一.需求描述
1.应用现状
如前文所述,目前SSLVPN并非尽善尽美,在技术层面,SSLVPN尚有改善的余地。在身份认证方面,由于SSLVPN本身并不支持强于SSL协议的身份认证方式,为提升认证的安全性,各SSLVPN厂商均会建置身份认证解决方案,这些身份认证解决方案归结起来不外乎下列两种:一种是基于软件的解决方案,这种方案由服务器端给客户端颁发数字证书(DigitalCertificate),这一数字证书保存在客户端本地磁盘上,在终端客户启动身份认证时导入数字证书,输入账号密码通过身份认证;另一种方案是构建硬件token,将数字凭证保存在token上并颁发给终端用户,终端用户启动身份认证时需插入硬件token并输入账号密码方能通过身份认证。
2.存在问题
(1)增加管理成本
基于软件的身份认证解决方案直接将数字证书保存在客户端本地磁盘上,如客户端因感染病毒或其他原因需重装操作系统或格式化磁盘,管理部门需重新审核用户资料并重新颁发数字证书,造成人力资源的浪费,而且在管理部门重新颁发数字证书之前,终端用户无法通过SSLVPN身份验证,造成时间的浪费,影响企业的生产效率,增加管理成本。此外,由于数字证书保存在客户端本地磁盘上,终端用户只能在本机上使用SSLVPN,无法充分发挥SSLVPN的优势;
(2)性价比不高
基于硬件token的身份认证解决方案将数字凭证保存在token上,支持SSLVPN的移动应用,同时采用软硬件结合的认证方式也可以提升SSLVPN身份认证的安全性。但纯token的解决方案仍然存在不足之处,主要在于这些token只具有支持SSLVPN身份认证的功能,除此之外并无其它用处,性价比较低;
(3)存在安全隐患
无论是基于软件还是基于硬件token的身份认证解决方案,均需要用户记忆账号密码并在进行身份验证时手动输入账号密码,从表面上看来,这并不会造成太大的问题,而实际上并非如此。首先,终端用户可能遗忘密码,这将造成管理成本的增加;其次,大多数终端用户对网络安全隐患的认识并不像信息管理部门那样深刻,为了避免遗忘密码带来的麻烦,终端用户可能使用初始密码甚至将密码设置为空,这将带来极大的安全隐患。终端用户希望获得简单方便的使用体验,而企业信息管理部门则希望获得安全保证,两种身份认证解决方案都不能同时满足这两种需求。
(4)不利于企业推行统一身份认证方案
随着企业信息化程度的提高,企业部署的应用系统越来越多,而员工需要记忆的账号密码也会越来越多,这为员工带来烦恼的同时也为企业信息系统增添了不安全因素。为了解决这一问题,许多企业推行统一身份认证方案,而上述两种SSLVPN身份验证方案均只支持SSLVPN身份验证,如采用这两种方案,企业在推行统一身份认证方案时便需要针对SSLVPN身份认证进行二次开发,不利于企业推行统一身份认证方案。
二.解决方案
1.方案简述
Passbay通过硬件UKey与软件结合的方式解决目前SSLVPN身份认证环节面临的各种问题,硬件UKey上集成了Passbay账号密码管理功能组件和数字证书功能组件,终端用户只需将UKey插入计算机,启动Passbay软件并通过PIN码验证后就可以使用保存在UKey中的数字证书和账号密码,建立VPN连接,无需手动导入数字证书,也无需记忆和输入账号密码。PassbaySSLVPN解决方案大大简化了终端用户建立VPN的操作,提升了SSLVPN的易用性和安全性,同时还可以解决企业部署的其他应用系统身份认证问题,一举多得,具有较高的性价比。
2.方案特点
1.更高的安全性:需合法持有UKey的用户才能建立VPN连接,避免数字证书被终端用户随意导入导出和不安全密码造成的安全隐患。
2.更高的性价比:除了用于SSLVPN身份认证之外,Passbay还可以用于几乎所有应用系统的身份认证,一举解决企业部署的各种应用系统的身份认证存在的问题,具有极高的性价比。还可根据用户需求选择定制多种功能模块,提供增值服务。
3.易用:终端用户只需将UKey插入计算机,启动Passbay软件并通过PIN码验证便可一键建立VPN连接,大大简化了终端用户的操作。而且还可以用于其他应用系统的身份认证,免除终端用户记忆众多账号密码的烦恼。
4.应用无关:可与各SSLVPN提供的解决方案无缝对接,企业无需对原有系统做任何改变即可部署。
5.无需二次开发:已集成密码管理和数字证书管理功能组件,支持SSLVPN和其他应用系统的身份验证,企业可即时部署,即时使用,无需二次开发。
三.传统VPN支持
对于传统VPN,Passbay方案也提供了良好的支持。通过将VPN全部配置信息以及VPN终端用户认证所需的账号、密码、登录域、共享密钥,或者数字证书存储在PassbayUKey设备内,企业将UKey发放给指定员工。员工插入任一终端,无需关注终端当前配置,无需安装任何软件,即可建立VPN连接,大大减少对员工的使用培训,以及维护支持。
四.客户收益
客户采用PassbaySSLVPN身份认证解决方案后,将从以下几个方面获得收益:
1.提高生产效率
除了支持SSLVPN身份验证之外,PassbayUKey还支持几乎所有Windows应用程序和基于浏览器的页面身份认证。让企业员工无需再为记忆企业部署的诸多应用系统的账号密码发愁,提升各种应用系统的易用性,提高企业的生产效率。
2.提升安全性
采用软件和硬件结合的方式提升SSLVPN的身份认证的安全性,只有拥有UKey并能通过身份认证的用户才能登录SSLVPN。此外由于免除了终端用户记忆密码的烦恼,可以设置较为复杂的用户账号和密码避免账号密码共享或被盗,防止非法用户登录SSLVPN访问敏感资源。
3.减少部署成本
Passbay集成随身账号密码库和随身数字证书功能组件,可与各SSLVPN厂家提供的SSLVPN解决方案无缝对接,无需进行二次开发,可大大节约部署成本。PassbaySSLVPN身份认证解决方案的应用无关性使得其能与原有身份认证方式顺利兼容,企业可以根据自身实际情况逐步部署而无需对原有系统进行任何修改,减低部署风险。此外,Passbay软件简单易用,容易被终端用户所接受,无需额外的培训支出。
五.结论
PassbaySSLVPN身份认证解决方案既能满足企业信息管理部门希望提升VPN身份认证安全性方面的需求,又能满足终端用户希望获得良好使用体验的需求,除支持SSLVPN身份认证之外,还支持几乎所有的Windows应用程序和网页的身份认证,能有效的提高企业的生产效率和各种应用系统的安全性。该解决方案能与企业现已部署或即将部署的SSLVPN及各种应用系统无缝对接,无需进行二次开发,部署简便,具有较高的性价比,是目前最为完善的SSLVPN身份认证解决方案。
【编辑推荐】
