RSA身份认证解决方案.docx

1、RSA身份认证解决方案网 络 安 全 认 证 方 案建 议 书目录第一章 网 络 信 息 安 全 需 求 概 述 211 网络信息安全需求 212 信息安全风险评估 4第二章 需 求 分 析 521 现行网络、信息及应用环境 522 存在的安全问题 5第三章 网 络 安 全 认 证 解 决 方 案 731 方案概述 732 拨号服务器和VPN保护 1133 UNIX/Linux主机保护 1234 Web服务器保护 1335 Windows NT/2000共享目录保护 1436 Oracle数据库保护 1537 LDAP目录 16第四章 RSA ACE/Server功 能 详 解 18附录一：R

2、SA公司介绍 19第一章 网 络 信 息 安 全 需 求 概 述11 网络信息安全需求 Internet是一种开放和标准的面向所有用户的技术，其资源通过网络共享。资源共享和信息安全是一对矛盾，随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题便日益突出，网上的犯罪活动加速增长。确保网络系统的信息安全是网络安全的目标，对网络系统而言，信息安全主要包括两个方面：信息的存储安全和信息的传输安全。信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调用等，一般通过设置访问权限、身份识别、局部隔离等措施来保证。针对“外部”的访问、调用而言的访问控制技术是解

3、决信息存储安全的主要途径。在网络系统中，无论是任何调用指令，还是任何信息反馈均是通过网络传输实现的，所以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程中的安全。为确保网络信息的传输安全，尤其需要防止如下问题： 对网上传输的信息，攻击者只需在网络的传输链路上通过物理或逻辑的手段，就能对数据进行非法的截获与监听，进而得到用户或服务方的敏感信息。 对用户身份仿冒这一常见的网络攻击方式，传统的对策一般采用口令认证方式防护，但是，用于用户身份认证的口令在登录时常常是以明文的方式在网络上进行传输的，很容易就被攻击者在网络上截获，进而可以对用户的身份进行仿冒，使口令认证机制被攻

4、破。 攻击者有可能对网络上的信息进行截获并且篡改其内容（增加、截去或改写），使用户无法获得准确、有用的信息或落入攻击者的陷阱。 某些用户可能对自己发出的信息进行恶意的否认，例如否认自己发出的转帐信息等。在网络信息的存储、传输和使用过程中，网络安全通过保护网络程序、数据或者设备，使其免受非授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全必须有效地实现以下各种功能： 身份认证（Authentication）鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。 授权（Authorization

5、）用一些特殊的参数表明访问（或存取）的权限。 保密（Confidentiality）使信息只被授权用户享用，取保通信机密。 完整性（Integrity）取保数据的完整和准确。 不可否认（Nonrepudiation）验明身份后，不拒绝传送和接受。在所有功能中，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密、完整性、不可否认等环节作的很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。12 信息安全风险评估 众所周知，计算机与信息犯罪在近年正在呈现出上升的趋势。FBI与计算机安全机构近期的研究表明，过去

6、一年里在调查的公司中，32的公司向执行官员报告发生严重事件，较前几年几乎翻了一翻；在调查过程中，报告遭受经济损失的公司中，平均损失高达760000美元，几乎相当于1998年以来经济损失总和的50。很明显，攻击日益频繁，且导致越来越大的经济损失，因此各公司都必须采取有效措施，保护其信息资源。 如今，决定着电子商务进一步发展必要基础的信息安全技术得到不断发展，会话加密、防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部分。令人遗憾的是，虽然每种技术都旨在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但面队形形色色的信息犯罪，却没有一种单独应用的安全措施或方法能够消除所有风险。

7、在这种情况下，各机构就需要根据受破坏可能性以及可能导致的损失程度，来评估预防措施的成本。例如，根据FBICSI的调查报告显示，最普遍的信息安全问题来自于病毒感染，根据数据显示，在能够确定损失数额的机构中，90的危害是由病毒感染引起的，而因此导致的平均损失数额约为45500美元；约65的被调查者则受到来自膝上型电脑系统被盗的影响，每年由此类事件所导致的平均损失约为87000美元。 但与电子盗窃或金融欺诈相比，上述问题就是小巫见大巫了。例如，尽管窃取机密信息可能不象病毒感染或膝上型电脑被盗普遍，但其危害性却更高，为每家受害公司所带来的平均经济损失高达180万美元；而金融欺诈所导致的平均损失则约为1

