天融信 VPN 系统可以为各类大型单位移动办公、远程办公、分支互联等办公协作提供更佳全面高效的安全接入服务。但企业在使用时如果仅通过用户名和密码的方式接入 VPN，则可能存在弱口令安全隐患。宁盾动态令牌采用国密 SM3 算法，支持对接天融信 VPN 系统，为用户登录提供二次动态口令身份验证，增强用户身份鉴别，保障接入用户身份可信。

(资料图)

天融信VPN国密动态令牌二次认证解决方案概述

用户名和静态密码的方式只能对 VPN 用户身份的真实性进行低级别认证。天融信 VPN 系统同样支持多种形式的二次认证方式，如短信认证、证书认证、生物识别及谷歌令牌等。但宁盾国密动态令牌具有可扩展、自适应的独特优势，不仅能为天融信 VPN、堡垒机应用提供二次身份验证，还可以为其他品牌的设备、业务系统、网络等场景提供支持。

宁盾国密动态令牌认证系统负责动态口令生成及校验，通过 RADIUS 协议与天融信 VPN 系统对接，支持AD域账号、OpenLDAP、ACS等账号源，同时也可以接管天融信 VPN 账号的静态密码校验工作。

天融信VPN结合宁盾国密动态令牌认证原理

在天融信 VPN 系统上配置宁盾动态令牌认证系统 DKEY AM （内置了 RADIUS Server）服务器地址及端口号等信息，将 VPN 的认证指向宁盾动态令牌认证系统，并配置好作用域（为哪些用户开启动态令牌认证）。用户打开天融信 VPN 输入用户名和密码提交后触发二次认证过程，结合宁盾国密动态令牌上的6位随机动态密码进行身份校验，验证成功即可连接 VPN。

天融信VPN国密动态令牌认证流程

打开天融信 VPN 客户端，点击“新建连接”，选择“通过地址或域名登录”；

在新出现的窗口中输入域用户名、域密码及动态令牌里的6位数字，并提交认证。认证通过，成功接入天融信 VPN。下图中“登录密码”前面输入的是域密码，后6位的是动态密码，实现了单步认证登录。

方案优势：

● 增强账号安全：在天融信 VPN 用户名和静态密码的基础上增加了动态令牌认证因素，提高了接入用户的身份安全性；

● 满足等保合规：采用国密算法，拥有商用密码资质，助力企业快速满足等保合规要求；

● 降低运维成本：减少因静态密码（域账号密码）定期强制更改带来的麻烦，减轻运维管理成本；

● 多场景可扩展：同一套认证系统及令牌支持企业 Exchange 邮箱、Office365、堡垒机、服务器等应用场景的双重身份验证，节约成本。

宁盾（www.nington.com）版权所有，转载请注明出处。更多动态令牌二次身份认证内容可前往宁盾官网查看。

关键词：