遠程訪問安全卡怎樣使用更安全

互聯(lián)網(wǎng)給大家的生活帶來了方便，很多人都擔心遠程訪問安全問題。但是若要在企業(yè)中應用，還是具有一定的難度。結(jié)合實例談談遠程訪問安全卡在企業(yè)中如何部署，以及部署過程中的注意點。

一、安全卡的基本操作步驟

安全卡與唯一個人識別碼結(jié)合會生成一個唯一的遠程訪問安全密鑰。這個密鑰會有專門的安全卡服務器(有些人喜歡把它叫做令牌服務器)進行確認。其具體的操作步驟如下。

第一步：如果用戶要進行遠程連接，則必須先在自己的主機上發(fā)起一個遠程連接的請求。如果用戶采用安全卡來保障遠程連接安全性的話，則遠程用戶必須先插入安全卡。否則的話，在認證過程中，客戶端會提示找不到安全卡。

第二步：生成一次性口令。當用戶插入遠程訪問安全卡之后，客戶端會自動讀取安全卡中的用戶信息，并結(jié)合只有用戶知道的個人識別碼生成一個一次性口令。這個一次性口令的安全性如何，就要看不同廠商所采用的算法了。企業(yè)網(wǎng)絡管理員需要了解各種算法的優(yōu)缺點，并根據(jù)企業(yè)對于安全程度的要求不同，選擇合適的算法。

第三步：進行身份驗證。當遠程連接客戶端提示用戶輸入口令后，遠程用戶需要把這個一次性口令復制到口令對話框中。然后客戶端就會跟遠程的服務器端進行身份驗證。這里要注意，有些商業(yè)解決方案，把這個用戶輸入口令的步驟省掉了。客戶端會自動把這個口令復制到密碼對話框中，以減少用戶輸入的步驟。這就好像在登陸郵箱是是否需要保存用戶名與密碼一樣。雖然節(jié)省了操作時間，但是降低了安全保障。是否需要這個自動化操作，用戶與網(wǎng)絡管理員可以自行抉擇。

第四步：網(wǎng)絡接入服務器在收到口令之后，往往會把這個口令轉(zhuǎn)發(fā)給專業(yè)的安全卡服務器進行身份驗證。安全服務器在收到網(wǎng)絡接入服務器轉(zhuǎn)發(fā)過來的口令之后，會使用客戶端相同的算法來驗證收到的口令。如果驗證通過，則安全卡服務器會告訴網(wǎng)絡接入服務器，其身份合法。并且會把這個賬戶所對應的一些訪問權(quán)限等遠程訪問安全策略一并告知網(wǎng)絡接入服務器，以方便其對該用戶進行訪問權(quán)限的控制。

這就是利用安全卡進行身份驗證的四個基本步驟。從這個幾個步驟中，我們可以看到，網(wǎng)絡管理員基本上不用對這個過程進行干預。網(wǎng)絡管理員的工作主要是事先的配置，如安全算法的選擇等等。

二、如何保障安全卡本身的安全

雖然說利用安全卡進行身份驗證是到目前為止，最安全的認證機制之一。但是，就安全卡本身來說，并不是很安全?，F(xiàn)在市場上常見的安全卡都是 EEPROM(電可擦可編程只讀存儲器)芯片制成的，它斷電后數(shù)據(jù)不會丟失。EEPROM可以在電腦上或者專用設備上擦除已有信息，并進行重新編程。這無疑使得安全卡可以被重復使用，降低企業(yè)遠程訪問安全卡應用成本。但是，其也帶來了一些安全隱患。

電可擦可編程只讀存儲器是用戶可更改的只讀存儲器。用戶可以通過高于普通電壓的作用來擦除和重寫;而且，電可擦可編程只讀存儲器不需要從計算機中取出即可修改。也就是說，當計算機在使用這個電可擦可編程只讀存儲器的時候，就可以進行頻繁的重編程。所以，電可擦可編程只讀存儲器跟可重復刻錄光盤一樣，使用壽命是一個很重要的設計考慮參數(shù)。由于其可以重復使用，無疑減低了企業(yè)安全卡的硬件投資成本。但是，因為安全卡的內(nèi)容可以被讀取，并可以重新編程。為此，只要入侵者有這個設備，就可以復制安全卡中的信息。所以，雖然說安全卡信息拷貝需要有專業(yè)的工具，增加了一定的難度?？墒牵匀挥锌赡軙孤?。另外就是遠程訪問安全卡也不能夠避免監(jiān)守自盜的情況。如網(wǎng)絡管理員在把用戶信息錄制到安全卡中，完全可多錄制幾張。若網(wǎng)絡管理員對這個用戶有仇想陷害他，或者以后離職了，就可以利用手中復制的安全卡來進行未經(jīng)授權(quán)的訪問。因為獲取用戶唯一識別碼難度不大，再加上可以輕易取得安全卡的備份，那么一切就會變得很簡單了。