8、50美元。虽然这些犯罪发生的频率低于病毒感染或膝上型电脑被盗，但由此造成的经济损失却高出许多。 需要指出的是，许多最具危害性的犯罪都拥有共同的特点：即绕过口令保护获取对信息或资源的访问权限。虽然对于非关键系统的安全性而言，使用基本的口令保护已经足够了，但公司最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是，现在有了单独使用的安全防护方法，能够解决由口令泄密导致的所有入侵问题：即用强大的用户认证系统替代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源的破坏。第二章 需 求 分 析21 现行网络、信息及应用环境22 存在的安全问题 某某公司已经实现了完整的网

9、络支持体系，但是我们还是发现了系统中的不安全地方。我们可以看到，某某公司中所有的主机访问、应用程序访问以及身份认证非常薄弱的远程拨号访问中，均是采用用户名和口令的认证方式。口令是网络信息系统最常用的安全与保密措施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大大加强。但是，实际上网络用户中谨慎设置口令的用户却很少，这对计算机内信息的安全保护带来了很大的隐患。曾有人在互联网上选择了几个网点，用字典攻击法在给出用户名的条件下，测出70的用户口令只用了30多分钟，80用了2小时，83用了48小时。 网络信息系统的设计安全再强，如果用户选择的口令不当，仍然存在被破坏的危险。用户对口令的选

10、择，存在着以下几个误区：误区之一：用“姓名数字”作口令，许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。误区之二：用单个的单词或操作系统（如：DOS命令作口令）。误区之三：多个主机用同一个口令，将导致一个主机口令被窃从而影响多台主机的安全。误区之四：只使用一些小写字母作为口令，这样是字典攻击发攻破的概率大增。以上四个口令设置的误区，将给信息保密与网络安全带来隐患，网络用户和管理员应切实注意自己的口令设置，不给非法用户以得逞之机。此外，从一个合法的终端上窃听会话并记录所使用的口令。采用这种方法，无论你所选择的口令如何好都无济于事，你的帐号，而且很有可能你的系统，都将被破坏。第三

11、章 网 络 安 全 认 证 解 决 方 案31 方案概述强大的认证系统：RSA ACE/Server系统强大的用户认证系统RSA安全解决方案建立在“双因素认证”基础上。该方法的前提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到或盗窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素，以使认证的确定性按指数递增。例如，银行ATM卡就是一个广泛采用的双因素认证机制，ATM卡需要将有效卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资金的访问。借助强大的用户认证系统DRSA安全解决方案，可以向授权的员工发放单独登记的设备，以生成个

12、人使用令牌代码，这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌代码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。协同工作：服务器、客户端和中间代理软件局域网、远程拨号、Internet/VPN连接或Intranet/Extranet应用中的用户认证，所有这一切都可以通过RSA ACE/Server完成。当用户试图访问受保护的系统时，连接设备中内置的专用代理软件（称为RSA ACE/Agent）将启动一个RSA ACE/Server认证会话，而不是基

13、本密码会话。大多数领先的远程访问服务器、防火墙、VPN、路由器、Internet服务器和Internet浏览器产品都内置了与RSA ACE/Server双因素认证系统的兼容能力；此外，TACACE+和RADIUS认证系统均支持RSA ACE/Server会话。在强大的认证会话中，用户需要输入用户名及由RSA SecurID 认证设备生成的用来代替密码的令牌代码，外加一个PIN号码。该代理软件先使用只有保护的设备才知道的其它数据，把用户提供的信息打乱，然后再一部分一部分地传输给RSA ACE/Server，如果信息有效，RSA ACE/Server将允许用户访问。用户将被授予与其通行证等级相对应

