【正文】 準(zhǔn)（ DSS， FIPS1862）對(duì)數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個(gè)參數(shù)對(duì)數(shù)據(jù)計(jì)算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。 81 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 消息認(rèn)證就是意定的接收者能夠檢驗(yàn)收到的消息是否真實(shí)的方法。消息認(rèn)證也稱為完整性校驗(yàn)，在銀行業(yè)稱為消息認(rèn)證，在 OSI安全模型中稱為封裝。 82 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 身份認(rèn)證（ Identification and Authentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機(jī)構(gòu)滿意，而提供所要求的用戶身份驗(yàn)證的過程。身份認(rèn)證大致分為 3種：一是個(gè)人知道的某種事物，如口令、賬號(hào)等；二是個(gè)人持證（ Token，也稱令牌），如圖章、標(biāo)志、鑰匙和護(hù)照等；三是個(gè)人特征，如指紋、聲紋、手形、視網(wǎng)膜、血型、基因、筆跡和習(xí)慣性簽字等。用戶或系統(tǒng)能夠通過四種方法來(lái)證明其身份： ? 實(shí)物認(rèn)證：智能卡（ Smart Card）就是一種根據(jù)用戶擁有的物品進(jìn)行鑒別的手段。自動(dòng)取款機(jī) ATM。 ? 密碼認(rèn)證：口令可以說(shuō)是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機(jī)制。 83 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 ? 生物特征認(rèn)證 指紋： 唯一地識(shí)別一個(gè)人 手?。?讀取整個(gè)手而不是僅僅手指的特征 。 聲音圖像： 每個(gè)人各不相同 筆跡或簽名： 字母和符號(hào)的組合 、 簽名時(shí)某些部分用力的大小 、 筆接觸紙的時(shí)間的長(zhǎng)短 、 筆移動(dòng)中的停頓等細(xì)微的差別 。 視網(wǎng)膜掃描： 是用紅外線檢查人眼各不相同的血管圖像 。 ? 位置認(rèn)證 該認(rèn)證的策略是根據(jù)用戶的位置來(lái)決定其身份 。 比如 UNIX的 rlogin和rsh程序通過源 IP地址來(lái)驗(yàn)證一個(gè)用戶 、 主機(jī)或執(zhí)行過程 。 84 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù) ,或是對(duì)數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來(lái)源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù) ,防止被人 (例如接收者 )進(jìn)行偽造。它是對(duì)電子形式的消息進(jìn)行簽名的一種方法 ,一個(gè)簽名消息能在一個(gè)通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名 ,目前主要是基于公鑰密碼體制的數(shù)字簽名。數(shù)字簽名主要的功能是：保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。 將被發(fā)送文件采用摘要函數(shù)（ Hash函數(shù)）對(duì)原始報(bào)文進(jìn)行運(yùn)算，得到一個(gè)固定長(zhǎng)度的數(shù)字串，稱為報(bào)文摘要（ Message Digest），不同的報(bào)文所得到的報(bào)文摘要各異，但對(duì)相同的報(bào)文它的報(bào)文摘要卻是唯一的。 85 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對(duì)收到的原文產(chǎn)生一個(gè)摘要信息，與解密的摘要信息對(duì)比。如果相同，則說(shuō)明收到的信息是完整的，在傳輸過程中沒有被修改，否則說(shuō)明信息被修改過，因此數(shù)字簽名能夠驗(yàn)證信息的完整性。 數(shù)字簽名是個(gè)加密的過程，數(shù)字簽名驗(yàn)證是個(gè)解密的過程。 86 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字證書又稱為數(shù)字標(biāo)識(shí) （ Digital Certificate ， Digital ID）。它提供了一種在 Inter 上身份驗(yàn)證的方式，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機(jī)駕照或日常生活中的身份證相似。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書來(lái)表明自己的身份，并使用數(shù)字證書來(lái)進(jìn)行有關(guān)交易操作。 