RSA 双因素身份认证
1\简单描述:RSA SecurID 是一种采用时间同步技术的双因素认证系统,它能够用强大的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失。
在进行安全方案设计时,一个层面必须依赖于另一个层面。" 安全金字塔" 必须建立在管理策略和过程的基础上,而用户认证是整个金字塔的关键组成模块。若不首先采用强力用户认证,其余的授权层面、加密层面和审计层面就会变得毫无意义。因此无论是在VPN 、在RAS 、在Web 电子商务,还是在企业网络应用中,都必须采用强力用户身份认证,确保网络资源访问的合法性。
2\身份认证现状分析
2.1 目前身份认证的现状
在计算机网络中,最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户的真实性。而调查表明,有60%的系统首先被攻击和突破的地方是口令。许多最具危害性的犯罪都拥有共同的特点:即绕过密码保护以获取对信息或资金的访问权限。信息安全的关键在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是,事实证明,建立在静态口令之上的安全机制非常容易被黑客攻破。
2.2 传统身份认证方式存在的问题
密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解, 存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC 和服务器上被转移等等。虽然一次性密码比可重用的静态密码强壮,但它们仍存在能被利用的弱点(需要更多的技巧),其中包括中间人攻击和竞争攻击。而且一次性密码依然是单因素认证,而不是我们所说的强力用户认证。因此静态密码是最不安全、最弱的一种识别与身份认证手段。
2.3 解决办法
因为静态密码存在以上诸多的缺陷,任何听到或窃取到密码的人都会显得完全真实。因此有必要增加第二个物理认证因素,从而使认证的确定性按指数递增。RSASecurID 双因素身份认证就是这样一种强身份认证解决方案,它可确认网络访问的另一端是谁,提升企业网络资源保护的安全级别。应用RSASecurID 这一强大的用户认证机制,可防止机密数据、应用和企业网及INTERNET 上的资源被非法访问,其非凡的双因素认证方式使用起来非常简单,只需输入密码,就可提供强大的保护。
3\RSASecurID双因素身份认证系统介绍
3.1 RSASecurID身份认证令牌
它是分发给最终用户的,用以证明其身份的硬件或软件设备,是RSASecurID 双因素身份认证的一个因素(您所拥有的),产生一分钟变化一次的动态令牌码。它有硬件、软件和智能卡等多种形式。
3.2 RSAACE/Agent代理软件
RSAACE/Agent就象安全卫士,可以用它来保护各种网络信息、计算平台和应用。RSAACE/Agent还能够安全地访问NT 域及UNIX 服务器、大型机、中型系统和一系列传统主机上的资源。它已经嵌入到了目前大多主流网络设备中,并且支持多种平台。RSAACE/Agent实施RSAACE/Server建立的安全策略,在用户和被保护的资源和设备之间,通过RSAACE/Server来强制实施双因素认证。要求指定用户或组织在获准访问被保护的企业Intranet 资源之前,通过一个RSASecurID 身份认证令牌向RSAACE/Server证明其合法身份。
3.3 RSAACE/Server
RSAACE/Server是RSASecurID 双因素身份认证解决方案中的安全服务器,包括三个主要部分:包含用户、令牌和客户机信息的数据库;身份认证引擎以及一个管理程序。RSAACE/Server用来在选定的网络资源周围建立一个保护环境,对要求访问企业Intranet 资源的各种用户进行身份认证。
3.4 系统的特点
3.4.1RSASecurID身份认证令牌
简单易用,便于随身携带;
令牌每一分钟生成一个唯一识别用户的、无法预知的动态密码,并且是一次性的;故花大量时间截获的密码对黑客没有任何用处。
3.4.2RSAACE/Agent
配置过程简单,易于安装、运行。
RSAACE/Agent软件工具包使用户能够创建定制代理,从而保护其他面向特定企业的内部应用。
3.4.3RSAACE/Server
与现有的主流网络设备,安全软件产品兼容,具有极强的可扩展性。
支持主流UNIX (IBM AIX、SUN Soloris、HP-Unix 、SCO) 平台和NT 平台。 用户责任:RSAACE/Server双因素认证要求输入用户令牌代码和个人PIN ,进一步确保了用户不会被任何非法访问事件所牵连。可以帮助员工识别其对信息安全的责任,并采取相应的措施。
