一．需求描述

1.應(yīng)用現(xiàn)狀

如前文所述，目前SSLVPN并非盡善盡美，在技術(shù)層面，SSLVPN尚有改善的余地。在身份認(rèn)證方面，由于SSLVPN本身并不支持強(qiáng)于SSL協(xié)議的身份認(rèn)證方式，為提升認(rèn)證的安全性，各SSLVPN廠商均會建置身份認(rèn)證解決方案，這些身份認(rèn)證解決方案歸結(jié)起來不外乎下列兩種：一種是基于軟件的解決方案，這種方案由服務(wù)器端給客戶端頒發(fā)數(shù)字證書（DigitalCertificate），這一數(shù)字證書保存在客戶端本地磁盤上，在終端客戶啟動身份認(rèn)證時導(dǎo)入數(shù)字證書，輸入賬號密碼通過身份認(rèn)證；另一種方案是構(gòu)建硬件token，將數(shù)字憑證保存在token上并頒發(fā)給終端用戶，終端用戶啟動身份認(rèn)證時需插入硬件token并輸入賬號密碼方能通過身份認(rèn)證。

2．存在問題

（1）增加管理成本

基于軟件的身份認(rèn)證解決方案直接將數(shù)字證書保存在客戶端本地磁盤上，如客戶端因感染病毒或其他原因需重裝操作系統(tǒng)或格式化磁盤，管理部門需重新審核用戶資料并重新頒發(fā)數(shù)字證書，造成人力資源的浪費(fèi)，而且在管理部門重新頒發(fā)數(shù)字證書之前，終端用戶無法通過SSLVPN身份驗(yàn)證，造成時間的浪費(fèi)，影響企業(yè)的生產(chǎn)效率，增加管理成本。此外，由于數(shù)字證書保存在客戶端本地磁盤上，終端用戶只能在本機(jī)上使用SSLVPN，無法充分發(fā)揮SSLVPN的優(yōu)勢；

（2）性價比不高

基于硬件token的身份認(rèn)證解決方案將數(shù)字憑證保存在token上，支持SSLVPN的移動應(yīng)用，同時采用軟硬件結(jié)合的認(rèn)證方式也可以提升SSLVPN身份認(rèn)證的安全性。但純token的解決方案仍然存在不足之處，主要在于這些token只具有支持SSLVPN身份認(rèn)證的功能，除此之外并無其它用處，性價比較低；

（3）存在安全隱患

無論是基于軟件還是基于硬件token的身份認(rèn)證解決方案，均需要用戶記憶賬號密碼并在進(jìn)行身份驗(yàn)證時手動輸入賬號密碼，從表面上看來，這并不會造成太大的問題，而實(shí)際上并非如此。首先，終端用戶可能遺忘密碼，這將造成管理成本的增加；其次，大多數(shù)終端用戶對網(wǎng)絡(luò)安全隱患的認(rèn)識并不像信息管理部門那樣深刻，為了避免遺忘密碼帶來的麻煩，終端用戶可能使用初始密碼甚至將密碼設(shè)置為空，這將帶來極大的安全隱患。終端用戶希望獲得簡單方便的使用體驗(yàn)，而企業(yè)信息管理部門則希望獲得安全保證，兩種身份認(rèn)證解決方案都不能同時滿足這兩種需求。

（4）不利于企業(yè)推行統(tǒng)一身份認(rèn)證方案

隨著企業(yè)信息化程度的提高，企業(yè)部署的應(yīng)用系統(tǒng)越來越多，而員工需要記憶的賬號密碼也會越來越多，這為員工帶來煩惱的同時也為企業(yè)信息系統(tǒng)增添了不安全因素。為了解決這一問題，許多企業(yè)推行統(tǒng)一身份認(rèn)證方案，而上述兩種SSLVPN身份驗(yàn)證方案均只支持SSLVPN身份驗(yàn)證，如采用這兩種方案，企業(yè)在推行統(tǒng)一身份認(rèn)證方案時便需要針對SSLVPN身份認(rèn)證進(jìn)行二次開發(fā)，不利于企業(yè)推行統(tǒng)一身份認(rèn)證方案。

二．解決方案

1.方案簡述

Passbay通過硬件UKey與軟件結(jié)合的方式解決目前SSLVPN身份認(rèn)證環(huán)節(jié)面臨的各種問題，硬件UKey上集成了Passbay賬號密碼管理功能組件和數(shù)字證書功能組件，終端用戶只需將UKey插入計算機(jī)，啟動Passbay軟件并通過PIN碼驗(yàn)證后就可以使用保存在UKey中的數(shù)字證書和賬號密碼，建立VPN連接，無需手動導(dǎo)入數(shù)字證書，也無需記憶和輸入賬號密碼。PassbaySSLVPN解決方案大大簡化了終端用戶建立VPN的操作，提升了SSLVPN的易用性和安全性，同時還可以解決企業(yè)部署的其他應(yīng)用系統(tǒng)身份認(rèn)證問題，一舉多得，具有較高的性價比。

