启博SD-WAN采用动态口令认证方案

上海某科技公司是国内知名芯片设计方案公司，企业以产品研发为主，公司在上海、深圳、台北、美国硅谷都设有研发中心，企业的数据集中存放在上海总部，其它研发中心的人员通过启博SD-WAN连接到公司内网，进行提交代码或资料调阅。企业为了保护数据的安全，对所有代码都采用了加密处理，公司的资料只有连到内部网络才可以正常打开。对于SD-WAN的接入，上海某科技中心提出了采用动态密码的技术严把SD-WAN的接入，避免静态用户名和口令的脆弱性，造成SD-WAN帐号被盗用的问题。

启博公司根据客户的要求，提出了SD-WAN+动态令牌系统的解决方法。具体做法是在用户现有的启博SD-WAN的基础上，增加一台动态令牌服务器，安装启博OTP动态密码系统。启博SD-WAN的用户验证方式选radius认证，radius服务器地址指向启博OTP动态密码系统所在服务器IP。启博SD-WAN网关上不需要建SD-WAN接入帐号，所有SD-WAN接入帐号在启博OTP动态密码系统进行新增和管理。SD-WAN客户端用户，每次连接SD-WAN时，需要输入用户名和otp动态令牌产生的密码，此密码一次性有效，有效期为60秒，大大加强了SD-WAN接入者身份认证的安全性。方案的拓朴图如下：

（1）动态密码一次性有效，再也不用担心密码被窃取。

（2）启博OTP动态密码系统除生成动态密码外，还可以设置SD-WAN帐号的有效期，帐号过期自动被禁止接入。

（3）启博OTP动态密码系统的动态密码产生，可以采用硬件令牌或手机APP的方式，灵活方便。

（4）相比短信验证长期付短信费，启博OTP动态密码系统有天然的成本优势。

（5）启博OTP动态密码系统可与第三方支持radius认证的业务系统无缝对接，如OA、ERP等等，包括第三方的SD-WAN产品。