信息安全技术 第7章 虚拟专用网
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
隧道协议、隧道协议下面的承载协议和 隧道协议所承载的被承载协议。
1. 隧道技术
三 VPN
有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络 协议,它主要应用于构建拨号VPN(access VPN); 另一种是三层隧道协议,用于传输三层网
的 主 要 技 术
络协议,它主要应用于构建内部网
VPN(Intranet VPN)和外联网VPN(Extranet
7
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●采用加密和认证技术,利用公共通信
网络设施的一部分来发送专用信息,为
相互通信的节点建立一个相对封闭的、
逻辑的专用网络
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●通常用于大型组织跨地域的各个机构 之间的联网信息交换,或是流动工作人 员与总部之间的通信;
共享基础设施,将客户、供应商、合作伙
伴或兴趣群体连接到企业内部网。企业拥
有与专用网络的相同政策,包括安全、服
务质量(QoS)、可管理性和可靠性。
7.1.3 VPN的分类
根据不同的需要,可以构造不同类型的 VPN。不同商业 环境对VPN的要求和VPN所起的作用不同。这里分三种情况 说明VPN的用途。 a. 内部 VPN :指在公司总部和其分支机构之间建立的 VPN;
Internet 隧道交换机
移动用户
VPN通道
图7.1 虚拟专用网
5
VPN技术是指在公共网络中建立专用网络,数据通过安
全的“加密管道”在公共网络中传播。企业只需要租用本地 的数据专线,连接上本地的公众信息网,各地的机构就可以
互相传递信息;同时,企业还可以利用公众信息网的拨号接入
设备,让自己的用户拨号到公众信息网上。就可以连接进入 企业网中。一使用VPN有节省成本、提供远程访问、扩展性
合作伙伴LAN
Internet 远程用户
子公司LAN
图7.2 VPN三种主要分类
31
内部网VPN
内部网是通过公共网络将某一个组织的各个分支机构的 LAN联结而成的网络。这种类型的LAN到LAN的联结所带来 的风险最小,因为公司通常认为他们的分支机构是可信的, 这种方式联结而成的网络被称为 Intranet ,可看作是公司网 络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候, 可以选择内部网 VPN 解决方案。安全性主要在于加强两个
3
7.1.1 什么是虚拟专用网?
随着企业网应用的不断扩大,企业网的范围也不断扩大, 从本地到跨地区、跨城市,甚至是跨国家的网络。但采用传 统的广域网建立企业专网,往往需要租用昂贵的跨地区数字
专线。同时公众信息网(Internet)已遍布各地,物理上各地的
公众信息网都是连通的,但公众信息网是对社会开放的,如 果企业的信息要通过公众信息网进行传输,在安全性上存在
第7章 虚拟专用网
本章概要
本章针对虚拟专用网技术展开讲述,内容包括: 虚拟专用网的作用; 虚拟专用网的分类方法; 虚拟专用网的工作原理;
虚拟专用网常用协议。
课程目标 通过本章的学习,读者应能够: 了解虚拟专用网的应用范围和分类; 了解虚拟专用网的工作原理。
2
7.1 虚拟专用网的基本概念
保证通道的机密性,提供强有力的加密手段,必须使偷听者不 能破解拦截到的通道数据;
提供动态密钥交换功能,提供密钥中心管理服务器,必须具备 防止数据重演(Replay)的功能,保证通道不能被重演; 提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻 击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
33
远程访问VPN
典型的远程访问VPN是用户通过本地的信息提供商(ISP) 登陆到 Internet 上,并在现在的办公室和公司内部网之间建 立一条加密通道。 有较高安全度的远程访问 VPN应能截获特定主机的信息 流,有加密、身份认证和过滤等功能。
远程访问VPN参见下页图7.4:
34
远程访问VPN
服 务 分 类
由器发起3种。通常用的最多的是通过ISP拨号
服务器发起的VPN,这种方式是通过PPTP/ L2TP协议来实现第二层的隧道封装。
1.拨号VPN
四
拨号VPN通过一个拥有与专用网络相同策
服 务 分 类
VPN
略的共享基础设施,提供对企业内部网或外部
网的远程访问。拨号VPN能使用户随时、随地 以其所需的方式访问企业资源。拨号VPN包括
VPN)。
1. 隧道技术
三
一个隧道的基本组成如图9.5所示,包括一个隧道启 动器、一个公共网络(Internet)和一个隧道终结器。
的 主 要 技 术
图9.5 隧道的基本组成
VPN
2. 加解密技术
三
数据通信中的加解密技术是一项 较成熟的技术, VPN 可直接利用现有 技术,如 DES 、 3-DES 、 MD5 、数字 签名技术等。
上接入客户的RADIUS服务器,以获得必要的用户配置文 件信息。
三 VPN
4. 身份鉴别技术
RADIUS的一个缺点是其登录的数 据无层次结构。另一种方案是采用轻量
Hale Waihona Puke Baidu
的 主 要 技 术
级目录接入协议LDAP(RFCl777),其特
点是登录的用户信息有层次结构,适合
于组织机构的用户数据的登录。
四 VPN
在根据安全策略进一步过滤。
外联网VPN参见下页图7.5:
36
外联网VPN
1、VPN服务应有详细的访问控制。 2、与防火墙/协议兼容。 VPN服务器 加密信道 VPN服务器
VPN
Internet 加密 认证 F T P 服 务 器
公 司 内 联 网
合 作 公 司 内 联 网
图7.5 外联网VPN拓扑图
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●只允许特定利益集团内建立对等连接,
保证在网络中传输的数据的保密性和安全
性。
一 虚 拟 专 用 网 概 述
其中虚拟(virtual)的概念是相对传统专用网 络的构建方式而言的,对于广域网连接,传统 的组网方式是通过远程拨号和专线连接来实现 的,而VPN是利用服务提供商(ISP或NSP)所提 供的公共网络来实现远程的广域连接,即网络
VPN
连接企业总部、远程办事处和分支机构,即利用
Internet的线路保证网络的互联性,而利用隧道、加 密等VPN特性可以保证信息在整个内部网VPN上安全传
输,从而使企业拥有与专用网络的相同政策,包括安
全、服务质量(QoS)、可管理性和可靠性。
2.内部网VPN
四 VPN
服 务 分 类
内部网VPN通常使用IPSec
拨号 VPN (access VPN)
服 务 分 类
VPN业务
内部网VPN (intranet VPN)
专线VPN
外联网VPN (extranet VPN)
1.拨号VPN
四 VPN 拨号VPN是指企业员工或企业的小分支机 构通过公网远程拨号的方式构筑的虚拟网。拨 号VPN根据隧道发起的方式又可分为由用户发 起、由ISP拨号服务器发起或由企业网远程路
着很多问题。那么,该如何利用现有的公众信息网建立安全
的企业专有网络呢?为了解决上述问题,人们提出了虚拟专 用网(VPN,Virtual Private Network)的概念。
4
VPN的基本概念
虚拟专用网VPN(Virtual Private Network)技术 是指在公共网络中建立专用网络,数据通过安全的 “加密管道”在公共网络中传播。
VPN的功能: 1、访问控制管理。2、用户身份认证。 3、数据加密。4、智能监视和审计记 录。5、密钥和数字签名管理。
加密信道
V P N 服 务 器
Internet
PC机 公 共 服 务 器 移动用户
总 部 L A N
图7.4 远程访问VPN拓扑图
35
外联网VPN
