易采办图_中科恒伦动态认证_中科恒伦

　　项目背景

　　中核能源借助Citrix

XenAPP实现应用虚拟化，接入层部署Netscaler，中科恒伦，目前Citrix采用域账号+密码认证，中科恒伦双因子认证，存在密码强度不高，使得数据面临风险;

　　实现目标

　　(1)认证方式：Citrix用户在现有域账号密码认证基础之上，中科恒伦双因子，增加一层短信动态密码认证，提升Citrix远程接入安全性;

　　(2)实现部署主备认证服务器，当主服务器无法提供认证，中科恒伦动态认证，由备份认证认证服务器提供服务，以提升双因子认证的可靠性。

　　系统组成

　　通过部署两台CKEY认证服务器，并未每台安装一枚，实现Citrix短信认证，并无缝对接原有域账号密码认证体系。

　　认证流程

　　(1)登录页面，在Ipad receiver上输入认证用户名和密码

　　(2)认证通过后，接下来会出现如下窗口，需要将手机上收到的动态短信密码(或令牌上显示的动态密码)输入以下窗口。

　　(3)如果动态密码验证正确，将如愿在右边出现虚拟桌面/虚拟应用的资源列表，从而可以使用桌面云。

　　优点：

　　(1)提升Citrix用户访问安全、*携带额外认证设备，使用便捷;

　　(2)由于Citrix移动办公频度低，采用短信认证确保使用成本和管理成本低;

　　(3)无缝支持Citrix账户在AD/LDAP中管理，而*任何账户同步工作;

　　(4)支持web和Citrix Receiver(iphone、ipad、andriod)方式访问;

　　(5)采用主备部署，提升短信认证可靠性。

　　3、几种防火墙认证方案选型

　　短信密码 优点

　　§*携带额外认证设备，是目前防火墙主流认证方式;

　　§管理成本低

　　缺点

　　§短信可能出现或丢失

　　§手机欠费、无手机信号(如国外出差)，则无法正常使用

　　硬件令牌 优点

　　§业务响应度高

　　§认证高可靠性、无时区影响

　　§适合登陆频度较高的用户及中国区以外用户

　　缺点

　　§令牌生命周期，3年需更换

　　§有物流及发放管理，因此管理成本较高

　　§*忘记携带

　　短信密码+

　　硬件令牌 为所有用户开通短信密码认证，给一些对可靠性要求十分高的用户额外配置硬件令牌，以提升整体可靠性;

　　手机令牌+

　　短信密码(hot)码为有iPhone、Andriod、WP手机令牌安装手机令牌，为部分无法安装手机令牌用户开通短信认证，实现完全无令牌的双因素认证，是一种安全、成本、管理的双因素认证方案;