面临的挑战

1. 安全威胁

开源VPN（OpenVPN）是一个功能齐全的 SSL VPN 解决方案，为远程访问等企业级场景提供了许多选项来控制 VPN 客户端的安全性，同时也能保护服务器安全。其最大优势在于位不同系统平台提供出色的稳定性和可扩展性。

在远程办公场景中，在外网环境的员工可借助开源VPN（OpenVPN）访问企业内部应用和资源。但单一的静态密码登录验证机制下，不少员工仍采用初始密码或者过于简单的静态密码，一旦遭窃，很有可能给内部系统的信息安全带来巨大冲击。

2. 管理成本

为防止开源VPN（OpenVPN）账号信息泄露，企业通常强制要求员工定期更换登录密码，虽然提升了安全性但也给员工及IT运维人员带来了不必要的麻烦。另外，企业如没有及时收回账号，离职员工仍然有VPN的合法访问权限，不仅会额外增加IT部门的账号回收管理成本，也会带来安全风险。

宁盾 VPN 多因素认证解决方案

1. 开源VPN（OpenVPN）多因素认证解决方案概述

静态密码只能对开源VPN（OpenVPN）用户身份的真实性进行低级别认证。宁盾多因素认证在企业VPN原有静态密码认证基础上增加二次认证保护层，通过提供H5/小程序令牌、手机令牌、短信令牌、推送认证等多种动态令牌形式，保障VPN账号和访问安全。

宁盾NingDS身份目录云中的多因素认证云服务器负责生成及验证动态令牌，可同时无缝支持AD/LDAP等账号源，接管VPN账号的静态密码认证工作。通过在开源VPN（OpenVPN）配置第三方RADIUS认证，指向宁盾NingDS多因素认证服务器（内置RADIUS认证服务器）。员工拨入开源VPN（OpenVPN）进行用户名+静态密码认证，认证通过之后获取动态密码（令牌产生/短信接收方式），从而进行动态密码验证，通过之后方可放行。

2. 宁盾动态令牌形式

手机令牌

宁盾令牌手机APP基于时间同步技术，每60秒生成一个动态密码，再通过宁盾NingDS认证服务器验证动态令牌的有效性。

短信令牌

用户在完成账号密码认证后，宁盾NingDS多因素认证服务器会随机生成一个一次性验证码并通过短信网关发送到绑定的用户手机上，用户输入短信验证码并提交验证通过后才能完成登录认证。

H5令牌

将宁盾令牌集成到企业微信/钉钉/飞书等APP内形成H5令牌

微信小程序令牌

将宁盾令牌集成到微信小程序内，无需再安装APP

APP推送认证

通过一键授权即可实现安全认证，无需输入动态令牌

3. 开源VPN（OpenVPN）多因素认证流程

① 用户进入OpenVPN登录界面，输入账号及密码信息并进行认证。

② 账号密码认证通过后，用户需要在新界面输入动态密码，动态密码由令牌产生通过短信接收，输入动态密码通过认证后即可登录。

方案价值

账号双重保护：宁盾多因素认证在OpenVPN原有账号密码认证基础之上增加一层动态密码认证，以此提升VPN用户接入认证安全，解决弱身份鉴别可能引发的内网信息泄漏隐患。

多样化认证：手机令牌、短信令牌、微信小程序令牌、H5令牌、硬件令牌、APP推送认证等多种动态密码认证形式各有优势，客户可根据需求自由选择单一形式或组合形式。

等保合规：帮助企业满足国密三级等保合规要求。

简化管理：减少企业因VPN静态密码定期强制更改，开箱即用，减轻用户及IT运维人员的负担，也能节约账号管理成本。

与现有系统无缝集成：内置RADIUS认证模块，可与AD、LDAP等标准账号源结合，同时也支持与企业本地应用、私有云应用以及SaaS应用等对接，提供OpenVPN的多因素认证服务。

优化体验：通过简化移动安全接入，优化用户体验，在为用户登录OpenVPN提供安全认证的同时，使用更便捷，助力企业移动化转型。