RSA Mobile - weryfikacja poprzez telefon komórkowy

Opis systemu firmy RSA Security, który wykorzystując telefon komórkowy, umożliwia stworzenie wiarygodnej identyfikacji użytkownika korzystającego z zasobów WWW. Rozwiązanie RSA Mobile było prezentowane na warszawskiej konferencji Mobile Computing.

RSA Mobile
Jednym z fundamentalnych problemów przy udostępnianiu aplikacji i krytycznych informacji poprzez Internet jest ich bezpieczeństwo, a w szczególności uwierzytelnianie ich użytkowników. Podstawowym i często akceptowalnym środkiem jest "zahasłowanie". Bardziej krytyczne zasoby wymagają silniejszych metod takich jak np. tokeny, karty chipowe itp.Ich wspólną cechą jest tzw. dwuskładnikowe uwierzytelnianie, czyli coś, co mam i coś, co wiem. Jakkolwiek doskonałe, metody te mają jedną słabość: wymagają fizycznego przekazania użytkownikowi jakiegoś urządzenia, co w przypadku dużych instalacji z wieloma użytkownikami może powodować trudności organizacyjne. Rozwiązaniem dla tego typu problemów jest produkt RSA Mobile.

Jak działa RSA Mobile?
Użytkownik poprzez przeglądarkę internetową łączy się z chronionym zasobem, gdzie musi podać swój identyfikator użytkownika (login) oraz znany tylko sobie PIN, czyli pierwszy składnik uwierzytelnienia. Oprogramowanie RSA Mobile Agent chroniące dany zasób WWW przekazuje powyższe dane do serwera Mobile, który po weryfikacji PIN wysyła użytkownikowi wiadomość SMS zawierającą pseudolosowy kod dostępu.
W tym samym czasie w przeglądarce pojawia się pole dialogowe, w które użytkownik wpisuje otrzymany właśnie poprzez SMS kod dostępu Mobile. Kod wraz z danymi identyfikującymi sesję trafia znów do serwera Mobile, gdzie jest weryfikowany i tym samym finalizowany jest dwuskładnikowy proces uwierzytelnienia.

• Umożliwia stworzenie wiarygodnej identyfikacji użytkownika korzystającego z zasobów WWW.

• Stworzony w oparciu o metodę silnego uwierzytelniania dwuskładnikowego.

• Pomaga obniżyć koszty wdrożenia poprzez wykorzystanie telefonu komórkowego.

• Zapewnia niskie koszty utrzymania systemu nawet przy dużej liczbie użytkowników.

Bezpieczeństwo i wydajność
Bezpieczeństwo RSA Mobile oparte jest o sprawdzoną zasadę dwuskładnikowego uwierzytelniania, analogicznie do pary: karta + PIN lub token + PIN. W RSA Mobile mamy parę: nr telefonu + PIN. Numery telefonów komórkowych są unikalne na skalę globalną, więc znakomicie nadają się do takiego zastosowania. Kody generowane są w oparciu o wartość początkową (tzw. seed) przypisaną do użytkownika i czas w oparciu o 128-bitowy algorytm AES. Wysyłany kod jest oczywiście ważny przez ograniczony przedział czasu. Ważność czasu jest konfigurowalny w zakresie kilku minut. Pozwala to dostosować system do potrzeb Klientów. Dodatkowo każda sesja posiada unikalny identyfikator, który pozwala użyć otrzymany kod dostępu tylko w aktualnie otwartym oknie. Kwestie wydajnościowe to w tym przypadku przede wszystkim problematyka pewnego i szybkiego dostarczenia wiadomości SMS. Typowy czas potrzebny na dostarczenie wiadomości SMS w sieciach GSM wynosi 5-7 sekund, przy czym próby w Polsce pokazały, że jest to na ogół mniej. Powyższe dane dotyczą nie tylko wiadomości w ramach jednej sieci, ale również wysyłanych pomiędzy różnymi operatorami w skali międzynarodowej.
W przypadku, gdy z powodu krótkotrwałej utraty zasięgu (w końcu telefon jest urządzeniem radiowym) wiadomość nie dotrze na czas, użytkownik może użyć opcji ponownego generowania kodu dostępnej na stronie logowania Mobile. Dodatkową bardzo użyteczną cechą wiadomości SMS sygnowanych przez serwer Mobile jest obecność tekstowego identyfikatora wiadomości, widocznego na stronie logowania i w tekście SMS. Pozwala to na odszukanie właściwej wiadomości w zapełnionej skrzynce odbiorczej telefonu. RSA Mobile może wysyłać również wiadomości zawierające kod dostępu poprzez inne media niż GSM, np. poprzez e-mail, co może okazać się cechą przydatną, jeśli upowszechnią się przenośne urządzenia zdolne do odbierania poczty elektronicznej. Producent, czyli RSA Security zamierza w przyszłych wersjach Mobile uwzględniać pojawiające się trendy i nowe technologie przesyłania krótkich wiadomości.

Architektura RSA Mobile
Serwer RSA Mobile oparty jest o bazę danych typu LDAP, w której przechowywane są informacje o użytkownikach wraz z identyfikatorami, kodami PIN i numerami telefonów komórkowych, na które wysyłane są wiadomości. Wszystkie krytyczne dane w katalogu są oczywiście zaszyfrowane. Istotnym elementem jest numer telefonu, którego unikalność stanowi podstawę używania go jako jednego ze składników uwierzytelnienia. Silnikiem RSA Mobile jest aplikacja BEA Weblogic. Produkt ten jest w pełni zintegrowany i automatycznie instalowany. Również integracja ze wspomnianym wcześniej LDAP odbywa się w ramach programu instalacyjnego Mobile. W obecnej chwili mogą być wykorzystywane katalogi Iplanet Directory Server 5 oraz MS Active Directory. Wykorzystanie katalogu LDAP jako bazy danych niesie za sobą szereg korzyści takich jak możliwość integracji danych z innymi usługami, np. ACE/Server czy Infrastruktury Klucza Publicznego. Do nadania wiadomości używane mogą być zarówno modemy GSM, które wysyłają wiadomość bezpośrednio w eter, jak i interfejs korzystający z protokołu SMPP przekazujący wiadomość bezpośrednio do centrum wiadomości operatora, czy wreszcie poprzez HTTP do firmy zajmującej się przesyłaniem SMS. System dostarczany jest wraz z oprogramowaniem Mobile Agent, które instaluje się na serwerach WWW zawierających chronione zasoby. "Z pudełka" dostępne są moduły dla serwerów MS IIS, ISA oraz Apache 1.3.x. Wraz z produktem dostarczane jest również API w Javie, którego można użyć w celu wbudowania tej funkcjonalności w posiadane aplikacje internetowe. RSA Mobile daje dostęp do innych metod uwierzytelniania, które administratorzy mogą definiować dla poszczególnych zasobów. Przykładem mogą być zasoby chronione "klasycznymi" tokenami SecurID, czy nawet hasła statyczne oparte o LDAP. Daje to dużą elastyczność w doborze metody w zależności od potrzeb bezpieczeństwa i wartości chronionej informacji. W sytuacji, gdy w systemie lub aplikacji istnieje już mechanizm uwierzytelniania, API dostarczane z RSA Mobile może posłużyć do "dopisania" tej technologii. Warto w tym miejscu wspomnieć również o możliwości pracy systemu w trybie nie wymagającym używania PIN. Jest to przydatne, gdy integrujemy Mobile z aplikacją posiadającą już efektywny mechanizm hasłowy i nie chcemy zbyt utrudniać życia użytkownikom.