深信服SSL VPN产品白皮书 文档密级:公开
多种认证方式、完善的认证体系,使得企业在选择的时候,可以根据相应的安全级别,对客户端的认证方式进行组合,最大限度地保证了接入用户的合法性和企业内网资源的高度安全。
3.1.3 动态身份认证提供多重保证
当前间谍软件、木马等安全威胁日益严重,传统的基于口令的认证方式容易被窃取,一旦泄漏将造成企业数据的安全隐患。深信服科技采用了多种动态身份认证系统来消除该隐患,保证了用户使用SSL VPN访问总部资源时的安全性。
? DKEY认证
SANGFOR SSL VPN安全网关采用SSL协议加密建立安全的专用加密通道,除了使用标准SSL协议内置的RC4等加密算法和RSA128bit签名算法来保证数据的安全性之外,还使用DKEY(一种USB 的身份认证设备)进行双因素身份认证,并使用PIN码保护DKEY的安全。这种USB DKEY可以同时支持两套VPN(IPSec和SSL)系统,安全方便。
? 免驱动USBDKey
针对一般的USBDKEY在使用的过程中跟U盘一样需要安装该USB Key的驱动,但是往往驱动的兼容性问题导致无法正常登录SSL VPN,导致业务无法开展。针对这样的情况,
深信服科技版权所有 www.sangfor.com.cn
6
深信服SSL VPN产品白皮书 文档密级:公开
深信服提出免驱动DKey认证,当您首次使用DKey进行登录的时候,不需要安装DKey也能够正常登录SSL VPN,无需担心驱动的兼容新问题,提高业务访问效率。
? 短信认证
无线技术的突飞猛进给网络世界又带来一次巨大的革命,其灵活可靠的特点吸引了所有人的视线,因此,依靠无线通讯技术的短信认证技术也应运而生。短信认证技术是一种革新型认证解决方案,此认证系统分为手机短信终端和短信认证服务器两部份。终端用户在既有移动电话和PAD的基础上,通过手机短信获得双因素用户认证访问代码,就能够安全地访问网络资源。深信服支持与短信猫进行互动来进行短信认证。
? 短信网关
除了通过短信猫方式进行短信发送外,深信服还支持运营商的短信网关,如果您的网络中已经部署了短信网关(移动、联通或电信的短信网关),深信服可以和您的短信网关结合,实现短信认证。
当可能由于网络的延时或者网络运营商的问题导致短信未及时发出,完全影响了使用者的使用,导致业务无法正常使用,针对这样的情况,深信服为您提供短信重发功能,让您能够方便快捷使用短信认证。
? 硬件绑定(HardCA)
传统的用户名和密码或者CA证书认证方式都存在证书或密码被盗用的问题。为避免传统方案的泄密缺陷,SANGFOR SSL VPN使用了深信服公司的特色技术-基于PC硬件特征
深信服科技版权所有 www.sangfor.com.cn
7
深信服SSL VPN产品白皮书 文档密级:公开
的证书认证系统(HARDCA)来实现基于硬件的认证。该认证原理是将用户账号与其所在计算机硬件信息(如CPU、硬盘、网卡等)进行绑定,即便用户账号意外泄露,由于非法用户无法使用与此账号事先绑定的那台计算机,因而不会造成非法用户接入。
? 动态令牌认证
动态令牌是技术领先的一种双因素强身份认证体系,采用用户PIN码+动态令牌码构成完整用户口令,令牌码由令牌内置唯一种子和当前时间通过伪随机算法生成,每分钟改变一次,而且是一次性密码(密码使用后立即失效,不能重复使用)。由于实际上的安全问题都和密码有关,盗窃和破解密码是最常见的口令攻击手段,因此动态令牌很好的解决了以上问题,为用户的使用提供了极高的安全性保证。
3.1.4 内置的CA中心提供完整认证体系
SANGFOR SSL VPN安全网关内置了CA中心,企业或者事业单位可自建CA中心,用户可不必购买单独的CA认证体系,为企业减少了投入成本。同时,SANGFOR SSL VPN安全网关也可无缝支持已有的第三方CA认证。深信服内置的CA中心可以支持建立服务器证
