RSA身份認(rèn)證技術(shù)介紹以及應(yīng)用

RSA身份認(rèn)證技術(shù)及其應(yīng)用陳海林華東區(qū)技術(shù)顧問(wèn)CISSP議程RSA信息安全公司簡(jiǎn)介身份認(rèn)證技術(shù)SecurID雙因素認(rèn)證解決方案的應(yīng)用時(shí)間同步身份認(rèn)證設(shè)備公司背景RSA成立于1982年，在信息安全領(lǐng)域有20多年經(jīng)驗(yàn)在身份認(rèn)證領(lǐng)域占有74%的市場(chǎng)份額超過(guò)1億份軟件內(nèi)置有RSA信息安全公司的技術(shù)領(lǐng)導(dǎo)行業(yè)發(fā)展活動(dòng)及組織包括RSA全球大會(huì),RSA實(shí)驗(yàn)室

及RSA出版社聯(lián)合身份解決方案的重要供應(yīng)商領(lǐng)導(dǎo)關(guān)鍵的業(yè)界標(biāo)準(zhǔn)的定制LibertyAllianceProjectSAMLPKCSRSA信息安全公司

信息安全領(lǐng)域最值得信賴的名字確保電子商務(wù)中的信任

“我們做的事情”身份認(rèn)證存取管理數(shù)據(jù)保密性數(shù)據(jù)完整性交易的完整性加密Web存取控制防火墻/VPN防病毒入侵檢測(cè)漏洞評(píng)估郵件掃描完全適應(yīng)市場(chǎng)需求的解決方案移動(dòng)和遠(yuǎn)程

訪問(wèn)安全企業(yè)訪問(wèn)安全交易安全I(xiàn)AM身份及存取管理消費(fèi)者身份保護(hù)強(qiáng)雙因素認(rèn)證可以消除靜態(tài)密碼的弱點(diǎn)傳統(tǒng)的RSASecurID?

為從防火墻外部訪問(wèn)公司網(wǎng)絡(luò)的遠(yuǎn)程和移動(dòng)員工提供強(qiáng)雙因素認(rèn)證RSASecurIDforMicrosoft?

Windows?

提供在線和離線完全一致的用戶體驗(yàn)可審計(jì)性和高效性單一的日志記錄所有的認(rèn)證減少密碼重設(shè)的需要以及相關(guān)成本認(rèn)證和憑證管理解決方案：RSASecurID認(rèn)證和憑證管理：RSASign-OnManager綜合的企業(yè)單點(diǎn)登錄解決方案支持多種不同認(rèn)證方式的選擇滿足大企業(yè)對(duì)于擴(kuò)展性和可管理性的需求IntelliAccess?IntelliAccess?TechnologyWeb&browserappsClient/serverappsHost/mainframeappsVPN

&

dial-upDesktopappse-MailgroupwareCitrix?*****password*****RSASign-OnManager存取管理解決方案：RSAClearTrust?運(yùn)行組織機(jī)構(gòu)有效地管理用戶身份，授權(quán)對(duì)資源的訪問(wèn)，提供Web應(yīng)用的單點(diǎn)登錄功能，以及強(qiáng)大的審計(jì)能力在異構(gòu)平臺(tái)上提供針對(duì)多種應(yīng)用無(wú)縫安全的訪問(wèn)控制

(Microsoft,Sun,BEA,IBM,Lotus,Apache,etc.)不同級(jí)別的認(rèn)證和授權(quán)方式SmartRules?被第三方實(shí)驗(yàn)室評(píng)測(cè)為最佳執(zhí)行效率和擴(kuò)展現(xiàn)最佳的Web存取管理產(chǎn)品9提供多層次的在線安全防止外部威脅服務(wù)器認(rèn)證強(qiáng)認(rèn)證保護(hù)交易的安全

:Innovationiskey

“RSAwillalsobenefitfromCyota’stractioninthefinancialservicesfrauddetectionmarket,itscustomerbaseanditsabilitytoinnovateinafledglingmarket.”

