RSA SecurID 900

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone (Trang 40 - 49)

RSA SecurID 900 authenticator là một thiết bị đa năng, kết hợp tính năng công nghiệp của các thẻ xác thực RSA SecurID với chức năng đánh dấu để đảm bảo an toàn cho các phiên giao dịch thƣơng mại. RSA SecurID SID 900 authenticator có một khóa đối xứng duy nhất, khóa này đƣợc kết hợp với thuật toán mạnh để tạo ra một mã xác thực sau mỗi 60 giây. Mã xác thực này luôn thay đổi, có thể đƣợc sử dụng cùng với mật khẩu để tăng tính bảo mật trong quá trình đăng nhập.

Khi ngƣời dùng cuối đăng nhập vào một vị trí đƣợc kiểm soát, nơi đó sẽ tạo ra số xác nhận (đƣợc gọi là ―challenge‖). Ngƣời dùng nhập số challenge đó vào trong thiết bị RSA SecurID 900 và nó tạo ra một giá trị gọi là ―response‖, giá trị này đƣợc hiển thị trên màn hình LCD của thiết bị. Sau đó, ngƣời dùng sử dụng số response giống nhƣ chữ ký số duy nhất để hỗ trợ phiên giao dịch. Ứng dụng xác thực chữ ký dựa vào dữ liệu phiên giao dịch và thực thi phiên giao dịch.

 Có các gói với thời gian sống của thẻ là 2, 3, 4 và 5 năm.

2.3.2.2. Thẻ xác thực “mềm” (Software Authenticator)

1./ Khái niệm

Thẻ xác thực RSA SecurID mềm sử dụng cùng thuật toán giống nhƣ thẻ RSA SecurID cứng. Thay vì đƣợc lƣu trữ trong một thẻ RSA SecurID cứng, bản ghi seed (hay khóa đối xứng) đƣợc bảo vệ một cách an toàn trên máy xách tay, máy để bàn, PDA, thiết bị cầm tay hay điện thoại cầm tay của ngƣời dùng.

Bản ghi seed cũng có thể đƣợc lƣu trữ trên thẻ thông minh hay các thiết bị dƣới dạng USB và đƣợc sử dụng chung với thẻ RSA SecurID mềm trên máy xách tay của ngƣời dùng.

2/. Phân loại

a/. RSA SecurID Token cho hệ điều hành Microsoft Windows

Tính năng:

- Cung cấp phƣơng thức xác thực hai thành phần cho các truy cập vào tài nguyên mạng đã đƣợc bảo vệ.

- Tự động cài đặt và nâng cấp.

- Cài đặt web cho các truy cập nhanh để phát hiện các trang web bằng trình duyệt web phiên bản 6 và 7.

- Thẻ phần mềm tự động tích hợp với các IPSec VPN client. Phiên bản mới: RSA SecurID Token 4.0 cho Microsoft Windows.

b/. RSA SecurID Token cho thiết bị cầm tay Palm Handhelds

Tính năng:

- Cung cấp phƣơng thức xác thực hai thành phần cho các dịch vụ an toàn.

- Giao diện ngƣời dùng trực quan.

- Hỗ trợ thẻ nhớ Renesas MultiMediaCardTM an toàn.

- Hỗ trợ phƣơng thức xác thực truyền thống dựa trên thuật toán AES 128 bít. Phiên bản hiện thời: RSA SecurID Token cho PalmTM Handhelds 2.0.

c/. RSA SecurID Token cho BlackBerry Handhelds

Tính năng:

- Cung cấp phƣơng thức xác thực hai thành phần cho các dịch vụ an toàn.

- Cung cấp các ứng dụng và các thẻ phần mềm thông qua máy chủ BlackBerry Enterprise.

- Yêu cầu RSA Authentication Manager 7.1.

- Sao chép và khôi phục các thẻ phần mềm đến/từ máy chủ BlackBerry Enterprise Server.