外联网 VPN为公司商业伙伴、客户和在远地的雇员提供 安全性。外联网VPN的主要目标是保证数据在传输过程中不 被修改,保护网络资源不受外部威胁。 外联网VPN应是一个由加密、认证和访问控制功能组成 的集成系统。通常将公司的VPN代理服务器放在一个不能穿 透的防火墙之后,防火墙阻止来历不明的信息传输。所有经 过过滤后的数据通过一个唯一的入口传到VPN服务器,VPN
模拟、拨号、ISDN、数字用户线路(xDSL)、
移动IP和电缆技术,能够安全地连接移动用户、
远程工作者或分支机构。
2.内部网VPN
四
内部网VPN即进行企业内部各分支机构的互联。利 用VPN技术可以在Internet上组建世界范围内的内部 网VPN,通过一个使用基于共享基础设施的虚拟专网,
服 务 分 类
4. 身份鉴别技术
三
为加强对使用者的鉴别管理,通常的解决方案是采用 远程身份验证拨入用户服务RADIUS(RFC2138、2139),它 是一个维护用户配置文件的数据库,能支持用户鉴别、 鉴权和计费(AAA-authentication,authorization,
的 主 要 技 术
VPN
accounting),代理RADIUS功能允许在ISP的接入点设备
VPN需要在跨越公用网络的两
个网络之间建立虚拟的专用隧道。 在隧道被初始化后,传送过程中 VPN数据的保密性和完整性通过加 密技术加以保护。
的 工 作 流 程
二 VPN
的 工 作 流 程
图9.4 基于IP的VPN网络的工作流程
三 VPN
目前VPN主要采用4项技术,分别
的 主 要 技 术
是隧道技术(tunneling)、加解密技术
协议来实现。
3. 外联网VPN
四 VPN 外联网VPN是指企业同客户、合作伙伴 的互联。利用VPN技术可以组建安全的外联 网(extranet),既可以向客户、合作伙伴提
服 务 分 类
供有效的信息服务,又可以保证自身内部网
络的安全。
3. 外联网VPN
四 VPN
外联网VPN通过一个使用专用连接的
服 务 分 类
(encryption & decryption)、密钥管
理技术(key management)、身份鉴别
技术(authentication)。
1. 隧道技术
三 VPN
网络隧道技术指的是利用一种网络
的 主 要 技 术
协议来传输另一种网络协议,它主要利
用网络隧道协议来实现这种功能。网络
隧道技术涉及了3种网络协议,即网络
b.远程访问 VPN:指在公司总部和远地雇员之间建立的
VPN; C. 外联网 VPN :指公司与商业伙伴、客户之间建立的 VPN。
30
VPN的分类及用途
内 部 网VPN——用VPN连接公司总部和其分支机构. 远程访问VPN——用VPN连接公司总部和远程用户. 外 联 网VPN——用VPN连接公司和其业务伙伴.
不是物理上独立存在的网络,而是利用共享的
通信基础设施仿真专用网络的设备。
一 虚 拟 专 用 网 概 述
专用(private)的含义是用户可以为自己制定 一个最符合自己需求的网络,使网内业务独立 于网外的业务流,且具有独立的寻址空间和路 由空间,而且使得用户获得等同于专用网络的
通信体验。 。
二 VPN
的 主 要 技 术
VPN
3. 密钥管理技术
三 VPN 密钥管理的主要任务是如何在公用数据网 中安全地传递密钥,而不被窃取。加解密算法
的 主 要 技 术
都离不开密钥,因此密钥管理技术也是很重要
的。
现行常用的密钥管理技术又可分为
SKIP(simple key management for IP)和 IPsec中的ISAKMP/Oakley两种。
37
7.2 VPN常用的协议
VPN常用的协议有SOCK v5、IPSec、PPTP以及 L2TP等。这些协议对应的OSI层次结构如下:
VPN服务器之间加密和认证的手段。
内部网VPN参见下页图7.3:
32
内部网VPN
VPN服务器 一个安全的VPN服务,应该为子 公司的不同用户指定不同的访问 权限。 VPN Internet 路由器 加密 认证 总 部 L A N 子 公 司 L A N 路由器
加密信道 VPN服务器
图7.3 内部网VPN拓扑图
强、便于管理和实现全面控制等好处,是企业网络发展的趋
势。
6
7.1.2VPN的功能.
虚拟专网的重点在于建立安全的数据通道,构造这条安全 通道的协议必须具备以下条件:保证数据的真实性,通信主机 必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力; 保证数据的完整性,接收到的数据必须与发送时的一致,要有 抵抗不法分子篡改数据的能力;
1. 隧道技术
三 VPN
有两种类型的隧道协议:
一种是二层隧道协议,用于传输二层网络 协议,它主要应用于构建拨号VPN(access VPN); 另一种是三层隧道协议,用于传输三层网
的 主 要 技 术
络协议,它主要应用于构建内部网
VPN(Intranet VPN)和外联网VPN(Extranet
7
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●采用加密和认证技术,利用公共通信
网络设施的一部分来发送专用信息,为
相互通信的节点建立一个相对封闭的、
逻辑的专用网络
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●通常用于大型组织跨地域的各个机构 之间的联网信息交换,或是流动工作人 员与总部之间的通信;
共享基础设施,将客户、供应商、合作伙
伴或兴趣群体连接到企业内部网。企业拥
有与专用网络的相同政策,包括安全、服
务质量(QoS)、可管理性和可靠性。
7.1.3 VPN的分类
根据不同的需要,可以构造不同类型的 VPN。不同商业 环境对VPN的要求和VPN所起的作用不同。这里分三种情况 说明VPN的用途。 a. 内部 VPN :指在公司总部和其分支机构之间建立的 VPN;
Internet 隧道交换机
移动用户
VPN通道
图7.1 虚拟专用网
5
VPN技术是指在公共网络中建立专用网络,数据通过安
全的“加密管道”在公共网络中传播。企业只需要租用本地 的数据专线,连接上本地的公众信息网,各地的机构就可以
互相传递信息;同时,企业还可以利用公众信息网的拨号接入
设备,让自己的用户拨号到公众信息网上。就可以连接进入 企业网中。一使用VPN有节省成本、提供远程访问、扩展性
合作伙伴LAN
Internet 远程用户
子公司LAN
图7.2 VPN三种主要分类
31
内部网VPN
内部网是通过公共网络将某一个组织的各个分支机构的 LAN联结而成的网络。这种类型的LAN到LAN的联结所带来 的风险最小,因为公司通常认为他们的分支机构是可信的, 这种方式联结而成的网络被称为 Intranet ,可看作是公司网 络的扩展。 当一个数据传输通道的两个端点被认为是可信的时候, 可以选择内部网 VPN 解决方案。安全性主要在于加强两个
3
7.1.1 什么是虚拟专用网?
随着企业网应用的不断扩大,企业网的范围也不断扩大, 从本地到跨地区、跨城市,甚至是跨国家的网络。但采用传 统的广域网建立企业专网,往往需要租用昂贵的跨地区数字
专线。同时公众信息网(Internet)已遍布各地,物理上各地的
公众信息网都是连通的,但公众信息网是对社会开放的,如 果企业的信息要通过公众信息网进行传输,在安全性上存在
第7章 虚拟专用网
本章概要
本章针对虚拟专用网技术展开讲述,内容包括: 虚拟专用网的作用; 虚拟专用网的分类方法; 虚拟专用网的工作原理;
虚拟专用网常用协议。
课程目标 通过本章的学习,读者应能够: 了解虚拟专用网的应用范围和分类; 了解虚拟专用网的工作原理。
2
7.1 虚拟专用网的基本概念
保证通道的机密性,提供强有力的加密手段,必须使偷听者不 能破解拦截到的通道数据;
提供动态密钥交换功能,提供密钥中心管理服务器,必须具备 防止数据重演(Replay)的功能,保证通道不能被重演; 提供安全防护措施和访问控制,要有抵抗黑客通过VPN通道攻 击企业网络的能力,并且可以对VPN通道进行访问控制(Access Control)。
33
远程访问VPN
典型的远程访问VPN是用户通过本地的信息提供商(ISP) 登陆到 Internet 上,并在现在的办公室和公司内部网之间建 立一条加密通道。 有较高安全度的远程访问 VPN应能截获特定主机的信息 流,有加密、身份认证和过滤等功能。
