RSA双因素认证系统简介

RSA双因素身份认证技术是最简单易用的强认证解决方案 双因素身份认证技术是最简单易用的强认证解决方案
生物认证技术，包括指纹、虹膜、面容识别等
• • • • • • • • •
无法集成现有应用 需要特殊的外围认证设备 应用不成熟、使用维护成本高
数字证书认证技术
无法集成现有应用，需要很多开发工作 客户端需要安装驱动程序，管理、部署和维护复杂 在许多特殊场景下无法使用，如对登录AIX操作系统的保护就无能为力
• •
自动实现软件容错 灾难恢复
增强的执行效率以及扩展性 • 自动实现负载平衡和数据库复制 投资保护 • 方便的进行扩容和升级
•
支持服务器负载平衡功能
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
RSA RSA Authentication Authenticati Manager on Manager (Primary) (Replica) 远程移动办公用户
在中国的主要用户
SecurID双因素身份认证解决方案 双因素身份认证解决方案
身份认证是网络信息安全的基础
网络信息安全的五个要素
• • • • • • • •
身份认证(Authentication)鉴定信息的真实性，核实源实体与接受实 体是否与宣称的一致。 授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。 保密性(Confidentiality)使信息只被授权用户享用，确保通信机密。 完整性(Integrity)确保数据的完整和准确。 (Integrity) 不可否认(Nonrepudiation)验明身份后，不能够拒绝传送和接受。
Lucent Cisco
Remote Access
iPass Citrix Nortel Symantec
• • • •
3COM Funk Software Cisco Lucent
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
UNIX - AIX, HP/UX, Solaris Linux Windows NT & IIS Windows 2000/2003/XP
如果无法确定用户的身份： 如果无法确定用户的身份：
不可能进行合理授权 任何加密或传输数据都变得毫无意义 网络和信息安全将难以想象······
传统静态口令已无法满足信息安全和管理的需要 要记忆或管理的口令太多、 要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用， 很多静态口令都“终身”使用，不能及时更换 网络上存在上大量破解静态口令的工具(暴力破解、 网络上存在上大量破解静态口令的工具 暴力破解、口 暴力破解 令字典、协议分析工具等等) 令字典、协议分析工具等等 很多病毒都会对简易的口令进行破解 最基本、最简单的口令问题往往成为网络安全最薄弱的 最基本、 环节 面对第三方的维护和开发等人员， 面对第三方的维护和开发等人员，管理员不得不开放自 身超级用户口令，存在巨大安全隐患、 身超级用户口令，存在巨大安全隐患、难于管理 领导基本不会更换管理员为其设定的口令 口令维护管理问题层出不穷(忘记密码、用户被锁定 口令维护管理问题层出不穷 忘记密码、用户被锁定) 忘记密码
种类丰富的认证令牌
硬件令牌
软件令牌
智能卡令牌 智能卡令牌 USB令牌 令牌
RSA双因素身份认证系统架构 双因素身份认证系统架构
RSA AM/Agent
Primary RSA AM/Server
Replica RSA AM/Server
RAS, VPN, Web Server, etc.
• • • •
RSA Authentication Manager管理概要 管理概要
RSA SecurID后台的认证机制
• • • • • • •
分发令牌给信任的个人 设置并增强安全策略，保护网络系统，文件以及应用程序的访问 用户行为的审计
扩展性以及稳定性
支持上百万的用户数 全球超过数万台安装的服务器以及部署超过几千万个令牌
tokencode
认证管理服务器 AM 种子 + 时间 =
tokencode
RSA SecurID Authentication Solution
Calculates passcode Authentication Agent User enters Passcode (PIN + token code)
SCO UNIX HP/MPE Digital UNIX Appletalk OpenVMS IBM: OS/390, AS/400 SGI IRIX …
对服务或桌面系统进行保护的时候需要安装有关代理软件； 对服务或桌面系统进行保护的时候需要安装有关代理软件； 对主流的操作系统的代理软件RSA均免费提供； 均免费提供； 对主流的操作系统的代理软件 均免费提供 包括对Windows桌面系统进行保护的代理软件全部免费提供； 桌面系统进行保护的代理软件全部免费提供； 包括对 桌面系统进行保护的代理软件全部免费提供
RSA Security 74.2%
Source: International Data Corp., “Token and IT Authentication Market”
RSA双因素身份认证产品在中国最近二年获奖情况 双因素身份认证产品在中国最近二年获奖情况
双因素的概念=你所知道的 你所拥有的 双因素的概念 你所知道的+你所拥有的 你所知道的
把你所拥有的ATM 卡
+ PIN
... 和你知道的... ATM 卡的口令
= 双因素认证! 双因素认证!
RSA双因素身份认证原理
认证代理软件 AM/Agent
公司资源
GoodTokencode: Bad Tokencode: Access Granted Access Denied 种子 + 时间 =
Provisioning
Computer Associates IBM Thor Technologies BMC Sun Microsystems
Email, workflow and office automation
Microsoft Novell Adobe IBM
Network and communications
Authentication Manager
User Authenticated!
