虚拟化登录解决方案
背景:
员工在内外网办公环境下借助虚拟化应用访问虚拟桌面资源,现有的虚拟化应用登陆方式绝大部分都是使用用户名+静态密码的认证方式。这些静态密码的认证方式存在多种隐患:
(1)用户在输入密码时容易被人偷看或者摄像机记录;
(2)用户的密码容易在传输的过程中被软件截取;
(3)用户的密码一般有一定的规律性,容易被猜测;
(4)用户的密码长期不变,容易泄漏;
(5)病毒,木马程序的恶意盗取;
(6)内部的防范意识不强,内部员工的恶意操作。
现状分析:
一旦公司/单位某个员工的密码被攻破,整个公司的内部网络就完全暴露到外面了,这是一个非常严重的安全隐患问题!虚拟化应用登录结合动态密码就是针对这样的安全隐患而提出的解决方案。
解决方案:
安术为虚拟化登录在原有账号+静态密码认证体系基础上增加一层动态密码认证保护,通过动态密码可实现:
(1)提升虚拟化登录认证安全,消除弱身份鉴别带来的潜在信息泄漏风险;
(2)节约密码管理成本;
(3)安术为用户提供短信令牌、硬件令牌、手机令牌三种身份认证终端形式供用户选择,并支持混合使用。
与传统双因素认证方案相比,选择安术方案的优势:
(1)安术提供短信令牌、硬件令牌、手机令牌三种身份认证终端形式供用户选择,用户可根据其规模、管理能力选择合适的方式,并可为同一账号选择两种认证混合使用,实现安全、可靠及管理成本最优配置;
(2)安术身份认证系统可支持VMware、Citrix等市场常见厂商的虚拟化应用。
认证步骤(以VMware View访问为例):
1、输入VMware View账号及密码(AD/LDAP)中,并提交认证;
2、VMware View通过Radius协议将帐号和加密后的密码提交给安术身份认证系统进行认证;
3、安术身份认证系统将接收到的帐号与密码到LDAP上面去鉴权,如果鉴权成功,则安术身份认证系统通过Radius协议并通知VMware View弹出二级认证页面,如果用户选择的是短信方式,则同时出发送短信密码至用户手机;
4、用户将动态密码(短信接收或硬件令牌产生),填入二级认证页面,并提交至安术身份认证系统进行鉴权。
认证步骤(以Citrix WI访问为例):
1、用户输入用户名和密码,动态密码登录虚拟化设备;
2、虚拟化设备通过Radius协议转发域账号信息至安术身份认证系统进行认证;
3、安术身份认证系统通过RADIUS或者LDAP协议转发域账号信息至于认证服务器进行域账号查询;
4、域账号返回认证结果给安术身份认证系统;
5、如果认证成功,安术身份认证系统则会反馈虚拟化设备,登入成功。