6(双因素认证系统).docx

RSA双因素身份认证系统简介 目 录1. RSA SECURID双因素身份认证系统简介31.1.RSA提供完整的解决方案31.2.RSA SecurID：强大的双因素认证系统31.3.RSA SecurID双因素认证系统组件41.3.1.认证管理软件（Authentication Manager）41.3.2.RSA SecurID双因素认证设备41.3.3.代理软件（AM/Agent）52. 时间同步双因素技术及令牌原理简介52.1基于时间同步技术双因素身份认证架构图52.1.1RSA SecurID时间同步原理架构图52.1.3基于时间同步的双因素口令62.2RSA 700型双因素令牌简介63. RSA强认证系统可以保护资源简介63.1对端口安全和无线网络的保护73.2RSA SecurID可以提供对拨号/访问服务器的双因素身份认证73.3RSA SecurID可以提供对路由器、交换机和防火墙等网络设备的双因素身份认证73.4RSA SecurID可以提供对各种VPN的双因素身份认证73.5RSA SecurID可以对UNIX、Linux及Windows等操作系统保护73.6RSA SecurID可以提供对不同的Web服务器的保护83.7RSA SecurID对Oracle数据库的保护83.8RSA SecurID可以提供对若干应用的保护83.9RSA通过提供免费的API，从而提供对各种应用的保护84. RSA双因素身份认证系统中认证服务器的部分特性94.1容错与负载均衡94.2安装平台94.3客户管理及与LDAP的同步94.4日志、审计与报表104.5对微软服务器及桌面的保护105. 产品配置及配套第三方产品配置105.1RSA产品配置举例105.2配套的第三方产品配置举例116. RSA双因素身份认证设备简介111. RSA SecurID双因素身份认证系统简介1.1. RSA提供完整的解决方案在网络信息安全的五个功能中(身份认证、授权、保密性、完整性和不可否认)，身份认证（Authentication）是最基本最重要的环节，即使将授权、保密性、完整性、不可否认等环节做得很完善，但如果盗用了合法的帐号和口令登录系统，系统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。RSA提供了完整的身份认证解决方案，特别是RSA SecurID双因素身份认证解决方案，已成为该领域的事实标准，该解决方案以易于实现、成熟、可靠等特点在信息安全领域赢得广泛信赖。1.2. RSA SecurID：强大的双因素认证系统简单来说，双因素身份认证就是通过你所知道再加上你所能拥有的这二个要素组合到一起才能发挥作用的身份认证系统。例如，在ATM上取款的银行卡就是一个双因素认证机制的例子，需要知道取款密码和银行卡这二个要素结合才能使用。RSA SecurID是一个强大的身份认证系统。其使用情况为，管理员向授权的用户发放单独的认证设备（可以类比为银行卡，我们通常称之为令牌），此认证设备根据时间变化，每分钟都会生成一个唯一的不可预测的令牌码。用户在初次使用这个认证设备的时候，需要设定他自己的个人码（我们称之为PIN码，可以类比为银行卡的取款密码）。在使用的时候，用户个人码再与令牌码组合，就形成双因素认证代码（我们称之为passcode以区别静态口令的password）；RSA的时间同步身份认证技术将确保在相同的时间令牌和认证服务器产生相同的令牌码，这样，只有持有令牌的合法用户才可以访问其可以访问的资源。在常用的网络安全技术中，身份认证技术是其它安全技术的基础，通过与其它技术结合，能提供更安全、更适合应用的解决方案。据IDC的权威统计，RSA在全球身份认证市场获得70以上的市场份额，成为身份认证的事实标准。同时，RSA SecurID获得全球370多种以上产品支持，可以很好保护用户投资。1.3. RSA SecurID双因素认证系统组件RSA SeucrID由认证服务器RSA Authentication Manager（简称AM）、代理软件RSA Authentication/Agent、认证设备以及认证应用编程接口（API）组成(如下图所示)。1.3.1. 认证管理软件（Authentication Manager）RSA Authentication Manager(认证管理)软件是一个将性能卓越的认证引擎和集中管理功能结合在一起的认证管理系统。以认证为例，当认证服务器(安装认证管理软件的服务器)收到一个认证请求时，它使用与用户认证设备（令牌）相同的算法和种子值来验证正确的令牌码。如果用户输入的是正确的令牌码则认证通过，该用户可以访问他有权访问的资源。1.3.2. RSA SecurID双因素认证设备我们所说的认证设备通常指的就是双因素认证令牌。令牌的种类有很多，以RSA 700型硬件令牌为例,该令牌里面已经内置了芯片和电池，芯片里已经固化了RSA的算法，这种算法是与时间因素相关联的，每个令牌有一个唯一的128位种子文件。