eg电子政务安全技术

电子政务安全技术案例国外2004年专门针对美国政府网站的非法入侵事件就发生了5．4万件，2005年升至7．9万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门，其中以国防部最为严重，在2004年达到1300多次，而2005年平均每天要受到计算机黑客7次攻击。面对越来越严峻的网络安全形势，美国军界和政界对黑客采取了长期的招安策略，设立专门机构纳入作战序列，聘请他们为政府和军方工作，并通过演习和训练来进行网络防御以及对付国外势力的网上渗透活动，甚至在必要的情况下执行进攻和摧毁敌方系统的重任。案例国内2005年3月，四川省公安厅网监处查获一起攻击政府机关网站、在网站主页张贴色情图片的案件；2005年4月9日，陕西省公安厅网站首页被修改，内容全是反日的激进言论，在内容页中，黑客甚至胆大到留下自己的QQ号码；2005年11月1日，山西省清徐县政府网站被黑客攻击，自称“圣贤居士”的黑客，在篡改了网站头条新闻和网站公告后，发布声明称：本站存在严重安全漏洞，且密码过于简单，希望网站与他联系……2006年11月6日，国家公务员报考确认期间，河南省人事厅网站的网上确认程序突然中断，省人事厅考试中心发出紧急通知：由于网络出现异常，网上确认改为现场确认。无独有偶，仅几日之后，郑州市司法局网站被“黑”。时间再退到两个多月前，省卫生厅网站也遭遇“黑”手。中国政府网站被黑

国外Ashiyane组织

全名叫

<

数字化的网络安全>

电子政务安全的基本要求术语定义保密性认证性完整性可访问性防御性不可否认性合法性保持个人的、专用的和高度敏感数据的机密确认通信双方的合法身份保证所有存储和管理的信息不被篡改保证系统、数据和服务能由合法的人员访问能够阻挡不希望的信息或黑客防止通信双方对已进行业务的否认保证各方的业务符合可适用的法律和法规技术对策

防火墙技术信息加密技术安全认证技术防火墙技术防火墙概述实现防火墙的主要技术防火墙（Firewall）的定义：——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。防火墙——隔离内部网和Internet的有效安全机制

防火墙应具备的条件:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙构筑防火墙之之前，需要制制定一套有效效的安全策略略防火墙的策略略防火墙设计策策略一切未被允许许的就是禁止止的——安全性好好，但是用户户所能使用的的服务范围受受到严格限制制。一切未被禁止止的都是允许许的——可以为用用户提供更多多的服务，但但是在日益增增多的网络服服务面前，很很难为用户提提供可靠的安安全防护。第一种的特点点是安全但不不好用，第二二种是好用但但不安全，而而多数防火墙墙都在两者之之间采取折衷衷。包过滤型（PacketFilter）代理服务器型型（ProxyService）实现防火墙的的主要技术网络层链路层外部网络内部网络包过滤技术是是在网络层中中对数据包实实施有选择择的通过7应用层6表示示层

