天聯标準版—實現遠程安全連接解決方案
随著(zhe)互聯網技術的(de)蓬勃發展,網絡已經遍布了(le)各行各業,随即也(yě)帶來了(le)很多(duō)安全隐患,很多(duō)用(yòng)戶沒有意識到網絡安全的(de)重要性,如果不采用(yòng)安全的(de)接入方式,那麽客戶的(de)服務器很容易中毒或者服務器重要數據被竊取。市場上一些接入方式,例如:動态域名、遠程接入等都是暴露在公網上傳輸數據,所以存在被攻擊的(de)可(kě)能性,天聯搭建私有通(tōng)道,隻有登錄到天聯VPN組的(de)用(yòng)戶才能訪問服務器資源,另外采用(yòng)雙向身份驗證、強加密等技術,從客戶端到被訪問端的(de)資源全程加密,保證數據傳輸安全。

一、物(wù)理(lǐ)隔離

天聯采用(yòng)的(de)是虛拟專用(yòng)網絡,并且通(tōng)過組名實現虛拟網絡的(de)隔離,通(tōng)過用(yòng)戶名實現虛拟網頁主機的(de)分(fēn)别,因此從根本上隔離了(le)其它網絡串聯的(de)可(kě)能。

二、數據加密

天聯在數據傳輸過程當中采用(yòng)的(de)是SSL128位加密,保證了(le)數據傳輸的(de)安全。

三、不存在主節點損壞

天聯采用(yòng)的(de)是點對點的(de)傳輸方式,并不像硬件VPN有網關的(de)存在,而做(zuò)爲硬件網關來說,一旦損壞,則虛拟專用(yòng)網就完全不通(tōng),而天聯某個節點斷網,但根本不影(yǐng)響其它節點間的(de)通(tōng)迅。

四、Mac地址綁定

天聯登錄時是根據組名、用(yòng)戶名進行網絡區分(fēn)的(de),而組名和(hé)用(yòng)戶名可(kě)以與固定的(de)主機進行綁定,從而實現固定的(de)主機才能加入到安全内網中來,以保證網絡内部的(de)安全。

五、硬件加密狗鎖定

天聯可(kě)以将用(yòng)戶賬号綁定上加密狗(U盾),用(yòng)戶在登錄時必須插入合法的(de)加密狗才可(kě)以正常應用(yòng)。

六、加密算(suàn)法分(fēn)析

天聯VPN默認的(de)對稱加密算(suàn)法是 Blowfish。這些廣爲使用(yòng)的(de)加密算(suàn)法都經過了(le)廣泛的(de)討(tǎo)論和(hé)驗證,隻要正确選擇密鑰長度,就能夠提供足夠的(de)安全保障。目前常用(yòng)的(de)公鑰算(suàn)法包括RSA、DSA、DH,天聯VPN支持這三種非對稱算(suàn)法。DH公鑰算(suàn)法主要用(yòng)于磋商密鑰,它是天聯VPN默認的(de)公鑰算(suàn)法;DSA隻 能用(yòng)于身份認證;RSA即可(kě)用(yòng)于身份認證也(yě)可(kě)用(yòng)來交換密鑰。DH算(suàn)法的(de)安全性基于有 限域上計算(suàn)離散對數的(de)困難性。離散對數的(de)研究現狀表明(míng):所使用(yòng)的(de)DH密鑰至少需要 1024位,才能保證有足夠的(de)中、長期安全。DSA和(hé)RSA的(de)安全性基于對大(dà)素數的(de)因子分(fēn)解難題。目前512位的(de)RSA在重要的(de)應用(yòng)中已不安全,需選擇 1024位或更長的(de)密鑰。 總的(de)來說,通(tōng)信雙方可(kě)根據信息的(de)重要程度選擇合适的(de)算(suàn)法及密鑰強度,天聯VPN 在很大(dà)程度上可(kě)以保證系統具有足夠的(de)工業級甚至軍事級的(de)保密強度。

七、PKI體系結構安全性分(fēn)析

除了(le)加密算(suàn)法外,身份認證技術對于天聯VPN系統也(yě)非常重要,尤其對遠程訪問 的(de)應用(yòng),身份認證則更爲重要。PKI(PublicKeyInfrastruc扭re)體系結構提供了(le)一個依靠可(kě)信第三方的(de)身份認證解決方案[30]。P租體系中通(tōng)過建立 cA(CertificateAuthorith)域來簽發、管理(lǐ)和(hé)驗證證書,把 經過簽發的(de)證書作爲身份認證的(de)憑證。目前在天聯VPN的(de)PKI系統中使用(yòng)的(de)證書标準是X509v3。PKI系統的(de)安全性集中體現在CA域的(de)安全性和(hé)證書私鑰的(de)安全性。對VPN的(de)應用(yòng)不同,可(kě)采用(yòng)不同的(de)策略來保證PKI系統的(de)安全性。對于建立内、外聯網的(de)VPN應用(yòng),可(kě)以采取購買證書的(de)方式,把保護CA的(de)安全交給知名的(de)CA公司。這種做(zuò)法的(de)安全性較高(gāo),證書服務有保障,可(kě)以最大(dà)限度地提高(gāo)PKI系統的(de)穩定性和(hé)安全性,缺點是費用(yòng)較高(gāo),不适合一般用(yòng)戶對VPN簡單應用(yòng)的(de)需求,而且把系統安全性建立在CA公司提供的(de)保護上,也(yě)不适合對安全性要求較高(gāo)的(de)機構使用(yòng)。另外一種策略就是自己建立CA中心,完全由自己控制和(hé)維護CA及證書管理(lǐ)。這種特别适合VPN作爲遠程接入的(de)應用(yòng)。這是因爲在遠程接入訪問應用(yòng)中,可(kě)能經常變化(huà)的(de)是客戶端的(de)證書,這樣就使得(de)CA中心可(kě)以位于内網中,有利于保護CA的(de)安全。這種策 略也(yě)适合于對安全性要求較高(gāo)的(de)機構使用(yòng)。

八、信息摘要算(suàn)法

天聯VPN支持的(de)摘要算(suàn)法有MDS[3’],SHAI[3‘]等,它默認的(de)是目前應用(yòng)較爲廣泛 的(de)128位SHAI算(suàn)法。

九、SSL握手過程

天聯VPN主要運用(yòng)了(le)SSL/TLS協議的(de)握手協議,在客戶端和(hé)服務器這兩個平等實體之間建立握手連接,協商加密算(suàn)法和(hé)加密密鑰。