1、2023.7电脑编程技巧与维护1概述随着校园VPN使用率的不断提高,产生的安全问题也逐渐增多。基于SSL VPN关键技术中的使用者与设备身份认证技术,聚焦VPN账号安全问题,对VPN的身份认证方式的实际应用进行研究,以期找到最优解,在保证用户使用便捷的同时提升校园网络安全防护能力。2校园 VPN 单因素认证的网络安全隐患身份认证方法从需要验证的条件方面可分为单因素认证和双(多)因素认证两种。使用一种为验证条件的单因素,使用两种或三种验证条件的为双(多)因素1。用户名/密码是比较简单也是应用范围很广的单因素身份认证方法,由用户自己设定密码,只要能够正确输入密码,就可以通过验证访问VPN。但是密码
2、作为静态数据在验证过程中在计算机内存和网络中传输,很容易被驻留在计算机内存中的木马病毒或网络中的监听设备截获。此外,许多高校为了提升信息化系统的使用效率和管理水平,搭建了统一身份认证平台2,并将VPN通过LDAP、Radius等协议与其进行对接。一旦外部攻击者攻陷了VPN账户密码,就相当于获得了用户在整个系统的用户名和密码,将造成更严重的信息泄露问题。3校园 VPN 常用的双因素身份认证方式3.1用户名/密码+TOTP 动态令牌TOTP,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器端的时间比对,一般每30 s或60 s产生一个新口令,要求客户端和服务器端能够十分精确
3、地保持正确的时钟,这样客户端和服务端基于时间计算的动态口令才能一致。SSLVPN设备能够与基于TOTP协议的动态令牌相结合,实现双因素认证保障,账号的安全3。常见的TOTP动态令牌有Google身份验证器、Microsoft Authenticator、M令牌等。以深信服easyconnect为例,TOTP动态令牌双因素认证的实现步骤如下:(1)VPN管理员将用户信息导入本地组,辅助认证选择启用TOTP令牌认证。(2)用户在VPN客户端首使用用户名、密码认证时,需下载令牌App扫码或输入获取到的OTP密钥进行绑定。(3)用户再次登录时,输入账号、密码后直接输入动态令牌的口令,验证通过即可访问校
4、园内网资源,无需再次绑定。3.2用户名/密码+Radius 动态令牌Radius动态令牌认证是Radius服务器使用的一种扩展,与TOTP动态令牌最大的不同之处是需要使用自带Radius服务器的第三方动态令牌认证服务器。在SSLVPN上配置指向认证服务器的第三方Radius认证后,用户在登录VPN时,需要先进行用户名/密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),再通过动态密码验证,之后方可放行。相当于用户登录VPN需要在数据库和第三方Radius认证服务器分别完成静态密码和动态密码的认证。3.3用户名/密码+短信验证码SSL VPN可以提供以短信认证为主的双因素认证方式,用户
5、在每次登录VPN系统时,会收到以短信形式发送的随机密码(通常为4/6位的字母加数字,可在短信服务平台上自定义密码复杂度和模板),该密码具有实时性,超过设定时间或认证成功后将会失效,不可重复使用。目前主流的短信网关和第三方短信服务平台有GSM/CDMA短信猫、中国移动V2/V3、中国联通、中国电信V3、阿里云短信平台、腾讯云短信平台等。作者简介:周萌(1991),女,工程师,硕士,研究方向为网络安全、校园网建设。高校 SSL VPN 双因素身份认证方式研究周萌(北京信息科技大学信息与网络管理中心,北京100101)摘要:随着高校信息化资源的不断丰富和业务系统的逐步完善,校园虚拟专网(VPN)用户
6、的规模也愈加庞大,作为校园网外网访问内网的专有通道,VPN 账号的安全性显得极为重要。传统的身份认证方式具有弱密码泛滥、应用性差、易被窃听等缺陷,因此有必要对双因素认证技术进行探索。根据高校用户的特点,对几种成熟的双因素认证方式进行了对比分析,为高校选择合适的双因素认证方式提供参考。关键词:网络安全;虚拟专网;双因素认证;校园网130DOI:10.16184/prg.2023.07.0422023.7电脑编程技巧与维护以深信服easyconnect为例,短信验证码双因素认证的实现步骤如下:(1)在辅助认证中的短信认证设置中启用短信验证码并进行发送参数配置。(2)完善本地用户组的手机号,或确认R
