【正文】 電子政務(wù)業(yè)務(wù)互訪 ? 電子政務(wù)業(yè)務(wù)互訪設(shè)計(jì) ? 電子政務(wù)網(wǎng)按照功能不同可為縱向業(yè)務(wù)區(qū)、公眾服務(wù)區(qū)和資源共享區(qū) 3個(gè)獨(dú)立區(qū)域。 ?三種設(shè)備中，真正參與 VPN業(yè)務(wù)部署的只有 PE設(shè)備，也就是說(shuō) MPLS VPN業(yè)務(wù)的智能化和業(yè)務(wù)壓力都集中在 PE設(shè)備上。 ?PE代表骨干網(wǎng)中的邊緣路由器，它直接與用戶的 CE相連，實(shí)施 VPN主要功能。 44 第 45頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 ?MPLS VPN框架結(jié)構(gòu)中包括 P（ P routers）、 PE（ Provider Edge）、 CE（ Custom Edge）等設(shè)備。 ?ERLSP從源端到目的端建立一條直接的端到端的路徑。 ?建立標(biāo)記交換路徑。當(dāng) IP數(shù)據(jù)包到達(dá)一個(gè) LER時(shí)， MPLS第一次應(yīng)用標(biāo)記 ?網(wǎng)絡(luò)核心行為。 LER的作用是分析 IP包頭，決定相應(yīng)的傳送級(jí)別和標(biāo)簽交換路徑（ LSP）。 P EP EP EV P N 子 接 口工 商 局 共 享 資 源 區(qū)五 一 路 工 商 所電 子 政 務(wù) 城 域 網(wǎng)SiSi解 放 路 工 商 所SiV P N 子 接 口V P N 子 接 口V P N 隧 道V P N 隧 道V P N隧 道P42 第 43頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 多協(xié)議標(biāo)簽交換技術(shù) （ MPLS， Multi Protocol Label Switching）是在 Cisco公司所提出來(lái)的 Tag Switching技術(shù)基礎(chǔ)上發(fā)展起來(lái)的，屬于第三層交換技術(shù)。工商所分支網(wǎng)絡(luò)與工商局網(wǎng)絡(luò)分別建立安全隧道后，工商所分支網(wǎng)絡(luò)可以與工商局網(wǎng)絡(luò)安全通信，工商所分支網(wǎng)絡(luò)之間也可以安全通信。 41 第 42頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 基于 VPN的業(yè)務(wù)隔離 例如，市工商局下屬有 2個(gè)工商所，工商所與局機(jī)關(guān)分別相距 ~。 該類(lèi)型與政府網(wǎng)和相關(guān)企業(yè)網(wǎng)、教育網(wǎng)所構(gòu)成的Extra相對(duì)應(yīng)。 該類(lèi)型與政府內(nèi)部的 Intra相對(duì)應(yīng)。 表 VPN 的主要協(xié)議標(biāo)準(zhǔn) OSI模型 安全技術(shù) 安全協(xié)議 應(yīng)用層 表示層 應(yīng)用代理 會(huì)話層 傳輸層 會(huì)話層代理 SOCKSv5/SSL 網(wǎng)絡(luò)層 數(shù)據(jù)鏈路層 物理層 包過(guò)濾 IPSec PPTP/L2F/L2TP 40 第 41頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 （ 1） Access VPN（遠(yuǎn)程訪問(wèn)虛擬專(zhuān)網(wǎng)） （ 2） Intra VPN（內(nèi)部虛擬專(zhuān)網(wǎng)） （ 3） Extra VPN（擴(kuò)展內(nèi)部虛擬專(zhuān)網(wǎng)） 該類(lèi)型與傳統(tǒng)的遠(yuǎn)程訪問(wèn)網(wǎng)絡(luò)相對(duì)應(yīng)。 38 第 39頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 基于 VPN的業(yè)務(wù)隔離 1. VPN技術(shù) 要能夠使得政務(wù)網(wǎng)內(nèi)一個(gè)局域網(wǎng)的數(shù)據(jù)透明的穿過(guò)公用網(wǎng)到達(dá)另一個(gè)局域網(wǎng)， VPN采用了一種稱(chēng)之為隧道的技術(shù)。只有通過(guò)第三層交換，不同標(biāo)簽數(shù)據(jù)幀才可通信。這樣可以保證郵件是由他本人發(fā)送的而非假冒，同時(shí)也保證郵件在發(fā)送過(guò)程中沒(méi)有被更改，這個(gè)過(guò)程稱(chēng)為數(shù)字簽名和核實(shí)。 最后提供的信息是證書(shū)的數(shù)字簽名 ， 由發(fā)出者創(chuàng)建 36 第 37頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 ?郵件數(shù)字簽名過(guò)程 當(dāng)用戶向外發(fā)送郵件時(shí)，他首先使用一種單向分解函數(shù)從郵件中得到固定長(zhǎng)度的分解值，該值與郵件的內(nèi)容相關(guān)，稱(chēng)為該郵件的指紋；然后使用自己的私鑰對(duì)指紋進(jìn)行加密。 構(gòu)造證書(shū)的最常見(jiàn)格式是 ， 由 ITU發(fā)布 。 為了應(yīng)用 ， 密鑰的主人要把這對(duì)密鑰中的一條 （ 密鑰 A） 公開(kāi)出去 ， 交給其他人 ， 而把另一條 （ 密鑰 B） 留給自己保存 。 通過(guò)公鑰密碼算法 ， 通常是 RSA算法 ， 能生成一對(duì)密鑰 A和 B?！