- Các chính sách công nghệ thông tin máy chủ BalackBerry Enterprise cho việc quản lý các chính sách ứng dụng một cách tập trung

- Hỗ trợ phƣơng thức xác thực truyền thống dựa trên thuật toán AES 128 bít. Phiên bản hiện thời: RSA SecurID Token 3.0.2 cho BlackBerry.

d/. RSA SecurID Token cho điện thoại di động

Tính năng:

- Cung cấp phƣơng thức xác thực hai thành phần cho các dịch vụ an toàn.

- Hỗ trợ EricssonTM R380 smart phone, bộ giao tiếp Nokia 9210 và các máy tích hợp của hãng NTT Docomo i-appli.

- RSA SecurID token cho điện thoại di động đã đƣợc nhúng vào trong máy cầm tay. Sử dụng bản ghi seed của RSA SecurID Token để kích hoạt thẻ xác thực mềm trên máy cầm tay.

e/. Thanh công cụ RSA SecurID (RSA SecurID Toolbar)

Là giải pháp lý tƣởng cho các công ty phải tiếp xúc trực tiếp với khách hàng và các doanh nghiệp tìm kiếm truy cập an toàn tới các tài nguyên web cho khách hàng, nhân viên và đối tác của doanh nghiệp mình.

Tính năng:

- Định dạng thanh công cụ trình duyệt thân thiện.

- Cung cấp xác thực hai yếu tố mạnh cho các ứng dụng trên cơ sở web.

- Dễ dàng download và cài đặt.

- Phát hiện gian lận bằng các mật khẩu dùng một.

- Hỗ trợ lên tới 20 thẻ với một thanh công cụ.

- Tính năng tự động đƣa ra mã thông báo.

Phiên bản hiện thời: RSA SecurID Toolbar 1.4.1.

f/. RSA SecurID Token cho hệ điều hành Symbian

Tính năng:

- Xác thực hai thành phần mạnh cho các dịch vụ đã đƣợc bảo vệ.

- Hỗ trợ các thiết bị hệ điều hành cho điện thoại di động Symbian từ các hãng Sonny Ericsson và Motorola.

- Cài đặt bản ghi seed đơn giản.

- Hỗ trợ các phiên bản quốc tế: tiếng Anh, Ý, Pháp, Đức và Italy.

- Hỗ trợ ứng dụng gia dấu Symbian Signed và thủ tục xác minh. Phiên bản hiện thời: RSA SecurID Token 2.20 cho Symbian.

2.3.3. Phần mềm xác thực (RSA Authentication Agent)

2.4.3.1. Khái niệm

Là phần mềm đƣợc cài lên trên các điểm truy cập vào mạng (Ví dụ: gateway, VPN, máy chủ truy cập từ xa,...), các máy chủ và các tài nguyên thông tin cần đƣợc bảo vệ của doanh nghiệp. Thực hiện chức năng giống nhƣ một cổng an toàn, thi hành các chính sách bảo mật nhƣ đƣợc thiết lập trong hệ thống. Khi có yêu cầu đăng nhập của ngƣời sử dụng gửi đến, nó sẽ tiếp nhận và chuyển những thông tin đăng nhập tới máy chủ có thành phần RSA Authentication Manager để thực hiện xác thực.

Có hai loại RSA Authentication Agent:

- Agent không có giới hạn: các Agent không có giới hạn có thể đƣợc truy cập bởi tất cả những ngƣời dùng đã đƣợc đăng ký trong cùng khu vực với agent. Những ngƣời dùng đã đăng ký là những ngƣời dùng đƣợc biết tới agent. Nếu có nhiều tài nguyên định danh tƣơng ứng với vị trí đó, những ngƣời dùng trong các tài nguyên này có thể truy cập agent không giới hạn. Một tài nguyên định danh là một nơi lƣu trữ dữ liệu có chứa dữ liệu về ngƣời dùng và nhóm ngƣời dùng.

