《网络工程设计与系统集成(杨威)第9章.ppt》由会员分享,可在线阅读,更多相关《网络工程设计与系统集成(杨威)第9章.ppt(81页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、 网络工程设计与系统集成网络工程设计与系统集成杨 威山西师范大学网络信息中心 人民邮电出版社人民邮电出版社 (第(第(第(第2 2版)版)版)版)Network Engineering Design and System Network Engineering Design and System IntegrationIntegration(2nd Edition2nd Edition)普通高等教育普通高等教育普通高等教育普通高等教育“十一五十一五十一五十一五”国家级规划教材国家级规划教材国家级规划教材国家级规划教材 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络
2、工程规划教材世纪高等院校网络工程规划教材第第2 2页页 u什么电子政务?是否有过体验?什么电子政务?是否有过体验?u电子政务中你最关心的是什么?电子政务中你最关心的是什么?u如何解除在这些活动中的后顾之忧如何解除在这些活动中的后顾之忧?问题思考2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3 3页页学习目标:(1 1)了解电子政务网络总体架构,理解电子政务功能需求。基)了解电子政务网络总体架构,理解电子政务功能需求。基本掌握电子政务技术方案设计内容,以及电子政务信息系统设本掌握电子政务技术方案设计内容,以及电子政务信息系
3、统设计内容。计内容。(2 2)了解城域网)了解城域网RRPPRRPP技术原理、技术原理、MPLSVPNMPLSVPN技术原理。理解技术原理。理解基于基于RRPPRRPP的城域网技术路线,基于的城域网技术路线,基于VPNVPN与与MPLSVPNMPLSVPN的安全逻的安全逻辑隔离技术路线。基本掌握屏蔽线敷设技术工艺,能够按照电辑隔离技术路线。基本掌握屏蔽线敷设技术工艺,能够按照电子政务的需求,设计中小型电子政务网络技术解决方案。子政务的需求,设计中小型电子政务网络技术解决方案。(3 3)了解)了解PKIPKI基本知识,以及物理隔离网闸技术与使用范围。基本知识,以及物理隔离网闸技术与使用范围。理解
4、办公专网概念、电子政务实体保密及理解办公专网概念、电子政务实体保密及PKIPKI功能结构。理解网功能结构。理解网络行为监管与审计技术应用要点。理解关键业务数据集中存储络行为监管与审计技术应用要点。理解关键业务数据集中存储备份、远程容灾与恢复技术方案。基本掌握备份、远程容灾与恢复技术方案。基本掌握WindowsWindows安全通信安全通信技术,以及安全可信技术,以及安全可信WebWeb网站构建的技术。网站构建的技术。第第9章电子政务网络设计案例章电子政务网络设计案例2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4 4页页
5、重点知识重点知识:电子政务技术方案设计内容 VPN与与MPLS技术原理技术原理,VPN与与MPLS VPN构建安全逻辑隔离系统构建安全逻辑隔离系统 屏蔽线敷设技术屏蔽线敷设技术,涉密局域,涉密局域网布线网布线 Windows安全通信技术和可信网站设置技术安全通信技术和可信网站设置技术 难点知识难点知识:PKI功能结构功能结构MPLS VPN构建安全逻辑隔离系统构建安全逻辑隔离系统第第9章电子政务网络设计案例章电子政务网络设计案例2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第5 5页页9.1 电子政务概述电子政务概述9.1
6、.19.1.1电子政务网络总体架构电子政务网络总体架构电子政务是指政府机构利用信息化手段,实现各类政府职能。其核心是应用信息技术,提高政府事务处理的效率,改善政府组织和公共管理。背景背景背景背景:信息技术的飞速发展信息技术的飞速发展信息技术的飞速发展信息技术的飞速发展发达国家提出发达国家提出发达国家提出发达国家提出“电子政务(电子政府)计划电子政务(电子政府)计划电子政务(电子政府)计划电子政务(电子政府)计划”我国的电子政务我国的电子政务我国的电子政务我国的电子政务2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第6 6页
7、页 电子政务网络体系架构电子政务网络体系架构2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第7 7页页9.1.2 市级电子政务功能需求市级电子政务功能需求电子政务城域网基本功能需求电子政务城域网基本功能需求支持政府部门横向信息共享和交互平台支持政府各部门上下级纵向连接支持城域内各政府部门统一接入Internet2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第8 8页页电子政务城域网建设要求电子政务城域网建设要求 城域网关键性业务的可靠性保障政府部门业务
