方案1:短信認證
該VPN的雙因子認證技術是基於短消息發送動態密碼的方式,IT管理員會為每個VPN用戶綁定其手機號。
短信密碼通過短信方式將包含隨機密碼的文本發送至用戶手機上,通常用戶會隨身攜帶手機,無需攜帶額外硬件,無需安裝軟件,因此它是安全與便捷緊密結合的雙因子認證解決方案。
1.1 認證流程
VPN結合DKEY短信密碼認證,通常 VPN帳號是托管在AD/LDAP中,在完成域帳號認證之後,認證服務器會隨機生成壹個壹次性密碼並通過短信網關發送到用戶手機上,用戶輸入至二級認證框並提交驗證後才能完成認證;
這是域賬戶和動態密碼的雙重認證,因而能夠很有效的保證賬戶信息的安全性。
用戶登錄認證的流程如下:
1. 用戶在網絡接入設備 VPN(撥號客戶端or Web)提供的登錄頁面中輸入用戶的帳號口令;
在PC上通過Web訪問的截圖如下:
2. VPN通過radius協議將帳號和加密後的口令提交給radius動態短信認證系統進行認證,通過再通知VPN彈出二級認證頁面,並觸發短信至用戶手機上;
在PC上通過Web訪問的截圖如下:
3. 用戶收到動態口令短信之後在提供的進壹步輸入動態口令的頁面中輸入動態密碼,並提交後,再通過radius協議將動態密碼傳輸給radius系統做進壹步認證。
1.2 優缺點分析
優勢:
(1) 無需攜帶額外設備
(2) 安全便捷
(3) 管理成本低
(4) 適合登陸頻度不高的用戶移動辦公
(5) 實現基於手機審計
(6) 永久使用,節省認證終端更換成本
劣勢:
(1) 短信可能出現延時或丟失
(2) 手機欠費、無手機信號(如國外出差),則無法正常使用
方案2:動態令牌
該VPN的雙因子認證技術是基於硬件令牌方式,IT管理員會為每個VPN用戶分配分發壹枚令牌,VPN用戶登錄時輸入靜態密碼+令牌上顯示的6位隨即數字,即可完成登錄,是目前最為常用的強身份認證方案。
動態令牌是壹種硬件形式動態密碼生成器,主流是基於時間型,其每隔60秒變化壹個密碼,密碼壹次性使用有效,另外由於密碼生成及使用與用戶終端無關,用戶采用筆記本、智能機、平板都可以方便使用動態密碼認證。
它最大優點在於認證響應度高,密碼產生物理隔離,然而采用此種方式用戶需攜帶額外硬件設備,移動辦公用戶可能由於忘記攜帶或者丟失導致無法認證情形。
2.1 認證流程
可采用兩種方式:
(1) 同上,短信認證流程。
(2) 采取密碼+動態密碼組合方式,壹級認證。
2.2 優缺點分析
優勢:
(1) 使用便捷
(2) 高安全
(3) 業務響應度高
(4) 認證高可靠性
(5) 適合登陸頻度較高的用戶
劣勢:
(1) 令牌生命周期,3年需更換
(2) 有物流及發放管理,因此管理成本較高
方案3:短信密碼 + 動態令牌混合認證
該VPN的雙因子認證技術是基於硬件令牌、短信密碼混合認證方式,兼顧兩種認證手段的特點,可以實現壹個VPN用戶同時綁定短信和令牌兩種認證手段,易可實現分別為VPN用戶分配短信密碼和令牌其中壹種方式,滿足不同用戶的雙因子認證需求。
更多VPN強項采用此種方式,實現雙因子認證。
3.1 認證流程
同短信認證。
3.2 優缺點分析
優勢:
(1) 結合短信密碼和動態令牌的兩種優點
(2) 高可靠性
(3) 根據用戶使用場景,選擇相應的認證手段
劣勢:
(1)管理員需管理兩種認證終端