- Agent có giới hạn: Agent có giới hạn chỉ có thể đƣợc truy cập bởi những ngƣời dùng thuộc về nhóm tƣơng ứng với agent giới hạn. Các tài nguyên đƣợc bảo vệ bởi các agent giới hạn đƣợc xem là bảo mật hơn là việc cho phép bất kỳ ngƣời dùng nào truy cập tới trong tài nguyên định danh, chỉ một lƣợng nhỏ ngƣời dùng đƣợc phép truy cập.

Đƣợc kết hợp với thẻ xác thực RSA SecurID và máy chủ xác thực RSA Authentication Manager, RSA Authentication Agent phát hiện tài sản dữ liệu nhạy cảm lƣu trữ trong mỗi doanh nghiệp. Mạnh hơn các mật khẩu tĩnh, các Agent yêu cầu xác thực hai thành phần trƣớc khi gán quyền truy cập

Công nghệ Authentication Agent đƣợc xây dựng trong các thiết bị mạng hàng đầu cũng nhƣ các hệ thống phần mềm. Thêm vào đó, RSA đƣa ra phần mềm Agent để cung cấp phƣơng thức xác thực mạnh cho các web server nhƣ Microsoft IIS, Apache, SunONE và giúp phát hiện các môi trƣờng UNIX.

Hầu hết các sản phẩm router, remote access server, firewall, VPN, wireless access,... của các hãng sản xuất hàng đầu trên thế giới đều đã tích hợp sẵn thành phần này trong các sản phẩm của mình. Đây là một lợi ích vô cùng quan trọng cho giải pháp RSA SecurID.

2.3.3.2. Tính năng

- Bảo vệ Windows NT/2000, Lotus Domino, Netscape, OS/390, AS/400, NetWare, UNIX và các tài nguyên của hệ điều hành đa ngƣời dùng VMS.

- Tạo điều kiện thuận lợi cho thƣơng mại điện tử bằng các truy cập hợp pháp đến tài sản thông tin của doanh nghiệp.

- Bảo vệ nhiều tài nguyên cùng với một thẻ xác thực RSA SecurID.

- Tích hợp với các hệ thống đang tồn tại.

- Đảm bảo trách nhiệm giải trình ngƣời dùng.

2.3.3.3. Hoạt động chính của phần mềm xác thực

- Kiểm soát mọi truy nhập.

- Xác định xem tài nguyên có đƣợc bảo vệ bởi SecurID hay không. Nếu có thì tiếp tục nếu không thì bỏ qua hoặc thực hiện một hành động trả về tuỳ biến trên agent.

- Xác định tên truy nhập để xác định mã xác thực của nó.

- Kiểm tra tên đăng nhập đó để tránh tấn công.

- Yêu cầu PASSCODE từ ngƣời dùng gồm PIN và mã xác thực.

- Kết hợp PASSCODE với dữ liệu chỉ Agent và Server của nó biết và chuyển về Server để chứng thực. Nếu đƣợc xác nhận, Agent sẽ cho phép truy cập vào tài nguyên và thực hiện một hành động đƣợc lập trình nào đó. Nếu không, Agent sẽ không cho phép truy cập và cũng thực hiện các hành động tuỳ chọn.

Ngoài ra Agent còn chịu trách nhiệm thực hiện một số nhiệm vụ phụ khác phục vụ cho quá trình chứng thực.

a/. Các cổng bảo mật cho các tài nguyên được bảo vệ

RSA Authentication Agent có chức năng giống nhƣ một cổng bảo mật, thi hành chính sách bảo mật nhƣ đƣợc thiết lập bên trong hệ thống RSA Authentication Manager.

RSA Authentication Agent chặn các yêu cầu truy cập và đòi hỏi những ngƣời dùng hoặc nhóm ngƣời dùng đã đƣợc chỉ đinh (là cục bộ hay điều khiển từ xa) - để xác thực đến RSA Authentication Manager bằng một thẻ xác thực RSA SecurID trƣớc khi gán quyền truy cập đến các tài nguyên đƣợc bảo vệ.

