移动接入身份认证介绍
什么是移动接入?
现在的移动办公和远程办公已经成为了常态,扩展了组织网络的边界,让组织更加充分的利
用互联网,让组织的信息化建设发挥更大的价值,然后就有了移动接入这个概念。
需求背景
用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终端用户接入内网的身份安全性,同时尽可能保障用户使用体验?
身份认证技术
6种固定的认证方式(主认证)
- 本地用户名/密码(微信扫码登录)
- LDAP服务器
- Radius服务器
- CA认证
- AD域单点登录
- HTTP(S)第三方接口对接
多种动态的认证方式(辅认证)
- 硬件特征码
- 动态令牌(飞天诚信、Google软令牌、HTTP(S)第三方接口对接)
- 短信认证(云短信平台,短信网关、HTTP(S)第三方接口对接)
组合方式:主认证至少需要1种,辅认证不能单独使用;主认证可以单独使用
SSL VPN身份认证方式
SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种辅助认证的方式。
如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。
SSL用户和用户组
用户
登录SSL VPN的账号,分为公有用户和私有用户。
私有用户只能同时一人登录,公有用户允许多人同时登录。
用户组
由“用户”组成,每个“用户”必须属于唯一的“用户组”。
root根组和默认用户组无法删除。
移动接入身份认证技术
本地账户认证技术原理
根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证:
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统
用户组:是用户集合,每个用户归属于唯一的用户组
账户类型:私有用户、公有用户
数字证书认证技术原理
数字证书
一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
数字证书一般包含:
- 用户身份信息
- 用户公钥信息
- 身份验证机构数字签名的数据
从证书用途来看,数字证书可分为签名证书和加密证书。
签名证书:
主要用于对用户信息进行签名,以保证信息的真实性和不可否认性。
加密证书:
主要用于对用户传送的信息进行加密,以保证信息的机密性和完整性。
LDAP技术原理
LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。在LDAP中目录是按照树型结构组织,目录由条目组成,条目相当于关系数据库中表的记录;条目是具有区别名DN(Distinguished Name)的属性(Attribute)集合。
可以这样理解,LDAP在认证场景中,它是存储了用户账户信息数据库的一个账户系统,可以通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。
LDAP是一种开放标准,LDAP协议是跨平台的Interent协议
常见的LDAP系统有:
- MS-LDAP:Active Directory(常称为“AD域”)
- Open LDAP
- Other LDAP
LDAP外部认证过程原理图
- LDAP用户把用户名和密码提交给
- SSL VPN设备SSL VPN设备把用户名和密码提交给LDAP服务器进行验证
- LDAP服务器在本地进行验证,并把结果返回给用
- SSL VPN设备SSL VPN设备把结果返回给用户
HTTP/HTTPS主/辅助认证技术
通过客户处其他系统的HTTP/HTTPS的自定义开放接口来实现的认证过程,在用户登录认证中,既可以作为主认证方式,也可作为辅助认证方式,(具体看对接的服务器是短信网关还是令牌网关或认证网关)
在HTTP/HTTPS认证中,可以根据对端的接口要求构造请求发送到HTTP/HTTPS认证服务上,由HTTP/HTTPS进行响应并返回,然后根据他们返回的结果来判断是否认证成功。
即若需要使用HTTP/HTTPS认证需要提前获取到HTTP/HTTPS认证服务器的接口文档。
硬件特征码认证技术
通过硬件特征码认证技术可实现用户帐号和电脑硬件特征信息的绑定,某账号只能通过指定的电脑登录。即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法终端用户接入。确保了终端用户接入的安全性。
在用户登录认证中,硬件特征码认证属于辅助认证,必须结合主要认证使用。
短信验证码认证技术
短信验证码辅助验证方式
目前有4种方式获得短信验证码:
- 短信网关
- 阿里云短信认证
- 腾讯云短信认证
- HTTP/HTTPS短信认证
TOTP动态令牌认证技术
OTP是One-Time Password的简写,表示一次性密码。
TOTP是Time-based One-Time Password的简写,表示基于时间戳算法的一次性密码。
是时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,一般每30或60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务端基于时间计算的动态口令才能一致。
TOTP其核心内容包括以下三点:
- 一个共享密钥(一个比特序列);
- 当前时间输入;
- 一个签署函数。
认证流程图
微信扫码认证技术
通过微信公众号平台账号,通过审核后获取AppID和 AppSecret,将相应信息填写到设置中,用户通过微信扫码,VPN获取用户信息,并与SSLVPN本地用户进行绑定实现微信认证。
本地认证安全设置功能
本地密码认证
通过本地密码认证设置,可以对本地用户名密码认证的策略,进一步提升本地密码验证的安全性,具体可设置项包括:密码不能包含用户名、新旧密码不能相同、密码最小位数限制、密码有效期设置、是否必须修改初始密码、密码强度设置等
防暴力破解
同时提供软键盘输入密码和防暴力破解选项,软键盘支持字母以及数字的随机变化,防暴力破解包含单一用户尝试次数显示验证码、单用户锁定、单IP锁定等