【技术实现步骤摘要】
本专利技术属于身份认证,具体涉及基于openvpn实现双因子认证方法。
技术介绍
1、随着云计算和分布式系统的普及,我们生活在互联网时代,万物互联,为生活增光添彩,但同样的,处处充满着被盗号的风险,轻则泄露个人隐私,重则危及企业存亡,忽视安全,将会有很大的几率付出惨痛的代价。网络安全和用户身份验证的需求越来越高。在这种需求下,双因子认证系统成为确保网络安全的关键。双因子认证(two-factorauthentication,2fa)是一种身份验证方式,要求用户在登录时提供两种不同类型的身份验证信息,通常是“知识因素”(例如密码)和“拥有因素”(例如手机上生成的动态验证码)。
2、常见的认证方式有:动态密码、扫码、消息推送、邮件认证、指纹、人脸、虹膜、声音、u盘证书等,动态密码中又会细分短信令牌、硬件令牌、app令牌、微信小程序令牌、钉钉令牌等。
3、不同令牌之间也有不同的认证原理和登录方式,安全级别上来讲也是各有不同,其中生物识别认证安全级别最高,短信验证码认证和邮件认证安全级别最低。目前的验证方式基于单因子验证,其安全度较低。
技术实现思路
1、本专利技术的目的是提供基于openvpn实现双因子认证系统,用以解决现有技术目前的验证方式基于单因子验证,其安全度较低的问题。
2、为了实现上述目的,本专利技术采用以下技术方案:
3、一种基于openvpn实现双因子认证方法,所述方法应用于基于openvpn实现双因子认证系统,所述系统包括令
4、所述令牌生成临时的认证代码;所述令牌需提前生成并下发给vpn客户端;
5、vpn客户端接收用户基于人机交互输入的认证请求信息,将认证请求信息发给openvpn服务器;所述认证请求信息包括用户输入的用户名、静态密码和所述认证代码;
6、openvpn服务器接收所述认证请求信息并将所述认证请求信息发送至privacyidea认证服务器进行验证;
7、privacyidea认证服务器将所述用户名和静态密码发送到用户源做静态认证;将所述用户名和认证代码做动态认证;
8、企业用户源和privacyidea认证服务器对认证做反馈;当静态密码认证和动态密码认证同时通过时,用户成功登录,否则登录失败;
9、如果登录失败或者存在关联问题,监控中心则记录登录失败事件以及关联问题,并且根据预定义策略进行处理。
10、根据上述技术,当用户尝试连接到openvpn服务器时,vpn客户端会要求用户提供令牌生成的认证代码;这个代码将被发送到privacyidea认证服务器进行验证;privacyidea认证服务器将用户名和静态密码发送到企业用户源做静态认证;将用户名和认证代码即动态密码自己做动态认证;用户源和privacyidea认证服务器对认证做反馈;当且仅当静态密码认证和动态密码认证同时通过时,才能成功访问,否则登录失败;如果登录失败或者存在其他问题,系统将记录相关事件,并且根据预定义的策略来处理,例如阻止用户连接或者发出警报通知管理员;这种双因子认证方案提供了更高的安全性,因为它需要用户不仅提供密码,还需要提供令牌生成的动态代码,从而增加了破解系统的难度。
11、在一种可能的设计中,所述令牌的生成并下发令牌的方法包括:
12、当vpn用户第一次或者没有令牌登录,只有用户名或静态密码。
13、用户在openvpn客户端填入用户名和静态密码进行登录请求,openvpn客户端把认证信息发给openvpn服务器,并同时将openvpn客户端的参数以及证书信息传给openvpn服务器;
14、openvpn服务器核对openvpn客户端的参数以及证书信息通过后,openvpn服务器把认证信息通过pam/radius发送给配置的privacyidea认证服务器;
15、privacyidea认证服务器和企业用户源定时同步用户信息,收到认证信息后和指定的事件匹配;
16、当用户的令牌数为0,令牌认证失败次数为0,触发给对应的用户生成策略定制令牌事件动作;
17、用户有令牌后,当用户的令牌数为1,令牌认证失败次数为0,发出对应的发送令牌到用户的邮箱或手机短信的事件;
18、令牌根据时间和录入的令牌信息每隔预设时间生成一个认证代码。
19、在一种可能的设计中,所述openvpn服务器和privacyidea认证服务器具有多个节点,且部署在多个地理位置;使用负载均衡器将用户请求分发到多个openvpn服务器节点和privacyidea认证服务器节点。
20、在一种可能的设计中,使用mariadb主主复制将其中两个或多个数据库服务器都可以作为主服务器,互相将数据复制到对方。这种方案可以提供更高的数据可用性和可扩展性。在主主复制环境中,每个服务器都可以处理读写操作,当一个数据库服务器出现故障时,其他服务器可以继续提供服务,确保数据的可用性和一致性。
