VPN選擇合適的動態密碼雙因素認證方案
北京中科恆倫科技有限公司CKEY動態密碼認證是雙因子認證的一種方式,VPN用戶增加動態密碼認證,藉助此方案可以提升VPN遠程撥入安全,加強登陸用戶審計。
CKEY為VPN提供簡訊密碼、硬體令牌、軟體令牌、簡訊密碼+硬體令牌混合四種雙因素認證方案,相比傳統VPN採用硬體令牌或USB KEY方式在便攜性及用戶體驗都有其瑕疵,該方案可滿足不同類型企業對於安全性、便捷性、可管理性、成本多種考慮,廣泛被政府、運營商、金融、製造業、內外資企業等不同領域所採納。
與傳統方式相比,北京中科恆倫科技有限公司提出四種VPN結合動態密碼雙因子認證建議解決方案,供選型參考。
描述:
? 通過在 VPN配置第三方認證(RADIUS),指向CKEY動態密碼認證伺服器(內置RADIUS SERVER),用戶通過VPN撥入進行帳號+密碼認證,通過之後獲取動態密碼(令牌產生/簡訊接收),進行二次驗證,通過之後即放行。
方案1:簡訊認證
該VPN的雙因子認證技術是基於短消息發送動態密碼的方式,IT管理員會為每個VPN用戶綁定其手機號。
簡訊密碼通過簡訊方式將包含隨機密碼的文本發送至用戶手機上,通常用戶會隨身攜帶手機,無需攜帶額外硬體,無需安裝軟體,因此它是安全與便捷緊密結合的雙因子認證解決方案。
1.1 認證流程
VPN結合CKEY簡訊密碼認證,通常 VPN帳號是託管在AD/LDAP中,在完成域帳號認證之後,認證伺服器會隨機生成一個一次性密碼並通過簡訊網關發送到用戶手機上,用戶輸入至二級認證框並提交驗證後才能完成認證;
這是域賬戶和動態密碼的雙重認證,因而能夠很有效的保證賬戶信息的安全性。
用戶登錄認證的流程如下:
1. 用戶在網路接入設備 VPN(撥號客戶端or Web)提供的登錄頁面中輸入用戶的帳號口令;
2. VPN通過radius協議將帳號和加密後的口令提交給radius動態簡訊認證系統進行認證,通過再通知VPN彈出二級認證頁面,並觸發簡訊至用戶手機上;
3. 用戶收到動態口令簡訊之後在提供的進一步輸入動態口令的頁面中輸入動態密碼,並提交後,再通過radius協議將動態密碼傳輸給radius系統做進一步認證。
1.2 優缺點分析
優勢:
(1) 無需攜帶額外設備
(2) 安全便捷
(3) 管理成本低
(4) 適合登陸頻度不高的用戶移動辦公
(5) 實現基於手機審計
(6) 永久使用,節省認證終端更換成本
劣勢:
(1) 簡訊可能出現延時或丟失
(2) 手機欠費、無手機信號(如國外出差),則無法正常使用
方案2:動態令牌
該VPN的雙因子認證技術是基於硬體令牌方式,IT管理員會為每個VPN用戶分配分發一枚令牌,VPN用戶登錄時輸入靜態密碼+令牌上顯示的6位隨即數字,即可完成登錄,是目前最為常用的強身份認證方案。
動態令牌是一種硬體形式動態密碼生成器,主流是基於時間型,其每隔60秒變化一個密碼,密碼一次性使用有效,另外由於密碼生成及使用與用戶終端無關,用戶採用筆記本、智能機、平板都可以方便使用動態密碼認證。
它最大優點在於認證響應度高,密碼產生物理隔離,然而採用此種方式用戶需攜帶額外硬體設備,移動辦公用戶可能由於忘記攜帶或者丟失導致無法認證情形。
2.1 認證流程
可採用兩種方式:
(1) 同上,簡訊認證流程。
(2) 採取密碼+動態密碼組合方式,一級認證。
2.2 優缺點分析
優勢:
(1) 使用便捷
(2) 高安全
(3) 業務響應度高
(4) 認證高可靠性
(5) 適合登陸頻度較高的用戶
劣勢:
(1) 令牌生命周期,3年需更換
(2) 有物流及發放管理,因此管理成本較高
方案3:簡訊密碼 + 動態令牌混合認證
該VPN的雙因子認證技術是基於硬體令牌、簡訊密碼混合認證方式,兼顧兩種認證手段的特點,可以實現一個VPN用戶同時綁定簡訊和令牌兩種認證手段,易可實現分別為VPN用戶分配簡訊密碼和令牌其中一種方式,滿足不同用戶的雙因子認證需求。
3.1 認證流程
同簡訊認證。
3.2 優缺點分析
優勢:
(1) 結合簡訊密碼和動態令牌的兩種優點
(2) 高可靠性
(3) 根據用戶使用場景,選擇相應的認證手段
劣勢:
(1)管理員需管理兩種認證終端。
方案4:手機app軟體令牌認證
該VPN的雙因子認證技術是基於手機app軟體令牌認證方式,CKEY手機令牌是安裝在智能手機的動態密碼生成軟體,其每隔30秒產生一個隨機密碼,且一次使用有效,功能等同於傳統硬體令牌,其突破了硬體令牌的3年期壽命顯示,可以安裝在iOS、Andriod、Windows Phone7平台上。
由於手機令牌動態密碼產生及使用過程中無需手機聯網、無需攜帶額外認證設備,越來越多企業嘗試採用這種安全、便捷的強認證技術。
3.1 認證流程
同硬體令牌、簡訊認證。
3.2 優缺點分析
優勢:
(1) 直接安裝在智能手機終端設備上;結合簡訊密碼和動態令牌的兩種優點
(2) 高可靠性
(3) 使用過程中無需手機聯網、無需攜帶額外認證設備
?r?o??`?F??r
推薦閱讀:
※網路安全等級保護雲計算安全防護技術體系設計
※web安全live第一期:web安全-XSS攻擊防範
※160天入門web安全
※黑客無處不在:美國軍用收割者無人機文件在暗網泄露
※信息安全的核心:CIA三元組 | 安全千字文系列1
TAG:網路安全 |