eg电子政务安全技术

电子政务安全技术案例国外2004年专门针对美国政府网站的非法入侵事件就发生了5．4万件，2005年升至7．9万件。被入侵的政府网站包括国防部、国务院、能源部、国土安全部等重要政府职能部门，其中以国防部最为严重，在2004年达到1300多次，而2005年平均每天要受到计算机黑客7次攻击。面对越来越严峻的网络安全形势，美国军界和政界对黑客采取了长期的招安策略，设立专门机构纳入作战序列，聘请他们为政府和军方工作，并通过演习和训练来进行网络防御以及对付国外势力的网上渗透活动，甚至在必要的情况下执行进攻和摧毁敌方系统的重任。案例国内2005年3月，四川省公安厅网监处查获一起攻击政府机关网站、在网站主页张贴色情图片的案件；2005年4月9日，陕西省公安厅网站首页被修改，内容全是反日的激进言论，在内容页中，黑客甚至胆大到留下自己的QQ号码；2005年11月1日，山西省清徐县政府网站被黑客攻击，自称“圣贤居士”的黑客，在篡改了网站头条新闻和网站公告后，发布声明称：本站存在严重安全漏洞，且密码过于简单，希望网站与他联系……2006年11月6日，国家公务员报考确认期间，河南省人事厅网站的网上确认程序突然中断，省人事厅考试中心发出紧急通知：由于网络出现异常，网上确认改为现场确认。无独有偶，仅几日之后，郑州市司法局网站被“黑”。时间再退到两个多月前，省卫生厅网站也遭遇“黑”手。中国政府网站被黑

国外Ashiyane组织

全名叫

<

数字化的网络安全>

电子政务安全的基本要求术语定义保密性认证性完整性可访问性防御性不可否认性合法性保持个人的、专用的和高度敏感数据的机密确认通信双方的合法身份保证所有存储和管理的信息不被篡改保证系统、数据和服务能由合法的人员访问能够阻挡不希望的信息或黑客防止通信双方对已进行业务的否认保证各方的业务符合可适用的法律和法规技术对策

防火墙技术信息加密技术安全认证技术防火墙技术防火墙概述实现防火墙的主要技术防火墙（Firewall）的定义：——防火墙是用来限制被保护的网络与互联网络之间，或者与其他网络之间相互进行信息存取、传递操作的部件或部件集。防火墙——隔离内部网和Internet的有效安全机制

防火墙应具备的条件:内部和外部之间的所有网络数据流必须经过防火墙只有符合安全策略的数据流才能通过防火墙构筑防火墙墙之前，需需要制定一一套有效的的安全策略略防火墙的策策略防火墙设计计策略一切未被允允许的就是是禁止的——安全性性好，但是是用户所能能使用的服服务范围受受到严格限限制。一切未被禁禁止的都是是允许的——可以为为用户提供供更多的服服务，但是是在日益增增多的网络络服务面前前，很难为为用户提供供可靠的安安全防护。。第一种的特特点是安全全但不好用用，第二种种是好用但但不安全，，而多数防防火墙都在在两者之间间采取折衷衷。包过滤型（（PacketFilter）代理服务器器型（ProxyService）实现防火墙墙的主要技技术网络层链路层外部网络内部网络包过滤技术术是在网络络层中对数数据包实实施有选择择的通过7应用层层