通俗地講，數(shù)字證書就是個(gè)人或單位在 Inter上的身份證。數(shù)字證書是由大家共同信任的第三方 認(rèn)證中心（ Certificate Authority， CA）來(lái)頒發(fā)的，有某人的身份信息、公鑰和 CA的數(shù)字簽名。任何一個(gè)信任CA的通訊一方，都可以通過驗(yàn)證對(duì)方數(shù)字證書上的 CA數(shù)字簽名來(lái)建立起和對(duì)方的信任，并且獲得對(duì)方的公鑰以備使用。 87 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字證書類型有以下幾種： ? CA證書： CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。該證書只在某一時(shí)間內(nèi)有效，因而 CA保存一份有效證書及其有效期清單。 ? 服務(wù)器證書：是運(yùn)行在 Web服務(wù)器上，并且保證服務(wù)器和瀏覽器間的加密的 SSL會(huì)話 ? 個(gè)人證書：給用戶授權(quán)的證書，運(yùn)行 S/MIME、 SSL以及 SET。 ? 軟件出版商認(rèn)證：允許 applets或 Active X控件的開發(fā)者公開他們的身份。 88 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。 89 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)備份和數(shù)據(jù)容災(zāi) 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)由于系統(tǒng)崩潰，黑客入侵以及管理員的誤操作等各種原因會(huì)導(dǎo)致數(shù)據(jù)丟失和損害。數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災(zāi)難性事件時(shí)重要的恢復(fù)手段。數(shù)據(jù)備份顧名思義，就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個(gè)過程。數(shù)據(jù)備份的根本目的，是重新利用，這也就是說(shuō)，備份工作的核心是恢復(fù)，一個(gè)無(wú)法恢復(fù)的備份，對(duì)任何系統(tǒng)來(lái)說(shuō)都是毫無(wú)意義的。 90 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 （ 2）數(shù)據(jù)備份的類型 （ 1）數(shù)據(jù)恢復(fù)的概念 （ 2）數(shù)據(jù)恢復(fù)的類型 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 （ 2）數(shù)據(jù)容災(zāi)的等級(jí) （ 3）容災(zāi)系統(tǒng) （ 4）異地容災(zāi)技術(shù) 91 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)備份，通常是指將存儲(chǔ)在計(jì)算機(jī)系統(tǒng)中的數(shù)據(jù)復(fù)制到磁帶、磁盤、光盤等存儲(chǔ)介質(zhì)上，在計(jì)算機(jī)以外的地方另行保管。這樣，當(dāng)計(jì)算機(jī)系統(tǒng)設(shè)備發(fā)生故障或發(fā)生其它威脅數(shù)據(jù)安全的災(zāi)害時(shí)，能及時(shí)地從備份的介質(zhì)上恢復(fù)正確的數(shù)據(jù)。 （ 2）數(shù)據(jù)備份的類型 按備份時(shí)的數(shù)據(jù)庫(kù)狀態(tài)不同可分為冷備份、熱備份、邏輯備份等。 按備份時(shí)的數(shù)據(jù)不同可分為完全備份、增量備份、按需備份等。 92 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)恢復(fù)的概念 數(shù)據(jù)恢復(fù)是指將備份在存儲(chǔ)介質(zhì)上的數(shù)據(jù)恢復(fù)到計(jì)算機(jī)系統(tǒng)上，它與數(shù)據(jù)備份是一個(gè)相反的過程。 （ 2）數(shù)據(jù)恢復(fù)的類型 全盤恢復(fù)、個(gè)別文件恢復(fù)、重定向恢復(fù) 93 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 此處的災(zāi)是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)遇到自然災(zāi)難（洪水、颶風(fēng)、地震）、外在事件（電力或通信中斷）、技術(shù)失靈及設(shè)備受損（火災(zāi)）等。容災(zāi)（或?yàn)?zāi)難備份）是指計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)在遇到這些災(zāi)難時(shí)仍能保證系統(tǒng)數(shù)據(jù)的完整、可用和系統(tǒng)正常運(yùn)行。 