遠(yuǎn)程訪(fǎng)問(wèn)安全卡怎樣使用更安全

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

互聯(lián)網(wǎng)給大家的生活帶來(lái)了方便，很多人都擔(dān)心遠(yuǎn)程訪(fǎng)問(wèn)安全問(wèn)題。但是若要在企業(yè)中應(yīng)用，還是具有一定的難度。結(jié)合實(shí)例談?wù)勥h(yuǎn)程訪(fǎng)問(wèn)安全卡在企業(yè)中如何部署，以及部署過(guò)程中的注意點(diǎn)。

一、安全卡的基本操作步驟

安全卡與唯一個(gè)人識(shí)別碼結(jié)合會(huì)生成一個(gè)唯一的遠(yuǎn)程訪(fǎng)問(wèn)安全密鑰。這個(gè)密鑰會(huì)有專(zhuān)門(mén)的安全卡服務(wù)器(有些人喜歡把它叫做令牌服務(wù)器)進(jìn)行確認(rèn)。其具體的操作步驟如下。

第一步：如果用戶(hù)要進(jìn)行遠(yuǎn)程連接，則必須先在自己的主機(jī)上發(fā)起一個(gè)遠(yuǎn)程連接的請(qǐng)求。如果用戶(hù)采用安全卡來(lái)保障遠(yuǎn)程連接安全性的話(huà)，則遠(yuǎn)程用戶(hù)必須先插入安全卡。否則的話(huà)，在認(rèn)證過(guò)程中，客戶(hù)端會(huì)提示找不到安全卡。

第二步：生成一次性口令。當(dāng)用戶(hù)插入遠(yuǎn)程訪(fǎng)問(wèn)安全卡之后，客戶(hù)端會(huì)自動(dòng)讀取安全卡中的用戶(hù)信息，并結(jié)合只有用戶(hù)知道的個(gè)人識(shí)別碼生成一個(gè)一次性口令。這個(gè)一次性口令的安全性如何，就要看不同廠(chǎng)商所采用的算法了。企業(yè)網(wǎng)絡(luò)管理員需要了解各種算法的優(yōu)缺點(diǎn)，并根據(jù)企業(yè)對(duì)于安全程度的要求不同，選擇合適的算法。

第三步：進(jìn)行身份驗(yàn)證。當(dāng)遠(yuǎn)程連接客戶(hù)端提示用戶(hù)輸入口令后，遠(yuǎn)程用戶(hù)需要把這個(gè)一次性口令復(fù)制到口令對(duì)話(huà)框中。然后客戶(hù)端就會(huì)跟遠(yuǎn)程的服務(wù)器端進(jìn)行身份驗(yàn)證。這里要注意，有些商業(yè)解決方案，把這個(gè)用戶(hù)輸入口令的步驟省掉了?？蛻?hù)端會(huì)自動(dòng)把這個(gè)口令復(fù)制到密碼對(duì)話(huà)框中，以減少用戶(hù)輸入的步驟。這就好像在登陸郵箱是是否需要保存用戶(hù)名與密碼一樣。雖然節(jié)省了操作時(shí)間，但是降低了安全保障。是否需要這個(gè)自動(dòng)化操作，用戶(hù)與網(wǎng)絡(luò)管理員可以自行抉擇。

第四步：網(wǎng)絡(luò)接入服務(wù)器在收到口令之后，往往會(huì)把這個(gè)口令轉(zhuǎn)發(fā)給專(zhuān)業(yè)的安全卡服務(wù)器進(jìn)行身份驗(yàn)證。安全服務(wù)器在收到網(wǎng)絡(luò)接入服務(wù)器轉(zhuǎn)發(fā)過(guò)來(lái)的口令之后，會(huì)使用客戶(hù)端相同的算法來(lái)驗(yàn)證收到的口令。如果驗(yàn)證通過(guò)，則安全卡服務(wù)器會(huì)告訴網(wǎng)絡(luò)接入服務(wù)器，其身份合法。并且會(huì)把這個(gè)賬戶(hù)所對(duì)應(yīng)的一些訪(fǎng)問(wèn)權(quán)限等遠(yuǎn)程訪(fǎng)問(wèn)安全策略一并告知網(wǎng)絡(luò)接入服務(wù)器，以方便其對(duì)該用戶(hù)進(jìn)行訪(fǎng)問(wèn)權(quán)限的控制。

這就是利用安全卡進(jìn)行身份驗(yàn)證的四個(gè)基本步驟。從這個(gè)幾個(gè)步驟中，我們可以看到，網(wǎng)絡(luò)管理員基本上不用對(duì)這個(gè)過(guò)程進(jìn)行干預(yù)。網(wǎng)絡(luò)管理員的工作主要是事先的配置，如安全算法的選擇等等。

