成功案例 SUCCESS STORIES

案例背景

    某省移动业务范围广，下属机构多，营业网点遍布城区及市郊，地理上的分散给公司的日常管理造成许多不便，公司的业务数据分析处理工作长期处于繁杂重复、信息滞后的状态，一定程度地影响了公司领导的经营决策速度。为了方便企业领导和员工通过互联网方便地远程接入企业内网OA系统，该省移动应用了VPN远程接入系统。该VPN系统采用用户名+静态密码的认证方式，而静态密码存在种种安全隐患，例如窃听、破解等等，并且谨慎设置静态密码的用户很少，导致该省移动OA网络中存在着非常严重的身份认证方面的隐患。

客户需求

    为了保证重要业务信息在该省移动内部网络以及在互联网通道上安全的应用，必须对远程接入的各类用户进行强身份认证和授权，保证用户帐号和口令不被窃取。因此，该省移动提出了以下要求： 

    需要严格认证用户身份，保证接入人员的可控性；需要对接入用户的权限实现控制，保证内部应用的安全性；需要保证链路通道的安全保密性，这样可以保证数据传输的安全；需要逻辑隔离后台应用系统，保证后台服务器的安全，同时必须确保不改变用户的使用习惯。

安术方案

    安术结合该省移动现有的信息资源，为该省移动提供动态密码认证方式来确保远程接入用户身份的真实性，通过使用短消息将动态密码发送至用户手机上实现双因素认证。

    安术短信动态密码是安术身份认证的一种终端认证方式，VPN客户端在进行VPN登陆时，系统会将所需要的请求认证信息发到安术身份认证系统，系统收到请求后产生一次性动态密码通过短信发送到用户手机，同时将该一次性动态密码同步到身份认证服务器，用户可以使用该动态密码登陆，在密码有效期内认证服务器可以验证通过，并且建立VPN连接。短信方式的认证终端只需要拥有自己的手机，在VPN客户端中输入短信认证码即可以通过认证，方便了用户使用。

    与此同时，用户在内网直接登陆OA系统也启用了短信动态密码认证，实现了一套认证系统对应多个应用系统的登陆认证，确保了企业内重要应用的身份合法性。VPN和OA的登陆只允许提供了无法猜测和复制的短消息动态密码的用户接入系统，极大程度上保证登录用户确实为授权的个体，大大降低了攻击和非法访问的风险。