RSA身份认证技术介绍以及应用

RSA身份认证技术及其应用陈海林华东区技术顾问CISSP议程RSA信息安全公司简介身份认证技术SecurID双因素认证解决方案的应用时间同步身份认证设备公司背景RSA成立于1982年，在信息安全领域有20多年经验在身份认证领域占有74%的市场份额超过1亿份软件内置有RSA信息安全公司的技术领导行业发展活动及组织包括RSA全球大会,RSA实验室

及RSA出版社联合身份解决方案的重要供应商领导关键的业界标准的定制LibertyAllianceProjectSAMLPKCSRSA信息安全公司

信息安全领域最值得信赖的名字确保电子商务中的信任

“我们做的事情”身份认证存取管理数据保密性数据完整性交易的完整性加密Web存取控制防火墙/VPN防病毒入侵检测漏洞评估邮件扫描完全适应市场需求的解决方案移动和远程

访问安全企业访问安全交易安全IAM身份及存取管理消费者身份保护强双因素认证可以消除静态密码的弱点传统的RSASecurID®

为从防火墙外部访问公司网络的远程和移动员工提供强双因素认证RSASecurIDforMicrosoft®

Windows®

提供在线和离线完全一致的用户体验可审计性和高效性单一的日志记录所有的认证减少密码重设的需要以及相关成本认证和凭证管理解决方案：RSASecurID认证和凭证管理：RSASign-OnManager综合的企业单点登录解决方案支持多种不同认证方式的选择满足大企业对于扩展性和可管理性的需求IntelliAccess™IntelliAccess™TechnologyWeb&browserappsClient/serverappsHost/mainframeappsVPN

&

dial-upDesktopappse-MailgroupwareCitrix®*****password*****RSASign-OnManager存取管理解决方案：RSAClearTrust®运行组织机构有效地管理用户身份，授权对资源的访问，提供Web应用的单点登录功能，以及强大的审计能力在异构平台上提供针对多种应用无缝安全的访问控制

(Microsoft,Sun,BEA,IBM,Lotus,Apache,etc.)不同级别的认证和授权方式SmartRules™被第三方实验室评测为最佳执行效率和扩展现最佳的Web存取管理产品9提供多层次的在线安全防止外部威胁服务器认证强认证保护交易的安全

:Innovationiskey

“RSAwillalsobenefitfromCyota’stractioninthefinancialservicesfrauddetectionmarket,itscustomerbaseanditsabilitytoinnovateinafledglingmarket.”

–AvivahLitan,GartnerAnalyst(Dec.2005)阻止Phishing&Pharmingviaa24x7Service用户可以校验网站的真实性viadigitalwatermarks登录和交易的认证viarisk&segmentbasedauthentication反欺诈和风险管理viatransaction

monitoringCommonIdentity

ManagementServicesNEXUSPlatformIntegratedManagement–CommonGUI–Userself-servicePasswordresetsCentralizedconfigurationLoggingandauditingReportingClustering/replicationCentralizedusermanagementDelegatedadministrationAutoapprovalworkflowPerformance/scalabilityPlatformsupportInstallation&licensingRSAFederatedIdentityManagerRSASign-OnManagerRSAAuthenticationManagerRSAAccessManagerCommonIdentityStore(LDAP,RDBMS)CommonAgentsCommonClients11RSASecurID市场领先全球身份认证市场销售指数Vasco8.4%RSASecurity74.2%SecureComputing2.2%Datakey3.6%ActivCard4.4%Axent0.9%Other6.2%“RSA信息安全公司统治着软硬件令牌市场”Source:InternationalDataCorp.,“TokenandITAuthenticationMarket”RSASecurID在中国屡获殊荣RSA保护网银用户安全RSA全球行业地位全球《财富》百强企业的82%全球《财富》电子50强的88%全球最大50家银行中的88%全球《财富》制药企业500强的92%全球《财富》电信企业500强的70%RSASecurID在中国的主要用户银行业：招商银行工行：上海、浙江、江苏等建行：总行、上海、深圳、厦门等上海中行证券及保险业：上海证交所联合证券华夏证券西南证券云南红塔证券平安保险电信运营业：电信公司：北京、上海、江苏、浙江、重庆等移动公司：上海、江苏等联通公司：上海、广东等电信制造业：深圳华为（海外部）中兴通讯UT斯达康东方通信RSASecurID在中国的主要用户

