rsa配置文档官方.docx
《rsa配置文档官方.docx》由会员分享,可在线阅读,更多相关《rsa配置文档官方.docx(13页珍藏版)》请在冰点文库上搜索。
rsa配置文档官方
RSA双因素身份认证系统
简介
1.RSASecurID双因素身份认证系统简介
1.1.RSA提供完整的解决方案
在网络信息平安的五个功能中(身份认证、授权、保密性、完整性和不可否定),身份认证(Authentication)是最大体最重要的环节,即便将授权、保密性、完整性、不可否定等环节做得很完善,但如果是盗用了合法的帐号和口令登录系统,系统仍然以为他是合法用户,给予他相应的访问权限,使系统处于危险状态。
RSA提供了完整的身份认证解决方案,专门是RSASecurID双因素身份认证解决方案,已成为该领域的事实标准,该解决方案以易于实现、成熟、靠得住等特点在信息平安领域博得普遍信任。
1.2.RSASecurID:
壮大的双因素认证系统
简单来讲,双因素身份认证确实是通过你所明白再加上你所能拥有的这二个要素组合到一路才能发挥作用的身份认证系统。
例如,在ATM上取款的银行卡确实是一个双因素认证机制的例子,需要明白取款密码和银行卡这二个要素结合才能利用。
RSASecurID是一个壮大的身份认证系统。
其利用情形为,治理员向授权的用户发放单独的认证设备(能够类比为银行卡,咱们通常称之为令牌),此认证设备依照时刻转变,每分钟都会生成一个唯一的不可预测的令牌码。
用户在第一次利用那个认证设备的时候,需要设定他自己的个人码(咱们称之为PIN码,能够类比为银行卡的取款密码)。
在利用的时候,用户个人码再与令牌码组合,就形成双因素认证代码(咱们称之为passcode以区别静态口令的password);RSA的时刻同步身份认证技术将确保在相同的时刻令牌和认证效劳器产生相同的令牌码,如此,只有持有令牌的合法用户才能够访问其能够访问的资源。
在经常使用的网络平安技术中,身份认证技术是其它平安技术的基础,通过与其它技术结合,能提供更平安、更适合应用的解决方案。
据IDC的权威统计,RSA在全世界身份认证市场取得70%以上的市场份额,成为身份认证的事实标准。
同时,RSASecurID取得全世界370多种以上产品支持,能够专门好爱惜用户投资。
1.3.RSASecurID双因素认证系统组件
RSASeucrID由认证效劳器RSAAuthenticationManager(简称AM)、代理软件RSAAuthentication/Agent、认证设备和认证应用编程接口(API)组成(如以下图所示)。
1.3.1.认证治理软件(AuthenticationManager)
RSAAuthenticationManager(认证治理)软件是一个将性能卓越的认证引擎和集中治理功能结合在一路的认证治理系统。
以认证为例,当认证效劳器(安装认证治理软件的效劳器)收到一个认证请求时,它利用与用户认证设备(令牌)相同的算法和种子值来验证正确的令牌码。
若是用户输入的是正确的令牌码那么认证通过,该用户能够访问他有权访问的资源。
1.3.2.RSASecurID双因素认证设备
咱们所说的认证设备通常指的确实是双因素认证令牌。
令牌的种类有很多,以RSA700型硬件令牌为例,该令牌里面已经内置了芯片和电池,芯片里已经固化了RSA的算法,这种算法是与时刻因素相关联的,每一个令牌有一个唯一的128位种子文件。
种子文件结合特定的时刻同步算法,每60秒会产生一个动态的令牌码。
每一个令牌发放给不同的利用者,并要求该利用者在第一次利用那个令牌的时候设定一个PIN码。
以后,每次那个令牌的利用者在利用令牌访问其所要访问的资源的时候,需要同时输入PIN码再加上令牌的组合,这确实是咱们所说的passcode,也即双因素口令。
认证效劳器在接到认证代理软件的认证请求后,只需要比对该令牌用户输入的令牌码与认证效劳器产生的该令牌的令牌码是不是一致即可判定是不是合法用户。
可见,RSA强认证系统确实是依托相同时刻+相同算法+相同种子文件所产生的相同运算结果(令牌码)如此简单却极为有效的方式来实现身份认证的。
