专利名称:一种登录vpn的安全系统以及登录vpn的安全方法
技术领域:
本发明属于网络安全技术领域,尤其涉及虚拟专用网用户安全登录的系统及方法。
背景技术:
虚拟专用网络(Virtual Private Network, VPN)是在公用的通信基础平台上提供 的私有数据网络的技术,作为企业内部网络的扩展,已经越来越多的随着企业信息化系统 的建设的进程不断的得到广泛应用,可以帮助企业的远程用户、分支机构与企业内部网建 立可信的安全链接,由于采用了隧道协议、身份验证和数据加密等安全机制满足数据传输 的安全性。 为了满足企业的远程用户、分支机构人员通过多种接入途径(Intranet、 Internet、 GPRS、 WLAN、 PSTN),使用多种访问设备(台式电脑、笔记本电脑、PDA、移动电话 等),随时随地方便安全地接入企业内外网络进行移动办公的需要,必须通过VPN(虚拟专 用网)接入企业内部。 在现有的VPN系统中普通采用的认证方式有用户名+密码、用户名+数字证书、用 户名+特种码,非法用户只要获取了正确的用户ID、密码、数字证书或其他相关信息,就可 以畅通无阻的进入用户的内部网络, 传统的VPN系统采用的是客户服务器模式,如图1所示的VPN基本结构。用户1. 1 为用户单元,可以为电脑、路由器或家交换机。在用户端的电脑安装VPN系统的客户端软 件,服务器1. 2即网关(GateWay),在系统实施时,必须首先在服务器根据管理的规定或模 式,给用户单元提供供客户端软件使用的用户ID和密码。 在用户端需要使用VPN功能连接到企业内部时,需打开相应的客户端软件或打开 相应的VPN WEB应用界面,输入VPN系统提供的用户ID和密码,客户端软件把认证请求发送 给VPN系统的网关,即系统网关单元,由网关进行用户ID和密码的认证,认证通过后,将把 认证反馈再返回相应的客户端,即Userl. 1端。如果认证通过,客户端1. 1将认证结果标志 设置为成功状态,并允许后续的网络访问操作,否则将连接状态设置为失败状态,并且拒绝 后续网络访问操作。对于服务器端的网关部分,如果认证请求成功,将该请求的相关信息保 存,并标记为成功状态,并准备接收后续的网络访问请求;如果认证请求不成功,VPN网关 接受请求客户端请求时,首先去检查是否有次连接的成功标志,如果没有设置为成功标志, VPN网关则直接拒绝往来访问请求。 现有技术VPN系统中,远程用户、分支机构与企业内部网络之间的连接大部分都 是采用传统的用户ID+密码、用户ID+数字证书、用户名+特征码等模式对VPN用户认证, 某些企业用户对内务部网络要求性较高的,有可能采用动态密码认证、数字证书或者数字 特征码的形式进行身份认证,或者采用多种模式混合应用的多因子方式进行身份认证来提 高系统的安全性。但是无论哪种模式都无法确保访问企业内部网络的用户是真实的本人, 用户ID+密码或者截获数字证书信息的模式使登陆VPN安全性降低。
发明内容
为了克服现有技术传统认证模式中存在的"只认物、不认人"的缺陷,本发明申请
提供一种采用生物特征识别如指纹识别、人脸识别、指静脉识别装置或虹膜识别技术应用
于现有的VPN系统中,确保连接到企业内部网络的用户的真实身份,提高安全性。 为达到发明目的本发明采用的技术方案是 —种登录VPN的安全系统,所述VPN为远程用户通过多种途径接入的虚拟专用网
络,包括客户单元和与其相连的VPN网关单元,客户单元连接到在VPN网关单元的管理下
的局域网,以及利用隧道协议实现与连接到VPN网关单元的任意一个VPN客户单元的远程
访问,其特征在于所述客户单元集成有生物特征采集设备,在VPN网关单元增加采用标准
RADIUS协议的认证服务器,用于接收来自网关的身份认证、计费请求,并将结果反馈给VPN
网关单元,所述认证服务器设有用以产生用户生物特征值并将产生的特征值与存储器中模
板特征值比对验证身份的生物特征验证模块、用于保存特征模版的数据库和管理模块。 为对虚拟专用网络的安全性作进一步的保障,该安全系统还包括AAA软件认
证服务器、所述的AAA软件认证服务器,它负责对请求联入的客户单元做安全认证。 本发明申请系统中生物特征采集设备为指纹采集装置、人脸识别装置、指静脉识