中国市场占有率：估计80%~90%电力行业：国家电力公司华东电力集团浙江电力安徽电力政府机构及其它：APEC国家统计局中央电视台上海政府云南公安浙江公安上海烟草集团上海热线跨国企业：通用电气可口可乐摩托罗拉索尼柯达大众西门子宝洁联合利华HPOracleSAPAT&T身份认证技术密码不安全有人会从您的身后窥视您正在键入的密码木马程序和Sniffer程序盗取密码发现保留在纸上的密码便笺台历猜测密码“password”配偶/宠物/孩子的名字或生日用户名“交际工程学”密码破解“Crack”“L0phtCrack”“CrackerJack”解决密码中存在的问题把你有的一些东西混合在一起...例如，你的ATM卡...和你知道的一些东西...ATM卡的口令+PIN=双因素认证!身份认证的选择没有口令保护有口令保护+++++++PINPINPIN渐弱渐强安全等级RSASecurID身份认证系统的组成ACE/Agent

代理软件SecurID令牌ACE/Server服务器软件RSASecurID双因素令牌LOGIN: JSMITHPASSCODE:J5xu234836PIN令牌码令牌码:通常为每60秒钟变化一次唯一的128位种子内部电池初始化为全球同步时间双因素口令=+PIN令牌码基于时间的令牌认证种子时间+tokencode=种子时间+tokencode=公司资源BadTokencode:AccessDeniedGoodTokencode:AccessGranted代理软件ACE/Agent认证服务器Ace/ServerRSAACE/Server5.2RSAACE/Server5.2

概要RSASecurID后台的认证机制分发令牌给信任的个人设置并增强安全策略，保护私有网络系统，文件以及应用程序的访问用户行为的审计扩展性以及稳定性支持上百万的用户数全球超过12000安装的服务器以及部署了一千万个令牌RSAACE/Server5.2

概要集中化的资源以及远程管理集中化的用户，认证方式以及代理软件管理细化的管理员任务客户化的报表组管理，访问不同资源用户，组，地点和域四级管理指定用户或组在哪几个工作日，在那些时间访问网络资源RSAACE/Server5.2

显著特点简化并降低管理开支数据库复制LDAPv3用户资料导入和同步QuickAdminWeb界面的帮助台应用程序提高正常运行时间，降低分险支持高可用（Highavailability）硬件平台自动实现软件容错灾难恢复增强的执行效率以及扩展性负载平衡和数据库复制投资保护支持v5.2以及以前的RSAACE/Agents策略性的合作伙伴将会支持服务器负载平衡功能RSAACE/Server

数据库同步…同步…同步特点多个认证服务器使用相同的自动复制的数据库保证高可用和负载平衡合并多个认证域通过认证服务器的自动复制提高认证率，减少了跨域认证次数收益提高执行效率和或展性每个域支持大于一百万的用户数简化并降低管理开支允许灵活的，分布式的网络配置支持容错功能，提高正常运行时间改进的灾难恢复选择RSAACE/Server

数据库自动复制–实现PrimaryServerReplicaServersReplicaServersRSAACE/Server

数据库自动复制–负载平衡PrimaryServerReplicaServersRSAACE/AgentVPN

服务器RSAACE/Agent

ReplicaPerformance

HistoryLog

#1ReplicaA

#2ReplicaC

#3ReplicaBCBARSAACE/Agent

ReplicaPerformanceHistoryLog#1ReplicaC

#2ReplicaA

#3ReplicaBRSAACE/Server5.0

数据库自动复制–负载平衡检取列表PrimaryServerReplicaServersCBARSAACE/AgentVPN

服务器RSAACE/Agent

sdopts.recFile

Priority#1=A

Priority#2=CEmergency=BRSAACE/ServerArchitecturePrimary

RSA

ACE/ServerRAS,

VPN,

WebServer,

etc.RSAACE/AgentReplicaRSA

ACE/Server

PrimaryServer上实现管理和身份认证功能

不断地在PrimaryServer和ReplicaServer之间作同步

ReplicaServer只执行身份认证功能

Advancedlicense支持最多10台ReplicaServer

，允许灵活的、分布式的网络配置PrimaryServer允许读写操作进行管理支持最多10台Replicaservers可以为每个Replica配置同步时间间隔星型配置提供自动同步的原始数据Primary也可以参与认证RSAACE/Server

