【正文】 準(zhǔn)（ DSS， FIPS1862）對數(shù)字簽名作了如下解釋：利用一套規(guī)則和一個參數(shù)對數(shù)據(jù)計算所得的結(jié)果，用此結(jié)果能夠確認(rèn)簽名者的身份和數(shù)據(jù)的完整性。 81 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 消息認(rèn)證就是意定的接收者能夠檢驗收到的消息是否真實的方法。消息認(rèn)證也稱為完整性校驗，在銀行業(yè)稱為消息認(rèn)證，在 OSI安全模型中稱為封裝。 82 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 身份認(rèn)證（ Identification and Authentication）定義為：為了使某些授予許可權(quán)限的權(quán)威機構(gòu)滿意，而提供所要求的用戶身份驗證的過程。身份認(rèn)證大致分為 3種：一是個人知道的某種事物，如口令、賬號等；二是個人持證（ Token，也稱令牌），如圖章、標(biāo)志、鑰匙和護照等；三是個人特征，如指紋、聲紋、手形、視網(wǎng)膜、血型、基因、筆跡和習(xí)慣性簽字等。用戶或系統(tǒng)能夠通過四種方法來證明其身份： ? 實物認(rèn)證：智能卡（ Smart Card）就是一種根據(jù)用戶擁有的物品進行鑒別的手段。自動取款機 ATM。 ? 密碼認(rèn)證：口令可以說是其中的一種，但口令容易被偷竊，于是人們發(fā)明了一種一次性口令機制。 83 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 ? 生物特征認(rèn)證 指紋： 唯一地識別一個人 手?。?讀取整個手而不是僅僅手指的特征 。 聲音圖像： 每個人各不相同 筆跡或簽名： 字母和符號的組合 、 簽名時某些部分用力的大小 、 筆接觸紙的時間的長短 、 筆移動中的停頓等細(xì)微的差別 。 視網(wǎng)膜掃描： 是用紅外線檢查人眼各不相同的血管圖像 。 ? 位置認(rèn)證 該認(rèn)證的策略是根據(jù)用戶的位置來決定其身份 。 比如 UNIX的 rlogin和rsh程序通過源 IP地址來驗證一個用戶 、 主機或執(zhí)行過程 。 84 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù) ,或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護數(shù)據(jù) ,防止被人 (例如接收者 )進行偽造。它是對電子形式的消息進行簽名的一種方法 ,一個簽名消息能在一個通信網(wǎng)絡(luò)中傳輸?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名 ,目前主要是基于公鑰密碼體制的數(shù)字簽名。數(shù)字簽名主要的功能是：保證信息傳輸?shù)耐暾?、發(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。 將被發(fā)送文件采用摘要函數(shù)（ Hash函數(shù)）對原始報文進行運算，得到一個固定長度的數(shù)字串，稱為報文摘要（ Message Digest），不同的報文所得到的報文摘要各異，但對相同的報文它的報文摘要卻是唯一的。 85 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH函數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過，因此數(shù)字簽名能夠驗證信息的完整性。 數(shù)字簽名是個加密的過程，數(shù)字簽名驗證是個解密的過程。 86 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字證書又稱為數(shù)字標(biāo)識 （ Digital Certificate ， Digital ID）。它提供了一種在 Inter 上身份驗證的方式，是用來標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件，與司機駕照或日常生活中的身份證相似。在網(wǎng)上進行電子商務(wù)活動時，交易雙方需要使用數(shù)字證書來表明自己的身份，并使用數(shù)字證書來進行有關(guān)交易操作。 通俗地講，數(shù)字證書就是個人或單位在 Inter上的身份證。數(shù)字證書是由大家共同信任的第三方 認(rèn)證中心（ Certificate Authority， CA）來頒發(fā)的，有某人的身份信息、公鑰和 CA的數(shù)字簽名。