如果對我們的方案感興趣,請在此提交您的相關(guān)需求,冰峰網(wǎng)絡(luò)將為您制定出更加貼合您的專業(yè)方案。
隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,VPN(虛擬局域網(wǎng))作為解決企業(yè)分支機構(gòu)互聯(lián)及移動辦公問題的主要手段,應(yīng)用得越來越廣泛。其主流技術(shù)有兩種,一是采用IPSec協(xié)議,主要為站點間創(chuàng)建安全隧道提供直接(非代理方式)接入,實現(xiàn)對整個網(wǎng)絡(luò)的透明訪問的固網(wǎng)互聯(lián)VPN;另一個就是采用SSL協(xié)議,利用內(nèi)置在每個Web瀏覽器中的加密和驗證功能,提供安全遠程訪問企業(yè)應(yīng)用的移動接入VPN。
不論哪種技術(shù),它首要任務(wù)就是在客戶與其所訪問的資源之間建立安全通道,確保點到點的安全互聯(lián)。然而,許多安全專家通過多年對VPN實際應(yīng)用的調(diào)查和研究,發(fā)現(xiàn)目前的技術(shù)中依然存在許多問題:
- 客戶端泄漏密碼。如今的木馬病毒非常猖獗,終端用戶防范意識不強,極易被盜取密碼。另外,在基于瀏覽器SSL方式下還有更嚴(yán)重的問題,如瀏覽器默認(rèn)保存用戶名和口令,瀏覽器可能會緩存文檔和屏幕,這都有可能泄露機敏信息。如果用戶忘了退出瀏覽器會話,也會帶來風(fēng)險。
- 從不可信終端訪問企業(yè)資源。系統(tǒng)管理員都知道,對用戶終端的管理非常的困難。如果用戶從不可信任的終端登陸,輕則帶來木馬、病毒的泛濫,重則直接導(dǎo)致機密文件失竊。
- 用戶弱口令。大多用戶密碼都非常簡單,而且沒有定期更改密碼的習(xí)慣。弱口令在一些密碼破解工具前,不堪一擊。
- 用戶權(quán)限不可控。用戶接入后,由于認(rèn)證方式不完善,權(quán)限控制不夠,用戶可以訪問企業(yè)未經(jīng)授權(quán)的資源。權(quán)限不分級,所有用戶權(quán)限相同,不同級別的用戶訪問的資源也就相同。
不難看出,導(dǎo)致這些問題的根本原因就在于對移動用戶接入的身份認(rèn)證是單向信任的。即客戶端只要擁有正確的密鑰,服務(wù)端就認(rèn)為他是可信任的用戶。而密鑰的管理向來是企業(yè)的盲區(qū),因此必須加強遠程訪問的認(rèn)證密鑰策略。密鑰策略既要是保證安全的,又要是高效方便的。如果密鑰的安全得不到保證,那么VPN的安全就是一句空話;如果密鑰的方式單一,那么用戶的多應(yīng)用環(huán)境就無法實現(xiàn)。
目前許多廠商認(rèn)識到了問題,推出了多種改進手段,如采用USB KEY+密碼的雙因子認(rèn)證、硬件特征的識別、動態(tài)令牌等。這些改進從一定程度上降低了安全風(fēng)險,但依然有漏洞存在。
另外,單一的認(rèn)證方式已不能夠滿足用戶所有的需求。終端的環(huán)境日趨復(fù)雜,移動接入已不僅僅限于PC,其他如PDA、智能手機、手持終端、瘦客戶機、公用終端等也有需求。在這些環(huán)境下,仍使用單一認(rèn)證方式,不僅安全性不得保障,設(shè)置和操作更是繁瑣,分級授權(quán)也無從談起。
針對此種情況,冰峰網(wǎng)絡(luò)推出了“8+6”認(rèn)證密鑰策略,從而加強對移動用戶認(rèn)證的管理。
“8+6”認(rèn)證密鑰策略,即采用八種雙因子增強認(rèn)證與六種動態(tài)密碼策略結(jié)合,不僅提高了系統(tǒng)平臺的安全性,也充分考慮了不同用戶環(huán)境的不同需求。
8項增強認(rèn)證方式包括:ISK認(rèn)證、PC硬件特征碼、ISK+PC硬件特征碼、數(shù)字證書、指紋認(rèn)證、公網(wǎng)IP限制、短信認(rèn)證、令牌認(rèn)證,下面分別作說明。
