新闻中心

返回

统一企业两台Juniper VPN增加DKEY短信认证

日期:2016-06-23  来源: 点击量:

1、方案概述

       统一企业在广州和昆山各部署了1台Juniper SA6500 SSL VPN,以满足5000员工的移动办公需求,目前采用域账号+密码方式认证。

 

    DKEY为VPN在原有账号密码认证体系基础之上增加一层短信动态密码认证保护, 借助DKEY,可实现:

       (1)提升VPN认证安全,消除弱身份鉴别带来的潜在信息泄漏风险;

       (2)节约密码管理成本;

 

2、系统组成

\

图1-VPN结合DKEY动态密码认证拓扑

说明:

    DKEY TMS负责动态密码生成及验证,同时可接管VPN用户帐号/密码认证工作(无缝支持账号建立在AD/LDAP中,易支持VPN账号密码TMS内建)。

描述:

     通过在VPN配置第三方认证(RADIUS),指向DKEY TMS(内置RADIUS SERVER),用户通过VPN拨入进行帐号+密码认证,通过之后获取动态密码(令牌产生/短信接收),进行二次验证,通过之后即放行。

 

3、认证流程

 

3.1、Web登陆

 

第一步:用户输入账户和密码登录VPN设备

\

 
    第二步:如果认证成功,VPN弹出二级认证页面,采用短信认证则DKEY TMS则会触发短信发送至客户手机上;
    第三步:用户输入短信接口到的动态口令,提交登陆;

    \

    \

      3.2、PAD/智能手机登陆视图

      step1:打开Junos,输入域账号密码;

       

      \

        step2:弹出Junos二级页面,输入动态密码;

        \

         

         

          4、核心功能

          4.1 VPN账号可基于AD/LDAP

                DKEY支持VPN账号基于AD/LDAP管理,当VPN发起域账号、密码认证时,DKEY TMS将域账号请求发至AD/LDAP并返回认证结果至VPN,无需保存账号信息;

          \

           

           

          4.2 支持VPN用户账号分组权限

          根据VPN用户账号分组返回不同应用访问权限;

           

          4.3 支持两台Juniper SA 6500 SSL VPN统一接入,并可设定认证策略

          (1)DKEY TMS支持多台VPN设备统一接入;

          (2)可针对不同VPN用户设定不同的访问策略;

          (3)可配置多个AD账号源;

           

          4.4 实现主备DKEY TMS,提升认证可靠性

           

          5、来自客户的评价

             统一企业(中国)IT资源规划部韩部长评价说:“在为SSL VPN选用双因子认证时,我们评估了多个双因子认证厂商,我们发现很多熟悉的企业已经部署了DKEY短信双因子认证,并有不错的评价。从上线到目前已有3个月,系统运营稳定,满足目前5000人规模VPN拨入认证,事实证明我们做了正确的选择。”