Programul Operaţional Sectorial „Creşterea Competitivităţii Economice”„Investiţii pentru viitorul dumneavoastră”

Proiect cofinaţat prin Fondul European de Dezvoltare Regională

“Conţinutul acestui material nu reprezintă în mod obligatoriu poziţia oficială a Uniunii Europene sau a Guvernului României”

Echipa ATHOS

15 Iulie 2013

Serviciu automatizat de autentificare prin

semnatura biometrică - ATHOS

Serviciu automatizat de autentificare prin semnatura biometricăATHOS

IntroducerePrezentare generală

Descriere tehnicăSlides before 1st

Section Divider

Demo

Motivație

În condiţiile în care atacurile virtuale au loc din ce în ce mai des, cu pagube din ce în ce mai însemnate, se impune nevoia de a spori gradul de securitate al aplicaţiilor care constituie ţinte ale atacatorilor.

Obiectivul proiectului

înglobarea procedurii de autentificare pe bază de semnatură pentru sporirea gradului de securitate al autentificării on-line

reducerea timpului de implementare alocat pentru realizarea sistemului de autentificare de către dezvoltatorii de soluţii de acest gen

Cu ce am pornit la drum?

Bazele ATHOS

Brevet sistem de

autentificare a semnăturii

BIOACS

SISEB

Unde am ajuns?Cheltuieli eligibile finanţate public pentru proiect: 912.843

RON

Locuri de muncă nou create datorită proiectului total: 3

Cereri de brevete rezultate din proiect: 1

Publicații științifice rezultate din proiect: 3

Contribuţia financiară privată a solicitantului la proiect: 1.386.648 RON

Cheltuieli eligibile efectuate de Softwin pentru proiect : 2.118.250 RON

Funcțiile sistemuluiSecuritate

Autorizare, confidenţialitate, integritate

Disponibilitate Peste 99% uptime

Acurateţe Performanţele metodelor de autentificare a semnăturii

FRR (False Rejection Rate) FAR (False Acceptance Rate)

Capacitate Menţinerea eficienţei sistemului la procesarea unui număr ridicat de

cereri, in timp real, folosind resurse limitate Soluţia Nvidia CUDA – putere de procesare ridicată la un preţ redus

Funcțiile sistemuluiModificabilitate

Tratarea unui număr ridicat de cereri de la clienţi din diferite regiuni geografice – replicare

InteroperabilitateArhitectură modificabilă – pot fi folosite multiple tehnologii

biometrice

ScalabilitateDistribuţia optimă a task-urilor pe resurse

Timp redus pentru proiectarea şi implementarea soluţiei

Flux de utilizare - dezvoltatorul

Achiziţie licenţă +

SDK

Creare instanţă aplicaţie

Dezvoltare

aplicaţie

Activare aplicaţie

Flux de utilizare – utilizatorul final

Creare cont în sistem

Înregistrare

Autentificare

Mod de licențiereCondiţii prevăzute în SLA

(Service Level Agreement)Timp maxim de răspunsNumăr maxim de cereri pe minutNumăr maxim de utilizatori înregistraţi în

sistemExemplu:

Aplicaţie e-banking vs aplicaţie pontaj

Pachetul comercial1) Vânzare servicii de autentificare către

dezvoltatori: Taxă tip abonament

2) Pay-per-use: Taxă pentru fiecare autentificare

Conţinut pachet:SDK clientManuale de utilizareLicenţe dezvoltare + producţie

Performanțe*Nivel de securitate

FRR: max. 10-15%FAR: max. 1%

Timp de răspuns: 1-5 secundeNumăr de cereri pe minut: mii-zeci de mii**

* în condiţiile licenţei achiziţionate şi a nefuncţionării în regim de supraîncărcare

** în funcţie de configuraţia hardware

SecurityModule

Notifier

Load Balancer

Arhitectura sistemului

ATHOS Service

Computing Service

Worker n

Worker 2

Worker 1

Data ServiceError Logging

Service

AplicațiiUtilizatoriSpecimene

Log-uri

PROXY Inspector

ATHOS PortalLicense

Administration Module

PROXY

Aplicație client 1

Aplicație client 2

PROXYAplicație client m

ATHOS ServiceReverse PROXY

Preluare și validare cereri De autentificare De date

Securitate – TSL, HTTPS, autentificare mutuală (certificate)

