遠(yuǎn)程訪問安全卡怎樣使用更安全

互聯(lián)網(wǎng)給大家的生活帶來了方便，很多人都擔(dān)心遠(yuǎn)程訪問安全問題。但是若要在企業(yè)中應(yīng)用，還是具有一定的難度。結(jié)合實(shí)例談?wù)勥h(yuǎn)程訪問安全卡在企業(yè)中如何部署，以及部署過程中的注意點(diǎn)。

一、安全卡的基本操作步驟

安全卡與唯一個(gè)人識別碼結(jié)合會(huì)生成一個(gè)唯一的遠(yuǎn)程訪問安全密鑰。這個(gè)密鑰會(huì)有專門的安全卡服務(wù)器(有些人喜歡把它叫做令牌服務(wù)器)進(jìn)行確認(rèn)。其具體的操作步驟如下。

第一步：如果用戶要進(jìn)行遠(yuǎn)程連接，則必須先在自己的主機(jī)上發(fā)起一個(gè)遠(yuǎn)程連接的請求。如果用戶采用安全卡來保障遠(yuǎn)程連接安全性的話，則遠(yuǎn)程用戶必須先插入安全卡。否則的話，在認(rèn)證過程中，客戶端會(huì)提示找不到安全卡。

第二步：生成一次性口令。當(dāng)用戶插入遠(yuǎn)程訪問安全卡之后，客戶端會(huì)自動(dòng)讀取安全卡中的用戶信息，并結(jié)合只有用戶知道的個(gè)人識別碼生成一個(gè)一次性口令。這個(gè)一次性口令的安全性如何，就要看不同廠商所采用的算法了。企業(yè)網(wǎng)絡(luò)管理員需要了解各種算法的優(yōu)缺點(diǎn)，并根據(jù)企業(yè)對于安全程度的要求不同，選擇合適的算法。

第三步：進(jìn)行身份驗(yàn)證。當(dāng)遠(yuǎn)程連接客戶端提示用戶輸入口令后，遠(yuǎn)程用戶需要把這個(gè)一次性口令復(fù)制到口令對話框中。然后客戶端就會(huì)跟遠(yuǎn)程的服務(wù)器端進(jìn)行身份驗(yàn)證。這里要注意，有些商業(yè)解決方案，把這個(gè)用戶輸入口令的步驟省掉了。客戶端會(huì)自動(dòng)把這個(gè)口令復(fù)制到密碼對話框中，以減少用戶輸入的步驟。這就好像在登陸郵箱是是否需要保存用戶名與密碼一樣。雖然節(jié)省了操作時(shí)間，但是降低了安全保障。是否需要這個(gè)自動(dòng)化操作，用戶與網(wǎng)絡(luò)管理員可以自行抉擇。

第四步：網(wǎng)絡(luò)接入服務(wù)器在收到口令之后，往往會(huì)把這個(gè)口令轉(zhuǎn)發(fā)給專業(yè)的安全卡服務(wù)器進(jìn)行身份驗(yàn)證。安全服務(wù)器在收到網(wǎng)絡(luò)接入服務(wù)器轉(zhuǎn)發(fā)過來的口令之后，會(huì)使用客戶端相同的算法來驗(yàn)證收到的口令。如果驗(yàn)證通過，則安全卡服務(wù)器會(huì)告訴網(wǎng)絡(luò)接入服務(wù)器，其身份合法。并且會(huì)把這個(gè)賬戶所對應(yīng)的一些訪問權(quán)限等遠(yuǎn)程訪問安全策略一并告知網(wǎng)絡(luò)接入服務(wù)器，以方便其對該用戶進(jìn)行訪問權(quán)限的控制。

這就是利用安全卡進(jìn)行身份驗(yàn)證的四個(gè)基本步驟。從這個(gè)幾個(gè)步驟中，我們可以看到，網(wǎng)絡(luò)管理員基本上不用對這個(gè)過程進(jìn)行干預(yù)。網(wǎng)絡(luò)管理員的工作主要是事先的配置，如安全算法的選擇等等。

