RSA+SecurID身份认证解决方案.docx

1、RSA+SecurID身份认证解决方案 RSA SecurID动态身份认证系统建议方案2014年3月目 录1.身份认证需求 - 3 -1.1. 网络信息安全必须实现的五大需求 - 3 -1.2. 身份认证需求 - 3 -2.RSA AM 8.0结合VPN保护解决方案 - 5 -2.1. 防火墙和VPN保护 - 5 -2.2. RSA AM8.0性能优势 - 7 -2.3. RSA AM8.0认证服务器部署要求 - 10 -3.RSA SecurID身份认证功能详解 - 11 -3.1. RSA SecurID：强大的双因素认证系统 - 11 -3.2. RSA SecurID双因素认证系统组件

2、 - 12 -3.2.1. 认证服务器（ACE/Server） - 13 -3.2.2. RSA SecurID认证令牌 - 14 -3.2.3. 代理软件（ACE/Agent） - 14 -3.2.4. ACE/Server容错和负载均衡 - 15 -3.2.5. 支持与目录服务器的资料自动同步 - 15 - 4.基于时间同步技术双因素身份认证架构图 - 17 -4.1. RSA SecurID时间同步原理架构图 - 17 -4.2. 时间同步原理讲解图 - 17 -4.3. 基于时间同步的双因素口令 - 18 -4.4. RSA双因素令牌种类简介 - 18 -5.售后服务 - 19 -6.

3、客户举例 - 19 -7.产品市场占有率情况 - 21 -1. 身份认证需求1.1. 网络信息安全必须实现的五大需求网络信息安全是指通过保护网络程序、数据或者设备，使其免受非授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全必须有效地实现以下各种功能： 身份认证（Authentication）鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。 授权（Authorization）用一些特殊的参数表明访问（或存取）的权限。 保密性（Confidentiality）使信息只被授权用户享用，确保

4、通信机密。 完整性（Integrity）确保数据的完整和准确。 不可否认（Nonrepudiation）验明身份后，不能够拒绝传送和接受。在所有功能中，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。1.2. 身份认证需求众所周知，计算机与信息犯罪在近年正在呈现出上升的趋势。FBI与计算机安全机构近期的研究表明，过去一年里在调查的公司中，32的公司向执行官员报告发生严重事件，较前几年几乎翻了一翻；在调查过程中，报告遭受经济

5、损失的公司中，平均损失高达760，000美元，几乎相当于1998年以来经济损失总和的50。很明显，攻击日益频繁，且导致越来越大的经济损失，因此各公司都必须采取有效措施，保护其信息资源。如今，决定着电子商务进一步发展必要基础的信息安全技术得到不断发展，会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部分。令人遗憾的是，虽然每种技术都旨在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但面队形形色色的信息犯罪，却没有一种单独应用的安全措施或方法能够消除所有风险。在这种情况下，各机构就需要根据受破坏可能性以及可能导致的损失程度，来评估预防措施的成本。例如，根据FBICS

6、I的调查报告显示，最普遍的信息安全问题来自于病毒感染，根据数据显示，在能够确定损失数额的机构中，90的危害是由病毒感染引起的，而因此导致的平均损失数额约为45，500美元；约65的被调查者则受到来自膝上型电脑系统被盗的影响，每年由此类事件所导致的平均损失约为87，000美元。但与电子盗窃或金融欺诈相比，上述问题就是小巫见大巫了。例如，尽管窃取机密信息可能不象病毒感染或膝上型电脑被盗普遍，但其危害性却更高，为每家受害公司所带来的平均经济损失高达180万美元；而金融欺诈所导致的平均损失则约为150万美元。虽然这些犯罪发生的频率低于病毒感染或膝上型电脑被盗，但由此造成的经济损失却高出许多。目前为止，