Arhitectura sistemului – Componente server

Load Balancer

ATHOS Service

Computing Service

Worker n

Worker 2

Worker 1

Arhitectura sistemului – Componente server

Computing ServiceConstruire task-uri

Returnare date aplicaţie şi utilizator Asignare priorităţi Preluare template din baza de date

Monitorizare Task-uri Nivel de încărcare sistem

Administrare și stocare informații statistice Workeri

Load Balancer

ATHOS Service

Computing Service

Worker n

Worker 2

Worker 1

Arhitectura sistemului – Componente server

Load BalancerDistribuţie task-uri pe resurse

Optimizare respectare cerinţe licenţe Optimizare utilizare resurse Optimizare capacitate procesare

ATHOS Service

Computing Service

Worker n

Worker 2

Worker 1

Load Balancer

Arhitectura sistemului – Componente server

WorkerManagement procese de autentificare

API autentificare biometrică Procesare pe unităţi de calcul multi-core (CPU) şi

many-core (GPU)

Load Balancer

ATHOS Service

Computing Service

Worker n

Worker 2

Worker 1

Arhitectura sistemului – Componente server

Data ServiceAutorizare şi servire cereri de dateValidare şi stochare date

Aplicaţii Utilizatori Specimene Componente

Security ModuleHashingCriptare

Notifier

Error Logging Service

Log-uri

SecurityModule

Data Service

AplicațiiUtilizatoriSpecimene

Arhitectura sistemului – Componente server

Error Logging ServiceÎnregistrare evenimente componenteNotificare prin e-mail la nivel de aplicație și

sistem Periodică La cerere

Generare rapoarte la nivel de aplicație și sistem Periodică La cerere

Notifier

Error Logging Service

Log-uri

SecurityModule

Data Service

AplicațiiUtilizatoriSpecimene

Arhitectura sistemului – Componente server

ATHOS PortalAdministrare aplicaţiiAdministrarea utilizatoriAdministrare (parţială) componente sistemStocare template-uriConfigurare serviciilor auxiliare (logare,

raportare)

PROXY Inspector

ATHOS Portal

License Administration

Module

Arhitectura sistemului – Componente server

PROXY InspectorPermite procesarea de task-uri la clientMonitorizează modulele de procesare sub-task-

uri

License Administration ModuleModul ATHOS sau third-partyAdministrare licenţe comerciale de utilizare

PROXY Inspector

ATHOS Portal

License Administration

Module

Funcționalități specifice integrării ATHOS

Modul achiziție

semnături

Arhitectura sistemului – Componente client

PROXYModul comunicație cu ATHOS

Interoperabilitate Acces securizat

Redirecționare sub-task-uriAplicație client

Modul achiziție semnăturiCod specific integrării cu ATHOSCod specific aplicației

Client Execution Module

PROXY

Aplicație client

Client Execution Module

Flux de utilizare - autentificare

SecurityModule

Load Balancer

ATHOS Service

Computing Service

Worker

Semnătură în format BIR

Data Service

PROXYAplicație

client

Modul achiziție

semnături

Cerere de autentificare

generată la nivel de aplicație

Cerere de autentificare în format standard

ATHOS

Cerere date aplicație/utilizatorCerere template

Template criptat

Template decriptat

Task autentificareCerere de procesare

Rezultat procesare

Rezultat task

Răspuns cerere de autentificare

Răspuns cerere de autentificare

Algoritm de planificare

Algoritm dezvoltat de echipa SOFTWIN, în curs de brevetare (US PTO)

Distribuția task-urilor de autentificare pe resursele disponibileRespectare SLAUtilizare eficientă resurseDegradare uniformă a performanțelor la

încărcare

Algoritm de planificare

Module auxiliare specifice

Structură de date pentru stocarea task-urilor

Modul distribuție/planificare

Modul monitorizare

Modul de estimare a stării/performanțelor

Modul construire task-uri

Sub-modul prioritizare

Sub-modul clasificare

Algoritm de planificare

Schemă de prioritizare pe baza SLA

Determinare proporționalitatetask-uri urgente și non-urgente

Clasificare resurse pe baza proporționalității task-urilorCapacitatePutere de procesareNivel de încredere