种子文件结合特定的时间同步算法，每60秒会产生一个动态的令牌码。每个令牌发放给不同的使用者，并要求该使用者在初次使用这个令牌的时候设定一个PIN码。以后，每次这个令牌的使用者在使用令牌访问其所要访问的资源的时候，需要同时输入PIN码再加上令牌的组合，这就是我们所说的passcode，也即双因素口令。认证服务器在接到认证代理软件的认证请求后，只需要比对该令牌用户输入的令牌码与认证服务器产生的该令牌的令牌码是否一致即可判断是否合法用户。可见，RSA强认证系统就是依赖相同时间相同算法相同种子文件所产生的相同运算结果（令牌码）这样简单却极为有效的方式来实现身份认证的。因此，令牌与认证服务器之间不需要任何通信联系，其核心就在于RSA的时间同步专利技术。1.3.3. 代理软件（AM/Agent）认证代理软件在终端用户和需要受到保护的网络资源中间发挥作用。当一个用户想要访问某个资源的时候，RSA认证代理软件将请求发送到RSA认证管理服务器进行认证。RSA Authentication/Agent是一种设备专用代理软件，已经内置在大多数主流的网络设备和浏览器以及Web服务器软件系统中，允许安全管理员通过鼠标点击，而不是编写代码，为用户和保护的资源选择和应用相应的设置。2. 时间同步双因素技术及令牌原理简介2.1基于时间同步技术双因素身份认证架构图2.1.1RSA SecurID时间同步原理架构图使用RSA信息安全公司基于专利技术的时间同步双因素身份认证系统，可以确保有权限的人访问与其权限相符的资源。以上图为例，左边的令牌就是一个RSA700型令牌，里面已经固化了芯片（算法、种子文件）和电池，这种算法是与时间相关联的，确保每分钟产生一个唯一的值；后台的认证服务器与这块令牌采用相同的算法和种子文件。我们知道时间是标准的（例如都取格林威治时间），所以，在相同的时刻，令牌和认证服务器各自单独运算的结果也是相同的，RSA的双因素身份认证就是依赖这个简单的原理来做强认证的。2.1.3基于时间同步的双因素口令 在使用RSA信息安全公司SecurID解决方案后，一个完整的口令我们称之为passcode，它是由用户自己设定的4到8位的PIN码和动态的令牌码构成。2.2RSA 700型双因素令牌简介 RSA双因素软、硬件令牌种类很多，下面仅对700型硬件做一简介：该令牌的大小状如一把普通的钥匙（约5.8厘米长、2到3厘米宽、厚度接近1厘米）。该令牌已经内置了128位种子文件，并已做了初始化以方便客户直接使用。每个令牌有一个唯一的序列号，用于标识每一块令牌。每个令牌对应的唯一的128位种子文件会在定购令牌的时候存储在一张种子光盘中，以便将种子文件导入到认证服务器中。700型硬件令牌有6位和8位数字显示的二种令牌，其价格是一样的。3. RSA强认证系统可以保护资源简介可以毫不夸张的说，凡是有静态口令保护的资源，都可以使用RSA的强认证系统进行保护。RSA强认证系统可以保护资源的情况简介如下。3.1对端口安全和无线网络的保护RSA SecurID可以提供对基于802.1X的端口安全保护并提供对基于802.11b协议的无线网络的双因素身份任认证。当用户通过无线网卡需要访问公司网络的时候启动双因素用户身份认证，只有通过的认证的合法用户才能访问公司网络。3.2RSA SecurID可以提供对拨号/访问服务器的双因素身份认证目前为止，微软的拨号服务器、思科、3COM和华为等这些主流的拨号服务器均可以支持SECURID认证。3.3RSA SecurID可以提供对路由器、交换机和防火墙等网络设备的双因素身份认证在整个网络系统中，有许多的路由器和和交换机，管理员经常需要登录到这些网络设备上进行维护工作。但是如果仅使用口令认证用户身份，非法人员只有获得管理员的口令就可以进入这些网络设备随意修改，代理很大的不安全因素。现在只需要配置这些网络设备通过已经内置的RSA Agent或RADIUS协议来使用SECURID即可实现双因素认证，当用户需要TELNET到这些网络设备时，必须输入用户名和双因素Passcode，然后由这些网络设备通过Agent或RADIUS协议将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。3.4RSA SecurID可以提供对各种VPN的双因素身份认证市场上主流的VPN厂商已经集成了RSA代理软件在VPN设备中，管理员只需要在图形界面上非常简单地配置RSA认证服务器信息就可以实现SECURID功能。而客户端只需要安装VPN客户端程序，不需要安装额外的软件来支持SecurID认证。当用户需要通过防火墙或者VPN网关接入企业内部网络时，只需要在原来输入用户名/口令的地方输入RSA认证服务器上的用户名和双因素Passcode，然后由这些网络设备内置地代理软件或者标准的RADIUS协议将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。