RSA身份认证解决方案.docx

《RSA身份认证解决方案.docx》由会员分享，可在线阅读，更多相关《RSA身份认证解决方案.docx（22页珍藏版）》请在三一办公上搜索。

1、网络安全认证方案建议书目录第一章网络信息安全需求概述21. 1网络信息安全需求21. 2信息安全风险评估4第二章需求分析52. 1现行网络、信息及应用环境52. 2存在的安全问题5第三章网络安全认证解决方案73. 1方案概述73. 2拨号服务器和VPN保护113. 3UNIX/Linux 主机保护123. 4Web服务器保护133. 5Windows NT/2000 共享目录保护143. 6Oracle 数据库保护153. 7LDAP 目录16第四章RSA ACE/Server功 能 详 解18附录一：RSA公司介绍19第一章网络信息安全需求概述1. 1网络信息安全需求Internet是一种开

2、放和标准的面向所有用户的技术，其资源通过网络共享。资源共享 和信息安全是一对矛盾，随着Internet的飞速发展，计算机网络的资源共享进一步加强，随之而来的信息安全问题便日益突出，网上的犯罪活动加速增长。确保网络系统的信息安全是网络安全的目标，对网络系统而言，信息安全主要包括两 个方面：信息的存储安全和信息的传输安全。信息的存储安全就是指信息在静态存放状态下的安全，如是否会被非授权调用等，一 般通过设置访问权限、身份识别、局部隔离等措施来保证。针对“外部”的访问、调用而言 的访问控制技术是解决信息存储安全的主要途径。在网络系统中，无论是任何调用指令，还是任何信息反馈均是通过网络传输实现的， 所

3、以网络信息传输上的安全就显得特别重要。信息的传输安全主要是指信息在动态传输过程 中的安全。为确保网络信息的传输安全，尤其需要防止如下问题：对网上传输的信息，攻击者只需在网络的传输链路上通过物理或逻辑的手段，就能 对数据进行非法的截获与监听，进而得到用户或服务方的敏感信息。对用户身份仿冒这一常见的网络攻击方式，传统的对策一般采用口令认证方式防 护，但是，用于用户身份认证的口令在登录时常常是以明文的方式在网络上进行传 输的，很容易就被攻击者在网络上截获，进而可以对用户的身份进行仿冒，使口令 认证机制被攻破。攻击者有可能对网络上的信息进行截获并且篡改其内容(增加、截去或改写)，使 用户无法获得准确、

4、有用的信息或落入攻击者的陷阱。某些用户可能对自己发出的信息进行恶意的否认，例如否认自己发出的转帐信息在网络信息的存储、传输和使用过程中，网络安全通过保护网络程序、数据或者设备， 使其免受非授权使用或访问，来达到保护信息和资源、保护客户和用户、保证私有性等目的。 为了确保在各种攻击下，网络程序和数据在服务器、物理信道和主机上的安全性，网络安全 必须有效地实现以下各种功能：身份认证(Authentication)鉴定信息的真实性，核实源实体与接受实体是否与宣 称的一致。 授权(Authorization)用一些特殊的参数表明访问(或存取)的权限。 保密(Confidentiality)使信息只被授

5、权用户享用，取保通信机密。 完整性(Integrity)取保数据的完整和准确。 不可否认(Nonrepudiation)验明身份后，不拒绝传送和接受。在所有功能中，身份认证(Authentication)是最基本最重要的环节，即使将授权、 保密、完整性、不可否认等环节作的很完善，但如果盗用了合法的帐号和口令登录系统，系 统仍然认为他是合法用户，给予他相应的访问权限，使系统处于危险状态。1. 2信息安全风险评估众所周知，计算机与信息犯罪在近年正在呈现出上升的趋势FBI与计算机安全机构近 期的研究表明，过去一年里在调查的公司中，32%的公司向执行官员报告发生严重事件，较 前几年几乎翻了一翻；在调查