别装置或虹膜识别装置。 优选地,所述数据库包括通用的关系型数据库或LDAP数据库。 生物特征采集设备优选为指纹采集装置,本系统数据库中保存有若干备用指纹,
用以防止手指指纹损伤验证不能通过的问题。 本发明的另一 目的是提供一种登录VPN系统的安全方法,所述VPN系统包括客户 单元和与其相连的VPN网关单元,所述客户单元集成有生物特征采集设备,在VPN网关单元 增加采用标准RADIUS协议的认证服务器,用于接收来自网关的身份认证、计费请求,并将 结果反馈给VPN网关单元,所述认证服务器设有用以产生用户生物特征值并将产生的特征
值与存储器中模板特征值比对验证身份的生物特征验证模块、用于保存特征模版的数据库 和管理模块。 包括如下步骤 (1)在所述VPN网关单元保存和更新各客户单元的VPN信息,包括生物特征信息;
(2)客户单元向VPN网关单元发送认证请求; (3)客户单元根据提示被采集生物特征,客户单元将生物特征对数据进行处理,封 装为认证请求数据包,发送到VPN网关单元认证;
(4)VPN网关单元向客户单元返回认证结果。 进一步,该安全系统还包括AAA软件认证服务器、所述的AAA软件认证服务器,它 负责对请求联入的客户单元的接入安全认证,AAA软件认证服务器在生物特征验证后检查 用户标识(ID)和密码,判断是否为授权用户,如果是,形成用户和专用网之间的会话,发送 并接收数据实现远程访问,如果不是,终止认证流程。 相比现有技术,本发明有益效果在于采用生物特征识别技术应用于VPN的认证方 法,充分利用了人体生物特征的唯一性、不变性、方便性、安全性等特征,并且在应用上简化 了传统VPN系统中必须牢记用户ID、密码的繁琐,具有较高安全性。
图1 :现有技术的VPN系统示意图; 图2 :现有技术VPN系统的网络拓扑图; 图3 :本发明的VPN系统拓扑图; 图4 :为本发明指纹VPN认证方式的编程框图; 图5 :为指纹认证用户基本信息表结构; 图6 :为应用本发明安全登录VPN系统的方法的流程图; 图7 :为本发明以IPSEC VPN IP层协议安全结构图; 图8 :为本发明VPN系统网络拓扑图。
具体实施例方式
下面结合具体实施例来对本发明进行进一步说明,但并不将本发明局限于这些具 体实施方式。本领域技术人员应该认识到,本发明涵盖了权利要求书范围内所可能包括的 所有备选方案、改进方案和等效方案。 本发明的核心思想在于采用生物特征认证方式应用于VPN系统,现有技术如指纹 识别、人脸识别、指静脉识别或虹膜识别等生物特征识别技术已比较成熟,在本申请中不再 说明。 本发明申请可使用不同的应用模式,以及兼容大部分厂商的现有VPN,对现有VPN 系统进行两部分改进,并对原有VPN系统的设置进行调整。 客户单元(客户端)在原有VPN系统的客户端软件中集成活体指纹采集设备,如 图3中用户客户端3. 1增加活体指纹采集设备; 网关单元(服务器/客户端)在原有的VPN系统中增加采用标准RADIUS协议的 RADIUS认证服务器3. 3。接收来自网关的身份认证、计费等请求,并将结果反馈给网关服务 器/客户端3. 2。
具体实现此方法包括以下步骤 企业在部署基于指纹认证的VPN系统时,需要部署一个采用指纹信息进行认证的 服务器系统,为了保证本发明申请登录VPN安全系统能够应用于不同的网络环境的不同的 网关路由器,用于指纹识别的服务器采用基于完全开放的RADIUS (Remote Authentication Dial In User Service远程认证拨号用户服务)协议进行开发。由于RADIUS是一种在网 络接入设备和认证服务器之间承载认证授权计费和配置信息的协议,是在认证授权计费方 面应用最为广泛的协议之一,因此也能承载企业级用户的综合应用,同是也得到了主流VPN 厂商的支持,应用于SSL VPN系统和IPSEC VPN系统。 基于第三方认证,采用RADIUS服务器模式的指纹VPN系统结构框图如图4。在本 系统中还可以支持常用VPN系统中具备的认证服务、计费服务以及授权服务(简称AAA服 务Authentication(认证)、Authorization (授权)、Accounting (计费)),认证、授权禾口 计费实现网络系统对特定用户的网络资源使用情况做准确记录,可以在一定程度上保障了 合法用户的权益,又能有效保障网络系统安全可靠地运行,AAA认证服务器对登录用户进行 核对验证,鉴别用户名和密码的正确性。
