随着互联网技术的蓬勃发展,网络已经遍布了各行各业,随即也带来了很多安全隐患,很多用户没有意识到网络安全的重要性,如果不采用安全的接入方式,那么客户的服务器很容易中毒或者服务器重要数据被窃取。市场上一些接入方式,例如:动态域名、远程接入等都是暴露在公网上传输数据,所以存在被攻击的可能性,天联搭建私有通道,只有登录到天联组的用户才能访问服务器资源,另外采用双向身份验证、强加密等技术,从客户端到被访问端的资源全程加密,保证数据传输安全。
一、物理隔离
天联采用的是虚拟专用网络,并且通过组名实现虚拟网络的隔离,通过用户名实现虚拟网页主机的分别,因此从根本上隔离了其它网络串联的可能。
二、数据加密
天联在数据传输过程当中采用的是SSL128位加密,保证了数据传输的安全。
三、不存在主节点损坏
天联采用的是点对点的传输方式,并不像硬件有网关的存在,而做为硬件网关来说,一旦损坏,则虚拟专用网就完全不通,而天联某个节点断网,但根本不影响其它节点间的通迅。
四、Mac地址绑定
天联登录时是根据组名、用户名进行网络区分的,而组名和用户名可以与固定的主机进行绑定,从而实现固定的主机才能加入到安全内网中来,以保证网络内部的安全。
五、硬件加密狗锁定
天联可以将用户账号绑定上加密狗(U盾),用户在登录时必须插入合法的加密狗才可以正常应用。
六、加密算法分析
天联默认的对称加密算法是 Blowfish。这些广为使用的加密算法都经过了广泛的讨论和验证,只要正确选择密钥长度,就能够提供足够的安全保障。目前常用的公钥算法包括RSA、DSA、DH,天联支持这三种非对称算法。DH公钥算法主要用于磋商密钥,它是天联默认的公钥算法;DSA只 能用于身份认证;RSA即可用于身份认证也可用来交换密钥。DH算法的安全性基于有 限域上计算离散对数的困难性。离散对数的研究现状表明:所使用的DH密钥至少需要 1024位,才能保证有足够的中、长期安全。DSA和RSA的安全性基于对大素数的因子分解难题。目前512位的RSA在重要的应用中已不安全,需选择 1024位或更长的密钥。 总的来说,通信双方可根据信息的重要程度选择合适的算法及密钥强度,天联在很大程度上可以保证系统具有足够的工业级甚至军事级的保密强度。
七、PKI体系结构安全性分析
除了加密算法外,身份认证技术对于天联系统也非常重要,尤其对远程访问 的应用,身份认证则更为重要。PKI(PublicKeyInfrastruc扭re)体系结构提供了一个依靠可信第三方的身份认证解决方案[30]。P租体系中通过建立 cA(CertificateAuthorith)域来签发、管理和验证证书,把 经过签发的证书作为身份认证的凭证。目前在天联的PKI系统中使用的证书标准是X509v3。PKI系统的安全性集中体现在CA域的安全性和证书私钥的安全性。对应用不同,可采用不同的策略来保证PKI系统的安全性。对于建立内、外联网应用,可以采取购买证书的方式,把保护CA的安全交给知名的CA公司。这种做法的安全性较高,证书服务有保障,可以提高PKI系统的稳定性和安全性,缺点是费用较高,不适合一般用户对产品简单应用的需求,而且把系统安全性建立在CA公司提供的保护上,也不适合对安全性要求较高的机构使用。另外一种策略就是自己建立CA中心,完全由自己控制和维护CA及证书管理。这种特别适合作为远程接入的应用。这是因为在远程接入访问应用中,可能经常变化的是客户端的证书,这样就使得CA中心可以位于内网中,有利于保护CA的安全。这种策 略也适合于对安全性要求较高的机构使用。
八、信息摘要算法
天联支持的摘要算法有MDS[3’],SHAI[3‘]等,它默认的是目前应用较为广泛 的128位SHAI算法。
九、SSL握手过程
天联主要运用了SSL/TLS协议的握手协议,在客户端和服务器这两个平等实体之间建立握手连接,协商加密算法和加密密钥。