目录
1.移动接入身份认证技术
1.1需求背景
用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终端用户接入内网的身份安全性,同时尽可能保障用户使用体验?
在上篇博客中写到移动接入身份认证主要由以下八种认证方式与或组合使用来实现其功能。
身份认证技术
主要认证方式必须选择一种,辅助认证可以选择,也可以不选择
公有用户可以允许同时多个终端设备登录
私有用户只允许一个终端在线
对于深信服的SSL VPN 身份认证方式
SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种 辅助认证的方式
如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一 种主要认证方式即可。
1.2 SSL的用户 和用户组
用户
登录SSL VPN的账号,分为公有用户和私有用户。 私有用户只能同时一人登录,公有用户允许多人同时登录。
用户组
由“用户”组成,每个“用户”必须属于唯一的“用户组”。 root根组和默认用户组无法删除
2. 移动接入身份认证技术
2.1 本地帐户认证技术
根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证:
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统
用户组:是用户集合,每个用户归属于唯一的用户组
账户类型:私有用户、公有用户
私有用户:只允许一个终端登录在线
公有用户:可允许多个终端登录 同时在线
2.1.1 配置步骤
(1) 在设备本地创建用户账户信息,用于终端用户接入认证
(2) 本地账户用于终端用户接入身份认证
(3) 终端用户使用账户密码身份识别后通过认证
2.2 数字证书认证技术
2.2.1 数字证书认证技术原理
数字证书: 一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
2.2.2 数字证书认证应用过程
(1)安装CA签发的用户证书,安装后使用证书登陆
(2) 深信服登录界面进行选择证书登录
(3)查看是否成功登录
2.3 LDAP 技术
2.3.1 LDAP技术原理
LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。
在LDAP中,目录是按照树型结构组织,目录由条目组成,条目相当于关系数据库中表的记录;
条目是具有区别名DN(Distinguished Name)的属性( Attribute)集合。
可以这样理解,LDAP在认证场景中,它是存储了用户账户信息数据库的一个账户系统,可以通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。
LDAP是一种开放标准,LDAP协议是跨平台的Interent协议
常见的LDAP系统有:
MS-LDAP:Active Directory(常称为“AD域”)
Open LDAP
Other LDAP
MS-LDAP:Active Directory
(1)与LDAP对接实现LDAP外部认证
下图为深信服SSL VPN 设备配置界面
(2) 登录系统后的界面
(3)查看登录成功后
可以看到后边显示为外部认证
2.3.2 LDAP外部认证过程原理图
1.LDAP用户把用户名和密码提交给SSL VPN设备
2.SSL VPN设备把用户名和密码提交给LDAP服务器进行验证
3.LDAP服务器在本地进行验证,并把结果返回给用SSL VPN设备
4.SSL VPN设备把结果返回给用户
2.4 硬件特征码认证技术
通过硬件特征码认证技术可实现用户帐号和电脑硬件特征信息的绑定,某账号只能通过指定的电脑登录。即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法终端用户接入。确保了终端用户接入的安全性。
实现结果图
在用户登录认证中,硬件特征码认证属于辅助认证,必须结合主要认证使用
(1)深信服SSL VPN 设备登录验证界面
(2)特征码管理界面
可以查看到用户和绑定的硬件特征码
(3) 登录界面 查看用户的硬件特征码信息
3. 移动接入身份认证案例
3.1 短信认证案例
短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认 证服务器两部份。
终端用户在既有移动电话和PAD的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。
深信服支持与短信猫进行互动来进行短信认证。
3.2 动态令牌认证案例
动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构 成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用)。
由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证
3.3 综合案例
用户认证的方式不是越多越复杂越好,而是根据场景需求选择合适的认证方式。 例如:
公司出差员工:LDAP/数字证书+硬件特征码/短信认证
第三方人员:用户名密码+短信认证