作业帮Cisco认证:安全卡 有效保障远程访问安全[1]
来源:学生作业帮助网 编辑:作业帮 时间:2024/05/10 20:29:24 Cisco认证
![Cisco认证:安全卡 有效保障远程访问安全[1]](/uploads/image/n/406568-56-8.jpg?t=Cisco%E8%AE%A4%E8%AF%81%3A%E5%AE%89%E5%85%A8%E5%8D%A1%E3%80%80%E6%9C%89%E6%95%88%E4%BF%9D%E9%9A%9C%E8%BF%9C%E7%A8%8B%E8%AE%BF%E9%97%AE%E5%AE%89%E5%85%A8%5B1%5D)
Cisco认证:安全卡 有效保障远程访问安全[1]Cisco认证
【无忧考网 - Cisco认证】
现在很多人都在使用网上银行。为了保障网上银行交易的安全性,银行往往会给你一个U盘。在交易的时候,需要同时插入U盘和输入密码才能够交易。密码与U盘缺一不可。其实,这个U盘起的作用跟安全卡类似。通过某些手段,可以让安全卡种包含有用户的特定信息。而每个用户又会有一个唯一的个人识别码。在进行远程访问的时候,根据这个唯一的个人识别码与安全卡中的个人身份信息,会生成一个唯一口令。用户就根据这个口令来访问远程网络。可以说,到目前为止,这个方案是最安全的认证方案之一。
这说起来简单,但是若要在企业中应用,还是具有一定的难度。笔者今天就结合一个实际的案例,谈谈安全卡在企业中如何部署,以及部署过程中的注意点。
一、 安全卡的基本操作步骤
安全卡与唯一个人识别码结合会生成一个唯一的安全密钥。这个密钥会有专门的安全卡服务器(有些人喜欢把它叫做令牌服务器)进行确认。其具体的操作步骤如下。
第一步:如果用户要进行远程连接,则必须先在自己的主机上发起一个远程连接的请求。如果用户采用安全卡来保障远程连接安全性的话,则远程用户必须先插入安全卡。考试大提示在认证过程中,客户端会提示找不到安全卡。
第二步:生成一次性口令。当用户插入安全卡之后,客户端会自动读取安全卡中的用户信息,并结合只有用户知道的个人识别码生成一个一次性口令。这个一次性口令的安全性如何,就要看不同厂商所采用的算法了。企业网络管理员需要了解各种算法的优缺点,并根据企业对于安全程度的要求不同,选择合适的算法。
第三步:进行身份验证。当远程连接客户端提示用户输入口令后,远程用户需要把这个一次性口令复制到口令对话框中。然后客户端就会跟远程的服务器端进行身份验证。这里要注意,有些商业解决方案,把这个用户输入口令的步骤省掉了。客户端会自动把这个口令复制到密码对话框中,以减少用户输入的步骤。这就好像在登陆邮箱是是否需要保存用户名与密码一样。虽然节省了操作时间,但是降低了安全保障。是否需要这个自动化操作,用户与网络管理员可以自行抉择。
第四步:网络接入服务器在收到口令之后,往往会把这个口令转发给专业的安全卡服务器进行身份验证。安全服务器在收到网络接入服务器转发过来的口令之后,会使用客户端相同的算法来验证收到的口令。如果验证通过,则安全卡服务器会告诉网络接入服务器,其身份合法。并且会把这个账户所对应的一些访问权限等安全策略一并告知网络接入服务器,以方便其对该用户进行访问权限的控制。
这就是利用安全卡进行身份验证的四个基本步骤。从这个几个步骤中,我们可以看到,网络管理员基本上不用对这个过程进行干预。网络管理员的工作主要是事先的配置,如安全算法的选择等等。
二、如何保障安全卡本身的安全
虽然说利用安全卡进行身份验证是到目前为止,最安全的认证机制之一。但是,就安全卡本身来说,并不是很安全。现在市场上常见的安全卡都是EEPROM(电可擦可编程只读存储器)芯片制成的,它断电后数据不会丢失。EEPROM可以在电脑上或者专用设备上擦除已有信息,并进行重新编程。这无疑使得安全卡可以被重复使用,降低企业安全卡应用成本。但是,其也带来了一些安全隐患。
电可擦可编程只读存储器是用户可更改的只读存储器。用户可以通过高于普通电压的作用来擦除和重写;而且,电可擦可编程只读存储器不需要从计算机中取出即可修改。也就是说,当计算机在使用这个电可擦可编程只读存储器的时候,就可以进行频繁的重编程。所以,电可擦可编程只读存储器跟可重复刻录光盘一样,使用寿命是一个很重要的设计考虑参数。由于其可以重复使用,无疑减低了企业安全卡的硬件投资成本。但是,因为安全卡的内容可以被读取,并可以重新编程。为此,只要入侵者有这个设备,就可以复制安全卡中的信息。所以,虽然说安全卡信息拷贝需要有专业的工具,增加了一定的难度。可是,仍然有可能会泄露。另外就是安全卡也不能够避免监守自盗的情况。如网络管理员在把用户信息录制到安全卡中,完全可多录制几张。若网络管理员对这个用户有仇想陷害他,或者以后离职了,就可以利用手中复制的安全卡来进行未经授权的访问。因为获取用户唯一识别码难度不大,再加上可以轻易取得安全卡的备份,那么一切就会变得很简单了。
这就是安全卡机制中的一个最大的安全漏洞。也可以说是一个唯一可以被攻击的漏洞。
应对措施:出于安全的需要,远程用户需要对安全卡加强保护,特别是不能够外借给其他人。同时,网络管理员也要加强对这些用户的监控。若发现用户有试图访问未经授权的资源时,就需要分析是否是因为安全卡信息泄露所造成的恶意访问。另外,当网络管理员新上任之后,最好能够对原有的安全卡与用户识别码等信息进行整理。在必要的时候,进行一次更新,以防止上一任网络管理员Cisco认证
现在很多人都在使用网上银行。为了保障网上银行交易的安全性,银行往往会给你一个U盘。在交易的时候,需要同时插入U盘和输入密码才能够交易。密码与U盘缺一不可。其实,这个U盘起的作用跟安全卡类似。通过某些手段,可以让安全卡种包含有用户的特定信息。而每个用户又会有一个唯一的个人识别码。在进行远程访问的时候,根据这个唯一的个人识别码与安全卡中的个人身份信息,会生成一个唯一口令。用户就根据这个口令来访问远程网络。可以说,到目前为止,这个方案是最安全的认证方案之一。
这说起来简单,但是若要在企业中应用,还是具有一定的难度。笔者今天就结合一个实际的案例,谈谈安全卡在企业中如何部署,以及部署过程中的注意点。
一、 安全卡的基本操作步骤
安全卡与唯一个人识别码结合会生成一个唯一的安全密钥。这个密钥会有专门的安全卡服务器(有些人喜欢把它叫做令牌服务器)进行确认。其具体的操作步骤如下。
第一步:如果用户要进行远程连接,则必须先在自己的主机上发起一个远程连接的请求。如果用户采用安全卡来保障远程连接安全性的话,则远程用户必须先插入安全卡。考试大提示在认证过程中,客户端会提示找不到安全卡。
第二步:生成一次性口令。当用户插入安全卡之后,客户端会自动读取安全卡中的用户信息,并结合只有用户知道的个人识别码生成一个一次性口令。这个一次性口令的安全性如何,就要看不同厂商所采用的算法了。企业网络管理员需要了解各种算法的优缺点,并根据企业对于安全程度的要求不同,选择合适的算法。
第三步:进行身份验证。当远程连接客户端提示用户输入口令后,远程用户需要把这个一次性口令复制到口令对话框中。然后客户端就会跟远程的服务器端进行身份验证。这里要注意,有些商业解决方案,把这个用户输入口令的步骤省掉了。客户端会自动把这个口令复制到密码对话框中,以减少用户输入的步骤。这就好像在登陆邮箱是是否需要保存用户名与密码一样。虽然节省了操作时间,但是降低了安全保障。是否需要这个自动化操作,用户与网络管理员可以自行抉择。
第四步:网络接入服务器在收到口令之后,往往会把这个口令转发给专业的安全卡服务器进行身份验证。安全服务器在收到网络接入服务器转发过来的口令之后,会使用客户端相同的算法来验证收到的口令。如果验证通过,则安全卡服务器会告诉网络接入服务器,其身份合法。并且会把这个账户所对应的一些访问权限等安全策略一并告知网络接入服务器,以方便其对该用户进行访问权限的控制。
这就是利用安全卡进行身份验证的四个基本步骤。从这个几个步骤中,我们可以看到,网络管理员基本上不用对这个过程进行干预。网络管理员的工作主要是事先的配置,如安全算法的选择等等。
二、如何保障安全卡本身的安全
虽然说利用安全卡进行身份验证是到目前为止,最安全的认证机制之一。但是,就安全卡本身来说,并不是很安全。现在市场上常见的安全卡都是EEPROM(电可擦可编程只读存储器)芯片制成的,它断电后数据不会丢失。EEPROM可以在电脑上或者专用设备上擦除已有信息,并进行重新编程。这无疑使得安全卡可以被重复使用,降低企业安全卡应用成本。但是,其也带来了一些安全隐患。
电可擦可编程只读存储器是用户可更改的只读存储器。用户可以通过高于普通电压的作用来擦除和重写;而且,电可擦可编程只读存储器不需要从计算机中取出即可修改。也就是说,当计算机在使用这个电可擦可编程只读存储器的时候,就可以进行频繁的重编程。所以,电可擦可编程只读存储器跟可重复刻录光盘一样,使用寿命是一个很重要的设计考虑参数。由于其可以重复使用,无疑减低了企业安全卡的硬件投资成本。但是,因为安全卡的内容可以被读取,并可以重新编程。为此,只要入侵者有这个设备,就可以复制安全卡中的信息。所以,虽然说安全卡信息拷贝需要有专业的工具,增加了一定的难度。可是,仍然有可能会泄露。另外就是安全卡也不能够避免监守自盗的情况。如网络管理员在把用户信息录制到安全卡中,完全可多录制几张。若网络管理员对这个用户有仇想陷害他,或者以后离职了,就可以利用手中复制的安全卡来进行未经授权的访问。因为获取用户唯一识别码难度不大,再加上可以轻易取得安全卡的备份,那么一切就会变得很简单了。
这就是安全卡机制中的一个最大的安全漏洞。也可以说是一个唯一可以被攻击的漏洞。
应对措施:出于安全的需要,远程用户需要对安全卡加强保护,特别是不能够外借给其他人。同时,网络管理员也要加强对这些用户的监控。若发现用户有试图访问未经授权的资源时,就需要分析是否是因为安全卡信息泄露所造成的恶意访问。另外,当网络管理员新上任之后,最好能够对原有的安全卡与用户识别码等信息进行整理。在必要的时候,进行一次更新,以防止上一任网络管理员Cisco认证