RSA身份認證技術介紹以及應用

RSA身份認證技術及其應用陳海林華東區(qū)技術顧問CISSP議程RSA信息安全公司簡介身份認證技術SecurID雙因素認證解決方案的應用時間同步身份認證設備公司背景RSA成立于1982年，在信息安全領域有20多年經驗在身份認證領域占有74%的市場份額超過1億份軟件內置有RSA信息安全公司的技術領導行業(yè)發(fā)展活動及組織包括RSA全球大會,RSA實驗室

及RSA出版社聯(lián)合身份解決方案的重要供應商領導關鍵的業(yè)界標準的定制LibertyAllianceProjectSAMLPKCSRSA信息安全公司

信息安全領域最值得信賴的名字確保電子商務中的信任

“我們做的事情”身份認證存取管理數(shù)據(jù)保密性數(shù)據(jù)完整性交易的完整性加密Web存取控制防火墻/VPN防病毒入侵檢測漏洞評估郵件掃描完全適應市場需求的解決方案移動和遠程

訪問安全企業(yè)訪問安全交易安全IAM身份及存取管理消費者身份保護強雙因素認證可以消除靜態(tài)密碼的弱點傳統(tǒng)的RSASecurID?

為從防火墻外部訪問公司網(wǎng)絡的遠程和移動員工提供強雙因素認證RSASecurIDforMicrosoft?

Windows?

提供在線和離線完全一致的用戶體驗可審計性和高效性單一的日志記錄所有的認證減少密碼重設的需要以及相關成本認證和憑證管理解決方案：RSASecurID認證和憑證管理：RSASign-OnManager綜合的企業(yè)單點登錄解決方案支持多種不同認證方式的選擇滿足大企業(yè)對于擴展性和可管理性的需求IntelliAccess?IntelliAccess?TechnologyWeb&browserappsClient/serverappsHost/mainframeappsVPN

&

dial-upDesktopappse-MailgroupwareCitrix?*****password*****RSASign-OnManager存取管理解決方案：RSAClearTrust?運行組織機構有效地管理用戶身份，授權對資源的訪問，提供Web應用的單點登錄功能，以及強大的審計能力在異構平臺上提供針對多種應用無縫安全的訪問控制

(Microsoft,Sun,BEA,IBM,Lotus,Apache,etc.)不同級別的認證和授權方式SmartRules?被第三方實驗室評測為最佳執(zhí)行效率和擴展現(xiàn)最佳的Web存取管理產品9提供多層次的在線安全防止外部威脅服務器認證強認證保護交易的安全

:Innovationiskey

“RSAwillalsobenefitfromCyota’stractioninthefinancialservicesfrauddetectionmarket,itscustomerbaseanditsabilitytoinnovateinafledglingmarket.”

–AvivahLitan,GartnerAnalyst(Dec.2005)阻止Phishing&Pharmingviaa24x7Service用戶可以校驗網(wǎng)站的真實性viadigitalwatermarks登錄和交易的認證viarisk&segmentbasedauthentication反欺詐和風險管理viatransaction

monitoringCommonIdentity

ManagementServicesNEXUSPlatformIntegratedManagement–CommonGUI–Userself-servicePasswordresetsCentralizedconfigurationLoggingandauditingReportingClustering/replicationCentralizedusermanagementDelegatedadministrationAutoapprovalworkflowPerformance/scalabilityPlatformsupportInstallation&licensingRSAFederatedIdentityManagerRSASign-OnManagerRSAAuthenticationManagerRSAAccessManagerCommonIdentityStore(LDAP,RDBMS)CommonAgentsCommonClients11RSASecurID市場領先全球身份認證市場銷售指數(shù)Vasco8.4%RSASecurity74.2%SecureComputing2.2%Datakey3.6%ActivCard4.4%Axent0.9%Other6.2%“RSA信息安全公司統(tǒng)治著軟硬件令牌市場”Source:InternationalDataCorp.,“TokenandITAuthenticationMarket”RSASecurID在中國屢獲殊榮RSA保護網(wǎng)銀用戶安全RSA全球行業(yè)地位全球《財富》百強企業(yè)的82%全球《財富》電子50強的88%全球最大50家銀行中的88%全球《財富》制藥企業(yè)500強的92%全球《財富》電信企業(yè)500強的70%RSASecurID在中國的主要用戶銀行業(yè)：招商銀行工行：上海、浙江、江蘇等建行：總行、上海、深圳、廈門等上海中行證券及保險業(yè)：上海證交所聯(lián)合證券華夏證券西南證券云南紅塔證券平安保險電信運營業(yè)：電信公司：北京、上海、江蘇、浙江、重慶等移動公司：上海、江蘇等聯(lián)通公司：上海、廣東等電信制造業(yè)：深圳華為（海外部）中興通訊UT斯達康東方通信RSASecurID在中國的主要用戶

