随着网络技术的飞速发展，VPN（虚拟局域网）作为解决企业分支机构互联及移动办公问题的主要手段，应用得越来越广泛。其主流技术有两种，一是采用IPSec协议，主要为站点间创建安全隧道提供直接(非代理方式)接入，实现对整个网络的透明访问的固网互联VPN；另一个就是采用SSL协议，利用内置在每个Web浏览器中的加密和验证功能，提供安全远程访问企业应用的移动接入VPN。
    不论哪种技术，它首要任务就是在客户与其所访问的资源之间建立安全通道，确保点到点的安全互联。然而，许多安全专家通过多年对VPN实际应用的调查和研究，发现目前的技术中依然存在许多问题：
    客户端泄漏密码。如今的木马病毒非常猖獗，终端用户防范意识不强，极易被盗取密码。另外，在基于浏览器SSL方式下还有更严重的问题，如浏览器默认保存用户名和口令，浏览器可能会缓存文档和屏幕，这都有可能泄露机敏信息。如果用户忘了退出浏览器会话，也会带来风险。
    从不可信终端访问企业资源。系统管理员都知道，对用户终端的管理非常的困难。如果用户从不可信任的终端登陆，轻则带来木马、病毒的泛滥，重则直接导致机密文件失窃。
    用户弱口令。大多用户密码都非常简单，而且没有定期更改密码的习惯。弱口令在一些密码破解工具前，不堪一击。
    用户权限不可控。用户接入后，由于认证方式不完善，权限控制不够，用户可以访问企业未经授权的资源。权限不分级，所有用户权限相同，不同级别的用户访问的资源也就相同。

    不难看出，导致这些问题的根本原因就在于对移动用户接入的身份认证是单向信任的。即客户端只要拥有正确的密钥，服务端就认为他是可信任的用户。而密钥的管理向来是企业的盲区，因此必须加强远程访问的认证密钥策略。密钥策略既要是保证安全的，又要是高效方便的。如果密钥的安全得不到保证，那么VPN的安全就是一句空话；如果密钥的方式单一，那么用户的多应用环境就无法实现。

    目前许多厂商认识到了问题，推出了多种改进手段，如采用USB KEY＋密码的双因子认证、硬件特征的识别、动态令牌等。这些改进从一定程度上降低了安全风险，但依然有漏洞存在。

    另外，单一的认证方式已不能够满足用户所有的需求。终端的环境日趋复杂，移动接入已不仅仅限于PC，其他如PDA、智能手机、手持终端、瘦客户机、公用终端等也有需求。在这些环境下，仍使用单一认证方式，不仅安全性不得保障，设置和操作更是繁琐，分级授权也无从谈起。

    针对此种情况，冰峰网络推出了“8+6”认证密钥策略，从而加强对移动用户认证的管理。
    “8+6”认证密钥策略，即采用八种双因子增强认证与六种动态密码策略结合，不仅提高了系统平台的安全性，也充分考虑了不同用户环境的不同需求。
    8项增强认证方式包括：ISK认证、PC硬件特征码、ISK+PC硬件特征码、数字证书、指纹认证、公网IP限制、短信认证、令牌认证，下面分别作说明。
    ISK安全认证密钥是一款基于USB 接口的无驱型身份认证产品（如图1），内含安全文件系统，可预置密钥，来确定用户的身份。

图1：ISK安全认证密钥

    硬件特征码，是终端的唯一标识符。通过冰峰的读码工具可以读出终端设备的硬件信息（如CPU、主板、硬盘等），生成唯一特征码（如图2）。使用该特征码作为认证的手段，可以确保所有终端都在管理员的控制中。

图2：硬件特征码

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。