证书登录具有很高的安全等级，除非物理 Ukey 丢失，它不会像账号密码那样轻易被泄露。在完善的 PKI 系统中，Ukey 专门的安全芯片，独立的存储空间，现代的密码学技术从根本上保证了体系的完整性可靠性。由于它公认的权威，一些第三方的软件或系统也会采用 Ukey 的方式交付授权。不过这种就往往会影响效率。笔者在多年前参与多个 PKI 项目的建设，对它的复杂性深有感触。现在，我越来越少看到大规模传统 PKI ，取而代之的是基于算法的生物特征识别。我们也不再需要随身带着个 Ukey ，拿起手机对着摄像头眨眨眼摇摇头或者按一下大拇指读一段文字就可以了。

技术的升级需要漫长的时间，我们仍然需要用到 Ukey,怎么才能让工作效率更高一些？贝锐洋葱头为完善账号资产管理解决方案，提供了 Ukey“远程映射”功能，这也算是一种“虚拟化”技术。

所有成员安装洋葱头浏览器，加入同一个团队。管理员进行以下几步配置。

第一步：安装 USB 服务

找一台电脑插上 Ukey ，安装洋葱头的 USB 服务器端，洋葱头将指定的 Ukey 加入到团队共享的 USB 设备列表中。

第二步：将 Ukey 授权给分组或成员

设备取样之后可以重命名标记一下，设置它的类型，然后授权给具体的分组或成员。

第三步：被授权的用户接入

被授权的用户在洋葱头的 USB 映射插件中可以看到设备列表，点击接入，稍作等待设备便远程“接入”到本机中了。

不只是 Ukey ，U 盘可以使用远程接入，标准 USB 设备如 USB 摄像头，也是支持的。

浏览器可以通过插件来控制 PAC （ Proxy Auto-Configuration ，代理自动配置），在访问不同的网站/域名时，使用不同的代理服务器。好处显而易见，根据提前设置好的规则，特定的网站走代理，剩余的网站走直连。笔者每次都可以轻车熟路的完成这些配置，但要帮别人做相同的工作就会很伤脑筋，尤其是我不能远程操作只能在电话或微信里指导时。

贝锐洋葱头浏览器提供了团队管理功能，可以通过策略统一配置访问网关以及内网网站的访问方式，还可以根据用户分组分别授权。

第一步：安装访问网关

进入团队控制台，根据指引在不同内网的电脑上安装访问网关组件。一个内网安装一个网关就可以，也可以安装多个，这样的话可以实现互备和路径选择。

第二步：配置网站

输入网站的域名，选择上一步安装的访问网关，并把网站授权给指定对象，如：全体成员，具体的分组或成员。

第三步：验证

成员登录洋葱头后即可获得管理员配置的 PAC 策略，打开新标签页，可以看到控制台配置的网站列表，带有小地球图标的网站表示洋葱头会通过管理员指定的网关访问。