–AvivahLitan,GartnerAnalyst(Dec.2005)阻止Phishing&Pharmingviaa24x7Service用戶可以校驗(yàn)網(wǎng)站的真實(shí)性viadigitalwatermarks登錄和交易的認(rèn)證viarisk&segmentbasedauthentication反欺詐和風(fēng)險(xiǎn)管理viatransaction

monitoringCommonIdentity

ManagementServicesNEXUSPlatformIntegratedManagement–CommonGUI–Userself-servicePasswordresetsCentralizedconfigurationLoggingandauditingReportingClustering/replicationCentralizedusermanagementDelegatedadministrationAutoapprovalworkflowPerformance/scalabilityPlatformsupportInstallation&licensingRSAFederatedIdentityManagerRSASign-OnManagerRSAAuthenticationManagerRSAAccessManagerCommonIdentityStore(LDAP,RDBMS)CommonAgentsCommonClients11RSASecurID市場(chǎng)領(lǐng)先全球身份認(rèn)證市場(chǎng)銷售指數(shù)Vasco8.4%RSASecurity74.2%SecureComputing2.2%Datakey3.6%ActivCard4.4%Axent0.9%Other6.2%“RSA信息安全公司統(tǒng)治著軟硬件令牌市場(chǎng)”Source:InternationalDataCorp.,“TokenandITAuthenticationMarket”RSASecurID在中國(guó)屢獲殊榮RSA保護(hù)網(wǎng)銀用戶安全RSA全球行業(yè)地位全球《財(cái)富》百?gòu)?qiáng)企業(yè)的82%全球《財(cái)富》電子50強(qiáng)的88%全球最大50家銀行中的88%全球《財(cái)富》制藥企業(yè)500強(qiáng)的92%全球《財(cái)富》電信企業(yè)500強(qiáng)的70%RSASecurID在中國(guó)的主要用戶銀行業(yè)：招商銀行工行：上海、浙江、江蘇等建行：總行、上海、深圳、廈門等上海中行證券及保險(xiǎn)業(yè)：上海證交所聯(lián)合證券華夏證券西南證券云南紅塔證券平安保險(xiǎn)電信運(yùn)營(yíng)業(yè)：電信公司：北京、上海、江蘇、浙江、重慶等移動(dòng)公司：上海、江蘇等聯(lián)通公司：上海、廣東等電信制造業(yè)：深圳華為（海外部）中興通訊UT斯達(dá)康東方通信RSASecurID在中國(guó)的主要用戶

中國(guó)市場(chǎng)占有率：估計(jì)80%~90%電力行業(yè)：國(guó)家電力公司華東電力集團(tuán)浙江電力安徽電力政府機(jī)構(gòu)及其它：APEC國(guó)家統(tǒng)計(jì)局中央電視臺(tái)上海政府云南公安浙江公安上海煙草集團(tuán)上海熱線跨國(guó)企業(yè)：通用電氣可口可樂(lè)摩托羅拉索尼柯達(dá)大眾西門子寶潔聯(lián)合利華HPOracleSAPAT&T身份認(rèn)證技術(shù)密碼不安全有人會(huì)從您的身后窺視您正在鍵入的密碼木馬程序和Sniffer程序盜取密碼發(fā)現(xiàn)保留在紙上的密碼便箋臺(tái)歷猜測(cè)密碼“password”配偶/寵物/孩子的名字或生日用戶名“交際工程學(xué)”密碼破解“Crack”“L0phtCrack”“CrackerJack”解決密碼中存在的問(wèn)題把你有的一些東西混合在一起...例如，你的ATM卡...和你知道的一些東西...ATM卡的口令+PIN=雙因素認(rèn)證!身份認(rèn)證的選擇沒(méi)有口令保護(hù)有口令保護(hù)+++++++PINPINPIN漸弱漸強(qiáng)安全等級(jí)RSASecurID身份認(rèn)證系統(tǒng)的組成ACE/Agent

