淺談SSLVPN的十種認(rèn)證方式

馮棟梁

摘 要：SSL VPN除了能提供最基本的密碼用戶名認(rèn)證外，還有LDAP/AD、Radius、CA等第三方認(rèn)證，以支持USB KEY、硬件特征碼、短信認(rèn)證（短信貓和短信網(wǎng)關(guān)）、動態(tài)令牌卡、多種方式混合認(rèn)證和強(qiáng)密碼保護(hù)功能，主從賬號綁定等加強(qiáng)認(rèn)證方式。SSL VPN的認(rèn)證方式有很多種，它被廣泛應(yīng)用于企事業(yè)單位中。主要討論了SSL VPN的安全接入平臺的十種常見認(rèn)證方式。

關(guān)鍵詞：SSL VPN；認(rèn)證方式；密碼保護(hù)；安全接入平臺

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A DOI：10.15913/j.cnki.kjycx.2015.05.079

1 LDAP認(rèn)證

系統(tǒng)組織已經(jīng)采用LDAP進(jìn)行用戶管理。它只需要在SSL VPN設(shè)備中根據(jù)LDAP中的OU組結(jié)構(gòu)建立用戶組結(jié)構(gòu)，并為用戶組綁定相應(yīng)的OU結(jié)構(gòu)，不需要再在設(shè)備中建立具體用戶。當(dāng)用戶向SSL VPN提交用戶名密碼認(rèn)證身份時，SSL VPN可自動將此認(rèn)證信息提交給LDAP認(rèn)證，并根據(jù)反饋的信息判斷該用戶是否為合法用戶。當(dāng)用戶通過了LDAP認(rèn)證，SSL VPN設(shè)備就會通過LDAP返回該用戶的OU值，將該用戶自動歸于綁定了該OU的用戶組。這時，該用戶即享用了該用戶組所有的認(rèn)證、策略和授權(quán)等屬性。

2 Radius認(rèn)證

系統(tǒng)組織中已經(jīng)采用Radius實現(xiàn)用戶認(rèn)證管理，在SSL VPN設(shè)備中建立相應(yīng)的用戶組結(jié)構(gòu)，并選用Radius認(rèn)證并綁定相應(yīng)的Class屬性值。當(dāng)用戶向SSL VPN提交用戶名密碼認(rèn)證信息時，SSL VPN就會將此信息以標(biāo)準(zhǔn)的Radius協(xié)議格式向Radius服務(wù)器發(fā)出認(rèn)證請求，之后Radius將返回認(rèn)證結(jié)果。如果Radius認(rèn)證通過，則將在返回給SSL VPN的數(shù)據(jù)包中捎帶Class分組屬性，SSL VPN會根據(jù)綁定該屬性的用戶組賦予該用戶相應(yīng)的認(rèn)證、策略和授權(quán)等屬性。如果Radius認(rèn)證未通過，SSL VPN則會拒絕該用戶登錄。

3 CA認(rèn)證

內(nèi)置CA的SSL VPN安全網(wǎng)關(guān)，可以支持PKI體系的認(rèn)證。

4 USB KEY認(rèn)證

將CA中心生成的數(shù)字證書頒發(fā)給USB KEY，并為該USB KEY設(shè)置PIN碼。利用“硬件存儲數(shù)字證書+PIN碼”的方式為用戶提供高安全的認(rèn)證方式。

5 硬件綁定（HardCA）

僅使用用戶名/密碼認(rèn)證的用戶，為了保證用戶登錄SSL VPN限定在某一臺或是某幾臺客戶端上，有效解決用戶賬號意外泄露、賬號盜用導(dǎo)致數(shù)據(jù)泄露的問題，可綁定登錄客戶端。通常情況下，客戶端綁定都是采用IP/MAC、MAC、IP綁定方式實現(xiàn)的。

6 動態(tài)令牌認(rèn)證

動態(tài)令牌認(rèn)證是技術(shù)領(lǐng)先的一種雙因素身份認(rèn)證體系，內(nèi)嵌特殊運(yùn)算芯片，與事件同步的技術(shù)手段。它是通過符合國際安全認(rèn)可的OATH動態(tài)口令演算標(biāo)準(zhǔn)，使用HMAC-SHA1算法產(chǎn)生6位動態(tài)數(shù)字進(jìn)行一次一密的方式認(rèn)證。