6、过程中，报告遭受经济损失的公司中，平均损失高达760000 美元，几乎相当于1998年以来经济损失总和的50%。很明显，攻击日益频繁，且导致越来 越大的经济损失，因此各公司都必须采取有效措施，保护其信息资源。如今，决定着电子商务进一步发展必要基础的信息安全技术得到不断发展，会话加密、 防火墙、虚拟专用网和数字证书等技术都是信息安全解决方案的一部分。令人遗憾的是，虽 然每种技术都旨在加强某一方面的信息安全，包括限制访问或防止机密数据被截获，但面队 形形色色的信息犯罪，却没有一种单独应用的安全措施或方法能够消除所有风险。在这种情 况下，各机构就需要根据受破坏可能性以及可能导致的损失程度，来评估预防

7、措施的成本。 例如，根据FBI / CSI的调查报告显示，最普遍的信息安全问题来自于病毒感染，根据数据 显示，在能够确定损失数额的机构中，90%的危害是由病毒感染引起的，而因此导致的平均 损失数额约为45500美元；约65%的被调查者则受到来自膝上型电脑系统被盗的影响，每 年由此类事件所导致的平均损失约为87000美元。但与电子盗窃或金融欺诈相比，上述问题就是小巫见大巫了。例如，尽管窃取机密信息 可能不象病毒感染或膝上型电脑被盗普遍，但其危害性却更高，为每家受害公司所带来的平 均经济损失高达180万美元；而金融欺诈所导致的平均损失则约为150美元。虽然这些犯罪 发生的频率低于病毒感染或膝上型电

8、脑被盗，但由此造成的经济损失却高出许多。需要指出的是，许多最具危害性的犯罪都拥有共同的特点：即绕过口令保护获取对信息 或资源的访问权限。虽然对于非关键系统的安全性而言，使用基本的口令保护已经足够了， 但公司最机密的应用、文件及系统则需要更高层次的保护措施。幸运的是，现在有了单独使 用的安全防护方法，能够解决由口令泄密导致的所有入侵问题：即用强大的用户认证系统替 代基本的口令安全机制，帮助消除因口令欺诈而导致的损失，防止恶意入侵者或员工对资源 的破坏。第二章需求分析2. 1现行网络、信息及应用环境2. 2存在的安全问题某某公司已经实现了完整的网络支持体系，但是我们还是发现了系统中的不安全地方。

9、我们可以看到，某某公司中所有的主机访问、应用程序访问以及身份认证非常薄弱的远程拨 号访问中，均是采用用户名和口令的认证方式。口令是网络信息系统最常用的安全与保密措 施之一。如果用户采用了适当的口令，那么他的信息系统安全性将得到大大加强。但是，实 际上网络用户中谨慎设置口令的用户却很少，这对计算机内信息的安全保护带来了很大的隐 患。曾有人在互联网上选择了几个网点，用字典攻击法在给出用户名的条件下，测出70% 的用户口令只用了 30多分钟，80%用了 2小时，83%用了48小时。网络信息系统的设计安全再强，如果用户选择的口令不当，仍然存在被破坏的危险。用 户对口令的选择，存在着以下几个误区：误区之

10、一：用“姓名+数字”作口令，许多用户用自己或与自己有关的人的姓名再加上 其中某人的生日等作口令。误区之二：用单个的单词或操作系统（如：DOS命令作口令）。误区之三：多个主机用同一个口令，将导致一个主机口令被窃从而影响多台主机的安 全。误区之四：只使用一些小写字母作为口令，这样是字典攻击发攻破的概率大增。以上四个口令设置的误区，将给信息保密与网络安全带来隐患，网络用户和管理员应 切实注意自己的口令设置，不给非法用户以得逞之机。此外，从一个合法的终端上窃听会话并记录所使用的口令。采用这种方法，无论你所 选择的口令如何好都无济于事，你的帐号，而且很有可能你的系统，都将被破坏。第三章网络安全认证解决方