代理軟件SecurID令牌ACE/Server服務(wù)器軟件RSASecurID雙因素令牌LOGIN: JSMITHPASSCODE:J5xu234836PIN令牌碼令牌碼:通常為每60秒鐘變化一次唯一的128位種子內(nèi)部電池初始化為全球同步時(shí)間雙因素口令=+PIN令牌碼基于時(shí)間的令牌認(rèn)證種子時(shí)間+tokencode=種子時(shí)間+tokencode=公司資源BadTokencode:AccessDeniedGoodTokencode:AccessGranted代理軟件ACE/Agent認(rèn)證服務(wù)器Ace/ServerRSAACE/Server5.2RSAACE/Server5.2

概要RSASecurID后臺(tái)的認(rèn)證機(jī)制分發(fā)令牌給信任的個(gè)人設(shè)置并增強(qiáng)安全策略，保護(hù)私有網(wǎng)絡(luò)系統(tǒng)，文件以及應(yīng)用程序的訪問(wèn)用戶行為的審計(jì)擴(kuò)展性以及穩(wěn)定性支持上百萬(wàn)的用戶數(shù)全球超過(guò)12000安裝的服務(wù)器以及部署了一千萬(wàn)個(gè)令牌RSAACE/Server5.2

概要集中化的資源以及遠(yuǎn)程管理集中化的用戶，認(rèn)證方式以及代理軟件管理細(xì)化的管理員任務(wù)客戶化的報(bào)表組管理，訪問(wèn)不同資源用戶，組，地點(diǎn)和域四級(jí)管理指定用戶或組在哪幾個(gè)工作日，在那些時(shí)間訪問(wèn)網(wǎng)絡(luò)資源RSAACE/Server5.2

顯著特點(diǎn)簡(jiǎn)化并降低管理開(kāi)支數(shù)據(jù)庫(kù)復(fù)制LDAPv3用戶資料導(dǎo)入和同步QuickAdminWeb界面的幫助臺(tái)應(yīng)用程序提高正常運(yùn)行時(shí)間，降低分險(xiǎn)支持高可用（Highavailability）硬件平臺(tái)自動(dòng)實(shí)現(xiàn)軟件容錯(cuò)災(zāi)難恢復(fù)增強(qiáng)的執(zhí)行效率以及擴(kuò)展性負(fù)載平衡和數(shù)據(jù)庫(kù)復(fù)制投資保護(hù)支持v5.2以及以前的RSAACE/Agents策略性的合作伙伴將會(huì)支持服務(wù)器負(fù)載平衡功能RSAACE/Server

數(shù)據(jù)庫(kù)同步…同步…同步特點(diǎn)多個(gè)認(rèn)證服務(wù)器使用相同的自動(dòng)復(fù)制的數(shù)據(jù)庫(kù)保證高可用和負(fù)載平衡合并多個(gè)認(rèn)證域通過(guò)認(rèn)證服務(wù)器的自動(dòng)復(fù)制提高認(rèn)證率，減少了跨域認(rèn)證次數(shù)收益提高執(zhí)行效率和或展性每個(gè)域支持大于一百萬(wàn)的用戶數(shù)簡(jiǎn)化并降低管理開(kāi)支允許靈活的，分布式的網(wǎng)絡(luò)配置支持容錯(cuò)功能，提高正常運(yùn)行時(shí)間改進(jìn)的災(zāi)難恢復(fù)選擇RSAACE/Server

數(shù)據(jù)庫(kù)自動(dòng)復(fù)制–實(shí)現(xiàn)PrimaryServerReplicaServersReplicaServersRSAACE/Server

數(shù)據(jù)庫(kù)自動(dòng)復(fù)制–負(fù)載平衡PrimaryServerReplicaServersRSAACE/AgentVPN

服務(wù)器RSAACE/Agent

ReplicaPerformance

HistoryLog

#1ReplicaA

#2ReplicaC

#3ReplicaBCBARSAACE/Agent

ReplicaPerformanceHistoryLog#1ReplicaC

#2ReplicaA

#3ReplicaBRSAACE/Server5.0

數(shù)據(jù)庫(kù)自動(dòng)復(fù)制–負(fù)載平衡檢取列表PrimaryServerReplicaServersCBARSAACE/AgentVPN

