Gemalto - Protiva Strong Authentication | Protiva OTP - how it works

Protiva Strong Authentication Server

		INFO & WISSEN

Die Protiva 2-Faktor-Authentisierung von Gemalto ist grundsätzlich ein 3-tier System, wobei jede Stufe aus einem oder mehreren Komponenten besteht.

- Chipkarte: Die Chipkarte, welches das One-Time-Passwort errechnen kann, gibt es in verschiedenen Ausführungen. Smart Card, Token, verbunden oder als "stand-alone" Gerät, GSM-Telefon
- Client-Seite: PC mit Benutzerapplikation, die auch die OTP-credentials akzeptiert, (zb. Webanwendung im Browser, VPN-Client,...)
- Server-Seite: Im Server Backend werden ein oder mehrere ser-ver zur Authentisierung und Anwendungen, wie Portale zur (Selbst-) Verwaltung von Benutzern, Token,... betrieben.



	Protiva Strong Authentication Architecture Quelle: Gemalto

Das Serverbackend übernimmt die Aufgaben der Benutzerauthentisierung und System Management, und kann, je nach Anforderungen auch komplexe Installation umfassen. Grundsätzlich besteht die Serverseite von Protiva aus einem oder zwei Rechnerr, die die beiden Hauptkomponenten hosten, den Web Application Server und den SA-Server. Der Application Server interagiert mit Clients und ist ein Front-End Webinterface für das Management von Protiva. Er interagiert mit dem SA Server hinsichtlich der Authentisierungsanfragen und erhält die Antworten, um darauf Zugriff zu gewähren oder abzulehnen.

Oft ist das Backend komplexer, nämlich mehrere Entry-Points, zb. über Radius, oder die Datenbank bzw. LDAP Directory mit allen oder Teil der Authentisierungsdaten ist auf eigenen Rechnern ausgelagert. Ein dediziertes HSM kann mit dem SA Server betrieben werden um darin die kryptografischen Operationen durchzuführen.



	Protiva Back End Architecture Quelle: Gemalto

Web Application Integration

Protiva SA kann vollständig über eine WebAPI gemanaged werden, dadurch ist eine nahtlose Integration der Protiva Funktionalität in eigene Webanwendungen gewährleistet.

Die SA Server web service API ist eine XML over HTTP API, welche z.b. folgende Funktonen erlaubt:
- Listung von allen Benutzern, OATH oder EMV-CAP-Geräten, Rollen, Policies oder Schlüssel
- Suche nach Benutzern oder Endgeräten mit bestimmten Kriterien
- Information für bestimmten Benutzer, Endgerät, Rolle, Policy oder Schlüssel
- Anlegen eines Benutzers oder Endgeräts
- Update eines Benutzers oder Endgeräts
- Blockieren eines Benutzers oder Endgeräts
- Freigeben eines Benutzers oder Endgeräts
etc....

Live Provisioning

Der SA Easy OTP Token, der nur als "Stand alone" Endgerät, also nur im "unconnected" Modus verwendet werden kann, benötigt keine Provisioning Files von Gemalto um in einem Protiva SAS aktiviert zu werden. Stattdessen kann dies über Live Provisioning erfolgen.

Live Provisioning arbeitet mit einem Kontaktlosleser (Live Provisioning Kit) und einer ActiveX Komponente, um mit dem Protiva SA-Server zu kommunizieren. Das Live Provisioning wird über das Customer Care Portal ausgeführt, indem der SA Easy Token auf den Kontaktlosleser platziert wird, einmal kurz den Refresh-Button gedrückt, damit der Token erkannt wird, und dann Provision (Reprovision). Über dieses Verfahren wird ein neuer shared key geschrieben und der Zähler resetiert, auch Meldungen und Menü am Token können adaptiert werden.

Provision schreibt einen neuen Identifier (Token ID) der für den Server unique ist, der Token ist dann im “Initialized” Status. Reprovision behält die Token ID bei und so werden alle Verknüpfungen und Zuordnungen des Token aufrecht erhalten.

Installationsvoraussetzungen

Betriebssysteme:
- Windows Server 2003
- Linux Enterprise Dist. (Redhat, Suse,)
- IBM AIX (5.3 64bit)

Web Application Server:
- Apache Tomcat 5.5.x (5.5.17 benutzt in Referenzinstallation)
- IBM Websphere (auf AIX)

Datenbanken:
- Firebird 2.0 (benutzt in Referenzinstallation)
- MySQL 4.1.x, 5.0.x
- MS SQL Server 2005
- IBM DB2 Enterprise 9
- Oracle 9.2.0.1

LDAP Servers
- Windows AD
- Novell eDirectory 8.7., 8.8.

Java Runtime
- Sun J2SE 1.5.x JRE (1.5.07 benutzt in Referenzinstallation)
- IBM Java k 64bit (auf AIX)

SSM / HSM
- Sun JCE, IBM JCE (auf AIX)
- nCipher HSM (nShield, netHSM)
- Bull HSM

		DOWNLOADS

	Protiva SA Server -Brochure
	Protiva SA Devices Brochure
	Smart Enterprise Guardian
	To get protected by Protiva - Gemalto movie
	Strong Authentication Demo Site by Gemalto
	Protiva Site by Gemalto

Protiva Lizenzierung Protiva Stong Authentication Lizenzen werden üblicherweise mit den Endgeräten miterworben. Es gibt keine Extralizenzkosten für den Betrieb des Servers.

Protiva OTP - how it works Vom Protiva SA Server werden 2 unterschiedliche OTP Algorithmen unterstützt. OATH and CAP! Wie arbeitet Protiva auf der Client-Seite?

Gemalto - Protiva SA In einer Welt, in der Faktor Sicherheit immer wichtinger wird, bringt Gemalto mit Protiva eine flexible Produktpalette zur Absicherung von Unternehmensnetzwerken auf den Markt, welche auf der Stärke von Gemaltos Smart Card Technologie aufbaut.
Preis auf Anfrage!