非常高兴有这个机会和大家一起探讨RSA的身份认证解决方案。我介绍的内容主要有几个方面,第一我会简单介绍一下目前国际上互联网身份认证的概况。然后介绍一下RSA公司的基本情况。另外我会重点介绍一下RSA在身份认证这个领域的技术。还有消费者认证的总体方案。
目前在全球来讲,咱们经常可以在报纸上看到,有很多的网上欺诈或者是由于身份的盗用造成很大的损失。现在在国内也是一样,比如说在金融、电信等行业上,目前都有这样的情况,就是身份的冒用,然后盗用别人的身份做非法的事情,造成很大的经济损失。我们大家都知道在互联网上,到底是谁来做网上的业务我们是很难确认的。那么以前各个银行都是用专线的方式,或者是在全国用专线联起来,自己在一个大的网里面,实际上跟局域网没有太大的区别。这样首先来讲可以把用户锁定在单位的内部,再一个来讲就是和互联网没有连接,这样原来安全的要求就没有这么高。现在随着互联网的发展,很多业务都需要在网上做。那么现在网上很多业务在做的时候很多人就没有信心。我怎么样确保我做交易的时候信息不会盗用,我的资金是安全的。
其实我们在工作中有很多的苦恼,第一个方面就是咱们的密码不安全。第二个方面就是咱们现在的应用系统越来越多,咱们手里面掌握的静态密码越来越多,每个人手里都有10几个密码,那么对这些密码的管理就需要有一个好的办法。所以身份认证本身在整个的电子安全当中是非常重要的,也是非常基础的课题。
RSA是一个非常老牌的信息安全公司。在75年的时候,三个以色列科学家成立了RSA算法,这个算法在82年的时候应用在商业上,到现在已经有20多年。94年的时候在美国纳斯达克上市,现在可以帮助客户提供非常完整的信息解决方案。在身份认证这个市场,RSA每年几乎都保持了70%以上的市场份额。
其实咱们在生活当中经常接触RSA,只是咱们没有注意而已。比如说咱们打开电脑里面的IE浏览器。那么IE浏览器的说明里面就有一太包含的安全软件来自RSA公司。那么RSA在信息安全领域有几个方面比较重要的机构,第一个就是RSA的全球信息安全大会。今年的10月份会在国内首次召开信息安全大会。这个信息安全大会把全球的做信息安全的公司都召集到一起,一起来制订将来信息安全发展的方向,保证我们的竞争对手也会坐到一起来制订将来的信息安全的发展方向。
第二个就是RSA的实验室,也是信息安全方面非常著名的实验室。第三个就是RSA信息安全出版社。现在书店里很多书都是和RSA有关的。那么RSA的ID卡全球有1900万人在使用。我们和很多的公司都有非常良好的合作关系,比如说像IBM、惠普、思科、北电等等,很多的公司都和RSA有良好的合作关系。以至于他们的很多产品里面当中都内嵌了RSA的软件。国内的华为和RSA是战略合作伙伴关系,其他的很多公司也是慢慢的和RSA都有非常良好的合作关系。因为咱们都知道国家要求咱们国内的公司要走上国际,有很多的公司要走上国际一般在安全这块都会考虑和RSA合作,这样他们的产品就会在国际上更好的销售。
现在RSA的客户群很大了,在国际百强里面已经有90%的企业都是RSA的客户。在国内很多的银行都是RSA的客户。包括移动总部、联通、网通都是RSA的客户。
RSA的解决方案主要是在几个层面,第一个层面就是我们以前一直在做的安全的移动和远程访问。这个是考虑到咱们的企业内部,包括各行各业内部的人员在出差或者是在家里面的时候,怎么样通过一个安全的方式,能够进入到单位的内部,去访问一些内部的重要信息。怎么样确认他是一个合法的身份,这是一个解决方案。第二个解决方案就是考虑多比如说企业内部的局域网环境,每个人可能都固定到自己的座位上。这些人员怎么样以一个合法的身份进到咱们的局域网服务器里面去访问重要的资料。或者是通过网上邻居去访问其他的客户机的资料,这个是第二个方面的解决方案。
第三个方面就是消费者身份保护。现在网上业务蒸蒸日上。越来越多的网上业务怎么样保证消费者的身份,怎么样保证消费者提高使用网上业务的信心,这个也是RSA提供解决方案的方面。还有一个就是身份和访问管理,这个也是在安全方面很重要的。我们都知道RSA把信息安全分成十大方面,其中访问控制也是非常重要的一个层面。现在特别是在银行和电信这两个行业,他们走的更前面,都在考虑身份的统一管理。因为业务系统越来越多,人员越来越多,这样怎么样能保证身份的统一。还有就是身份认证以后,有什么样的权限去做什么样的事情,怎么样来统一划分客户的身份,这是访问控制的关键。还有一个方面就是安全的数据交换,这块主要是通过PKI的技术帮助客户来解决安全的数据交换。目前来讲RSA由于中国限制的原因,RSA数字证书目前的产品在国内是不能销售的。
