RSA双因素认证系统简介.ppt

1、RSA双因素身份认证产品简介,主要内容,RSA背景介绍 SecurID双因素身份认证解决方案,RSA背景介绍,RSA成立于1982年，在信息安全领域有20多年经验 在身份认证领域占有74%的市场份额，世界500强中80 超过10亿份软件内置有RSA 信息安全公司的技术 领导行业发展活动及组织包括RSA全球大会, RSA 实验室及 RSA 出版社 联合身份解决方案的重要供应商 领导关键的业界标准的定制 Liberty Alliance Project SAML PKCS 更多安全标准,RSA信息安全领域最值得信赖的名字,SecurID双因素动态口令身份认证解决方案 RSA Access Mana

2、ger 基于Web的单点登录及访问控制 全球第一个联合身份管理的产品FIM (Federate Identity Management) Authorization Manager 数字证书解决方案（PKI, CA） Consumer Protection Suite 消费者身份认证解决方案 RSA enVision安全信息和事件智能管理平台 BSAFE算法及加密开发工具包 更多.,RSA主要产品及解决方案,在中国的主要用户,SecurID双因素身份认证解决方案,身份认证是网络信息安全的基础,网络信息安全的五个要素 身份认证(Authentication)鉴定信息的真实性，核实源实体与接受实体

3、是否与宣称的一致。 授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。 保密性(Confidentiality)使信息只被授权用户享用，确保通信机密。 完整性(Integrity)确保数据的完整和准确。 不可否认(Nonrepudiation)验明身份后，不能够拒绝传送和接受。 如果无法确定用户的身份： 不可能进行合理授权 任何加密或传输数据都变得毫无意义 网络和信息安全将难以想象,传统静态口令已无法满足信息安全和管理的需要,要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用，不能及时更换 网络上存在上大量破解静态口令的工具(暴力破解、口令字典、协议分析工具等

4、等) 很多病毒都会对简易的口令进行破解 最基本、最简单的口令问题往往成为网络安全最薄弱的环节 面对第三方的维护和开发等人员，管理员不得不开放自身超级用户口令，存在巨大安全隐患、难于管理 领导基本不会更换管理员为其设定的口令 口令维护管理问题层出不穷(忘记密码、用户被锁定),RSA双因素身份认证技术是最简单易用的强认证解决方案,生物认证技术，包括指纹、虹膜、面容识别等 无法集成现有应用 需要特殊的外围认证设备 应用不成熟、使用维护成本高 数字证书认证技术 无法集成现有应用，需要很多开发工作 客户端需要安装驱动程序，管理、部署和维护复杂 在许多特殊场景下无法使用，如对登录AIX操作系统的保护就无能

5、为力 RSA双因素身份认证技术 直接集成各种应用 提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、Web Server等 技术成熟、可靠，方便部署、分发和使用,RSA双因素身份认证市场领先,“RSA信息安全公司统治着软硬件令牌市场”,Source: International Data Corp., “Token and IT Authentication Market”,全球软件,硬件令牌销售指数,Others,25.8%,RSA,Security,74.2%,RSA双因素身份认证产品在中国最近二年获奖情况,双因素的概念=你所知道的+你所拥有的,把你所拥有的ATM 卡,.

6、和你知道的. ATM 卡的口令,+ PIN,= 双因素认证!,RSA双因素身份认证原理,公司资源,Bad Tokencode: Access Denied,Good Tokencode: Access Granted,认证代理软件 AM/Agent,认证管理服务器 AM,User enters Passcode (PIN + token code),UserAuthenticated!,Authentication Manager,Authentication Agent,RSA SecurID Authentication Solution,RSA双因素身份认证原理时间同步双因素身份认证,R

7、SAAuthentication Manager,RSA SecurID双因素口令的构成,Zs3a,159759,完整的双因素口令是PIN码（客户首次使用令牌的时候设定）和令牌码组合到一起构成的,种类丰富的认证令牌,软件令牌,智能卡令牌,USB令牌,硬件令牌,RSA双因素身份认证系统架构,Primary RSAAM/Server,RAS,VPN, Web Server, etc.,RSA AM/Agent,Replica RSAAM/Server,Primary Server上实现管理和身份认证功能 不断地在Primary Server和Replica Server之间作同步 Replica

