VPN登录解决方案

背景：
    现有的虚拟专网(VPN)中，移动式VPN的登陆方式绝大部分都是使用用户名＋静态密码的认证方式。这些静态密码的认证方式存在多种隐患：
    （1）用户在输入密码时容易被人偷看或者摄像机记录；
    （2）用户的密码容易在传输的过程中被软件截取；
    （3）用户的密码一般有一定的规律性，容易被猜测；
    （4）用户的密码长期不变，容易泄漏；
    （5）病毒，木马程序的恶意盗取；
    （6）内部的防范意识不强，内部员工的恶意操作。

现状分析：
    一旦公司/单位某个员工的密码被攻破，整个公司的内部网络就完全暴露到外面了，这是一个非常严重的安全隐患问题！VPN结合动态密码就是针对这样的安全隐患而提出的解决方案。

解决方案：
    安术为VPN在原有账号+静态密码认证体系基础上增加一层动态密码认证保护，通过动态密码可实现：
    （1）提升VPN登录认证安全，消除弱身份鉴别带来的潜在信息泄漏风险；
    （2）节约密码管理成本；
    （3）安术为用户提供短信令牌、硬件令牌、手机令牌三种身份认证终端形式供用户选择，并支持混合使用。
    与传统VPN双因素认证方案相比，选择安术方案的优势：
    （1）安术提供短信令牌、硬件令牌、手机令牌三种身份认证终端形式供用户选择，用户可根据其规模、管理能力选择合适的方式，并可为同一账号选择两种认证混合使用，实现安全、可靠及管理成本最优配置；
    （2）安术身份认证系统可支持Juniper、Cisco、F5、Array、SonicWall、Checkpoint、深信服、天融信等市场常见厂商的VPN设备；
    （3）安术身份认证系统支持AD/LDAP，并支持多AD/LDAP账号源，以满足超大规模企业不同分支机构的统一认证；
    （4）支持多台VPN统一接入，并可针对不同VPN及账号设定其认证策略。

认证步骤：
（以Juniper设备为例）
第一步：用户输入账户和密码登录VPN设备

第二步：如果认证成功，VPN弹出二级认证页面
（1）采用短信认证方式，安术身份认证系统则会触发短信发送至客户手机上；
（2）采用手机令牌或硬件令牌方式。
第三步：用户输入动态口令（令牌显示或短信接收），提交登录；

（以Cisco设备为例）
第一步：在VPN提供的登陆页面上输入认证域用户名和密码；

第二步：ASA通过Radius协议将帐号和加密后的口令提交给安术身份认证系统进行认证；
第三步：安术身份认证系统将接收到的帐号与口令拿到LDAP上面去鉴权，如果鉴权成功，则通过Radius协议通知ASA让AnyConnect弹出二级认证页面（如选择短信方式，则同时出发短信随机码至用户手机）；

第四步：用户将动态密码（短信接收或令牌产生）填入二级认证页面，并提交至安术身份认证系统进行鉴权。