3.RSAOTP技术
RSAOTP是建立在“双因素认证”基础上。该方法的前提是一个单一的记忆因素,如口令,但口令本身只能对真实性进行低级认证,因为任何听到或盗窃口令的人都会显得完全真实,因此需要增加第二个物理认证因素以使认证的确定性按指数递增。
借助强大的用户认证系统,RSA信息安全解决方案可以向授权的员工发放单独登记的设备,以生成个人使用令牌码,这一代码可以根据时间而变化。每60秒就会生成一个不同的令牌码,保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的,别人无法通过记录以前的令牌代码来预测将来的代码,就可以高度确信该用户即拥有RSA安全认证令牌的合法用户。
每一个令牌密码变换是基于时间和预置的种子的函数。保证令牌卡与认证服务器的时间同步是保证系统可靠运行的基础。
(1)与UCT时间同步
全球同步时间(UCT)用来同步所有RSA信息安全公司产品之间的时间。在发售时,每个RSASecurID令牌都设定为UCT(与格林威治标准时间相同);在安装过程中,RSAACE/Server系统时钟同样设定为UCT。实质上,全世界各地的所有RSA信息安全公司都被精确设定为相同的时钟,从而不需处理时区差或进行夏令时调整。
(2)有效令牌窗口和时钟漂移调整
为解决使用基于硬件的令牌所产生的微小时间设置差异和时钟漂移问题,RSAACE/Server在3分钟的时间窗口基础上进行认证,即UCT时钟显示的当前时间、该时间的前一分钟和后一分种。如果用户名和PIN准确无误,而所提供的密码与当前时间不符,RSAACE/Server会自动将其前一分钟和后一分种匹配项进行核对。这一过程适用于认证令牌中的时钟略为偏离RSAACE/Server中的时间相位的情况。如果与其中任一项相符,则用户通过认证,进而在该用户的数据库纪录中创建一个节点,用于调整未来的登录,以反映时间漂移。
假定一个用户定期进行登录,RSAACE/Server会一直调整令牌时间,使令牌码保持在3分钟窗口内。但是,如果一个用户长期没有登录(一般情况下达几个月),其令牌时间就会漂移到三分钟窗口以外,生成一个无效的令牌码。在这种情况下,RSAACE/Server会测试当前时间前十分钟和当前时间后十分钟的令牌码,如果它与其中任意一个代码相符,那么RSAACE/Server会再次要求用户输入令牌码,以确认令牌所有权;如果第二个令牌码具有相同的时钟漂移,该令牌就被假定为有效,从而用户通过认证,RSA ACE/Server会在该用户纪录中注明特定认证令牌的时钟差异,已备未来登录时使用。
但是,如果所提供的PIN(个人身份识别号)不匹配,或输入了无法由时钟漂移解释的错误令牌码,RSAACE/Server会要求用户重试。管理员可以设置在锁定用户和建立报警日志项目前允许的重试次数。
三、用户远程接入VPN接入方案规划
用户远程接入VPN系统结构如图1所示。
图1
服务器端系统包括:
高性能VPN接入服务器组成高可用性VPN接入服务器
计费认证服务器
RSAOTP服务器
日志审计服务器及VPNManager
用户端设备
移动终端(WindowsXP/2000)
RSA令牌卡、Internet移动办公用户接入内网流程:用户首先接入Internet,通过L2TP+IPsec呼叫与Internet接入VPN服务器连接,输入用户名密码,其中密码为PIN码+RSA令牌卡产生的一次性密码。密码通过PPP的CHAP认证由CAMS与RSAServer组合完成认证后向VPN接入路由器反馈认证是否成功信息最终决定用户是否可以接入。用户通过认证后即可通过L2TP协议获得企业内网内部IP地址,与内网内设备与系统进行正常通信。
责任编辑:虫虫
您现在的位置: 