7、企业中存在大量的网络设备，对于这些网络设备的保护至关重要，如果非法用户获得管理员的帐号到网络设备上作了非法修改有可能导致整个网络系统的瘫痪，所以有必要对进入网络设备进行配置的人员进行认证。同时，对于整个网络系统来说，有许多从互联网进入企业内部网络的接口，如拨号服务器、防火墙和VPN网关，我们知道互联网是非常不安全的，如果黑客获得了合法人员的口令就可以冒充合法人员进入企业内部网络，盗取关键的业务数据，对网络进行恶意破坏，这样企业就面临非常严重的后果，同时对于哪些被盗取口令的用户，他们本身并不知觉，黑客每天都在冒充他的身份访问网络，最终的责任还可能由自己承担。需要指出的是，许多最具危害性的犯罪都拥

8、有共同的特点：即绕过口令保护获取对信息或资源的访问权限。虽然对于非关键系统的安全性而言，使用基本的口令保护已经足够了，但公司最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是，现在有了单独使用的安全防护方法，能够解决由口令泄密导致的所有入侵问题：即用强大的用户认证系统替代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源的破坏。口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大大加强。但是，实际上网络用户中谨慎设置口令的用户却很少，这对计算机内信息的安全保护带来了很大的隐患。网络信息系统的设计安全再强，如果

9、用户选择的口令不当，仍然存在被破坏的危险。用户对口令的选择，存在着以下几个误区： 误区之一：用“姓名数字”作口令，许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。 误区之二：用单个的单词或操作系统（如：DOS命令作口令）。 误区之三：多个主机用同一个口令，将导致一个主机口令被窃从而影响多台主机的安全。 误区之四：只使用一些小写字母作为口令，使得用字典攻击攻破的概率大增。以上四个口令设置的误区，将给信息保密与网络安全带来隐患，网络用户和管理员应切实注意自己的口令设置，不给非法用户以得逞之机。此外，还可以从一个合法的终端上窃听会话并记录所使用的口令，采用这种方法，无论你所选择的口

10、令如何好都无济于事。例如HTTP和Telnet协议都是不安全的网络协议，传输过程中不作任何加密，其他人只要在传输过程中安装Sniffer程序就可以非常方便地获得合法用户的口令就可以。目前为止，所有的用户口令都是存放在数据库中，如果口令字段未做任何加密的话，黑客也可以通过攻击数据库来获得合法用户的口令。对于系统管理员来说，每天接到的求助电话中50%以上都是有关用户口令的问题，比如用户遗忘了口令或者系统提示口令出错无法登录，给管理员带来很大的负担。所以必须选择一种更有效的方式进行用户身份的确认。2. RSA AM 8.0结合VPN保护解决方案2.1. 防火墙和VPN的保护 由于互联网的应用越来越广

11、泛，使用VPN实现远程接入的方式也越来越广泛。但是同样遇到了棘手问题，如何确保从互联网接入内部网络的人员的身份呢？VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性，但是只有与SECURID一起使用才能确保企业网络的安全性。 市场上主流的VPN厂商已经集成了RSA代理软件在VPN设备中，管理员只需要在图形界面上非常简单地配置就可以实现SECURID功能。当用户需要通过防火墙或者VPN网关接入企业内部网络时，必须输入用户名和双因素Passcode，然后由这些网络设备内置地代理软件或者标准的RADIUS协议将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资

12、源，否则就会被拒绝在外。目前支持的防火墙和VPN厂商包括CISCO、Checkpoint、Juniper、Nortel和Nokia等厂商。请参考Juniper_SA_SSL_VPN登陆界面：Cisco VPN Client登陆界面：Check Point VPN-1/Firewall-1登陆界面：2.2. RSA AM 8.0性能优势 通过减少用于部署、管理、问讯台资源调配以及故障排除的时间，RSA Authentication Manager 8.0 可帮助降低成本。全面测试的结果表明，和之前的版本以及行业预期值相比，8.0 部署更加可靠、优势也更加明显。部署节约使用安装了适用于 RSA A

13、uthentication 7.1 的 RADIUS 的 Microsoft Windows 电脑上的主实例，以及安装了适用于 8.0 的 RADIUS 的 VMware Virtual Appliance 上的主实例进行部署时间测试。AM 7.1AM 8.0结果安装（每个实例） 40 分钟18 分钟缩短 55%使用全新的 Web 层对 DMZ 服务器安装和配置（CT-KIP，自助服务）进行安装时间测试。AM 7.1AM 8.0结果DMZ 安装（每个实例）240 分钟*60 分钟缩短 75%管理节约AM 7.1AM 8.0结果主机名/IP 地址更改90 分钟10 分钟缩短 89%证书更换60