数据库自动复制概要ReplicaServer专注于身份认证服务允许只读的管理连接可以配置到手工负载平衡中去执行效率考虑Primaryserver应该专门用于管理任务过滤不必要的日志会减小需要自动复制的文件大小添加额外的Replicas不会线性提高认证率RSAACE/Server

数据库自动复制概要RSAACE/Server5.2License选项RSAACE/ServerBaseLicense

运行安装1台主服务器以及1台从服务器增加的功能：增强执行效率，提高认证速度支持LDAP自动数据同步使用QuickAdmin基于Web的工具降低管理开支RSAACE/ServerAdvanced基本License加35%客户可以安装软件：在每一个域中安装1台主服务器，最多10台从服务器最多6个域（即最多6个主服务器）安装在支持的高可用（HA）硬件平台之上在RSAACE/Server与被保护的资源和用户之间扮演“安全警卫”的角色截取用户访问请求并强迫使用RSASecurID身份认证集成RSASecurID双因素身份认证功能到现有系统代理软件植入在超过195个合作伙伴的超过295个网络产品之中(参考

获得完整列表)RSAACE/Agents时间同步身份认证设备RSASecurID®

身份认证设备RSASecurID硬件令牌SD700(Keyfob)SD200(Standard)SD520(PinPad)SD6100(USB)SD5200(智能卡)RSASecurID软件令牌桌面电脑软件令牌掌上电脑软件令牌（Palm，PocketPC）

手机软件令牌软件令牌软件开发工具包SDK RSASecurID硬件令牌各种类型钥匙牌(SD600)标准卡(SD200)PINPad卡(SD520)

零着陆点认证无需安装软件用户使用方便最广泛使用的认证设备RSASecurID软件令牌RSASecurID硬件令牌的软件版本可直接安装于用户的桌面易于使用全面支持Win2000远程访问服务器支持智能卡完全支持PKCS#11完全支持PC/SC改善智能卡管理程序具备种子传输功能RSASecurID应用于掌上电脑将PalmPilot转换为RSASecurID

身份认证器PalmPilot储存了RSASecurID种子及应用软件无须携带额外的身份认证令牌易于使用和安装灵活的智能卡解决方案RSASecurIDPassage软件需要5100智能卡和读写器支持储存双X.509v3证书及双RSA公钥/私钥对存储RSAKeonPKI证件及RSASecurID软件令牌种子支持门警系统访问公司证件关键特点：支持标准的证书服务器RSAKeonCA,Microsoft,VeriSign,Entrust本地Windows2000登录双CSP(PKCS#11andCAPI)安全电子邮件(S/MIME)和安全网页访问(SSL)JavaCard解决方案(16K)PC/SC读写器支持在JavaCard中植入多种应用程序公司ID，电子钱包，密码，生物特性以及PKI证件RSASecurIDSmartCardSolution

5100智能卡和RSASecurIDPassageRSASecurID6100USB令牌具备基于Java的5100智能卡的所以特性，同时无需智能卡读写器便于携带，安全，扩展支持数字证书、密钥对、密码和软件令牌种子使用计算机和笔记本电脑的标准USB端口单点登录到Win32应用程序和HTML页面(通过RSASecurIDPassage)RSASecurIDPassage提供以下功能RSASecurIDPassage3.5.1对RSASecurID5100智能卡和RSASecurID6100USB令牌中的凭证进行管理的桌面客户端软件，包括如何存储、提取和使用支持指纹生物认证支持单点登录卡拔掉以后立即锁定计算机SecurID双因素认证解决方案RSA的信息安全解决方案RSASecurID远程拨号防火墙虚拟专网电子商务企业系统保护RSA的信息安全解决方案远程拨号RSASecurID防火墙虚拟专网电子商务企业系统保护RASAgent远程拨号服务器的整合SecurIDReadyPartners3ComAlcatel

