移动接入身份认证技术_Ver6.0

0x01.移动接入身份认证介绍

需求背景
用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终端用户接入内网的身份安全性,同时尽可能保障用户使用体验?
image
身份认证技术
image
image
SSL VPN身份认证方式
SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种辅助认证的方式。如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一种主要认证方式即可。
image
SSL用户和用户组
用户
登录SSL VPN的帐号,分为公有用户和私有用户。私有用户只能同时一人登录,公有用户允许多人同时登录
用户组
由“用户”组成,每个“用户”必须属于唯一的“用户组”。root根组和默认用户组无法删除。
image

0x02.移动接入身份认证技术

本地账户认证技术
根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证。
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统
本地账户认证技术原理
如下图,在设备本地创建用户账户信息,用于终端用户接入认证。
image
如下图,本地账户用于终端用户接入身份认证。
image
如下图,终端用户使用账户密码身份识别后通过认证。
image
数字证书认证技术
数字证书:一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件。
image
数字证书是一般包含:

  • 用户身份信息
  • 用户公钥信息
  • 身份验证机构数字签名的数据

从证书用途来看,数字证书可分为签名证书和加密证书。
签名证书:主要用于对用户信息进行签名,以保证信息的真实性和不可否认性。
加密证书:主要用于用于传送的信息进行加密,以保证信息的机密性和完整性。
数字证书认证技术原理
image
安装CA签发的用户证书,安装后使用证书登陆。
image
image
LDAP认证技术
LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。在LDAP中目录是按照树形结构组织,目录由条目组成,条目相当于关系数据库中表的记录;条目是具有区别名DN(Distinguished Name)的属性(Attribute)集合。
image
可以这样理解,LDAP在认证场景中,它是存储了用户账户信息数据库的一个账户系统,可以通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。
LDAP是一种开放标准,LDAP协议是跨平台的Internet协议。
常见的LDAP系统有:MS-LDAP(常称为“AD域”)、Open LDAP、Other LDAP。
LDAP技术原理
与LDAP对接实现LDAP外部认证。
image
image
LDAP外部认证过程原理图
image
HTTP/HTTPS 主/辅助认证技术
通过客户处其他系统的HTTP/HTTPS的自定义开放接口来实现的认证过程,在用户登录认证中,既可以作为主认证方式,也可作为辅助认证方式。我们支持单次/多次认证请求,支持GET、POST两种请求方式,根据配置需要可设置请求URL参数、请求头部、请求Cookie等参数。通过解析服务器的返回内容(Json、XML)来判断是否通过认证,并匹配对应的角色权限。
image
硬件特征码认证技术
通过硬件特征码认证技术可实现用户账号和电脑硬件特征信息的绑定,某账号只能通过指定的电脑登录。即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法终端用户接入。确保了终端用户接入的安全性。
image
在用户登录认证中,硬件特征码认证属于辅助认证,必须结合主要认证使用。
image
image
短信验证码认证技术
目前有4种方式获得短信验证码:
1、短信猫/远程连接短信猫
2、阿里云短信认证
3、腾讯云短信认证
4、HTTP/HTTPS短信认证
短信验证码辅助验证方式
短信猫/远程连接短信猫,现很少使用
image
阿里云短信验证
image
腾讯云短信认证
image
HTTP、HTTPS短信认证,此方式在前面章节有具体介绍,此处不再赘述。同样是通过GET、POST等请求方式,将短信内容发送给对应的HTTP、HTTPS接口,由服务器端完成短信发送操作。
TOTP动态令牌认证技术
OTP是One-Time Password的简写,表示一次性密码。TOTP是Time-based One-Time Password的简写,表示基于时间戳算法的一次性密码。是时间同步,基于客户端的动态口令和动态口令验证服务器的时间比对,一般每30或60秒产生一个新口令,要求客户端和服务器能够十分精确的保持正确的时钟,客户端和服务器基于时间计算的动态口令才能一致。
TOTP其核心内容包括以下三点:

  • 一个共享密钥(一个比特序列);
  • 当前时间输入;
  • 一个签署函数。

认证流程图:
image
TOTP协议与时间强相关,所以必须开启时间同步,才能开启TOTP令牌认证。
image
可设置动态口令有效期,指的是SSL VPN设备的时间与手机的时间前、后误差在120秒(默认)以内,都认为产生的验证码是有效的。目的是为了减少时间误差而导致的验证码认证失败。
image
在用户/用户组种勾选使用TOTP动态令牌。
image
支持扫码绑定和手动绑定。
image
微信扫码认证技术
通过微信公众号平台账号,通过审核后获取AppID和AppSecret,将相应信息填写到设置中,用户通过微信扫码,VPN获取用户信息,并与SSLVPN本地用户进行绑定实现微信认证。
image
在用户/用户组里开启允许微信扫码快捷登录。
image
微信扫码登陆过程:
image
本地认证安全设置功能
本地密码认证:通过本地密码认证,可以对本地用户名密码认证的策略,进一步提升本地密码验证的安全性,具体可设置项包括:密码不能包含用户名、新旧密码不能相同、密码最小位数限制、密码有效期设置、是否必须修改初始密码、密码强度设置等。
image
防暴力破解:同时提供软键盘输入密码和防暴力破解选项,软键盘支持字母以及数字的随机变化,防暴力破解包含单一用户尝试次数显示验证码、单用户锁定、单IP锁定等。
image

0x03.移动接入身份认证案例

短信认证案例
短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和认证服务器两部分,终端用户在既有移动电话和PAD的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。深信服支持与短信猫、阿里云短信平台、腾讯云短信平台、HTTP/HTTPS接口平台进行互动来进行短信认证。
image
动态令牌认证
动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码OTP(密码使用后立即失效,不能重复使用)。由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。
image
综合案例
用户认证的方式不是越多越复杂越好,而是根据场景需求选择合适的认证方式。
例如:

  • 公司出差员工:LDAP/数字证书+硬件特征码/TOTP验证
  • 第三方人员:用户名密码+短信认证

image

posted @ 2026-04-10 18:10  77板烧鸡腿堡  阅读(6)  评论(0)    收藏  举报