您好!欢迎来到金万维 [登录] [免费注册]
首页 > BS架构软件远程应用
 
天联标准版BS架构软件远程应用解决方案
 


 
背景介绍
 
B/S结构(Browser/Server,浏览器/服务器模式),是WEB兴起后的一种网络结构模式,WEB浏览器是客户端最主要的应用软件。这种模式统一了客户端,将系统功能实现的核心部分集中到服务器上,简化了系统的开发、维护和使用。客户机上只要安装一个浏览器(Browser),如Netscape Navigator或Internet Explorer,服务器安装SQL Server、Oracle、MYSQL等数据库。浏览器通过Web Server 同数据库进行数据交互。
 
其主要优势表现在:
 
维护和升级方式简单:当前,软件系统的改进和升级越发频繁,B/S架构的产品明显体现着更为方便的特性。对一个稍微大一点单位来说,系统管理人员如果需要在几百甚至上千部电脑之间来回奔跑,效率和工作量是可想而知的,但B/S架构的软件只需要管理服务器就行了,所有的客户端只是浏览器,根本不需要做任何的维护。无论用户的规模有多大,有多少分支机构都不会增加任何维护升级的工作量,所有的操作只需要针对服务器进行。
 
其劣势主要表现在:
 
如果是异地方访问,需要把服务器连接专网或者使用域名解析技术;
A、使用专网:企业级光纤成本较高,一般小企业难于接受;
B、使用域名解析技术:一是由于DNS问题导致解析不稳定,另外服务器开放端口后将服务器暴露在广域网,增加了安全隐患。
 
解决方案
 
为了解决以上问题,可以采用天联VPN技术,天联VPN可以将企业服务器与客户端组建成一个虚拟VPN网络,为企业搭建私有VPN专线,客户端如果想访问服务器,必须先登陆VPN组,才可以访问,从而大大提高了安全性,天联VPN的安全性还体现在:天联支持多种认证方式的多因素组合认证,除了最基本的用户名密码认证之外,还支持USB KEY、硬件特征码等加强认证方式。单一的认证方式容易被暴力破解,为了进一步提高身份认证的安全性,金万维创新性提出混合认证,针对以上认证方式可以进行多因素的“与”、“或”组合认证。“与”组合认证可实现多达5种以上认证方式的捆绑,必须同时满足才能够接入SSL VPN系统。“或”组合认证可对于以上几种认证方式进行或组合,只要通过一种认证方式即可接入到SSL VPN系统中。通过多因素组合认证大大加强认证安全的强度,确保接入SSL VPN的用户的身份的确认性。
 
1、USB KEY认证
天联支持基于数字证书的USB KEY认证,将CA中心生成的数字证书颁发给USB KEY,并为该USB KEY设置PIN码。通过硬件存储数字证书+PIN码的方式保证提供用户高安全的认证方式。同时,金万维VPN支持无驱USB KEY认证,客户端无需安装驱动即可使用USB KEY进行登录认证,大大提高了客户端使用的易用性。USB DKEY可同时支持SSL VPN、IPSec VPN移动客户端两套系统,安全方便。
 
2、硬件绑定(HardCA)
对于仅使用用户名/密码认证的用户,为了保证用户登录SSL VPN限定在某一台或是某几台终端上,因用户帐号意外泄漏、帐号盗用导致数据的泄露问题,可对登录终端进行绑定。
通常的终端绑定都是采用IP、MAC、IP/MAC绑定的方式实现,但是对于SSL VPN用户,采用这样的终端访问方式是不合适的。移动用户需要走出局域网远程访问,IP地址经常是不固定的。而标识网卡的MAC地址也能进行手工的改动,导致终端存在被仿冒的威胁。
天联打破常规,通过终端的硬件特征码绑定实现硬件终端的唯一标识。通过获取客户端的不可改变的硬件信息,如CPU、硬盘、网卡等信息生成数字证书,并对证书和用户进行绑定实现用户身份的唯一性控制。
当用户登录SSL VPN,客户端的控件就会自动获取终端的硬件信息生成一串数字与字母结合的HardID并传送给天联。需要进行绑定的账号用户工作平台若是在不同的客户端上,我们可按不同用户、用户组实际需要设置不同的特征码的个数(1-100个硬件特征码),保证终端绑定安全的基础上实现人性化的管理。
 
3、强密码保护功能
整个组织的局域网往往具备了防火墙、防病毒等各项安全防护措施,但使用SSL进行登录的客户端却是在组织网络的保护层之外,直接暴露在互联网中的各种病毒、木马、黑客攻击的范围之中。对于仅仅使用了用户名密码进行认证的用户而言,最重要的就是保障密码的安全,而现代技术的发展使得许多黑客采用暴破登录的方式强攻密码,以SSL用户为突破口盗取组织内部重要数据。
天联支持终端用户的防暴破登录设置,通过同用户名登录防暴破和同IP登录防暴破设置彻底封杀已知用户名暴破登录和未知用户名暴破登录的种种可能。
 
4、数据传输安全
天联的本质就是需要保证数据在公网上传输的安全性,达到虚拟专用网的效果。传输的安全性强度往往需要依靠VPN数据所采用的加密算法。天联使用Diffie-Hellman协议在通信对端之间进行秘钥协商,对通信数据采用3DES加密算法进行实时加密,保证数据传输的高安全性,以及在移动设备中加解密的高效性。