服務(wù)器RSAACE/Agent

sdopts.recFile

Priority#1=A

Priority#2=CEmergency=BRSAACE/ServerArchitecturePrimary

RSA

ACE/ServerRAS,

VPN,

WebServer,

etc.RSAACE/AgentReplicaRSA

ACE/Server

PrimaryServer上實(shí)現(xiàn)管理和身份認(rèn)證功能

不斷地在PrimaryServer和ReplicaServer之間作同步

ReplicaServer只執(zhí)行身份認(rèn)證功能

Advancedlicense支持最多10臺(tái)ReplicaServer

，允許靈活的、分布式的網(wǎng)絡(luò)配置PrimaryServer允許讀寫操作進(jìn)行管理支持最多10臺(tái)Replicaservers可以為每個(gè)Replica配置同步時(shí)間間隔星型配置提供自動(dòng)同步的原始數(shù)據(jù)Primary也可以參與認(rèn)證RSAACE/Server

數(shù)據(jù)庫(kù)自動(dòng)復(fù)制概要ReplicaServer專注于身份認(rèn)證服務(wù)允許只讀的管理連接可以配置到手工負(fù)載平衡中去執(zhí)行效率考慮Primaryserver應(yīng)該專門用于管理任務(wù)過(guò)濾不必要的日志會(huì)減小需要自動(dòng)復(fù)制的文件大小添加額外的Replicas不會(huì)線性提高認(rèn)證率RSAACE/Server

數(shù)據(jù)庫(kù)自動(dòng)復(fù)制概要RSAACE/Server5.2License選項(xiàng)RSAACE/ServerBaseLicense

運(yùn)行安裝1臺(tái)主服務(wù)器以及1臺(tái)從服務(wù)器增加的功能：增強(qiáng)執(zhí)行效率，提高認(rèn)證速度支持LDAP自動(dòng)數(shù)據(jù)同步使用QuickAdmin基于Web的工具降低管理開(kāi)支RSAACE/ServerAdvanced基本License加35%客戶可以安裝軟件：在每一個(gè)域中安裝1臺(tái)主服務(wù)器，最多10臺(tái)從服務(wù)器最多6個(gè)域（即最多6個(gè)主服務(wù)器）安裝在支持的高可用（HA）硬件平臺(tái)之上在RSAACE/Server與被保護(hù)的資源和用戶之間扮演“安全警衛(wèi)”的角色截取用戶訪問(wèn)請(qǐng)求并強(qiáng)迫使用RSASecurID身份認(rèn)證集成RSASecurID雙因素身份認(rèn)證功能到現(xiàn)有系統(tǒng)代理軟件植入在超過(guò)195個(gè)合作伙伴的超過(guò)295個(gè)網(wǎng)絡(luò)產(chǎn)品之中(參考

獲得完整列表)RSAACE/Agents時(shí)間同步身份認(rèn)證設(shè)備RSASecurID?

身份認(rèn)證設(shè)備RSASecurID硬件令牌SD700(Keyfob)SD200(Standard)SD520(PinPad)SD6100(USB)SD5200(智能卡)RSASecurID軟件令牌桌面電腦軟件令牌掌上電腦軟件令牌（Palm，PocketPC）

手機(jī)軟件令牌軟件令牌軟件開(kāi)發(fā)工具包SDK RSASecurID硬件令牌各種類型鑰匙牌(SD600)標(biāo)準(zhǔn)卡(SD200)PINPad卡(SD520)

零著陸點(diǎn)認(rèn)證無(wú)需安裝軟件用戶使用方便最廣泛使用的認(rèn)證設(shè)備RSASecurID軟件令牌RSASecurID硬件令牌的軟件版本可直接安裝于用戶的桌面易于使用全面支持Win2000遠(yuǎn)程訪問(wèn)服務(wù)器支持智能卡完全支持PKCS#11完全支持PC/SC改善智能卡管理程序具備種子傳輸功能RSASecurID應(yīng)用于掌上電腦將PalmPilot轉(zhuǎn)換為RSASecurID

