部署VPN的企业正在求助于数字证书以取得一个有效VPN所不可或缺的安全性,必须由公共密钥基础设施(PKI)来管理的数字证书为VPN提供了其他任何认证方式都无法比拟的保密性和安全性。
部署一个完善的PKI非常复杂并可能会对网络及其用户造成消极的影响。Internet工程任务组(IETF)正在开发两种新型协议:Hybrid Auth(混合认证)和Xauth,这两种协议将使各公司可以一种更具可管理性和分阶段的方法来部署PKI。
Hybrid Auth和XAuth是Internet Key Exchange(Internet密钥交换,IKE)协议的扩展。IKE是PKI中的重要组成部分,它定义了安全证书如何通过IP Security(IPSec)隧道协议进行交换。利用使用IKE的IPSec,可以采用下列两种认证方法之一来访问网络:预先共享密钥或数字证书。预先共享密钥对于每一位用户来说是不同的,尽管在人数不多的用户情况下,使用预先共享密钥是一种不错的选择,但是,在可能拥有几百或几千名远程用户的环境中为每一位远程用户分配一个特有的密钥会成为一种管理上的负担。
出于简化的目的,一些企业部署一个所有用户相互共享的密钥。然而,如果口令泄露的话,每一个用户名必须与新密钥建立联系。
在为许多用户部署使用IKE的IPSec时,数字证书是实现企业安全的最具伸缩性的选择。但是,必须要有完整的PKI环境,而完整的环境实施起来费用高昂并且部署复杂。此外,远程用户必须在PKI中“注册”。注册会生产消极作用,增加许多出错的可能。
Hybrid Auth的某些VPN应用通过利用传统认证系统以及允许以实际的分阶段实施方式而非一次到位地集中部署和管理PKI的应用,使企业可以解决一些这类问题。在这种方式中,数字证书被部署在一个中央站点的VPN服务器上,同时远程用户继续利用传统的认证方式(如RADIUS和SecurID)来访问企业网络。由于远程用户认证的方式没有改变,因此,这种混合认证环境简化了内部数字证书的部署,控制了运行费用并且将对最终用户的影响减少到最低程度。
Hybrid Auth允许在客户机与服务器之间非对称地使用数字证书。客户机验证服务器证书的真实性,服务器验证客户机证书的真实性。企业将从基于标准的使用IKE IPSec的互操作性中以及在不对远程用户造成消极影响的条件下,从中心站点上增加的IKE安全性中受益。
XAuth标准可以被看做是PKI迁移的下一阶段。随着企业向完整的PKI迁移,数字证书正在中心站点和远程用户的桌面上得到应用。XAuth 协议的某些部署使企业可以将传统认证方式与数字证书结合起来使用。IKE协议的XAuth扩展实现了远程用户的双认证:数字证书认证用户的计算机或桌面,同时利用口令或证件将这个用户与其数字ID结合在一起并批准用户访问网络。采用XAuth的VPN应用使网络管理员可以在企业从口令向数字证书迁移时,集中地在工作组级基础上控制认证政策,远程地在用户桌面上同步实现和执行变化的认证策略。
当利用数字证书作为VPN的认证方式时,Hybrid Auth和XAuth 协议尤其可以体现出其所具有的好处。这两种协议所具有的许多好处——更好的可管理性、更强的安全性、对系统投资更大的保护以及实现 PKI 更实际的途径——预示着它们将成为IETF标准。
|