高校SSL_VPN双因素身份认证方式研究_周萌.pdf
《高校SSL_VPN双因素身份认证方式研究_周萌.pdf》由会员分享,可在线阅读,更多相关《高校SSL_VPN双因素身份认证方式研究_周萌.pdf(3页珍藏版)》请在咨信网上搜索。
1、2023.7电脑编程技巧与维护1概述随着校园VPN使用率的不断提高,产生的安全问题也逐渐增多。基于SSL VPN关键技术中的使用者与设备身份认证技术,聚焦VPN账号安全问题,对VPN的身份认证方式的实际应用进行研究,以期找到最优解,在保证用户使用便捷的同时提升校园网络安全防护能力。2校园 VPN 单因素认证的网络安全隐患身份认证方法从需要验证的条件方面可分为单因素认证和双(多)因素认证两种。使用一种为验证条件的单因素,使用两种或三种验证条件的为双(多)因素1。用户名/密码是比较简单也是应用范围很广的单因素身份认证方法,由用户自己设定密码,只要能够正确输入密码,就可以通过验证访问VPN。但是密码
2、作为静态数据在验证过程中在计算机内存和网络中传输,很容易被驻留在计算机内存中的木马病毒或网络中的监听设备截获。此外,许多高校为了提升信息化系统的使用效率和管理水平,搭建了统一身份认证平台2,并将VPN通过LDAP、Radius等协议与其进行对接。一旦外部攻击者攻陷了VPN账户密码,就相当于获得了用户在整个系统的用户名和密码,将造成更严重的信息泄露问题。3校园 VPN 常用的双因素身份认证方式3.1用户名/密码+TOTP 动态令牌TOTP,表示基于时间戳算法的一次性密码。基于客户端的动态口令和动态口令验证服务器端的时间比对,一般每30 s或60 s产生一个新口令,要求客户端和服务器端能够十分精确
3、地保持正确的时钟,这样客户端和服务端基于时间计算的动态口令才能一致。SSLVPN设备能够与基于TOTP协议的动态令牌相结合,实现双因素认证保障,账号的安全3。常见的TOTP动态令牌有Google身份验证器、Microsoft Authenticator、M令牌等。以深信服easyconnect为例,TOTP动态令牌双因素认证的实现步骤如下:(1)VPN管理员将用户信息导入本地组,辅助认证选择启用TOTP令牌认证。(2)用户在VPN客户端首使用用户名、密码认证时,需下载令牌App扫码或输入获取到的OTP密钥进行绑定。(3)用户再次登录时,输入账号、密码后直接输入动态令牌的口令,验证通过即可访问校
4、园内网资源,无需再次绑定。3.2用户名/密码+Radius 动态令牌Radius动态令牌认证是Radius服务器使用的一种扩展,与TOTP动态令牌最大的不同之处是需要使用自带Radius服务器的第三方动态令牌认证服务器。在SSLVPN上配置指向认证服务器的第三方Radius认证后,用户在登录VPN时,需要先进行用户名/密码认证,认证通过之后获取动态密码(令牌产生/短信接收方式),再通过动态密码验证,之后方可放行。相当于用户登录VPN需要在数据库和第三方Radius认证服务器分别完成静态密码和动态密码的认证。3.3用户名/密码+短信验证码SSL VPN可以提供以短信认证为主的双因素认证方式,用户
5、在每次登录VPN系统时,会收到以短信形式发送的随机密码(通常为4/6位的字母加数字,可在短信服务平台上自定义密码复杂度和模板),该密码具有实时性,超过设定时间或认证成功后将会失效,不可重复使用。目前主流的短信网关和第三方短信服务平台有GSM/CDMA短信猫、中国移动V2/V3、中国联通、中国电信V3、阿里云短信平台、腾讯云短信平台等。作者简介:周萌(1991),女,工程师,硕士,研究方向为网络安全、校园网建设。高校 SSL VPN 双因素身份认证方式研究周萌(北京信息科技大学信息与网络管理中心,北京100101)摘要:随着高校信息化资源的不断丰富和业务系统的逐步完善,校园虚拟专网(VPN)用户
6、的规模也愈加庞大,作为校园网外网访问内网的专有通道,VPN 账号的安全性显得极为重要。传统的身份认证方式具有弱密码泛滥、应用性差、易被窃听等缺陷,因此有必要对双因素认证技术进行探索。根据高校用户的特点,对几种成熟的双因素认证方式进行了对比分析,为高校选择合适的双因素认证方式提供参考。关键词:网络安全;虚拟专网;双因素认证;校园网130DOI:10.16184/prg.2023.07.0422023.7电脑编程技巧与维护以深信服easyconnect为例,短信验证码双因素认证的实现步骤如下:(1)在辅助认证中的短信认证设置中启用短信验证码并进行发送参数配置。(2)完善本地用户组的手机号,或确认R
7、adius服务器返回的手机号字段,从Radius服务器获取用户的手机号。(3)用户每次登录时,除输入用户名/密码外,还需输入短信网关发送的一次性验证码,通过验证后方可进入校园内网系统。4各认证方式组合对比和分析4.1SSLVPN 与 WebVPN在对上述3种双因素认证方式进行分析之前,首先引入WebVPN的概念。VPN的Web接入方式是指用户使用浏览器以HTTPS方式、通过SSL VPN网关对服务器提供的资源进行访问,即一切数据的显示和操作都是通过Web界面进行的。WebVPN以网页的形式为用户提供服务,用户可以通过单击网页中的超链接在不同的网页之间跳转,以获取信息。在用户访问Web资源的过程
8、中,SSL VPN网关主要充当中继的角色。在高校场景中主要使用SSL VPN和WebVPN两种相结合的方式提供服务。针对以Web界面需求为主的用户,推荐使用WebVPN服务,这种方式可以让用户免去下载客户端、配置VPN参数的环节,门槛较低,用户使用体验较好;对于有一定计算机水平能力的,并且在日常工作、学习中有使用SSH、TELNET、远程控制等需求的用户,推荐使用SSL VPN服务,SSLVPN服务可以建立网络层面的交互,使用户本机内的Web、应用程序均可通过隧道进行交互,应用更加广泛4。4.2双因素认证方式在高校的实际应用通过对各高校的公开信息进行调研发现,实施VPN双因素认证的高校并不多,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 高校 SSL_VPN 因素 身份 认证 方式 研究 周萌
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【自信****多点】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【自信****多点】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。