6表表示层5会会话层4传输输层3网络层层

2数数据链路路层1物理层层基本思想对于每个进进来的包适适用一组规规则，然后后决定转发发或丢弃该该包包过滤技术术判断依据：：数据包协议议类型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目目的端口：：FTP、TELNET、HTTP等IP选项：源路路由、记录录路由等TCP选项：SYN、ACK、FIN、RST等数据包流向：in或out数据包流经经网络接口口：eth0、、eth1包过滤技术术应用实例例规则方向源地址目的地址动作A出内部网络拒绝B入内部网络拒绝按地址按服务规则方向源地址源端口目的地址目的端口动作注释A入外部*E-MAIL25拒绝不信任B出****允许允许包过滤技术术的特点优点：逻辑简单，，速度快；；与应用层无无关，无须须改动任何何客户机和和主机上的的应用程序序，易于安安装和使用用。缺点：配置基于包包过滤方式式的防火墙墙，需要对对IP、TCP、UDP、ICMP等各种协议议有深入的的了解；允许外部客客户和内部部主机的直直接连接；；不提供用户户的鉴别机机制。基本思想代理服务器器是运行在在防火墙主主机上的一一些特定的的应用程序序或者服务务器程序。。这些程序将将用户对互互联网络的的服务请求求依据已制制定的安全全规则向外外提交，代代理服务替替代了用户户与互联网网络的直接接连接。代理服务器器也称为应用层网关关。代理服务器器技术代理服务器器作用在应应用层，当当内部计算算机与外部部主机连结结时，将由由代理服务务器（ProxyServer）担任内部部计算机与与外部主机机的连结中中继者。应用层运输层外部网络内部网络链路层网络层HTTPFTPTelnetSmtp代理服务器器的特点优点：易于配置，，界面友好好透明性———“直接””访问Internet的假象不允许内外外网主机的的直接连接接可以实现基基于用户的的认证可以提供比比包过滤更更详细的日日志记录可以隐藏内内部IP地址可以与认证证、授权等等安全手段段方便的集集成缺点：代理速度比比包过滤慢慢新的服务不不能及时地地被代理每个被代理理的服务要要求专门的的代理软件件有些服务要要求建立直直接连接，，无法使用用代理密码安全———通信安安全的最核核心部分信息加密技技术信息加密技技术的基本本概念。对称密钥加加密算法非对称密钥钥加密算法法。信息加密技技术的基本本概念信息加密的的术语：加密（Encryption)：用某种方法法伪装消息息以隐藏它它的内容的的过程明文（plaintext)：作为加密输输入的原始始信息密文（ciphertext)：：明文变换结结果加密算法：：变换函数（（是加密和和解密的计计算方法））；密钥（key)：：参与变换的的参数加解密过程程示意图*23信息加密的的例子：例：原信息息为：Howareyou加密后为：：LSAEVICSY原文密文在实际加密密过程中，，算法是不不变的，但但密钥是变变化的----加密密技术的关关键是密钥钥？若密钥4换换成7，结结果会怎么么样呢？abcd..………wxyzEFGH……….ABCD将上述两组组字母分别别对应，即即差4个字字母，这条条规则就是是加密算法，其中的4为密钥。Alice加密机解密机Bob安全信道密钥源Oscarxyxk信息加密的目目的：Alice和Bob两个人在不安安全的信道上上进行通信，，而破译者Oscar不能理解他们们通信的内容容。Bob能够验证接收收到的信息是是Alice发出的，且没没被篡改过。。（认证）密码学的起源源隐写术(steganography)英文含义为——Coveredwriting通过隐藏消息息的存在来保护消息，，通常将秘密密消息隐藏于于其它消息中中。语言隐写术藏头诗、字符符格式的变化化技术隐写术隐形墨水、牛牛奶、图象、、程序等有趣的密码技技术Phaistos圆盘，一种直直径约为160mm的Cretan-Mnoan粘土圆盘，始始于公元前17世纪。表表面有明显字字间空格的字字母，至今还还没有破解。。有趣的密码技技术公元前5世纪纪——SpartanScytale斯巴达人用于于加解密的一一种军事设备备发送者把一条条羊皮螺旋形形地缠在一个个圆柱形棒上上，再写上传递递给他人的信信息；而信息息的接收者只只需要有根同同等尺径的棍棍子，收到皮皮革后再将皮皮革裹到棍子子上就可以读读出原始信息息。思想：置换（（permutation)有趣的密码技技术（续）希腊密码二二维字母编码码查表公元元前2世纪例：NantongUniversity3311334443332254332451154243244454有趣的密码技技术（续）恺撒密码：将将字母循环前前移k位明文：NantongUniversity密文：sfsyutmZsnajwxnyd例如k=5时对应关系如如下：常用对称密钥钥加密算法DES、IDEA、AES算法等对称密钥加密密技术对称密钥算法法（symmetriccipher)：加密密钥和解解密密钥相同同。又称秘密密钥算法。信息加密算法法对称密钥加密密算法——DES算法DES（DataEncryptionStandard）——数据加密密标准，是一一种分组密码码算法，是最通用的计计算机加密算算法。分组密码体制

