如何为VPN选择合适的动态密码双因素认证方案？

 如何为VPN选择合适的动态密码双因素认证方案？

     北京中科恒伦科技有限公司CKEY动态密码认证是双因子认证的一种方式，VPN用户增加动态密码认证，借助此方案可以提升VPN远程拨入安全，加强登陆用户审计。

     CKEY为VPN提供短信密码、硬件令牌、软件令牌、短信密码+硬件令牌混合四种双因素认证方案，相比传统VPN采用硬件令牌或USB KEY方式在便携性及用户体验都有其瑕疵，该方案可满足不同类型企业对于安全性、便捷性、可管理性、成本多种考虑，广泛被政府、运营商、金融、制造业、内外资企业等不同领域所采纳。

与传统方式相比，北京中科恒伦科技有限公司提出四种VPN结合动态密码双因子认证建议解决方案，供选型参考。　

    描述：

　　Ø 通过在 VPN配置第三方认证(RADIUS)，指向CKEY动态密码认证服务器(内置RADIUS SERVER)，用户通过VPN拨入进行帐号+密码认证，通过之后获取动态密码(令牌产生/短信接收)，进行二次验证，通过之后即放行。

　　方案1：短信认证

　　该VPN的双因子认证技术是基于短消息发送动态密码的方式，IT管理员会为每个VPN用户绑定其手机号。

　　短信密码通过短信方式将包含随机密码的文本发送至用户手机上，通常用户会随身携带手机，无需携带额外硬件，无需安装软件，因此它是安全与便捷紧密结合的双因子认证解决方案。

　　1.1 认证流程

　　VPN结合CKEY短信密码认证，通常 VPN帐号是托管在AD/LDAP中，在完成域帐号认证之后，认证服务器会随机生成一个一次性密码并通过短信网关发送到用户手机上，用户输入至二级认证框并提交验证后才能完成认证;

这是域账户和动态密码的双重认证，因而能够很有效的保证账户信息的安全性。

　　用户登录认证的流程如下：

　　1. 用户在网络接入设备 VPN(拨号客户端or Web)提供的登录页面中输入用户的帐号口令;

　2. VPN通过radius协议将帐号和加密后的口令提交给radius动态短信认证系统进行认证，通过再通知VPN弹出二级认证页面，并触发短信至用户手机上;

　　3. 用户收到动态口令短信之后在提供的进一步输入动态口令的页面中输入动态密码，并提交后，再通过radius协议将动态密码传输给radius系统做进一步认证。

　　1.2 优缺点分析

　　优势：

　　(1) 无需携带额外设备

　　(2) 安全便捷

　　(3) 管理成本低

　　(4) 适合登陆频度不高的用户移动办公

　　(5) 实现基于手机审计

　　(6) 永久使用，节省认证终端更换成本

　　劣势：

　　(1) 短信可能出现延时或丢失

　　(2) 手机欠费、无手机信号(如国外出差)，则无法正常使用

　　方案2：动态令牌

　　该VPN的双因子认证技术是基于硬件令牌方式，IT管理员会为每个VPN用户分配分发一枚令牌，VPN用户登录时输入静态密码+令牌上显示的6位随即数字，即可完成登录，是目前最为常用的强身份认证方案。

　　动态令牌是一种硬件形式动态密码生成器，主流是基于时间型，其每隔60秒变化一个密码，密码一次性使用有效，另外由于密码生成及使用与用户终端无关，用户采用笔记本、智能机、平板都可以方便使用动态密码认证。

　　它最大优点在于认证响应度高，密码产生物理隔离，然而采用此种方式用户需携带额外硬件设备，移动办公用户可能由于忘记携带或者丢失导致无法认证情形。

　　2.1 认证流程

　　可采用两种方式：

　　(1) 同上，短信认证流程。

　　(2) 采取密码+动态密码组合方式，一级认证。

　　2.2 优缺点分析

　　优势：

　　(1) 使用便捷

　　(2) 高安全

　　(3) 业务响应度高

　　(4) 认证高可靠性

　　(5) 适合登陆频度较高的用户

　　劣势：

　　(1) 令牌生命周期，3年需更换

　　(2) 有物流及发放管理，因此管理成本较高

　　方案3：短信密码 + 动态令牌混合认证

　　该VPN的双因子认证技术是基于硬件令牌、短信密码混合认证方式，兼顾两种认证手段的特点，可以实现一个VPN用户同时绑定短信和令牌两种认证手段，易可实现分别为VPN用户分配短信密码和令牌其中一种方式，满足不同用户的双因子认证需求。

　　3.1 认证流程

　　同短信认证。

　　3.2 优缺点分析

　　优势：

　　(1) 结合短信密码和动态令牌的两种优点

　　(2) 高可靠性

　　(3) 根据用户使用场景，选择相应的认证手段

　　劣势：

(1)管理员需管理两种认证终端。

 

    方案4：手机app软件令牌认证

　　该VPN的双因子认证技术是基于手机app软件令牌认证方式，CKEY手机令牌是安装在智能手机的动态密码生成软件，其每隔30秒产生一个随机密码，且一次使用有效，功能等同于传统硬件令牌，其突破了硬件令牌的3年期寿命显示，可以安装在iOS、Andriod、Windows Phone7平台上。 

     由于手机令牌动态密码产生及使用过程中无需手机联网、无需携带额外认证设备，越来越多企业尝试采用这种安全、便捷的强认证技术。

　　3.1 认证流程

　　同硬件令牌、短信认证。

　　3.2 优缺点分析

　　优势：

　　(1) 直接安装在智能手机终端设备上；结合短信密码和动态令牌的两种优点

　　(2) 高可靠性

　　(3) 使用过程中无需手机联网、无需携带额外认证设备