实际上RSA除了我列的几个解决方案之外,还有单点登陆的解决方案。包括网络层、系统层各个层次的解决方案,还有就是更细到更多层面的。比如说基于风险管理的,基于用户端的身份认证的方式。
RSA在全球是1900多万用户。我去美国出差的时候,有的时候在机场就会看到有人通过无线上网,收发邮件。这时候他会把RSA的令牌拿出来验证身份。这个用户量全球是8000多万。那么最早使用RSA的动态口令来做网上业务的是AOL,AOL是作为对客户的一种更好的服务方式,保证他在AOL上面的用户身份的合法性。
那么易趣是非常有名的一个金融服务网站,他们就采用了RSA的口令来做用户的资金保护。这样易趣的用户就更有信心使用网上业务。
韩国电信使用的是一种在三星手机上内置RSA的口令在里面做用户的身份认证。现在RSA有基于JAVA手机的认证,这样的好处就是你可以不用携带动态令牌卡,第二成本也可以降低。
前面我就简单介绍一下RSA的情况。后面我会介绍一下RSA的身份认证技术。实际上身份认证平时用得最多的是静态口令的认证。这个认证是最弱的身份认证。其次就是软件证书,比软件证书认证强度更强的就是手机短信方式。那么有人会说手机短信这种方式还不够安全,那么就可以考虑,比如说你的掌上电脑的软件令牌方式。现在在国内用的比较多的就是硬件令牌的方式,硬件令牌客户端不需要装任何东西,不会因为客户端有问题造成对业务的影响。而且硬件令牌因为和其他的系统没有连接,这样安全度也是非常高的。如果说有这种动态口令的方式,再加上生物技术的方式,这种安全强度就更高了。一般像情报部门或者是军队里面会考虑到这种多因素的身份验证的方式。
所以说RSA可以根据客户不同的需要来提供不同的令牌选择。同一个用户里面也可以区分开每一个人有什么样的特性,这些人采用什么样的认证方式。RSA在认证市场上面目前是占70%多的市场份额,目前有1900多万人在使用。
RSA的令牌从技术上说上面是一个动态显示的动态码,里面有一个IC算法,生成80位的动态码,然后显示出6位验证码,这样安全度就非常高了。当客户使用动态密码的时候是先用当前这一分钟的动态码,然后系统会提示你建立一个静态密码。然后再要进入系统就要输入动态和静态的双密码,如果有一个不对就进入不了系统。然后有一个后台认证器,这样里面有相同的时间和算法,算出相同的数。RSA是通过一种时间同步的技术,来保证这两个方面的同步。
在认证的时候,用户在客户端输入用户名和双因素口令,去访问被代理软件保护的系统,这个系统上面的代理软件会接用户名和双因素口令信息,然后交到后台认证服务器验证,通过验证用户才可以访问系统。
RSA提供丰富的认证令牌。包括硬件令牌、软件令牌、智能卡令牌、USB令牌等等。通过这些方式可以和你的业务系统结合起来,来做网上业务。今年一月份我去美国开会的时候,看到的一款还没有上市的令牌,就是在我们信用卡右上角显示的动态密码的令牌。
RSA对于硬件令牌来说对于工艺水平要求是非常高的,比如说在防水、防静电、防震这些方面都有考虑。特别是我们北方地区一般都比较干燥,这样对于静电的要求是非常高的。这样RSA的工艺水平就可以让返修率非常低,这也是客户在选择认证产品方面一个考虑非常大的方面。
那么SecurID可以在各个层面用动态口令保护,现在我们已经有大量的客户在这样用。后面对于消费者的保护,现在很多人都是用一刀切的安全策略。比如说一个小孩去机场,你要对他做安检,这样会让他感到很繁碎。现在我怎么样根据风险的强弱,可以根据不同的用户来定义不同的认证安全策略。所以RSA在去年下半年收购了一个公司,这个公司是专门做网上防欺诈的,在欧美有很多的银行都是用他们的解决方案。这个解决方案不是传统的令牌认证方式,而是通过基于风险的认证方式,和基于用户分段的认证方式。那么这种认证方式可以支持传统的硬件令牌和软件令牌的方式,同时还有增加一些私密的问题,或者是电话回拨这些认证方式。比如说你的网上业务,根据你业务的客户群不一样,他对于安全的要求也不一样,可以来分不同的认证方式。所以消费者身份保护有两类,一类是叫做被动响应式,可是客户需要要提供令牌的方式来做身份的认证。主动的响应就是我在后台就设置好了,根据你风险的高低来区分提供什么样的安全服务。所以我们可以根据这种不同的情况,来区分开。比如说这里有1%的用户是高风险,而且是VIP的用户,这些用户他就可以考虑用一次性密码,或者是动态口令,或者是提一些只有他自己知道的问题来进行身份验证。大部分对于风险比较低的业务,可能只是需要用简单的一些认证方式来做就可以了。用户也可以按照预定义的方式来进行分组。
RSA的目标就是为客户提供无处不在的安全。谢谢大家。
