筆者目前所在公司是一家跨國外資企業(yè)，同時在國內(nèi)亦有幾十家分支機構(gòu)。整個企業(yè)是在域的環(huán)境中，各分支是通過Cisco的ASA系列防火墻以IPSEC VPN的方式與位于北京的數(shù)據(jù)中心互連互通。

同時，企業(yè)的應用系統(tǒng)和關(guān)鍵業(yè)務服務器均位于數(shù)據(jù)中心內(nèi)，均為域成員服務器。而幾十臺防火墻或交換機等網(wǎng)絡設備分散在全國各地。

目前，公司使用的身份認證方式，主要是"用戶名+口令"認證，但此種認證方式有以下缺點：

1． 口令容易泄漏。

2． 可以用"重播"方式，復制和重現(xiàn)認證過程。

3． 維護成本較高：需要定時更新；需要有安全的方式發(fā)放口令；需要有制度禁止口令的蔓延傳播。

針對公司所面臨的安全問題，經(jīng)衡量后，決定采取RSA SecurID雙因素身份認證系統(tǒng)來實現(xiàn)對應用系統(tǒng)、關(guān)鍵業(yè)務服務器及網(wǎng)絡設備安全訪問。（圖1）

一、RSA SecurID雙因素認證系統(tǒng)組件

RSA SeucrID由認證服務器RSA AM、代理軟件RSA AM/Agent、認證設備以及認證應用編程接口（API）組成(如下圖所示)。（圖2）

1、認證服務器（Authentication Manager）

　　在RSA SecurID解決方案中，RSA AM軟件是網(wǎng)絡中的認證引擎，由安全管理員或網(wǎng)絡管理員進行維護，可以實現(xiàn)企業(yè)認證、訪問控制、規(guī)避攻擊、用戶責任等。

2、RSA SecurID認證令牌

　　所有RSA SecurID認證令牌均使用已獲專利的相同的算法來完成令牌碼的散列和加密功能。（圖3）

　?。ù藢嶒炛械牧钆疲?/P>

3、代理軟件（AM/Agent）

　　實現(xiàn)這種強大的認證功能的中間代理軟件稱為RSA AM/Agent。該代理軟件的功能類似于保安人員，用來實施RSA AM系統(tǒng)建立的安全策略。

#p#

二、RSA SecurID針對域用戶登錄及網(wǎng)絡設備認證的原因及過程

1、通過安裝代理軟件實現(xiàn)域用戶登陸的雙因素安全認證：

在WINDOWS平臺機器上安裝RSA AGENT軟件，通過設置來實現(xiàn)對特定用戶進行驗證（此時亦應在RSA AM上添加代理用戶（域用戶）及被訪問的服務器（又稱為代理主機）。（圖4）

　　如圖所示，在"Passcode"欄后輸入令牌碼+PIN碼，此時Passcode將被發(fā)送到RSA AM進行認證，如果是合法用戶就能被授權(quán)進行下一步如輸入當前用戶的密碼，然后就能登陸到域并訪問域中資源了。

　　注意，此處的"Passcode"也可以只是令牌碼，也就是不用使用PIN碼。后文會圖文展示如何實現(xiàn)。但安全性相對來說會降低些。

2、通過RADIUS協(xié)議實現(xiàn)網(wǎng)絡設備的雙因素安全認證：

　　配置這些網(wǎng)絡設備通過RADIUS協(xié)議來使用SECURID實現(xiàn)雙因素認證，當用戶需要TELNET或SSH到這些網(wǎng)絡設備時，必須輸入用戶名和雙因素Passcode，然后由這些網(wǎng)絡設備通過RADIUS協(xié)議將Passcode發(fā)送到認證服務器進行認證，如果是合法用戶則可以訪問網(wǎng)絡資源，否則就會被拒絕在外。（圖5）

　　如圖所示，這是在Cisco ASA 5520防火墻上進行的使用RADIUS 協(xié)議進行驗證，而且還配置了當RSA AM出現(xiàn)問題時使用本地驗證。

　　注意，此時，需要在RSA AM上添加代理用戶及代理主機（防火墻的IP地址）。如果是使用SSH登陸，需要在SSH登陸用戶名和密碼中輸入代理用戶名和令牌碼（+PIN碼），而且登陸輸入EN后，也需要再次輸入當前令牌上所顯示的下一個令牌碼（60秒變換一次）。（圖6）

