сукупності певного набору подій і/або функціональній залежності від часу.

Надійна безпроблемна автентифікація

При реалізації надійної автентифікації використовують різні підходи – можна, наприклад, придбати спеціалізований сервер, а потім виявити, що його досить складно зконфігурувати для роботи с вашими прикладними програмами, або, наприклад, застосувати програмне забезпечення власної розробки, без особливої гарантії того, що розроблена вашими програмістами система забезпечить адекватний рівень захищеності. VACMAN Controller надає гнучку альтернативу таким підходам – це спеціалізоване API, для використання якого в вашій системі необхідно здійснити мінімальні зміни. В прикладну програму вбудовується декілька викликів функцій, і нова система готова. Такий підхід розрахований на довготривалу експлуатацію, оскільки при укладанні договору на технічний супровід ви зможете отримувати оновлені версії продукту, які забезпечать вашій системі відповідність самим сучасним стандартам криптографії і сумісність з новими продуктами Digipass.

Підтримка різних платформ

VASCO функціонує під управління практично любих операційних систем на різних платформах. Безпомилково функціонує в любому середовищі, легко масштабується, що дозволяє підтримувати необмежене число авторизованих користувачів.

Основні властивості:

  • неприв’язаний до конкретної прикладної програми;
  • підтримує більшість процесорів і платформ;
  • підтримує ASCII і EBCDIC;
  • підтримує 32-bit і 64-bit роботу з пам’яттю;
  • підтримує мультипоточну і багатозадачну роботу;
  • сумісний з усіма існуючими токенами VASCO Digipass і з моделями, що знаходяться в стадії розробки;
  • надає можливість здійснювати автентифікацію в різних режимах (тільки запит,
  • запит і підтвердження цифровий підпис);
  • автентифікація грунтується на сукупності певного набору подій і/або часу;
  • підтримує DES и потрійний DES;
  • вбудована функція безпечного розблокування користувачів;
  • підтримка Help Desk;
  • технічний супровід і оновлення у відповідності до укладеної угоди.

    Інтегрування VACMAN® Controller

    Основні поняття

    Традиційна автентифікація користувача

    Більшість прикладних програм мають вбудований механізм автентифікації, побудований за принципом ідентифікатор/статичний пароль. Для того, щоб можна було адмініструвати користувачів в вашій прикладній програмі, необхідно задіяти декілька служб. Крім звичайної перевірки паролю існує необхідність більш складного управління (що грунтується на поняттях групи, шаблону), а також необхідність специфікації прав користувача (авторизації). Схематично це виглядає таким чином.


    Схема рівнів безпеки користувача всередині прикладної програми

    Адміністрування користувачів

    Адміністрування дозволяє вводити нових користувачів, вказуючи певну інформацію про кожного з них - ідентифікатор і пароль. Одночасно користувачеві можуть бути надані певні права на здійснення якихось дій в системі. Адміністрування користувачів часто грунтується на застосуванні груп і шаблонів, в яких вказуються права користувачів. Доступ до адміністрування користувачів сам по собі теж повинен бути захищеним, щоб виключити несанкціонований доступ до системи шляхом внесення змін в облікові записи, або створення додаткових облікових записів, що зруйнує увесь ваш захист.

    Автентифікація користувача

    Всередині прикладної програми окремий модуль відповідає за перевірку ідентифікатора і пароля кінцевого користувача. Перевірки ідентифікатора і пароля можуть грунтуватися на порівнянні введеного статичного паролю з паролем, який зберігається в базі даних, або з хеш-кодом пароля. Якщо пароль співпадає з інформацією з бази даних, то модуль автентифікації користувача повертає у відповідь “Так”, що означає – автентифікація проведена успішно. В залежності від отриманої відповіді користувачеві надається або забороняється доступ до прикладної програми.

    Адміністрування

    Всередині прикладної програми може бути знайдено декілька задач адміністрування. До цих задач, зокрема, належать правила управління паролями, наприклад: користувач повинен змінювати паролі кожні 45 днів, пароль повинен бути не коротше 6 символів і т.д. Ці параметри адміністрування визначають загальні правила безпеки вашої прикладної програми, змушуючи дотримуватися необхідного рівня захищеності.

    Інтегрування VACMAN Controller

    Шляхом інтегрування VACMAN Controller всередину ваших прикладних програм можна досягнути більш високого рівня захищеності. Це забезпечується заміною статичних паролів на динамічні. Інтегрування VACMAN Controller здійснюється на декількох рівня вашої прикладної програми.

    Практичне інтегрування налічує декілька етапів.

  • інтегрування моделі даних DIGIPASS;
  • призначення DIGIPASS;
  • перевірка пароля;
  • розширене управління DIGIPASS.

    3 перших етапи обов’язкові, останній - опціональний.