5
本发明增加了指纹设备的管理和指纹数据的管理(业务逻辑层),主要是为了保 障采用指纹认证的VPN系统的接入设备的安全,在客户身份验证过程中,可以根据系统的 设置判断是否为系统中允许使用的设备,保障了系统接入设备的合法性。
为了 VPN系统中能够采用指纹识别功能,RADIUS系统中的认证服务中增加指纹识 别模块,即根据RADIUS数据库服务器中保存的指纹模版(根据某枚手指的指纹特征提取的 一种用于指纹比对的原始数据,通常保存与数据库、文件系统中)信息与VPN客户端发起的 身份认证请求传入的指纹特征数据进行比较,并判断指纹特征与指纹模版是否一致。此功 能采用专门的指纹比对算法API来实现。 为了满足对于不同客户,以及企业的不同使用者对系统的不同要求,系统 还支持基本的用户ID+密码的认证方式。因此在本系统中,添加了认证类型标志位 (AuthenticationType),并且为了防止手指指纹损伤带来的认证问题,因此每个用户均在 系统中保存两枚不同手指的指纹特征数据(FingerDatal, FingerData2),用户的基本信息 表结构如图5所示。 为了能够充分利用企业的现有资源,减少管理成本,因此系统在使用中可支持通 用的关系型数据库和LDAP方式的数据库,可以与企业的人力资源系统HR系统的数据库进 行同步,避免在不同的系统中重复录入类似的数据。 现有的VPN系统的客户端,在数据传输过程中采用了各种加密算法以保护数据信 息的安全。但是却无法保证客户端软件的安全,无法确认登录用户的真实身份。本发明有 效解决此问题,即用户注册过程中,必须本人亲自,在系统管理员的协助下完成指纹模版的 录入(即采用图4中管理员客户端(IE)来实现此管理功能)。 目前市场应用最广泛的VPN系统根据具体实现中采用的传输技术方式的不同分 主要分为两类 SSL VPN:从简单而言,SSL VPN—般的实现方式是在企业的防火墙后面放置一个 SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一 个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将提 供一个远程用户与各种不同的应用服务器之间连接。 IPSEC VPN :此方式采用的是Internet协议安全(Internet Protocol Security, IPSec),是解决网络安全问题的长久之计。它能针对那些来自专用网络和internet的攻 击提供重要的防线,并在网络安全性与便用性之间取得平衡。IPSec是一种加密的标准,它 允许在差别很大的设备之间进行安全通信。利用IPSec不仅可以构建基于操作系统的防火 墙,实现一般防火墙的功能。它还可以为许可通信的两个端点之间建立加密的、可靠的数据 通道。 为了能够在VPN系统实现本发明方法,除了认证服务器RADIUS需要支持指纹认证 外,还需要在VPN系统中的客户端软件增加指纹特征提取功能,并由客户端软件发起指纹 身份认证请求。 目前市面上主流应用上述两种VPN系统即SSL VPN系统和IPSEC VPN系统,为了 能够登录VPN系统,无论采用何种技术、方式,均存在一个专用的客户端软件,为了能够结 合指纹特征采集功能,需要对客户端软件进行二次开发。VPN系统从网络拓扑结构上来说, SSL VPN系统和IPSEC VPN系统实际是一致的。
在VPN客户端软件中,根据其使用的不同技术,采用的IP网络通信协议存在差 别,SSL VPN客户端是在客户端与服务器之间通信协议采用SSL协议(Secure Sockets Layer协议),而IPSEC VPN系统采用的协议有ESP、 AH、 IKE、 ISAKMP、 DES、 AES、 DOI、薩C、 HMAC-MD5、HMAC-SHA、PKI、 IP、 IPv6、 ICMP等,其软件结构简图如图7所示。