14、分钟10 分钟缩短 83%合并备份（包含 RADIUS）30 分钟20 分钟缩短 33%灾难恢复（包含 RADIUS）少于 60 分钟少于 20 分钟缩短 66%使用 CT-KIP 进行软件令牌分配使用 AM 7.1 和 8.0 中都包含的 CT-KIP 协议 (RFC 4758) 进行软件令牌分配。该测试涉及到从分配到在终端用户设备上完成安装的这段时间。AM 7.1AM 8.0结果软件令牌分配60 秒25.7 秒缩短 57%这些节约在很大程度上都要归功于这个原因：管理员在发送之前，会根据设备类型对 URL 进行重新设置。问讯台节约有了全新的用户控制面板之后，使用控制面板解决问讯台问题的时间缩

15、短了约 64%。尤其是当涉及到一系列任务中有多个问讯台管理员时，节约就更加明显。AM 7.1AM 8.0结果清除 PIN45.1 秒14 秒缩短 69%使用软件令牌更换硬件令牌65.8 秒35.4 秒缩短 46%启用紧急访问42.4 秒11.1 秒缩短 74%解除锁定用户47.7 秒11.2 秒缩短 77%令牌重新同步17.6 秒11.2 秒缩短 36%性能节约综合解决方案的整体性能提升显著，主要体现在每秒针对使用一次性密码的人进行身份认证的次数大幅增加。AM 7.1AM 8.0结果每秒 OTP 认证175500缩短 186%可管理性 RSA Authentication Manager 包含

16、了一些内置功能，可以解决与管理企业身份验证套件相关的最耗时且最为昂贵的任务。用户仪表板是一种便捷的单窗格视图，旨在让服务台管理员快速解决最常见的用户查询请求，而无需运行多份报告或多个搜索。可定制的自助服务控制台能够让用户管理各自的身份验证方法，是另一项可以节省 IT 人员时间的功能。自助服务门户部署在网络的 DMZ 区，可以让用户更改各自的 PIN 、申请更换令牌、申请紧急访问以及使用其他故障排除服务。充分发挥虚拟环境的潜能 RSA Authentication Manager 可以让公司全面利用 VMware ESX 或 ESXi 虚拟化，大大简化部署工作。虚拟化还可以提高可管理性。简化的补

17、丁安装操作可以让公司快速更新系统。虚拟设备、底层操作系统和 RSA Authentication Manager 软件的更新全都在一个服务包中，因此无需担心要分别管理系统的不同层。 互操作性 RSA Authentication Manager 能够与市面上的许多主要网络基础设施和操作系统产品之间实现互操作。Secured by RSA 计划是同类最大的联盟计划之一，汇集了数百种互补的解决方案。Secured by RSA包括来自超过 200 家供应商的 400 多种产品，能够确保公司实现最大的灵活性和投资保护。领先的远程接入产品、VPN、防火墙、无线网络设备、web 服务器和商业应用供应商在

18、其产品中都集成了对 RSA Authentication Manager 的支持。2.3. RSA AM 8.0认证服务器部署要求：3. RSA SecurID身份认证功能详解RSA能为客户提供完整的解决方案，帮助用户实现信息安全所需要解决的所有5个需求。3.1. RSA SecurID：强大的双因素认证系统在面临网络安全威胁时，用户非常需要有一个相对安全的、性能稳定可靠的、易于使用和管理的身份认证系统，做到可以用非常小的投入来满足电子商务的安全性要求。这正是RSA SecurID网络身份认证系统的获得广泛认可和接受的根本原因。强大的用户认证系统RSA信息安全解决方案建立在“双因素认证”基础上

19、。该方法的前提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到或盗窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素以使认证的确定性按指数递增。例如，银行ATM卡就是一个广泛采用的双因素认证机制，ATM卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。借助强大的用户认证系统，管理员首先需要向授权的用户发放单独的认证设备，此认证设备根据时间变化，每分钟都会生成一个唯一的不可预测的令牌码，用户个人码再与令牌码组合，形成双因素认证代码，通过时间同步技术将认证服务器与每个认证令牌同步，只有服务器能够分辨该时刻的