5会会话层4传输层层

3网网络层2数据链路路层

1物物理层基本思想对于每个进来来的包适用一一组规则，然然后决定转发发或丢弃该包包包过滤技术判断依据：数据包协议类类型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目的的端口：FTP、TELNET、、HTTP等IP选项：源路由由、记录路由由等TCP选项：SYN、ACK、FIN、RST等数据包流向：in或out数据包流经网网络接口：eth0、eth1包过滤技术应应用实例规则方向源地址目的地址动作A出内部网络拒绝B入内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释A入外部*E-MAIL25拒绝不信任B出****允许允许包过滤技术的的特点优点：逻辑简单，速速度快；与应用层无关关，无须改动动任何客户机机和主机上的的应用程序，，易于安装和和使用。缺点：配置基于包过过滤方式的防防火墙，需要要对IP、TCP、UDP、、ICMP等各种协议有有深入的了解解；允许外部客户户和内部主机机的直接连接接；不提供用户的的鉴别机制。。基本思想代理服务器是是运行在防火火墙主机上的的一些特定的的应用程序或或者服务器程程序。这些程序将用用户对互联网网络的服务请请求依据已制制定的安全规规则向外提交交，代理服务务替代了用户户与互联网络络的直接连接接。代理服务器也也称为应用层网关。。代理服务器技技术代理服务器作作用在应用层层，当内部计计算机与外部部主机连结时时，将由代理理服务器（ProxyServer）担任内部计计算机与外部部主机的连结结中继者。应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp代理服务器的的特点优点：易于配置，界界面友好透明性——““直接”访问问Internet的假象不允许内外网网主机的直接接连接可以实现基于于用户的认证证可以提供比包包过滤更详细细的日志记录录可以隐藏内部部IP地址可以与认证、、授权等安全全手段方便的的集成缺点：代理速度比包包过滤慢新的服务不能能及时地被代代理每个被代理的的服务要求专专门的代理软软件有些服务要求求建立直接连连接，无法使使用代理密码安全———通信安全的的最核心部分分信息加密技术术信息加密技术术的基本概念念。对称密钥加密密算法非对称密钥加加密算法。信息加密技术术的基本概念念信息加密的术术语：加密（Encryption)：用某种方法伪伪装消息以隐隐藏它的内容容的过程明文（plaintext)：作为加密输入入的原始信息息密文（ciphertext)：明文变换结果果加密算法：变换函数（是是加密和解密密的计算方法法）；密钥（key)：参与变换的参参数加解密过程示示意图*23信息加密的例例子：例：原信息为为：Howareyou加密后为：LSAEVICSY原文密文在实际加密过过程中，算法法是不变的，，但密钥是变变化的----加密技术术的关键是密密钥？若密钥4换成成7，结果会会怎么样呢？abcd..………wxyzEFGH……….ABCD将上述两组字字母分别对应应，即差4个个字母，这条条规则就是加密算法，其中的4为密钥。Alice加密机解密机Bob安全信道密钥源Oscarxyxk信息加密的目目的：Alice和Bob两个人在不安安全的信道上上进行通信，，而破译者Oscar不能理解他们们通信的内容容。Bob能够验证接收收到的信息是是Alice发出的，且没没被篡改过。。（认证）密码学的起源源隐写术(steganography)英文含义为——Coveredwriting通过隐藏消息息的存在来保护消息，，通常将秘密密消息隐藏于于其它消息中中。语言隐写术藏头诗、字符符格式的变化化技术隐写术隐形墨水、牛牛奶、图象、、程序等有趣的密码技技术Phaistos圆盘，一种直直径约为160mm的Cretan-Mnoan粘土圆盘，始始于公元前17世纪。表表面有明显字字间空格的字字母，至今还还没有破解。。有趣的密码技技术公元前5世纪纪——SpartanScytale斯巴达人用于于加解密的一一种军事设备备发送者把一条条羊皮螺旋形形地缠在一个个圆柱形棒上上，再写上传递递给他人的信信息；而信息息的接收者只只需要有根同同等尺径的棍棍子，收到皮皮革后再将皮皮革裹到棍子子上就可以读读出原始信息息。思想：置换（（permutation)有趣的密码技技术（续）希腊密码二二维字母编码码查表公元元前2世纪例：NantongUniversity3311334443332254332451154243244454有趣的密码技技术（续）恺撒密码：将将字母循环前前移k位明文：NantongUniversity密文：sfsyutmZsnajwxnyd例如k=5时对应关系如如下：常用对称密钥钥加密算法DES、IDEA、AES算法等对称密钥加密密技术对称密钥算法法（symmetriccipher)：加密密钥和解解密密钥相同同。又称秘密密钥算法。信息加密算法法对称密钥加密密算法——DES算法DES（DataEncryptionStandard）——数据加密密标准，是一一种分组密码码算法，是最通用的计计算机加密算算法。分组密码体制