身份認(rèn)證器PalmPilot儲(chǔ)存了RSASecurID種子及應(yīng)用軟件無(wú)須攜帶額外的身份認(rèn)證令牌易于使用和安裝靈活的智能卡解決方案RSASecurIDPassage軟件需要5100智能卡和讀寫器支持儲(chǔ)存雙X.509v3證書(shū)及雙RSA公鑰/私鑰對(duì)存儲(chǔ)RSAKeonPKI證件及RSASecurID軟件令牌種子支持門警系統(tǒng)訪問(wèn)公司證件關(guān)鍵特點(diǎn)：支持標(biāo)準(zhǔn)的證書(shū)服務(wù)器RSAKeonCA,Microsoft,VeriSign,Entrust本地Windows2000登錄雙CSP(PKCS#11andCAPI)安全電子郵件(S/MIME)和安全網(wǎng)頁(yè)訪問(wèn)(SSL)JavaCard解決方案(16K)PC/SC讀寫器支持在JavaCard中植入多種應(yīng)用程序公司ID，電子錢包，密碼，生物特性以及PKI證件RSASecurIDSmartCardSolution

5100智能卡和RSASecurIDPassageRSASecurID6100USB令牌具備基于Java的5100智能卡的所以特性，同時(shí)無(wú)需智能卡讀寫器便于攜帶，安全，擴(kuò)展支持?jǐn)?shù)字證書(shū)、密鑰對(duì)、密碼和軟件令牌種子使用計(jì)算機(jī)和筆記本電腦的標(biāo)準(zhǔn)USB端口單點(diǎn)登錄到Win32應(yīng)用程序和HTML頁(yè)面(通過(guò)RSASecurIDPassage)RSASecurIDPassage提供以下功能RSASecurIDPassage3.5.1對(duì)RSASecurID5100智能卡和RSASecurID6100USB令牌中的憑證進(jìn)行管理的桌面客戶端軟件，包括如何存儲(chǔ)、提取和使用支持指紋生物認(rèn)證支持單點(diǎn)登錄卡拔掉以后立即鎖定計(jì)算機(jī)SecurID雙因素認(rèn)證解決方案RSA的信息安全解決方案RSASecurID遠(yuǎn)程撥號(hào)防火墻虛擬專網(wǎng)電子商務(wù)企業(yè)系統(tǒng)保護(hù)RSA的信息安全解決方案遠(yuǎn)程撥號(hào)RSASecurID防火墻虛擬專網(wǎng)電子商務(wù)企業(yè)系統(tǒng)保護(hù)RASAgent遠(yuǎn)程撥號(hào)服務(wù)器的整合SecurIDReadyPartners3ComAlcatel

CiscoCitrixSystemsFunkSoftwareHewlett-PackardiPassInc.LucentTechnologiesMicrosoftNortelNetworksNetillaNetworksShiva/IntelSSHCommunicationsTarantellaACE/ServerRouter與AAA服務(wù)器實(shí)現(xiàn)無(wú)縫集成CiscoACS認(rèn)證/鑒權(quán)/審計(jì)RSAACERadius

Tacacs+SecurID

5500/udpSwitchCiscoACS與AAA服務(wù)器實(shí)現(xiàn)無(wú)縫集成CiscoSecureACSRSASecurIDAMSecurID

5500/udpRADIUS

TACACS+RSA的信息安全解決方案防火墻虛擬專網(wǎng)RSASecurID遠(yuǎn)程撥號(hào)電子商務(wù)企業(yè)系統(tǒng)保護(hù)虛擬專網(wǎng)

減少成本和簡(jiǎn)化系統(tǒng)大大的減少專線和遠(yuǎn)程撥號(hào)的成本提高接入性和安全性(通過(guò)加密)簡(jiǎn)化遠(yuǎn)程撥號(hào)的系統(tǒng)設(shè)計(jì)利用互聯(lián)網(wǎng)去提供用戶更大的方便減少用戶的支持更簡(jiǎn)單的收費(fèi)方式和用量計(jì)算VPNVPN的身份認(rèn)證需求公司網(wǎng)絡(luò)InternetVPN客戶端VPN網(wǎng)關(guān)誰(shuí)在安全隧道的另一端？虛擬專用網(wǎng)/防火墻的互操作Firewall/