因此,令牌与认证效劳器之间不需要任何通信联系,其核心就在于RSA的时刻同步专利技术。
1.3.3.代理软件(AM/Agent)
认证代理软件在终端用户和需要受到爱惜的网络资源中间发挥作用。
当一个用户想要访问某个资源的时候,RSA认证代理软件将请求发送到RSA认证治理效劳器进行认证。
RSAAuthentication/Agent是一种设备专用代理软件,已经内置在大多数主流的网络设备和阅读器和Web效劳器软件系统中,许诺平安治理员通过鼠标点击,而不是编写代码,为用户和爱惜的资源选择和应用相应的设置。
2.时刻同步双因素技术及令牌原理简介
基于时刻同步技术双因素身份认证架构图
SecurID时刻同步原理架构图
利用RSA信息平安公司基于专利技术的时刻同步双因素身份认证系统,能够确保有权限的人访问与其权限相符的资源。
以上图为例,左侧的令牌确实是一个RSA700型令牌,里面已经固化了芯片(算法、种子文件)和电池,这种算法是与时刻相关联的,确保每分钟产生一个唯一的值;后台的认证效劳器与这块令牌采纳相同的算法和种子文件。
咱们明白时刻是标准的(例如都取格林威治时刻),因此,在相同的时刻,令牌和认证效劳器各自单独运算的结果也是相同的,RSA的双因素身份认证确实是依托那个简单的原理来做强认证的。
基于时刻同步的双因素口令
在利用RSA信息平安公司SecurID解决方案后,一个完整的口令咱们称之为passcode,它是由用户自己设定的4到8位的PIN码和动态的令牌码组成。
700型双因素令牌简介
RSA双因素软、硬件令牌种类很多,下面仅对700型硬件做一简介:
该令牌的大小状如一把一般的钥匙(约厘米长、2到3厘米宽、厚度接近1厘米)。
该令牌已经内置了128位种子文件,并已做了初始化以方便客户直接利用。
每一个令牌有一个唯一的序列号,用于标识每一块令牌。
每一个令牌对应的唯一的128位种子文件会在定购令牌的时候存储在一张种子光盘中,以便将种子文件导入到认证效劳器中。
700型硬件令牌有6位和8位数字显示的二种令牌,其价钱是一样的。
3.RSA强认证系统能够爱惜资源简介
能够毫不夸张的说,凡有静态口令爱惜的资源,都能够利用RSA的强认证系统进行爱惜。
RSA强认证系统能够爱惜资源的情形简介如下。
对端口平安和无线网络的爱惜
RSASecurID能够提供对基于的端口平安爱惜并提供对基于协议的无线网络的双因素身份任认证。
当用户通过无线网卡需要访问公司网络的时候启动双因素用户身份认证,只有通过的认证的合法用户才能访问公司网络。
SecurID能够提供对拨号/访问效劳器的双因素身份认证
目前为止,微软的拨号效劳器、思科、3COM和华为等这些主流的拨号效劳器均能够支持SECURID认证。
SecurID能够提供对路由器、互换机和防火墙等网络设备的双因素身份认证
在整个网络系统中,有许多的路由器和和互换机,治理员常常需要登录到这些网络设备上进行保护工作。
可是若是仅利用口令认证用户身份,非法人员只有取得治理员的口令就能够够进入这些网络设备随意修改,代理专门大的不平安因素。
此刻只需要配置这些网络设备通过已经内置的RSAAgent或RADIUS协议来利用SECURID即可实现双因素认证,当用户需要TELNET到这些网络设备时,必需输入用户名和双因素Passcode,然后由这些网络设备通过Agent或RADIUS协议将Passcode发送到认证效劳器进行认证,若是是合法用户那么能够访问网络资源,不然就会被拒绝在外。
SecurID能够提供对各类VPN的双因素身份认证
市场上主流的VPN厂商已经集成了RSA代理软件在VPN设备中,治理员只需要在图形界面上超级简单地配置RSA认证效劳器信息就能够够实现SECURID功能。
而客户端只需要安装VPN客户端程序,不需要安装额外的软件来支持SecurID认证。
当用户需要通过防火墙或VPN网关接入企业内部网络时,只需要在原先输入用户名/口令的地址输入RSA认证效劳器上的用户名和双因素Passcode,然后由这些网络设备内置地代理软件或标准的RADIUS协议将Passcode发送到认证效劳器进行认证,若是是合法用户那么能够访问网络资源,不然就会被拒绝在外。
