行业建设背景
在企业信息安全建设过程中,身份认证一直备受关注,并且随着企业移动信息化的不断发展,企业传统的边界安全防护体系越来越显得捉襟见肘,在这种情况下,身份认证更加重要,在新的无边界网络里,构建以身份为中心的动态访问控制机制。除基本的用户名/密码认证方式外,绝大部分企业通常选择动态令牌方式组合形成双因素认证,以此增强身份认证安全性,随着技术的不断发展,目前软动态令牌逐渐替代了原有硬件令牌的形式。
动态令牌特点
动态令牌:当前最主流的是基于时间同步的硬件令牌,固定一段时间( 如60秒)变换一次动态口令,动态口令一次有效,产生随机多位(6位/8位)动态数字。
软令牌:一种客户端软件,基于时间同步方式,每隔固定吧一段时间(如60秒)产生一个随机动态密码,口令生成过程不产生通信及费用,具有使用简单、安全性高、低成本、无需携带额外设备、容易获取等优势。
场景需求分析
单一认证方式安全性较低,用户身份易被盗取或破解,需要采用双因素认证方式提高身份安全性
传统硬件动态令牌存在不易携带,易丢失,操作较复杂,成本高等问题,软令牌方式逐渐替代传统方式
企业信息化不断发展,业务系统逐渐增多,动态令牌需要与VPN对接,达到一次有效认证,即可访问内网业务系统的效果
铭冠网安决之道
深信服SSL VPN支持与目前主流的Google动态软令牌与基于Radius的动态软令牌对接,实现基础认证+动态软令牌的高安全性双因素认证方式,不仅帮助企业提升身份认证安全性,同时降低了企业的投入成本及运维成本,还可以实现完成一次有效认证,即可访问内网业务系统,提升用户体验,为企业创造价值最大化。
(一) Google动态软令牌实现
深信服VPN完美集成Google动态令牌算法,通过Google身份验证器APP或FreeOTP APP与VPN账户进行绑定,绑定后即可获取定时更新动态令牌码,用户只需在EasyConnect客户端中输入并验证动态令牌,若认证通过则可访问企业内网业务系统,若认证不通过,则为非法用户,禁止访问企业内网业务系统。
具体实现步骤如下:
- VPN管理员本地创建用户,辅助认证选择令牌认证;
- 新用户在VPN客户端第一次用户名密码登录成功后,输入OTP密钥,进行VPN用户绑定动态令牌码 ;
- 打开Google身份验证器APP或FreeOTP APP,扫描二维码与VPN用户绑定后,即可获取动态令牌码(定时更新,一次有效) ;
- 在VPN客户端输入动态令牌码进行验证
- 验证通过即可访问企业内网系统;
具体认证过程如下:
(二) 基于Radius的第三方动态软令牌实现
深信服SSL VPN与Radius完美结合,采用用户PIN码+动态令牌码构成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用),很好的解决了用户身份易被破解或窃取的问题,为用户的使用提供了极高的安全性保证。
详细认证过程如下:
PS:深信服目前支持与飞天诚信、宁盾、安盟等主流动态令牌厂商对接。
(三) 深信服自服务动态口令
深信服SSL VPN支持自服务动态口令方式,SSL VPN后端服务内可增加深信服动态口令模块,无需对接第三方动态令牌系统,同时终端用户可使用个人微信/企业微信公众号获取动态口令码,无需额外下载其他APP,在确保安全的同时,提供极致用户体验。
用户可获取的收益
高安全性的身份认证机制,确保用户接入身份合法性
摒弃传统硬件令牌,降低企业的投入成本及维护成本
为用户提供便捷、安全的用户使用体验
涉及的产品
SSL VPN
场景价值主张
安全至上,打造安全、灵活、易用的基础认证+动态软令牌认证体系