8、系统安全隔离和受控互访特殊应用系统QoS保证降低城域网管理维护复杂度和成本数据中心安全防护2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第9 9页页9.2 市级电子政务城域网设计市级电子政务城域网设计电子政务城域骨干网电子政务信息系统城域网的汇聚与接入基于EPON的接入2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1010页页9.2.1 电子政务城域骨干网电子政务城域骨干网电子政务城域网结构设计2009.22009.2人民邮电出版社人民邮电出版社21
9、21世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1111页页城域网核心层城域网核心层RRPP技术技术 RRPP技术是一种专门用于以太网环的链路层协议,它在以太网环中能够防止数据环路引起的广播风暴。当以太网环上链路或设备故障时,能保证链路倒换时间为50ms以内,业务倒换时间为50200ms,保证业务快速恢复.RRPP与STP(生成树协议)相比,RRPP具有算法简单、拓扑收敛速度快和收敛时间与环网上结点数无关等显著优势。RRPP技术没有改变传统以太网的硬件,所有正在网络中运行的中高端交换机都可以通过软件升级支持吉比特以太网端口的RRPP特性。RRPP与RPR技术相比,RRPP是一种
10、低成本的自愈环网技术。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1212页页逻辑子网逻辑子网VLAN划分划分 电子政务城域网的逻辑拓扑可划分为若干VLAN(虚拟子网),VLAN不受设备物理位置的限制,灵活性较大。市政府、市委服务器群单独划分子网,将各种主要服务器(Web、Mail、FTP、OA、VOD、数据库等)放在一个子网内便于管理和维护,同时也可以尽可能减少外部入侵及破坏系统的可能性。另外,交换机(包括全网核心层、汇聚层和接入层交换机)的管理划分单独子网。其他子网可按电子政务系统的职责范围划分,采用多个VLAN管
11、理。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1313页页9.2.2 电子政务信息系统电子政务信息系统公共服务网站整体架构2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1414页页电子政务业务模型电子政务业务模型根据政府机构的业务形态来看,通常电子政务主要包括三个应用根据政府机构的业务形态来看,通常电子政务主要包括三个应用领域。其业务模型可以用下图表示。领域。其业务模型可以用下图表示。图电子政务业务模型 面向社会公面向社会公面向社会公面向社会公
12、众和企业组众和企业组众和企业组众和企业组织,为其提织,为其提织,为其提织,为其提供政策、法供政策、法供政策、法供政策、法规、条例和规、条例和规、条例和规、条例和流程的查询流程的查询流程的查询流程的查询服务。服务。服务。服务。借助互联网借助互联网借助互联网借助互联网实现政府机实现政府机实现政府机实现政府机构的对外办构的对外办构的对外办构的对外办公,如:申公,如:申公,如:申公,如:申请、申报等,请、申报等,请、申报等,请、申报等,提高政府的提高政府的提高政府的提高政府的运作效率,运作效率,运作效率,运作效率,增加透明度。增加透明度。增加透明度。增加透明度。以信息化手以信息化手以信息化手以信息化手
13、段提高政府段提高政府段提高政府段提高政府机构内部办机构内部办机构内部办机构内部办公的效率,公的效率,公的效率,公的效率,如:公文报如:公文报如:公文报如:公文报送、信息通送、信息通送、信息通送、信息通知和信息查知和信息查知和信息查知和信息查询等。询等。询等。询等。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1515页页电子政务信息流电子政务信息流在电子政务系统中主要存在三种信息流,如下图所示。图电子政务信息流模型 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工
14、程规划教材第第1616页页电子政务体系结构电子政务体系结构构建的电子政务体系结构主要包括三个应用系统和一个网络通信平台。如图所示。图电子政务平台系统结构 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1717页页电子政务信息系统电子政务信息系统功能结构功能结构电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内电子政务信息系统一般分为政府公共服务网站和政府内部办公网站,其功能结构如图所示。部办公网站,其功能结构如图所示。部办公网站