RSA 双因素身份认证
1\简单描述:RSA SecurID 是一种采用时间同步技术的双因素认证系统,它能够用强大的用户认证系统替代基本的口令安全机制,帮助消除因口令欺诈而导致的损失。
在进行安全方案设计时,一个层面必须依赖于另一个层面。" 安全金字塔" 必须建立在管理策略和过程的基础上,而用户认证是整个金字塔的关键组成模块。若不首先采用强力用户认证,其余的授权层面、加密层面和审计层面就会变得毫无意义。因此无论是在VPN 、在RAS 、在Web 电子商务,还是在企业网络应用中,都必须采用强力用户身份认证,确保网络资源访问的合法性。
2\身份认证现状分析
2.1 目前身份认证的现状
在计算机网络中,最常见而简单的访问控制方法是通过对静态口令的匹配来确认用户的真实性。而调查表明,有60%的系统首先被攻击和突破的地方是口令。许多最具危害性的犯罪都拥有共同的特点:即绕过密码保护以获取对信息或资金的访问权限。信息安全的关键在于确切地了解谁正在访问您的最机密的网络信息资产。不幸的是,事实证明,建立在静态口令之上的安全机制非常容易被黑客攻破。
2.2 传统身份认证方式存在的问题
密码本身只能对真实性进行低级的认证。静态密码存在很多缺陷,如:密码容易被人猜测或通过交际工程学、社会工程师等途径获取,输入密码时容易被人窥视,密码容易被很多工具破解, 存在着没有被检测到的缺陷和漏洞,密码可以在网络离线时被窥测,密码和文件容易从PC 和服务器上被转移等等。虽然一次性密码比可重用的静态密码强壮,但它们仍存在能被利用的弱点(需要更多的技巧),其中包括中间人攻击和竞争攻击。而且一次性密码依然是单因素认证,而不是我们所说的强力用户认证。因此静态密码是最不安全、最弱的一种识别与身份认证手段。
2.3 解决办法
因为静态密码存在以上诸多的缺陷,任何听到或窃取到密码的人都会显得完全真实。因此有必要增加第二个物理认证因素,从而使认证的确定性按指数递增。RSASecurID 双因素身份认证就是这样一种强身份认证解决方案,它可确认网络访问的另一端是谁,提升企业网络资源保护的安全级别。应用RSASecurID 这一强大的用户认证机制,可防止机密数据、应用和企业网及INTERNET 上的资源被非法访问,其非凡的双因素认证方式使用起来非常简单,只需输入密码,就可提供强大的保护。
3\RSASecurID双因素身份认证系统介绍
3.1 RSASecurID身份认证令牌
它是分发给最终用户的,用以证明其身份的硬件或软件设备,是RSASecurID 双因素身份认证的一个因素(您所拥有的),产生一分钟变化一次的动态令牌码。它有硬件、软件和智能卡等多种形式。
3.2 RSAACE/Agent代理软件
RSAACE/Agent就象安全卫士,可以用它来保护各种网络信息、计算平台和应用。RSAACE/Agent还能够安全地访问NT 域及UNIX 服务器、大型机、中型系统和一系列传统主机上的资源。它已经嵌入到了目前大多主流网络设备中,并且支持多种平台。RSAACE/Agent实施RSAACE/Server建立的安全策略,在用户和被保护的资源和设备之间,通过RSAACE/Server来强制实施双因素认证。要求指定用户或组织在获准访问被保护的企业Intranet 资源之前,通过一个RSASecurID 身份认证令牌向RSAACE/Server证明其合法身份。
3.3 RSAACE/Server
RSAACE/Server是RSASecurID 双因素身份认证解决方案中的安全服务器,包括三个主要部分:包含用户、令牌和客户机信息的数据库;身份认证引擎以及一个管理程序。RSAACE/Server用来在选定的网络资源周围建立一个保护环境,对要求访问企业Intranet 资源的各种用户进行身份认证。
3.4 系统的特点
3.4.1RSASecurID身份认证令牌
简单易用,便于随身携带;
令牌每一分钟生成一个唯一识别用户的、无法预知的动态密码,并且是一次性的;故花大量时间截获的密码对黑客没有任何用处。
3.4.2RSAACE/Agent
配置过程简单,易于安装、运行。
RSAACE/Agent软件工具包使用户能够创建定制代理,从而保护其他面向特定企业的内部应用。
3.4.3RSAACE/Server
与现有的主流网络设备,安全软件产品兼容,具有极强的可扩展性。
支持主流UNIX (IBM AIX、SUN Soloris、HP-Unix 、SCO) 平台和NT 平台。 用户责任:RSAACE/Server双因素认证要求输入用户令牌代码和个人PIN ,进一步确保了用户不会被任何非法访问事件所牵连。可以帮助员工识别其对信息安全的责任,并采取相应的措施。