某银行VPDN身份认证网络准入案例分享

一、方案背景

运营商给XX银行打通一个内部局域网，总部给外面的网点提供4g路由器，通过运营商的线路过了AAA服务器的认证后能联到XX 银行的总部访问资源。但是并不能保证外面的网点的4G路由器是否合规（可能外面的4g路由器换了总部给他们的IMSI卡或换了路由器或是其他银行的等等）

XX银行这边管不到运营商的AAA服务器。为确保内网的安全性，XX银行在总部网又建立一台AAA认证服务器，通过总部的锐捷路由器PPP接口配置radius认证指向AAA服务器再做一层校验，针对外部通过PPP进入XX银行总部局域网的设备做认证。不仅账号信息要正确，同时这个外部连进来的4G路由器也要是可信的。

目前XX银行总部AAA服务器用的是ISE，但是目前ISE只能校验用户名/密码，并不能判断这个设备端的身份。据客户描述，IMSI 卡是4G路由器端的唯一身份。XX银行给外部的网点分发提供的路由器会记录IMSI卡信息，所以要求AAA服务器要验证外部PPP进来的用户名/密码及IMSI卡信息。

基于以上因素找到，咨询实现这个要求是否有可行性，以代替ISE。

二、方案目标

通过部署一体化认证平台，满足客户以下目标，以替代ISE：

⏹实现与锐捷路由器对接，实现PPP接口调用radius做认证；

⏹实现校验用户的用户名与密码；

实现校验用户拨入的设备的IMSI信息是否正确；

三、网络拓扑

四、方案配置

用户处新建用户名/密码，在自定义属性处给该用户绑定个自定义属性：

名称：IMSI（自定义）

属性值：46*******44（设备的IMSI卡号）

在策略处，用户过滤，设置条件：

额外属性（callingStationId）名称为IMSI（和用户处的属性名称相匹配），动作是允许。

所有情况为禁止

登录日志：

用户名/密码/额外属性都正确的情况下认证通过，否则认证失败。

五、方案优势

◆解决了ISE目前暂时不能做的痛点，客户比较满意；

◆可批量导入，运维方便；

◆完善的日志审计可追溯；

◆后期平台可延伸其他产品，满足全场景身份安全认证。

智能安全接入，从宁盾开始。宁盾成立以来专注于动态密码双因素认证市场，并以技术为导向，于2013年正式上线网络认证系统，形成一体化身份认证与访问管理解决方案。为了应对企业组织、应用的移动化及云发展趋势，宁盾不断创新身份与访问安全管理技术，形成了融合智能多因素认证、终端与网络准入控制管理、智能访客管理、统一身份管理与单点登录、网络设备AAA授权管理、大型商业WiFi

认证管理等多个产品线于一体的全场景解决方案。