| 出版日期:2005-07-04 总期号:1425 本年期号:48 |
|
 |
基于证书认证的大规模VPN网络
在VPN使用中,通常有两种方式用于通讯双方的身份认证:“预共享密钥方式”和“数字证书认证方式”。前者一般针对中小规模的VPN网络,后者通常针对大规模的VPN网络购建。 所谓“预共享密钥方式”,就是在通讯的网关之间预先约定一个共同的身份认证密码(即:所谓的“预共享密钥”),通讯的双方依靠这个共有的密钥来鉴别对方的身份。只有在身份认证通过后,VPN通讯过程才能继续进行下去;否则通讯就此终止。因此,“预共享密钥”非常重要,一旦泄密,黑客就可通过冒充,混入用户的VPN网络。为了安全起见,对预共享密钥的设置通常采用随机生成,有一定的长度,并且在一个VPN网络中,尽量作到通讯的每一对网关间就有一个独有的预共享密钥;并且对预共享密钥由专人保管,以确保密钥的安全性。这样带来的问题是当一个VPN网络规模很大时,预共享密钥的数量势必大幅度增加。如图所示: 图中的6个VPN设备两两相互通讯(连接线代表需要建立的VPN隧道),需要约定15个密钥;如果N个节点相互通讯,假设每个预共享密钥都不同,就需要N*(N-1)/2个密钥。100个点要实现两两通讯,就有2450个密钥。管理这么数量庞大的预共享密钥无疑是个巨大的问题!针对上述问题,一个比较好的解决方法就是采用基于“数字证书”的VPN运行模式。 在基于“数字证书”的VPN运行模式下,VPN设备中需要存放该设备的数字证书和私钥以及CA的根证书(CA作为电子商务交易中受信任的第三方,承担数字证书的签发和验证)。通讯时,通讯双方交换各自数字证书,并依靠PKI技术对对方的证书进行有效性校验和解读,从而确定对方网关的身份,进而继续进行VPN通讯。另外利用CA中心提供的CRL(证书废除列表)或OCSP(在线认证服务)服务,可确认对方网关的证书是否已经被吊销(失效)。这样,不论构建的VPN网络有多大,网关通讯的对方有多少,网关内部都只要存放网关自己的设备证书和私钥。通常,当网络中使用的安全网关或者客户端数量增加到一定规模(一般在40~50台以上)。就比较适合采用“证书认证”的方式了。这时,可使用CA系统,为内外网的网关和客户端提供在线认证服务(OCSP)或离线服务。 上海安达通信息安全技术有限公司的VPN安全网关和安全客户端均支持预共享密钥和数字证书两种认证方式。不仅支持自有的企业级CA系统:SureCA,并且兼容各种第三方CA产品。 |
||||||||||||||||||||
