背景介绍
很多公司都有FTP文件共享服务器,用于存储公司内部的公用数据,例如新员工培训资料,新员工入职可以自主下载、学习,但是分支机构如果想访问总部FTP共享的资源,就需要将共享文件共享到广域网,因为是内部资料,如果共享到广域网就非常不安全。
解决方案
为了解决以上问题,可以采用天联技术,天联可以将企业服务器与客户端组建成一个虚拟网络,为企业搭建私有专线,客户端如果想访问服务器,必须先登陆组,才可以访问,从而大大提高了安全性,天联的安全性还体现在:天联支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持USB KEY、硬件特征码等加强认证方式。单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,金万维创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入系统。“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到系统中,通过多因素组合认证大大加强认证安全的强度,确保接入系统的用户的身份的确认性。
1、USB KEY认证
天联支持基于数字证书的USB KEY认证,将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。同时,金万维天联支持无驱USB KEY认证,客户端无需安装驱动即可使用USB KEY进行登录认证,大大提高了客户端使用的易用性。
2、硬件绑定(HardCA)
对于仅使用用户名/密码认证的用户,为了保证用户登录SSL限定在某一台或是某几台终端上,因用户帐号意外泄漏、帐号盗用导致数据的泄露问题,可对登录终端进行绑定。
通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现,但是对于用户,采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问,IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动,导致终端存在被仿冒的威胁。
天联打破常规,通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制。
当用户登录客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送给天联。需要进行绑定的账号用户工作平台若是在不同的客户端上,我们可按不同用户、用户组实际需要设置不同的特征码的个数(1-100个硬件特征码),保证终端绑定安全的基础上实现人性化的管理。
整个组织的局域网往往具备了防火墙、防病毒等各项安全防护措施,但使用SSL进行登录的客户端却是在组织网络的保护层之外,直接暴露在互联网中的各种病毒、木马、黑客攻击的范围之中。对于仅仅使用了用户名密码进行认证的用户而言,最重要的就是保障密码的安全,而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码,以SSL用户为突破口盗取组织内部重要数据。
天联支持终端用户的防暴破登录设置,通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。支持自定义设置封锁恢复时间。
天联的本质就是需要保证数据在公网上传输的安全性,达到虚拟专用网的效果。传输的安全性强度往往需要依靠天联数据所采用的加密算法。天联使用Diffie-Hellman协议在通信对端之间进行秘钥协商,对通信数据采用3DES加密算法进行实时加密,保证数据传输的高安全性,以及在移动设备中加解密的高效性。