技術領域

本發明涉及網絡安全技術領域，特別涉及一種VPN(虛擬專用網絡)網絡安全接入方法及系統。

背景技術

對于許多大型分布式系統來說，比如國家某部委關鍵電子政務業務系統，要面向許多不同需求、不同規模的用戶，應用系統數量多，有多種不同的技術架構。既有基于B/S的業務系統，也有基于C/S的業務系統。此類系統由于處理業務的特殊性和用戶的廣泛性，對安全性要求較高。

目前企業通過Internet實現安全接入的方式主要有IPSec(IPSecurity)VPN和SSL(Security?Socket?Layer)VPN兩種，兩種技術在不同領域各有其優勢。在實施固定的網絡到網絡的VPN和復雜應用的用戶安全接入時，采用IPSec?VPN技術更為合適；在實施普通應用的移動用戶接入時，采用SSL?VPN技術更合適，原因是SSL?VPN無需在終端用戶安裝客戶端軟件、實施和維護較為簡單，總體擁有成本較低。

IPSec是一組開放協議的總稱，特定的通信方之間在IP層通過加密與數據源驗證，以保證數據包在Internet網上傳輸時的私有性、完整性和真實性。IPSec通過AH(AuthenticationHeader)和ESP(Encapsulating?Security?Payload)這兩個安全協議來實現，此實現不會對用戶、主機或其它Internet組件造成影響，用戶還可以選擇不同的硬件和軟件加密算法，而不會影響其它部分的實現。

從概念角度來說，SSL?VPN即指采用SSL協議來實現遠程接入的一種新型VPN技術。對于內、外部應用來說，使用SSL可保證信息的真實性、完整性和保密性。目前SSL協議被廣泛應用于各種瀏覽器應用，也可以應用于Outlook等使用TCP協議傳輸數據的C/S應用。正因為SSL協議被內置于IE等瀏覽器中，使用SSL協議進行認證和數據加密的SSL?VPN就可以免于安裝客戶端。相對于傳統的IPSEC?VPN而言，SSL?VPN具有部署簡單，無客戶端，維護成本低，網絡適應強等特點，這兩種類型的VPN之間的差別就類似C/S構架和B/S構架的區別。

目前VPN安全接入技術(包括IPSec?VPN和SSL?VPN)已經非常成熟，并在許多企事業單位廣泛使用。VPN接入時常用的用戶認證方式是用戶名和口令，事實證明這種方式強度較弱，容易被人復制和猜測，安全性較低。有的VPN產品支持第三方CA證書認證，但更多的是采用軟證書，即用戶證書是以文件的方式存儲在電腦硬盤，仍然存在安全隱患。當然目前也有少部分VPN產品使用了硬件設備Key來存儲用戶證書和私鑰信息，并完成密鑰生成和簽名等操作，其安全性在一定程度上較前兩種用戶認證方式有了較大的提高。不過熟悉安全領域的人士會發現其還有一個不足，就是VPN在傳輸安全數據時，數據的加解密過程因速度等原因無法通過硬件Key來完成，只能靠計算機軟件來完成，只要是軟件完成的工作，就有可能受到攻擊，存在安全問題。

現有VPN接入系統的缺點是：

數據加解密是以軟件方式實現，安全強度不夠高；

數據加解密算法通常采用國際上通用的標準算法(如DES等)或者早期的國產加解密算法(如SSF33等)，對最新的國產算法SCB2支持的很少；

用戶的身份認證采用常用的用戶名和口令方式，安全等級較低。有的雖然支持第三方證書認證，但大多是以文件的方式存儲用戶證書，仍然存在安全隱患；

安全接入、用戶身份認證以及計時計費等系統相互獨立，系統部署、運行維護成本較高；

用戶必須手工進行VPN撥號，然后才能訪問受VPN保護的業務系統，不能實現IE瀏覽器自動識別。

發明內容

針對上述問題，本發明的目的就是要進一步地提高安全接入系統的安全等級，完全滿足涉及國家安全、高度機密的電子政務對安全產品和服務的要求。

本發明提供一種VPN安全接入方法，在VPN客戶端中采用硬件設備Key；該方法還包括：

所述VPN客戶端向網絡側發起接入請求，所述接入請求經所述硬件設備Key簽名和加密；

網絡側接收到所述接入請求后，對所述VPN客戶端進行身份認證，認證通過后，與所述VPN客戶端建立安全通道；

所述VPN客戶端通過硬件設備Key以及所述安全通道與網絡側進行安全業務交互。

優選的，VPN客戶端向網絡側發起的接入請求由用戶觸發發起，或者，由VPN客戶端根據所連接的網址自動啟動。

優選的，網絡側通過第三方對所述VPN客戶端進行身份認證。