][][

][][

max

min iPN

iN

iT

TjP group

Securitate

Conexiune securizată între clienți și core-ul ATHOS (TSL)

Stocarea criptată a template-urilor (AES)

Autentificare și autorizare la nivel de servicii ATHOS

Tehnologii

PerformanțeRespectare SLA

Degradare performanțe„Stress testing”14% deviație standard a degradării

performanțelor per aplicații

Încărcare Condiție SLA Grad respectare

Normală Număr de cereri garantat pe minut

100%

Timp garantat de răspuns 100%

Ridicată Număr de cereri garantat pe minut

99.6%

Timp garantat de răspuns 90%

PerformanțeCapacitate de procesare Workeri

Configurație hardware Număr procese autentificare

Număr cereri / 60 de secunde

Timp mediu de răspuns (milisecunde)

Intel Core 2 Duo CPU 2 120 487

Intel Core i5-3320M 1 350 249

Intel Core 2 Duo E7400GPU (2 x nVidia GeForce GTX

275)

2 900 385

Intel Xeon X5560 3 120 722

Intel Xeon E5-2407 4 600 398

Intel Core i5-2500GPU (3 x nVidia GeForce GTX

570)

3 4000 291

PerformanțeScalabilitate

1 2 4 80

5001000150020002500300035004000

Scalabilitate la adăugare de resurse

Task-uri / minut

Nr. Workeri

1 2 30

1000

2000

3000

4000

5000

Scalabilitate la adăugare de procese

Task-uri / minut

Nr. PROCESE

PerformanțeÎncărcare resurse

Task-uri / minut Task-uri rezolvate pe resursa 1 (%)

Task-uri rezolvate pe resursa 2 (%)

200 50% 50% (50%-0%)

400 50% 50% (48%-2%)

600 50% 50% (30%-20%)

800 52% 48% (23%-25%)

1000 46% 54% (27%-27%)

1200 41% 59% (29%-30%)

PerformanțePână la 5000 cereri pe minut (7,2 milioane

cereri/zi)Server de date

Intel Xeon E5-2407, CPU: 2.40 GHz, 2 proc. x 8 core x 1 thread

Server central Intel Xeon E7302, CPU: 2.13GHz, 4 core X 4 threads

Workeri Intel Core 2 Duo CPU 3 x Intel Core i5-3320M Intel Core 2 Duo E7400, GPU (2 x nVidia GeForce GTX 275) Intel Core i5-2500, GPU (3 x nVidia GeForce GTX 570)

Informații suplimentare A. Salinca, S. M. Rusu, Ș. Diaconescu: An approach to data

collection in an online signature verification system, 8th International Conference on Web Information Systems and Technologies, Porto, Portugal 18 – 21 April 2012, WEBIST

A. Salinca, S. M. Rusu, A. M. Pricochi: SOA–Based Authentication System for Dynamic Handwritten Signature, Advances in Information Systems and Technologies, 735-744, Springer Berlin Heidelberg, 2013

A. M. Pricochi, A. Salinca, S. M. Rusu, B. Ivașcu: A Dynamic Load Balancing Strategy for a Distributed Biometric Authentication System, 9th International Conference on Web Information Systems and Technologies, Aachen, Germany 8 – 10 May 2013, WEBIST

Demo

ATHOS

Athos PortalAplicaţie

demonstrativă de tip HomeBank

Click icon to add picture

Demo flux de utilizare ATHOS

Aplicaţie demo de tip HomeBank

Autentificare prin semnătura dinamică olografă folosind ATHOS

Dezvoltare aplicaţie conform SDK

Adaugare utilizator în aplicaţia din ATHOS

Adăugare aplicaţie în ATHOS

Procurare licenţă Inserare în sistem Activare aplicaţie

Adăugare subiect în ATHOS

Creare cont Activare cont

Demo – facilități

ATHOSÎnregistrare

Autentificare

Management utilizatori•Sincronizare utilizatori aplicaţie

•Sincronizare date aplicaţie

Notificare evenimente

Rapoarte şi statistici

Management de securitate

SDK

Discuţii - Întrebări şi răspunsuri

Vă mulţumim!