VPN USB Key身份認證解決方案
一.需求描述
1.應用現狀
如前文所述,目前SSLVPN并非盡善盡美,在技術層面,SSLVPN尚有改善的余地。在身份認證方面,由于SSLVPN本身并不支持強于SSL協議的身份認證方式,為提升認證的安全性,各SSLVPN廠商均會建置身份認證解決方案,這些身份認證解決方案歸結起來不外乎下列兩種:一種是基于軟件的解決方案,這種方案由服務器端給客戶端頒發數字證書(DigitalCertificate),這一數字證書保存在客戶端本地磁盤上,在終端客戶啟動身份認證時導入數字證書,輸入賬號密碼通過身份認證;另一種方案是構建硬件token,將數字憑證保存在token上并頒發給終端用戶,終端用戶啟動身份認證時需插入硬件token并輸入賬號密碼方能通過身份認證。
2.存在問題
(1)增加管理成本
基于軟件的身份認證解決方案直接將數字證書保存在客戶端本地磁盤上,如客戶端因感染病毒或其他原因需重裝操作系統或格式化磁盤,管理部門需重新審核用戶資料并重新頒發數字證書,造成人力資源的浪費,而且在管理部門重新頒發數字證書之前,終端用戶無法通過SSLVPN身份驗證,造成時間的浪費,影響企業的生產效率,增加管理成本。此外,由于數字證書保存在客戶端本地磁盤上,終端用戶只能在本機上使用SSLVPN,無法充分發揮SSLVPN的優勢;
(2)性價比不高
基于硬件token的身份認證解決方案將數字憑證保存在token上,支持SSLVPN的移動應用,同時采用軟硬件結合的認證方式也可以提升SSLVPN身份認證的安全性。但純token的解決方案仍然存在不足之處,主要在于這些token只具有支持SSLVPN身份認證的功能,除此之外并無其它用處,性價比較低;
(3)存在安全隱患
無論是基于軟件還是基于硬件token的身份認證解決方案,均需要用戶記憶賬號密碼并在進行身份驗證時手動輸入賬號密碼,從表面上看來,這并不會造成太大的問題,而實際上并非如此。首先,終端用戶可能遺忘密碼,這將造成管理成本的增加;其次,大多數終端用戶對網絡安全隱患的認識并不像信息管理部門那樣深刻,為了避免遺忘密碼帶來的麻煩,終端用戶可能使用初始密碼甚至將密碼設置為空,這將帶來極大的安全隱患。終端用戶希望獲得簡單方便的使用體驗,而企業信息管理部門則希望獲得安全保證,兩種身份認證解決方案都不能同時滿足這兩種需求。
(4)不利于企業推行統一身份認證方案
隨著企業信息化程度的提高,企業部署的應用系統越來越多,而員工需要記憶的賬號密碼也會越來越多,這為員工帶來煩惱的同時也為企業信息系統增添了不安全因素。為了解決這一問題,許多企業推行統一身份認證方案,而上述兩種SSLVPN身份驗證方案均只支持SSLVPN身份驗證,如采用這兩種方案,企業在推行統一身份認證方案時便需要針對SSLVPN身份認證進行二次開發,不利于企業推行統一身份認證方案。
二.解決方案
1.方案簡述
Passbay通過硬件UKey與軟件結合的方式解決目前SSLVPN身份認證環節面臨的各種問題,硬件UKey上集成了Passbay賬號密碼管理功能組件和數字證書功能組件,終端用戶只需將UKey插入計算機,啟動Passbay軟件并通過PIN碼驗證后就可以使用保存在UKey中的數字證書和賬號密碼,建立VPN連接,無需手動導入數字證書,也無需記憶和輸入賬號密碼。PassbaySSLVPN解決方案大大簡化了終端用戶建立VPN的操作,提升了SSLVPN的易用性和安全性,同時還可以解決企業部署的其他應用系統身份認證問題,一舉多得,具有較高的性價比。
2.方案特點
1.更高的安全性:需合法持有UKey的用戶才能建立VPN連接,避免數字證書被終端用戶隨意導入導出和不安全密碼造成的安全隱患。
2.更高的性價比:除了用于SSLVPN身份認證之外,Passbay還可以用于幾乎所有應用系統的身份認證,一舉解決企業部署的各種應用系統的身份認證存在的問題,具有極高的性價比。還可根據用戶需求選擇定制多種功能模塊,提供增值服務。
3.易用:終端用戶只需將UKey插入計算機,啟動Passbay軟件并通過PIN碼驗證便可一鍵建立VPN連接,大大簡化了終端用戶的操作。而且還可以用于其他應用系統的身份認證,免除終端用戶記憶眾多賬號密碼的煩惱。
4.應用無關:可與各SSLVPN提供的解決方案無縫對接,企業無需對原有系統做任何改變即可部署。
5.無需二次開發:已集成密碼管理和數字證書管理功能組件,支持SSLVPN和其他應用系統的身份驗證,企業可即時部署,即時使用,無需二次開發。
三.傳統VPN支持
對于傳統VPN,Passbay方案也提供了良好的支持。通過將VPN全部配置信息以及VPN終端用戶認證所需的賬號、密碼、登錄域、共享密鑰,或者數字證書存儲在PassbayUKey設備內,企業將UKey發放給指定員工。員工插入任一終端,無需關注終端當前配置,無需安裝任何軟件,即可建立VPN連接,大大減少對員工的使用培訓,以及維護支持。
四.客戶收益
客戶采用PassbaySSLVPN身份認證解決方案后,將從以下幾個方面獲得收益:
1.提高生產效率
除了支持SSLVPN身份驗證之外,PassbayUKey還支持幾乎所有Windows應用程序和基于瀏覽器的頁面身份認證。讓企業員工無需再為記憶企業部署的諸多應用系統的賬號密碼發愁,提升各種應用系統的易用性,提高企業的生產效率。
2.提升安全性
采用軟件和硬件結合的方式提升SSLVPN的身份認證的安全性,只有擁有UKey并能通過身份認證的用戶才能登錄SSLVPN。此外由于免除了終端用戶記憶密碼的煩惱,可以設置較為復雜的用戶賬號和密碼避免賬號密碼共享或被盜,防止非法用戶登錄SSLVPN訪問敏感資源。
3.減少部署成本
Passbay集成隨身賬號密碼庫和隨身數字證書功能組件,可與各SSLVPN廠家提供的SSLVPN解決方案無縫對接,無需進行二次開發,可大大節約部署成本。PassbaySSLVPN身份認證解決方案的應用無關性使得其能與原有身份認證方式順利兼容,企業可以根據自身實際情況逐步部署而無需對原有系統進行任何修改,減低部署風險。此外,Passbay軟件簡單易用,容易被終端用戶所接受,無需額外的培訓支出。
五.結論
PassbaySSLVPN身份認證解決方案既能滿足企業信息管理部門希望提升VPN身份認證安全性方面的需求,又能滿足終端用戶希望獲得良好使用體驗的需求,除支持SSLVPN身份認證之外,還支持幾乎所有的Windows應用程序和網頁的身份認證,能有效的提高企業的生產效率和各種應用系統的安全性。該解決方案能與企業現已部署或即將部署的SSLVPN及各種應用系統無縫對接,無需進行二次開發,部署簡便,具有較高的性價比,是目前最為完善的SSLVPN身份認證解決方案。
【編輯推薦】