中國市場占有率：估計80%~90%電力行業(yè)：國家電力公司華東電力集團浙江電力安徽電力政府機構及其它：APEC國家統(tǒng)計局中央電視臺上海政府云南公安浙江公安上海煙草集團上海熱線跨國企業(yè)：通用電氣可口可樂摩托羅拉索尼柯達大眾西門子寶潔聯(lián)合利華HPOracleSAPAT&T身份認證技術密碼不安全有人會從您的身后窺視您正在鍵入的密碼木馬程序和Sniffer程序盜取密碼發(fā)現(xiàn)保留在紙上的密碼便箋臺歷猜測密碼“password”配偶/寵物/孩子的名字或生日用戶名“交際工程學”密碼破解“Crack”“L0phtCrack”“CrackerJack”解決密碼中存在的問題把你有的一些東西混合在一起...例如，你的ATM卡...和你知道的一些東西...ATM卡的口令+PIN=雙因素認證!身份認證的選擇沒有口令保護有口令保護+++++++PINPINPIN漸弱漸強安全等級RSASecurID身份認證系統(tǒng)的組成ACE/Agent

代理軟件SecurID令牌ACE/Server服務器軟件RSASecurID雙因素令牌LOGIN: JSMITHPASSCODE:J5xu234836PIN令牌碼令牌碼:通常為每60秒鐘變化一次唯一的128位種子內部電池初始化為全球同步時間雙因素口令=+PIN令牌碼基于時間的令牌認證種子時間+tokencode=種子時間+tokencode=公司資源BadTokencode:AccessDeniedGoodTokencode:AccessGranted代理軟件ACE/Agent認證服務器Ace/ServerRSAACE/Server5.2RSAACE/Server5.2

概要RSASecurID后臺的認證機制分發(fā)令牌給信任的個人設置并增強安全策略，保護私有網(wǎng)絡系統(tǒng)，文件以及應用程序的訪問用戶行為的審計擴展性以及穩(wěn)定性支持上百萬的用戶數(shù)全球超過12000安裝的服務器以及部署了一千萬個令牌RSAACE/Server5.2

概要集中化的資源以及遠程管理集中化的用戶，認證方式以及代理軟件管理細化的管理員任務客戶化的報表組管理，訪問不同資源用戶，組，地點和域四級管理指定用戶或組在哪幾個工作日，在那些時間訪問網(wǎng)絡資源RSAACE/Server5.2

顯著特點簡化并降低管理開支數(shù)據(jù)庫復制LDAPv3用戶資料導入和同步QuickAdminWeb界面的幫助臺應用程序提高正常運行時間，降低分險支持高可用（Highavailability）硬件平臺自動實現(xiàn)軟件容錯災難恢復增強的執(zhí)行效率以及擴展性負載平衡和數(shù)據(jù)庫復制投資保護支持v5.2以及以前的RSAACE/Agents策略性的合作伙伴將會支持服務器負載平衡功能RSAACE/Server

數(shù)據(jù)庫同步…同步…同步特點多個認證服務器使用相同的自動復制的數(shù)據(jù)庫保證高可用和負載平衡合并多個認證域通過認證服務器的自動復制提高認證率，減少了跨域認證次數(shù)收益提高執(zhí)行效率和或展性每個域支持大于一百萬的用戶數(shù)簡化并降低管理開支允許靈活的，分布式的網(wǎng)絡配置支持容錯功能，提高正常運行時間改進的災難恢復選擇RSAACE/Server

數(shù)據(jù)庫自動復制–實現(xiàn)PrimaryServerReplicaServersReplicaServersRSAACE/Server

數(shù)據(jù)庫自動復制–負載平衡PrimaryServerReplicaServersRSAACE/AgentVPN

服務器RSAACE/Agent

ReplicaPerformance

HistoryLog

#1ReplicaA

#2ReplicaC

#3ReplicaBCBARSAACE/Agent

ReplicaPerformanceHistoryLog#1ReplicaC

#2ReplicaA

#3ReplicaBRSAACE/Server5.0

數(shù)據(jù)庫自動復制–負載平衡檢取列表PrimaryServerReplicaServersCBARSAACE/AgentVPN

服務器RSAACE/Agent

sdopts.recFile

Priority#1=A

Priority#2=CEmergency=BRSAACE/ServerArchitecturePrimary

RSA

ACE/ServerRAS,

VPN,

WebServer,

etc.RSAACE/AgentReplicaRSA

ACE/Server

PrimaryServer上實現(xiàn)管理和身份認證功能

不斷地在PrimaryServer和ReplicaServer之間作同步

ReplicaServer只執(zhí)行身份認證功能

Advancedlicense支持最多10臺ReplicaServer

，允許靈活的、分布式的網(wǎng)絡配置PrimaryServer允許讀寫操作進行管理支持最多10臺Replicaservers可以為每個Replica配置同步時間間隔星型配置提供自動同步的原始數(shù)據(jù)Primary也可以參與認證RSAACE/Server

