方案概述

一、需求分析


      1.1问题描述


  •            员工在内外网办公环境下借助VMWare View访问虚拟桌面资源;
  •             很多人仍然采用初始密码或者过于简单的静态密码登录;
  •  
  •             弱口令容易的内网信息系统泄漏事件;
  •             做到用户登录可审计,明细职责

二、解决方案

      2.1方案介绍

          DKEY动态密码认证是双因子认证的一种方式, VMWare View用户在原有域账号密码认证基础之上增加一层动态密码认证,形成双因子认证,以此提升VMWare View用户接入认证安全。

          与以往只提供一种硬件令牌双因子认证方案相比,DKEY可以让客户选择如下三种动态密码形式的一种或者多种:

         短信密码\手机令牌\硬件令牌


2.2拓扑结构



2.3系统组成


组成部分 功能描述 提供方
VDI Server WMWare View虚拟化桌面服务器,在双因素认证过程中,提交认证请求及接收认证结果,通过radius协议与DKEY TMS内置的Radius Server互操作。 客户
DKEY TMS DKEY令牌管理软件,DKEY双因素认证服务器软件,负责动态密码认证及域账号、密码认证代理,其支持DKEY手机令牌、短信密码及硬件令牌三种形式。 宁盾
AD(可选) 负责VPN用户账号存储、认证及授权,WMWare View依赖AD。 客户
短信网关/短信猫
(可选)
当采用短信认证用户需采用短信发送设备,目前有通道发送和短信猫卡发两种形式。 (1)当客户已有短信网关,提供发送接口给宁盾; (2)当客户用户量小于100且无短信网关,可采用短信猫; 宁盾/客户
服务器
(虚拟机)
用于安装DKEY TMS认证服务器软件,其配置需求如下: (1)硬件:CPU1G+、内存2G+、硬盘40G+; (2)操作系统:WIndows2000+、Linux64BIT,支持虚拟机部署; (3)依赖软件:无 客户


2.4认证流程


      1、输入Vmware View账号及密码(AD/LDAP)中,并提交认证;

   

      2、Vmware View通过radius协议将帐号和加密后的口令提交给DKEY TMS进行认证。

      3、DKEY TMS将接收到的帐号与口令拿到LDAP上面去鉴权,如果鉴权成功,则DKEY TMS通过Radius协议通知Vmware View弹出二级认证页面,如果短信方式,则同时出发短信随机码至用户手机;


   


      4、用户将动态密码(短信接收或令牌产生),填入二级认证页面,并提交至DKEY TMS进行鉴权;< /p>
 

三、几种Citrix双因素认证方式对比


短信密码
  • 优点:
  •       无需携带额外认证设备;
  •       管理成本低;
  •       适合登陆频度不高的用户移动办公。 
  • 缺点:
  •       短信可能出现延时或丢失;
  •       手机欠费、无手机信号(如国外出差),则无法正常使用。
硬件令牌
  • 优点:
  •       业务响应度高
  •       适合登陆频度较高的用户及中国区以外用户。
  • 缺点:
  •       令牌生命周期,3年需更换;
  •       有物流及发放管理,因此管理成本较高;
  •       容易忘记携带。
手机令牌+
硬件令牌
  • 优点:
  •       结合手机令牌和硬件令牌的两种优点;
  •       高可靠性;
  •       根据用户使用场景,选择相应的认证手段。
  • 缺点:
  •       管理员需管理两种认证终端;
手机令牌+短信密码
  • 优点:
  •       完全基于手机,无需携带额外认证终端;
  •       高可靠性;
  •       根据用户使用场景,选择相应的认证手段。
  • 缺点:
  •       管理员需管理两种认证终端;



四、实施步骤


 
步骤 描述 实施方&周期
短信网关集成/短信猫安装(可选) 当采用短信认证时候需该步骤。
(1)当采用短信网关:宁盾将客户方提供的短信网关接口集成入DKEY TMS,使其具备发送短信功能;
(2)当用户量小于100且无网关,可采用短信猫,用户方提供SIM;
宁盾/客户 0.5天
安装DKEY TMS 可安装在Windows 2000+、Linux平台 宁盾1小时
配置VMWare View Radius认证 配置VMWare View的radius认证,使其与DKEY TMS内置的Radius Server互操作。 客户1小时
配置DKEY TMS LDAP认证 配置DKEY TMS的LDAP,使其指向AD Server,当VMWare View发起账号密码认证请求,DKEY TMS将其传递给AD Server作认证并返回认证结果。 宁盾/客户1小时
用户管理 在DKEY TMS管理端建立域用户与令牌(短信手机号)的绑定关系,并进行相关设定。 宁盾/客户2小时


备注:

(1)VMWare View相关配置由客户方完成,由宁盾提供相关文档支持,实施需VMWare 配置工程师一名。

(2)实施过程需管理员协助开通相关网络端口访问权限及账号;

 

五、典型案例


客户 描述 用户规模
海南省国土厅 VMWare View5.1 + DKEY短信+硬件令牌混合认证 1500用户
上海市检验检疫局 VMWare View5.1 + DKEY短信令牌 2000用户
威海市政府 VMWare View5.1+DKEY短信认证 100用户
解放军97医院 VMWare View5.1+ DKEY短信认证 100用户
海军105医院 VMWare View6 .0 + DKEY短信令牌 100用户

(1)绝大部分客户采用短信认证,考虑移动办公登陆频度低,且无需携带额外认证终端;

(2)手机令牌越来越受到亲睐,由于智能 手机的发展;