3.5RSA SecurID可以对UNIX、Linux及Windows等操作系统保护目前为止，RSA支持各种UNIX操作系统，其中IBM AIX，HP-UNIX和SUN Solaris以及RedHat Linux上的代理软件都是免费提供的。同时，RSA为某些特定的操作系统提供定制的代理软件，由于需要额外的开发、支持和维护工作，所以这部分的代理软件需要收取一定的费用，包括DEC Alpha上运行的DEC Unix和SCO Unix等。安装了RSA Authentication/Agent for UNIX/Linux以后，配置相应用户的确省的Shell外壳程序，改为RSA的sdshell。这样，当用户通过远程Telnet或本地登录到UNIX/Linux主机时，主机首先提示用户输入正确的用户名和口令，当用户正确输入以后，UNIX/Linux主机根据用户名定位其记录，确认其是否需要双因素强认证，如果是，则提示用户输入正确的PASSCODE，只有用户输入了正确的PIN和令牌码以后，才能进入到主机系统，否则就会被拒绝在外。3.6RSA SecurID可以提供对不同的Web服务器的保护RSA Authentication/Agent可以保护不同的Web服务器：RSA Authentication/Agent for Windows NT/2000保护IIS虚拟服务器、目录和文件；Outlook Web Access； Microsoft Proxy ServerRSA Authentication/Agent for Apache Web Server提供运行在不同操作系统上的Apache模块来保护这些Web服务器上的URL、网页和目录。RSA Authentication/Agent for Lotus Domino保护Lotus数据库（地址簿、日历和电子邮件等），URL目录和存放在Domino Web服务器上的文件。RSA Authentication/Agent for Netscape/iPlanet Web Server保护在Windows NT或者UNIX平台上的根，目录或者文件。RSA Authentication/Agent for Web具有以下优点：不需在用户桌面安装软件保证通过SSL传输的信息的保密性管理用户认证和访问控制灵活的安全设置，保护网站资源时不需要编程实现在多个站点之间的单点登录，只需登录即可访问不同站点的资源。3.7RSA SecurID对Oracle数据库的保护Oracle是全球领先的信息管理软件的供应商，由其提供的Advanced Security Option（ASO）软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息。当用户试图访问Oracle数据库时，Advanced Security Option软件加密并且执行安全检查。RSA AM/Server技术使用预先发给每个用户的RSA SecurID令牌认证用户的身份。使用Oracle的Advanced Security Option和RSA SecurID令牌，所有基于Oracle数据库的网络应用程序均可以得到由RSA SecurID令牌提供的强认证。3.8RSA SecurID可以提供对若干应用的保护以Oracle的应用为例，针对Oracle Application和Oracle Portal，RSA专门提供了AM/Agent插件程序，植入Oracle Application和Oracle Portal中，帮助企业使用双因素令牌认证用户身份，同时替换原有的用户名和口令认证，用户只需要一次认证就可以直接登录应用中，完全排除了需要记忆静态口令的麻烦，实现紧密集成。而用户的访问权限的控制还是由Oracle ERP自己完成，所以相同的用户信息必须同时保存在RSA认证服务器和Oracle ERP中，并且同一个用户的用户名必须一样。3.9RSA通过提供免费的API，从而提供对各种应用的保护RSA Authentication/Agent认证应用开发包能够让开发员集成RSA SecurID到客户或者第三方应用程序中。由认证应用开发包连接生成的代理软件能够与域中多个RSA Authentication/Server通讯，配合内置负载平衡的函数，代理软件可以选择最佳的认证服务器进行通讯。负载平衡可以自动实现也可以手工修改配置，数据由代理软件在运行时动态分配，代理软件程序员无需关心底层操作即可实现负载平衡或者容错能力。RSA可以免费提供在各种环境下的C函数库和Java函数库。4. RSA双因素身份认证系统中认证服务器的部分特性4.1容错与负载均衡由于会在关键的应用中使用双因素认证，如果万一RSA认证服务器死机，所有的用户均无法访问这些资源，给用户的使用带来很大不便，所以RSA建议为了减少停机的可能，至少应该安装两台RSA认证服务器，一台为主服务器，另一台为备份服务器，这样任何一台服务器的死机不会影响整个认证过程。同时RSA AGENT代理软件会自动侦测二台(或多台)认证服务器的响应速度，然后自动把更多的认证请求发送到响应速度较快的认证服务器上进行处理。