方案概述

一、需求分析


      1.1问题描述


  •                   员工在内外网办公环境下借助Citrix访问资源各种应用资源
  •                   很多人仍然采用初始密码或者过于简单的静态密码登录
  •                   弱口令容易的内网信息系统泄漏事件
  •                   制执行员工定期更换域登录密码计划引起很多人的不满

      1.2实现目标


  •                   提升Citrix用户登录安全,消除弱身份鉴别带来的潜在信息泄漏风险;
  •                   减小静态密码遗忘或定期强制更改登录密码给员工与IT管理人员带来的开销,节约企业管理成本
  •                   做到用户登录可审计,明细职责

二、解决方案


      2.1方案介绍


       宁盾动态密码认证是双因子认证的一种方式,Citrix用户在原有域账号密码认证基础之上增加一层动态密码认证,形成双因子认证,以此提升Citrix用户接入认证安全,该方案兼容Netsclare、WI。

       在为用户提供安全认证的同时,提升使用便捷性,宁盾已成为国内Citrix用户首选方案,用户可以采用短信认证、手机令牌、硬件令牌三种形式。


      2.2拓扑结构

\


     2.3系统组成


组成部分
 
功能描述
 
提供方
 
NetScaler/WI Citrix安全接入网关,在双因素认证过程中,提交认证请求及接收认证结果,通过radius协议与DKEY TMS内置的Radius Server互操作。 客户
DKEY TMS DKEY令牌管理软件,DKEY双因素认证服务器软件,负责动态密码认证及域账号、密码认证代理,其支持DKEY手机令牌、短信密码及硬件令牌三种形式。 宁盾
AD 负责Citrix用户账号存储、认证及授权,Citrix依赖AD。 客户
短信网关/短信猫(可选) 当采用短信认证用户需采用短信发送设备,目前有通道发送和短信猫卡发两种形式。
(1)当客户已有短信网关,提供发送接口给宁盾;
(2)当客户用户量小于100且无短信网关,可采用短信猫;
宁盾/客户
服务器(虚拟机) 用于安装DKEY TMS认证服务器软件,其配置需求如下: (1)硬件:CPU1G+、内存2G+、硬盘40G+;
(2)操作系统:WIndows2000+、Linux64BIT,支持虚拟机部署;
(3)依赖软件:无。
客户

     2.2认证流程(以Citrix Receiver端为例)


  \

      1、在Receiver提供的登陆页面上输入认证域用户名和密码;

  \

     2、NETSCALER通过Radius协议将帐号和加密后的口令提交给DKEY TMS进行认证。

      3、DKEY TMS将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权成功,则DKEY TMS通过Radius协议通知NETSCALER弹出二级认证页面(如果短信方式,则同时出发短信随机码至用户手机);

 

  \

      4、用户将动态密码(短信接收或令牌产生),填入二级认证页面,并提交至DKEY TMS进行鉴权;

     认证流程(以web端为例)


  \

          1、在citrix web登陆页面上输入认证域用户名和密码、动态密码(手机令牌&硬件令牌产生);

          2、Web Interface通过Radius协议将帐号和加密后的口令提交给DKEY TMS进行认证。

          3、DKEY TMS将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权成功,DKEY TMS对动态密码进行鉴权;


三、几种Citrix双因素认证方式对比


短信密码
  • 优点:
  •       无需携带额外认证设备;
  •       管理成本低;
  •       适合登陆频度不高的用户移动办公。 
  • 缺点:
  •       短信可能出现延时或丢失;
  •       手机欠费、无手机信号(如国外出差),则无法正常使用。
硬件令牌
  • 优点:
  •       业务响应度高
  •       认证高可靠性、无时区影响
  •       适合登陆频度较高的用户及中国区以外用户。
  • 缺点:
  •       令牌生命周期,3年需更换;
  •       有物流及发放管理,因此管理成本较高;
  •       容易忘记携带。
手机令牌+硬件令牌
  • 优点:
  •       结合手机令牌和硬件令牌的两种优点;
  •       高可靠性;
  •       根据用户使用场景,选择相应的认证手段。
  • 缺点:
  •       管理员需管理两种认证终端;
手机令牌+短信密码
  • 优点:
  •       完全基于手机,无需携带额外认证终端;
  •       高可靠性;
  •       根据用户使用场景,选择相应的认证手段。
  • 缺点:
  •       管理员需管理两种认证终端;


四、实施步骤


步骤 描述 实施方&周期
短信网关集成/短信猫安装(可选) 当采用短信认证时候需该步骤。
(1)当采用短信网关:宁盾将客户方提供的短信网关接口集成入DKEY TMS,使其具备发送短信功能;
(2)当用户量小于100且无网关,可采用短信猫,用户方提供SIM;
宁盾/客户
安装DKEY TMS 可安装在Windows 2000+、Linux平台 宁盾
配置NetScaler/WI Radius认证 配置NetScaler/WI的radius认证,使其与DKEY TMS内置的Radius Server互操作。 客户
配置DKEY TMS LDAP认证 配置DKEY TMS的LDAP,使其指向AD Server,当Citrix发起账号密码认证请求,DKEY TMS将其传递给AD Server作认证并返回认证结果。 宁盾/客户
用户管理 在DKEY TMS管理端建立域用户与令牌(短信手机号)的绑定关系,并进行相关设定。 宁盾/客户


备注:

(1)NetScaler相关配置由客户方完成,由宁盾提供相关文档支持,实施需Citrix 配置工程师一名。

(2)实施过程需管理员协助开通相关网络端口访问权限及账号;


五、典型案例



客户 描述 用户规模
河南省国税局 Citrix Netscaler + DKEY短信认证 200用户
统一企业 Citrix Netscaler(WI) + DKEY手机令牌 300用户
中信证券 Citrix Netscaler + DKEY短信认证 100用户
河北证券 Citrix Netscaler + DKEY短信认证 300用户
富国基金 Citrix Netscaler + DKEY短信认证 250用户
宁波第一人民医院 Citrix Netscaler + DKEY短信认证 200用户
南方电网广西公司 Citrix Netscaler + DKEY短信认证 350用户
深圳供电局 Citrix Netscaler + DKEY短信认证 1000用户
广州市政工程有限公司 Citrix Netscaler + DKEY短信认证 100用户
苏州园区国税局 Citrix Netscaler + DKEY短信认证+硬件令牌(混合) 200用户
浙江能源集团台州电厂 Citrix Netscaler + DKEY短信认证+硬件令牌(混合) 1000用户
宁煤集团 Citrix Netscaler + DKEY短信认证+硬件令牌(混合) 520用户
深圳市冠德石油化工有限公司 Citrix Netscaler + DKEY短信认证+硬件令牌(混合) 100用户

(1)绝大部分客户采用短信认证,考虑移动办公登陆频度低,且无需携带额外认证终端;

(2)随着智能手机的发展,手机令牌越来越受到亲睐。