背景分析
VPN可帮助企业实现远程办公,员工在外网办公环境下借助VPN可访问内部应用资源。但单一的静态密码登录验证机制下,不少员工仍采用初始密码或者过于简单的静态密码,非法入侵者若窃听到VPN登录账号的用户名及密码,即可得到合法访问权限,并可通过合法访问权限访问内部系统,企业信息安全面临挑战。
一旦公司/单位某个员工的密码被攻破,整个公司的内部网络就完全暴露到外面了,这是一个非常严重的安全隐患问题!VPN结合动态密码就是针对这样的安全隐患而提出的解决方案。
解决方案建议
智安芯双因素认证为VPN在原有账户+静态密码上增加一层动态认证,通过提供手机令牌、短信令牌、硬件令牌等三种动态密码形式,实现双因素认证,加强用户登录审计,降低管理成本。
认证步骤
(以Cisco VPN为例)
1、用户输入用户名和密码,动态密码登入VPN设备
2、VPN通过RASIUS 协议转发域账号信息至CKEY动态系统身份认证系统进行认证
3、CKEY动态认证系统通过RADIUS或者LDAP协议转发域账号信息至于认证服务器进行域账号查询
4、域账号返回认证结果给CKEY动态身份认证系统
5、如果认证成功,CKEY动态身份认证系统则会告诉VPN弹出二次框,输入动态码,则登入成功。
(以Juniper VPN为例)
1、用户输入用户名和密码登入VPN设备
2、虚拟化设备通过RASIUS 协议转发域账号信息至智安芯动态系统身份认证系统进行认证
3、智安芯动态认证系统通过RADIUS或者LDAP协议转发域账号信息至于认证服务器进行域账号查询
4、域账号返回认证结果给智安芯动态身份认证系统
5、如果认证成功,智安芯动态身份认证系统则会告诉VPN弹出二次框,输入动态密码,登入成功。