21、在一种可能的设计中,当活动服务器出现故障时,使用keepalived将浮动ip切换到备用服务器,以便vpn服务的连续性。使用keepalived浮动ip,您可以在多台服务器之间实现负载均衡和高可用性。当活动服务器出现故障时,keepalived会自动将浮动ip切换到备用服务器,确保vpn服务的连续性
22、在一种可能的设计中,监控用户活动和令牌使用情况,当用户不再需要令牌或者失去相关权限时,禁用或回收令牌。
23、在一种可能的设计中,令牌生成临时的认证代码的方法包括:
24、openvpn客户端和privacyidea认证服务器保持时钟一致,且双方预先设置好一个共享密钥;
25、privacyidea认证服务器先从企业用户源同步用户信息到本地,然后将用户身份和所述共享密钥绑定,再将共享密钥下发到用户令牌;
26、在认证过程中,令牌和认证系统各自通过totp算法根据共享密钥和时间戳在预先设置的间隔时间里不断产生不同的认证代码;
27、privacyidea认证服务器上跟随时间做同样的计算,也会得到和认证代码同样的口令,用作认证。
28、在一种可能的设计中,所述privacyidea认证服务器还包括手机短信和生物识别认证。
29、有益效果:
30、基于openvpn实现双因子认证的高可用解决方案,通过实现令牌的自动生成、使用邮件自动下发和高可用性,可以增强安全性、简化认证流程、提高自动化和效率,并确保系统的可靠性和稳定性,为用户提供更安全和可靠的vpn服务体验。
31、利用keepalived浮动ip实现高可用性和负载均衡,以及采用mariadb主主复制本文档来自技高网...
【技术保护点】
1.基于openvpn实现双因子认证方法,其特征在于,所述方法应用于基于openvpn实现双因子认证系统,所述系统包括令牌、VPN客户端、openVPN服务器、privacyIDEA认证服务器、企业用户源和监控中心;VPN客户端与所述openVPN服务器通信连接,所述方法包括:
2.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,所述令牌的生成并下发令牌的方法包括:
3.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,所述openVPN服务器和PrivacyIDEA认证服务器具有多个节点,且部署在多个地理位置;使用负载均衡器将用户请求分发到多个OpenVPN服务器节点和PrivacyIDEA认证服务器节点。
4.根据权利要求3所述的基于openvpn实现双因子认证方法,其特征在于,使用MariaDB主主复制将其中两个或多个数据库服务器都可以作为主服务器,互相将数据复制到对方。
5.根据权利要求3所述的基于openvpn实现双因子认证方法,其特征在于,当活动服务器出现故障时,使用Keepal
6.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,监控用户活动和令牌使用情况,当用户不再需要令牌或者失去相关权限时,禁用或回收令牌。
7.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,令牌生成临时的认证代码的方法包括:
8.根据权利要求1所述的基于openvpn实现双因子认证系统,其特征在于,所述privacyIDEA认证服务器还包括手机短信和生物识别认证。
...【技术特征摘要】
1.基于openvpn实现双因子认证方法,其特征在于,所述方法应用于基于openvpn实现双因子认证系统,所述系统包括令牌、vpn客户端、openvpn服务器、privacyidea认证服务器、企业用户源和监控中心;vpn客户端与所述openvpn服务器通信连接,所述方法包括:
2.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,所述令牌的生成并下发令牌的方法包括:
3.根据权利要求1所述的基于openvpn实现双因子认证方法,其特征在于,所述openvpn服务器和privacyidea认证服务器具有多个节点,且部署在多个地理位置;使用负载均衡器将用户请求分发到多个openvpn服务器节点和privacyidea认证服务器节点。
4.根据权利要求3所述的基于openvpn实现双因子认...
【专利技术属性】
技术研发人员:李大双,鲍卫,胡光俊,汪宏伟,施俊龙,罗明露,
申请(专利权)人:中通服软件科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。