VPNAgentACE/ServerAscendAventailCheckPointCiscoFortressF5IBMInfoExpressInternetDevicesIndusRiverJuniper/NetScreenNortelNetworksNokiaSemaphoreShiva/IntelFirewall/VPNPartnersInternet遠(yuǎn)程移動(dòng)辦公用戶認(rèn)證RSA

ACE/Server(Replica)NT/UnixIntranetVPN網(wǎng)關(guān)RSA

ACE/Server(Primary)郵件系統(tǒng)文件服務(wù)器應(yīng)用服務(wù)器遠(yuǎn)程移動(dòng)辦公用戶RSAACE/Agent制造業(yè)訂單管理系統(tǒng)用戶認(rèn)證RSA

ACE/Server(Replica)NT/UnixIntranetVPN網(wǎng)關(guān)RSA

ACE/Server(Primary)Web應(yīng)用服務(wù)器訂單管理系統(tǒng)代理商用戶RSAACE/Agent無(wú)線局域網(wǎng)用戶認(rèn)證（WLAN）企業(yè)內(nèi)部網(wǎng)AAA服務(wù)器

（支持802.1x）CiscoACSFunkRadiusServerMicrosoftIAS企業(yè)有線網(wǎng)絡(luò)WLAN認(rèn)證用戶AccessPointWindows&WLAN客戶端Citrix–不再需要密碼!訪問(wèn)CitrixWebInterface4.0,用戶只需提供用戶名、域名以及認(rèn)證碼RSA的信息安全解決方案電子商務(wù)RSASecurID遠(yuǎn)程撥號(hào)防火墻虛擬專網(wǎng)企業(yè)系統(tǒng)保護(hù)Web應(yīng)用程序的安全分銷商Passcode**********客戶Passcode**********零售業(yè)供應(yīng)鏈系統(tǒng)用戶認(rèn)證連續(xù)8年排名中國(guó)百?gòu)?qiáng)首席的連鎖企業(yè)大賣場(chǎng)的典型特點(diǎn)是物品眾多、需求復(fù)雜。通過(guò)電話和傳真的方式提供訂單的方式，遠(yuǎn)遠(yuǎn)不能滿足大賣場(chǎng)數(shù)以萬(wàn)計(jì)不同類別商品的復(fù)雜需求。許多商品重復(fù)訂貨，而另一些商品則缺貨，甚至3天都得不到補(bǔ)充。供應(yīng)商們由于供應(yīng)鏈系統(tǒng)的滯后，無(wú)法知道自己的商品在超市的銷售狀況，很多商品造成積壓或無(wú)法及時(shí)供應(yīng)，因此造成了很大的損失。不斷加快的全國(guó)擴(kuò)張步伐，已有3290家店面，遍布中國(guó)的20多個(gè)省，100多個(gè)城市，與此同時(shí)，供應(yīng)商數(shù)量也激增至9000多家。零售業(yè)供應(yīng)鏈系統(tǒng)結(jié)構(gòu)圖WebServerWeb

BrowserIBMDB2

RSAACE/ServerWebServerFirewallApplication

ServersApplication

Servers1nFirewallIBMHTTPWebServerFarm

BasedonRedHatLinuxAS3.0IBMWebSphereApplicationServerFarm

BasedonRedHatLinuxAS3.0RSAACE/ServeronAIX5.3CallACE/AgentAuthenticationAPIfromWebSpheretosendusername/passcodetoACE/ServerSecurID保護(hù)網(wǎng)上交易R(shí)SASecurIDAuthentication

toOutlookWebAccessRemoteAccess

AuthAgent5.3forWebstreamlinesauthenticationtoOWASecurIDpasscodepromptreplacesthepasswordRSASecurID應(yīng)用于電子商務(wù)金融電子交易網(wǎng)上銀行對(duì)公/對(duì)私電子轉(zhuǎn)帳業(yè)務(wù)供應(yīng)鏈的整合供貨商/代理商訂單管理庫(kù)存管理辦公自動(dòng)化系統(tǒng)應(yīng)用服務(wù)供應(yīng)商(ASP)