這就是安全卡機制中的一個最大的安全漏洞。也可以說是一個唯一可以被攻擊的漏洞。

應對措施：出于安全的需要，遠程用戶需要對遠程訪問安全卡加強保護，特別是不能夠外借給其他人。同時，網(wǎng)絡管理員也要加強對這些用戶的監(jiān)控。若發(fā)現(xiàn)用戶有試圖訪問未經(jīng)授權(quán)的資源時，就需要分析是否是因為遠程訪問安全卡信息泄露所造成的惡意訪問。另外，當網(wǎng)絡管理員新上任之后，最好能夠?qū)υ械陌踩ㄅc用戶識別碼等信息進行整理。在必要的時候，進行一次更新，以防止上一任網(wǎng)絡管理員監(jiān)守自盜的行為。這些措施都可以有效的解決安全卡帶來的安全隱患。讓安全卡真正的安全起來。

三、選擇合適的服務提供商

安全卡解決方案需要專業(yè)的軟件與服務器支持，所以，企業(yè)若想要采用安全卡來提高遠程訪問安全性的話，往往需要購買其他公司的軟件與解決方案。故網(wǎng)絡管理員還需要根據(jù)自己公司的應用背景，來選一個合適的解決方案。

在選型過程中，除了價格方面的考慮因素外，筆者認為最重要的是要考慮一次性口令的生成機制。因為不同的生成機制其一次性口令的安全性是不同的。所以網(wǎng)絡管理員需要根據(jù)自己企業(yè)對于安全性的要求來進行選型。常見的一次性口令算法有如下幾種，供網(wǎng)絡管理員選擇。

一是基于挑戰(zhàn)響應的算法。若采用這種算法，在客戶端與服務器建立起會話之后，遠程訪問安全服務器會隨機生成一個字符串，并把這個字符串傳遞給客戶端。安全卡會根據(jù)存儲的信心以及收到的字符串根據(jù)某個函數(shù)進行計算，并發(fā)計算結(jié)果返回給安全服務器。然后服務器會根據(jù)受到的結(jié)果進行反向運算。如果運算的結(jié)果跟存儲在遠程訪問安全數(shù)據(jù)庫中的結(jié)果相同，則遠程客戶的身份驗證將被通過，從而允許其進行遠程訪問。

二是基于時間算法。利用這種算法也可以生成一次性口令，并跟安全服務器同步。此時的安全卡往往會有一個LCD，用來顯示最新的口令。通常情況下，每隔幾分鐘安全卡就會重新計算一次口令;同時安全服務器也會重新進行計算。這個口令是根據(jù)當前的時間與安全卡中的信息結(jié)合進行計算的。若要實現(xiàn)這個算法，其關(guān)鍵就是安全卡中的時間信息要跟安全服務器中的時間信息同步，否則的話，口令就無法與安全服務器同步。

三是一些基于生物特征的算法。一次性口令是根據(jù)安全卡中的用戶信息結(jié)合用戶唯一識別碼進行計算的。所以提高用戶唯一識別碼的安全性，也可以提高這個解決方案的安全性。如果遠程訪問也能夠向指紋鎖那樣，那么無疑其安全性就會很有保障。其實在基于安全卡的解決方案中，也可以利用指紋等生物特征來作為用戶唯一識別碼。然后結(jié)合遠程訪問安全卡中的用戶信息來結(jié)算一次性口令。

在以上三種一次性口令計算方法中，第三種遠程訪問安全性最高。但是，企業(yè)若要采用這個方法的話，則必須要增添收集指紋等信息的設備。在終端，也需要增添相關(guān)的設備。為此，企業(yè)要增加不少的成本。所以沒有特別的需要，這種方法不是很經(jīng)濟。

筆者現(xiàn)在采用的是基于時間的算法。若安全卡頻繁的在電腦上插拔，會降低安全卡的壽命。而基于時間的算法，在安全卡上直接帶有LCD顯示屏可以顯示一次性口令。如此可以避免在電腦上插拔，可以提高使用壽命。

所以，網(wǎng)絡管理員需要根據(jù)自己企業(yè)的遠程訪問安全要求、投資成本等因素綜合考慮，然后選擇一個合理的解決方案。

【編輯推薦】

◆網(wǎng)管軟件專區(qū)

◆網(wǎng)絡管理者最易犯的十大低級錯誤

◆網(wǎng)絡管理基礎(chǔ)知識：網(wǎng)路管理模式

◆學習高效網(wǎng)絡管理技巧三招五式

◆IT運維管理專區(qū)

本文來自互聯(lián)網(wǎng)，僅供參考

發(fā)布：2007-04-15 10:43 編輯：泛普軟件 · xiaona [打印此頁] [關(guān)閉]

相關(guān)欄目：