Có hiệu quả đặc biệt đối với việc bảo vệ thông tin có giá trị cao hoặc đã đƣợc quy định (mà các mật khẩu là một dạng xác thực ngƣời dùng không đủ), RSA Authentication Agent cung cấp khả năng giải trình ngƣời dùng hoàn chỉnh và là một phƣơng thức thực thi tất nhiên cho các công nghệ PKI. Thêm vào đó, RSA Authentication Agent đƣợc nhúng vào trong hầu hết các VPN, RAS và các sản phẩm firewall sẵn có ngày nay.

b/. Bảo mật các ứng dụng Web

Extranet đã trở thành thành phần chủ yếu của thƣơng mại điện tử, cho phép giao tiếp giữa các khách hàng, đối tác và nhà cung cấp. Kể cả ngƣời dùng có cần đảm bảo Microsoft IIS, Domino hay Netscape Web servers, RSA Authentication Agent sẽ bảo vệ các ứng dụng Web khỏi các quyền truy cập bất hợp pháp. Mặt khác, bởi vì giải pháp của RSA SecurID đƣợc thiết kế để làm việc với phƣơng thức mã hóa của giao thức Web SSL, các tổ chức có thể đƣợc bảo đảm rằng thông tin là an toàn khi nó đƣợc truyền qua mạng.

 Cung cấp ủy quyền cho ngƣời dùng di động truy cập các mạng intranet và extranet.

 Không yêu cầu cài đặt phần mềm lên máy tính của ngƣời dùng.

 Có khả năng đảm bảo các hệ thống phụ thông qua các Web server.

 Đảm bảo tính riêng tƣ của thông tin truyền bằng giao thức SSL.

2.3.4. Máy chủ xác thực (RSA Authentication Manager)

2.3.4.1. Khái niệm

RSA Authentication Manager là thành phần quản trị của giải pháp RSA SecurID, đƣợc sử dụng để kiểm tra các yêu cầu xác thực và quản trị tập trung chính sách xác thực trên toàn mạng doanh nghiệp.

RSA Authentication Manager có thể đƣợc mở rộng theo bất cứ nhu cầu nào của doanh nghiệp. RSA Authentication Manager có khả năng xác thực đƣợc hàng triệu ngƣời dùng, xác thực ngƣời dùng trong mạng cục bộ, ngƣời dùng truy cập từ xa, ngƣời dùng qua VPN,... RSA Authentication Manager tƣơng thích hoàn toàn với các thiết bị mạng, RAS, VPN, Access Point,... của tất cả các hãng sản xuất lớn trên thế giới. Do vậy, với giải pháp RSA SecurID, ngƣời dùng hoàn toàn không phải lo lắng tới vấn đề tƣơng thích.

2.3.4.2. Tính năng

- Máy chủ bảo mật cho hơn bảy triệu ngƣời dùng cuối trên khắp thế giới.

- Có khả năng tích hợp với hơn 150 sản phẩm và các ứng dụng của hơn 75 hãng.

- RSA Authentication Manager hỗ trợ hàng trăm nghìn ngƣời dùng trên một máy chủ.

- Tối đa tính mềm dẻo trong quản lý và điều khiển.

- Tƣơng thích với các chuẩn xác thực hàng đầu khác.

- Bộ dụng cụ cho phép các ứng dụng tuỳ chỉnh.