14、的访问权限，这一权限被RSA ACE/Server记录在日志文件中。 RSA ACE/Server： RSA ACE/Server是网络中的认证引擎。RSA ACE/Server由安全管理员或网络管理员进行管理，主要用于： 向任何的个人签发认证令牌证。 设置并实施安全策略，保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。 创建用户访问日志。 定义和报告报警情况，如某个网络端口访问失败重试次数。 RSA ACE/Server运行于Sun Solaris、IBM AIX、HP UNIX和Windows NT/2000操作系统平台上。一

15、个RSA ACE/Server可以为1，000，000个用户提供保护，具体取决于服务器的容量。多达20个RSA ACE/Server可以进行互操作，在企业网络内部管理单独的域，一周七天、全天24小时提供故障切换保护能力，并实时互为备份。RSA SecurID： 利用RSA安全公司的RSA SecurID系列认证令牌确保用户合法性，保证网络访问安全性。RSA SecurID认证令牌可以以硬件、软件和智能卡等多种形式向用户提供。在硬件中，最常见的形式是钥匙链，该装置拥有内置芯片和一个可以显示多达8位数字的LCD窗口，但其体积很小，可以系在钥匙环上。RSA公司在发售这种装置时，已经使用唯一的64位种

16、子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一个明显随机的数字。 除钥匙链型号外，其它令牌类型包括信用卡大小的认证令牌和需要输入用户PIN以显示令牌码的RSA SecurID PINPAD，运行在Palm计算平台上的应用软件和在智能卡中存储种子的版本。 所有RSA SecurID认证令牌均使用已获专利的相同的算法来完成令牌码的散列和加密功能。RSA ACE/Agent： 实现这种强大的认证功能的中间代理软件称为RSA ACE/Agent。该代理软件的功能类似于保安人员，用来实施RSA ACE/Server系统建立的安全策略。RSA ACE/Agent是一种设备专用

17、代理软件，已经内置在大多数业内主流的网络设备和浏览器以及Web服务器软件系统中。此外，RSA信息安全公司还推出了针对Windows NT/2000的RSA ACE/Agent。 一个RSA ACE/Server可以支持几千个RSA Agnets，为保护企业资源提供巨大的容量。RSA ACE/Agent软件管理及策略设置可以通过Windows NT/2000控制面板完成，允许安全管理员通过鼠标点击，而不是编写代码，为用户和保护的资源选择和应用相应的设置。客户自动注册功能则可以在每个代理软件中自动完成设置创建及更新任务，并确保安全性。通过RSA ACE/Server认证系统防止非法访问企业认证：

18、RSA ACE/Server只允许能够提供无法猜测或复制的令牌代码/PIN的用户接入系统，这将在极大程度上保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风险。即使是拥有上千个用户和多个办公室的企业网络，仍能受到RSA ACE/Server的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。访问控制： 借助RSA ACE/Server所提供的功能，企业可利用RSA ACE/Agent软件保护各种访问端口、数据文件、应用及其它资源。例如，RSA ACE/Agent for Windows NT为已有的NT Domain 和NT IIS访问控制机制提供了强大的认证能力；同样

19、，它还针对外部攻击和员工的恶意破坏提供了重要保护能力。规避攻击： 黑客会使用各种无法预料的方法来接入网络。RSA ACE/Server可以识别威胁情况，然后报告给UNIX系统日志或Windows NT事件日志。例如，当有人多次试图接入远程访问端口、数据文件或防火墙时，RSA ACE/Server会向系统管理员发出报警，帮助发现并在导致损失前采取相应防范措施。用户责任： 通过使用某个员工的密码，可以在该员工不知情或不同意的情况下侵入系统。由于RSA ACE/Server双因素认证要求输入用户令牌代码和个人PIN，因此进一步确保了员工不会被任何非法访问事件所牵连。这种特性，再加上RSA ACE/S

20、erver能够报告对所有保护资源的访问情况，可以帮助员工识别其对信息安全的责任，并采取相应的措施。此外，黑客经常试图抹掉自己的足迹，RSA ACE/Server的访问历史日志则可以作为犯罪调查和取证的重要组成部分。使用强大的认证功能灵活地使用RSA ACE/Server，以各种方式保护公司的网络资源，公司可以获得全方位保护，包括认证所有对企业网络进行的访问，对特定的安全威胁实施战略性防护；一个RSA ACE/Server系统能够提供任何或所有下列服务： 通过RSA ACE/Server认证远程用户拨号连接 认证从Internet到内部网络的VPN或防火墙连接 认证所有公司网络访问；可以运用于所