7、adius服务器返回的手机号字段,从Radius服务器获取用户的手机号。(3)用户每次登录时,除输入用户名/密码外,还需输入短信网关发送的一次性验证码,通过验证后方可进入校园内网系统。4各认证方式组合对比和分析4.1SSLVPN 与 WebVPN在对上述3种双因素认证方式进行分析之前,首先引入WebVPN的概念。VPN的Web接入方式是指用户使用浏览器以HTTPS方式、通过SSL VPN网关对服务器提供的资源进行访问,即一切数据的显示和操作都是通过Web界面进行的。WebVPN以网页的形式为用户提供服务,用户可以通过单击网页中的超链接在不同的网页之间跳转,以获取信息。在用户访问Web资源的过程
8、中,SSL VPN网关主要充当中继的角色。在高校场景中主要使用SSL VPN和WebVPN两种相结合的方式提供服务。针对以Web界面需求为主的用户,推荐使用WebVPN服务,这种方式可以让用户免去下载客户端、配置VPN参数的环节,门槛较低,用户使用体验较好;对于有一定计算机水平能力的,并且在日常工作、学习中有使用SSH、TELNET、远程控制等需求的用户,推荐使用SSL VPN服务,SSLVPN服务可以建立网络层面的交互,使用户本机内的Web、应用程序均可通过隧道进行交互,应用更加广泛4。4.2双因素认证方式在高校的实际应用通过对各高校的公开信息进行调研发现,实施VPN双因素认证的高校并不多,
9、选择的辅助认证方式以短信验证码为主。还有一些高校,例如,华中科技大学实行VPN账号申请制,直接规避了VPN账号的安全问题。部分高校VPN双因素认证方式,如表1所示。可以看出,WebVPN的安全验证级别一般比SSLVPN低,这与SSL VPN独具灵活性的业务隔离特性有关,高校只会在VPN管理后台中添加大多数用户需要访问的有限个Web资源,例如图书馆数字资源、信息门户和OA系统。4.3认证方式安全性对比分析当使用用户名/密码+短信验证码双因素认证方式时,短信通信信道不一定会被安全加密,并且认证协议是单向的,即只能在服务器端验证客户端,而不能在客户端验证服务器端。因此一些技术高超的黑客可以扮演“中间
10、人”的角色5,即攻击者将自身放到通信双方之间,通常是客户端和服务器端通信线路的中间,在破坏原始通信线路之后拦截一方的消息并将它们转发给另一方。如果生成的验证码过于简单,则存在密码被暴露的安全风险。用户名/密码+TOTP动态令牌/Radius动态令牌这类软Token认证的安全系数优于短信验证码,动态令牌App以独立的形式存在,不需要任何网络连接,验证码完全在手机本地生成,可以做到手机即身份,对SIM卡劫持几乎免疫6。手机绑定微信扫码也是一种常用的认证方式,它可以代替短信认证,减少短信被劫持风险。这种方式能提升账号安全性,但其实不算严格意义上的双因素认证,用户在其中只进行了单次双因素认证,即在首次
11、登录时输入用户名和密码,并绑定微信,再次登录时直接扫码即可。4.4认证方式部署便利性对比分析使用用户名/密码+短信验证码双因素认证,需要部署短信网关或与第三方短信平台进行对接,以阿里云短信平台为例,需要做的准备工作有申请签名、添加模板、创建AccessKey、购买短信包等,有一定的成本。附加短信验证码双因素认证方式还有一个实施的前提是用户在系统里预留的手机号是正确的,尤其是在VPN与统一身份认证进行对接的场景中,需要确认用户信息数据源的权威可信性。在统一身份认证数据库中,新入职教师的数据源为人事处,新入校学生的数据源为学生处,通过Radius服务器返回的字段值,可以自动地在VPN中将用户分为不
12、同的组,无需在VPN系统中再次创建用户的账户信息。VPN虽然可以实现用户自行绑定手机号和修改手机号的功能,但如果开放这些功能,账号的安全性和实施双因素认证的意义将大大降低。用户名/密码+TOTP动态令牌是3种认证组合方式表1部分高校VPN双因素认证方式学校名称北京化工大学用户名/密码+短信验证码用户名/密码+短信验证码北京工业大学用户名/密码+TOTP动态令牌用户名/密码福建师范大学用户名/密码+短信验证码手机绑定微信扫码西南交通大学用户名/密码+短信验证码用户名/密码+短信验证码福建中医药大学用户名/密码+短信验证码用户名/密码+短信验证码山东工商学院用户名/密码+短信验证码手机绑定微信扫码