2.3.4.3. Chức năng chính của RSA Authentication Manager

a/.Hệ thống xác thực người dùng hai yếu tố RSA SecurID

Bộ sản phẩm xác thực ngƣời dùng RSA SecurID cung cấp phƣơng thức thực thi độc quyền, tiên tiến, dễ dàng sử dụng. Hệ thống hoàn chỉnh gồm ba thành phần: các thẻ xác thực RSA SecurID dễ dàng sử dụng, đƣợc phân phối đến tay ngƣời dùng cuối, máy chủ quản lý bảo mật RSA Authentication Manager và phần mềm RSA Authentication Agent để bảo vệ các tài nguyên thông tin đặc biệt trên mạng.

b/. Thao tác với các hệ ứng dụng

RSA Authentication Manager có khả năng tƣơng tác với hầu hết các thiết bị mạng sẵn có, cung cấp cho các tổ chức bằng cách tối đa tính linh hoạt và bảo vệ vốn đầu tƣ. Nhờ chƣơng trình RSA SecurID Ready, các hãng dẫn đầu các sản phẩm truy cập từ xa, các Internet firewall, hệ điều hành mạng và phần mềm ứng dụng gắn khả năng tƣơng thích vào các sản phẩm của họ.

c/. Thiết kế khả năng thực thi cao

RSA Authentication Manager đƣợc xây dựng trên kiến trúc doanh nghiệp đa xử lý, khả năng điều khiển hàng trăm nghìn ngƣời sử dụng trên một máy chủ và số lƣợng lớn các xác thực đồng thời. Ngày nay, RSA Authentication Manager đƣợc triển khai với hơn 10,000 lắp đặt trên khắp thế giới - phạm vi từ các khách hàng tiêu thụ nhỏ lẻ đến nhà băng, chính phủ, nhà máy, công nghệ cao, các ứng dụng y tế, …

d/. Tính năng quản lý và điều khiển

RSA Authentication Manager đƣa ra một mức linh hoạt trong quản lý và điều khiển cao hơn bất cứ sản phẩm máy chủ xác thực nào khác trên thị trƣờng ngày nay.

 Nó có thể đƣợc quản lý trực tiếp từ bàn giao tiếp ngƣời máy của máy chủ hoặc từ xa bằng giao diện Windows.

 Với tính đa dạng của các thẻ xác thực RSA SecurID có thể đƣợc quản lý từ cùng một bàn giao tiếp giao tiếp ngƣời máy của máy chủ.

 Các mật khẩu tạm có thể đƣợc cung cấp cho những ngƣời dùng đánh mất thẻ.

e/. Định nghĩa phân cấp người dùng

Sắp xếp hợp lý quy trình quản lý ngƣời dùng bằng cách định nghĩa phân cấp ngƣời dùng, bao gồm các nhóm, các vị trí và lĩnh vực, cùng với việc ứng dụng các nguyên tắc xác thực đến toàn thể nhóm. Ngƣời dùng cũng có thể hạn chế thời gian đăng nhập của bất kỳ nhóm để điều khiển khi những ngƣời dùng có truy cập

2.4. CƠ CHẾ XÁC THỰC CỦA CÔNG NGHỆ RSA SECURID 2.4.1. Mô hình xác thực 2.4.1. Mô hình xác thực

Cơ chế xác thực RSA SecurID cung cấp xác thực ngƣời dùng dựa vào hai thành phần theo mô hình ba thực thể sau: Một ngƣời dùng đƣợc cấp một SecurID token, một application server mà ngƣời dùng muốn kết nối và một server xác thực có khả năng xác thực ngƣời dùng và một số định danh cá nhân đƣợc gọi là PIN. Cả ngƣời dùng và server xác thực đều biết số PIN này. Seed bí mật đƣợc lƣu trong thẻ token mà ngƣời dùng có cũng nhƣ trên máy chủ xác thực.

Cơ chế này dựa trên việc sử dụng một khóa bí mật chia sẻ hay một bản ghi seed.

Một phần của tài liệu (LUẬN VĂN THẠC SĨ) Nghiên cứu xây dựng hệ thống đảm bảo an toàn truyền tin trên mạng Vinaphone (Trang 40 - 49)

Tải bản đầy đủ (PDF)

(91 trang)