    Інтегрування моделі даних DIGIPASS

    Щоб перевірити динамічний пароль DIGIPASS всередині вашої прикладної програми, необхідно мати на сервері доступ до секретних ключів DIGIPASS. Кожен токен DIGIPASS, поставляється з файлом бази даних (файл DPX), яка містить секретні ключі DIGIPASS. Ця база даних зашифрована ‘Ключом бази даних, який надсилається користувачеві. Всередині бази даних прикладної програми необхідно зберігати секретну інформацію DIGIPASS. Ця інформація береться з файлу DPX за допомогою функції імпорту DPX, що входить до складу VACMAN Controller.


    Активація DIGIPASS

    В файлі DPX міститься інформація про DIGIPASS. Для кожної прикладної програми DIGIPASS у файлі DPX зберігаються такі параметри як довжина відповіді, довжина підтвердження, інформація для розблокування. В одному файлі DPX може зберігатися інформація про декілька токенів, в залежності від того, яким чином була створена група для токенів DIGIPASS. Після імпорту інформації про DIGIPASS з файлу DPX в базі даних вашої прикладної програми з’явиться список токенів. Звернення до токенів DIGIPASS здійснюється за його унікальним серійним номером. Для кожної пари токен/прикладна програма, отриманої з файлу DPX після виконання повертаються 4 поля, які теж необхідно зберегти в базі прикладної програми. Імпорт інформації про DIGIPASS з файлу DPX здійснює адміністратор з консолі прикладної програми, яка повинна бути доступною, або з хоста. При будь-якому новому програмуванні токена DIGIPASS, відповідний файл DPX повинен завантажуватися в базу даних сервера прикладних програм.


    Призначення токена DIGIPASS користувачам в базі даних прикладної програми.

    Призначення токенів DIGIPASS

    Після імпорту усіх токенів DIGIPASS в базу даних сервера прикладних програм, необхідно забезпечити можливість призначати токен конкретному користувачеві. Це завдання вирішується в режимі адміністрування користувачів. В базі даних необхідно зв’язати ідентифікатор з певним токеном. Це можна здійснити шляхом створення додаткової таблиці з зазначенням унікального серійного номеру токена. В залежності від особливостей прикладної програми, можна призначити:

  • один токен DIGIPASS одному користувачеві;
  • один токен DIGIPASS декільком користувачам;
  • декілька токенів DIGIPASS одному користувачеві.

    У більшості випадків рекомендується призначати один токен одному користувачу, оскільки DIGIPASS застосовують саме для однозначної ідентифікації певного користувача.

    Перевірка пароля

    Для завершення інтегрування необхідно внести зміни в модуль, який здійснює перевірку пароля. На цьому етапі необхідно здійснити наступні кроки:

    1. В базі даних найти DIGIPASS, який призначений користувачеві і зчитати дані про токен.

    2. Із зчитаних даних взяти інформацію про те, чи використовується режим запит/підтвердження. Якщо використовується, то згенерувати запит, обновити дані DIGIPASS та відіслати їх користувачеві.

    3. Викликати функцію VACMAN Controller, яка перевіряє динамічний пароль користувача.

    4. Обновити дані DIGIPASS.

    5. Дозволити чи заборонити запит користувача в залежності від відповіді VACMAN Controller.

    Примітки:

  • Виклик функції VACMAN Controller дозволяє згенерувати випадковий код для запиту, який використовується в алгоритмі запит/підтведження. За необхідності, ви можете застосовувати власний алгоритм для генерації запиту.
  • Для перевірки динамічного пароля DIGIPASS існує лише один виклик функції VACMAN Controller. Ця ж функція застосовується для усіх можливих алгоритмів DIGIPASS, незалежно від того, які режими використовуються – прив’язка до часу, події, запиту /підтвердження, чи їх комбінації.
  • VACMAN Controller поставляється у вигляді статичної бібліотеки або бібліотеки сумісного використання, які працюють у складі вашої прикладної програми. Ніякого іншого програмного чи апаратного забезпечення система не потребує.

    Розширене управління DIGIPASS

    Три кроки, які були зроблені, необхідні для інтегрування механізму одноразових паролів у прикладну програму. Опціонально можна реалізувати розширені функції управління. DIGIPASS дозволяє здійснити віддалене розблокування у випадку, коли користувач заблокував токен DIGIPASS шляхом введення невірного PIN коду певну кількість разів. Для разблокування токена, його секретний код розблокування повинен бути відомим серверу. Код разблокування переноситься з файлу DPX в базу даних прикладної програми при виконанні функції імпорту VACMAN Controller. У VACMAN Controller є виклик функції, який дозволяє згенерувати відповідь для розблокування за запитом конкретного DIGIPASS. Ця функція може бути доступною у складі прикладної програми helpdesk. У VACMAN Controller є також функція “Reset”, яка дозволяє обнулити певні параметри токена:

  • лічильник помилок ідентифікації;
  • лічильник помилок сигнатури;
  • розходження у ході годинників токена і сервера.