DES的产生1972年，美国国家家标准局（NBS）征集满足下列列条件的标准准加密算法：：1974年8月27日，，IBM提交了算法LUCIFER，该算法由IBM的工程师在1971~1972年改改进1975年3月17日，，NBS公开了全部细细节1976年，，NBS指派了两个小小组进行评价价1976年11月23日日，采纳为联联邦标准，批批准用于非军军事场合的各各种政府机构构1977年1月15日，，正式确定为为美国的统一一数据加密标标准DES输入64位明文数据初始置换IP在密钥控制下16轮迭代初始逆置换IP-1输出64比特密文数据DES算法框图交换左右32位DES加密的数据流流程明文分组：64位密钥长度：64位，其中中8位为奇偶偶校验位，真真正起密钥作作用的是56位初始置换IP和初始逆置换换IP—1关于DES的讨论DES的强度除了用穷举搜搜索法对DES算法进行攻击击外，还没有有发现更有效效的办法。密钥长度的争争论关于DES算法的另一个个最有争议的的问题就是担担心实际56比特的密钥长长度不足以抵抵御穷举式攻攻击，因为密密钥量只有个个。。关于DES的评价1997年1月28日，，美国的RSA数据安全公司司公布了一项项“秘密密钥钥挑战”竞赛赛，其中包括括悬赏1万美美元破译密钥钥长度为56比特的DES。美国克罗拉多多洲的程序员员Verser从1997年年2月18日日起，用了96天时间，，在Internet上数万名志愿愿者的协同工工作下成功破破译。1998年7月，电子前沿基金金会（EFF）使用一台25万美元的电脑在56小时内破译译了56比特特密钥的DES。1999年1月，RSA数据安全会议议期间，电子子前沿基金会会用22小时时15分钟就就宣告破解了了一个DES的密钥。公开密钥加密密技术对称密钥算法法：加密密钥和解解密密钥一样样公开密钥算法法：加密和解密使使用的是两个个不同的密钥钥，也称为非对称密钥算算法。公开密钥（publickey)，简称公钥，是公开的，可以公公布在网上上，也可以以公开传递递给需要的的人；私人密钥（（privatekey)，简称私钥，是保密的，只有本人知知道。公钥加密体体制的基本本概念公钥技术是是二十世纪纪最伟大的的思想之一一改变了密钥钥分发的方方式。公钥加密的的基本思想想：利用求解某某些数学难难题的困难难性。单向函数：单项函数计计算起来相相对容易，，但求逆却却非常困难难。RSA算法1977年年由Rivest、Shamir和Adleman在麻省理工工学院发明，1978年公公布。应用最广泛泛的公钥密密码算法RSA算法的理论论基础：大数分解：：两个大素数数相乘在计计算上是容容易实现的的，但将该该乘积分解解为两个大大素数因子子的计算量量却相当巨巨大。素数检测：：素数检测就就是判定一一个给定的的正整数是是否为素数数。RSA算法Euler定理（欧拉拉定理）：a、r是两个互素素的正整数数，则az≡1（modr），其中z为与r互素且不大大于r的正整数的的个数（即即Euler数,(r)）。例如：两个个互素的正正整数a=2、r=5，欧拉数z为4，则2的4次方方=16，，对5取模模等于1。。RSA算法的生成成步骤：设计密钥，，生成密文文，恢复明明文RSA算法举例：：（1）若Bob选择了p=11和q＝13（2）那么，n=11××13=143,(n)=10×12＝120；（3）再选取一个个与z=120互质的数,例如e=7(称为“公开指数”),（4）找到一个值d=103(称为"秘密密指数")满足e×d=1modz（7×103=721除以120余1）（5）（143,7）为公钥，（（143，，103））为私钥。。（6）Bob在一个目录录中公开公公钥：n=143和e=7（7）现假设Alice想发送明文文85给Bob，她已经从公开开媒体得得到了Bob的公开密钥钥(n,e)=(143,7),于是计算：857(mod143)=123，，且在一个信信道上发送送密文123。