为了实现本发明,客户端软件需与指纹采集设备结合完成指纹特征采集功能,客 户端Client在传统应用模式的基础上增加了指纹采集设备,当需要VPN功能,打开客户端 时,用户填入用户ID,根据客户端软件提示采集指纹,客户端软件将用户ID和指纹特征对 数据进行处理,封装为认证请求数据包,发送到服务器端Server,然后服务器根据请求的认 证的结果,发送证书或公共密钥给客户端,客户端再发送加密的临时连接会话密匙信息给 服务器。最后服务器再根据临时会话连接密钥想服务器发送加密的消息。认证过程如图6 所示。 本发明实施例为活体指纹认证技术,但不限于指纹识别,现有技术中以生物特征 识别如人脸识别、指静脉识别或虹膜识别都可以应用本发明。本发明将生物特征识别认证 技术应用于VPN系统中,较好地解决了 VPN系统应用中的安全性、方便性、易用性问题。整 个使用过程,基本不改变原有的网络结构。既可以确认使用者的真实身份、唯一性,又不必 记住烦琐的密码,使用方便。提高VPN的适用人群范围,为其推广应用提供了更好的、更安 全的解决方案。认证方式也可以根据实际需要选用用户ID+密码和用户ID+生物特征识别 的双重认证,能够进一步加强认证安全性。
权利要求
一种登录VPN的安全系统,所述VPN为远程用户通过多种途径接入的虚拟专用网络,包括客户单元和与其相连的VPN网关单元,客户单元连接到在VPN网关单元的管理下的局域网,以及利用隧道协议实现与连接到VPN网关单元的任意一个VPN客户单元的远程访问,其特征在于所述客户单元集成有生物特征采集设备,在VPN网关单元增加采用标准RADIUS协议的认证服务器,用于接收来自网关的身份认证、计费请求,并将结果反馈给VPN网关单元,所述认证服务器设有用以产生用户生物特征值并将产生的特征值与存储器中模板特征值比对验证身份的生物特征验证模块、用于保存特征模版的数据库和管理模块。
2. 如权利要求1所述登录VPN的安全系统,其特征在于该安全系统还包括负责对请求联入的客户单元做安全认证的AAA软件认证服务器。
3. 如权利要求1所述登录VPN的安全系统,其特征在于生物特征采集设备为指纹采集装置、人脸识别装置、指静脉识别装置或虹膜识别装置。
4. 如权利要求3所述登录VPN的安全系统,其特征在于数据库包括通用的关系型数据库或LDAP数据库。
5. 如权利要求3所述登录VPN的安全系统,其特征在于生物特征采集设备为指纹采集装置,系统数据库中保存有同一用户的若干枚指纹特征。
6. —种登录VPN系统的安全方法,其特征在于该系统包括客户单元和与其相连的VPN网关单元,所述客户单元集成有生物特征采集设备,在VPN网关单元增加采用标准RADIUS协议的认证服务器,用于接收来自网关的身份认证、计费请求,并将结果反馈给VPN网关单元,所述认证服务器设有用以产生用户生物特征值并将产生的特征值与存储器中模板特征值比对验证身份的生物特征验证模块、用于保存特征模版的数据库和管理模块。包括如下步骤(1) 在所述VPN网关单元保存和更新各客户单元的VPN信息,包括生物特征信息;(2) 客户单元向VPN网关单元发送认证请求;(3) 客户单元根据提示被采集生物特征,客户单元将生物特征对数据进行处理,封装为认证请求数据包,发送到VPN网关单元认证;(4) VPN网关单元向客户单元返回认证结果。
7. 如权利要求6所述种登录VPN系统的安全方法,其特征在于该安全系统还包括负责对请求联入的客户单元的接入安全认证的AAA软件认证服务器、所述的AAA软件认证服务器在生物特征验证后检查用户标识(ID)和密码,判断是否为授权用户,如果是,形成用户和专用网之间的会话,发送并接收数据实现远程访问,如果不是,终止认证流程。
全文摘要
一种登录VPN的安全系统,VPN为远程用户通过多种途径接入的虚拟专用网络,包括客户单元和与VPN网关单元,客户单元集成有生物特征采集设备,在VPN网关单元增加采用标准RADIUS协议的认证服务器,用于接收来自网关的身份认证、计费请求,并将结果反馈给VPN网关单元,认证服务器设有用以产生用户生物特征值并将产生的特征值与存储器中模板特征值比对验证身份的生物特征验证模块。本发明采用生物特征识别如指纹识别、人脸识别、指静脉识别或虹膜识别技术应用于现有VPN系统中,确保连接到企业内部网络的用户的真实身份,提高安全性。
文档编号H04L9/00GK101714918SQ20091015441
公开日2010年5月26日 申请日期2009年10月23日 优先权日2009年10月23日
发明者易宏冬, 邹建军, 陆捷 申请人:浙江维尔生物识别技术股份有限公司