CiscoCitrixSystemsFunkSoftwareHewlett-PackardiPassInc.LucentTechnologiesMicrosoftNortelNetworksNetillaNetworksShiva/IntelSSHCommunicationsTarantellaACE/ServerRouter与AAA服务器实现无缝集成CiscoACS认证/鉴权/审计RSAACERadius

Tacacs+SecurID

5500/udpSwitchCiscoACS与AAA服务器实现无缝集成CiscoSecureACSRSASecurIDAMSecurID

5500/udpRADIUS

TACACS+RSA的信息安全解决方案防火墙虚拟专网RSASecurID远程拨号电子商务企业系统保护虚拟专网

减少成本和简化系统大大的减少专线和远程拨号的成本提高接入性和安全性(通过加密)简化远程拨号的系统设计利用互联网去提供用户更大的方便减少用户的支持更简单的收费方式和用量计算VPNVPN的身份认证需求公司网络InternetVPN客户端VPN网关谁在安全隧道的另一端？虚拟专用网/防火墙的互操作Firewall/

VPNAgentACE/ServerAscendAventailCheckPointCiscoFortressF5IBMInfoExpressInternetDevicesIndusRiverJuniper/NetScreenNortelNetworksNokiaSemaphoreShiva/IntelFirewall/VPNPartnersInternet远程移动办公用户认证RSA

ACE/Server(Replica)NT/UnixIntranetVPN网关RSA

ACE/Server(Primary)邮件系统文件服务器应用服务器远程移动办公用户RSAACE/Agent制造业订单管理系统用户认证RSA

ACE/Server(Replica)NT/UnixIntranetVPN网关RSA

ACE/Server(Primary)Web应用服务器订单管理系统代理商用户RSAACE/Agent无线局域网用户认证（WLAN）企业内部网AAA服务器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS企业有线网络WLAN认证用户AccessPointWindows&WLAN客户端Citrix–不再需要密码!访问CitrixWebInterface4.0,用户只需提供用户名、域名以及认证码RSA的信息安全解决方案电子商务RSASecurID远程拨号防火墙虚拟专网企业系统保护Web应用程序的安全分销商Passcode**********客户Passcode**********零售业供应链系统用户认证连续8年排名中国百强首席的连锁企业大卖场的典型特点是物品众多、需求复杂。通过电话和传真的方式提供订单的方式，远远不能满足大卖场数以万计不同类别商品的复杂需求。许多商品重复订货，而另一些商品则缺货，甚至3天都得不到补充。供应商们由于供应链系统的滞后，无法知道自己的商品在超市的销售状况，很多商品造成积压或无法及时供应，因此造成了很大的损失。不断加快的全国扩张步伐，已有3290家店面，遍布中国的20多个省，100多个城市，与此同时，供应商数量也激增至9000多家。零售业供应链系统结构图WebServerWeb

BrowserIBMDB2

RSAACE/ServerWebServerFirewallApplication

ServersApplication

Servers1nFirewallIBMHTTPWebServerFarm

BasedonRedHatLinuxAS3.0IBMWebSphereApplicationServerFarm

BasedonRedHatLinuxAS3.0RSAACE/ServeronAIX5.3CallACE/AgentAuthenticationAPIfromWebSpheretosendusername/passcodetoACE/ServerSecurID保护网上交易RSASecurIDAuthentication

toOutlookWebAccessRemoteAccess

AuthAgent5.3forWebstreamlinesauthenticationtoOWASecurIDpasscodepromptreplacesthepasswordRSASecurID应用于电子商务金融电子交易网上银行对公/对私电子转帐业务供应链的整合供货商/代理商订单管理库存管理办公自动化系统应用服务供应商(ASP)