任何一個信任CA的通訊一方，都可以通過驗證對方數(shù)字證書上的 CA數(shù)字簽名來建立起和對方的信任，并且獲得對方的公鑰以備使用。 87 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)字證書類型有以下幾種： ? CA證書： CA證書是簽發(fā)并管理正式使用公用密鑰與用戶相關(guān)的證書。該證書只在某一時間內(nèi)有效，因而 CA保存一份有效證書及其有效期清單。 ? 服務(wù)器證書：是運行在 Web服務(wù)器上，并且保證服務(wù)器和瀏覽器間的加密的 SSL會話 ? 個人證書：給用戶授權(quán)的證書，運行 S/MIME、 SSL以及 SET。 ? 軟件出版商認(rèn)證：允許 applets或 Active X控件的開發(fā)者公開他們的身份。 88 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 加密技術(shù)的應(yīng)用是多方面的，但最為廣泛的還是在電子商務(wù)和VPN上的應(yīng)用。 89 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 數(shù)據(jù)備份和數(shù)據(jù)容災(zāi) 計算機網(wǎng)絡(luò)系統(tǒng)由于系統(tǒng)崩潰，黑客入侵以及管理員的誤操作等各種原因會導(dǎo)致數(shù)據(jù)丟失和損害。數(shù)據(jù)備份是在系統(tǒng)出現(xiàn)災(zāi)難性事件時重要的恢復(fù)手段。數(shù)據(jù)備份顧名思義，就是將數(shù)據(jù)以某種方式加以保留，以便在系統(tǒng)遭受破壞或其他特定情況下，重新加以利用的一個過程。數(shù)據(jù)備份的根本目的，是重新利用，這也就是說，備份工作的核心是恢復(fù)，一個無法恢復(fù)的備份，對任何系統(tǒng)來說都是毫無意義的。 90 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 （ 2）數(shù)據(jù)備份的類型 （ 1）數(shù)據(jù)恢復(fù)的概念 （ 2）數(shù)據(jù)恢復(fù)的類型 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 （ 2）數(shù)據(jù)容災(zāi)的等級 （ 3）容災(zāi)系統(tǒng) （ 4）異地容災(zāi)技術(shù) 91 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)備份的概念 計算機系統(tǒng)中的數(shù)據(jù)備份，通常是指將存儲在計算機系統(tǒng)中的數(shù)據(jù)復(fù)制到磁帶、磁盤、光盤等存儲介質(zhì)上，在計算機以外的地方另行保管。這樣，當(dāng)計算機系統(tǒng)設(shè)備發(fā)生故障或發(fā)生其它威脅數(shù)據(jù)安全的災(zāi)害時，能及時地從備份的介質(zhì)上恢復(fù)正確的數(shù)據(jù)。 （ 2）數(shù)據(jù)備份的類型 按備份時的數(shù)據(jù)庫狀態(tài)不同可分為冷備份、熱備份、邏輯備份等。 按備份時的數(shù)據(jù)不同可分為完全備份、增量備份、按需備份等。 92 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 （ 1）數(shù)據(jù)恢復(fù)的概念 數(shù)據(jù)恢復(fù)是指將備份在存儲介質(zhì)上的數(shù)據(jù)恢復(fù)到計算機系統(tǒng)上，它與數(shù)據(jù)備份是一個相反的過程。 （ 2）數(shù)據(jù)恢復(fù)的類型 全盤恢復(fù)、個別文件恢復(fù)、重定向恢復(fù) 93 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 此處的災(zāi)是指計算機網(wǎng)絡(luò)系統(tǒng)遇到自然災(zāi)難（洪水、颶風(fēng)、地震）、外在事件（電力或通信中斷）、技術(shù)失靈及設(shè)備受損（火災(zāi)）等。容災(zāi)（或災(zāi)難備份）是指計算機網(wǎng)絡(luò)系統(tǒng)在遇到這些災(zāi)難時仍能保證系統(tǒng)數(shù)據(jù)的完整、可用和系統(tǒng)正常運行。 （ 1）數(shù)據(jù)容災(zāi)與數(shù)據(jù)備份的聯(lián)系 數(shù)據(jù)備份是數(shù)據(jù)容災(zāi)的基礎(chǔ)，數(shù)據(jù)容災(zāi)是數(shù)據(jù)備份的補充。 