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 數(shù)據(jù)備份是數(shù)據(jù)容災(zāi)的基礎(chǔ)，數(shù)據(jù)容災(zāi)是數(shù)據(jù)備份的補(bǔ)充。 容災(zāi)不是簡(jiǎn)單備份，還包括數(shù)據(jù)復(fù)制等更完善的保護(hù)措施。 容災(zāi)不僅是技術(shù)，更是一項(xiàng)工程。 （ 2）數(shù)據(jù)容災(zāi)的等級(jí) 第 0級(jí)：本地復(fù)制、本地保存的冷備份 第 1級(jí)：本地復(fù)制、異地保存的冷備份 第 2級(jí)：熱備份站點(diǎn)備份 第 3級(jí)：活動(dòng)互援備份 94 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 （ 3）容災(zāi)系統(tǒng) 一個(gè)完整的容災(zāi)系統(tǒng)包括三部分：本地容災(zāi)、異地容災(zāi)、有效管理機(jī)制。 （ 4）異地容災(zāi)技術(shù) ? 遠(yuǎn)程鏡像技術(shù) 遠(yuǎn)程鏡像又叫遠(yuǎn)程復(fù)制，是災(zāi)難備份的核心技術(shù)，同時(shí)也是保持遠(yuǎn)程數(shù)據(jù)同步和實(shí)現(xiàn)災(zāi)難恢復(fù)的基礎(chǔ)。按請(qǐng)求鏡像的主機(jī)是否需要遠(yuǎn)程鏡像站點(diǎn)的確認(rèn)信息，又可分為同步遠(yuǎn)程鏡像和異步遠(yuǎn)程鏡像。 ? 快照技術(shù) 快照是通過軟件對(duì)要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個(gè)要備份數(shù)據(jù)的快照邏輯單元號(hào) LUN和快照 cache。 ? 互連技術(shù) 利用基于 IP的 SAN互連協(xié)議，將主數(shù)據(jù)中心 SAN中的信息通過現(xiàn)有的 TCP/IP網(wǎng)絡(luò)，遠(yuǎn)程復(fù)制到備援中心 SAN中。 ? 虛擬存儲(chǔ) 將幾個(gè) IDE或 SCSI驅(qū)動(dòng)器等不同存儲(chǔ)設(shè)備串聯(lián)成一個(gè)存儲(chǔ)器池，并作為虛擬分區(qū)進(jìn)行管理。 95 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 虛擬專用網(wǎng)（ VPN）技術(shù) VPN的英文全稱是“ Virtual Private Network”，翻譯過來(lái)就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，我們可以把它理解成是虛擬出來(lái)的企業(yè)內(nèi)部專線。它可以通過特殊的加密通信協(xié)議為連接在 Inter上位于不同地方的兩個(gè)或多個(gè)企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路，如圖所示。這就好比去電信局申請(qǐng)專線，但是不用給鋪設(shè)線路的費(fèi)用，也不用購(gòu)買路由器等硬件設(shè)備。 VPN技術(shù)原是路由器具有的重要技術(shù)之一， 目前在交換機(jī)，防火墻設(shè)備或 WINDOWS 2023等軟件里也都支持VPN功能， VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 96 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 97 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 1．安全保障 2．服務(wù)質(zhì)量保證（ QoS） 3．可擴(kuò)充性和靈活性 4．可管理性 98 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 由于傳輸?shù)氖撬接行畔ⅲ?VPN用戶對(duì)數(shù)據(jù)的安全性都比較關(guān)心。 目前 VPN主要采用四項(xiàng)技術(shù)來(lái)保證安全，這四項(xiàng)技術(shù)分別是： （ 1）隧道技術(shù)（ Tunneling）、 （ 2）加解密技術(shù)（ Encryption Decryption）、 （ 3）密鑰管理技術(shù)（ Key Management）、 （ 4）使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。 99 第 11章 網(wǎng)絡(luò)安全技術(shù) 達(dá)州職業(yè)技術(shù)學(xué)院 信息工程系 在實(shí)際應(yīng)用中 VPN技術(shù)針對(duì)不同的用戶有不同的解決方案，用戶可以根據(jù)自己的情況進(jìn)行選擇。這些解決方案主要分為三種：遠(yuǎn)程訪問虛擬網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN）和企業(yè)擴(kuò)展虛擬網(wǎng)（ Extra VPN）。 這三種類型的 VPN分別與傳統(tǒng)的遠(yuǎn)程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra相對(duì)應(yīng)。