DHCP(Dynamic Host Configuration Protocol,动态主机配置协议)是一个局域网的网络协议,使用UDP协议工作, 主要有两个用途:给内部网络或网络服务供应商自动分配IP地址,给用户或者内部网络管理员作为对所有计算机作中央管理的手段,在RFC 2131中有详细的描述。DHCP有3个端口,其中UDP67和UDP68为正常的DHCP服务端口,分别作为DHCP Server和DHCP Client的服务端口;546号端口用于DHCPv6 Client,而不用于DHCPv4,是为DHCP failover服务,这是需要特别开启的服务,DHCP failover是用来做“双机热备”的。
通过在 VPN配置第三方认证(RADIUS),指向DKEY动态密码认证服务器(内置RADIUS SERVER),用户通过VPN拨入进行帐号+密码认证,通过之后获取动态密码(令牌产生/短信接收),进行二次验证,通过之后即放行。方案1:短信认证
该VPN的双因子认证技术是基于短消息发送动态密码的方式,IT管理员会为每个VPN用户绑定其手机号。
短信密码通过短信方式将包含随机密码的文本发送至用户手机上,通常用户会随身携带手机,无需携带额外硬件,无需安装软件,因此它是安全与便捷紧密结合的双因子认证解决方案。
1.1 认证流程
VPN结合DKEY短信密码认证,通常 VPN帐号是托管在AD/LDAP中,在完成域帐号认证之后,认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上,用户输入至二级认证框并提交验证后才能完成认证
这是域账户和动态密码的双重认证,因而能够很有效的保证账户信息的安全性。
用户登录认证的流程如下:
1. 用户在网络接入设备 VPN(拨号客户端or Web)提供的登录页面中输入用户的帐号口令
在PC上通过Web访问的截图如下:
2. VPN通过radius协议将帐号和加密后的口令提交给radius动态短信认证系统进行认证,通过再通知VPN弹出二级认证页面,并触发短信至用户手机上
在PC上通过Web访问的截图如下:
3. 用户收到动态口令短信之后在提供的进一步输入动态口令的页面中输入动态密码,并提交后,再通过radius协议将动态密码传输给radius系统做进一步认证。
1.2 优缺点分析
优势:
(1) 无需携带额外设备
(2) 安全便捷
(3) 管理成本低
(4) 适合登陆频度不高的用户移动办公
(5) 实现基于手机审计
(6) 永久使用,节省认证终端更换成本
劣势:
(1) 短信可能出现延时或丢失
(2) 手机欠费、无手机信号(如国外出差),则无法正常使用
方案2:动态令牌
该VPN的双因子认证技术是基于硬件令牌方式,IT管理员会为每个VPN用户分配分发一枚令牌,VPN用户登录时输入静态密码+令牌上显示的6位随即数字,即可完成登录,是目前最为常用的强身份认证方案。
动态令牌是一种硬件形式动态密码生成器,主流是基于时间型,其每隔60秒变化一个密码,密码一次性使用有效,另外由于密码生成及使用与用户终端无关,用户采用笔记本、智能机、平板都可以方便使用动态密码认证。
它最大优点在于认证响应度高,密码产生物理隔离,然而采用此种方式用户需携带额外硬件设备,移动办公用户可能由于忘记携带或者丢失导致无法认证情形。
2.1 认证流程
可采用两种方式:
(1) 同上,短信认证流程。
(2) 采取密码+动态密码组合方式,一级认证。
2.2 优缺点分析
优势:
(1) 使用便捷
(2) 高安全
(3) 业务响应度高
(4) 认证高可靠性
(5) 适合登陆频度较高的用户
劣势:
(1) 令牌生命周期,3年需更换
(2) 有物流及发放管理,因此管理成本较高
方案3:短信密码 + 动态令牌混合认证
该VPN的双因子认证技术是基于硬件令牌、短信密码混合认证方式,兼顾两种认证手段的特点,可以实现一个VPN用户同时绑定短信和令牌两种认证手段,易可实现分别为VPN用户分配短信密码和令牌其中一种方式,满足不同用户的双因子认证需求。
更多VPN强项采用此种方式,实现双因子认证。
3.1 认证流程
同短信认证。
3.2 优缺点分析
优势:
(1) 结合短信密码和动态令牌的两种优点
(2) 高可靠性
(3) 根据用户使用场景,选择相应的认证手段
劣势:
(1)管理员需管理两种认证终端
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)