当前位置:数据中心技术专区 → 正文

数据中心访问认证控制技术漫谈

责任编辑:wendy 作者:harbor |来源:企业网D1Net  2014-08-29 14:24:30 原创文章 企业网D1Net

企业网D1Net 8月29日数据中心一方面要大力发展,吸引更多的用户访问,获取利益,尤其是对外提供各种服务的数据中心。另一方面又要防止数据中心的信息被人盗取或泄露,所以随着数据中心安全问题越来越引起人们的关注,很多关于数据中心安全的技术也如雨后春笋般出现了。本文将着重介绍一些数据中心常用的安全认证方法,对访问的用户进行管理与控制,达到保护用户隐私,防止信息被泄露,那么数据中心常用的有哪些认证方式呢?本文将从根据自己掌握的积累经验,逐一道来。

在平时的生活中,我们经常要使用网银,其实网上银行就采用了几种认证技术,当我们登录自己的用户时,只有认证通过后才可以访问。银行的数据中心包括前台和后台两大部分,前台部分就是面向用户的一些网页终端和多媒体设备(存取款机),后台就是数据处理部分。只有通过前台的认证才能访问后台的数据信息。常用的认证技术分为静态认证和动态认证。静态认证技术指的是通过用户自己设定的一串静态数据,静态密码来认证,一旦用户注册完成后,除非用户自己更改,否则将保持不变。这种方式简单,但是安全性最低,只能通过定期的更改密码来提高安全性,这种技术简单容易遭受各种形式的安全攻击。另外一种是动态认证,动态认证是每次登录都要输入密码,每一次都不同。可以通过短信密码、动态口令牌、手机令牌等几种方式获取,用户通过身份证、个人邮箱等信息登录,然后数据中心会将密码发到用户的手机上,用户输入收到的密码才能完成身份认证,从而确保系统身份认证的安全性,这种方式在网上银行中有最广泛的应用。近几年又出现了一种USB Key证书密钥认证,这种方式由于安全级别最高,在银行行业里得到了广泛使用,农行的K宝,工行的U盾都是基于这种认证技术。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。USB Key就像是数据中心信息大门的一把钥匙,当然是做过加密的,只有正确的人使用正确的钥匙才能把门打开,这是当今安全性比较高的用户认证方式。

除了动态和静态认证之外,还有数字证书认证,这种认证方式需要在服务器设备上安装服务器证书,然后用户的浏览器可以与服务器证书建立SSL连接,在SSL连接上传输任何数据都会被加密,在服务器和用户之间分别由可信的第三方CA认证中心颁发数字证书,这样在访问的时候,双方可以通过数字证书确认对方身份,解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题,使得网上交易和面对面交易一样安全,而银行往往是充当第三方CA认证的机构,所以我们在办理股票帐户或者支付宝帐户都需要到银行去办理,才能开通网上交易,由银行来确保交易的安全。最最安全的恐怕是安全VPN的技术,其利用安装在数据中心VPN路由器、防火墙等网络设备上的数字证书,在VPN的数据传输中解决认证、机密、完整等问题,是最安全的一种认证方式,整个访问过程完全和别人隔离开,相当于数据中心给此用户开了一个安全通道,不会受到外界的任何干扰。

除了这些访问用户,对于数据中心内部的设备同样也是有访问控制,可以在这些设备上设置动态密码和静态密码,可以做本地认证,也可以做远程认证。具体很有不少的实现协议,比如:Raduis、TACAS、TACAS+认证等,Raduis和TACAS都是IETF的标准化协议,思科在TACAS基础上开发了TACAS+协议,这些认证协议都是成熟的网络技术,在数据中心网络设备上有着广泛应用。为了配合实现Raduis/TACAS认证,一般还需要在数据中心里部署ACS或者其它服务器,专门用来做认证访问控制,当有用户访问设备时,流量会先到认证服务器,只有通过服务器认证,用户才能操控设备。当服务器故障时,默认转为本地认证,即采用设备上的密码进行认证,做两级防护。数据中心对于宽带网络用户一般采用:PPPOE、802.1X、Portal等协议完成用户认证。平时我们在家上网,都需要通过认证才能访问互联网,实际上就是通过这三种认证技术完成的,PPPOE是一个在宽带网络中使用最广的协议,在数据中心会部署一台专门的认证硬件设备叫BARS,对访问的宽带用户进行控制,只有通过认证的用户才能上网,并完成对此用户的流量、时间的记时记费,PPPOE是基于RFC2516标准协议实现的,对设备的要求很高,往往需要专门的认证硬件设备。而802.1X和Portal则投入要少得多,不过Portal是厂家私有协议,互通性低,不见得所有设备都能支持,而且用户连接性差,不容易感知用户的上下线情况,802.1X则是一种实现简单、认证效率高、安全可靠的认证方式,大大降低了数据中心安全的建设成本,这种认证在校园网应用非常普遍。

由此可见,数据中心的安全认证技术多达十几种,有针对访问用户的,有针对访问设备的,也有针对访问网络的,每一种认证技术都有其独有的特点。其实不管哪种认证技术,都是为数据中心安全服务的。通过部署这些认证技术,可以提升数据中心运行的安全性,防止数据中心的信息泄露。当然有了这些认证技术,数据中心也不一定是高枕无忧,总是有一些恶意的人企图非法入侵数据中心。所以,数据中心安全需要警钟长鸣,仅仅掌握几种认证技术,部署几个安全设备是远远不够的。