RSA双因素身份认证原理 时间同步双因素Leabharlann Baidu份认证
RSA Authentication Manager
159759
算法 时间 种子 时间 算法 种子
相同的种子 相同的时间
RSA SecurID双因素口令的构成 双因素口令的构成
Radius
Cisco Microsoft Nokia
Perimeter defense (Firewalls, VPNs and Intrusion Detection)
Aventail Check Point Software Cisco Citrix Juniper Nortel Nokia Microsoft
RSA ACE/Agent
Intranet
邮件系统
VPN网关 网关
Win/Unix
文件服务器 应用服务器
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
RSA身份认证 身份认证 服务器
Windows & WLAN
客户端
企业内部网
Access Point AAA服务器 服务器 支持802.1x） （支持 ） Cisco ACS Funk Radius Server Microsoft IAS ······
RSA双因素身份认证产品简介 双因素身份认证产品简介
主要内容
RSA背景介绍 背景介绍 SecurID双因素身份认证解决方案 双因素身份认证解决方案
RSA背景介绍 背景介绍
RSA——信息安全领域最值得信赖的名字 信息安全领域最值得信赖的名字
RSA成立于 成立于1982年，在信息安全领域有 多年经验 成立于 年 在信息安全领域有20多年经验 在身份认证领域占有74%的市场份额，世界500强中 ％ 的市场份额，世界 强中80％ 在身份认证领域占有 的市场份额 强中 超过10亿份软件内置有 超过 亿份软件内置有RSA 信息安全公司的技术 亿份软件内置有 领导行业发展活动及组织包括RSA全球大会 RSA 实验室及 RSA 出版社 全球大会, 领导行业发展活动及组织包括 全球大会 联合身份解决方案的重要供应商 领导关键的业界标准的定制
• • • •
Liberty Alliance Project SAML PKCS 更多安全标准
RSA主要产品及解决方案 主要产品及解决方案
SecurID双因素动态口令身份认证解决方案 双因素动态口令身份认证解决方案 RSA Access Manager 基于 基于Web的单点登录及访问控制 的单点登录及访问控制 全球第一个联合身份管理的产品FIM (Federate Identity 全球第一个联合身份管理的产品 Management) Authorization Manager 数字证书解决方案（PKI, CA） 数字证书解决方案（ ） Consumer Protection Suite 消费者身份认证解决方案 RSA enVision安全信息和事件智能管理平台 安全信息和事件智能管理平台 BSAFE算法及加密开发工具包 算法及加密开发工具包 更多……. 更多
LOGIN: 张三 PASSCODE: Zs3a 159759 双因素口令 = PIN + 令牌码
已初始化为 全球同步时间
令牌码: 令牌码 通常为每 60秒钟变化一次 秒钟变化一次
内部电池
唯一的128位 位 唯一的 种子
完整的双因素口令是PIN码（客户首次使用令牌的时候设定）和令牌码组合到一起构成的 码 客户首次使用令牌的时候设定） 完整的双因素口令是
RSA Authentication Manager管理概要 管理概要
简化并降低管理开支 • 数据库复制
• •
LDAP或客户权限管理数控库等用户资料的导入和同步 Quick Admin Web 界面的帮助台应用程序
提高正常运行时间，降低分险 • 支持高可用（High availability） 硬件平台
企业有线网络 WLAN 认证用户
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
RSA强认证系统可以保护的资源 强认证系统可以保护的资源
SecurID passcode prompt replaces the password
与超过300种以上产品的互操作性 种以上产品的互操作性 与超过
Web applications and servers Wireless
• • • • • • • • • • • • • • • • • • • •
Oracle EMC Documentum Sun Microsystems Apache BEA IBM Microsoft
• • • • • • • • • • • • •
完善的令牌管理功能
令牌与帐号的绑定与解除、暂时挂起 允许紧急情况下的访问，给予若干一次性密码等
RSA Authentication Manager管理概要 管理概要
集中化的资源以及远程管理
• • • • •
集中化的用户，认证方式以及代理软件管理 细化的管理员任务 客户化的报表
组管理，访问不同资源
用户，组，地点和域四级管理 指定用户或组在哪几个工作日，在那些时间访问网络资源
Primary Server上实现管理和身份认证功能 上实现管理和身份认证功能 不断地在Primary Server和Replica Server之间作同步 不断地在 和 之间作同步 Replica Server只执行身份认证功能 只执行身份认证功能 支持允许灵活的、 支持允许灵活的、分布式的网络配置
RSA双因素身份认证技术
直接集成各种应用 提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、Web Server等 技术成熟、可靠，方便部署、分发和使用
RSA双因素身份认证市场领先 双因素身份认证市场领先
全球软件硬件令牌销售指数 全球软件硬件令牌销售指数
Others 25.8%
• “RSA信息安全公司统治着软 信息安全公司统治着软 硬件令牌市场” 硬件令牌市场”