15、,其功能结构如图所示。部办公网站,其功能结构如图所示。图电子政务系统功能结构图 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1818页页政务处理逻辑结构政务处理逻辑结构4.4.政务处理逻辑组织将系统结构划分成数据层、组件层、功能层和应用层,如图所示。图电子政务处理逻辑结构 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第1919页页9.2.3 城域网的汇聚与接入城域网的汇聚与接入设计思想设计思想汇聚层设备可以采用路由器(支持E1接入),也可以采用交
16、换机(支持GE/FE接入)。汇聚层设备要求支持MPLSVPN,能够承担PE(ProviderEdge,骨干网中的边缘设备)的功能,并需要支持NAT(地址转换)功能,以支持不同接入用户在地址重叠的情况下能够通过NAT技术转换成不同的地址。考虑某市各县经济情况、县区大小,各县网络机房需要配置不同型号的路由交换机、路由器、交换机、服务器等设备。通常,市政府与所辖的区政府位于同一个城市,可采用1Gbit/s路由交换机上连市电子政务骨干网。县政府与市政府之间距离较近,可采用路由器上连电子政务骨干网。上连的设备均要支持MPLSVPN,便于纵向业务访问。2009.22009.2人民邮电出版社人民邮电出版社2
17、121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2020页页技术方案技术方案 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2121页页通信安全通信安全 为了保证各系统办公数据的全程安全,仅在MPLS网络上进行VPN隔离是不够的,还必须在接入端以下对不同部门的数据进行隔离。在条件允许的情况下,不同的部门局域网通过不同的边界路由器接入MPLS网络中,这些部门在接入侧隔离,如图9.7所示2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2
18、222页页9.2.4 基于基于EPON的接入的接入例如,市地税局下属8个税务所,分布在城市的不同街道或路段,均在10km范围内。每个税务所约有520台业务终端。按照华为EPON技术方案,OLT设备选用S6503,配置SalienceIII型交换路由板,配置LS8M1PT8GA(8端口吉比特EPON业务板,与ONU之间的最大传输距离为10km)。S6503安置在市地税局大楼机房2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2323页页网络屏蔽线安装技术网络屏蔽线安装技术电子政务办公专网拓扑结构电子政务办公专网拓扑结构电子政
19、务专网的安全体系结构电子政务专网的安全体系结构9.3 市级电子政务专网设计市级电子政务专网设计2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2424页页9.3.1超五类屏蔽双绞线安装技术超五类屏蔽双绞线安装技术屏屏蔽蔽布布线线系系统统必必须须是是从从终终点点到到终终点点的的连连续续的的屏屏蔽蔽路路径径。例例如如,AMPAMPNETCONNECTNETCONNECT屏屏蔽蔽布布线线系系统统从从工工作作区区域域的的信信息息插插座座,双双绞绞线线,配配线线架架,RJ45RJ45跳跳线线,组组成成了了从从终终点点到到终终点点的的
20、连连续续的的屏蔽路径。屏蔽路径结构示意,如图屏蔽路径。屏蔽路径结构示意,如图9.39.3所示。所示。屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设屏蔽系统所有设施应选择同一品牌的产品。通常屏蔽系统设计时充分考虑了接续的连续性。在水平子系统计时充分考虑了接续的连续性。在水平子系统FTPFTP连接的两端,连接的两端,RJ45RJ45屏蔽接口的屏蔽金属壳与屏蔽接口的屏蔽金属壳与RJ45RJ45接头的金属包覆套采用紧接头的金属包覆套采用紧密嵌套接合,确保跳线和接口完全充分的接触。密嵌套接合,确保跳线和接口完全充分的接触。例如,例如,AMP4AMP4对对FTPFTP线有锡箔屏蔽包覆层,屏蔽层内有一
21、条线有锡箔屏蔽包覆层,屏蔽层内有一条接地线,这条接地线对于降低接地电阻,并保持一个低的接接地线,这条接地线对于降低接地电阻,并保持一个低的接地电阻有重要作用。地电阻有重要作用。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2525页页屏蔽布线安装工艺要求屏蔽布线安装工艺要求屏蔽层的续接密实、连续;屏蔽层的续接密实、连续;一个完全紧密的接地系统会提高屏蔽系统的一个完全紧密的接地系统会提高屏蔽系统的整体性能,降低接地电阻,并使其一直保持整体性能,降低接地电阻,并使其一直保持低于低于1欧姆的电阻值;欧姆的电阻值;每个配线架独立