二、如何保障安全卡本身的安全

雖然說(shuō)利用安全卡進(jìn)行身份驗(yàn)證是到目前為止，最安全的認(rèn)證機(jī)制之一。但是，就安全卡本身來(lái)說(shuō)，并不是很安全?，F(xiàn)在市場(chǎng)上常見(jiàn)的安全卡都是 EEPROM(電可擦可編程只讀存儲(chǔ)器)芯片制成的，它斷電后數(shù)據(jù)不會(huì)丟失。EEPROM可以在電腦上或者專(zhuān)用設(shè)備上擦除已有信息，并進(jìn)行重新編程。這無(wú)疑使得安全卡可以被重復(fù)使用，降低企業(yè)遠(yuǎn)程訪(fǎng)問(wèn)安全卡應(yīng)用成本。但是，其也帶來(lái)了一些安全隱患。

電可擦可編程只讀存儲(chǔ)器是用戶(hù)可更改的只讀存儲(chǔ)器。用戶(hù)可以通過(guò)高于普通電壓的作用來(lái)擦除和重寫(xiě);而且，電可擦可編程只讀存儲(chǔ)器不需要從計(jì)算機(jī)中取出即可修改。也就是說(shuō)，當(dāng)計(jì)算機(jī)在使用這個(gè)電可擦可編程只讀存儲(chǔ)器的時(shí)候，就可以進(jìn)行頻繁的重編程。所以，電可擦可編程只讀存儲(chǔ)器跟可重復(fù)刻錄光盤(pán)一樣，使用壽命是一個(gè)很重要的設(shè)計(jì)考慮參數(shù)。由于其可以重復(fù)使用，無(wú)疑減低了企業(yè)安全卡的硬件投資成本。但是，因?yàn)榘踩ǖ膬?nèi)容可以被讀取，并可以重新編程。為此，只要入侵者有這個(gè)設(shè)備，就可以復(fù)制安全卡中的信息。所以，雖然說(shuō)安全卡信息拷貝需要有專(zhuān)業(yè)的工具，增加了一定的難度?？墒?，仍然有可能會(huì)泄露。另外就是遠(yuǎn)程訪(fǎng)問(wèn)安全卡也不能夠避免監(jiān)守自盜的情況。如網(wǎng)絡(luò)管理員在把用戶(hù)信息錄制到安全卡中，完全可多錄制幾張。若網(wǎng)絡(luò)管理員對(duì)這個(gè)用戶(hù)有仇想陷害他，或者以后離職了，就可以利用手中復(fù)制的安全卡來(lái)進(jìn)行未經(jīng)授權(quán)的訪(fǎng)問(wèn)。因?yàn)楂@取用戶(hù)唯一識(shí)別碼難度不大，再加上可以輕易取得安全卡的備份，那么一切就會(huì)變得很簡(jiǎn)單了。

這就是安全卡機(jī)制中的一個(gè)最大的安全漏洞。也可以說(shuō)是一個(gè)唯一可以被攻擊的漏洞。

應(yīng)對(duì)措施：出于安全的需要，遠(yuǎn)程用戶(hù)需要對(duì)遠(yuǎn)程訪(fǎng)問(wèn)安全卡加強(qiáng)保護(hù)，特別是不能夠外借給其他人。同時(shí)，網(wǎng)絡(luò)管理員也要加強(qiáng)對(duì)這些用戶(hù)的監(jiān)控。若發(fā)現(xiàn)用戶(hù)有試圖訪(fǎng)問(wèn)未經(jīng)授權(quán)的資源時(shí)，就需要分析是否是因?yàn)檫h(yuǎn)程訪(fǎng)問(wèn)安全卡信息泄露所造成的惡意訪(fǎng)問(wèn)。另外，當(dāng)網(wǎng)絡(luò)管理員新上任之后，最好能夠?qū)υ械陌踩ㄅc用戶(hù)識(shí)別碼等信息進(jìn)行整理。在必要的時(shí)候，進(jìn)行一次更新，以防止上一任網(wǎng)絡(luò)管理員監(jiān)守自盜的行為。這些措施都可以有效的解決安全卡帶來(lái)的安全隱患。讓安全卡真正的安全起來(lái)。

三、選擇合適的服務(wù)提供商

安全卡解決方案需要專(zhuān)業(yè)的軟件與服務(wù)器支持，所以，企業(yè)若想要采用安全卡來(lái)提高遠(yuǎn)程訪(fǎng)問(wèn)安全性的話(huà)，往往需要購(gòu)買(mǎi)其他公司的軟件與解決方案。故網(wǎng)絡(luò)管理員還需要根據(jù)自己公司的應(yīng)用背景，來(lái)選一個(gè)合適的解決方案。

