天融信VPN双因素认证解决专项方案.docx

天融信VPN双原因认证处理方案 一、面临挑战 1、安全威胁 VPN可帮助企业实现远程办公，职员在外网办公环境下借助天融信VPN可访问内部应用资源。但单一静态密码登录验证机制下，不少职员仍采取初始密码或过于简单静态密码，非法入侵者若窃听到VPN登录账号用户名及密码，即可得到正当访问权限，并可经过正当访问权限访问内部系统，企业信息安全方面临挑战。 2、 管理成本 为预防VPN账号信息泄露，企业通常强制要求职员定时更换登录密码，给职员及IT运维人员带来很多无须要麻烦； 如没有立即收回账号，离职职员仍然有VPN正当访问权限，所以额外增加了IT部门账号回收管理成本。 二、处理方案 1. 天融信VPN双原因认证处理方案概述 静态密码只能对VPN用户身份真实性进行低级认证。宁盾双原因认证在企业VPN原有静态密码认证基础上增加第二重保护，经过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式，实现双原因认证，提升账号安全，加强用户登录认证审计。 宁盾双原因认证服务器负责动态密码生成及验证，可同时无缝支持AD/LDAP/ACS等帐号源，接管VPN帐号静态密码认证工作。经过在天融信VPN配置第三方RADIUS认证，指向宁盾双原因认证服务器（内置RADIUS SERVER）。职员打开天融信VPN进行用户名+静态密码认证，认证经过以后获取动态密码（令牌产生/短信接收方法），从而进行动态密码验证，经过以后方可放行。 2. 宁盾动态密码形式 短信令牌 基于短信发送动态密码形式。在用户完整天融信VPN帐号密码认证以后，宁盾双原因认证服务器会随机生成一个一次性密码并经过短信网关发送到绑定用户手机上，用户输入该短信密码并提交验证经过后才能完成登录认证。密码是一次性使用，她人即使盗用了，也无法再次使用，从而能确保账号和信息安全。 手机令牌 基于时间动态密码，由手机APP生成。基于时间同时技术，宁盾令牌APP每60秒随机生成一个独一无二动态验证码，宁盾认证服务器能够验证这个改变密码是否有效。 硬件令牌 基于时间动态密码，由硬件生成。硬件令牌每60秒产生一个6位随机密码，使用寿命3年。需要IT运维人员为每个天融信VPN用户分发一枚宁盾硬件令牌，用户登录时输入静态密码+硬件令牌上显示动态密码，验证经过即可完成登录。 3. 天融信VPN双原因认证步骤（手机令牌方法） ① 打开天融信VPN用户端，点击“新建连接”，选择“经过地址或域名登录”； ② 在新出现窗口中输入域用户名、域密码及动态手机令牌，并提交认证。认证经过，成功接入天融信VPN。下图中“登录密码”前面输入是域密码，后6位是动态密码，实现了单步认证登录。 三、 方案价值 ①账号双重保护：宁盾双原因认证在天融信VPN原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，处理弱身份判别可能引发内网信息泄漏隐患； ②多个认证方法：短信令牌、手机令牌、硬件令牌，三种动态密码形式各有优势，用户依据需求自由选择，也能够多个组合； ③和现有系统无缝集成：内置Radius认证模块，可和AD、LDAP等标准账号源结合，同时也支持和企业当地应用、私有云应用和SAAS等对接，提供天融信VPN双原因认证服务； ④简化管理：降低企业因VPN静态密码定时强制更改，给职员及IT运维人员带来麻烦，同时节省VPN账号管理成本； ⑤实名追溯：详尽登录日志，发生安全事件时可定位到个人，做到用户认证可审计，满足了等保要求； ⑥体验优化：经过简化移动安全接入，优化用户体验，在为用户登录天融信VPN提供安全认证同时，提升了使用便捷性，助力企业移动化转型。