CitrixWebInterface雙因素認(rèn)證方案

CitrixWebInterface雙因素認(rèn)證方案一、面臨挑戰(zhàn)CitrixWebInterface 可幫助企業(yè)快速部署桌面虛擬化和應(yīng)用虛擬化，員工過CitrixWebInterface可訪問內(nèi)部資源，實(shí)現(xiàn)移動辦公，但同時(shí)也給企業(yè)信息安全管理帶來了極大的挑戰(zhàn)。安全挑戰(zhàn)：弱口令一直是企業(yè)數(shù)據(jù)泄露的一個(gè)大癥結(jié)。僅采用一種方式（用戶名+靜態(tài)密碼）進(jìn)行CitrixWebInterface的登錄鑒別，若靜態(tài)密碼被暴力破解或泄露，會導(dǎo)致合法用戶身份被冒用，嚴(yán)重威脅著企業(yè)內(nèi)部信息安全。管理挑戰(zhàn)：為防止CitrixWebInterface 賬號信息泄露，控制安全風(fēng)險(xiǎn)，企業(yè)通常強(qiáng)制要求員工定期更換登錄密碼，這給員工及IT運(yùn)維人員帶來許多不必要的麻煩，大大增加了賬號的管理成本。二、解決方案1. 寧盾CitrixWebInterface 雙因素認(rèn)證方案概述靜態(tài)密碼只能對 CitrixWebInterface 用戶身份的真實(shí)性進(jìn)行低級認(rèn)證。寧盾雙因素認(rèn)證在 CitrixWebInterface 原有靜態(tài)密碼認(rèn)證基礎(chǔ)上增加第二重保護(hù)，通過提供手機(jī)令牌、短信令牌、硬件令牌等三種動態(tài)密碼形式，實(shí)現(xiàn)雙因素認(rèn)證，提升賬號安全，加強(qiáng)用戶登錄認(rèn)證審計(jì)。寧盾雙因素認(rèn)證服務(wù)器負(fù)責(zé)動態(tài)密碼生成及驗(yàn)證，可同時(shí)無縫支持AD/LDAP/ACS等帳號源，接管CitrixWebInterface帳號的靜態(tài)密碼認(rèn)證工作。通過在CitrixWebInterface配置第三方RADIUS認(rèn)證，指向?qū)幎茈p因素認(rèn)證服務(wù)器（內(nèi)置RADIUSSERVER）。員工打開 CitrixWebInterface 進(jìn)行用戶名+靜態(tài)密碼認(rèn)證，認(rèn)證通過之后獲取動態(tài)密碼（令牌產(chǎn)生/短信接收方式），從而進(jìn)行動態(tài)密碼驗(yàn)證，通過之后方可放行。寧盾動態(tài)密碼形式短信令牌基于短信發(fā)送動態(tài)密碼的形式。在用戶完成CitrixWebInterface帳號密碼認(rèn)證之后，寧盾雙因素認(rèn)證服務(wù)器會隨機(jī)生成一個(gè)一次性密碼并通過短信網(wǎng)關(guān)發(fā)送到綁定的用戶手機(jī)上，用戶輸入該短信密碼并提交驗(yàn)證通過后才能完成登錄認(rèn)證。密碼是一次性使用的，他人即使盜用了，也無法再次使用，從而能保證賬號和信息的安全。手機(jī)令牌基于時(shí)間的動態(tài)密碼，由手機(jī) APP生成?；跁r(shí)間同步技術(shù)，寧盾令牌 APP每60秒隨機(jī)生成一個(gè)獨(dú)一無二的動態(tài)驗(yàn)證碼，寧盾雙因素認(rèn)證服務(wù)器能夠驗(yàn)證這個(gè)變化的密碼是否有效。硬件令牌基于時(shí)間的動態(tài)密碼，由硬件生成。硬件令牌每 60秒產(chǎn)生一個(gè)6位隨機(jī)密碼，使用壽命3年。需要IT運(yùn)維人員為每個(gè)Citrix WebInterface 用戶分發(fā)一枚寧盾硬件令牌，用戶登錄時(shí)輸入靜態(tài)密碼+硬件令牌上顯示的動態(tài)密碼，驗(yàn)證通過即可完成登錄。3. CitrixWebInterface 雙因素認(rèn)證流程用戶在CitrixWebInterface登錄界面上輸入用戶名、登錄密碼、寧盾動態(tài)密碼（令牌產(chǎn)生），并提交認(rèn)證。WebInterface通過Radius協(xié)議將帳號和加密后的口令、動態(tài)碼一并提交給 DKEYAM進(jìn)行認(rèn)證。認(rèn)證通過，Interface 登錄成功。