數(shù)據(jù)庫自動復制概要ReplicaServer專注于身份認證服務允許只讀的管理連接可以配置到手工負載平衡中去執(zhí)行效率考慮Primaryserver應該專門用于管理任務過濾不必要的日志會減小需要自動復制的文件大小添加額外的Replicas不會線性提高認證率RSAACE/Server

數(shù)據(jù)庫自動復制概要RSAACE/Server5.2License選項RSAACE/ServerBaseLicense

運行安裝1臺主服務器以及1臺從服務器增加的功能：增強執(zhí)行效率，提高認證速度支持LDAP自動數(shù)據(jù)同步使用QuickAdmin基于Web的工具降低管理開支RSAACE/ServerAdvanced基本License加35%客戶可以安裝軟件：在每一個域中安裝1臺主服務器，最多10臺從服務器最多6個域（即最多6個主服務器）安裝在支持的高可用（HA）硬件平臺之上在RSAACE/Server與被保護的資源和用戶之間扮演“安全警衛(wèi)”的角色截取用戶訪問請求并強迫使用RSASecurID身份認證集成RSASecurID雙因素身份認證功能到現(xiàn)有系統(tǒng)代理軟件植入在超過195個合作伙伴的超過295個網(wǎng)絡產品之中(參考

獲得完整列表)RSAACE/Agents時間同步身份認證設備RSASecurID?

身份認證設備RSASecurID硬件令牌SD700(Keyfob)SD200(Standard)SD520(PinPad)SD6100(USB)SD5200(智能卡)RSASecurID軟件令牌桌面電腦軟件令牌掌上電腦軟件令牌（Palm，PocketPC）

手機軟件令牌軟件令牌軟件開發(fā)工具包SDK RSASecurID硬件令牌各種類型鑰匙牌(SD600)標準卡(SD200)PINPad卡(SD520)

零著陸點認證無需安裝軟件用戶使用方便最廣泛使用的認證設備RSASecurID軟件令牌RSASecurID硬件令牌的軟件版本可直接安裝于用戶的桌面易于使用全面支持Win2000遠程訪問服務器支持智能卡完全支持PKCS#11完全支持PC/SC改善智能卡管理程序具備種子傳輸功能RSASecurID應用于掌上電腦將PalmPilot轉換為RSASecurID

身份認證器PalmPilot儲存了RSASecurID種子及應用軟件無須攜帶額外的身份認證令牌易于使用和安裝靈活的智能卡解決方案RSASecurIDPassage軟件需要5100智能卡和讀寫器支持儲存雙X.509v3證書及雙RSA公鑰/私鑰對存儲RSAKeonPKI證件及RSASecurID軟件令牌種子支持門警系統(tǒng)訪問公司證件關鍵特點：支持標準的證書服務器RSAKeonCA,Microsoft,VeriSign,Entrust本地Windows2000登錄雙CSP(PKCS#11andCAPI)安全電子郵件(S/MIME)和安全網(wǎng)頁訪問(SSL)JavaCard解決方案(16K)PC/SC讀寫器支持在JavaCard中植入多種應用程序公司ID，電子錢包，密碼，生物特性以及PKI證件RSASecurIDSmartCardSolution

5100智能卡和RSASecurIDPassageRSASecurID6100USB令牌具備基于Java的5100智能卡的所以特性，同時無需智能卡讀寫器便于攜帶，安全，擴展支持數(shù)字證書、密鑰對、密碼和軟件令牌種子使用計算機和筆記本電腦的標準USB端口單點登錄到Win32應用程序和HTML頁面(通過RSASecurIDPassage)RSASecurIDPassage提供以下功能RSASecurIDPassage3.5.1對RSASecurID5100智能卡和RSASecurID6100USB令牌中的憑證進行管理的桌面客戶端軟件，包括如何存儲、提取和使用支持指紋生物認證支持單點登錄卡拔掉以后立即鎖定計算機SecurID雙因素認證解決方案RSA的信息安全解決方案RSASecurID遠程撥號防火墻虛擬專網(wǎng)電子商務企業(yè)系統(tǒng)保護RSA的信息安全解決方案遠程撥號RSASecurID防火墻虛擬專網(wǎng)電子商務企業(yè)系統(tǒng)保護RASAgent遠程撥號服務器的整合SecurIDReadyPartners3ComAlcatel