- ISK安全認(rèn)證密鑰是一款基于USB 接口的無驅(qū)型身份認(rèn)證產(chǎn)品(如圖1),內(nèi)含安全文件系統(tǒng),可預(yù)置密鑰,來確定用戶的身份。
圖1:ISK安全認(rèn)證密鑰
- 硬件特征碼,是終端的唯一標(biāo)識符。通過冰峰的讀碼工具可以讀出終端設(shè)備的硬件信息(如CPU、主板、硬盤等),生成唯一特征碼(如圖2)。使用該特征碼作為認(rèn)證的手段,可以確保所有終端都在管理員的控制中。
圖2:硬件特征碼
- ISK+PC硬件特征碼,是前兩種方式的結(jié)合。
- 數(shù)字證書,是一種相對方便的方式。管理員根據(jù)設(shè)定生成證書,發(fā)布給用戶使用。證書方式適合一些對安全性相對要求不高,用戶權(quán)限又較低的情況下使用。成本不高卻又十分便利。
- 指紋認(rèn)證,每個人的指紋都是相異的,而且指紋是不可能被復(fù)制和盜取的。用指紋作為一種認(rèn)證手段,可以確保用戶身份的唯一性。對于政企單位的高層管理者,指紋方式最適用。
- 公網(wǎng)IP限制,可以指定終端用戶接入的公網(wǎng)IP,不在該IP范圍內(nèi)的一切接入請求都拒絕。
- 短信認(rèn)證,通過手機短信發(fā)布用戶認(rèn)證密碼,可以設(shè)定短信認(rèn)證密碼有效時間。符合短信內(nèi)容的用戶,在有效時間內(nèi)的接入請求予以通過。
- 令牌認(rèn)證,用戶隨身攜帶令牌,登陸時使用令牌生成的密鑰。密鑰隨機生成,有固定的生效時間。
8項增強認(rèn)證是對密鑰本身的加強,而6項動態(tài)密鑰策略則是加強了用戶密碼的安全,6項動態(tài)密鑰策略包括:密碼定期更新、短信動態(tài)密碼、手機動態(tài)密碼、密寶動態(tài)密碼、限制密碼修訂主動權(quán)、自主管理密碼。(如圖3所示)
圖3:6項動態(tài)密碼策略配置圖
- 密碼定期更新,強制用戶定期更新密碼。對密碼的有效期設(shè)定一個時間范圍,超過此時間范圍,要求用戶必須更改密碼。
- 短信動態(tài)密碼,由管理中心定期通過手機短信發(fā)送密鑰給用戶,保證用戶的密鑰都是最新的。
- 手機動態(tài)密碼,是冰峰擁有專利技術(shù)的手機軟件技術(shù)。軟件移植到用戶的手機上運行,通過特定的加密算法,生成密鑰,用戶登錄時使用該密鑰。
- 密寶動態(tài)密碼,冰峰密寶(ICEFLOW TOKEN)采用引進的TOP TOKEN技術(shù),是一種通過密寶序列號、生產(chǎn)預(yù)置時間、特定加密算法相結(jié)合的一種加密運算模式。該密鑰的有效期只有一分鐘,用戶必須在限定的有效時間內(nèi)進行登陸驗證。
- 限制密碼修訂主動權(quán),限制用戶不能修改密碼。
- 自主管理密碼,由用戶自行管理密碼。
那么,如何運用“8+6”策略呢?如前文提到的不受信任終端登陸問題,我們可以選用“ISK+PC硬件特征碼”配合“短信動態(tài)密碼”,管理員將所有可信終端硬件特征碼錄入到服務(wù)端,同時給每個用戶分配ISK,且定期發(fā)送短信密碼。
如此,用戶是無法在不受信任終端接入。如若終端失竊,因為沒有ISK,盜竊者也無法在失竊終端上接入企業(yè)內(nèi)部網(wǎng)。極端情況,終端與ISK同時丟失,“短信動態(tài)密碼”又發(fā)揮了作用。至于權(quán)限設(shè)定方面,在設(shè)定帳號時可以分組、分角色給與不同權(quán)限。
我們可以看到,“8+6”認(rèn)證密鑰策略就如同給管理員配備了八般兵器、六大法寶,任意的組合即可得到強力的安全保障,阻擋入侵者于千里之外。同時,也是一種多級授權(quán)的手段,不同的組合可以控制用戶訪問不同級別的資源。可以說,“8+6”策略是如今VPN時代最先進的密鑰管理技術(shù)。