零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.3.10
{{sendMatomoQuery("零信任访问控制系统aTrust","Radius令牌认证")}}

Radius令牌认证

更新时间:2023-06-15

动态口令是根据专门的算法生成一个不可预测的随机数字组合,一个密码使用一次有效,目前被广泛运用在网银、网游、电信运营商、电子政务、企业等应用领域。

动态口令是一种安全便捷的帐号防盗技术,可以有效保护交易和登录的认证安全,采用动态口令就无需定期修改密码,安全省心,从而在最基本的密码认证这一环节保证了系统的安全性。解决因口令欺诈而导致的重大损失,防止恶意入侵者或人为破坏,解决由口令泄密导致的入侵问题。

动态令牌从技术来分有三种形式,时间同步、事件同步、挑战/应答。
时间同步
原理是基于动态令牌和动态口令验证服务器的时间比对,基于时间同步的令牌,一般每60秒产生一个新口令,要求服务器能够十分精确的保持正确的时钟,同时对其令牌的晶振频率有严格的要求,这种技术对应的终端是硬件令牌。
事件同步
基于事件同步的令牌,其原理是通过某一特定的事件次序及相同的种子值作为输入,通过HASH算法中运算出一致的密码。
挑战/应答
常用于网上业务,在网站/应答上输入服务端下发的挑战码,动态令牌输入该挑战码,通过内置的算法上生成一个6/8位的随机数字,口令一次有效,这种技术目前应用最为普遍,包括刮刮卡、短信密码、动态令牌也有挑战/应答形式。

在控制中心[业务管理/认证服务器]中点击<新增服务器>按钮新增Radius令牌认证。

表28Radius令牌认证操作说明表

操作

说明

状态

设置Radius令牌服务器是否启用。

名称

设置认证服务器的名称。

描述

设置认证服务器的描述,非必填项。

服务器地址

设置Radius认证服务器的地址及端口,支持IP或域名,例如:10.243.3.65,端口:1812

认证协议

设置Radius认证服务器的认证协议,支持PAPCHAP

共享密钥

填写Radius服务器配置的密钥,两边需保持一致。

字符集

设置字符集,支持UTF-8GBK

认证超时

置认证的超时时间,在设置时间内Radius服务器未回复则认证失败。

配置案例

当用户使用本地用户认证后,需要使用radius令牌做二次认证来保证账户安全。

配置流程

  1. 在控制中心SDPC[业务管理/认证服务器管理]中新增Radius令牌认证
  1. 配置Radius服务器IP、端口、认证协议、字符集等
  2. Radius服务器上调整好对应的对接配置
  3. 创建用户,并配置认证策略,开启Radius令牌认证
  4. 登陆用户,测试动态令牌是否能够对接成功

配置指导

  1. 在控制中心SDPC[业务管理/认证管理/认证服务器]中点击新增,在二次增强认证服务器中选择Radius令牌认证。

如果Radius令牌认证特性未开启会弹窗提醒,如图,点击确定即可进入Radius令牌认证配置页面。

  1. Radius令牌认证服务器上获取的信息,完成radius令牌认证的相关信息配置。
  2. Radius认证服务器对接完成后,在控制中心SDPC[业务管理/认证管理/认证策略]中,在对应的用户目录中设置认证策略,或修改默认策略,针对需要开启Radius令牌认证的用户开启此认证方式。

  1. 接入aTrust设备后,进行主认证,主认证通过后,进行Radius令牌认证,输入动态口令,认证成功可以登陆aTrust