iAuthenticator là giải pháp phần mềm cung cấp phương án xác thực bổ sung trong quá trình giao dịch của khách hàng qua Internet bằng dịch vụ OTP (One-Time-Password) thông qua thiết bị token, mobile hoặc emai/ SMS khi làm giao dịch tài chính. Hệ thống được thiết kế trung lập với các nhà cung cấp giải pháp Internet banking, dễ dàng tích hợp hoặc chuyển đổi từ các giải pháp OTP khác.

Các mô hình triển khai

Khi khách hàng thực hiện giao dịch tài chính trên Internet banking hệ thống sẽ yêu cầu khách hàng nhập OTP. Khách hàng nhập OTP sinh bởi thiết bị token. Giao dịch sẽ được gửi về server payment gateway hoặc Internet banking server (Ebanking server, Mobile banking, …) tùy theo mô hình áp dụng. Các server này sẽ gửi yêu cầu kiểm tra chứng thực về server Authentication Server (AS). Server AS sẽ kiểm tra số liệu trên Key Server Database. Nếu thỏa mãn trả kết quả OK về cho server payment gateway (hoặc Ebanking server tùy theo mô hình) để tiếp tục quá trình xử lý còn ngược lại sẽ báo lỗi.

Ưu điểm của token là xử lý nhanh và độ bền và tin cậy bảo mật cao, thiết bị được cung cấp bởi những nhà sản xuất đã được chứng minh hàng đầu thế giới.

Nhược điểm là chi phí phần cứng tương đối cao sẽ ảnh hưởng đến tốc độ mở rộng quy mô khách hàng của Ngân hàng. Khách hàng luôn luôn phải mang thiết bị theo bên người rất bất tiện. Tuổi thọ của thiết bị phụ thuộc vào thời gian sống của pin bên trong thiết bị, không thay thế được

Khi khách hàng thực hiện giao dịch tài chính Internet banking sẽ yêu cầu khách hàng nhập OTP. Nhà cung cấp giải pháp Internet banking sẽ sửa đổi phần mềm để gửi yêu cầu sinh OTP tới iAuthenticator. Yêu cầu được gửi thông qua payment gateway hoặc Internet banking server (Ebanking server, Mobile banking, …) tùy theo mô hình áp dụng của từng ngân hàng. Các server này sẽ gửi yêu cầu sinh SMS OTP về server Authentication Server (AS). Server AS sẽ gọi về Key Server Database sinh key mới lưu trữ trên database và gửi yêu cầu gửi message OTP về SMS Gateway để gửi đến điện thoại mobile của khách hàng. Khách hàng nhận được SMS OTP nhập vào chương trình Internet banking. Server này sẽ gửi API thứ hai để kiểm tra chứng thực giá trị của về server Authentication Server (AS). Server AS sẽ kiểm tra số liệu trên Key Server Database. Nếu thỏa mãn trả kết quả OK về cho server payment gateway (hoặc Ebanking server tùy theo kiến trúc hệ thống) để tiếp tục quá trình xử lý còn ngược lại sẽ báo lỗi.

Ưu điểm của phương thức này là khách hàng không cần thiết phải cài đặt application nào khác ngoài ứng dụng Internet banking hiện tại. Khách hàng cũng không phải mang theo bất kỳ thiết bị xác thực nào kèm theo.

Nhược điểm của phương án này là nhà cung cấp giải pháp Internet banking phải sửa đổi hệ thống để tuân theo các service API do iAutheticator cung cấp. Ngoài ra nếu khách hàng đi công tác ngoài vùng phủ sóng của dịch vụ tin nhắn SMS sẽ không thể thực hiện được giao dịch.

Khách hàng thực hiện giao dịch không cần phải nhập OTP trên màn hình, nhà cung cấp giải pháp Internet banking cần sửa đổi giải pháp để cho phép kết thúc giao dịch với trạng thái chờ xác thực (pending for authentication), đồng thời cần gửi một yêu cầu sinh OTP kiểu email activation tới iAuthenticator. Hệ thống sẽ kết nối tới SMTP server và sinh ra một đường link với tham số URL ngẫu nhiên, kèm theo số reference key được mã hóa của giao dịch, gửi tới địa chỉ email của khách hàng đăng ký trên hệ thống. Khách hàng click vào đường link trên email để dẫn hướng trở về Internet banking để thực hiện phê duyệt giao dịch. Internet banking solution cần trích xuất được giá trị OTP từ URL và gửi API xác thực tới Authenticator để kiểm tra và phê duyệt giao dịch.

Phương án này thường được áp dụng với các giao dịch phi tài chính như lập khởi tạo khoản vay, truy vấn giao dịch, yêu cầu Ngân hàng cung cấp thông tin tín dụng, tình trạng chuyển tiền, đăng ký dịch vụ mới… Ưu điểm của phương thức này chỉ cần kết nối Internet và truy cập email, khách hàng không cần phải có kết nối SMS hay mang theo thiết bị token, điện thoại.