远程访问VPN参见下页图7.4:
34
远程访问VPN
服 务 分 类
由器发起3种。通常用的最多的是通过ISP拨号
服务器发起的VPN,这种方式是通过PPTP/ L2TP协议来实现第二层的隧道封装。
1.拨号VPN
四
拨号VPN通过一个拥有与专用网络相同策
服 务 分 类
VPN
略的共享基础设施,提供对企业内部网或外部
网的远程访问。拨号VPN能使用户随时、随地 以其所需的方式访问企业资源。拨号VPN包括
VPN)。
1. 隧道技术
三
一个隧道的基本组成如图9.5所示,包括一个隧道启 动器、一个公共网络(Internet)和一个隧道终结器。
的 主 要 技 术
图9.5 隧道的基本组成
VPN
2. 加解密技术
三
数据通信中的加解密技术是一项 较成熟的技术, VPN 可直接利用现有 技术,如 DES 、 3-DES 、 MD5 、数字 签名技术等。
上接入客户的RADIUS服务器,以获得必要的用户配置文 件信息。
三 VPN
4. 身份鉴别技术
RADIUS的一个缺点是其登录的数 据无层次结构。另一种方案是采用轻量
Hale Waihona Puke Baidu
的 主 要 技 术
级目录接入协议LDAP(RFCl777),其特
点是登录的用户信息有层次结构,适合
于组织机构的用户数据的登录。
四 VPN
在根据安全策略进一步过滤。
外联网VPN参见下页图7.5:
36
外联网VPN
1、VPN服务应有详细的访问控制。 2、与防火墙/协议兼容。 VPN服务器 加密信道 VPN服务器
VPN
Internet 加密 认证 F T P 服 务 器
公 司 内 联 网
合 作 公 司 内 联 网
图7.5 外联网VPN拓扑图
VPN实际上是一种服务,其基本概念如下所述:
一 虚 拟 专 用 网 概 述
●只允许特定利益集团内建立对等连接,
保证在网络中传输的数据的保密性和安全
性。
一 虚 拟 专 用 网 概 述
其中虚拟(virtual)的概念是相对传统专用网 络的构建方式而言的,对于广域网连接,传统 的组网方式是通过远程拨号和专线连接来实现 的,而VPN是利用服务提供商(ISP或NSP)所提 供的公共网络来实现远程的广域连接,即网络
VPN
连接企业总部、远程办事处和分支机构,即利用
Internet的线路保证网络的互联性,而利用隧道、加 密等VPN特性可以保证信息在整个内部网VPN上安全传
输,从而使企业拥有与专用网络的相同政策,包括安
全、服务质量(QoS)、可管理性和可靠性。
2.内部网VPN
四 VPN
服 务 分 类
内部网VPN通常使用IPSec
拨号 VPN (access VPN)
服 务 分 类
VPN业务
内部网VPN (intranet VPN)
专线VPN
外联网VPN (extranet VPN)
1.拨号VPN
四 VPN 拨号VPN是指企业员工或企业的小分支机 构通过公网远程拨号的方式构筑的虚拟网。拨 号VPN根据隧道发起的方式又可分为由用户发 起、由ISP拨号服务器发起或由企业网远程路
着很多问题。那么,该如何利用现有的公众信息网建立安全
的企业专有网络呢?为了解决上述问题,人们提出了虚拟专 用网(VPN,Virtual Private Network)的概念。
4
VPN的基本概念
虚拟专用网VPN(Virtual Private Network)技术 是指在公共网络中建立专用网络,数据通过安全的 “加密管道”在公共网络中传播。
VPN的功能: 1、访问控制管理。2、用户身份认证。 3、数据加密。4、智能监视和审计记 录。5、密钥和数字签名管理。
加密信道
V P N 服 务 器
Internet
PC机 公 共 服 务 器 移动用户
总 部 L A N
图7.4 远程访问VPN拓扑图
35
外联网VPN
外联网 VPN为公司商业伙伴、客户和在远地的雇员提供 安全性。外联网VPN的主要目标是保证数据在传输过程中不 被修改,保护网络资源不受外部威胁。 外联网VPN应是一个由加密、认证和访问控制功能组成 的集成系统。通常将公司的VPN代理服务器放在一个不能穿 透的防火墙之后,防火墙阻止来历不明的信息传输。所有经 过过滤后的数据通过一个唯一的入口传到VPN服务器,VPN
