终于遇到传说中的RSA securid动态加密了，加密的3389，在登录的时候是随机产生密码的，汗。。。。
对方将所有的管理员登录敏感数据的操作都放在只对rsa加密的终端服务器跳板之后。
控制了管理员机器，但管理员的操作都是3389登录到rsa加密的跳板机上的，动态密码每一分钟变一次，记录也没用，很强的，思索中。。。。。
在网上找了一个这个第三方加密软件的资料，很强。
securID动态令牌可以用于任何一种支持动态口令认证的系统。不光是登录VPN的时候用。
需要一台认证服务器，可以装cisco的ACS server搭建radius认证服务器，然后安装RSA securid的管理客户端，也就是插件到这台ACS服务器上，然后把需要才用动态口令认证的用户或用户组选择认证方式为RSA securid，其他的ACS服务器设置没啥特别的，认证服务器这头的设计就基本完成了。
然后需要另外一台服务器安装RSA securid的管理软件，这台服务器需要和ACS server有良好的通讯，需要设置安全认证互访。这台RSA管理服务器的作用主要是对一块块小的电子令牌做初始化同步的时候使用的。
令牌和认证服务器和管理服务器完全没有物理联系，令牌中的数字每分钟的变化其实是个伪随机算法，根据每个令牌背后的序列号作为运算的一个参数进行每分钟的跳动的。初始化的时候，需要拿着令牌设置管理服务器上的管理软件，需要输入令牌的序列号，然后输入令牌上显示的6位数字，过一分钟再输入一次，这样服务器就完成了和令牌的“时间”同步。也就是服务器知道了这个号码的令牌每一分钟变化的规律了。加上4位PIN是为了降低令牌本身被偷盗后造成的风险。

至于认证的时候，用户登录启用动态认证的系统，会要求输入个人的4位PIN码加上令牌当前显示的6位数字。然后应用系统会根据系统的设置才用LDAP或者RADIUS等方式去询问ACS认证服务器进行授权，那ACS服务器看到这个请求，自然根据ACS中的设置再去询问RSA管理服务器是否正确，全都OK就认证通过。

由于时间不可能完全对准，所以，基本上认证的时候前后差1分钟显示的3个数字都会被接受。