（8）当Bob接收到密文文123时时，他用他他的秘密解解密指数（（私钥）d＝103进行解密：：123103（mod143)=85RSA的安全性RSA的安全性是是基于加密密函数ek(x)=xe(modn)是一个单向向函数，所所以对攻击击的人来说说求逆计算算不可行。。攻破RSA等价于多项项式的分解解只要n足够大，例如，有512比特，或1024比特甚至2048比特，任何人只知知道公开密密钥(n，e)，，很难算出秘秘密密钥(n，d)。其困难在在于从乘积积n难以找出它它的两个巨巨大的质数数因子。RSA的安全性整数n的十进制位位数因因子分解解的运算次次数所所需计计算时间（（每微秒一一次）501.4x10103.9小时759.0x1012104天1002.3x101574年2001.2x10233.8x109年3001.5x10294.0x1015年5001.3x10394.2x1025年对RSA的攻击方法法：强力攻击（（穷举法））——尝试试所有可能能的私有密密钥数学分析攻攻击——各各种数学方方法，等价价于两个素素数乘积的的因子分解解RSA的安全性1977年年,《科学学美国人》》悬赏征求求分解一个个129位位十进数(426比比特),直直至1994年4月月,才由包包括5大洲洲43个国国家600多人参加加，用1600台机机器同时产产生820条指令数数据，通过过Internet网，耗时8个月，利利用二次筛筛选法分解解出64位位和65位位的两个因因子，原来来估计要用用4亿亿年年。这是有有史以来最最大规模的的数学运算算。RSA的安全性1999.8.22，荷兰H.Riele领导的一群群来自6个个国家的数学家和计算机科科学家耗时时7个月并并动用292台计算算机，破解解了RSA—155（512-bit）加密系统的的数字密码码。512-bitRSA在电子商务务中所占的的比例为95%*46政府工作文文件是根据据亲笔签名名或印章来来证明具真真实性的，，但在网络络传送的文文件又如何何签名盖章章呢?安全认证技技术安全认证技技术要解决决的问题数字签名数字签名的的基本原理理。RSA数字签名技技术。信息加密技术解解决信息的的保密性问问题，对于于鉴别信源源和发送信信息的完整整性则可以以用信息认证技技术加以解决。。在某些情情况下，信信息认证显显得比信息息保密更为为重要。数字签名(DigitalSignature):指发送者根根据消息产产生摘要，，并对摘要要用自身的的签名私钥钥进行加密密。这就形形成了数字字签名。数字签名的定义数字签名与与手工签名名的区别数字签名———数字的，因因消息而异异手工签名———模拟的，因因人而异数字签名的的基本原理理RSA算法不仅可可用于信息息加密，还可用于数数字签名。。RSA数字签名技技术老张小李密文小李的公开开密匙小李的私有有密匙用RSA加密,只有小李能能解开该信信息用RSA认证,只有老张能能发出该信信息老张的私有有密匙老张小李老张的公开开密匙密文认证加密相同点RSA签名和RSA加密的异同同点都使用一对对密钥：公公钥和私钥钥不同点RSA加密：用（（对方）公公钥加密，，用（自己己）私钥解解密RSA签名：用（自己））私钥签名名，用（对对方）公钥钥验证RSA签名名举举例例（1））若若Bob选择择了了p=11和q＝＝13（2））那么么，，n=11××13=143,(n)=10××12＝＝120（3））再选选取取一一个个与与z=120互质质的的数数,例如如e=7（4））找到到一个个值值d=103满足足e××d=1modz（7××103=721除以以120余余1）（5））（（143,7））为公公钥钥，，（（143，，103））为为私私钥钥。。（6））Bob在一一个个目目录录中中公公开开公公钥钥：：n=143和e=7（7））现假假设设Bob想发发送送消消息息85给给Alice，，他用用自自己己的的密密钥钥（（d=103））进行行签签名名：：85103(mod143)=6，，于是是发发送送消消息息85和和签签名名6给给Al