Web三、方案價(jià)值①賬號雙重保護(hù)：寧盾雙因素認(rèn)證在 CitrixWebInterface 原有賬號密碼認(rèn)證基礎(chǔ)之上增加一層動態(tài)密碼認(rèn)證，以此提升 CitrixWebInterface 用戶登錄認(rèn)證安全，解決弱身份鑒別可能引發(fā)的信息泄漏隱患；②多種認(rèn)證方式：短信令牌、手機(jī)令牌、硬件令牌，三種動態(tài)密碼形式各有優(yōu)勢，客戶根據(jù)需求自由選擇，也可以多種組合；③與現(xiàn)有系統(tǒng)無縫集成：內(nèi)置Radius認(rèn)證模塊，可與AD、LDAP等標(biāo)準(zhǔn)賬號源結(jié)合，同時(shí)也支持與其他企業(yè)本地應(yīng)用、私有云應(yīng)用以及 SAAS等的對接，提供CitrixWebInterface 的雙因素認(rèn)證服務(wù)；④實(shí)名追溯：詳盡的登錄日志，發(fā)生安全事件時(shí)可定位到個(gè)人， 做到用戶認(rèn)證可審計(jì)，滿足了等保要求；⑤簡化管理：減少CitrixWebInterface 靜態(tài)密碼定期強(qiáng)制更改，給用戶及 IT運(yùn)維人員帶來的麻煩，同時(shí)節(jié)約 CitrixWebInterface 賬號管理成本；⑥體驗(yàn)優(yōu)化：通過簡化移動安全接入，優(yōu)化用戶體驗(yàn)，在為用戶登錄CitrixWebInterface 提供安全認(rèn)證的同時(shí)，提升了使用的便捷性，助力移動化轉(zhuǎn)型。出師表兩漢：諸葛亮先帝創(chuàng)業(yè)未半而中道崩殂，今天下三分，益州疲弊，此誠危急存亡之秋也。然侍衛(wèi)之臣不懈于內(nèi)，忠志之士忘身于外者，蓋追先帝之殊遇，欲報(bào)之于陛下也。誠宜開張圣聽，以光先帝遺德，恢弘志士之氣，不宜妄自菲薄，引喻失義，以塞忠諫之路也。宮中府中，俱為一體；陟罰臧否，不宜異同。若有作奸犯科及為忠善者，宜付有司論其刑賞，以昭陛下平明之理；不宜偏私，使內(nèi)外異法也。侍中、侍郎郭攸之、費(fèi)祎、董允等，此皆良實(shí)，志慮忠純，是以先帝簡拔以遺陛下：愚以為宮中之事，事無大小，悉以咨之，然后施行，必能裨補(bǔ)闕漏，有所廣益。將軍向?qū)?，性行淑均，曉暢軍事，試用于昔日，先帝稱之曰愚以為營中之事，悉以咨之，必能使行陣和睦，優(yōu)劣得所。

“能”，是以眾議舉寵為督：親賢臣，遠(yuǎn)小人，此先漢所以興隆也；親小人，遠(yuǎn)賢臣，此后漢所以傾頹也。先帝在時(shí)，每與臣論此事，未嘗不嘆息痛恨于桓、靈也。侍中、尚書、長史、參軍，此悉貞良死節(jié)之臣，愿陛下親之、信之，則漢室之隆，可計(jì)日而待也 。臣本布衣，躬耕于南陽，茍全性命于亂世，不求聞達(dá)于諸侯。先帝不以臣卑鄙，猥自枉屈，三顧臣于草廬之中，咨臣以當(dāng)世之事，由是感激，遂許先帝以驅(qū)馳。后值傾覆，受任于敗軍之際，奉命于危難之間，爾來二十有一年矣。先帝知臣謹(jǐn)慎，故臨崩寄臣以大事也。受命以來，夙夜憂嘆，恐托付不效，以傷先帝之明；故五月渡瀘，深入不毛。今南方已定，兵甲已足，當(dāng)獎率三軍，北定中原，庶竭駑鈍，攘除奸兇，興復(fù)漢室，還于舊都。此臣所以報(bào)先帝而忠