20、合法认证代码，确保了高度安全性。在常用的网络安全技术中，身份认证技术是其它安全技术的基础，通过与其它技术结合，能提供更安全、更适合应用的解决方案。局域网、远程拨号、Internet/VPN连接或Intranet/Extranet应用中的用户认证，所有这一切都可以通过RSA ACE/Server(也称为RSA Authentication Manager)完成。当用户试图访问受保护的系统时，连接设备中内置的专用代理软件（称为RSA AM/Agent）将启动一个RSA ACE/Server认证会话，而不是基本密码会话。大多数领先的远程访问服务器、防火墙、VPN、路由器、Internet服务器和In

21、ternet浏览器产品都内置了与RSA ACE/Server双因素认证系统的兼容能力；此外，TACACE+和RADIUS认证系统均支持RSA ACE/Server会话。在强大的认证会话中，用户需要输入用户名及由RSA SecurID认证设备生成的用来代替密码的令牌代码，外加一个PIN号码，由代理软件传输给RSA ACE/Server，如果信息有效，RSA ACE/Server将允许用户访问。用户将被授予与其通行证等级相对应的访问权限，这一权限被RSA ACE/Server记录在日志文件中。 据IDC的权威统计，RSA在全球身份认证市场获得70以上的市场份额，成为身份认证市场的事实标准。同时，R

22、SA SecurID获得全球357个产品的支持（截至06年11月资料），可以最大限度保护用户的投资。3.2. RSA SecurID双因素认证系统组件RSA SeucrID由认证服务器RSA ACE/Server、代理软件RSA AM/Agent、认证设备以及认证应用编程接口（API）组成(如下图所示)。3.2.1. 认证服务器（ACE/Server）在RSA SecurID解决方案中，RSA ACE/Server软件是网络中的认证引擎，由安全管理员或网络管理员进行维护，可以实现以下功能： 企业认证：RSA ACE/Server只允许能够提供无法猜测和复制的令牌代码以及静态PIN码的用户接入系

23、统，这将在极大程度上保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风险。即使是拥有上千个用户和多个办公室的企业网络，仍能受到RSA ACE/Server的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。 访问控制：RSA ACE/Server允许用户定义合适的安全策略，可以有效保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。 规避攻击：黑客会使用各种无法预料的方法来接入网络。RSA ACE/Server可以识别威胁情况，然后报告给UNIX系统日志或Windows NT事件日志。例如，当有人多次试图接入远

24、程访问端口、数据文件或防火墙时，RSA ACE/Server会向系统管理员发出报警，帮助发现并在导致损失前采取相应防范措施。 用户责任：通过使用某个员工的密码，可以在该员工不知情或不同意的情况下侵入系统。由于RSA ACE/Server双因素认证要求输入用户令牌代码和个人PIN，因此进一步确保了员工不会被任何非法访问事件所牵连。这种特性，再加上RSA ACE/Server能够报告对所有保护资源的访问情况，可以帮助员工识别其对信息安全的责任，并采取相应的措施。此外，黑客经常试图抹掉自己的足迹，RSA ACE/Server的访问历史日志则可以作为犯罪调查和取证的重要组成部分。3.2.2. RSA

25、SecurID认证令牌利用RSA信息安全公司的RSA SecurID系列认证令牌确保用户合法性，保证网络访问安全性。RSA SecurID认证令牌可以以硬件、软件和智能卡等多种形式向用户提供。在硬件中，最常见的形式是钥匙链，该装置拥有内置芯片和一个可以显示多达8位数字的LCD窗口，但其体积很小，可以系在钥匙环上。RSA公司在发售这种装置时，已经使用唯一的128位种子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个明显随机的数字。除钥匙链型号外，其它令牌类型包括信用卡大小的认证令牌和需要输入用户PIN以显示令牌码的RSA SecurID PINPAD，运行在普通PC、