11、案3. 1方案概述强大的认证系统：RSA ACE/Server系统强大的用户认证系统 RSA安全解决方案建立在“双因素认证”基础上。该方法的前 提是一个单一的记忆因素，如口令，但口令本身只能对真实性进行低级认证，因为任何听到 或盗窃口令的人都会显得完全真实；因此需要增加第二个物理认证因素，以使认证的确定性 按指数递增。例如，银行ATM卡就是一个广泛采用的双因素认证机制，ATM卡需要将有效 卡和PIN（个人身份号码）结合使用，提供了足够的安全级别，以支持用户对银行服务及资 金的访问。借助强大的用户认证系统DRSA安全解决方案，可以向授权的员工发放单独登记的设 备，以生成个人使用令牌代码，这一代码

12、可以根据时间而变化。每60秒就会生成一个不同 的令牌代码，保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是 唯一的，别人无法通过记录以前的令牌代码来预测将来的代码，就可以高度确信该用户即拥 有RSA安全认证令牌的合法用户。RSA ACE/Server 将保护互联网访问II企业WebI I 应用系统II 站点 I关翼|协同工作：服务器、客户端和中间代理软件局域网、远程拨号、Internet/VPN连接或Intranet/Extranet应用中的用户认证，所有这一切都 可以通过RSA ACE/Server完成。当用户试图访问受保护的系统时，连接设备中内置的专用 代理软件（称为R

13、SA ACE/Agent）将启动一个RSA ACE/Server认证会话，而不是基本密码 会话。大多数领先的远程访问服务器、防火墙、VPN、路由器、Internet服务器和Internet 浏览器产品都内置了与RSA ACE/Server双因素认证系统的兼容能力；此外，TACACE+和 RADIUS认证系统均支持RSA ACE/Server会话。在强大的认证会话中，用户需要输入用户名及由RSA SecurID认证设备生成的用来代替密 码的令牌代码，外加一个PIN号码。该代理软件先使用只有保护的设备才知道的其它数据， 把用户提供的信息打乱，然后再一部分一部分地传输给RSA ACE/Server，

14、如果信息有效， RSA ACE/Server将允许用户访问。用户将被授予与其通行证等级相对应的访问权限，这一 权限被RSA ACE/Server记录在日志文件中。RSA ACE/Server：RSA ACE/Server是网络中的认证引擎。RSA ACE/Server由安全管理员或网络管理员进行管理，主要用于： 向任何的个人签发认证令牌证。 设置并实施安全策略，保护对专用网络系统、文件及应用的访问，其中包括可以根据每天的时间、周几或根据小组或用户定义的权限来确定访问权限。 创建用户访问日志。 定义和报告报警情况，如某个网络端口访问失败重试次数。RSA ACE/Server运行于 Sun Sol

15、aris、IBM AIX、HP UNIX 和 Windows NT/2000 操 作系统平台上。一个RSA ACE/Server可以为1，000，000个用户提供保护，具体取决于服 务器的容量。多达20个RSA ACE/Server可以进行互操作，在企业网络内部管理单独的域， 一周七天、全天24小时提供故障切换保护能力，并实时互为备份。RSA SecurlD：利用RSA安全公司的RSA SecurID系列认证令牌确保用户合法性，保证网络访问 安全性。RSA SecurID认证令牌可以以硬件、软件和智能卡等多种形式向用户提供。在硬件 中，最常见的形式是钥匙链，该装置拥有内置芯片和一个可以显示多达

16、8位数字的LCD窗 口，但其体积很小，可以系在钥匙环上。RSA公司在发售这种装置时，已经使用唯一的64 位种子将其初始化；其内部芯片每分钟都会使用一种算法，组合该种子与当前时间，生成一 个明显随机的数字。除钥匙链型号外，其它令牌类型包括信用卡大小的认证令牌和需要输入用户PIN 以显示令牌码的RSA SecurID PINPAD,运行在Palm计算平台上的应用软件和在智能卡中存 储种子的版本。所有RSA SecurID认证令牌均使用已获专利的相同的算法来完成令牌码的散列和 加密功能。RSA ACE/Agent实现这种强大的认证功能的中间代理软件称为RSA ACE/Agent。该代理软件的功 能类