8、Server只执行身份认证功能 支持允许灵活的、分布式的网络配置,RSA Authentication Manager管理概要,RSA SecurID后台的认证机制 分发令牌给信任的个人 设置并增强安全策略，保护网络系统，文件以及应用程序的访问 用户行为的审计 扩展性以及稳定性 支持上百万的用户数 全球超过数万台安装的服务器以及部署超过几千万个令牌 完善的令牌管理功能 令牌与帐号的绑定与解除、暂时挂起 允许紧急情况下的访问，给予若干一次性密码等,集中化的资源以及远程管理 集中化的用户，认证方式以及代理软件管理 细化的管理员任务 客户化的报表 组管理，访问不同资源 用户，组，地点和域四级管理 指

9、定用户或组在哪几个工作日，在那些时间访问网络资源,RSA Authentication Manager管理概要,简化并降低管理开支 数据库复制 LDAP或客户权限管理数控库等用户资料的导入和同步 Quick Admin Web 界面的帮助台应用程序 提高正常运行时间，降低分险 支持高可用（High availability） 硬件平台 自动实现软件容错 灾难恢复 增强的执行效率以及扩展性 自动实现负载平衡和数据库复制 投资保护 方便的进行扩容和升级 支持服务器负载平衡功能,RSA Authentication Manager管理概要,RSA强认证系统可以保护的资源,RSA Authentica

10、tion Manager (Replica),Win/Unix,Intranet,VPN网关,RSA Authentication Manager (Primary),邮件系统 文件服务器 应用服务器,远程移动办公用户,RSA ACE/Agent,RSA强认证系统可以保护的资源,企业内部网,AAA服务器（支持802.1x） Cisco ACS Funk Radius Server Microsoft IAS ,企业有线网络,WLAN 认证用户,Access Point,Windows & WLAN 客户端,RSA身份认证 服务器,RSA强认证系统可以保护的资源,RSA强认证系统可以保护的资源,

11、RSA强认证系统可以保护的资源,SecurID passcode prompt replaces the password,Web applications and servers Oracle EMC Documentum Sun Microsystems Apache BEA IBM Microsoft Provisioning Computer Associates IBM Thor Technologies BMC Sun Microsystems Email, workflow and office automation Microsoft Novell Adobe IBM Remo

12、te Access iPass Citrix Nortel Symantec,Wireless Cisco Microsoft Nokia Perimeter defense (Firewalls, VPNs and Intrusion Detection) Aventail Check Point Software Cisco Citrix Juniper Nortel Nokia Microsoft Network and communications Lucent Cisco Radius 3COM Funk Software Cisco Lucent,与超过300种以上产品的互操作性,

13、RSA强认证系统可以保护的资源,UNIX - AIX, HP/UX, Solaris Linux Windows NT & IIS Windows 2000/2003/XP,SCO UNIX HP/MPE Digital UNIX Appletalk OpenVMS IBM: OS/390, AS/400 SGI IRIX ,对服务或桌面系统进行保护的时候需要安装有关代理软件； 对主流的操作系统的代理软件RSA均免费提供； 包括对Windows桌面系统进行保护的代理软件全部免费提供；,应用与资源,Firewall,Internet,Agent,互联网访问,SecurID 将保护企业的各种资源

14、.,RSA Authentication Mgr,RAS,Agent,远程拨号访问,Access Point,无线局域网访问,中国建设银行RSA认证介绍,CISCO ACS,防火墙,IBM AIX,Center Switch,RADIUS认证,认证服务器,用户访问路由器时，提供的认证用户如果是ACS的用户由ACS来认证，如不是由ACE来认证将由RSA来认证,ACS是ACE的AGENT，但ACE服务器作为ACS服务器的扩展认证服务器,用户访问IBM AIX服务器、防火墙及移动VPN建立时需要的认证由ACE服务器提供,两台认证服务器之间的数据实时同步。,CISCORouter,认证代理,认证代理,认证代理,认证代理,需要认证的用户,移动用户RSA认证,产品特点,简单、安全 产品成熟、稳定，没有售后服务的顾虑,VPN/ Wireless,Windows,Web portal,Applications,UNIX,RSA SecurID Appliance Bundle软硬件一体化双因素认证设备,一体化认证设备,集成了RSA认证管理软件、操作系统等 标准的19寸宽度、1U