天融信VPN雙因素認證解決方案

天融信VPN雙因素認證解決方案一、面臨挑戰(zhàn)1、平安威脅VPN可幫助企業(yè)實現(xiàn)遠程辦公，員工在外網(wǎng)辦公環(huán)境下借助天融信VPN可訪問內(nèi)部應(yīng)用資源。但單一的靜態(tài)密碼登錄驗證機制下，不少員工仍采用初始密碼或者過于簡單的靜態(tài)密碼，非法入侵者假設(shè)竊聽到VPN登錄賬號的用戶名及密碼，即可得到合法訪問權(quán)限，并可通過合法訪問權(quán)限訪問內(nèi)部系統(tǒng)，企業(yè)信息平安面臨挑戰(zhàn)。管理本錢為防止VPN賬號信息泄露，企業(yè)通常強制要求員工定期更換登錄密碼，給員工及IT運維人員帶來許多不必要的麻煩；如沒有及時收回賬號，離職員工仍然有VPN的合法訪問權(quán)限，因此額外增加了IT部門的賬號回收管理本錢。二、解決方案天融信VPN雙因素認證解決方案概述靜態(tài)密碼只能對VPN用戶身份的真實性進行低級認證。寧盾雙因素認證在企業(yè)VPN原有靜態(tài)密碼認證根底上增加第二重保護，通過提供手機令牌、短信令牌、硬件令牌等三種動態(tài)密碼形式，實現(xiàn)雙因素認證，提升賬號平安，加強用戶登錄認證審計。寧盾雙因素認證效勞器負責(zé)動態(tài)密碼生成及驗證，可同時無縫支持AD/LDAP/ACS等帳號源，接管VPN帳號的靜態(tài)密碼認證工作。通過在天融信VPN配置第三方RADIUS認證，指向?qū)幎茈p因素認證效勞器〔內(nèi)置RADIUSSERVER〕。員工翻開天融信VPN進行用戶名+靜態(tài)密碼認證，認證通過之后獲取動態(tài)密碼〔令牌產(chǎn)生/短信接收方式〕，從而進行動態(tài)密碼驗證，通過之前方可放行。寧盾動態(tài)密碼形式短信令牌基于短信發(fā)送動態(tài)密碼的形式。在用戶完成天融信VPN帳號密碼認證之后，寧盾雙因素認證效勞器會隨機生成一個一次性密碼并通過短信網(wǎng)關(guān)發(fā)送到綁定的用戶手機上，用戶輸入該短信密碼并提交驗證通過后才能完成登錄認證。密碼是一次性使用的，他人即使盜用了，也無法再次使用，從而能保證賬號和信息的平安。手機令牌基于時間的動態(tài)密碼，由手機APP生成?；跁r間同時技術(shù)，寧盾令牌APP每60秒隨機生成一個獨一無二的動態(tài)驗證碼，寧盾認證效勞器能夠驗證這個變化的密碼是否有效。硬件令牌基于時間的動態(tài)密碼，由硬件生成。硬件令牌每60秒產(chǎn)生一個6位隨機密碼，使用壽命3年。需要IT運維人員為每個天融信VPN用戶分發(fā)一枚寧盾硬件令牌，用戶登錄時輸入靜態(tài)密碼+硬件令牌上顯示的動態(tài)密碼，驗證通過即可完成登錄。天融信VPN雙因素認證流程〔手機令牌方式〕翻開天融信VPN客戶端，點擊“新建連接〞，選擇“通過地址或域名登錄〞；在新出現(xiàn)的窗口中輸入域用戶名、域密碼及動態(tài)手機令牌，并提交認證。認證通過，成功接入天融信VPN。以以下列圖中“登錄密碼〞前面輸入的是域密碼，后6位的是動態(tài)密碼，實現(xiàn)了單步認證登錄。方案價值①賬號雙重保護：寧盾雙因素認證在天融信VPN原有賬號密碼認證根底之上增加一層動態(tài)密碼認證，以此提升VPN用戶接入認證平安，解決弱身份鑒別可能引發(fā)的內(nèi)網(wǎng)信息泄漏隱患；②多種認證方式：短信令牌、手機令牌、硬件令牌，三種動態(tài)密碼形式各有優(yōu)勢，客戶根據(jù)需求自由選擇，也可以多種組合；③與現(xiàn)有系統(tǒng)無縫集成：內(nèi)置Radius認證模塊，可與AD、LDAP等標(biāo)準(zhǔn)賬號源結(jié)合，同時也支持與企業(yè)本地應(yīng)用、私有云應(yīng)用以及SAAS等的對接，提供天融信VPN的雙因素認證效勞；④簡化管理：減少企業(yè)因VPN靜態(tài)密碼定期強制更改，給員工及IT運維人員帶來的麻煩，同時節(jié)約VPN賬號管理本錢；⑤實名追溯：詳盡的登錄日志，發(fā)生平安事件時可定位到個人，做到用戶認證可審計，