CiscoCitrixSystemsFunkSoftwareHewlett-PackardiPassInc.LucentTechnologiesMicrosoftNortelNetworksNetillaNetworksShiva/IntelSSHCommunicationsTarantellaACE/ServerRouter與AAA服務器實現(xiàn)無縫集成CiscoACS認證/鑒權/審計RSAACERadius

Tacacs+SecurID

5500/udpSwitchCiscoACS與AAA服務器實現(xiàn)無縫集成CiscoSecureACSRSASecurIDAMSecurID

5500/udpRADIUS

TACACS+RSA的信息安全解決方案防火墻虛擬專網(wǎng)RSASecurID遠程撥號電子商務企業(yè)系統(tǒng)保護虛擬專網(wǎng)

減少成本和簡化系統(tǒng)大大的減少專線和遠程撥號的成本提高接入性和安全性(通過加密)簡化遠程撥號的系統(tǒng)設計利用互聯(lián)網(wǎng)去提供用戶更大的方便減少用戶的支持更簡單的收費方式和用量計算VPNVPN的身份認證需求公司網(wǎng)絡InternetVPN客戶端VPN網(wǎng)關誰在安全隧道的另一端？虛擬專用網(wǎng)/防火墻的互操作Firewall/

VPNAgentACE/ServerAscendAventailCheckPointCiscoFortressF5IBMInfoExpressInternetDevicesIndusRiverJuniper/NetScreenNortelNetworksNokiaSemaphoreShiva/IntelFirewall/VPNPartnersInternet遠程移動辦公用戶認證RSA

ACE/Server(Replica)NT/UnixIntranetVPN網(wǎng)關RSA

ACE/Server(Primary)郵件系統(tǒng)文件服務器應用服務器遠程移動辦公用戶RSAACE/Agent制造業(yè)訂單管理系統(tǒng)用戶認證RSA

ACE/Server(Replica)NT/UnixIntranetVPN網(wǎng)關RSA

ACE/Server(Primary)Web應用服務器訂單管理系統(tǒng)代理商用戶RSAACE/Agent無線局域網(wǎng)用戶認證（WLAN）企業(yè)內部網(wǎng)AAA服務器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS企業(yè)有線網(wǎng)絡WLAN認證用戶AccessPointWindows&WLAN客戶端Citrix–不再需要密碼!訪問CitrixWebInterface4.0,用戶只需提供用戶名、域名以及認證碼RSA的信息安全解決方案電子商務RSASecurID遠程撥號防火墻虛擬專網(wǎng)企業(yè)系統(tǒng)保護Web應用程序的安全分銷商Passcode**********客戶Passcode**********零售業(yè)供應鏈系統(tǒng)用戶認證連續(xù)8年排名中國百強首席的連鎖企業(yè)大賣場的典型特點是物品眾多、需求復雜。通過電話和傳真的方式提供訂單的方式，遠遠不能滿足大賣場數(shù)以萬計不同類別商品的復雜需求。許多商品重復訂貨，而另一些商品則缺貨，甚至3天都得不到補充。供應商們由于供應鏈系統(tǒng)的滯后，無法知道自己的商品在超市的銷售狀況，很多商品造成積壓或無法及時供應，因此造成了很大的損失。不斷加快的全國擴張步伐，已有3290家店面，遍布中國的20多個省，100多個城市，與此同時，供應商數(shù)量也激增至9000多家。零售業(yè)供應鏈系統(tǒng)結構圖WebServerWeb

BrowserIBMDB2

RSAACE/ServerWebServerFirewallApplication

ServersApplication

Servers1nFirewallIBMHTTPWebServerFarm

BasedonRedHatLinuxAS3.0IBMWebSphereApplicationServerFarm

BasedonRedHatLinuxAS3.0RSAACE/ServeronAIX5.3CallACE/AgentAuthenticationAPIfromWebSpheretosendusername/passcodetoACE/ServerSecurID保護網(wǎng)上交易RSASecurIDAuthentication

toOutlookWebAccessRemoteAccess

AuthAgent5.3forWebstreamlinesauthenticationtoOWASecurIDpasscodepromptreplacesthepasswordRSASecurID應用于電子商務金融電子交易網(wǎng)上銀行對公/對私電子轉帳業(yè)務供應鏈的整合供貨商/代理商訂單管理庫存管理辦公自動化系統(tǒng)應用服務供應商(ASP)