八借€”只有用戶自己擁有，而“公鑰”是發(fā)放給大家的，別人拿到的用戶的證書(shū)只含有“公鑰” 數(shù)字證書(shū)與 S/MIME 35 第 36頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 ?非對(duì)稱(chēng)加密 對(duì)稱(chēng)加密使用相同的密鑰加密和解密數(shù)據(jù) ， 它的主要困難是密鑰必須在保密通信涉及雙方之間傳遞 。對(duì)于企業(yè)或組織內(nèi)部的郵件用戶無(wú)需到 Inter上申請(qǐng)，可以由管理員統(tǒng)一發(fā)放和管理證書(shū)。 發(fā)件人的數(shù)字證書(shū)中的 “ 私鑰 ” 只有發(fā)件人唯一擁有 ， 發(fā)件人利用其數(shù)字證書(shū)在傳送前對(duì)電子郵件進(jìn)行數(shù)字簽名 ， 發(fā)件人就無(wú)法否認(rèn)發(fā)送過(guò)這個(gè)電子郵件 。 保證郵件沒(méi)有被中途篡改 。 只有收件人才能解密查看 。 例如 ， 某用戶自己申請(qǐng)了證書(shū) （ 私鑰 ） ， 獲得了數(shù)字標(biāo)識(shí) ，可以實(shí)現(xiàn)向別人發(fā)送 “ 數(shù)字簽名 ” 的郵件 ， 別人就可以判斷相關(guān)郵件確實(shí)是該用戶發(fā)送的 。 33 第 34頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 ?保密文件特性 （ 1） 防假冒 。簽名后的合約不僅李四可以驗(yàn)證其完整性，其他人也可以驗(yàn)證該合約確實(shí)是張三簽發(fā)的。授權(quán)服務(wù)主要是解決在網(wǎng)絡(luò)中“每個(gè)實(shí)體能干什么”的問(wèn)題。 電 子 政 務(wù) 應(yīng) 用 系 統(tǒng)安 全 應(yīng) 用 A P I （ 包 括 證 書(shū) 驗(yàn) 證 、 證 書(shū) 解 碼 、 數(shù) 字 簽 名 等 ）加 解 密 、 單 向 散 列 服 務(wù) 、 密 鑰 管 理 服 務(wù) 等安 全 服 務(wù) A P IC A 系 統(tǒng)證 書(shū) 、 C R L 、 密 鑰 管 理密 碼 設(shè) 備 （ 硬 件 或 軟 件 ） 、 網(wǎng) 絡(luò) 、 通 信 技 術(shù) 操 作 系 統(tǒng)操 作 系 統(tǒng) 層P K I 系 統(tǒng) 層應(yīng) 用 層32 第 33頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 PKI的安全機(jī)制 ? 安全平臺(tái)能夠提供智能化的信任與有效授權(quán)服務(wù)。 ? PKI基于非對(duì)稱(chēng)公鑰體制，采用數(shù)字證書(shū)管理機(jī)制，可以為透明地為網(wǎng)上應(yīng)用提供上述各種安全服務(wù)，極大地保證了網(wǎng)上應(yīng)用的安全性。 27 第 28頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 電子政務(wù)安全技術(shù) ? 電子政務(wù) PKI部署 ? 電子政務(wù)業(yè)務(wù)隔離 ? 電子政務(wù)業(yè)務(wù)互訪 ? 電子政務(wù)安全通信 ? 點(diǎn)對(duì)點(diǎn)的通信安全 ? 網(wǎng)絡(luò)行為監(jiān)管與審計(jì) 28 第 29頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 電子政務(wù) PKI部署 PKI定義與作用 PKI（ Public Key Infrastructure，公鑰基礎(chǔ)設(shè)施）是一種遵循既定標(biāo)準(zhǔn)的密鑰管理平臺(tái)，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所必需的密鑰和證書(shū)管理體系 。服務(wù)器通過(guò) iSCSI驅(qū)動(dòng)程序（免費(fèi)），將數(shù)據(jù)集中到存儲(chǔ)系統(tǒng)中。 ? 多服務(wù)器集中存儲(chǔ)網(wǎng)絡(luò)，使用 H3C的 S510024PEI（提供 24個(gè) 1Gbit/s電口），連接 Web網(wǎng)站、工作流計(jì)劃系統(tǒng)、資源庫(kù)、數(shù)據(jù)庫(kù)、身份認(rèn)證與審計(jì)系統(tǒng)、電子政務(wù)信息系統(tǒng)（數(shù)據(jù)庫(kù)）等服務(wù)器的 1Gbit/s網(wǎng)卡和 EX1000S，組成 IP SAN存儲(chǔ)系統(tǒng)。 21 第 22頁(yè) 蘇州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 電子政務(wù)辦公專(zhuān)網(wǎng)拓?fù)浣Y(jié)構(gòu) 市 府 數(shù) 據(jù) 中 心SiR G 7 6 0 6市政府辦公樓宇R G 2 1 2 6 G 市委辦公樓1 G b i t / s M M F1 G b i t / s M M F1 G b i t / sM M FR S R 0 8 E省 電 子 政 務(wù) 專(zhuān) 網(wǎng)C P O S2 0縣市區(qū)專(zhuān)網(wǎng)? ?服 務(wù) 器 D M Z區(qū) 域Si服 務(wù) 器 D M Z 區(qū) 域1 G b i t / s S M FR G 7 6 0 6R G 2 1 2 6 G 獵 豹 I I 型獵 豹 I I 型市 委 數(shù) 據(jù) 中 心2