移动接入身份认证技术

其他 2019-06-13 18:40:58 阅读次数: 0

目录

1.移动接入身份认证技术

1.1需求背景

用户远程接入企业内网,有哪些技术可以实现在复杂业务场景下,保障终端用户接入内网的身份安全性,同时尽可能保障用户使用体验?
在这里插入图片描述

在上篇博客中写到移动接入身份认证主要由以下八种认证方式与或组合使用来实现其功能。
在这里插入图片描述
身份认证技术
在这里插入图片描述

主要认证方式必须选择一种,辅助认证可以选择,也可以不选择
公有用户可以允许同时多个终端设备登录
私有用户只允许一个终端在线

对于深信服的SSL VPN 身份认证方式

SSL VPN的用户必须使用一种主要认证方式,也可以使用主要认证再结合多种 辅助认证的方式

如果设置了多种主要认证方式,可选择必须通过所有的主要认证或通过其中一 种主要认证方式即可。
在这里插入图片描述

1.2 SSL的用户 和用户组

用户

登录SSL VPN的账号,分为公有用户和私有用户。 私有用户只能同时一人登录,公有用户允许多人同时登录。

用户组

由“用户”组成,每个“用户”必须属于唯一的“用户组”。 root根组和默认用户组无法删除
在这里插入图片描述

2. 移动接入身份认证技术

2.1 本地帐户认证技术

根据终端用户认证的账户信息存储位置,可以将认证分为本地认证和外部认证:
本地认证:认证的账户信息保存在设备本地
外部认证:认证的账户信息保存在外部系统

用户组:是用户集合,每个用户归属于唯一的用户组

账户类型:私有用户、公有用户
私有用户:只允许一个终端登录在线
公有用户:可允许多个终端登录 同时在线

2.1.1 配置步骤

(1) 在设备本地创建用户账户信息,用于终端用户接入认证
在这里插入图片描述

(2) 本地账户用于终端用户接入身份认证
在这里插入图片描述

(3) 终端用户使用账户密码身份识别后通过认证
在这里插入图片描述

2.2 数字证书认证技术

2.2.1 数字证书认证技术原理

数字证书: 一个经证书授权中心数字签名的包含公开密钥拥有者信息和公开密钥的文件
在这里插入图片描述

2.2.2 数字证书认证应用过程

在这里插入图片描述

(1)安装CA签发的用户证书,安装后使用证书登陆
在这里插入图片描述

(2) 深信服登录界面进行选择证书登录
在这里插入图片描述

(3)查看是否成功登录
在这里插入图片描述

2.3 LDAP 技术

2.3.1 LDAP技术原理

LDAP(Lightweight Directory Access Protocol)是轻量级目录访问协议。

在LDAP中,目录是按照树型结构组织,目录由条目组成,条目相当于关系数据库中表的记录;

条目是具有区别名DN(Distinguished Name)的属性( Attribute)集合。
在这里插入图片描述

可以这样理解,LDAP在认证场景中,它是存储了用户账户信息数据库的一个账户系统,可以通过标准的LDAP协议与该系统进行交互,实现验证终端身份的需求。

LDAP是一种开放标准,LDAP协议是跨平台的Interent协议

常见的LDAP系统有: 
MS-LDAP:Active Directory(常称为“AD域”) 
Open LDAP 
Other LDAP

MS-LDAP:Active Directory

在这里插入图片描述

(1)与LDAP对接实现LDAP外部认证
下图为深信服SSL VPN 设备配置界面
在这里插入图片描述

(2) 登录系统后的界面
在这里插入图片描述

(3)查看登录成功后
可以看到后边显示为外部认证
在这里插入图片描述

2.3.2 LDAP外部认证过程原理图

1.LDAP用户把用户名和密码提交给SSL VPN设备
2.SSL VPN设备把用户名和密码提交给LDAP服务器进行验证
3.LDAP服务器在本地进行验证,并把结果返回给用SSL VPN设备
4.SSL VPN设备把结果返回给用户

在这里插入图片描述

2.4 硬件特征码认证技术

通过硬件特征码认证技术可实现用户帐号和电脑硬件特征信息的绑定,某账号只能通过指定的电脑登录。即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法终端用户接入。确保了终端用户接入的安全性。

实现结果图
在这里插入图片描述

在用户登录认证中,硬件特征码认证属于辅助认证,必须结合主要认证使用

(1)深信服SSL VPN 设备登录验证界面
在这里插入图片描述

(2)特征码管理界面
可以查看到用户和绑定的硬件特征码
在这里插入图片描述

(3) 登录界面 查看用户的硬件特征码信息
在这里插入图片描述

3. 移动接入身份认证案例

3.1 短信认证案例

短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认 证服务器两部份。
终端用户在既有移动电话和PAD的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。
深信服支持与短信猫进行互动来进行短信认证。

在这里插入图片描述

3.2 动态令牌认证案例

动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构 成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用)。

由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证

在这里插入图片描述

3.3 综合案例

用户认证的方式不是越多越复杂越好,而是根据场景需求选择合适的认证方式。 例如:

公司出差员工:LDAP/数字证书+硬件特征码/短信认证

第三方人员:用户名密码+短信认证

在这里插入图片描述

猜你喜欢

转载自blog.csdn.net/csdn10086110/article/details/90759234
今日推荐
LFOSSA 源来如此公开课 | 掌握云原生未来:CNCF 认证全面攻略与备考秘籍
国产云输入法——仅华为无云端数据上传安全问题
开源日报 | 工业开源项目OGG 1.0;姐姐,你要和我一起配置火狐吗;苹果AI遥遥落后?Fedora 40
开放签电子签章:停止新增,优化体验,前进更进(五一假期前工作)
开源日报 | 中学生开源前端动画引擎;全球首个Llama3 8B中文版开源模型;联想电脑恐出局;Linus讽刺AI炒作
“百模大战”必有一战 | 2024中国“百模大战”竞争格局分析
周排行
Family Tree 题解
BZOJ 1093 最大半连通子图 SCC + DP
幂等处理
Spring----学习(2)----XML 配置Bean 自动装配
SQL Server 远程更新目标表数据
HIbernate3.6 环境搭建
特殊符号正则表达式
【Linux】第一章 进程的理解
843. n-皇后问题(dfs+输出各种情况)
空间数据库2
每日归档
更多
2024-04-26(39)
2024-04-25(22)
2024-04-24(36)
2024-04-23(26)
2024-04-22(39)
2024-04-21(0)
2024-04-20(6)
2024-04-19(5)
2024-04-18(0)
2024-04-17(5)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022