默认情况下,Sun Ray 服务器与客户端之间的数据包以“明文形式”发送。该策略意味着外部人员可以轻易“窥探”通信并能够复原重要的私密用户信息,恶意用户可能会滥用这些信息。为了避免这种类型的攻击,Sun Ray Software 管理员可启用通过 ARCFOUR 加密算法进行的通信加密。
ARCFOUR 加密算法由于其较快的速度和相对较低的 CPU 系统开销而被选用,可支持 Sun Ray 服务和客户端之间的较高安全级别(128 位)。
但是,单靠加密并不能完全保证安全性。对 Sun Ray 服务器或 Sun Ray 客户端进行网络欺骗和/或仿冒虽不简单,但并非没有可能。下面是一些示例:
中间人攻击,假冒者向客户端宣称其为 Sun Ray 服务器,向服务器则扮成客户端。之后假冒者拦截所有消息并访问所有安全数据。
操纵一个客户端扮成另一个客户端,以便能够访问连接到被欺骗客户端的会话。
Sun Ray Software 提供的服务器和客户端验证能够解析这些类型的攻击。服务器验证使用 Sun Ray Software 和固件中预先配置的单个公钥/私钥对,客户端验证使用每个客户端中自动生成的公钥/私钥对。
Sun Ray Software 使用数字签名算法 (Digital Signature Algorithm, DSA) 来验证客户端是否在与有效的 Sun Ray 通信以及服务器是否在与合法的客户端通讯。该验证方案并非万无一失,但能够减少普通的中间人攻击,并使得攻击者更难对 Sun Ray 服务器或 Sun Ray 客户端进行网络欺骗。
启用加密和验证是可选的。系统或网络管理员可以根据站点要求对其进行配置。默认情况下,仅启用客户端验证。