随着网络技术的飞速发展,VPN(虚拟局域网)作为解决企业分支机构互联及移动办公问题的主要手段,应用得越来越广泛。其主流技术有两种,一是采用IPSec协议,主要为站点间创建安全隧道提供直接(非代理方式)接入,实现对整个网络的透明访问的固网互联VPN;另一个就是采用SSL协议,利用内置在每个Web浏览器中的加密和验证功能,提供安全远程访问企业应用的移动接入VPN。
不论哪种技术,它首要任务就是在客户与其所访问的资源之间建立安全通道,确保点到点的安全互联。然而,许多安全专家通过多年对VPN实际应用的调查和研究,发现目前的技术中依然存在许多问题:
- 客户端泄漏密码。如今的木马病毒非常猖獗,终端用户防范意识不强,极易被盗取密码。另外,在基于浏览器SSL方式下还有更严重的问题,如浏览器默认保存用户名和口令,浏览器可能会缓存文档和屏幕,这都有可能泄露机敏信息。如果用户忘了退出浏览器会话,也会带来风险。
- 从不可信终端访问企业资源。系统管理员都知道,对用户终端的管理非常的困难。如果用户从不可信任的终端登陆,轻则带来木马、病毒的泛滥,重则直接导致机密文件失窃。
- 用户弱口令。大多用户密码都非常简单,而且没有定期更改密码的习惯。弱口令在一些密码破解工具前,不堪一击。
- 用户权限不可控。用户接入后,由于认证方式不完善,权限控制不够,用户可以访问企业未经授权的资源。权限不分级,所有用户权限相同,不同级别的用户访问的资源也就相同。
不难看出,导致这些问题的根本原因就在于对移动用户接入的身份认证是单向信任的。即客户端只要拥有正确的密钥,服务端就认为他是可信任的用户。而密钥的管理向来是企业的盲区,因此必须加强远程访问的认证密钥策略。密钥策略既要是保证安全的,又要是高效方便的。如果密钥的安全得不到保证,那么VPN的安全就是一句空话;如果密钥的方式单一,那么用户的多应用环境就无法实现。
目前许多厂商认识到了问题,推出了多种改进手段,如采用USB KEY+密码的双因子认证、硬件特征的识别、动态令牌等。这些改进从一定程度上降低了安全风险,但依然有漏洞存在。
另外,单一的认证方式已不能够满足用户所有的需求。终端的环境日趋复杂,移动接入已不仅仅限于PC,其他如PDA、智能手机、手持终端、瘦客户机、公用终端等也有需求。在这些环境下,仍使用单一认证方式,不仅安全性不得保障,设置和操作更是繁琐,分级授权也无从谈起。
针对此种情况,冰峰网络推出了“8+6”认证密钥策略,从而加强对移动用户认证的管理。
“8+6”认证密钥策略,即采用八种双因子增强认证与六种动态密码策略结合,不仅提高了系统平台的安全性,也充分考虑了不同用户环境的不同需求。
8项增强认证方式包括:ISK认证、PC硬件特征码、ISK+PC硬件特征码、数字证书、指纹认证、公网IP限制、短信认证、令牌认证,下面分别作说明。
- ISK安全认证密钥是一款基于USB 接口的无驱型身份认证产品(如图1),内含安全文件系统,可预置密钥,来确定用户的身份。
- 硬件特征码,是终端的唯一标识符。通过冰峰的读码工具可以读出终端设备的硬件信息(如CPU、主板、硬盘等),生成唯一特征码(如图2)。使用该特征码作为认证的手段,可以确保所有终端都在管理员的控制中。
- ISK+PC硬件特征码,是前两种方式的结合。
- 数字证书,是一种相对方便的方式。管理员根据设定生成证书,发布给用户使用。证书方式适合一些对安全性相对要求不高,用户权限又较低的情况下使用。成本不高却又十分便利。
- 指纹认证,每个人的指纹都是相异的,而且指纹是不可能被复制和盗取的。用指纹作为一种认证手段,可以确保用户身份的唯一性。对于政企单位的高层管理者,指纹方式最适用。
- 公网IP限制,可以指定终端用户接入的公网IP,不在该IP范围内的一切接入请求都拒绝。
- 短信认证,通过手机短信发布用户认证密码,可以设定短信认证密码有效时间。符合短信内容的用户,在有效时间内的接入请求予以通过。
- 令牌认证,用户随身携带令牌,登陆时使用令牌生成的密钥。密钥随机生成,有固定的生效时间。
8项增强认证是对密钥本身的加强,而6项动态密钥策略则是加强了用户密码的安全,6项动态密钥策略包括:密码定期更新、短信动态密码、手机动态密码、密宝动态密码、限制密码修订主动权、自主管理密码。(如图3所示)
- 密码定期更新,强制用户定期更新密码。对密码的有效期设定一个时间范围,超过此时间范围,要求用户必须更改密码。
- 短信动态密码,由管理中心定期通过手机短信发送密钥给用户,保证用户的密钥都是最新的。
- 手机动态密码,是冰峰拥有专利技术的手机软件技术。软件移植到用户的手机上运行,通过特定的加密算法,生成密钥,用户登录时使用该密钥。
- 密宝动态密码,冰峰密宝(ICEFLOW TOKEN)采用引进的TOP TOKEN技术,是一种通过密宝序列号、生产预置时间、特定加密算法相结合的一种加密运算模式。该密钥的有效期只有一分钟,用户必须在限定的有效时间内进行登陆验证。
- 限制密码修订主动权,限制用户不能修改密码。
- 自主管理密码,由用户自行管理密码。
那么,如何运用“8+6”策略呢?如前文提到的不受信任终端登陆问题,我们可以选用“ISK+PC硬件特征码”配合“短信动态密码”,管理员将所有可信终端硬件特征码录入到服务端,同时给每个用户分配ISK,且定期发送短信密码。
如此,用户是无法在不受信任终端接入。如若终端失窃,因为没有ISK,盗窃者也无法在失窃终端上接入企业内部网。极端情况,终端与ISK同时丢失,“短信动态密码”又发挥了作用。至于权限设定方面,在设定帐号时可以分组、分角色给与不同权限。
我们可以看到,“8+6”认证密钥策略就如同给管理员配备了八般兵器、六大法宝,任意的组合即可得到强力的安全保障,阻挡入侵者于千里之外。同时,也是一种多级授权的手段,不同的组合可以控制用户访问不同级别的资源。可以说,“8+6”策略是如今VPN时代最先进的密钥管理技术。