2.方案特點(diǎn)

1.更高的安全性：需合法持有UKey的用戶才能建立VPN連接，避免數(shù)字證書被終端用戶隨意導(dǎo)入導(dǎo)出和不安全密碼造成的安全隱患。

2.更高的性價比：除了用于SSLVPN身份認(rèn)證之外，Passbay還可以用于幾乎所有應(yīng)用系統(tǒng)的身份認(rèn)證，一舉解決企業(yè)部署的各種應(yīng)用系統(tǒng)的身份認(rèn)證存在的問題，具有極高的性價比。還可根據(jù)用戶需求選擇定制多種功能模塊，提供增值服務(wù)。

3.易用：終端用戶只需將UKey插入計算機(jī)，啟動Passbay軟件并通過PIN碼驗(yàn)證便可一鍵建立VPN連接，大大簡化了終端用戶的操作。而且還可以用于其他應(yīng)用系統(tǒng)的身份認(rèn)證，免除終端用戶記憶眾多賬號密碼的煩惱。

4.應(yīng)用無關(guān)：可與各SSLVPN提供的解決方案無縫對接，企業(yè)無需對原有系統(tǒng)做任何改變即可部署。

5.無需二次開發(fā)：已集成密碼管理和數(shù)字證書管理功能組件，支持SSLVPN和其他應(yīng)用系統(tǒng)的身份驗(yàn)證，企業(yè)可即時部署，即時使用，無需二次開發(fā)。

三．傳統(tǒng)VPN支持

對于傳統(tǒng)VPN，Passbay方案也提供了良好的支持。通過將VPN全部配置信息以及VPN終端用戶認(rèn)證所需的賬號、密碼、登錄域、共享密鑰，或者數(shù)字證書存儲在PassbayUKey設(shè)備內(nèi)，企業(yè)將UKey發(fā)放給指定員工。員工插入任一終端，無需關(guān)注終端當(dāng)前配置，無需安裝任何軟件，即可建立VPN連接，大大減少對員工的使用培訓(xùn)，以及維護(hù)支持。

四．客戶收益

客戶采用PassbaySSLVPN身份認(rèn)證解決方案后，將從以下幾個方面獲得收益：

1.提高生產(chǎn)效率

除了支持SSLVPN身份驗(yàn)證之外，PassbayUKey還支持幾乎所有Windows應(yīng)用程序和基于瀏覽器的頁面身份認(rèn)證。讓企業(yè)員工無需再為記憶企業(yè)部署的諸多應(yīng)用系統(tǒng)的賬號密碼發(fā)愁，提升各種應(yīng)用系統(tǒng)的易用性，提高企業(yè)的生產(chǎn)效率。

2.提升安全性

采用軟件和硬件結(jié)合的方式提升SSLVPN的身份認(rèn)證的安全性，只有擁有UKey并能通過身份認(rèn)證的用戶才能登錄SSLVPN。此外由于免除了終端用戶記憶密碼的煩惱，可以設(shè)置較為復(fù)雜的用戶賬號和密碼避免賬號密碼共享或被盜，防止非法用戶登錄SSLVPN訪問敏感資源。

3.減少部署成本

Passbay集成隨身賬號密碼庫和隨身數(shù)字證書功能組件，可與各SSLVPN廠家提供的SSLVPN解決方案無縫對接，無需進(jìn)行二次開發(fā)，可大大節(jié)約部署成本。PassbaySSLVPN身份認(rèn)證解決方案的應(yīng)用無關(guān)性使得其能與原有身份認(rèn)證方式順利兼容，企業(yè)可以根據(jù)自身實(shí)際情況逐步部署而無需對原有系統(tǒng)進(jìn)行任何修改，減低部署風(fēng)險。此外，Passbay軟件簡單易用，容易被終端用戶所接受，無需額外的培訓(xùn)支出。

五．結(jié)論

PassbaySSLVPN身份認(rèn)證解決方案既能滿足企業(yè)信息管理部門希望提升VPN身份認(rèn)證安全性方面的需求，又能滿足終端用戶希望獲得良好使用體驗(yàn)的需求，除支持SSLVPN身份認(rèn)證之外，還支持幾乎所有的Windows應(yīng)用程序和網(wǎng)頁的身份認(rèn)證，能有效的提高企業(yè)的生產(chǎn)效率和各種應(yīng)用系統(tǒng)的安全性。該解決方案能與企業(yè)現(xiàn)已部署或即將部署的SSLVPN及各種應(yīng)用系統(tǒng)無縫對接，無需進(jìn)行二次開發(fā)，部署簡便，具有較高的性價比，是目前最為完善的SSLVPN身份認(rèn)證解決方案。

【編輯推薦】

1. 嵌入式網(wǎng)絡(luò)SSL VPN安全技術(shù)的研究
2. VPN技術(shù)與DDNS專線比較的優(yōu)勢
3. OpenVZ VPS搭建PPTP VPN的方法
4. MPLS IP VPN路由發(fā)布過程