二、如何保障安全卡本身的安全

雖然說利用安全卡進(jìn)行身份驗(yàn)證是到目前為止，最安全的認(rèn)證機(jī)制之一。但是，就安全卡本身來說，并不是很安全?，F(xiàn)在市場上常見的安全卡都是 EEPROM(電可擦可編程只讀存儲(chǔ)器)芯片制成的，它斷電后數(shù)據(jù)不會(huì)丟失。EEPROM可以在電腦上或者專用設(shè)備上擦除已有信息，并進(jìn)行重新編程。這無疑使得安全卡可以被重復(fù)使用，降低企業(yè)遠(yuǎn)程訪問安全卡應(yīng)用成本。但是，其也帶來了一些安全隱患。

電可擦可編程只讀存儲(chǔ)器是用戶可更改的只讀存儲(chǔ)器。用戶可以通過高于普通電壓的作用來擦除和重寫;而且，電可擦可編程只讀存儲(chǔ)器不需要從計(jì)算機(jī)中取出即可修改。也就是說，當(dāng)計(jì)算機(jī)在使用這個(gè)電可擦可編程只讀存儲(chǔ)器的時(shí)候，就可以進(jìn)行頻繁的重編程。所以，電可擦可編程只讀存儲(chǔ)器跟可重復(fù)刻錄光盤一樣，使用壽命是一個(gè)很重要的設(shè)計(jì)考慮參數(shù)。由于其可以重復(fù)使用，無疑減低了企業(yè)安全卡的硬件投資成本。但是，因?yàn)榘踩ǖ膬?nèi)容可以被讀取，并可以重新編程。為此，只要入侵者有這個(gè)設(shè)備，就可以復(fù)制安全卡中的信息。所以，雖然說安全卡信息拷貝需要有專業(yè)的工具，增加了一定的難度?？墒牵匀挥锌赡軙?huì)泄露。另外就是遠(yuǎn)程訪問安全卡也不能夠避免監(jiān)守自盜的情況。如網(wǎng)絡(luò)管理員在把用戶信息錄制到安全卡中，完全可多錄制幾張。若網(wǎng)絡(luò)管理員對這個(gè)用戶有仇想陷害他，或者以后離職了，就可以利用手中復(fù)制的安全卡來進(jìn)行未經(jīng)授權(quán)的訪問。因?yàn)楂@取用戶唯一識別碼難度不大，再加上可以輕易取得安全卡的備份，那么一切就會(huì)變得很簡單了。

這就是安全卡機(jī)制中的一個(gè)最大的安全漏洞。也可以說是一個(gè)唯一可以被攻擊的漏洞。

應(yīng)對措施：出于安全的需要，遠(yuǎn)程用戶需要對遠(yuǎn)程訪問安全卡加強(qiáng)保護(hù)，特別是不能夠外借給其他人。同時(shí)，網(wǎng)絡(luò)管理員也要加強(qiáng)對這些用戶的監(jiān)控。若發(fā)現(xiàn)用戶有試圖訪問未經(jīng)授權(quán)的資源時(shí)，就需要分析是否是因?yàn)檫h(yuǎn)程訪問安全卡信息泄露所造成的惡意訪問。另外，當(dāng)網(wǎng)絡(luò)管理員新上任之后，最好能夠?qū)υ械陌踩ㄅc用戶識別碼等信息進(jìn)行整理。在必要的時(shí)候，進(jìn)行一次更新，以防止上一任網(wǎng)絡(luò)管理員監(jiān)守自盜的行為。這些措施都可以有效的解決安全卡帶來的安全隱患。讓安全卡真正的安全起來。

三、選擇合適的服務(wù)提供商

安全卡解決方案需要專業(yè)的軟件與服務(wù)器支持，所以，企業(yè)若想要采用安全卡來提高遠(yuǎn)程訪問安全性的話，往往需要購買其他公司的軟件與解決方案。故網(wǎng)絡(luò)管理員還需要根據(jù)自己公司的應(yīng)用背景，來選一個(gè)合適的解決方案。