在選型過(guò)程中，除了價(jià)格方面的考慮因素外，筆者認(rèn)為最重要的是要考慮一次性口令的生成機(jī)制。因?yàn)椴煌纳蓹C(jī)制其一次性口令的安全性是不同的。所以網(wǎng)絡(luò)管理員需要根據(jù)自己企業(yè)對(duì)于安全性的要求來(lái)進(jìn)行選型。常見(jiàn)的一次性口令算法有如下幾種，供網(wǎng)絡(luò)管理員選擇。

一是基于挑戰(zhàn)響應(yīng)的算法。若采用這種算法，在客戶(hù)端與服務(wù)器建立起會(huì)話(huà)之后，遠(yuǎn)程訪(fǎng)問(wèn)安全服務(wù)器會(huì)隨機(jī)生成一個(gè)字符串，并把這個(gè)字符串傳遞給客戶(hù)端。安全卡會(huì)根據(jù)存儲(chǔ)的信心以及收到的字符串根據(jù)某個(gè)函數(shù)進(jìn)行計(jì)算，并發(fā)計(jì)算結(jié)果返回給安全服務(wù)器。然后服務(wù)器會(huì)根據(jù)受到的結(jié)果進(jìn)行反向運(yùn)算。如果運(yùn)算的結(jié)果跟存儲(chǔ)在遠(yuǎn)程訪(fǎng)問(wèn)安全數(shù)據(jù)庫(kù)中的結(jié)果相同，則遠(yuǎn)程客戶(hù)的身份驗(yàn)證將被通過(guò)，從而允許其進(jìn)行遠(yuǎn)程訪(fǎng)問(wèn)。

二是基于時(shí)間算法。利用這種算法也可以生成一次性口令，并跟安全服務(wù)器同步。此時(shí)的安全卡往往會(huì)有一個(gè)LCD，用來(lái)顯示最新的口令。通常情況下，每隔幾分鐘安全卡就會(huì)重新計(jì)算一次口令;同時(shí)安全服務(wù)器也會(huì)重新進(jìn)行計(jì)算。這個(gè)口令是根據(jù)當(dāng)前的時(shí)間與安全卡中的信息結(jié)合進(jìn)行計(jì)算的。若要實(shí)現(xiàn)這個(gè)算法，其關(guān)鍵就是安全卡中的時(shí)間信息要跟安全服務(wù)器中的時(shí)間信息同步，否則的話(huà)，口令就無(wú)法與安全服務(wù)器同步。

三是一些基于生物特征的算法。一次性口令是根據(jù)安全卡中的用戶(hù)信息結(jié)合用戶(hù)唯一識(shí)別碼進(jìn)行計(jì)算的。所以提高用戶(hù)唯一識(shí)別碼的安全性，也可以提高這個(gè)解決方案的安全性。如果遠(yuǎn)程訪(fǎng)問(wèn)也能夠向指紋鎖那樣，那么無(wú)疑其安全性就會(huì)很有保障。其實(shí)在基于安全卡的解決方案中，也可以利用指紋等生物特征來(lái)作為用戶(hù)唯一識(shí)別碼。然后結(jié)合遠(yuǎn)程訪(fǎng)問(wèn)安全卡中的用戶(hù)信息來(lái)結(jié)算一次性口令。

在以上三種一次性口令計(jì)算方法中，第三種遠(yuǎn)程訪(fǎng)問(wèn)安全性最高。但是，企業(yè)若要采用這個(gè)方法的話(huà)，則必須要增添收集指紋等信息的設(shè)備。在終端，也需要增添相關(guān)的設(shè)備。為此，企業(yè)要增加不少的成本。所以沒(méi)有特別的需要，這種方法不是很經(jīng)濟(jì)。

筆者現(xiàn)在采用的是基于時(shí)間的算法。若安全卡頻繁的在電腦上插拔，會(huì)降低安全卡的壽命。而基于時(shí)間的算法，在安全卡上直接帶有LCD顯示屏可以顯示一次性口令。如此可以避免在電腦上插拔，可以提高使用壽命。

所以，網(wǎng)絡(luò)管理員需要根據(jù)自己企業(yè)的遠(yuǎn)程訪(fǎng)問(wèn)安全要求、投資成本等因素綜合考慮，然后選擇一個(gè)合理的解決方案。

【編輯推薦】

◆網(wǎng)管軟件專(zhuān)區(qū)

◆網(wǎng)絡(luò)管理者最易犯的十大低級(jí)錯(cuò)誤

◆網(wǎng)絡(luò)管理基礎(chǔ)知識(shí)：網(wǎng)路管理模式

◆學(xué)習(xí)高效網(wǎng)絡(luò)管理技巧三招五式

◆IT運(yùn)維管理專(zhuān)區(qū)

本文來(lái)自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁(yè)] [關(guān)閉]

相關(guān)欄目：