|
一、概述 虚拟专网(VPN-Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台(如Internet, ATM, Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。 由于通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备; VPN产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全/保密性;连接方便灵活;并且VPN使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立VPN。因此,VPN广泛地应用在政府、企事业单位与分支机构内部联网(Intranet-VPN)和商业合作伙伴之间的网络互联(Extranet-VPN)。 随着社会各行业全面的信息化,VPN建设也如雨后春笋,由此带来的信息安全也成为了当今不可忽视的课题。为了保证信息安全,决策者在VPN网络建设之初,常常就会不惜重金花在购买防火墙,防病毒软件,等相关的软硬件设施。这一切措施旨在保护信息系统的数据安全。何谓安全呢,就是指有相应权限的人员可以接触和操作相应的数据,任何人无法接触到未被授权给他的数据。然而,信息系统中的数据终归要为人所用,如果有人伪造了相应权限人的身份,那么投入再多的安全防护体系一样形同虚设。因此用户身份认证系统是VPN安全体系的第一道关。 另外在应用中的数据传输,如何保障数据的完整性和不可否认性,这也是衡量VPN建设成败的关键因素之一。 二、USB KEY的技术介绍 USB Key 的产生不过短短四五年,这主要是网络的发展,基于网络的各种应用不断改变着我们的生活,但由此提出的网上身份安全如何有效识别,由此诞生了USB Key,有效地解决了身份识别的问题。 USB Key是一种USB接口的秘密数据存储设备,它具有以下特点: 具有硬件PIN码保护 每一个USB Key都具有硬件PIN码保护,PIN码和硬件构成了用户使用USB Key的两个必要因素,即所谓“双因子认证”。用户只有同时取得了USB Key和用户PIN码,才可以登录网上银行系统。即使用户的PIN码被泄漏,只要用户持有的USB Key不被盗取,合法用户的身份就不会被仿冒;如果用户的USB Key遗失,拾到者由于不知道用户PIN码,也无法仿冒合法用户的身份。 带有安全存储空间 USB Key具有8K-64K的安全数据存储空间,可以存储数字证书、用户密钥等秘密数据,对该存储空间的读写操作必须通过程序实现,用户无法直接读取,其中用户私钥是不可导出的,杜绝了复制用户数字证书或身份信息的可能性 硬件实现加密算法 USB Key 内置CPU或智能卡芯片,可以实现PKI体系中使用的数据摘要、数据加解密和签名的各种算法,加解密运算在USB Key内进行,保证了用户密钥不会出现在计算机内存中,从而杜绝了用户密钥被黑客截取的可能性。 北京飞天诚信科技有限公司作为专业生产USB KEY的提供商,通过几年来的发展和积累,形成了以自主知识产权的高中低端的KEY,几个月前推出了全国第一款32位大容量无驱型高速KEY。使得VPN的构建无论是采用何种认证方式,飞天诚信都有相应的产品满足VPN安全的需要。 三、构建虚拟专用网的身份和应用安全 应用拓扑图  使用USB Key构建虚拟专用网主要实现网络终端的身份识别以及实现网络数据交互的完整和不可否认性,有效的保证了数据传输的安全。以下从这两方面阐述。 3.1身份安全 基于公开密钥体系(PKI)的认证 PKI即Public Key Infrastruction的缩写,也就是所谓“公开密钥体系”,是一种利用现代密码学的公钥密码技术在公开的网络环境中提供数据加密以及数字签名服务的,统一的技术框架。使用公开的密钥算法(也称非对称加密算法)的用户同时拥有匹配的公钥和私钥。私钥由用户保存,且不能泄露,公钥则要广泛公开的发布。私钥无法通过公钥计算获得。公开密钥体系的作用不仅可用于安全密钥交换,还可用于鉴别用户的身份,下面将就如何鉴别用户身份进行描述。 当服务器端需要验证客户端的身份时,服务器端产生一个随机数,发送给客户端,客户端通过USB接口,把随机数R传送入USB KEY中,使用自己的私钥对随机数进行加密,并把加密结果传给服务器端,服务器端通过使用客户的公钥对接收到的加密数据进行解密,对比解密后的数是否和随机数R一致,一致就通过验证。
|
| 相关热词搜索 |
关于虚拟,拟专,专用,用网,网身,身份,份安,安全,全认,认证,证解,解决,决方相关信息> 更多 博士教育【点击次数排列】更多>>