关键字:数据中心

原创文章 企业网D1Net

x 数据中心访问认证控制技术漫谈 扫一扫
分享本文到朋友圈
当前位置:数据中心技术专区 → 正文

数据中心访问认证控制技术漫谈

责任编辑:wendy 作者:harbor |来源:企业网D1Net  2014-08-29 14:24:30 原创文章 企业网D1Net

企业网D1Net 8月29日数据中心一方面要大力发展,吸引更多的用户访问,获取利益,尤其是对外提供各种服务的数据中心。另一方面又要防止数据中心的信息被人盗取或泄露,所以随着数据中心安全问题越来越引起人们的关注,很多关于数据中心安全的技术也如雨后春笋般出现了。本文将着重介绍一些数据中心常用的安全认证方法,对访问的用户进行管理与控制,达到保护用户隐私,防止信息被泄露,那么数据中心常用的有哪些认证方式呢?本文将从根据自己掌握的积累经验,逐一道来。

在平时的生活中,我们经常要使用网银,其实网上银行就采用了几种认证技术,当我们登录自己的用户时,只有认证通过后才可以访问。银行的数据中心包括前台和后台两大部分,前台部分就是面向用户的一些网页终端和多媒体设备(存取款机),后台就是数据处理部分。只有通过前台的认证才能访问后台的数据信息。常用的认证技术分为静态认证和动态认证。静态认证技术指的是通过用户自己设定的一串静态数据,静态密码来认证,一旦用户注册完成后,除非用户自己更改,否则将保持不变。这种方式简单,但是安全性最低,只能通过定期的更改密码来提高安全性,这种技术简单容易遭受各种形式的安全攻击。另外一种是动态认证,动态认证是每次登录都要输入密码,每一次都不同。可以通过短信密码、动态口令牌、手机令牌等几种方式获取,用户通过身份证、个人邮箱等信息登录,然后数据中心会将密码发到用户的手机上,用户输入收到的密码才能完成身份认证,从而确保系统身份认证的安全性,这种方式在网上银行中有最广泛的应用。近几年又出现了一种USB Key证书密钥认证,这种方式由于安全级别最高,在银行行业里得到了广泛使用,农行的K宝,工行的U盾都是基于这种认证技术。USB Key是一种USB接口的硬件设备,它内置单片机或智能卡芯片,有一定的存储空间,可以存储用户的私钥以及数字证书,利用USB Key内置的公钥算法实现对用户身份的认证。USB Key就像是数据中心信息大门的一把钥匙,当然是做过加密的,只有正确的人使用正确的钥匙才能把门打开,这是当今安全性比较高的用户认证方式。

除了动态和静态认证之外,还有数字证书认证,这种认证方式需要在服务器设备上安装服务器证书,然后用户的浏览器可以与服务器证书建立SSL连接,在SSL连接上传输任何数据都会被加密,在服务器和用户之间分别由可信的第三方CA认证中心颁发数字证书,这样在访问的时候,双方可以通过数字证书确认对方身份,解决网上交易可能存在的诈骗、泄密、篡改、恶意攻击等问题,使得网上交易和面对面交易一样安全,而银行往往是充当第三方CA认证的机构,所以我们在办理股票帐户或者支付宝帐户都需要到银行去办理,才能开通网上交易,由银行来确保交易的安全。最最安全的恐怕是安全VPN的技术,其利用安装在数据中心VPN路由器、防火墙等网络设备上的数字证书,在VPN的数据传输中解决认证、机密、完整等问题,是最安全的一种认证方式,整个访问过程完全和别人隔离开,相当于数据中心给此用户开了一个安全通道,不会受到外界的任何干扰。

除了这些访问用户,对于数据中心内部的设备同样也是有访问控制,可以在这些设备上设置动态密码和静态密码,可以做本地认证,也可以做远程认证。具体很有不少的实现协议,比如:Raduis、TACAS、TACAS+认证等,Raduis和TACAS都是IETF的标准化协议,思科在TACAS基础上开发了TACAS+协议,这些认证协议都是成熟的网络技术,在数据中心网络设备上有着广泛应用。为了配合实现Raduis/TACAS认证,一般还需要在数据中心里部署ACS或者其它服务器,专门用来做认证访问控制,当有用户访问设备时,流量会先到认证服务器,只有通过服务器认证,用户才能操控设备。当服务器故障时,默认转为本地认证,即采用设备上的密码进行认证,做两级防护。数据中心对于宽带网络用户一般采用:PPPOE、802.1X、Portal等协议完成用户认证。平时我们在家上网,都需要通过认证才能访问互联网,实际上就是通过这三种认证技术完成的,PPPOE是一个在宽带网络中使用最广的协议,在数据中心会部署一台专门的认证硬件设备叫BARS,对访问的宽带用户进行控制,只有通过认证的用户才能上网,并完成对此用户的流量、时间的记时记费,PPPOE是基于RFC2516标准协议实现的,对设备的要求很高,往往需要专门的认证硬件设备。而802.1X和Portal则投入要少得多,不过Portal是厂家私有协议,互通性低,不见得所有设备都能支持,而且用户连接性差,不容易感知用户的上下线情况,802.1X则是一种实现简单、认证效率高、安全可靠的认证方式,大大降低了数据中心安全的建设成本,这种认证在校园网应用非常普遍。

由此可见,数据中心的安全认证技术多达十几种,有针对访问用户的,有针对访问设备的,也有针对访问网络的,每一种认证技术都有其独有的特点。其实不管哪种认证技术,都是为数据中心安全服务的。通过部署这些认证技术,可以提升数据中心运行的安全性,防止数据中心的信息泄露。当然有了这些认证技术,数据中心也不一定是高枕无忧,总是有一些恶意的人企图非法入侵数据中心。所以,数据中心安全需要警钟长鸣,仅仅掌握几种认证技术,部署几个安全设备是远远不够的。

关键字:数据中心

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^