深信服科技版权所有 www.sangfor.com.cn 8
深信服SSL VPN产品白皮书 文档密级:公开
书和个人身份证书,在减少投资成本的同时可以满足组织对于CA的大规模使用,让您构建您自己的CA认证中心。
3.1.5 与第三方CA结合
为了建立更加完善的认证体制,很多企业引进了CA中心,通过CA中心来建立更加完善的认证体制。深信服SSLVPN能够更好的实现与CA中心这样的认证体制的结合,支持包括UCS-2, GBK, UTF-8, GB2312, BIG5编码格式,支持der、crt、cer、p12、pfx、p7b格式证书,还可以读取CA证书中的指定字段,形成身份账号绑定和从而能够与第三方CA进行完美的结合,满足大规模用户对于认证的要求。
深信服SSLVPN与第三方CA结合,还可以支持设置证书中的内置授权值,并与之绑定账号完成组织结构的建立,达到更完美支持CA证书认证的效果。同时,深信服SSL VPN至少支持5张不同的CA根证书,,以及配置证书绑定字段以及批量导入/导出用户证书记录等,即使是复杂数字证书体系也能良好的支持。
3.1.6 与LDAP(AD)结合
随着组织规模的扩大,为了更好的进行认证,大部分的组织都建立了LDAP(AD)服务器,通过LDAP服务器来进行人员的统一管理。LDAP可以根据组织内部的结构来进行人员的划分,完全根据企业内部的组织架构来建立LDAP的人员结构。
深信服能够与LDAP进行联动,无需在SSL VPN设备上建立LDAP上的用户,直接将认证的数据转向LDAP服务器,让LDAP进行判断。如果有一些特殊的需要,也可以将LDAP中的用户导入到设备中,可以根据您的需要定时进行同步,您可以选择一个固定的时间进行同步,也可以选择实时的进行同步,从而保证LDAP上的用户与SSL VPN上的用户信息保持同步。
为了更好的体现认证的多样性,深信服SSL VPN提供读取LDAP中的手机号码,可以跟短信认证结合起来,这样就可以实现与LDAP结合的双因素认证。
对于在LDAP中已经划分好了权限的情况,为了保持跟LDAP中权限的一致性,深信服SSL VPN支持导入LDAP中的Group属性,这样就可以完美继承LDAP中的权限属性,从而与LDAP中的权限保持一致。
当大量的用户通过LDAP进行认证,但是本地SSL VPN数据库中没有用户信息也无法
深信服科技版权所有 www.sangfor.com.cn 9
深信服SSL VPN产品白皮书 文档密级:公开
分配虚拟IP,那就没有办法使用IP资源。为了解决这样的问题,深信服可以读取LDAP中的IP字段属性,从而通过LDAP可以进行虚拟IP的分配,这样通过LDAP进行认证的用户可以得到虚拟IP实现双向访问。
3.1.7 与Radius结合
Radius作为3A体系中重要的一个元素,对于一些大型的集团型公司来说都部署了Radius服务器作为身份认证的一个因素,如果重新在SSL VPN上建立一套认证体制的话就会造成需要管理两套认证体制,因此为了减少增加认证体制所带来的麻烦。SSL VPN需要与Radius进行完美的结合。
深信服SSL VPN能够读取Radius的分组权限信息,这样在Radius中已经建立好的分组就可以映射到SSL VPN中,从而实现角色的划分和资源的绑定。
同样为了实现多样的认证,深信服SSL VPN也支持读取Radius中的手机号码属性,从而跟短信认证可以完美结合,实现双因素的认证。
同样为了实现通过Radius进行认证的用户也能够分配到虚拟IP,深信服SSL VPN可以读取Radius中的IP属性段,从而也可以绑定虚拟IP,实现通过Radius访问也能够进行IP资源的正常访问。
深信服科技版权所有 www.sangfor.com.cn 10