17、似于保安人员，用来实施RSA ACE/Server系统建立的安全策略。RSA ACE/Agent是一 种设备专用代理软件，已经内置在大多数业内主流的网络设备和浏览器以及Web服务器软 件系统中。此外，RSA信息安全公司还推出了针对Windows NT/2000的RSA ACE/Agent。一个RSA ACE/Server可以支持几千个RSA Agnets，为保护企业资源提供巨大的 容量。RSA ACE/Agent软件管理及策略设置可以通过Windows NT/2000控制面板完成，允 许安全管理员通过鼠标点击，而不是编写代码，为用户和保护的资源选择和应用相应的设置。 客户自动注册功能则可以在每

18、个代理软件中自动完成设置创建及更新任务，并确保安全性。通过RSA ACE/Server认证系统防止非法访问企业认证：RSA ACE/Server只允许能够提供无法猜测或复制的令牌代码/PIN的用户接入系 统，这将在极大程度上保证登录的用户确实为授权的个体，大大降低了攻击和非法访问的风 险。即使是拥有上千个用户和多个办公室的企业网络，仍能受到RSA ACE/Server的保护，该软件的跨区域功能还支持对旅行到本区域以外的员工进行认证。访问控制：借助RSA ACE/Server所提供的功能，企业可利用RSA ACE/Agent软件保护各种 访问端口、数据文件、应用及其它资源。例如，RSA ACE/

19、Agent for Windows NT为已有的 NT Domain和NT IIS访问控制机制提供了强大的认证能力；同样，它还针对外部攻击和员 工的恶意破坏提供了重要保护能力。规避攻击：黑客会使用各种无法预料的方法来接入网络。RSA ACE/Server可以识别威胁情 况，然后报告给UNIX系统日志或Windows NT事件日志。例如，当有人多次试图接入远程 访问端口、数据文件或防火墙时，RSA ACE/Server会向系统管理员发出报警，帮助发现并 在导致损失前采取相应防范措施。用户责任：通过使用某个员工的密码，可以在该员工不知情或不同意的情况下侵入系统。由 于RSA ACE/Server双

20、因素认证要求输入用户令牌代码和个人PIN，因此进一步确保了员工 不会被任何非法访问事件所牵连。这种特性，再加上RSA ACE/Server能够报告对所有保护 资源的访问情况，可以帮助员工识别其对信息安全的责任，并采取相应的措施。此外，黑客 经常试图抹掉自己的足迹，RSA ACE/Server的访问历史日志则可以作为犯罪调查和取证的 重要组成部分。使用强大的认证功能灵活地使用RSA ACE/Server，以各种方式保护公司的网络资源，公司可以获得全方位 保护，包括认证所有对企业网络进行的访问，对特定的安全威胁实施战略性防护；一个RSA ACE/Server系统能够提供任何或所有下列服务： 通过R

21、SA ACE/Server认证远程用户拨号连接 认证从Internet到内部网络的VPN或防火墙连接 认证所有公司网络访问；可以运用于所有员工、特定工作组或部门或仅拥有某个 访问级别的人员 通过限定对网页、URL和目录的访问，保护Internet和Extranet中的机密数据 防止篡改网络管理设置无论保护范围大小，强大的双因素认证的过程都是一样的。当用户试图访问受保护的 资源时，保护资源（包括拨号服务器、网页、文件或应用）的RSA ACE/Agent将生成一个 认证请求，用户必须输入用户名、PIN和令牌码。认证请求被加密，然后转发给 RSA ACE/Server。RSA ACE/Server接

22、到认证请求后，将查询本地用户数据库，在定位用户名之后，它把 收到的PIN和令牌码与本身记录进行比较。如果发现PIN和令牌码均有效，则授权该用户4. Agent Proxies Request to ACE/Server2. LoginInformationForwardlllllll巨3. User DatallllllllllllllIndicates SecurID Authenticationllllllllllllll3Com RAS 1500 Cisco Pixl.Username, PASSCODE访问系统。3. 2拨号服务器和VPN保护RADIUS (Remote Authent

