移動接入身份認證技術

1.移動接入身份認證技術

1.1需求背景

用戶遠程接入企業內網，有哪些技術可以實現在複雜業務場景下，保障終端用戶接入內網的身份安全性，同時儘可能保障用戶使用體驗？

在上篇博客中寫到移動接入身份認證主要由以下八種認證方式與或組合使用來實現其功能。

身份認證技術

主要認證方式必須選擇一種，輔助認證可以選擇，也可以不選擇
公有用戶可以允許同時多個終端設備登錄
私有用戶只允許一個終端在線

對於深信服的SSL VPN 身份認證方式

SSL VPN的用戶必須使用一種主要認證方式，也可以使用主要認證再結合多種 輔助認證的方式

如果設置了多種主要認證方式，可選擇必須通過所有的主要認證或通過其中一 種主要認證方式即可。

1.2 SSL的用戶 和用戶組

用戶

登錄SSL VPN的賬號，分爲公有用戶和私有用戶。 私有用戶只能同時一人登錄，公有用戶允許多人同時登錄。

用戶組

由“用戶”組成，每個“用戶”必須屬於唯一的“用戶組”。 root根組和默認用戶組無法刪除

2. 移動接入身份認證技術

2.1 本地帳戶認證技術

根據終端用戶認證的賬戶信息存儲位置，可以將認證分爲本地認證和外部認證：
本地認證：認證的賬戶信息保存在設備本地
外部認證：認證的賬戶信息保存在外部系統

用戶組：是用戶集合，每個用戶歸屬於唯一的用戶組

賬戶類型：私有用戶、公有用戶
私有用戶：只允許一個終端登錄在線
公有用戶：可允許多個終端登錄 同時在線

2.1.1 配置步驟

(1) 在設備本地創建用戶賬戶信息，用於終端用戶接入認證

(2) 本地賬戶用於終端用戶接入身份認證

(3) 終端用戶使用賬戶密碼身份識別後通過認證

2.2 數字證書認證技術

2.2.1 數字證書認證技術原理

數字證書： 一個經證書授權中心數字簽名的包含公開密鑰擁有者信息和公開密鑰的文件

2.2.2 數字證書認證應用過程

（1）安裝CA簽發的用戶證書，安裝後使用證書登陸

(2) 深信服登錄界面進行選擇證書登錄

(3)查看是否成功登錄

2.3 LDAP 技術

2.3.1 LDAP技術原理

LDAP（Lightweight Directory Access Protocol）是輕量級目錄訪問協議。

在LDAP中,目錄是按照樹型結構組織，目錄由條目組成，條目相當於關係數據庫中表的記錄；

條目是具有區別名DN（Distinguished Name）的屬性（ Attribute）集合。

可以這樣理解，LDAP在認證場景中，它是存儲了用戶賬戶信息數據庫的一個賬戶系統，可以通過標準的LDAP協議與該系統進行交互，實現驗證終端身份的需求。

LDAP是一種開放標準，LDAP協議是跨平臺的Interent協議

常見的LDAP系統有： 
MS-LDAP：Active Directory（常稱爲“AD域”） 
Open LDAP 
Other LDAP

MS-LDAP：Active Directory

(1)與LDAP對接實現LDAP外部認證
下圖爲深信服SSL VPN 設備配置界面

(2) 登錄系統後的界面

（3）查看登錄成功後
可以看到後邊顯示爲外部認證

2.3.2 LDAP外部認證過程原理圖

1.LDAP用戶把用戶名和密碼提交給SSL VPN設備
2.SSL VPN設備把用戶名和密碼提交給LDAP服務器進行驗證
3.LDAP服務器在本地進行驗證，並把結果返回給用SSL VPN設備
4.SSL VPN設備把結果返回給用戶

2.4 硬件特徵碼認證技術

通過硬件特徵碼認證技術可實現用戶帳號和電腦硬件特徵信息的綁定，某賬號只能通過指定的電腦登錄。即便用戶賬號意外泄露，由於非法用戶無法使用與此賬號事先綁定的那臺計算機，因而不會造成非法終端用戶接入。確保了終端用戶接入的安全性。

實現結果圖

在用戶登錄認證中，硬件特徵碼認證屬於輔助認證，必須結合主要認證使用

（1）深信服SSL VPN 設備登錄驗證界面

（2）特徵碼管理界面
可以查看到用戶和綁定的硬件特徵碼

(3) 登錄界面 查看用戶的硬件特徵碼信息

3. 移動接入身份認證案例

3.１ 短信認證案例

短信認證技術是一種革新型認證解決方案，此認證系統分爲手機短信終端和短信認 證服務器兩部份。
終端用戶在既有移動電話和PAD的基礎上，通過手機短信獲得雙因素用戶認證訪問代碼，就能夠安全地訪問網絡資源。
深信服支持與短信貓進行互動來進行短信認證。

3.２ 動態令牌認證案例

動態令牌是技術領先的一種雙因素強身份認證體系，採用用戶PIN碼+動態令牌碼構 成完整用戶口令，令牌碼由令牌內置唯一種子和當前時間通過僞隨機算法生成，每分鐘改變一次，而且是一次性密碼（密碼使用後立即失效，不能重複使用）。

由於實際上的安全問題都和密碼有關，盜竊和破解密碼是最常見的口令攻擊手段，因此動態令牌很好的解決了以上問題，爲用戶的使用提供了極高的安全性保證

3.３ 綜合案例

用戶認證的方式不是越多越複雜越好，而是根據場景需求選擇合適的認證方式。 例如：

公司出差員工：LDAP/數字證書+硬件特徵碼/短信認證

第三方人員：用戶名密碼+短信認證