RSA SecurID双因素身份认证简介.ppt

* 同样，理解了RSA双因素身份认证原理就可以比较简单的理解RSA的架构。 我们所需要做的只是在客户的后台（也许是数据中心或网络中心）安装一台或多台RSA认证服务器（如果做容错和负载均衡就需要至少二台）。 然后，把令牌发放给需要使用的客户，再把种子文件导入到RSA认证服务器并与使用令牌客户的帐号（或用户名）做绑定就可以了。 所以，我们不需要关心客户的网络结构和连接方式。我们要关心的只是客户需要购买多少用户的软件LICENSE和令牌就可以了。 RSA软件LICENSE是按注册用户数来计算的，即购买100用户的软件LICENSE意味着可以有100个人来使用RSA的认证系统，当然我们不关心这100个人是同时使用还是根据实际需要在不同时间使用（区别于并发LICENSE）。 而RSA软件还有基本版和高级版的差别，其差别主要体现在基本版的LICENSE允许客户安装二台RSA服务器做容错和负载均衡；而高级版最多可以安装384台做集群容错和负载均衡。当然，高级版还具有很多客户自服务功能，这些客户自服务功能可以减轻管理员的压力和负担。 多数情况下我们会建议客户使用Windows 2003 Server作为安装RSA认证管理软件的操作系统 * 前面介绍了RSA认证系统的架构，非常简单，只要安装在Windows 2003 Server上就可以了。 此外，RSA还具有一体化的认证管理服务器解决方案，可以如果不希望单独采购硬件服务器和操作系统，则可以选择购买RSA的一体化解决方案 我们有二种类型设备供用户选择，130型和250型，二者可以做灵活的组合，例如购买一台130型做从认证管理设备；购买一台250型做主认证管理设备； 目前上述二款设备中都已经内置好7.1 SP2因此修复了以往的相关问题，可以客户放心购买和使用。 截至到2010年4月20日，RSA已经公布了SP3的补丁。 SP2的补丁已经修复并解决了7.1版本的绝大多数问题，而SP3则在此基础至少进一步修复了几十个问题并在稳定性和安全性方面做了进一步增强。 需要注意到是客户需要先从7.1版本升级到SP2然后再经由SP2升级到SP3。 我们相信SP3会是一个让客户安心使用的版本。 * 我们的结论是RSA双因素身份认证系统可以保护企业客户各种IT资源，不管是远程拨号、无线网络、门户访问、VPN等应用还是针对企业数据中心的对网络设备或操作系统等的登录都可以使用RSA强认证来做保护。 我们的口号是简单、安全。 * * * 我们要把RSA动态口令身份认证产品的简单、安全的特点告诉客户，如果说RSA产品的独特优势，可以从以下几点来阐述： 信息安全领域专业公司，具有身份认证产品二十年以上的产品持续研发、应用和推广经验，是这一领域的标准； RSA具有良好的信誉和专业口碑，产品简单、安全、成熟、可靠； RSA在国内开展业务超过10年，具有完善、正规的售后服务和销售体系，能为客户提供很好的本地技术支持和服务； RSA产品具有与第三方产品的广泛互操作性，能够满足客户今后发展对各种应用进行保护的需要； * * 建行使用RSA强认证系统保护其远程办公及运维管理。建行全行科长及以上领导在移动办公的时候均使用RSA身份认证系统 来登录到公司内网收发邮件并处理业务。 此外，建行各分行、研发中心及数据中心也使用RSA身份认证系统对IT运维管理进行登录的强认证保护。 * 中行是目前RSA在国内消费者身份认证的最大用户，其RSA令牌发放数量已经超过了1000万块。 * 深圳华为广泛使用RSA强认证系统来保护其员工远程办公需要。 * 上海大众使用RSA强认证系统对其合作伙伴(4S店)登录其合作伙伴门户网站进行登录保护。用户数已突破二万。 * RSA双因素身份认证(也称为RSA动态口令身份认证或OTP身份认证) 身份认证是网络信息安全的基础 网络信息安全的五个要素 身份认证(Authentication)鉴定信息的真实性，核实源实体与接受实体是否与宣称的一致。 授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。 保密性(Confidentiality)使信息只被授权用户享用，确保通信机密。 完整性(Integrity)确保数据的完整和准确。 不可否认(Nonrepudiation)验明身份后，不能够拒绝传送和接受。 如果无法确定用户的身份： 不可能进行合理授权 任何加密或传输数据都变得毫无意义 网络和信息安全将难以想象······ 静态口令仍然是目前最普遍使用的身份认证方式 传统静态口令已无法满足信息安全和管理的需要 要记忆或管理的口令太多、太分散 很多静态口令都“终身”使用，不能及时更换 网络上存在上大量破解静态口令的工具(暴力破解、口令字典、协议分析工具等等) 很多病毒都会对简易的口令进行破解