23、ication Dial-in User Service)是一种能提供身份认证、授权和审计 的客户机/服务器安全协议。RADIUS/TACACS+身份认证能够与RSA ACE/Server协同使用 提供强双因素认证。E II ( User.Data.Radius ServerCisco Secure ACS 2.6 for NT/Unix拨号服务器和防火墙缺省配置的话，均需输入用户名和口令，然后将此用户认证 请求发送给指定的RADIUS/TACACS+月艮务器进行认证，RADIUS/TACACS+月艮务器根据用 户名定位此用户，然后将收到的口令与数据库中的口令字符串比较，确认用户的口令是否有

24、效，最后返回确认信息个网络设备，明确此用户是否可以访问网络资源。口令认证是一种弱的身份认证方式，我们建议使用双因素强认证方式。此认证方 式支持大多数主流的 RADIUS/TACACS+月艮务器，在此我们选择 Cisco Secure ACS for NT/UNIX。首先保持原有的配置不动，然后在 Cisco Secure ACS服务器上安装 RSA ACE/Agent 软件，在 Cisco Secure ACS 的 Database Configuration 中就会出现“SDI SecurlD Token，标题，这样Cisco Secure ACS就可以使用RSA Agent软件作为代理与R

25、SA ACE/Server 通讯，而无须在RSA ACE/Server上作任何配置，只要RSA ACE/Agent能够通过RSAACE/Server进行认证即可。接着指定相应的用户，设置成用口令认证还是通过双因素令牌 认证。这样当用户拨入拨号服务器或者防火墙时，拨号服务器或防火墙将认证请求送至Cisco Secure ACS服务器，Cisco Secure ACS服务器根据拥护名定位其在数据库中的位置，如果用 户是通过口令认证，则Cisco Secure ACS服务器自行解决，如果用户是通过双因素令牌认证， 则Cisco Secure ACS服务器将用户名和PASSCODE传递给RSA ACE

26、/Server认证，RSA ACE/Server认证完以后再将结果返回给Cisco Secure ACS服务器，由Cisco Secure ACS服务 器将结果传递给网络设备，得到确认以后，用户就可以通过拨号服务器或者防火墙访问公司 网络。3.3 UNIX/Linux主机保护现在，某某公司存在大量的UNIX/Linux主机，这些主机承担着非常关键的应用 程序服务以及存放着重要的信息，对于整个公司的运作起到非常关键的作用。但是我们看到， 这些服务器均是通过弱的口令认证，不管是普通用户还是系统管理员，均使用口令登录到主 机系统。这样就有可能给不法用户提供可呈之机，有可能冒用其他用户的帐号和口令进入

27、系 统，胡作非为。安装了 RSA ACE/Agent for UNIX/Linux以后，配置相应用户的确省的Shell外壳 程序，改为RSA的sdshell。这样，当用户通过远程Telnet或本地登录到UNIX/Linux主机 时，主机首先提示用户输入正确的用户名和口令，当用户正确输入以后，UNIX/Linux主机 根据用户名定位其记录，确认其是否需要双因素强认证，如果是，则提示用户输入正确的 PASSCODE，只有用户输入了正确的PIN和令牌码以后，才能进入到主机系统，否则就会 被拒绝在外。RSA ACE/Agent的作用就象安全卫士，使得安全策略就象建立在RSA ACE/Server 系统

28、内部一样。它们能截取访问请求，要求指定用户或组织（无论是本地还是远程）在获得 被保护资源的访问权之前，通过一个RSA SecurlD认证令牌向RSA ACE/Server证明身份。3.4 Web服务器保护Extranet已经成为电子商务的关键部分，它使得客户、合作伙伴和供应商进行交 流成为可能。不论您需要保护的是Microsoft IIS Domino还是Netscape Web服务器，RSA ACE/Agent都能保护您的Web应用不会被非法访问。另外，您可以控制用户权限，决定用 户被授权后，能够访问和不能访问哪些资源。而且由于RSA信息安全公司解决方案的设计 目标是与加密套接字协议层协同工