这样，就在容错的同时实现自动负载均衡。4.2安装平台RSA Authentication Manager可以运行于Solaris、AIX、HP-UX和Windows操作系统平台上。一个RSA Authentication Manager可以提供百万级用户数的容量。RSA Authentication Manager有两种许可证：基本许可证（Base License）和高级许可证（Advanced License）。基本许可证允许用户安装一台主服务器（Primary Server）和一台从服务器（Replica Server）；而高级许可证允许部署最多6个服务器域（Realm），每个域由一台主服务器和最多十台从服务器组成，这种架构不仅确保了有效性，同时可以适合大型的全球网络拓扑结构。4.3客户管理及与LDAP的同步许多企业采用目录服务器来集中管理用户的帐号，这种集中式的管理给管理员带来极大的方便。而在认证服务器中也必须维护一套用户帐号，管理员需要在Authentication Manager中为用户分配令牌，控制用户访问不同的网络资源。对于管理员来说需要同时维护两套用户帐号会增加管理上的负担，这就需要用到Authentication Manager中自带的强大的目录服务器同步功能。此功能允许管理员在目录服务中维护完整的用户帐号，同时在RSA中维护所有的令牌资料，管理员可以通过事先定义好的目录服务器与与Authentication Manager的映射关系，自动添加目录服务器中的所有的或者一部分用户帐号到Authentication Manager中。以后所有的用户信息的添加、删除和修改都在目录服务器上完成，RSA Authentication Manager会自动将这些信息复制到自己的数据库中，无须管理员手工介入，管理员只需要在RSA Authentication Manager中为用户分配令牌并控制其访问权限即可。RSA Authentication Manager支持三种目录服务：Microsoft Active Directory、iPlanet Directory Server 和 Novell NDS eDirectory。在配置目录服务器自动同步功能时，需要指定目录服务器的IP地址和端口号，同步的起始时间和同步时间间隔并且最好使用SSL加密整个连接。有可能在目录服务器中存放大量的用户数，并不是所有用户都需要自动同步到RSA Authentication Manager中，可以在目录服务器中建立特定的OU，将相关用户放置于此特定的OU中，然后设定RSA Authentication Manager仅同步此特定的OU，减少了同步用户数量。4.4日志、审计与报表对于用户的每一次认证企图和通过管理程序做的任何动作，都会在RSA Authentication Manager的日志中产生相应的一条记录，管理员可以运行大量的报告来查账审计。RSA Authentication Manager除了提供图形化界面让管理员手工定义和生成报表以外，还提供命令行的报表生成工具，允许管理员以批处理的方式创建基于sdlog日志数据库的审计报告和基于sdserv用户数据库的令牌统计报告。管理员可以使用RSA Authentication Manager报表生成工具内置的标准报告格式，也可以根据自己的需要创建客户化的报表内容，例如列出特定消息的所有日志、令牌的失效日期以及用户的最后一次登录时间等信息。除了详细的报表功能以外，管理员还可以将特定的日志信息发送到Event Log或者syslog中，配合第三方的日志管理工具实时采集认证信息，以最快的速度响应系统问题。4.5对微软服务器及桌面的保护长期以来，微软一直是RSA的策略合作伙伴，凡购买RSA强认证系统的客户都可以免费获得各种对微软有关产品进行保护的代理程序。基于微软Windows软件的RSA SecurID是一项在允许用户登陆到微软Windows环境之前就能证明其身份的认证解决方案。有了基于微软Windows软件的RSA SecurID解决方案，无论用户是上网连接到公司的网络，还是在离线状态下登陆桌面系统，作为微软系统的使用者，他们的身份都能鉴别。这项安全的解决方案为用户登陆Windows环境提供简单而一致的方法，全部的登陆认证过程全都可以核查，公司从此无需再要求使用者变换密码。5. 产品配置及配套第三方产品配置5.1RSA产品配置举例设备名称规格型号数量备注RSA认证管理软件，1000用户(RSA Authentication Manager)RSA基本版认证管理软件，1000用户，V6.11Secure Care一年期升级、维护服务RSA基本版认证管理软件（V6.1）年度升级维护费用1700型硬件令牌(KeyFob Token )RSA 700型硬件令牌(128位种子文件，AES算法，6位数字显示, 60秒更换动态令牌码, 有效期为36个月)5005.2配套的第三方产品配置举例设备名称规格型号数量备注