7 短信認(rèn)證

USB KEY、動態(tài)令牌等認(rèn)證方式能非常好地保證認(rèn)證的安全性，但是，卻需要隨身攜帶USB KEY、動態(tài)令牌這些小硬件，對移動辦公人員來說非常不便。

針對上面提到的問題，采用短信認(rèn)證就能很好地解決這個問題。該認(rèn)證系統(tǒng)分為手機(jī)客戶端和短信服務(wù)器兩部分，手機(jī)往往是隨身攜帶的，相對于USB KEY、動態(tài)令牌隨身攜帶的方式更容易讓用戶接受。當(dāng)用戶在進(jìn)行SSL VPN登錄認(rèn)證時，短信服務(wù)器將為該用戶自動生成一個6位數(shù)字的隨機(jī)認(rèn)證碼，并以短信的方式發(fā)送到用戶所綁定手機(jī)號碼的客戶端，之后用戶只需在認(rèn)證界面上輸入6位認(rèn)證碼認(rèn)證。

8 多種方式混合認(rèn)證

單一的認(rèn)證方式容易被暴力破解，為了進(jìn)一步提高身份認(rèn)證的安全性，可以采用多種認(rèn)證方式結(jié)合的混合認(rèn)證方式進(jìn)行多因素的“與”“或”結(jié)合認(rèn)證。這時，只需通過一種認(rèn)證方式即可接入到SSL VPN中。

9 強(qiáng)密碼保護(hù)功能

對于使用單純的密碼和用戶名的SSL VPN用戶來說，對其密碼的保護(hù)則更為重要。有些SSL VPN提供了強(qiáng)大的安全保障策略，比如圖形校驗碼、最小密碼長度設(shè)置和程序軟鍵盤等多重設(shè)置密碼安全的保護(hù)組策略，以此提高密碼的安全性。

10 主從賬號綁定

針對C/S應(yīng)用或B/S資源，用戶可在登錄SSL VPN后自行打開瀏覽器輸入資源地址訪問。這時，主從賬號綁定將通過監(jiān)聽特定的IP、URL并和數(shù)據(jù)流解析相結(jié)合的認(rèn)證方式，比較用戶所輸入的賬號是否與綁定的賬號一致，進(jìn)而判斷對該數(shù)據(jù)包是阻止還是放行。

SSL VPN認(rèn)證方式多種多樣，指定的用戶登錄SSL VPN后，通過指定的賬號訪問指定的應(yīng)用，可以達(dá)到增強(qiáng)重要系統(tǒng)認(rèn)證安全性的目的。

參考文獻(xiàn)

[1]楊揚(yáng)，花亮，周路.基于SSL VPN的安全接入平臺設(shè)計與實現(xiàn)[J].信息安全與技術(shù)，2013（09）.

[2]熊蜀峰，周本東.基于角色的訪問控制在SSL VPN中的應(yīng)用[J].計算機(jī)與數(shù)據(jù)工程，2011（08）.

[3]郭鈴，李偉生.SSL VPN的設(shè)計與實現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展，2007（8）.

[4]段卓然.SSL VPN系統(tǒng)用戶權(quán)限管理模塊的設(shè)計與實現(xiàn)[D].北京：北京郵電大學(xué)，2008.

[5]徐博.面向SSL VPN的訪問控制及相關(guān)技術(shù)研究[D].杭州：浙江工業(yè)大學(xué)，2009.

〔編輯：白潔〕

Abstract： SSL VPN can not only provide the most basic password username authentication， and LDAP/AD， Radius， CA and three party certification， to support USB KEY， hardware signature， message authentication（SMS cat and SMS Gateway）， dynamic token card， mixed strong authentication and password protection function， strengthen the master-slave account bound the authentication mode. There are many kinds of SSL VPN authentication， which is widely used in enterprises and institutions. This paper mainly discusses ten kinds of common authentication security access platform of SSL VPN.

Key words： SSL VPN； authentication mode； password protection； security access platform