模拟、拨号、ISDN、数字用户线路(xDSL)、
移动IP和电缆技术,能够安全地连接移动用户、
远程工作者或分支机构。
2.内部网VPN
四
内部网VPN即进行企业内部各分支机构的互联。利 用VPN技术可以在Internet上组建世界范围内的内部 网VPN,通过一个使用基于共享基础设施的虚拟专网,
服 务 分 类
4. 身份鉴别技术
三
为加强对使用者的鉴别管理,通常的解决方案是采用 远程身份验证拨入用户服务RADIUS(RFC2138、2139),它 是一个维护用户配置文件的数据库,能支持用户鉴别、 鉴权和计费(AAA-authentication,authorization,
的 主 要 技 术
VPN
accounting),代理RADIUS功能允许在ISP的接入点设备
VPN需要在跨越公用网络的两
个网络之间建立虚拟的专用隧道。 在隧道被初始化后,传送过程中 VPN数据的保密性和完整性通过加 密技术加以保护。
的 工 作 流 程
二 VPN
的 工 作 流 程
图9.4 基于IP的VPN网络的工作流程
三 VPN
目前VPN主要采用4项技术,分别
的 主 要 技 术
是隧道技术(tunneling)、加解密技术
协议来实现。
3. 外联网VPN
四 VPN 外联网VPN是指企业同客户、合作伙伴 的互联。利用VPN技术可以组建安全的外联 网(extranet),既可以向客户、合作伙伴提
服 务 分 类
供有效的信息服务,又可以保证自身内部网
络的安全。
3. 外联网VPN
四 VPN
外联网VPN通过一个使用专用连接的
服 务 分 类
(encryption & decryption)、密钥管
理技术(key management)、身份鉴别
技术(authentication)。
1. 隧道技术
三 VPN
网络隧道技术指的是利用一种网络
的 主 要 技 术
协议来传输另一种网络协议,它主要利
用网络隧道协议来实现这种功能。网络
隧道技术涉及了3种网络协议,即网络
b.远程访问 VPN:指在公司总部和远地雇员之间建立的
VPN; C. 外联网 VPN :指公司与商业伙伴、客户之间建立的 VPN。
30
VPN的分类及用途
内 部 网VPN——用VPN连接公司总部和其分支机构. 远程访问VPN——用VPN连接公司总部和远程用户. 外 联 网VPN——用VPN连接公司和其业务伙伴.
不是物理上独立存在的网络,而是利用共享的
通信基础设施仿真专用网络的设备。
一 虚 拟 专 用 网 概 述
专用(private)的含义是用户可以为自己制定 一个最符合自己需求的网络,使网内业务独立 于网外的业务流,且具有独立的寻址空间和路 由空间,而且使得用户获得等同于专用网络的
通信体验。 。
二 VPN
的 主 要 技 术
VPN
3. 密钥管理技术
三 VPN 密钥管理的主要任务是如何在公用数据网 中安全地传递密钥,而不被窃取。加解密算法
的 主 要 技 术
都离不开密钥,因此密钥管理技术也是很重要
的。
现行常用的密钥管理技术又可分为
SKIP(simple key management for IP)和 IPsec中的ISAKMP/Oakley两种。
37
7.2 VPN常用的协议
VPN常用的协议有SOCK v5、IPSec、PPTP以及 L2TP等。这些协议对应的OSI层次结构如下:
VPN服务器之间加密和认证的手段。
内部网VPN参见下页图7.3:
32
内部网VPN
VPN服务器 一个安全的VPN服务,应该为子 公司的不同用户指定不同的访问 权限。 VPN Internet 路由器 加密 认证 总 部 L A N 子 公 司 L A N 路由器
加密信道 VPN服务器
图7.3 内部网VPN拓扑图
强、便于管理和实现全面控制等好处,是企业网络发展的趋
势。
6
7.1.2VPN的功能.
虚拟专网的重点在于建立安全的数据通道,构造这条安全 通道的协议必须具备以下条件:保证数据的真实性,通信主机 必须是经过授权的,要有抵抗地址冒认(IPSpoofing)的能力; 保证数据的完整性,接收到的数据必须与发送时的一致,要有 抵抗不法分子篡改数据的能力;