移动接入的身份认证技术

那什么是移动接入呢？

移动接入说白了就是因为移动办公和远程办公已经成为了常态从而衍生出来的，它拓宽了组织网络的边界，让大家更加充分的利用互联网，让组织的信息化建设发挥出更大的价值，然后就有了移动接入这个概念和背景

用户远程到企业的内网，有多少种技术可以实现在复杂业务情况下，保障终端用户接入内网的身份安全性，同时也尽可能的保障用户的使用体验呢！

身份认证技术有六种固定的认证方式分别为：

本地用户名/密码；LDAP服务器；Radius服务器，CA认证；AD域单点登录；辅助验证

硬件特征码，动态令牌，短信验证，都为辅助验证

一般来说正常情况下，主认证至少需要一种，辅助验证不能单独使用，主验证可以单独使用

SSL身份验证

SSL VPN的用户必须使用一种主要的认证方式，也可以使用主要认证再结合多种辅助认证的方式。

如果设置了多种主要认证方式，可选择必须通过所有的主要认证或通过其中的一种主要认证即可

本地账户认证技术原理

根据终端用户认证的账户信息存储位置，可以将认证分为本地认证和外部认证

本地认证：

认证的账户信息保存在设备本地

外部认证：

认证的账户信息保存在外部系统

数字证书认证技术原理

数字证书

一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件包括 用户身份信息

用户公钥信息

身份验证机构数字签名的数据

从证书的用途来看的话，数字证书又分为签名证书和加密证书。

签名证书

主要用于对用户传送的信息进行加密，以保证信息的真实性和不可否认性。

加密证书

主要用于对用户信息进行签名，以保证信息的机密性和完整性

LDAP认证技术原理

原理

LDAP是轻量级目录访问协议，在LDAP中目录是按照树型结构组织，目录由条目组成，条目相当于关系数据库中表的记录，条目是具有区别名DN集合

可以这样理解，LDAP在认证场景中，它是存储了用户账户信息数据库的账户系统，可以通过标准的LDAP协议与该系统进行交互，实验验证终端身份的需求

LDAP是一种开放标准，LDAP是跨平台的interent协议

常见的LDAP系统有:MS-LDAP:Active Directory（ad域）

          Open LDAP

         Other LDAP

工作流程

LDAP外部认证过程

1，ldap用户把用户名和密码提交给SSL VPN设备

2，SSL VPN设备把用户名和密码提交给DAP服器进行验证

3，LDAP服务器本地验证，并把结果返回给用SSL VPN设备

SSL VPN 设备把结果返回给用户

HTTP/HTTPS 主/辅认证

HTTP通过客户处其他系统http/https的自定义开放接口来实现的认证过程，在用户登录认证中，既可以作为主认证方式，也可以作为辅认证方式。（主要看对接的服务器是短信网关还是令牌网关或认证网关）

        在HTTP/HTTPS认证中，可以根据对端的接口要求构造请求发送到HTTP/HTTPS认证服务上，由HTTP/HTTPS进行响应并返回，然后根据他们返回的结果来判断是否认证成功，即若需要使用HTTP/HTTPS认证需要提前获取到HTTP/HTTPS认证服务器的接口文档

硬件特征码认证

通过硬件特征码认证技术可实现用户账号和电脑硬件特征信息的绑定，某账号只能通过指定的电脑登录，畸变用户账号意外泄露，由于非法用户无法使用与此账号事先绑定的那台计算机，因而不会造成非法终端用户接入。确保了终端用户接入的安全性

       在用户登录认证中，硬件特征码认证属于辅助认证，必须结合主要认证才能使用