前 言

虚拟专网(VPN-Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台(如Internet, ATM, Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。

由于通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备; VPN产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全/保密性;连接方便灵活;并且VPN使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立VPN。因此,VPN广泛地应用在政府、企事业单位与分支机构内部联网(Intranet-VPN)和商业合作伙伴之间的网络互联(Extranet-VPN)。

由于登录到VPN服务器上的用户可以直接访问内部网络资源,因此,许多VPN系统不仅对用户的权限进行严格设定,而且都对登陆的用户进行强制身份验证,以防止不法人员侵入系统而盗取资料。传统的”用户名+密码”的认证方式,由于易扩散性、容易遗忘等诸多缺点,正在被人们所淘汰,各种认证方式相续出现。EPass身份认证锁就是其中的一种。其不仅可以实现强双因子认证,以达到服务器认证用户端的单向身份认证,而且与基于PKI体系的数字证书结合,可以完成服务器端与用户端之间的双向身份认证。通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。

数字证书采用公钥体制(PKI),即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,证书拥有者可以公开其公开密钥,而保留其私有密钥。发送者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送以证书拥有者,然后由证书拥有者用自己的私有密钥进行解密。

用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:

(1) 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;

(2) 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。数字签名具体做法是:

(A) 将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。

(B) 将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。

(C) 接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较,如相等则说明报文确实来自所称的发送者。

利用数字证书确认双方的身份。大大增强了系统的安全性。而作为登陆认证的核心:数字证书以及私钥是存放在ePass当中,不会在电脑中留有备份。不会因为电脑系统的故障或者使用者的误操作而丢失。并且,因为硬件本身有PIN码保护,防止硬件遗失而被他人假冒身份