VPN安全认证

    VPN（Virtual Private Network）虚拟专用网络，是通过在公共的网络环境中建立专用通道进行数据传输的一种技术。虚拟专用网不是真的专用网络，但却能够实现专用网络的功能，在公共网络环境中虚拟通道，可以达到降低成本的目的。据估算，如果企业放弃租用专线而采用VPN，其整个网络的成本可节约21%-45%，至于那些以电话拨号方式连网存取数据的公司，采用VPN则可以节约通讯成本50%-80%。正是基于这一优势，近几年的VPN应用越来越多。但是，由于VPN是在不安全的Internet中进行通信，而通信的内容可能涉及到企业的机密数据，企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问，因此VPN存在的安全隐患问题就显得非常重要，有没有办法能够解除这个问题，让VPN圆了企业“节约成本”的梦吗？有。

    数据认证技术和身份认证技术

    数据认证技术可以区分真实数据与伪造、被篡改过的数据。这对于网络数据传输,特别是电子商务是极其重要的。认证协议一般都要采用一种称为摘要的技术。摘要技术主要是采用HASH函数将一段长的报文通过函数变换，映射为一段短的报文即摘要。由于HASH函数的特性，使得要找到两个不同的报文具有相同的摘要是困难的。该特性使得摘要技术在VPN中可以验证数据的完整性。发送方将数据报文和报文摘要一同发送,接收方通过计算报文摘要,与发来摘要比较,相同则说明报文未经修改。由于在报文摘要的计算过程中一般是将一个双方共享的秘密信息连接上实际报文一同参与摘要的计算，不知道秘密信息将很难伪造一个匹配的摘要，从而保证了接收方可以辨认出伪造或篡改过的报文。
    身份认证技术可以保证使用VPN环境的操作人员是系统承认的、接受的、合法的、有效的。传统的身份认证一般采用“用户名”＋“静态密码”的模式，这种方法安全隐患较大。自从IPSec（IP security)标准的最终版本发行之后，在IPSec VPN的安全性、可靠性和易管理性等方面，给了企业的网络管理员很大的信心。当网络管理员开始配置基于IPSec的VPN时，需要密切关注IPSec标准中的身份验证，以便能够支持远程的接入。
    在三种支持IPSec的IKE（Internet Key Exchange）规范验证类型中，只有基于数字鉴定的验证能够支持远程用户的安全接入,而数字鉴定需要企业网支持公共密钥架构(PKI,Public Key Infrastructure）。
    实际上，能在其企业的IT基础设施内部拥有完整的PKI和数字鉴定的组织很少。但是，应用集联公司提供的以令牌为登录依据的用户身份验证系统，则可以很容易的搭建出安全的认证机制。集联的安全认证系统提供RADIUS认证服务，针对VPN身份认证，给出了完整的解决方案，包括：
    统一的身份认证管理
    动态密码，一次一密
    操作员账号统一管理

    该方案充分利用动态密码技术，口令一经使用即刻失效，保证每一次都是新的口令。通过认证服务器，统一认证来自网关设备的VPN用户认证请求。在远程用户获准访问内部网络资源前，必须对用户进行强身份认证。应用集联双因素身份认证解决方案，可确认远程拨号访问的那一端是谁，确保只有合法的用户才能够访问内部网络资源，从而提升网络资源保护的安全级别。