#p#

三、RSA解決方案的實施及步驟

　　前面部分已簡要介紹了企業(yè)面臨的安全訪問的問題以及RSA的解決方案及實現(xiàn)過程。接下來介紹安裝及如何配置從而實現(xiàn)域用戶登陸的雙因素身份認證的，注意，此處并沒有安裝RSA RADIUS服務器軟件，故無法實現(xiàn)RADIUS的網(wǎng)絡設備雙因素身份驗證。

　　安裝拓樸描述：

　　A、域（rsa.com）環(huán)境中，在需要進行登錄認證的應用服務器或關(guān)鍵業(yè)務服務器上安裝代理(Netbios名字為rsamem)。FQDN：rsamem.rsa.com。

　　B、在一臺工作組服務器(Netbios名字為rsaman)上安裝RSA AM。并保證路由上此臺服務器和域中的所有服務器能正常通訊。（也可以在域成員服務器上安裝RSA AM）

　　C、以域用戶（需添加到RSA AM用戶中）登陸應用服務器（需添加到RSA AM代理主機中）rsamem時，會先前往rsamam這臺RSA AM服務器上進行合法用戶的雙因素認證。成功則充許登陸。

1、RSA Authentication Manager 6.1 安裝

　　A、RSA Authentication Manager 6.1軟件安裝系統(tǒng)需求

　　支持的操作系統(tǒng)：

　　☆Microsoft Windows 2000 Server or Advanced Server (Service Pack 4)

　　☆Microsoft Windows 2003 Standard Server or Enterprise Server

　　硬件需求：

　　☆I(lǐng)ntel Pentium 733 MHz 處理器

　　☆256 MB 物理內(nèi)存

　　☆NTFS 文件系統(tǒng)

　　☆200 MB 磁盤空間

　　B、RSA Authentication Manager 安裝前注意事項

　　☆RSA Authentication Manager 必須安裝在NTFS分區(qū)上。

　　☆RSA SecurID以時間同步技術(shù)為核心，安裝 RSA Authentication Manager 以前必須調(diào)準服務器的時間，包括時區(qū)、日期和時間。

　　☆將所有 RSA Authentication Manager 服務器的全名和IP地址寫入所有 RSA Authentication Manager 服務器的hosts文件中（\winnt\system32\drivers\etc\hosts）。

　　C、一般不建議你安裝在域成員服務器上，如果的確需要，安裝時最好以本地管理員權(quán)限的用戶進行安裝。

　　D、滿足上述條件后，安裝過程相對簡單，需要注意的是安裝過程中需要選擇好LICENSE的路徑。安裝完成后需要重新啟動。且如果有被RSA AM的UPDATE程序，且記一定要打上。如下圖為安裝好的RSA Authentication Manager：（圖7）

2、安裝RSA Authentication Agent 6.1 for Windows

　　A、安裝前注意事項：

　　☆安裝任何RSA Authentication Agent代理軟件之前，請到RSA網(wǎng)站下載最新的代理軟件：http://www.rsasecurity.com/download/

　　☆如果RSA Authentication Agent與RSA Authentication Manager安裝在不同計算機上，需要首先復制Authentication Manager上的C:\Program Files\RSA Security\RSA Authentication Manager\data\sdconf.rec文件到RSA Authentication Agent上的\windows\system32目錄。

　　B、選擇自定義安裝，需注意以下安裝窗口出現(xiàn)時的選擇：（圖8）

　　應去除"Domain Authentication Client"選項，只保留"Local Authentication Client"。安裝過程也相對簡單。只需注意sdconf.rec文件一定先從RSA  AM上拷到代理軟件安裝所在的機器C:\ \windows\system32目錄下。安裝完成后，需重啟計算機。

　　以上是程序的安裝，接下來就是針對RSA AM及RSA AGENT HOST代理端的配置：

#p#

三、在rsamam上配置RSA Authentication Manager

　　A、啟動RSA Authentication Manager

　　選擇開始' RSA Security'RSA Authentication Manager Control Panel，點擊左邊欄中的"Start & Stop RSA Auth Mgr Service"，然后在右邊欄中選擇"Start All"來啟動RSA Authentication Manager。（圖9）

　　如果希望每次系統(tǒng)啟動時自動啟動RSA Authentication Manager，在Auto Start選項下選擇 "Edit..."，在彈出的窗口中選擇 "Automatically start services on system startup"。

　　B、選擇開始' RSA Security'RSA Authentication Manager Host Mode可以進入RSA Authentication Manager的管理界面。選擇"Token'Import Token…"選擇SecurID種子所在路徑，選擇*.xml文件導入令牌種子。（圖10）

　　注意：此處的令牌種子文件是需要提前做好的，由供應商根據(jù)購置的授權(quán)數(shù)及ID來確定。

　　C、添加用戶及分配令牌：在打開的"RSA Authentication Manager Host Mode"管理控制臺，選擇"User--〉A(chǔ)dd User…"，輸入用戶名字，姓和登錄名信息。此處的用戶保持和域用戶一致。且確保"Default Login"里輸入的用戶名rickyfang是域用戶已存在的。（圖11）

　　同樣是此圖，選擇"Assign Token…"，分配令牌并選擇"Yes"在RSA ACE/Server數(shù)據(jù)庫中存儲用戶信息。輸入令牌背面的序列號或者點擊"Tokens…"從有效的令牌中選擇為分配的令牌給當前用戶（有效的令牌已包含在前面的導入的令牌種子中）。

　　D、添加代理軟件服務器（也就是安裝有代理軟件的應用服務器rsamem）：在打開的"RSA Authentication Manager Host Mode"管理控制臺，選擇"Agent Host--〉A(chǔ)dd Agent Host…"，在"Name"字段中輸入RSA ACE/Agent的計算機全名，按"Tab"鍵，程序會自動得到此計算機的IP地址，無法自動找到IP地址的話可以手工輸入；在"Agent type"中選擇"Net OS Agent"表示此計算機為Windows操作系統(tǒng)；選擇"Open to all Locally Known Users"，所有通過令牌認證的用戶均可訪問此計算機。（圖12）

#p#

四、在rsamem配置和測試RSA Authentication Agent安裝

　　A、選擇開始' RSA Security'RSA Security Center進入客戶端管理界面。在左邊欄中選擇Authentication Test，然后選擇右邊欄中的"Test…"測試安裝是否正確。

　　在認證窗口中輸入用戶名和令牌上顯示的當前令牌碼：（圖13）

　　B、第一次成功登錄以后，系統(tǒng)提示用戶必須創(chuàng)建PIN碼，選擇"I Will Create PIN"自己創(chuàng)建PIN碼；如果選擇"RSA ACE/Server Will Generate PIN"的話，RSA ACE/Server會自動產(chǎn)生4到8位的PIN碼。在這里我們選擇"I Will Create PIN"。（圖14）

　　成功創(chuàng)建完P(guān)IN碼以后，RSA Authentication Agent軟件提示PIN碼創(chuàng)建成功。

　　C、以后正常登錄時，必須在"PASSCODE"字段中先輸入4到8位的PIN碼，然后緊接著輸入六位的令牌碼（必須等到令牌跳到下一個號碼時輸入才有效）；顯示"Authentication successful."時表示通過認證測試。（圖15）

　　D、實現(xiàn)SecurID認證：進入RSA Security Center，選擇local，在"challenge setting"中指定users in=RSA\Domain Users（此處的rsa為rsa.com）。（圖16）

　　選擇后如下圖所示，值得注意的是圖中的"Reserver Password"選項，無法實現(xiàn)passcode認證后需要輸入此中的密碼才能正常登陸系統(tǒng)。（圖17）

　　設置好后，重啟計算機。

#p#

五、用戶登陸驗證實現(xiàn)

　　A、選定rsamem服務器，并且按ctl＋alt＋del打開登錄窗口。

　　B、因為是使用令牌認證的用戶，必須輸入windows用戶名和passcode（PIN+令牌碼）登錄系統(tǒng)：（圖18）

　　C、Passcode成功后，需要輸入此域用戶在域控制器存儲的密碼（也就是沒有實現(xiàn)認證之前的密碼）。便可以成功登陸此臺服務器啦。（圖19）

　　同時， 可以在rsaman這臺RSA AM服務器上可以通過查看詳細的日志來實時了解賬號登陸成功或失敗的情況。（圖20）

　　至此，基本上完成了在域環(huán)境中實現(xiàn)RSA SecurID的雙因素身份驗證。至于如何實現(xiàn)網(wǎng)絡設備的雙因素身份驗證，此處并沒有做出實驗步驟。有條件的朋友不防安裝RSA RADIUS服務器測試下。同時，還有許多豐富的功能在此文中并沒有提及，但愿能和各位交流。

　　附加：在登陸域成員服務器時的"Passcode"是使用的令牌+PIN碼的雙因素方式，亦可以通過在RSA AM管理控制臺進行設置成只使用令牌。（圖21）

　　如上圖所示，在"Edit Token"窗口，改為選擇綠色標記的"Tokencode Only"，并"OK"。就可以實現(xiàn)只使用令牌進行認證。雖簡單了些，不過安全性上就差了些啦，所謂有得有失吧。