21、有员工、特定工作组或部门或仅拥有某个访问级别的人员 通过限定对网页、URL和目录的访问，保护Internet和Extranet中的机密数据 防止篡改网络管理设置无论保护范围大小，强大的双因素认证的过程都是一样的。当用户试图访问受保护的资源时，保护资源（包括拨号服务器、网页、文件或应用）的RSA ACE/Agent将生成一个认证请求，用户必须输入用户名、PIN和令牌码。认证请求被加密，然后转发给RSA ACE/Server。RSA ACE/Server接到认证请求后，将查询本地用户数据库，在定位用户名之后，它把收到的PIN和令牌码与本身记录进行比较。如果发现PIN和令牌码均有效，则授权该用户访问

22、系统。32 拨号服务器和VPN保护RADIUS（Remote Authentication Dial-in User Service）是一种能提供身份认证、授权和审计的客户机/服务器安全协议。RADIUS/TACACS+身份认证能够与RSA ACE/Server协同使用提供强双因素认证。 拨号服务器和防火墙缺省配置的话，均需输入用户名和口令，然后将此用户认证请求发送给指定的RADIUS/TACACS+服务器进行认证，RADIUS/TACACS+服务器根据用户名定位此用户，然后将收到的口令与数据库中的口令字符串比较，确认用户的口令是否有效，最后返回确认信息个网络设备，明确此用户是否可以访问网络资

23、源。 口令认证是一种弱的身份认证方式，我们建议使用双因素强认证方式。此认证方式支持大多数主流的RADIUS/TACACS+服务器，在此我们选择Cisco Secure ACS for NT/UNIX。首先保持原有的配置不动，然后在Cisco Secure ACS服务器上安装RSA ACE/Agent软件，在Cisco Secure ACS的Database Configuration中就会出现“SDI SecurID Token”标题，这样Cisco Secure ACS就可以使用RSA Agent软件作为代理与RSA ACE/Server通讯，而无须在RSA ACE/Server上作任何配置

24、，只要RSA ACE/Agent能够通过RSA ACE/Server进行认证即可。接着指定相应的用户，设置成用口令认证还是通过双因素令牌认证。这样当用户拨入拨号服务器或者防火墙时，拨号服务器或防火墙将认证请求送至Cisco Secure ACS服务器，Cisco Secure ACS服务器根据拥护名定位其在数据库中的位置，如果用户是通过口令认证，则Cisco Secure ACS服务器自行解决，如果用户是通过双因素令牌认证，则Cisco Secure ACS服务器将用户名和PASSCODE传递给RSA ACE/Server认证，RSA ACE/Server认证完以后再将结果返回给Cisco S

25、ecure ACS服务器，由Cisco Secure ACS服务器将结果传递给网络设备，得到确认以后，用户就可以通过拨号服务器或者防火墙访问公司网络。33 UNIX/Linux主机保护 现在，某某公司存在大量的UNIX/Linux主机，这些主机承担着非常关键的应用程序服务以及存放着重要的信息，对于整个公司的运作起到非常关键的作用。但是我们看到，这些服务器均是通过弱的口令认证，不管是普通用户还是系统管理员，均使用口令登录到主机系统。这样就有可能给不法用户提供可呈之机，有可能冒用其他用户的帐号和口令进入系统，胡作非为。 安装了RSA ACE/Agent for UNIX/Linux以后，配置相应用

26、户的确省的Shell外壳程序，改为RSA的sdshell。这样，当用户通过远程Telnet或本地登录到UNIX/Linux主机时，主机首先提示用户输入正确的用户名和口令，当用户正确输入以后，UNIX/Linux主机根据用户名定位其记录，确认其是否需要双因素强认证，如果是，则提示用户输入正确的PASSCODE，只有用户输入了正确的PIN和令牌码以后，才能进入到主机系统，否则就会被拒绝在外。 RSA ACE/Agent的作用就象安全卫士，使得安全策略就象建立在RSA ACE/Server系统内部一样。它们能截取访问请求，要求指定用户或组织（无论是本地还是远程）在获得被保护资源的访问权之前，通过一个

