某银行RSA令牌替换方案实践

一、项目背景

1．企业移动化及弱密码安全威胁

随着企业移动化的推进，移动化办公已然成为常态。在VPN、SaaS 应用、虚拟化远程等领域，账号密码成为企业仅有的一道的安全防线。但弱密码、僵尸账号、账号密码泄漏始终是账号密码认证的最大威胁。

2. 等保2.0 法规要求

三级安全通用部分“身份鉴别”要求应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别。

3. 密码产品国产化

国际形势瞬息万变，网络安全已上升到国家战略层面，安全产品国产化将成为持续且长期的合规要求。

二、项目需求

1．不改变现有的网络架构，实现RSA认证服务器动态口令的过渡；2．不断开双因子认证保护，直到新的令牌安装成功；

3．部署周期短，方案便捷；

4．用户能继续在手机上使用软件Token，不额外添加硬件设备；

5. 供应商需持有国密证书，满足国家法规需求。

三、项目方案

1. 客户原使用场景

应用场景：NetScaler Gateway VPN

多分支架构：深圳（总部）和上海各部署了VPN 系统，RSA认证服务器部署于深圳，采用双机热备实现数据同步。

2．令牌替代RSA令牌方案

a)旁路部署认证服务器，不影响网络数据的正常流通，对接企业账

号源和VPN系统；

b)将RSA认证服务器指向认证服务器（DKEY AM），在DKEY AM

上配置RSA相关认证参数；

c)认证服务器接收VPN 双因子动态请求后，检查动态口令来源，

如果来自RSA令牌，则传递给RSA认证服务器进行校验；

d)直到用户全部更换令牌后，断开与RSA认证服务器的通信服务。

四、使用效果

登录VPN时，在双因子动态口令页面输入令牌显示的六位动态口令进行验证。

五、方案价值

1．未改变现有网络架构，实现RSA认证服务器向认证服务器的过渡；

2. 更换期间未断开双因子动态保护，用户处于无感知状态；

3. 令牌属于安装在手机上的一款软件Token，兼容电脑手机端，符合移动化趋势；

4. 在账号密码的基础上增加双因子动态口令，满足三级等保需求；

5. 供应商持有国密证书，满足等保、护网行动对供应商的合规需求。

智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi 认证管理等多个产品线于一体的全场景解决方案。