22、接地;每个配线架独立接地;每个配线架只有一个接地点;每个配线架只有一个接地点;尽量缩短屏蔽线的开剥长度;尽量缩短屏蔽线的开剥长度;保持双绞线转弯时有大于线径保持双绞线转弯时有大于线径8倍的弯曲半径。倍的弯曲半径。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2626页页9.3.2 电子政务办公专网拓扑结构电子政务办公专网拓扑结构2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2727页页9.3.3 电子政务专网的安全体系结构电子政务专网的安全体系结构
23、2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2828页页9.4 网络存储技术方案网络存储技术方案多服务器集中存储远程灾难备份与恢复2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第2929页页9.4.1 多服务器集中存储多服务器集中存储面对多服务器存储管理,需要采用安全、可靠、稳定及低成本的IP存储技术方案。利用IPSAN自带的备份软件的实时或定时备份功能,能够实现备份工作自动化、制度化和全面化,为系统提供更高层次的安全保障和可靠性。多服务器集中存储
24、网络,使用H3C的S5100-24P-EI(提供24个1Gbit/s电口),连接Web网站、工作流计划系统、资源库、数据库、身份认证与审计系统、电子政务信息系统(数据库)等服务器的1Gbit/s网卡和EX1000S,组成IPSAN存储系统。EX1000S配置250GB的SATAII磁盘20块,采用RAID5+热补,可用存储容量4.5TB。服务器通过iSCSI驱动程序(免费),将数据集中到存储系统中。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3030页页多服务器集中存储拓扑结构多服务器集中存储拓扑结构 2009.220
25、09.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3131页页9.4.2 远程灾难备份与恢复远程灾难备份与恢复远程灾难备份与恢复技术支持在数据中心与灾难备份中心之间通过IP网络对关键业务数据进行策略性增量复制,实现数据的异地备份,并在发生意外灾难时对数据进行快速恢复,确保客户的业务持续性。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3232页页9.5 电子政务安全技术电子政务安全技术电子政务电子政务PKI部署部署 电子政务业务隔离电子政务业务隔离 电子政务业务互访电
26、子政务业务互访 电子政务安全通信电子政务安全通信 点对点的通信安全点对点的通信安全网络行为监管与审计网络行为监管与审计2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3333页页9.5.1 电子政务电子政务PKI部署部署PKI定义与作用定义与作用 PKI(Public Key Infrastructure,公钥基,公钥基础设施)是一种遵循既定标准的密钥管理平础设施)是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理签名等密码服务及
27、所必需的密钥和证书管理体系体系。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3434页页PKI定义与作用定义与作用PKI是提供公钥加密和数字签名服务的系统,是提供公钥加密和数字签名服务的系统,目的是为了自动管理密钥和证书,保证网上数目的是为了自动管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可字信息传输的机密性、真实性、完整性和不可否认性。否认性。PKI基于非对称公钥体制,采用数字证书管理基于非对称公钥体制,采用数字证书管理机制,可以为透明地为网上应用提供上述各种机制,可以为透明地为网上应用提供上述各
28、种安全服务,极大地保证了网上应用的安全性。安全服务,极大地保证了网上应用的安全性。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3535页页PKI组成与功能组成与功能uPKI系统可划分为四个功能区域,即核心安全区、审核管理区、在线服务区、本地审核受理点(LRA)区2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3636页页PKI功能结构功能结构uuPKIPKI系统功能采用三级架构。系统功能采用三级架构。系统功能采用三级架构。系统功能采用三级架构。20
