网络安全参考 | UNIX参考 | GPS参考 | 无线参考 | 在线手册 | OSBUG.ORG | SUNNY-NETWORK.COM
网站地图 RSS订阅
高级搜索 收藏本站
Home | 业界动态 | 防火墙 | IDS/IPS | VPN | PKI | Honeypot | Hacker/Intruder | 黑客技术 | 破解技术 | 加密技术 | 病毒防护 | 木马 | 反垃圾邮件 | 反流氓软件 | 漏洞 | 无线安全 | UNIX | Windows | 安全编程 | 安全软件 | TPM/TCG | 数据恢复 | 企业信息安全 | 个人信息安全
 当前位置: Home > VPN > 文章  
远程接入VPN用户解决方案
文章来源: 《通信世界》 文章作者: 李建福 唐建伟 发布时间: 2006-07-25   字体: [ ]
 

  (2)有效令牌窗口和时钟漂移调整

  为解决使用基于硬件的令牌所产生的微小时间设置差异和时钟漂移问题,RSAACE/Server在3分钟的时间窗口基础上进行认证,即UCT时钟显示的当前时间、该时间的前一分钟和后一分种。如果用户名和PIN准确无误,而所提供的密码与当前时间不符,RSAACE/Server会自动将其前一分钟和后一分种匹配项进行核对。这一过程适用于认证令牌中的时钟略为偏离RSAACE/Server中的时间相位的情况。如果与其中任一项相符,则用户通过认证,进而在该用户的数据库纪录中创建一个节点,用于调整未来的登录,以反映时间漂移。

  假定一个用户定期进行登录,RSAACE/Server会一直调整令牌时间,使令牌码保持在3分钟窗口内。但是,如果一个用户长期没有登录(一般情况下达几个月),其令牌时间就会漂移到三分钟窗口以外,生成一个无效的令牌码。在这种情况下,RSAACE/Server会测试当前时间前十分钟和当前时间后十分钟的令牌码,如果它与其中任意一个代码相符,那么RSAACE/Server会再次要求用户输入令牌码,以确认令牌所有权;如果第二个令牌码具有相同的时钟漂移,该令牌就被假定为有效,从而用户通过认证,RSA ACE/Server会在该用户纪录中注明特定认证令牌的时钟差异,已备未来登录时使用。

  但是,如果所提供的PIN(个人身份识别号)不匹配,或输入了无法由时钟漂移解释的错误令牌码,RSAACE/Server会要求用户重试。管理员可以设置在锁定用户和建立报警日志项目前允许的重试次数。

  三、用户远程接入VPN接入方案规划

  用户远程接入VPN系统结构如图1所示。

图1  用户远程接入VPN系统结构


  服务器端系统包括:

  高性能VPN接入服务器组成高可用性VPN接入服务器

  计费认证服务器

  RSAOTP服务器

  日志审计服务器及VPNManager

  用户端设备

  移动终端(WindowsXP/2000)

  RSA令牌卡、Internet移动办公用户接入内网流程:用户首先接入Internet,通过L2TP+IPsec呼叫与Internet接入VPN服务器连接,输入用户名密码,其中密码为PIN码+RSA令牌卡产生的一次性密码。密码通过PPP的CHAP认证由CAMS与RSAServer组合完成认证后向VPN接入路由器反馈认证是否成功信息最终决定用户是否可以接入。用户通过认证后即可通过L2TP协议获得企业内网内部IP地址,与内网内设备与系统进行正常通信。

--
原文链接: http://www.c114.net/technic/ZZHtml_20067/T200672514491916336-1.shtml

 
推荐文章
 
 
共3页: 上一页 [1] [2] 3 下一页
↑返回顶部   打印本页   关闭窗口↓  

Google
 
Web oldhand.org unixreference.net meshmea.org
热点文章
·基于MPLS的VPN技术原理
·SSL VPN和IPSec VPN之间
·企业虚拟专用网络VPN及
·VPN技术概述
·VPN安全协议概览
·多线路智能最优选路VPN
·SSL VPN:卧榻之侧岂容I
相关分类
相关文章
·SSL VPN和IPSec VPN之间
·多线路智能最优选路VPN
·基于MPLS的VPN技术原理
·企业虚拟专用网络VPN及
·VPN技术概述
·VPN安全协议概览
·SSL VPN:卧榻之侧岂容I
更多...
 
 

Copyright(c) 2001-2008 OLDHAND ORGANIZATION, All Rights reserved.
Power by DedeCms 织梦内容管理系统
$Id: article_article.html,v 1.3 2007/02/10 12:00:37 yjs Exp $