    VACMAN Controller має певну межу, яка визначає кількість можливих невірних ідентифікацій/підписів, після перевищення якої спрацьовує перемикач. Викликом функції “Reset” лічильники помилок можна обнулити. VACMAN Controller обладнаний автоматичною системою відстеження розходження часу внутрішніх годинників кожного токену DIGIPASS. Виклик функції “Reset” дозволяє обнулити дрейф, що був зафіксований раніше, і провести автоматичну синхронізацію часу при наступній перевірці одноразового пароля.

    Цифровий підпис DIGIPASS

    У VACMAN Controller вбудована підтримка цифрового підпису DIGIPASS. Підписаними можуть бути певна вибрані поля даних, наприклад, дані транзакції. Такий підпис може успішно застосовуватися банківськими прикладними програмами віддаленого доступу клієнтів. Окрім даних банківської прикладної програм, які мають характер консалтингу, все більша кількість банків пропонують послуги з електронного переказу грошей.
    Кожний раз, коли хтось виконує транзакцію, в ній присутні певні поля, що містять суттєві для транзакції дані. Зазвичай це номер рахунку активу, номер кредитного рахунку і сума грошей. Коли кінцевий користувач виконує транзакцію, йому пропонується ввести дані в токен DIGIPASS, який за цими даними генерує цифровий підпис чи MAC – код (Message Authentication Code) (детальніше про це можна прочитати в VASCO DIGIPASS Family of Tokens Technical White Paper). Цифровий підпис надсилається разом з даними транзакції і перевіряється на сервері. У випадку, коли дані транзакції підроблені, цифровий підпис не буде узгоджуватися з даними. На основі отриманої інформації сервер виконує або відхиляє транзакцію. Стандартна функція перевірки цифрового підпису вбудована у VACMAN Controller.

    Переваги

    Просте інтегрування

    Для інтегрування VACMAN Controller в ваші прикладні програми необхідно здійснити мінімальний набір операцій. Ви можете зосередити увагу на основному модулі прикладної програми і не заглиблюватися в деталі того, яким чином реалізоване управління динамічними паролями і яким чином воно функціонує у вашій прикладній програмі. Інтегрування VACMAN Controller в вашу прикладну програму надає повне управління користувачами, токенами DIGIPASS і політикою безпеки.

    Підтримка різних платформ

    VACMAN Controller підтримує різні платформи. Через посередництво C- і Java-API VACMAN Controller можна інтегрувати в любі прикладні програми. VACMAN Controller використовує однакові принципи функціонування на всіх платформах, що дозволяє масштабувати інфраструктуру безпеки у відповідності до запитів вашого бізнесу. Ви можете розпочати розгортати ваші прикладні програми на системах початкового рівня (під управлінням Linux, Microsoft Windows) і поступово вирости разом з вашим бізнесом до систем середнього і високого рівня (SUN Solaris SPARC, HP/UX, AS/400). Оскільки VACMAN Controller API платформонезалежний, для інтегрування використовуються одні й ті самі методи на всіх платформах.

    Високий рівень захищеності

    Інтегрування VACMAN Controller у ваші прикладні програми дозволяє примусово встановити високий рівень безпеки шляхом заміни статичних паролів на динамічні (Time-based, Challenge/Response), що забезпечує високий рівень захищеності і звільняє від необхідності адмініструвати статичні паролі.Додатково ви можете задіяти в ваших прикладних програмах функцію цифрового підпису DIGIPASS. VACMAN Controller забезпечує високий рівень криптозахисту і контролю цілісності інформації DIGIPASS, яка зберігається у базі даних вашої прикладної програми. У VACMAN Controller застосовується криптографічний алгоритм 3DES, а управління ключами здійснює інтегратор або користувач. Таким чином VASCO гарантує захист упродовж усього ланцюга впровадження системи від моменту програмування DIGIPASS і аж до його активації і використання в прикладній програмі.

    Можливість роботи з усім сімейством текенів DIGIPASS

    VACMAN Controller дозволяє користуватись будь-якими токенами сімейства DIGIPASS. В системі можуть одночасно застосовуватися різні моделі токенів DIGIPASS, що дозволяє обрати найбільш придатний для ваших користувачів варіант використання. До основних моделей DIGIPASS відносяться:

  • DIGIPASS 300: інтуїтивно зрозумілий, для тих, хто вимушений часто здійснювати операції, що потребують автентифікації;
  • DIGIPASS 700: для захисту в прикладних системах e-комерції, для здійснення відповідальних транзакцій;
  • DIGIPASS Soft: програмна реалізація токена, яка може використовуватися на комп’ютері користувача замість апаратного токена;
  • DIGIPASS 800: портативний портал безпеки, що поєднує в собі технологію DIGIPASS і смарт карти.

    Більш детальна інформація наведена в документі VASCO DIGIPASS Family of Tokens Technical White Paper.


    28 січня 2008
    IDC IT Security Roadshow 2008

    10 квітня 2007
    Вакансії

    Design by HTD 2007

    Головна сторінка