29、09.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3737页页PKI的安全机制的安全机制安全平台能够提供智能化的信任与有效授权服务。其中,信任服务主要是解决在茫茫网海中如何确认“你是你、我是我、他是他”的问题。授权服务主要是解决在网络中“每个实体能干什么”的问题。例如,张三发送一个合约给李四,李四可要求张三进行数字签名。签名后的合约不仅李四可以验证其完整性,其他人也可以验证该合约确实是张三签发的。而所有的人,包括李四,都没有模仿张三签署这个合约的能力。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工
30、程规划教材世纪高等院校网络工程规划教材第第3838页页保密文件特性保密文件特性(1 1)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。)防假冒。通过数字签名进行身份认证。例例例例如如如如,某某某某用用用用户户户户自自自自己己己己申申申申请请请请了了了了证证证证书书书书(私私私私钥钥钥钥),获获获获得得得得了了了了数数数数字字字字标标标标识识识识,可可可可以以以以实实实实现现现现向向向向别别别别人人人人发发发发送送送送“数数数数字字字字签签签签名名名名”的的的的邮邮邮邮件件件件,别别别别人人人人就就就就可可可可以以以以判判判判断相关邮件
31、确实是该用户发送的。断相关邮件确实是该用户发送的。断相关邮件确实是该用户发送的。断相关邮件确实是该用户发送的。(2 2)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。)保密性。只有收件人才能解密查看。(3 3)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。)完整性。保证邮件没有被中途篡改。(4 4)不不不不可可可可否否否否认认认认性性性性。发发发发件件件件人人人人的的的的数数数数字字字字证证证证书书书书中中中中的的的的“私私私私钥钥钥钥”只只只只有有有有发发发发件件件件人人人人唯唯唯唯一
32、一一一拥拥拥拥有有有有,发发发发件件件件人人人人利利利利用用用用其其其其数数数数字字字字证证证证书书书书在在在在传传传传送送送送前前前前对对对对电电电电子子子子邮邮邮邮件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。件进行数字签名,发件人就无法否认发送过这个电子邮件。数字证书与加密数字证书与加密2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第3939页页数字证书应集成加密与签名的双重安全措施,以确保电子文数字证书应集
33、成加密与签名的双重安全措施,以确保电子文数字证书应集成加密与签名的双重安全措施,以确保电子文数字证书应集成加密与签名的双重安全措施,以确保电子文件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到件的真实性和保密性。对于企业或组织内部的邮件用户无需到InternetInternet上申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。上申请,可以由管理员统一发放和管理证书。正常情况下用户自己的证书中含有正常情况下用户自己
34、的证书中含有正常情况下用户自己的证书中含有正常情况下用户自己的证书中含有“私人密钥私人密钥私人密钥私人密钥”和和和和“公用密公用密公用密公用密钥钥钥钥”。“私钥私钥私钥私钥”只有用户自己拥有,而只有用户自己拥有,而只有用户自己拥有,而只有用户自己拥有,而“公钥公钥公钥公钥”是发放给大家是发放给大家是发放给大家是发放给大家的,别人拿到的用户的证书只含有的,别人拿到的用户的证书只含有的,别人拿到的用户的证书只含有的,别人拿到的用户的证书只含有“公钥公钥公钥公钥”数字证书与数字证书与S/MIME2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工
35、程规划教材第第4040页页非对称加密非对称加密 对对对对称称称称加加加加密密密密使使使使用用用用相相相相同同同同的的的的密密密密钥钥钥钥加加加加密密密密和和和和解解解解密密密密数数数数据据据据,它它它它的的的的主主主主要要要要困困困困难难难难是是是是密密密密钥钥钥钥必必必必须须须须在在在在保保保保密密密密通通通通信信信信涉涉涉涉及及及及双双双双方方方方之之之之间间间间传传传传递递递递。19761976年年年年,WhitfieldWhitfield DiffieDiffie和和和和MartinMartin HellmanHellman发发发发明明明明了了了了一一一一个个个个叫叫叫叫做做做做非非非