在選型過程中，除了價(jià)格方面的考慮因素外，筆者認(rèn)為最重要的是要考慮一次性口令的生成機(jī)制。因?yàn)椴煌纳蓹C(jī)制其一次性口令的安全性是不同的。所以網(wǎng)絡(luò)管理員需要根據(jù)自己企業(yè)對于安全性的要求來進(jìn)行選型。常見的一次性口令算法有如下幾種，供網(wǎng)絡(luò)管理員選擇。

一是基于挑戰(zhàn)響應(yīng)的算法。若采用這種算法，在客戶端與服務(wù)器建立起會(huì)話之后，遠(yuǎn)程訪問安全服務(wù)器會(huì)隨機(jī)生成一個(gè)字符串，并把這個(gè)字符串傳遞給客戶端。安全卡會(huì)根據(jù)存儲(chǔ)的信心以及收到的字符串根據(jù)某個(gè)函數(shù)進(jìn)行計(jì)算，并發(fā)計(jì)算結(jié)果返回給安全服務(wù)器。然后服務(wù)器會(huì)根據(jù)受到的結(jié)果進(jìn)行反向運(yùn)算。如果運(yùn)算的結(jié)果跟存儲(chǔ)在遠(yuǎn)程訪問安全數(shù)據(jù)庫中的結(jié)果相同，則遠(yuǎn)程客戶的身份驗(yàn)證將被通過，從而允許其進(jìn)行遠(yuǎn)程訪問。

二是基于時(shí)間算法。利用這種算法也可以生成一次性口令，并跟安全服務(wù)器同步。此時(shí)的安全卡往往會(huì)有一個(gè)LCD，用來顯示最新的口令。通常情況下，每隔幾分鐘安全卡就會(huì)重新計(jì)算一次口令;同時(shí)安全服務(wù)器也會(huì)重新進(jìn)行計(jì)算。這個(gè)口令是根據(jù)當(dāng)前的時(shí)間與安全卡中的信息結(jié)合進(jìn)行計(jì)算的。若要實(shí)現(xiàn)這個(gè)算法，其關(guān)鍵就是安全卡中的時(shí)間信息要跟安全服務(wù)器中的時(shí)間信息同步，否則的話，口令就無法與安全服務(wù)器同步。

三是一些基于生物特征的算法。一次性口令是根據(jù)安全卡中的用戶信息結(jié)合用戶唯一識別碼進(jìn)行計(jì)算的。所以提高用戶唯一識別碼的安全性，也可以提高這個(gè)解決方案的安全性。如果遠(yuǎn)程訪問也能夠向指紋鎖那樣，那么無疑其安全性就會(huì)很有保障。其實(shí)在基于安全卡的解決方案中，也可以利用指紋等生物特征來作為用戶唯一識別碼。然后結(jié)合遠(yuǎn)程訪問安全卡中的用戶信息來結(jié)算一次性口令。

在以上三種一次性口令計(jì)算方法中，第三種遠(yuǎn)程訪問安全性最高。但是，企業(yè)若要采用這個(gè)方法的話，則必須要增添收集指紋等信息的設(shè)備。在終端，也需要增添相關(guān)的設(shè)備。為此，企業(yè)要增加不少的成本。所以沒有特別的需要，這種方法不是很經(jīng)濟(jì)。

筆者現(xiàn)在采用的是基于時(shí)間的算法。若安全卡頻繁的在電腦上插拔，會(huì)降低安全卡的壽命。而基于時(shí)間的算法，在安全卡上直接帶有LCD顯示屏可以顯示一次性口令。如此可以避免在電腦上插拔，可以提高使用壽命。

所以，網(wǎng)絡(luò)管理員需要根據(jù)自己企業(yè)的遠(yuǎn)程訪問安全要求、投資成本等因素綜合考慮，然后選擇一個(gè)合理的解決方案。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：