淺談SSLVPN的十種認證方式

馮棟梁

摘 要：SSL VPN除了能提供最基本的密碼用戶名認證外，還有LDAP/AD、Radius、CA等第三方認證，以支持USB KEY、硬件特征碼、短信認證（短信貓和短信網關）、動態令牌卡、多種方式混合認證和強密碼保護功能，主從賬號綁定等加強認證方式。SSL VPN的認證方式有很多種，它被廣泛應用于企事業單位中。主要討論了SSL VPN的安全接入平臺的十種常見認證方式。

關鍵詞：SSL VPN；認證方式；密碼保護；安全接入平臺

中圖分類號：TP393.08 文獻標識碼：A DOI：10.15913/j.cnki.kjycx.2015.05.079

1 LDAP認證

系統組織已經采用LDAP進行用戶管理。它只需要在SSL VPN設備中根據LDAP中的OU組結構建立用戶組結構，并為用戶組綁定相應的OU結構，不需要再在設備中建立具體用戶。當用戶向SSL VPN提交用戶名密碼認證身份時，SSL VPN可自動將此認證信息提交給LDAP認證，并根據反饋的信息判斷該用戶是否為合法用戶。當用戶通過了LDAP認證，SSL VPN設備就會通過LDAP返回該用戶的OU值，將該用戶自動歸于綁定了該OU的用戶組。這時，該用戶即享用了該用戶組所有的認證、策略和授權等屬性。

2 Radius認證

系統組織中已經采用Radius實現用戶認證管理，在SSL VPN設備中建立相應的用戶組結構，并選用Radius認證并綁定相應的Class屬性值。當用戶向SSL VPN提交用戶名密碼認證信息時，SSL VPN就會將此信息以標準的Radius協議格式向Radius服務器發出認證請求，之后Radius將返回認證結果。如果Radius認證通過，則將在返回給SSL VPN的數據包中捎帶Class分組屬性，SSL VPN會根據綁定該屬性的用戶組賦予該用戶相應的認證、策略和授權等屬性。如果Radius認證未通過，SSL VPN則會拒絕該用戶登錄。

3 CA認證

內置CA的SSL VPN安全網關，可以支持PKI體系的認證。

4 USB KEY認證

將CA中心生成的數字證書頒發給USB KEY，并為該USB KEY設置PIN碼。利用“硬件存儲數字證書+PIN碼”的方式為用戶提供高安全的認證方式。

5 硬件綁定（HardCA）

僅使用用戶名/密碼認證的用戶，為了保證用戶登錄SSL VPN限定在某一臺或是某幾臺客戶端上，有效解決用戶賬號意外泄露、賬號盜用導致數據泄露的問題，可綁定登錄客戶端。通常情況下，客戶端綁定都是采用IP/MAC、MAC、IP綁定方式實現的。

6 動態令牌認證

動態令牌認證是技術領先的一種雙因素身份認證體系，內嵌特殊運算芯片，與事件同步的技術手段。它是通過符合國際安全認可的OATH動態口令演算標準，使用HMAC-SHA1算法產生6位動態數字進行一次一密的方式認證。

7 短信認證

USB KEY、動態令牌等認證方式能非常好地保證認證的安全性，但是，卻需要隨身攜帶USB KEY、動態令牌這些小硬件，對移動辦公人員來說非常不便。

針對上面提到的問題，采用短信認證就能很好地解決這個問題。該認證系統分為手機客戶端和短信服務器兩部分，手機往往是隨身攜帶的，相對于USB KEY、動態令牌隨身攜帶的方式更容易讓用戶接受。當用戶在進行SSL VPN登錄認證時，短信服務器將為該用戶自動生成一個6位數字的隨機認證碼，并以短信的方式發送到用戶所綁定手機號碼的客戶端，之后用戶只需在認證界面上輸入6位認證碼認證。

8 多種方式混合認證

單一的認證方式容易被暴力破解，為了進一步提高身份認證的安全性，可以采用多種認證方式結合的混合認證方式進行多因素的“與”“或”結合認證。這時，只需通過一種認證方式即可接入到SSL VPN中。

9 強密碼保護功能

對于使用單純的密碼和用戶名的SSL VPN用戶來說，對其密碼的保護則更為重要。有些SSL VPN提供了強大的安全保障策略，比如圖形校驗碼、最小密碼長度設置和程序軟鍵盤等多重設置密碼安全的保護組策略，以此提高密碼的安全性。

10 主從賬號綁定

針對C/S應用或B/S資源，用戶可在登錄SSL VPN后自行打開瀏覽器輸入資源地址訪問。這時，主從賬號綁定將通過監聽特定的IP、URL并和數據流解析相結合的認證方式，比較用戶所輸入的賬號是否與綁定的賬號一致，進而判斷對該數據包是阻止還是放行。

SSL VPN認證方式多種多樣，指定的用戶登錄SSL VPN后，通過指定的賬號訪問指定的應用，可以達到增強重要系統認證安全性的目的。

參考文獻

[1]楊揚，花亮，周路.基于SSL VPN的安全接入平臺設計與實現[J].信息安全與技術，2013（09）.

[2]熊蜀峰，周本東.基于角色的訪問控制在SSL VPN中的應用[J].計算機與數據工程，2011（08）.

[3]郭鈴，李偉生.SSL VPN的設計與實現[J].計算機技術與發展，2007（8）.

[4]段卓然.SSL VPN系統用戶權限管理模塊的設計與實現[D].北京：北京郵電大學，2008.

[5]徐博.面向SSL VPN的訪問控制及相關技術研究[D].杭州：浙江工業大學，2009.

〔編輯：白潔〕

Abstract： SSL VPN can not only provide the most basic password username authentication， and LDAP/AD， Radius， CA and three party certification， to support USB KEY， hardware signature， message authentication（SMS cat and SMS Gateway）， dynamic token card， mixed strong authentication and password protection function， strengthen the master-slave account bound the authentication mode. There are many kinds of SSL VPN authentication， which is widely used in enterprises and institutions. This paper mainly discusses ten kinds of common authentication security access platform of SSL VPN.

Key words： SSL VPN； authentication mode； password protection； security access platform