36、非对对对对称称称称(AsymmetricAsymmetric)或或或或公公公公共共共共密密密密钥(钥(钥(钥(Public-keyPublic-key)加密方法,作为对称加密的替换。加密方法,作为对称加密的替换。加密方法,作为对称加密的替换。加密方法,作为对称加密的替换。通通通通过过过过公公公公钥钥钥钥密密密密码码码码算算算算法法法法,通通通通常常常常是是是是RSARSA算算算算法法法法,能能能能生生生生成成成成一一一一对对对对密密密密钥钥钥钥A A和和和和B B。用用用用密密密密钥钥钥钥A A加加加加密密密密的的的的信信信信息息息息,只只只只能能能能由由由由密密密密钥钥钥钥B B才才才才能能
37、能能解解解解密密密密;同同同同样样样样用用用用密密密密钥钥钥钥B B加加加加密密密密的的的的信信信信息息息息,也也也也只只只只有有有有由由由由密密密密钥钥钥钥A A才才才才能能能能解解解解密密密密。为为为为了了了了应应应应用用用用,密密密密钥钥钥钥的的的的主主主主人人人人要要要要把把把把这这这这对对对对密密密密钥钥钥钥中中中中的的的的一一一一条条条条(密密密密钥钥钥钥A A)公公公公开开开开出出出出去去去去,交交交交给给给给其其其其他他他他人人人人,而而而而把把把把另另另另一一一一条条条条(密密密密钥钥钥钥B B)留留留留给给给给自自自自己己己己保保保保存存存存。习习习习惯惯惯惯上上上上把把把
38、把公公公公开开开开出出出出去去去去的的的的密密密密钥钥钥钥叫叫叫叫做做做做公公公公钥钥钥钥,而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。而留给自己保存的密钥叫做私钥。构构构构造造造造证证证证书书书书的的的的最最最最常常常常见见见见格格格格式式式式是是是是X.509v3X.509v3,由由由由ITUITU发发发发布布布布。X.509v3X.509v3证证证证书书书书包包包包含含含含的的的的信信信信息息息息:版版版版本本本本,序序序序列列列列号号号号,签签签签名名名名算算算算法法法法,发发发发出出出出者者者者姓姓姓姓名名名名,合合合合法法法法性性性性期
39、期期期限限限限,主主主主题题题题名名名名称称称称,主主主主题题题题公公公公共共共共密密密密钥钥钥钥数数数数据据据据,发发发发出出出出者者者者唯唯唯唯一一一一标标标标识识识识符符符符,主主主主题题题题唯唯唯唯一一一一标标标标识符和扩展。最后提供的信息是证书的数字签名,由发出者创建识符和扩展。最后提供的信息是证书的数字签名,由发出者创建识符和扩展。最后提供的信息是证书的数字签名,由发出者创建识符和扩展。最后提供的信息是证书的数字签名,由发出者创建 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4141页页邮件数字签名过程邮件
40、数字签名过程 当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中当用户向外发送邮件时,他首先使用一种单向分解函数从邮件中得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;得到固定长度的分解值,该值与邮件的内容相关,称为该邮件的指纹;然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥
41、进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解然后使用自己的私钥对指纹进行加密。接受者能使用他的公钥进行解密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送密,然后重新生成指纹进行比较。这样可以保证邮件是由他本人发送的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个过程称的而非假冒,同时也保证邮件在发送过程中没有被更改,这个
42、过程称为数字签名和核实。为数字签名和核实。为数字签名和核实。为数字签名和核实。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4242页页9.5.2 电子政务业务隔离电子政务业务隔离基于基于VLAN的业务隔离的业务隔离VLAN是在以太网的二层建立数据帧标签(FrameTag),使不同的标签数据帧通信被隔离。只有通过第三层交换,不同标签数据帧才可通信。在实际中,考虑到MAC地址易篡改和IP易盗用,电子政府分支部门(如县级工商局不同业务科室)多采用基于端口的VLAN。2009.22009.2人民邮电出版社人民邮电出版社2121
43、世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4343页页基于基于VPN的业务隔离的业务隔离 1.VPN技术要能够使得政务网内一个局域网的数据透明的穿过公用网到达另一个局域网,VPN采用了一种称之为隧道的技术。基于隧道的VPN网络 2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4444页页1.VPN技术技术根据根据根据根据ISOISO模型,模型,模型,模型,VPNVPN的主要协议如表所示。的主要协议如表所示。的主要协议如表所示。的主要协议如表所示。表VPN的主要协议标准 OSI模型安全技术安全协议应用层表示