SecurID能够对UNIX、Linux及Windows等操作系统爱惜
目前为止,RSA支持各类UNIX操作系统,其中IBMAIX,HP-UNIX和SUNSolaris和RedHatLinux上的代理软件都是免费提供的。
同时,RSA为某些特定的操作系统提供定制的代理软件,由于需要额外的开发、支持和保护工作,因此这部份的代理软件需要收取必然的费用,包括DECAlpha上运行的DECUnix和SCOUnix等。
安装了RSAAuthentication/AgentforUNIX/Linux以后,配置相应用户的确省的Shell外壳程序,改成RSA的sdshell。
如此,当用户通过远程Telnet或本地登录到UNIX/Linux主机时,主机第一提示用户输入正确的用户名和口令,当用户正确输入以后,UNIX/Linux主机依照用户名定位其记录,确认其是不是需要双因素强认证,若是是,那么提示用户输入正确的PASSCODE,只有效户输入了正确的PIN和令牌码以后,才能进入到主机系统,不然就会被拒绝在外。
SecurID能够提供对不同的Web效劳器的爱惜
RSAAuthentication/Agent能够爱惜不同的Web效劳器:
•RSAAuthentication/AgentforWindowsNT/2000爱惜IIS虚拟效劳器、目录和文件;OutlookWebAccess;MicrosoftProxyServer
•RSAAuthentication/AgentforApacheWebServer提供运行在不同操作系统上的Apache模块来爱惜这些Web效劳器上的URL、网页和目录。
•RSAAuthentication/AgentforLotusDomino爱惜Lotus数据库(地址簿、日历和电子邮件等),URL目录和寄存在DominoWeb效劳器上的文件。
•RSAAuthentication/AgentforNetscape/iPlanetWebServer爱惜在WindowsNT或UNIX平台上的根,目录或文件。
RSAAuthentication/AgentforWeb具有以下优势:
•不需在用户桌面安装软件
•保证通过SSL传输的信息的保密性
•治理用户认证和访问操纵
•灵活的平安设置,爱惜网站资源时不需要编程
•实此刻多个站点之间的单点登录,只需登录即可访问不同站点的资源。
SecurID对Oracle数据库的爱惜
Oracle是全世界领先的信息治理软件的供给商,由其提供的AdvancedSecurityOption(ASO)软件爱惜SQL*Net和Net8环境下的灵敏的和有价值的信息。
当用户试图访问Oracle数据库时,AdvancedSecurityOption软件加密而且执行平安检查。
RSAAM/Server技术利用预先发给每一个用户的RSASecurID令牌认证用户的身份。
利用Oracle的AdvancedSecurityOption和RSASecurID令牌,所有基于Oracle数据库的网络应用程序均能够取得由RSASecurID令牌提供的强认证。
SecurID能够提供对假设干应用的爱惜
以Oracle的应用为例,针对OracleApplication和OraclePortal,RSA专门提供了AM/Agent插件程序,植入OracleApplication和OraclePortal中,帮忙企业利用双因素令牌认证用户身份,同时替换原有的用户名和口令认证,用户只需要一次认证就能够够直接登录应用中,完全排除需要经历静态口令的麻烦,实现紧密集成。
而用户的访问权限的操纵仍是由OracleERP自己完成,因此相同的用户信息必需同时保留在RSA认证效劳器和OracleERP中,而且同一个用户的用户名必需一样。
通过提供免费的API,从而提供对各类应用的爱惜
RSAAuthentication/Agent认证应用开发包能够让开发员集成RSASecurID到客户或第三方应用程序中。
