虚拟专网(VPN-Virtual Private Network)指的是在公用网络上建立专用网络的技术。之所以称为虚拟网主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路, 而是架构在公用网络服务商所提供的网络平台(如Internet, ATM, Frame Relay等)之上的逻辑网络,用户数据在逻辑链路中传输。
由于通过公用网来建立VPN,就可以节省大量的通信费用,而不必投入大量的人力和物力去安装和维护WAN设备和远程访问设备; VPN产品均采用加密及身份验证等安全技术,保证连接用户的可靠性及传输数据的安全/保密性;连接方便灵活;并且VPN使用户可以利用ISP的设施和服务,同时又完全掌握着自己网络的控制权。用户只利用ISP提供的网络资源,对于其他的安全设置、网络管理变化可由自己管理。在企业内部也可以自己建立VPN。因此,VPN广泛地应用在政府、企事业单位与分支机构内部联网(Intranet-VPN)和商业合作伙伴之间的网络互联(Extranet-VPN)。
由于登录到VPN服务器上的用户可以直接访问内部网络资源,因此,许多VPN系统不仅对用户的权限进行严格设定,而且都对登陆的用户进行强制身份验证,以防止不法人员侵入系统而盗取资料。传统的"用户名+密码"的认证方式,由于易扩散性、容易遗忘等诸多缺点,正在被人们所淘汰,各种认证方式相续出现。EPass身份认证锁就是其中的一种。其不仅可以实现强双因子认证,以达到服务器认证用户端的单向身份认证,而且与基于PKI体系的数字证书结合,可以完成服务器端与用户端之间的双向身份认证。通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证:信息除发送方和接收方外不被其它人窃取;信息在传输过程中不被篡改;发送方能够通过数字证书来确认接收方的身份;发送方对于自己的信息不能抵赖。
数字证书采用公钥体制(PKI),即利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私有密钥(私钥),用它进行解密和签名;同时设定一把公共密钥(公钥)并由本人公开,为一组用户所共享,用于加密和验证签名。当发送一份保密文件时,发送方使用接收方的公钥对数据加密,而接收方则使用自己的私钥解密,这样信息就可以安全无误地到达目的地了。通过数字的手段保证加密过程是一个不可逆过程,即只有用私有密钥才能解密。在公开密钥密码体制中,常用的一种是RSA体制。其数学原理是将一个大数分解成两个质数的乘积,加密和解密用的是两个不同的密钥。即使已知明文、密文和加密密钥(公开密钥),想要推导出解密密钥(私密密钥),在计算上是不可能的。按现在的计算机技术水平,要破解目前采用的1024位RSA密钥,需要上千年的计算时间。公开密钥技术解决了密钥发布的管理问题,证书拥有者可以公开其公开密钥,而保留其私有密钥。发送者可以用人人皆知的公开密钥对发送的信息进行加密,安全地传送以证书拥有者,然后由证书拥有者用自己的私有密钥进行解密。
用户也可以采用自己的私钥对信息加以处理,由于密钥仅为本人所有,这样就产生了别人无法生成的文件,也就形成了数字签名。采用数字签名,能够确认以下两点:
(1) 保证信息是由签名者自己签名发送的,签名者不能否认或难以否认;
(2) 保证信息自签发后到收到为止未曾作过任何修改,签发的文件是真实文件。数字签名具体做法是:
(A) 将报文按双方约定的HASH算法计算得到一个固定位数的报文摘要。在数学上保证,只要改动报文中任何一位,重新计算出的报文摘要值就会与原先的值不相符。这样就保证了报文的不可更改性。
(B) 将该报文摘要值用发送者的私人密钥加密,然后连同原报文一起发送给接收者,而产生的报文即称数字签名。
(C) 接收方收到数字签名后,用同样的HASH算法对报文计算摘要值,然后与用发送者的公开密钥进行解密解开的报文摘要值相比较,如相等则说明报文确实来自所称的发送者。
利用数字证书确认双方的身份。大大增强了系统的安全性。而作为登陆认证的核心:数字证书以及私钥是存放在ePass当中,不会在电脑中留有备份。不会因为电脑系统的故障或者使用者的误操作而丢失。并且,因为硬件本身有PIN码保护,防止硬件遗失而被他人假冒身份。
北京飞天诚信公司在Windows 平台上开发了基于ePass的CSP(cryptographic service provider),在windows 平台上实现了PKI。
Windows Server2000/2003 均提供远程拨入/VPN服务。并且提供用智能卡证书登录VPN服务器选择。因此本文结合Windows Server2003向读者介绍如何在VPN系统上面配置、使用ePass。
应用拓扑图如下:
 |
关于如何配置数字证书服务器(CA Server)、如何发放智能卡证书请参考《ePass应用--Windows Server 2003 智能卡登录》中关于证书服务器和申请智能卡证书的介绍。
配置VPN服务器
从管理您的服务器界面上选择"添加或删除角色"选项,后进入配置服务器角色的界面(图1-1)
 |
图1-1 选择服务器角色
选择"远程访问/VPN服务器",选择"下一步(N)>"按钮,出现路由和远程访问服务器配置(图1-2)
 |
图1-2 路由和远程访问服务器配置
选择"远程访问(拔号或VPN)(R),选择"下一步(N)>"按钮,出现远程访问的配置(图1-3)
 |
图1-3 远程访问配置
选择"VPN(V)",选择"下一步(N)>"按钮, 根据系统提示完成网卡选择,IP指定及是否使用RADIUS等设置,完成VPN服务器的配置。
配置VPN客户端
选择"新建连接",出现网络连接类型选择(图2-1)
 |
图2-1 网络连接类型
选择(连接到我的工作场所的网络(O)",选择"下一步(N)>"按钮,出现网络连接方式(图2-2)
 |
图2-2网络连接方式
选择"虚拟专用网络连接(V)", 选择"下一步(N)>"按钮,根据系统提示完成连接名及VPN服务器地址的配置,出现智能卡配置(连接名称和VPN服务器地址)。配置之后进入"选择使用智能卡用于此连接"(图2-3)。
 |
图2-3 选择智能卡进行连接
选择"使用我的智能卡(U)",选择"下一步(N)>"按钮,根据系统提示配置使用权限等,完成VPN客户端的配置。
注:图2-3中"使用我的智能卡"为使用的是通过智能卡证书的方式来验证用户端身份?quot;不使用我的智能卡"为"用户名+密码"的方式来验证用户端身份。由于"用户名+密码"认证方式有诸多安全隐患,因此建议不要采用。
登录到VPN服务器
将含有智能卡证书的ePass插入计算机的USB接口(关于如何申请智能卡证书及配置服务器参见《ePass应用--Windows Server 2003 智能卡登录》),启动VPN客户端,出现VPN连接(图3-1)
 |
图3-1 VPN连接界面
选择"连接(C)",VPN客户端从ePass中的证书中,查到用户的用户名,出现输入用户PIN(图3-2)
 |
图3-2 输入用户PIN
输入用户PIN后,选择"确定"按钮,登录到远程服务器上(图3-3),
 |
图3-3 通过服务器验证
选择"确定"按钮后,VPN连接完成。
这时在服务器上可以看到登录上来的用户(图3-4)
 |
图3-4 登录到VPN服务器的用户
这时我们就可以象内部网一样访问远程计算机了,但所有的通讯都是基于加密的方式来进行的。