44、层应用代理会话层传输层会话层代理SOCKSv5/SSL网络层数据链路层物理层包过滤IPSecPPTP/L2F/L2TP2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪高等院校网络工程规划教材第第4545页页3.VPN类型类型(1 1)Access VPNAccess VPN(远程访问虚拟专网)(远程访问虚拟专网)(远程访问虚拟专网)(远程访问虚拟专网)(2 2)Intranet Intranet VPNVPN(内部虚拟专网)(内部虚拟专网)(内部虚拟专网)(内部虚拟专网)(3 3)Extranet Extranet VPNVPN(扩展内部虚拟专网)(
45、扩展内部虚拟专网)(扩展内部虚拟专网)(扩展内部虚拟专网)该类型与传统的远程访该类型与传统的远程访该类型与传统的远程访该类型与传统的远程访问网络相对应。在问网络相对应。在问网络相对应。在问网络相对应。在Access VPNAccess VPN方式下,远端用户不需要通过方式下,远端用户不需要通过方式下,远端用户不需要通过方式下,远端用户不需要通过长途电话拨号到政府远程接入长途电话拨号到政府远程接入长途电话拨号到政府远程接入长途电话拨号到政府远程接入端口,而是拨号接入到用户本端口,而是拨号接入到用户本端口,而是拨号接入到用户本端口,而是拨号接入到用户本地的地的地的地的ISPISP,利用,利用,利用
46、,利用VPNVPN系统在公系统在公系统在公系统在公众网上建立一个从客户端到网众网上建立一个从客户端到网众网上建立一个从客户端到网众网上建立一个从客户端到网关的安全传输通道。关的安全传输通道。关的安全传输通道。关的安全传输通道。该类型与政府内部的该类型与政府内部的该类型与政府内部的该类型与政府内部的IntranetIntranet相对应。在相对应。在相对应。在相对应。在Intranet VPN Intranet VPN 方式方式方式方式下,政府两个异地机构的局域下,政府两个异地机构的局域下,政府两个异地机构的局域下,政府两个异地机构的局域网互连不租用专线,而是政府网互连不租用专线,而是政府网互连
47、不租用专线,而是政府网互连不租用专线,而是政府分支机构网络利用分支机构网络利用分支机构网络利用分支机构网络利用VPNVPN特性可特性可特性可特性可以在以在以在以在ChinaNETChinaNET上组建省、市上组建省、市上组建省、市上组建省、市和县范围内的和县范围内的和县范围内的和县范围内的Intranet VPNIntranet VPN。该类型与政府网和相关企业该类型与政府网和相关企业该类型与政府网和相关企业该类型与政府网和相关企业网、教育网所构成的网、教育网所构成的网、教育网所构成的网、教育网所构成的ExtranetExtranet相对应。该类型与相对应。该类型与相对应。该类型与相对应。该类
48、型与Intranet VPNIntranet VPN没有本质的区没有本质的区没有本质的区没有本质的区别,但由于是不同集团用户别,但由于是不同集团用户别,但由于是不同集团用户别,但由于是不同集团用户的网络相互通信,所以要更的网络相互通信,所以要更的网络相互通信,所以要更的网络相互通信,所以要更多的考虑设备的互连,地址多的考虑设备的互连,地址多的考虑设备的互连,地址多的考虑设备的互连,地址的协调,安全策略的协商等的协调,安全策略的协商等的协调,安全策略的协商等的协调,安全策略的协商等问题。问题。问题。问题。2009.22009.2人民邮电出版社人民邮电出版社2121世纪高等院校网络工程规划教材世纪
49、高等院校网络工程规划教材第第4646页页基于基于VPN的业务隔离的业务隔离 例如,市工商局下属有例如,市工商局下属有例如,市工商局下属有例如,市工商局下属有2 2个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相个工商所,工商所与局机关分别相距距距距6.2Km9.6Km6.2Km9.6Km。工商局和下属。工商局和下属。工商局和下属。工商局和下属2 2个所均建立了办公局域网,个所均建立了办公局域网,个所均建立了办公局域网,个所均建立了办公局域网,通过支持通过支持通过支持通过支持VPNVPN接口的防火墙连接电子政务城域网。工商所分接口的防火墙连接电子政务城域
50、网。工商所分接口的防火墙连接电子政务城域网。工商所分接口的防火墙连接电子政务城域网。工商所分支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络支网络与工商局网络分别建立安全隧道后,工商所分支网络可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安可以与工商局网络安全通信,工商所分支网络之间也可以安全通信。这样大大的减少了隧道的配置条数。全通信。这样大大的减少了隧道的配置条数。全通信。这样