資源描述:
《Windows Server 2003虛擬專網(wǎng)VPN登錄》由會員上傳分享�,免費在線閱讀���,更多相關內(nèi)容在教育資源-天天文庫�。
1����、WindowsServer2003虛擬專網(wǎng)VPN登錄 前言 虛擬專網(wǎng)(VPN-VirtualPrivateNetwork)指的是在公用網(wǎng)絡上建立專用網(wǎng)絡的技術。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡的任意兩個節(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)所需的端到端的物理鏈路�,而是架構在公用網(wǎng)絡服務商所提供的網(wǎng)絡平臺(如Internet,ATM,FrameRelay等)之上的邏輯網(wǎng)絡,用戶數(shù)據(jù)在邏輯鏈路中傳輸��?���! ∮捎谕ㄟ^公用網(wǎng)來建立VPN,就可以節(jié)省大量的通信費用�����,而不必投入大量的人力和物力去安裝和維護WAN設備
2�、和遠程訪問設備;VPN產(chǎn)品均采用加密及身份驗證等安全技術�����,保證連接用戶的可靠性及傳輸數(shù)據(jù)的安全/保密性�����;連接方便靈活;并且VPN使用戶可以利用ISP的設施和服務�����,同時又完全掌握著自己網(wǎng)絡的控制權����。用戶只利用ISP提供的網(wǎng)絡資源���,對于其他的安全設置���、網(wǎng)絡管理變化可由自己管理。在企業(yè)內(nèi)部也可以自己建立VPN����。因此,VPN廣泛地應用在政府����、企事業(yè)單位與分支機構內(nèi)部聯(lián)網(wǎng)(Intranet-VPN)和商業(yè)合作伙伴之間的網(wǎng)絡互聯(lián)(Extranet-VPN)?���! ∮捎诘卿浀絍PN服務器上的用戶可以直接訪問內(nèi)部網(wǎng)絡資
3���、源,因此��,許多VPN系統(tǒng)不僅對用戶的權限進行嚴格設定�,而且都對登陸的用戶進行強制身份驗證,以防止不法人員侵入系統(tǒng)而盜取資料��。傳統(tǒng)的"用戶名+密碼"的認證方式��,由于易擴散性��、容易遺忘等諸多缺點����,正在被人們所淘汰,各種認證方式相續(xù)出現(xiàn)����。EPass身份認證鎖就是其中的一種。其不僅可以實現(xiàn)強雙因子認證��,以達到服務器認證用戶端的單向身份認證���,而且與基于PKI體系的數(shù)字證書結合���,可以完成服務器端與用戶端之間的雙向身份認證�����。通過運用對稱和非對稱密碼體制等密碼技術建立起一套嚴密的身份認證系統(tǒng),從而保證:信息除發(fā)送方和
4�、接收方外不被其它人竊取��;信息在傳輸過程中不被篡改��;發(fā)送方能夠通過數(shù)字證書來確認接收方的身份��;發(fā)送方對于自己的信息不能抵賴��?���! ?shù)字證書采用公鑰體制(PKI),即利用一對互相匹配的密鑰進行加密�、解密。每個用戶自己設定一把特定的僅為本人所知的私有密鑰(私鑰)�����,用它進行解密和簽名;同時設定一把公共密鑰(公鑰)并由本人公開�,為一組用戶所共享,用于加密和驗證簽名�����。當發(fā)送一份保密文件時��,發(fā)送方使用接收方的公鑰對數(shù)據(jù)加密���,而接收方則使用自己的私鑰解密�,這樣信息就可以安全無誤地到達目的地了�����。通過數(shù)字的手段保證加密過程
5�����、是一個不可逆過程��,即只有用私有密鑰才能解密�����。在公開密鑰密碼體制中,常用的一種是RSA體制���。其數(shù)學原理是將一個大數(shù)分解成兩個質數(shù)的乘積����,加密和解密用的是兩個不同的密鑰��。即使已知明文���、密文和加密密鑰(公開密鑰),想要推導出解密密鑰(私密密鑰)�����,在計算上是不可能的���。按現(xiàn)在的計算機技術水平��,要破解目前采用的1024位RSA密鑰����,需要上千年的計算時間。公開密鑰技術解決了密鑰發(fā)布的管理問題�����,證書擁有者可以公開其公開密鑰�,而保留其私有密鑰。發(fā)送者可以用人人皆知的公開密鑰對發(fā)送的信息進行加密��,安全地傳送以證書擁有者���,
6���、然后由證書擁有者用自己的私有密鑰進行解密?�! ∮脩粢部梢圆捎米约旱乃借€對信息加以處理�����,由于密鑰僅為本人所有���,這樣就產(chǎn)生了別人無法生成的文件����,也就形成了數(shù)字簽名。采用數(shù)字簽名�,能夠確認以下兩點: (1)保證信息是由簽名者自己簽名發(fā)送的,簽名者不能否認或難以否認��; (2)保證信息自簽發(fā)后到收到為止未曾作過任何修改�,簽發(fā)的文件是真實文件。數(shù)字簽名具體做法是: (A)將報文按雙方約定的HASH算法計算得到一個固定位數(shù)的報文摘要����。在數(shù)學上保證,只要改動報文中任何一位�,重新計算出的報文摘要值就會與原先的值不
7、相符�。這樣就保證了報文的不可更改性?! ?B)將該報文摘要值用發(fā)送者的私人密鑰加密,然后連同原報文一起發(fā)送給接收者,而產(chǎn)生的報文即稱數(shù)字簽名�。 (C)接收方收到數(shù)字簽名后���,用同樣的HASH算法對報文計算摘要值����,然后與用發(fā)送者的公開密鑰進行解密解開的報文摘要值相比較����,如相等則說明報文確實來自所稱的發(fā)送者���。 利用數(shù)字證書確認雙方的身份�����。大大增強了系統(tǒng)的安全性�。而作為登陸認證的核心:數(shù)字證書以及私鑰是存放在ePass當中,不會在電腦中留有備份�����。不會因為電腦系統(tǒng)的故障或者使用者的誤操作而丟失�。并且,因為硬
8��、件本身有PIN碼保護��,防止硬件遺失而被他人假冒身份����。 北京飛天誠信公司在Windows平臺上開發(fā)了基于ePass的CSP(cryptographicserviceprovider)�����,在windows平臺上實現(xiàn)了PKI?�! indowsServer2000/2003均提供遠程撥入/VPN服務�。并且提供用智能卡證書登錄VPN服務器選擇。因此本文結合WindowsServer2003向讀者介紹如何在VPN系統(tǒng)上面配置��、使用ePass�。 應用拓撲圖如下:
