RSA+SecurID身份认证解决方案.doc

RSA SecurID 动态身份认证系统 建议方案 2014年3月 目 录 1.身份认证需求 - 3 - 1.1. 网络信息安全必须实现的五大需求 - 3 - 1.2. 身份认证需求 - 3 - 2.RSA AM 8.0结合VPN保护解决方案 - 5 - 2.1. 防火墙和VPN保护 - 5 - 2.2. RSA AM8.0性能优势 - 7 - 2.3. RSA AM8.0认证服务器部署要求 - 10 - 3.RSA SecurID身份认证功能详解 - 11 - 3.1. RSA SecurID：强大的双因素认证系统 - 11 - 3.2. RSA SecurID双因素认证系统组件 - 12 - 3.2.1. 认证服务器（ACE/Server） - 13 - 3.2.2. RSA SecurID认证令牌 - 14 - 3.2.3. 代理软件（ACE/Agent） - 14 - 3.2.4. ACE/Server容错和负载均衡 - 15 - 3.2.5. 支持与目录服务器的资料自动同步 - 15 - 4.基于时间同步技术双因素身份认证架构图 - 17 - 4.1. RSA SecurID时间同步原理架构图 - 17 - 4.2. 时间同步原理讲解图 - 17 - 4.3. 基于时间同步的双因素口令 - 18 - 4.4. RSA双因素令牌种类简介 - 18 - 5.售后服务 - 19 - 6.客户举例 - 19 - 7.产品市场占有率情况 - 21 - 身份认证需求 网络信息安全必须实现的五大需求 网络信息安全是指通过保护网络程序、数据或者设备，使其免受非授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全必须有效地实现以下各种功能： 身份认证（Authentication）　　　　　　　　 网络信息系统的设计安全再强，如果用户选择的口令不当，仍然存在被破坏的危险。用户对口令的选择，存在着以下几个误区： 误区之一：用“姓名＋数字”作口令，许多用户用自己或与自己有关的人的姓名再加上其中某人的生日等作口令。 误区之二：用单个的单词或操作系统（如：DOS命令作口令）。 误区之三：多个主机用同一个口令，将导致一个主机口令被窃从而影响多台主机的安全。 误区之四：只使用一些小写字母作为口令，使得用字典攻击攻破的概率大增。 　　HTTP和Telnet协议都是不安全的网络协议，传输过程中不作任何加密，其他人只要在传输过程中安装Sniffer程序就可以非常方便地获得合法用户的口令就可以。 　　　　　　 RSA AM 8.0结合VPN保护解决方案 防火墙和VPN的保护 由于互联网的应用越来越广泛，使用VPN实现远程接入的方式也越来越广泛。但是同样遇到了棘手问题，如何确保从互联网接入内部网络的人员的身份呢？VPN可以通过加密实现VPN客户端与VPN网关之间的数据通讯的机密性，但是只有与SECURID一起使用才能确保企业网络的安全性。 市场上主流的VPN厂商已经集成了RSA代理软件在VPN设备中，管理员只需要在图形界面上非常简单地配置就可以实现SECURID功能。当用户需要通过防火墙或者VPN网关接入企业内部网络时，必须输入用户名和双因素Passcode，然后由这些网络设备内置地代理软件或者标准的RADIUS协议将Passcode发送到认证服务器进行认证，如果是合法用户则可以访问网络资源，否则就会被拒绝在外。 目前支持的防火墙和VPN厂商包括CISCO、Checkpoint、Juniper、Nortel和Nokia等厂商。请参考 Juniper_SA_SSL_VPN登陆界面： Cisco VPN Client登陆界面： Check Point VPN-1/Firewall-1登陆界面： RSA AM 8.0性能优势 通过减少用于部署、管理、问讯台资源调配以及故障排除的时间，RSA? Authentication Manager 8.0 可帮助降低成本。全面测试的结果表明，和之前的版本以及行业预期值相比，8.0 部署更加可靠、优势也更加明显。 部署节约 使用安装了适用于 RSA Authentication 7.1 的 RADIUS 的 Microsoft Windows 电脑上的主实例，以及安装了适用于 8.0 的 RADIUS 的 VMware Virtual Appliance 上的主实例进行部署时间测试。 AM 7.1 AM 8.0 结果 安装（每个实例） 40 分钟 18 分钟 缩短 55% 使用全新的 Web 层对 DMZ 服务器安装和配置（C