27、RSA SecurID认证令牌向RSA ACE/Server证明身份。34 Web服务器保护 Extranet已经成为电子商务的关键部分，它使得客户、合作伙伴和供应商进行交流成为可能。不论您需要保护的是Microsoft IIS、Domino还是Netscape Web服务器，RSA ACE/Agent都能保护您的Web应用不会被非法访问。另外，您可以控制用户权限，决定用户被授权后，能够访问和不能访问哪些资源。而且由于RSA信息安全公司解决方案的设计目标是与加密套接字协议层协同工作，当信息在网络中传输的时候，可以保证其安全性。提供访问Intranet和Extranet的便携的用户证书不需在用户

28、桌面安装软件具有通过Web服务器保护后端系统的能力保证通过SSL传输的信息的保密性管理用户认证和访问控制 上图显示了RSA ACE/Agent for IIS的管理界面，从中我们可以看出它是如何设置管理参数。通过此界面，可以设定哪些页面需要保护，哪些页面不需要保护，当用户访问被保护的页面的时候，就会被提示输入PASSCODE，只有输入正确的PIN和令牌码以后，用户才可以访问这些被保护的页面。还可以设置有效时间，当用户正确登录网页以后，在同一会话或者被授予时间段之内的话，则不需要再次输入PASSCODE，只有当推出浏览器或者超过了授予的时间段以后，再要访问被保护页面的话，就要求输入PASSCOD

29、E。另外，还可以设置是否缓存用户访问过的页面。35 Windows NT/2000共享目录保护 RSA ACE/Agent for Windows NT/2000能够通过网络访问身份认证保护对Windows网络资源的访问。网络访问身份认证能够应用到Windows点对点以及域环境。网络访问身份认证还可以与本地访问身份认证一起对网络资源和本地工作站资源提供更加综合的保护。网络访问身份认证使用两个组件：网络访问服务器安装在所有域服务器或作为文件或打印服务的网络服务器上。网络访问代理安装在每一台连接到域控制器或者网络服务器的客户机上。 在点对点的环境中，用户首先登录到他们的本地工作站。当用户企图连接到

30、受保护的网络资源（例如文件服务器），保护此资源的网络访问服务器请求用户身份认证。用户输入PASSCODE首先送到网络访问服务器然后送到RSA ACE/Server，RSA ACE/Server校验请求，如果是合法用户，网络访问服务器发出会话证书存放在网络访问代理上，此会话证书缺省配置的话有效时间为8小时。接下来企图再访问受保护的网络资源时，客户机或者送上有效的会话证书，或者重新进行身份认证。36 Oracle数据库保护Oracle是全球领先的信息管理软件的供应商，由其提供的Advanced Security Option（ASO）软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息

31、。当用户试图访问Oracle数据库时，Advanced Security Option软件加密并且执行安全检查。RSA ACE/Server技术使用预先发给每个用户的RSA SecurID令牌认证用户的身份。使用Oracle的Advanced Security Option和RSA SecurID令牌，所有基于Oracle数据库的网络应用程序均可以得到由RSA SecurID令牌提供的强用户认证。37 LDAP目录RSA ACE/Server支持三种目录服务：Microsoft Active Directory、iPlanet Directory Server和Novell NDS eDire

32、ctory，可以根据LDAP中的项目在RSA ACE/Server中创建相应的用户记录。允许RSA ACE/Server管理员在目录服务中维护用户资料，在RSA ACE/Server中维护令牌资料，管理员可以通过定义与令牌信息关联的UserID或GID以及用户姓名来建立LDAP用户和令牌资料之间的连接。然后增加LDAP用户资料到RSA ACE/Server。用户资料能够被同步以保证用户信息的任何修改能够反映到RSA ACE/Server的用户数据库中。第四章 RSA ACE/Server功 能 详 解体系结构RSA ACE/Server用来在选定的网络资源周围建立一个保护环境。RSA ACE/Server不一定要安装在网络服务器上，它可以安装在Windows NT/2000以及由IBM、Sun和H