容災(zāi)不是簡單備份，還包括數(shù)據(jù)復(fù)制等更完善的保護措施。 容災(zāi)不僅是技術(shù)，更是一項工程。 （ 2）數(shù)據(jù)容災(zāi)的等級 第 0級：本地復(fù)制、本地保存的冷備份 第 1級：本地復(fù)制、異地保存的冷備份 第 2級：熱備份站點備份 第 3級：活動互援備份 94 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 （ 3）容災(zāi)系統(tǒng) 一個完整的容災(zāi)系統(tǒng)包括三部分：本地容災(zāi)、異地容災(zāi)、有效管理機制。 （ 4）異地容災(zāi)技術(shù) ? 遠程鏡像技術(shù) 遠程鏡像又叫遠程復(fù)制，是災(zāi)難備份的核心技術(shù)，同時也是保持遠程數(shù)據(jù)同步和實現(xiàn)災(zāi)難恢復(fù)的基礎(chǔ)。按請求鏡像的主機是否需要遠程鏡像站點的確認(rèn)信息，又可分為同步遠程鏡像和異步遠程鏡像。 ? 快照技術(shù) 快照是通過軟件對要備份的磁盤子系統(tǒng)的數(shù)據(jù)快速掃描，建立一個要備份數(shù)據(jù)的快照邏輯單元號 LUN和快照 cache。 ? 互連技術(shù) 利用基于 IP的 SAN互連協(xié)議，將主數(shù)據(jù)中心 SAN中的信息通過現(xiàn)有的 TCP/IP網(wǎng)絡(luò)，遠程復(fù)制到備援中心 SAN中。 ? 虛擬存儲 將幾個 IDE或 SCSI驅(qū)動器等不同存儲設(shè)備串聯(lián)成一個存儲器池，并作為虛擬分區(qū)進行管理。 95 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 虛擬專用網(wǎng)（ VPN）技術(shù) VPN的英文全稱是“ Virtual Private Network”，翻譯過來就是“虛擬專用網(wǎng)絡(luò)”。顧名思義，我們可以把它理解成是虛擬出來的企業(yè)內(nèi)部專線。它可以通過特殊的加密通信協(xié)議為連接在 Inter上位于不同地方的兩個或多個企業(yè)內(nèi)部網(wǎng)之間建立一條專有的通信線路，就好比是架設(shè)了一條專線一樣，但是它并不需要真正的去鋪設(shè)光纜之類的物理線路，如圖所示。這就好比去電信局申請專線，但是不用給鋪設(shè)線路的費用，也不用購買路由器等硬件設(shè)備。 VPN技術(shù)原是路由器具有的重要技術(shù)之一， 目前在交換機，防火墻設(shè)備或 WINDOWS 2023等軟件里也都支持VPN功能， VPN的核心就是在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)。 96 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 97 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 1．安全保障 2．服務(wù)質(zhì)量保證（ QoS） 3．可擴充性和靈活性 4．可管理性 98 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 由于傳輸?shù)氖撬接行畔ⅲ?VPN用戶對數(shù)據(jù)的安全性都比較關(guān)心。 目前 VPN主要采用四項技術(shù)來保證安全，這四項技術(shù)分別是： （ 1）隧道技術(shù)（ Tunneling）、 （ 2）加解密技術(shù)（ Encryption Decryption）、 （ 3）密鑰管理技術(shù)（ Key Management）、 （ 4）使用者與設(shè)備身份認(rèn)證技術(shù)（ Authentication）。 99 第 11章 網(wǎng)絡(luò)安全技術(shù) 達州職業(yè)技術(shù)學(xué)院 信息工程系 在實際應(yīng)用中 VPN技術(shù)針對不同的用戶有不同的解決方案，用戶可以根據(jù)自己的情況進行選擇。這些解決方案主要分為三種：遠程訪問虛擬網(wǎng)（ Access VPN）、企業(yè)內(nèi)部虛擬網(wǎng)（ Intra VPN）和企業(yè)擴展虛擬網(wǎng)（ Extra VPN）。 這三種類型的 VPN分別與傳統(tǒng)的遠程訪問網(wǎng)絡(luò)、企業(yè)內(nèi)部的 Intra以及企業(yè)網(wǎng)和相關(guān)合作伙伴的企業(yè)網(wǎng)所構(gòu)成的 Extra相對應(yīng)。