得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书(8)

得安虚拟专用网系列产品 (SJW60,SQY21) 技术白皮书

或B保护的核心网络。

2.4.2 数字证书方式的安全性考虑

数字证书方式是迄今为止解决身份认证问题最为完善，也是应用最广的一种方案。如果说使用口令和预共享密钥的安全级别如同暗号一样，容易受到攻击和假冒；那么使用数字证书方式的安全级别将如同指纹、虹膜一样具有不可抵赖，不可仿造的特性。

目前，很多企事业单位都使用了数字证书来提高自己的系统的安全性。数字证书的来源要么来自于政府性质的数字认证中心，要么来自于自建的独立的证书系统。

使用数字证书时的安全性保障更多的来自于证书认证中心本身。这包括两个方面，一是证书认证中心发放证书过程的安全性，再一个是数字证书存放介质的安全性。

证书认证中心发放证书过程的安全性更多的依赖于证书认证中心内部规章、流程的安全性，在数字证书的使用过程中可以不予考虑，唯一需要充分考虑的是数字证书存放介质的安全性。

证书认证中心发放数字证书过程中将会产生两个文件：数字证书和私钥。数字证书里面含有证书申请者的身份信息和公钥，公钥信息不属于秘密密钥，可以随着数字证书任意散发，甚至可以散发给敌人；私钥乃是证书申请者的个人私密密钥，是证书申请者唯一需要秘密存放的信息。因此，如何保护私钥不被窃取，是数字证书安全应用的关键。

目前有些应用是将数字证书和私钥文件存放在可读写的介质中，如U盘、软盘等，由于U盘或软盘具有可读写的能力，容易被潜在的攻击者窃取，所以它的安全性非常低。另一种方式是将数字证书存放在专用的硬件存储介质中，这种介质能够保证私钥不能被读取，而数字证书可以被读取，从而保证了证书申请者使用数字证书时的安全性。

数字证书在VPN中的应用如同其它应用一样，需要特别注意私钥的安全性。如过私钥存放不当造成安全性漏洞，将使得攻击者假冒该证书持有人的身份，从而攻击进入VPN网络，造成更大的损失。

地址：济南市高新开发区舜华路得安科技大厦 邮编：250101 电话：0531-8873355 传真：0531-8873355 8 网址：