Khách hàng download ứng dụng từ kho ứng dụng Google playstore hoặc Apple iStore. App sau khi cài đặt sẽ hiển thị màn hình serial key của thiết bị và activation. Sau đó khách hàng cần tới quầy giao dịch để đăng ký dịch vụ, nhân viên dịch vụ (giao dịch viên) truy cập vào hệ thống iAuthenticator đăng ký khách hàng và serial key của thiết bị mobile. Hệ thống sẽ cung cấp giá trị activation key trên cơ sở kết hợp serial key của thiết bị và shared secret key và initial counter sinh ngẫu nhiên cho từng thiết bị. Khách hàng hoặc nhân viên dịch vụ khia báo giá trị này vào ứng dụng di động để kích hoạt app.

iAuthenticator cho phép người quản trị hệ thống có thể cấu hình theo từng nhóm dịch vụ sử dụng giải thuật HMAC-based hay time-based với các thông tin shared secret key và counter value được khởi tạo trong quá trình activation.

iAutheticator cũng cung cấp các API web service và thư viện dynamic libs giúp cho bên thứ ba dễ dàng phát triển mobile app trên các nền tảng khác nhau hoặc tích hợp vào ứng dụng mobile banking có sẵn của Ngân hàng, tránh cho khách hàng phải cài đặt 2 apps khác nhau dẫn tới rắc rối trong quá trình thực hiện giao dịch

Kiến trúc ứng dụng

• SmartOTP apps: là các ứng dụng phát triển trên mobile platforms như iOS, Android, cho phép sinh mã OTP theo các OTP engines HMAC-based và Time-based.
• Channel applications: là các ứng dụng có nhu cầu xác thực OTP. Có 2 phương án tích hợp tùy theo kiến trúc ứng dụng của mỗi khách hàng
  • Thực hiện xác thực trực tiếp bằng Authentication API
  • Thực hiện xác thực gián tiếp nhúng vào thông điệp thanh toán thông qua payment gateway
• Payment gateway: cho phép các ứng dụng thực hiện chức năng thanh toán có thể đồng thời nhúng thông tin OTP vào message thanh toán. Gateway tự tách thành 2 nhiệm vụ tuần tự nhau: thực hiện xác thực thông qua API, nếu kết quả thành công thì gửi message sang hệ thống back-end (core banking) để giao dịch.
• OTP engines: thực hiện chức năng sinh số và chứng thực các OTP (SMS, Token, HOTP, TOTP).
• Token library: Thực hiện chức năng giao tiếp với các API token của hãng thứ 3 để thực hiện các chức năng, hỗ trợ nhiều nhà cung cấp token: VASCO, RSA…
• Management portal: Hệ thống quản trị token: quản lý nhập xuất token, gán token cho người sử dụng; thực hiện các chức năng khai báo các dịch vụ OTP, quản trị người sử dụng
• Auhentication API service: Cung cấp các API dưới dạng web service thực hiện chức năng chứng thực cho các ứng dụng khác sử dụng. Bản thân ứng dụng SmartOTP trên smartphone cũng dùng chung các API này
• Key server database: Cơ sở dữ liệu lưu trữ các key OTP được mã hóa
• SMS gateway: Hệ thống gửi nhận tin nhắn: Hỗ trợ kết nối tới nhiều nhà cung cấp dịch vụ như viễn thông khác nhau tuân theo các chuẩn SMPP hoặc tùy biến giao thức khác.
• Email gateway: thực hiện chức năng gửi email và link activation key theo giao thức SMTP

Các cân nhắc khi tích hợp

Nếu ngân hàng đang sử dụng giải pháp quản lý OTP của nhà cung cấp cho phép khách hàng từ các hệ thống khác kết nối tới xác thực thông qua SMS OTP hoặc thiết bị token OTP thì cần thiết phải sửa đổi các giải pháp tương ứng để chuyển đổi sang sử dụng giải pháp iAuthenticator theo các đặc tả kỹ thuật mới

Trong hệ thống iAuthenticator, mỗi khách hàng được quản lý bằng một User ID, mỗi User ID được khai báo nhiều dịch vụ (service) khác nhau với số điện thoại hoặc token khác nhau. Ví dụ Ngân hàng có thể 2 dịch vụ là Ebanking sử dụng Mobile Token và Ecommerce sử dụng SMS OTP.

iAuthenticator hỗ trợ nhiều loại token khác nhau cho từng loại giao dịch (transaction type) khác nhau. Nếu Ngân hàng muốn sử dụng tính năng này, các hệ thống liên quan phải sửa đổi để truyền thông tin bổ sung loại token khách hàng muốn sử dụng vào. Tuy nhiên iAuthenticator sẽ chấp nhận tham số này như một tham số tùy chọn để đảm bảo tính tương thích với hệ thống cũ. Nếu tham số không được truyền vào, hệ thống sẽ chọn lựa token ngầm định đã thiết lập cho từng User ID và Service đã khai báo.