隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，VPN（虛擬局域網(wǎng)）作為解決企業(yè)分支機(jī)構(gòu)互聯(lián)及移動(dòng)辦公問題的主要手段，應(yīng)用得越來越廣泛。其主流技術(shù)有兩種，一是采用IPSec協(xié)議，主要為站點(diǎn)間創(chuàng)建安全隧道提供直接(非代理方式)接入，實(shí)現(xiàn)對(duì)整個(gè)網(wǎng)絡(luò)的透明訪問的固網(wǎng)互聯(lián)VPN；另一個(gè)就是采用SSL協(xié)議，利用內(nèi)置在每個(gè)Web瀏覽器中的加密和驗(yàn)證功能，提供安全遠(yuǎn)程訪問企業(yè)應(yīng)用的移動(dòng)接入VPN。
    不論哪種技術(shù)，它首要任務(wù)就是在客戶與其所訪問的資源之間建立安全通道，確保點(diǎn)到點(diǎn)的安全互聯(lián)。然而，許多安全專家通過多年對(duì)VPN實(shí)際應(yīng)用的調(diào)查和研究，發(fā)現(xiàn)目前的技術(shù)中依然存在許多問題：
    客戶端泄漏密碼。如今的木馬病毒非常猖獗，終端用戶防范意識(shí)不強(qiáng)，極易被盜取密碼。另外，在基于瀏覽器SSL方式下還有更嚴(yán)重的問題，如瀏覽器默認(rèn)保存用戶名和口令，瀏覽器可能會(huì)緩存文檔和屏幕，這都有可能泄露機(jī)敏信息。如果用戶忘了退出瀏覽器會(huì)話，也會(huì)帶來風(fēng)險(xiǎn)。
    從不可信終端訪問企業(yè)資源。系統(tǒng)管理員都知道，對(duì)用戶終端的管理非常的困難。如果用戶從不可信任的終端登陸，輕則帶來木馬、病毒的泛濫，重則直接導(dǎo)致機(jī)密文件失竊。
    用戶弱口令。大多用戶密碼都非常簡單，而且沒有定期更改密碼的習(xí)慣。弱口令在一些密碼破解工具前，不堪一擊。
    用戶權(quán)限不可控。用戶接入后，由于認(rèn)證方式不完善，權(quán)限控制不夠，用戶可以訪問企業(yè)未經(jīng)授權(quán)的資源。權(quán)限不分級(jí)，所有用戶權(quán)限相同，不同級(jí)別的用戶訪問的資源也就相同。

    不難看出，導(dǎo)致這些問題的根本原因就在于對(duì)移動(dòng)用戶接入的身份認(rèn)證是單向信任的。即客戶端只要擁有正確的密鑰，服務(wù)端就認(rèn)為他是可信任的用戶。而密鑰的管理向來是企業(yè)的盲區(qū)，因此必須加強(qiáng)遠(yuǎn)程訪問的認(rèn)證密鑰策略。密鑰策略既要是保證安全的，又要是高效方便的。如果密鑰的安全得不到保證，那么VPN的安全就是一句空話；如果密鑰的方式單一，那么用戶的多應(yīng)用環(huán)境就無法實(shí)現(xiàn)。

    目前許多廠商認(rèn)識(shí)到了問題，推出了多種改進(jìn)手段，如采用USB KEY＋密碼的雙因子認(rèn)證、硬件特征的識(shí)別、動(dòng)態(tài)令牌等。這些改進(jìn)從一定程度上降低了安全風(fēng)險(xiǎn)，但依然有漏洞存在。

    另外，單一的認(rèn)證方式已不能夠滿足用戶所有的需求。終端的環(huán)境日趨復(fù)雜，移動(dòng)接入已不僅僅限于PC，其他如PDA、智能手機(jī)、手持終端、瘦客戶機(jī)、公用終端等也有需求。在這些環(huán)境下，仍使用單一認(rèn)證方式，不僅安全性不得保障，設(shè)置和操作更是繁瑣，分級(jí)授權(quán)也無從談起。

    針對(duì)此種情況，冰峰網(wǎng)絡(luò)推出了“8+6”認(rèn)證密鑰策略，從而加強(qiáng)對(duì)移動(dòng)用戶認(rèn)證的管理。
    “8+6”認(rèn)證密鑰策略，即采用八種雙因子增強(qiáng)認(rèn)證與六種動(dòng)態(tài)密碼策略結(jié)合，不僅提高了系統(tǒng)平臺(tái)的安全性，也充分考慮了不同用戶環(huán)境的不同需求。
    8項(xiàng)增強(qiáng)認(rèn)證方式包括：ISK認(rèn)證、PC硬件特征碼、ISK+PC硬件特征碼、數(shù)字證書、指紋認(rèn)證、公網(wǎng)IP限制、短信認(rèn)證、令牌認(rèn)證，下面分別作說明。
    ISK安全認(rèn)證密鑰是一款基于USB 接口的無驅(qū)型身份認(rèn)證產(chǎn)品（如圖1），內(nèi)含安全文件系統(tǒng)，可預(yù)置密鑰，來確定用戶的身份。

圖1：ISK安全認(rèn)證密鑰

    硬件特征碼，是終端的唯一標(biāo)識(shí)符。通過冰峰的讀碼工具可以讀出終端設(shè)備的硬件信息（如CPU、主板、硬盤等），生成唯一特征碼（如圖2）。使用該特征碼作為認(rèn)證的手段，可以確保所有終端都在管理員的控制中。

圖2：硬件特征碼