29、作，当信息在网络中传输的时候，可以保证其安全性。Netscape Navigator提供访问Intranet和Extranet的便携的用户证书不需在用户桌面安装软件具有通过Web服务器保护后端系统的能力保证通过SSL传输的信息的保密性管理用户认证和访问控制上图显示了 RSA ACE/Agent for IIS的管理界面，从中我们可以看出它是如何设置 管理参数。通过此界面，可以设定哪些页面需要保护，哪些页面不需要保护，当用户访问被 保护的页面的时候，就会被提示输入PASSCODE，只有输入正确的PIN和令牌码以后，用 户才可以访问这些被保护的页面。还可以设置有效时间，当用户正确登录网页以后，在同

30、一 会话或者被授予时间段之内的话，则不需要再次输入PASSCODE，只有当推出浏览器或者 超过了授予的时间段以后，再要访问被保护页面的话，就要求输入PASSCODEo另外，还 可以设置是否缓存用户访问过的页面。3.5 Windows NT/2000共享目录保护RSA ACE/Agent for Windows NT/2000能够通过网络访问身份认证保护对Windows网 络资源的访问。网络访问身份认证能够应用到Windows点对点以及域环境。网络访问身份认证还可以 与本地访问身份认证一起对网络资源和本地工作站资源提供更加综合的保护。网络访问身份认证使用两个组件：网络访问服务一安装在所有域服务器

31、或作为文件或打印服务的网络服务器上。网络访问代理一安装在每一台连接到域控制器或者网络服务器的客户机上。网络访问代理用户在点对点的环境中，用户首先登录到他们的本地工作站。当用户企图连接到受保 护的网络资源（例如文件服务器），保护此资源的网络访问服务器请求用户身份认证。用户 输入PASSCODE首先送到网络访问服务器然后送到RSA ACE/Server，RSA ACE/Server校验 请求，如果是合法用户，网络访问服务器发出会话证书存放在网络访问代理上，此会话证书 缺省配置的话有效时间为8小时。接下来企图再访问受保护的网络资源时，客户机或者送上 有效的会话证书，或者重新进行身份认证。3.6 Or

32、acle数据库保护Oracle是全球领先的信息管理软件的供应商，由其提供的Advanced Security Option （ASO）软件保护SQL*Net和Net 8环境下的敏感的以及有价值的信息。当用户试图访问 Oracle数据库时，Advanced Security Option软件加密并且执行安全检查。RSA ACE/Server 技术使用预先发给每个用户的RSA SecurID令牌认证用户的身份。使用Oracle的Advanced Security Option和RSA SecurID令牌，所有基于Oracle数据库的网络应用程序均可以得到由 RSA SecurID令牌提供的强用户认

33、证。3.7 LDAP目录RSA ACE/Server支持三种目录服务：Microsoft Active Directory、iPlanetDirectory Server 和 Novell NDS eDirectory，可以根据 LDAP 中的项目在 RSA ACE/Server 中 创建相应的用户记录。允许RSA ACE/Server管理员在目录服务中维护用户资料，在RSA ACE/Server中维护 令牌资料，管理员可以通过定义与令牌信息关联的UserID或GID以及用户姓名来建立LDAP 用户和令牌资料之间的连接。然后增加LDAP用户资料到RSA ACE/Server。用户资料能够 被同

34、步以保证用户信息的任何修改能够反映到RSA ACE/Server的用户数据库中。第四章RSA ACE/Server 功 能详解体系结构RSA ACE/Server用来在选定的网络资源周围建立一个保护环境。RSA ACE/Server不一 定要安装在网络服务器上，它可以安装在Windows NT/2000以及由IBM、Sun和HP等公司 生产的各种UNIX服务器平台上。一个RSA ACE/Server可以支持上百万个用户，管理员可 以组合使用多达20个RSA ACE/Server，以保护企业网络，其中每个RSA ACE/Server都负 责不同的网络区域。与UCT时间同步全球同步时间（UCT）用

