认证之惑 全网可信的TPN认证体系

　　认证之惑

　　"安全网关无法和正在使用的认证体系集成，我们需要花费很多工夫把现在认证服务器上的用户复制到VPN设备上，而且以后还要时刻维护和同步用户数据。"

　　"安全网关能否整合第三方提供的动态口令卡，直接使用动态口令安全认证。这个动态口令卡服务器端认证系统使用的是标准的Radius认证服务接口？"

　　"我们希望以手机短信的方式把动态口令发到用户手机上。"

　　"我们企业内部使用了不止一个认证服务系统，安全网关能否协同认证用户？"

　　"安全网关能否通过我们自主开发的专用认证体系动态认证用户？"

　　"安全网关虽然能通过我们的认证服务器上进行用户认证，但却无法区分控制他们的访问权限。"

　　以上是我们能经常听到的抱怨；这反映了在使用安全网关时，客户对用户安全认证方面的困扰，也证明传统安全网关设备在集成其它认证体系支持、提供多样的认证方式以及用户授权方面，还存在的不足。

　　目前，为了高效管理用户，很多企业采用了各种新的用户管理体系，例如使用AD（Windows活动目录），LDAP（轻型目录管理协议），Radius（集认证、授权、计费于一体的远程用户拨号认证服务）等等，每种用户管理体系都有相应的认证或授权机制。如果作为边界设备的安全网关不能很好支持或集成企业使用的认证体系，那要么增加了企业的巨大管理负担，要么网关干脆无法部署应用。

　　另一方面，VPN客户对认证方式的要求也很多样化，例如要求通过手机短信进行动态认证或使用动态口令卡（TOKEN）等，能否不断满足用户的各种新需求，也成为网关产品成熟与否的因素之一。

　　安达通TPN用户认证体系

　　在TPN系统中，我们需要构建一个完备的认证体系，它至少应包括多样的认证方式，多种认证体系支持和授权机制；更为重要的是，应具有标准接口以支持可扩展性，以便提供更灵活的应用方案和更安全的认证控制。

　　由于各种认证体系在工作方式上有巨大的不同，所以在TPN系统中，我们通过采用认证适配器层（Auth Adapter Layer）把不同的认证体系抽象成一类具有统一接口的"认证服务器对象"来配置管理和使用，并且将传统的本地认证归纳成"内置认证服务器"对象的功能，而其它认证体系被看作是各种"第三方认证服务器"。

　　下图简要地描述了在用户的认证过程，它包含了用户对多层次认证、多种认证服务系统、多种认证方式的要求：

TPN系统认证流程

　　1） 从各种承载设备中获取认证信息

　　不同的认证方式需要不同的认证信息（例如用户名、口令、证书、手机号等），这些信息不仅可以由用户直接输入，也可以从.. . .... 诸如USB KEY、Key文件、WEB浏览器（存证书）、动态口令卡等设备中获取，认证信息用于下面发起认证请求。

　　2） 提供多样的方式发起认证请求

　　提供多种方式（如用户名-口令、证书、手机号等认证方式）向设备发出认证请求。

　　3） 设备自动选择认证服务器来认证用户，并基于角色授权

　　设备会自动选择认证服务器：如果用户是设备上的本地用户，则在内置认证服务器进行同步认证；如果用户是某第三方认证服.. . .... 务器用户，则去该认证服务器进行异步认证；如果用户在本地设置中不存在，则去预先指定的一个或多个缺省认证服务器认证.. . .... ，并在设备中记录该动态用户。

　　用户认证成功后，设备按照其所属角色给他授权。动态用户则按其所在认证服务器的缺省角色来授权。

　　4） 动态口令认证

　　如果设置了需要动态口令认证，则在用户通过初步验证后，系统以邮件、手机短信等方式发送动态口令给用户，让用户再进行.. . .... 一次动态的认证，提高了安全性。

　　经过精心设计后，多层次、多方式、多服务器的复杂认证控制逻辑被隐藏起来，对管理员来说只需要操纵“认证服务器”这一单一对象，对用户使用来说则是完全透明的；对希望扩展新认证体系的开发者来说，只要按照上面提到的认证适配器层统一开放接口进行开发，就能迅速兼容扩展到新的应用环境中去。

　　下图是VPN管理控制台上认证服务器、默认认证服务器以及缺省角色的设置。

标准认证服务器接口设计

　　小结

　　TPN安全认证体系的特性可以总结为统一性、完备性和可扩展性上；

　　统一性：

　　由于各式各样的认证体系都有其不同的协议、通讯过程和算法，所以需要抛开其表面上的巨大差异，只根据应用环境去分析他们的共同点，最终这些认证体系都可以统一起来，并被抽象为“认证服务器”对象。由于体系具备了统一性，我们又可以更进一步，允许各种认证体系自由组合、协同工作，从而轻易地实现了在应用时支持多种认证体系同时混用。

　　完备性：

　　认证体系融合了认证过程中的各种要素，使其协同工作：

　　支持多种认证信息承载方式，如USB KEY，文件KEY，浏览器，动态口令卡等;

　　支持多种认证方式，如传统的用户-口令；证书；手机号等;

　　支持多种认证服务器，包含内置认证服务器，AD服务器，LDAP服务器，Radius服务器等;

　　支持全动态认证，使用第三方认证服务器时无需在设备和认证服务器间做任何数据导入或同步工作，甚至可以无须在设备上配置任何用户信息;

　　支持同时去多个认证服务器（不管是相同或不种类型）认证，便于使用多个认证服务器或多种认证体系的企业;

　　支持动态口令（多层次认证），可以在初步验证后，再进行一次动态认证（通过诸如邮件、手机等方式发送动态口令给用户）;

　　支持与基于角色的用户权限管理向结合，可绑定角色和安全评估等级进行用户动态权限策略管理。

　　可扩展性：

　　TPN用户认证体系在设计时就将扩展性作为重要的方向，尤其是便于扩展新的认证体系或方式；目前已经集成了对企业常用的几种通用认证体系（如AD，LDAP，Radius等）的支持。如果客户使用某种独特的或自主研发的认证体系，或要求某种新的认证方式，我们可以根据扩展接口开发相应支持模块集成到认证系统中，甚至可以由客户自己根据开放接口来开发和扩展，从而快速满足新的应用需求。

　　虽然TPN用户认证体系的统一性体现了对各种认证要素的包容，但由于软件技术和认证方式的发展，可扩展性仍然将是未来TPN认证系统最重要的发展方向。今后，我们将致力于对各种先进认证方案更广泛的支持，另一方面继续完善扩展接口，将该体系向更通用和更具适应性的方向推进。