26、Palm、WinCE操作平台上以及在智能卡和USB中存储种子的软件令牌，以及通过SMS短消息认证用户的短消息令牌。所有RSA SecurID认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。3.2.3. 代理软件（ACE/Agent）实现这种强大的认证功能的中间代理软件称为RSA AM/Agent。该代理软件的功能类似于保安人员，用来实施RSA ACE/Server系统建立的安全策略。一个RSA ACE/Server可以支持几千个RSA Agents，为保护企业资源提供巨大的容量。RSA AM/Agent是一种设备专用代理软件，已经内置在大多数业内主流的网络设备和浏览器以及Web

27、服务器软件系统中，允许安全管理员通过鼠标点击，而不是编写代码，为用户和保护的资源选择和应用相应的设置。3.2.4. ACE/Server容错和负载均衡由于会在关键的应用中使用双因素认证，如果ACE/SERVER死机，所有的用户均无法访问这些资源，给用户的使用带来很大不便，所以RSA建议为了减少停机的可能，至少应该安装两台RSA ACE/SERVER，一台为主服务器，另一台为备份服务器，这样任何一台服务器的死机不会影响整个认证过程。同时，最新的RSA AGENT代理软件会自动寻找相应最快的RSA ACE/SERVER服务器，比较多的认证请求会送到较快的认证服务器处理，既实现了容错，又实现了自动负

28、载均衡处理。RSA ACE/Server可以运行于Solaris、AIX、HP-UX和Windows操作系统平台上。一个RSA ACE/Server可以提供百万级用户数的容量。RSA ACE/Server有两种许可证：基本许可证（Base License）和高级许可证（Advanced License）。基本许可证允许用户安装一台主服务器（Primary Server）和一台从服务器（Replica Server）；而高级许可证允许部署最多6个服务器域（Realm），每个域由一台主服务器和最多十台从服务器组成，这种架构不仅确保了有效性，同时可以适合大型的全球网络拓扑结构。3.2.5. 支持与目

29、录服务器的资料自动同步现在许多企业均采用目录服务器来集中管理用户的帐号，这种集中式的管理给管理员带来极大的方便。而在ACE/Server中也必须维护一套用户帐号，管理员需要在ACE/Server中为用户分配令牌，控制用户访问不同的网络资源。对于管理员来说需要同时维护两套用户帐号会增加管理上的负担，这就需要用到ACE/Server中自带的强大的目录服务器同步功能。此功能允许管理员在目录服务中维护完整的用户帐号，同时在RSA ACE/Server中维护所有的令牌资料，管理员可以通过事先定义好的目录服务器与与ACE/Server的映射关系，自动添加目录服务器中的所有的或者一部分用户帐号到RSA AC

30、E/Server中。以后所有的用户信息的添加、删除和修改都在目录服务器上完成，RSA ACE/Server会自动将这些信息复制到自己的数据库中，无须管理员手工介入，管理员只需要在RSA ACE/Server中为用户分配令牌并控制其访问权限即可。目前为止RSA ACE/Server可以支持三种目录服务：Microsoft Active Directory、iPlanet Directory Server 和 Novell NDS eDirectory。在配置目录服务器自动同步功能时，需要指定目录服务器的IP地址和端口号，同步的起始时间和同步时间间隔并且最好使用SSL加密整个连接。有可能在目录服务

31、器中存放大量的用户数，并不是所有用户都需要自动同步到RSA ACE/Server中，可以在目录服务器中建立特定的OU，将相关用户放置于此特定的OU中，然后设定RSA ACE/Server仅同步此特定的OU，减少了同步用户的数量。4. RSA SecurID身份认证功能详解4.1. 基于时间同步技术双因素身份认证架构图使用RSA信息安全公司基于专利技术的时间同步双因素身份认证系统，可以确保有权限的人访问与其权限相符的资源。4.2. 时间同步原理讲解图4.3. 基于时间同步的双因素口令在使用RSA信息安全公司SecurID解决方案后，一个完整的口令我们称之为passcode，它是由用户自己设定的4到8位的PIN码和动态的令牌码构成。4.4. RSA双因素令牌种类简介 户i全公司才供完整的_