35、来同步化所有RSA信息安全公司产品之间的时间。在发售时， 每个RSA SecurID令牌都设定为UCT （与格林威治标准时间相同）；在安装过程中，RSA ACE/Server系统时钟同样设定为UCT。实质上，全世界各地的所有RSA信息安全公司都被 精确设定为相同的时钟，从而不需处理时区差或进行夏令时调整。有效令牌窗口和时钟漂移调整为解决使用基于硬件的令牌所产生的微小时间设置差异和时钟漂移问题，RSAACE/Server在3分钟的时间窗口基础上进行认证，即UCT时钟显示的当前时间、该时间的 前一分钟和后一分种。如果用户名和PIN准确无误，而所提供的密码与当前时间不符，RSA ACE/Server

36、会自动将其前一分钟和后一分种匹配项进行核对。这一过程适用于认证令牌中 的时钟略为偏离RSA ACE/Server中的时间相位的情况。如果与其中任一项相符，则用户通 过认证，进而在该用户的数据库纪录中创建一个节点，用于调整未来的登录，以反映时间漂 移。假定一个用户定期进行登录，RSA ACE/Server会一直调整令牌时间，使令牌码保持在 3分钟窗口内。但是，如果一个用户长期没有登录（一般情况下达几个月），其令牌时间就 会漂移到三分钟窗口以外，生成一个无效的令牌码。在这种情况下，RSA ACE/Server会测 试当前时间前十分钟和当前时间后十分钟的令牌码，如果它与其中任意一个代码相符，那么 R

37、SA ACE/Server会再次要求用户输入令牌码，以确认令牌所有权；如果第二个令牌码具有 相同的时钟漂移，该令牌就被假定为有效，从而用户通过认证，RSA ACE/Server会在该用 户纪录中注明特定认证令牌的时钟差异，已备未来登录时使用。但是，如果所提供的PIN （个人身份识别号）不匹配，或输入了无法由时钟漂移解释 的错误令牌码，RSA ACE/Server会要求用户重试。管理员可以设置在锁定拥护和建立报警日志项目前允许的重试次数。虽然RSA ACE/Server对所有RSA SecurlD令牌码进行认证的过程相同，但 RSA SecurlD软件令牌的时钟漂移较大，允许个人电脑中更大的时钟

38、漂移。与RSA ACE/Server进行散列通信在RSA ACE/Agent获得用户令牌码和PIN后，它会创建（并包含其它代理专用的数据） 一个与种子没有任何关系的散列值。散列是一个不可逆的数学函数，简而言之，即无法从给 定的散列值恢复到最初为函数提供的种子。然后，只有用户的登录名和部分散列值（加密后） 被转发到RSA ACE/Server。散列值不会全部转发出去，从而提供了另一级保护能力，可以 防止截获和解密认证的数据。附录一：RSA公司介绍RSA信息安全公司在电子安全界享负盛名，致力开发双因素用户认证、加密和公钥管理 系统，为有志开拓电子商务的企业建立安全稳妥的基础建设RSA掌握市场脉搏，

39、以其领导 全球的科技和系统管理经验，配合电子商务不断改变的安全需求，令网上商业活动更安全及 可靠。RSA信息安全公司在全球拥有逾8,000名客户，为企业用户提供先进的技术，让他们发 展可堪信赖的电子商务业务。RSA总部设于美国麻省贝德福德，在世界各地均设有办事机 构。该公司于美国Nasdaq证券市场上市（交易代号为RSAS），每年收入达2.8亿美元。市场及产品随着互联网日益蓬勃及革命性的新兴电子商务应运而生企业对完善保密技术及方案的 要求日增。目前，公共与专用网络不断整合，企业也不断扩展其网上业务，RSA的尖端科技 将可满足用户对网上安全的需求RSA作为领导全球的安全技术先驱，致力发展网络安全