由认证应用开发包连接生成的代理软件能够与域中多个RSAAuthentication/Server通信,配合内置负载平稳的函数,代理软件能够选择最正确的认证效劳器进行通信。
负载平稳能够自动实现也能够手工修改配置,数据由代理软件在运行时动态分派,代理软件程序员无需关切底层操作即可实现负载平稳或容错能力。
RSA能够免费提供在各类环境下的C函数库和Java函数库。
4.RSA双因素身份认证系统中认证效劳器的部份特性
容错与负载均衡
由于会在关键的应用中利用双因素认证,若是万一RSA认证效劳器死机,所有的用户均无法访问这些资源,给用户的利用带来专门大不便,因此RSA建议为了减少停机的可能,至少应该安装两台RSA认证效劳器,一台为主效劳器,另一台为备份效劳器,这样任何一台效劳器的死机可不能阻碍整个认证进程。
同时RSAAGENT代理软件会自动侦测二台(或多台)认证效劳器的响应速度,然后自动把更多的认证请求发送到响应速度较快的认证效劳器上进行处置。
如此,就在容错的同时实现自动负载均衡。
安装平台
RSAAuthenticationManager能够运行于Solaris、AIX、HP-UX和Windows操作系统平台上。
一个RSAAuthenticationManager能够提供百万级用户数的容量。
RSAAuthenticationManager有两种许可证:
大体许可证(BaseLicense)和高级许可证(AdvancedLicense)。
大体许可证许诺用户安装一台主效劳器(PrimaryServer)和一台从效劳器(ReplicaServer);而高级许可证许诺部署最多6个效劳器域(Realm),每一个域由一台主效劳器和最多十台从效劳器组成,这种架构不仅确保了有效性,同时能够适合大型的全世界网络拓扑结构。
客户治理及与LDAP的同步
许多企业采纳目录效劳器来集中治理用户的帐号,这种集中式的治理给治理员带来极大的方便。
而在认证效劳器中也必需保护一套用户帐号,治理员需要在AuthenticationManager中为用户分派令牌,操纵用户访问不同的网络资源。
关于治理员来讲需要同时保护两套用户帐号会增加治理上的负担,这就需要用到AuthenticationManager中自带的壮大的目录效劳器同步功能。
此功能许诺治理员在目录效劳中保护完整的用户帐号,同时在RSA中保护所有的令牌资料,治理员能够通过事前概念好的目录效劳器与与AuthenticationManager的映射关系,自动添加目录效劳器中的所有的或一部份用户帐号到AuthenticationManager中。
以后所有的用户信息的添加、删除和修改都在目录效劳器上完成,RSAAuthenticationManager会自动将这些信息复制到自己的数据库中,不必治理员手工介入,治理员只需要在RSAAuthenticationManager中为用户分派令牌并操纵其访问权限即可。
RSAAuthenticationManager支持三种目录效劳:
MicrosoftActiveDirectory、iPlanetDirectoryServer和NovellNDSeDirectory。
在配置目录效劳器自动同步功能时,需要指定目录效劳器的IP地址和端口号,同步的起始时刻和同步时刻距离而且最好利用SSL加密整个连接。
有可能在目录效劳器中寄存大量的用户数,并非是所有效户都需要自动同步到RSAAuthenticationManager中,能够在目录效劳器中成立特定的OU,将相关用户放置于此特定的OU中,然后设定RSAAuthenticationManager仅同步此特定的OU,减少了同步用户数量。
日记、审计与报表
关于用户的每一次认证企图和通过治理程序做的任何动作,都会在RSAAuthenticationManager的日记中产生相应的一条记录,治理员能够运行大量的报告来查账审计。
RSAAuthenticationManager除提供图形化界面让治理员手工概念和生成报表之外,还提供命令行的报表生成工具,许诺治理员以批处置的方式创建基于sdlog日记数据库的审计报告和基于sdserv用户数据库的令牌统计报告。