13、沈阳工学院无用户名/密码+微信验证码访问方式SSL VPNWebVPN1312023.7电脑编程技巧与维护中实施起来最为简单的,直接启用辅助认证 即可,需要注意的是传统TOTP动态令牌认证不支持Radius协议,只能应用于VPN本地用户组,对已经启用统一身份认证的高校来说,在账号同步上会有一定的麻烦。若选择导入本地用户组,则相当于新增了一套需要维护用户名/密码的系统,管理员的工作量会翻倍增加。用户名/密码+Radius动态令牌的认证组合需要额外采购第三方动态令牌服务器,部署时在VPN管理后台将Radius认证指向第三方双因素认证服务器即可。这种方式的优势是支持统一身份认证,可与现有的账号源完美
14、适配,方便管理员进行运维管理工作。为了满足手机绑定微信扫码的需求,与对接第三方短信平台类似,需要在微信开放平台上认证注册并缴纳认证费用,将获取的AppID和AppSecret配置在VPN管理后台上。微信认证的审核时间较长,一般7个工作日之内可以通过审核。4.5认证方式推广难度对比分析在双因素认证中,用户名/密码+短信验证码的组合方式对于用户来说学习成本很低,更容易被大众接受和理解,在操作上也更为简便,因此在高校场景中应用较为广泛。在手机号数据库信息齐全的条件下,即使直接启用附加短信验证码认证,用户也能够很快适应。用户名/密码+TOTP动态令牌的传统TOTP令牌认证需要下载单独的移动端App和电
15、脑端令牌软件,对用户体验造成了不良影响,令牌软件的参数配置也相对繁琐。如果选择该认证方式,则高校网络运维人员需要撰写详尽的通知和教程,并做好接受大量咨询的准备。用户名/密码+Radius动态令牌认证组合的令牌方式会更加丰富,可提供手机App令牌、H5扫一扫、免密推送认证、微信小程序令牌、短信令牌、邮件令牌及第三方令牌兼容替换等多种动态口令认证形式,方便用户按需选择。其中,微信小程序令牌适用于不想安装额外App的用户,可满足用户对便捷登录的需求。许多高校都开通了微信企业号,如果使用微信企业号来推送令牌口令,则用户的接受度将有所提高。手机微信扫码方式在用户使用上的难点主要在于绑定和解绑。在首次成功
16、绑定微信后,用户可通过扫描二维码进行登录,与平时微信登录方式一致,符合用户日常使用逻辑,推广难度低。双因素认证方式组合综合对比分析如表2所示。5结语高校为SSL VPN选择双因素认证方式时需要考虑以下条件:(1)是否根据用户群体对访问权限进行了区分,并分别选择不同的认证方式。例如,大部分用户的VPN使用需求是WebVPN,由于WebVPN被攻击的价值较低,可以选择不启用双因素认证或启用微信扫码认证,保障VPN的易用性,而在SSL VPN的认证方式上应启用相对最安全的用户名/密码+动态令牌认证组合。(2)是否进行统一身份认证。如果高校用户是通过统一身份认证接入VPN,就无法使用传统TOTP动态令
17、牌验证器,只能考虑采购第三方Radius动态令牌服务器。还需要对统一身份认证的权威数据源进行确认。若用户手机号缺失不全,则对于附加短信验证码的认证方式需要进一步思考可行性,在安全性和补全手机号的工作量之间进行权衡。参考文献1王思君.用户身份认证技术在网络信息安全中的应用J.信息与电脑(理论版),2022,34(8):221-223.2陈德智.电子政务统一身份认证平台设计研究J.网络安全和信息化,2023(1):78-80.3张佳,梁少华.基于TOTP的移动端双因子身份认证方法J.湖北汽车工业学院学报,2021,35(3):50-53.4金磊,王佶,陈贤,等.WebVPN提供易用、易维护的校外访问通道J.电子制作,2022,30(6):69-71.5张效林,谷大武,张驰.移动平台典型应用的身份认证问题研究J.网络与信息安全学报,2020,6(6):137-151.6常玲,赵蓓,薛姗,等.基于网络安全的身份认证技术研究J.电信工程技术与标准化,2019,32(2):37-42.认证方式安全性部署便利性推广难度特点用户名/密码+短信验证码中中易便捷易用,应用广泛用户名/密码+TOTP动态令牌高易难部署简单,成本低用户名/密码+Radius动态令牌高中中成本高,功能丰富手机微信扫码低中易安全性低,用户体验好表2双因素认证方式组合综合对比分析132
浙ICP备2021020529号-1 | 浙B2-20240490 