40、的三大核心领域，包括:公钥基建RSA Keon公钥基建系列以可相互操作及标准的公钥基建技术为基础，让 用户有效管理数字认证过程，为经认证、专有及符合法律效力的电子通讯及交易建立安全的 环境。RSA Keon软件系列操作简易，可与其他标准的公钥基建为方案进行互操作，配合RSA SecurlD的认证技术及RSA BSAFE加密产品系列使用，可大大增弓鱼系统的保安能力。认证技术RSA SecurlD方案为领先市场的双因素用户认证技术。RSA SecurlD软件 只容许经过认证的用户使用电子邮件系统、互联网服务器、本地网、广域网、网络操作系统 及其他资源，使宝贵的网络资源获得完善的保护o Securl

41、D方案更广泛支持认证设备，包括 时间同步的审核设备、智能卡，建立虚拟保护网，有效抵抗非法入侵，使网络资料免受意外 造成的破坏及恶意入侵。加密技术RSA BSAFE软件应用于目前最受欢迎的的互联网应用方案，包括互联网 浏览器、无线设备、电子商务服务器、电子邮件系统及虚拟专用网络产品。RSABSAFE致力 配合不同标准的需要，包括SSL、S/MIME、WTLS、IPSec及PKCS，能节省开发人员於开发工 序的时间及所承受的风险，提供备受公认及稳定可靠的保安能力。致力推动互操作功能RSA信息安全公司推出的产品及技术以开放及标准为主，让企业只需就现有应用软件及 网络系统执行最少的修订工作，即可轻易结

42、合到企业的网络环境中。这些方案及技术不仅可 协助企业安全地推行应用软件，更可沿用企业于现有基建设施的投资。此外，该公司与其他 主要的网络设备供应商维持战略性伙伴关系，致力加弓鱼互操作能力及进一步加弓鱼功能。战略性伙伴RSA信息安全公司的宗旨是建立以符合互操作能力为核心的业务。目前，该公司通过推 行多项合作计划H与逾500家领导业内的企业建立战略性伙伴关系 如3COM. AOL、Netscape. 朗讯科技、AT&T、北电网络、思科系统、康柏、IBM、Oracle、Microsoft及英特尔。这些 企业将RSA的技术融入至其多种产品。客户基础RSA信息安全公司的客户基础遍及各行各业 包括广泛的电

43、子商贸、银行业、政府机构、 电讯业、宇航业、大学及保健部门。目前，超过7,000家企业，逾800万用户（包括财富杂 志首百家企业的八成）均使用RSA SecurID认证产品保护企业资料，而超过500家公司在逾 1,000种应用软件安装有RSA BSAFE软件，令全球使用RSA产品的数量逾一亿份。全球支援服务RSA信息安全公司为客户提供世界一流的支持服务，通过长期为客户提供一系列的客户 支持及专业服务，包括评估、项目顾问、推行、教育及培训，以及开发人员的支持服务，确 保客户可成功推行不同的项目。RSA的技术支持部门以能于最短时间内解决问题而享誉业 内，并深得客户的信任及超出客户的期望。分销渠道RSA信息安全公司已为企业及电子安全市场建立多渠道的销售方式及销售网络。公司通 过其直销方式向用户直接销售及授权其产品，并通过原厂商(OEM)、增值服务商(VARs)及 经销商的销售网络间接销售产品。RSA通过建立战略市场关系及计划，为该公司提供直接及 间接的销售和支持服务。业务遍及全球RSA信息安全公司为国际首屈一指的电子安全技术供应商，于美国、加拿大、英国、 新加坡、东京等城市设有分支机构，并于全球近50个国家包括中国地区的北京、香港及上 海建立了办事处，并不断扩展。RSA SecurWorld分销计划能在欧洲、中东、非洲、美洲及 亚太区为其增值服务商及分销商提供产品。