治理员能够利用RSAAuthenticationManager报表生成工具内置的标准报告格式,也能够依照自己的需要创建客户化的报表内容,例如列出特定消息的所有日记、令牌的失效日期和用户的最后一次登录时刻等信息。
除详细的报表功能之外,治理员还能够将特定的日记信息发送到EventLog或syslog中,配合第三方的日记治理工具实时搜集认证信息,以最快的速度响应系统问题。
对微软效劳器及桌面的爱惜
长期以来,微软一直是RSA的策略合作伙伴,凡购买RSA强认证系统的客户都能够免费取得各类对微软有关产品进行爱惜的代理程序。
基于微软Windows®软件的RSASecurID®是一项在许诺用户登岸到微软Windows环境之前就能够证明其身份的认证解决方案。
有了基于微软Windows软件的RSASecurID解决方案,不管用户是上网连接到公司的网络,仍是在离线状态下登岸桌面系统,作为微软系统的利用者,他们的身份都能辨别。
这项平安的解决方案为用户登岸Windows环境提供简单而一致的方式,全数的登岸认证进程全都能够核查,公司从此无需再要求利用者变换密码。
5.产品配置及配套第三方产品配置
产品配置举例
设备名称
规格型号
数量
备注
RSA认证管理软件,1000用户(RSAAuthenticationManager)
RSA基本版认证管理软件,1000用户,
1
SecureCare一年期升级、维护服务
RSA基本版认证管理软件()年度升级维护费用
1
700型硬件令牌(KeyFobToken)
RSA700型硬件令牌(128位种子文件,AES算法,6位数字显示,60秒更换动态令牌码,有效期为36个月)
500
配套的第三方产品配置举例
设备名称
规格型号
数量
备注
DELLPowerEdge™1950机架式服务器
2U机架式服务器,英特尔至强处理器*2,2G内存,2M缓存,EM64T,800M前端总线,146GUltra32010KRPM硬盘*2,集成英特尔千兆网卡,光驱,电源及机轨导轨
2
三年当日4小时(24*7)上门服务
WindowsServer2003
WindowsServer200310用户中文产品包(一个服务器端+10个用户端)
2
微软电话及在线服务
说明:
本配置是假设将认证效劳器安装在Windows平台的情形,若是客户希望将认证效劳器安装在UNIX系统上,那么系统的要求如下:
Ø关于Solaris操作系统推荐UltraSPARCII双处置器,300MHz
Ø关于HP-UX操作系统推荐HPJ2240双处置器PA-8200,236MHz
Ø关于AIX操作系统推荐RS/6000双处置器,233MHz
Ø512MB物理内存
Ø两倍物理内存的互换文件
6.RSA双因素身份认证设备简介
RSA双因素身份认证设备是软、硬件一体化解决方案,该产品极大的方便了用户对RSA双因素身份认证产品的购买、安装和利用。
购买了RSA双因素身份认证设备就没有必要再单独采购效劳器和操作系统了,因此,RSA双因素身份认证设备是一个捆绑了RSA认证治理软件和硬件及操作系统的一体化产品。
如上图,RSA双因素身份认证设备是依照工业标准生产的,能够直接安装到19英寸机架或机柜中的设备。
其横向宽度为19U(恰好安装到19英寸机架或机柜中);高度为1U;其纵向深度约为5U(U是一种表示效劳器、网络、布线等设备外部尺寸的单位,是unit的缩略语,详细尺寸由作为业界集体的美国电子工业协会(EIA)决定,1U等于)。
该认证设备前面板有4个RJ45的网络插槽、液晶面板等、反面有AC电源插口等。
因此,从外观看起来超级象一个咱们常见的1U高度的路由器、集线器或互换机,该设备功率为250W。
与硬件效劳器一样,能够利用二台认证设备进行容错和负载均衡。
RSA双因素身份认证设备由于是专门用于双因素身份认证的设备,因此,该设备已通过严格测试和查验。
客户利用该设备能够依照利用需要进行方便的升级(只需要对软件License进行升级即可)。
升级会员 