RSA_SecurID产品简介.ppt

confidential 要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用，不能及时更换 网络上存在上大量破解静态口令的工具(暴力破解、口令字典、协议分析工具等等) 很多病毒都会对简易的口令进行破解 最基本、最简单的口令问题往往成为网络安全最薄弱的环节 面对第三方的维护和开发等人员，管理员不得不开放自身超级用户口令，存在巨大安全隐患、难于管理 领导基本不会更换管理员为其设定的口令 口令维护管理问题层出不穷(忘记密码、用户被锁定) RSA SecurID双因素身份认证简介 身份认证是网络信息安全的基础，静态口令已不再安全 身份认证是网络信息安全的基础； 我们每天每时每刻都在使用身份认证的技术，例如登录自己的电脑、登录到自己的邮箱、登录网银等等 可以想象，如果无法确定用户的身份： 不可能进行合理授权 任何加密或传输数据都变得毫无意义 网络和信息安全将难以想象······ 我们目前所普遍使用的身份认证方式仍然是静态口令 静态口令已无法满足信息安全和管理的需要，近年来因为静态口令不够安全所导致的帐号、密码被盗取、利用的事件层出不穷 结论：静态口令已不再安全！ 静态口令已无法满足信息安全和管理的需要 RSA双因素身份认证技术是最简单易用的强认证解决方案 生物认证技术，包括指纹、虹膜、面容识别等 无法集成现有应用 需要特殊的外围认证设备 应用不成熟、使用维护成本高 数字证书认证技术 无法集成现有应用，需要很多开发工作 客户端需要安装驱动程序，管理、部署和维护复杂 在许多特殊场景下无法使用，如对登录AIX操作系统的保护就无能为力 RSA双因素身份认证技术 直接集成各种应用 提供全面资源保护，如网络访问与维护、主机登录、Oracle数据库、Web Server等 技术成熟、可靠，方便部署、分发和使用 什么是RSA SecurID双因素身份认证系统 简单来说RSA SecurID双因素身份认证系统是依靠时间同步专利算法来保障身份认证安全的双因素身份认证系统 RSA SecurID双因素身份认证系统由令牌、代理软件（已内置在主流应用及设备中）和认证服务器构成 128位数值(种子) RSA时间同步算法 + 每分钟产生一个令牌码 = 128位数值(种子) RSA时间同步算法 + 每分钟产生一个令牌码 = 公司资源 令牌码与认证服务器产生的不同：认证拒绝 令牌码与认证服务器产生的相同: 认证通过 认证管理服务器 AM 认证代理软件 AM/Agent 认证服务器与令牌采用相同的RSA时间同步算法和种子文件。在相同的时刻，令牌和认证服务器所独立运算的结果是相同的。RSA的强认证系统就是通过这个原理进行身份认证的！ 双因素的概念=你所知道的+你所能拿到(或拥有) 以银行卡为例，你的银行卡是所你所能拿到（或拥有的），而取款密码又是你所知道的，当这二个要素同时具备的时候就可以到ATM上取款，这就是一个双因素的例子！ ... 和你知道的... ATM 卡的口令 + PIN = 双因素认证! 双因素口令 = + PIN 令牌码 RSA SecurID双因素口令的构成 LOGIN: 张三 PASSCODE: Zs3a 159759 唯一的128位种子 已初始化为 全球同步时间 令牌码: 通常为每 60秒钟变化一次 内部电池 完整的双因素口令是PIN码（客户首次使用令牌的时候设定）和令牌码组合到一起构成的 RSA双因素身份认证是此领域的事实标准 “RSA信息安全公司统治着软硬件令牌市场” Source: International Data Corp., “Token and IT Authentication Market” 全球软件及硬件令牌销售指数 Others 25.8% RSA Security 74.2% RSA双因素身份认证系统架构 Primary RSAAM/Server RAS,VPN, Web Server, etc. RSA AM/Agent Replica RSAAM/Server RSA SecurID身份认证系统是由令牌、代理软件(起通讯作用)和认证服务器构成的。所有主流网络设备及应用中已内嵌了此代理程序。 RSA SecurID认证管理软件有基础版和企业版。基础版允许可以在购买一个License的情况下安装二台认证服务器(一主一从以实现容错和负载均衡的功能)。 RSA SecurID认证管理软件可以安装在各种平台上，最简便的方式是安装到Windows 2003 Server上(中英文均可)。客户需要准备的只是PC服务器和操作系统。 RSA SecurID认证管理软件是按照用户数来购买和使用的，令牌也是按用户数来购买的。 Intranet Mainframe Enterprise Unix Web S