DES的产生1972年，美国国家家标准局（NBS）征集满足下列列条件的标准准加密算法：：1974年8月27日，，IBM提交了算法LUCIFER，该算法由IBM的工程师在1971~1972年改改进1975年3月17日，，NBS公开了全部细细节1976年，，NBS指派了两个小小组进行评价价1976年11月23日日，采纳为联联邦标准，批批准用于非军军事场合的各各种政府机构构1977年1月15日，，正式确定为为美国的统一一数据加密标标准DES输入64位明文数据初始置换IP在密钥控制下16轮迭代初始逆置换IP-1输出64比特密文数据DES算法框图交换左右32位DES加密的数据流流程明文分组：64位密钥长度：64位，其中中8位为奇偶偶校验位，真真正起密钥作作用的是56位初始置换IP和初始逆置换换IP—1关于DES的讨论DES的强度除了用穷举搜搜索法对DES算法进行攻击击外，还没有有发现更有效效的办法。密钥长度的争争论关于DES算法的另一个个最有争议的的问题就是担担心实际56比特的密钥长长度不足以抵抵御穷举式攻攻击，因为密密钥量只有个个。。关于DES的评价1997年1月28日，，美国的RSA数据安全公司司公布了一项项“秘密密钥钥挑战”竞赛赛，其中包括括悬赏1万美美元破译密钥钥长度为56比特的DES。美国克罗拉多多洲的程序员员Verser从1997年年2月18日日起，用了96天时间，，在Internet上数万名志愿愿者的协同工工作下成功破破译。1998年7月，电子前沿基金金会（EFF）使用一台25万美元的电脑在56小时内破译译了56比特特密钥的DES。1999年1月，RSA数据安全会议议期间，电子子前沿基金会会用22小时时15分钟就就宣告破解了了一个DES的密钥。公开密钥加密密技术对称密钥算法法：加密密钥和解解密密钥一样样公开密钥算法法：加密和解密使使用的是两个个不同的密钥钥，也称为非对称密钥算算法。公开密钥（publickey)，简称公钥，是公开的，可以公布布在网上，也也可以公开传传递给需要的的人；私人密钥（privatekey)，简称私钥，是保密的，只有本人知道道。公钥加密体制制的基本概念念公钥技术是二二十世纪最伟伟大的思想之之一改变了密钥分分发的方式。公钥加密的基基本思想：利用求解某些些数学难题的的困难性。单向函数：单项函数计算算起来相对容容易，但求逆逆却非常困难难。RSA算法1977年由由Rivest、Shamir和Adleman在麻省理工学学院发明，1978年公布。。应用最广泛的的公钥密码算算法RSA算法的理论基基础：大数分解：两个大素数相相乘在计算上上是容易实现现的，但将该该乘积分解为为两个大素数数因子的计算算量却相当巨巨大。素数检测：素数检测就是是判定一个给给定的正整数数是否为素数数。RSA算法Euler定理（欧拉定定理）：a、r是两个互素的的正整数，则则az≡1（modr），其中z为与r互素且不大于于r的正整数的个个数（即Euler数,(r)）。例如：两个互互素的正整数数a=2、r=5，欧拉数z为4，则2的的4次方=16，对5取取模等于1。。RSA算法的生成步步骤：设计密钥，生生成密文，恢恢复明文RSA算法举例：（1）若Bob选择了p=11和q＝13（2）那么，n=11××13=143,(n)=10×12＝120；（3）再选取一个与与z=120互质的数,例如e=7(称为“公开指数”),（4））找到一个值值d=103(称为"秘密密指数数")满满足e×d=1modz（7××103=721除以120余1）（5））（143,7）为公钥钥，（（143，，103））为私私钥。。（6））Bob在一个个目录录中公公开公公钥：：n=143和e=7（7））现假设设Alice想发送送明文文85给Bob，她已经从从公开开媒体体得得到了了Bob的公开开密钥钥(n,e)=(143,7),于是计算：：857(mod143)=123，，且在一一个信信道上上发送送密文文123。。（8））当Bob接收到到密文文123时时，他他用他他的秘秘密解解密指指数（（私钥钥）d＝103进行解解密：：123103（mod143)=85RSA的安全全性RSA的安全全性是是基于于加密密函数数ek(x)=xe(modn)是一个个单向向函数数，所所以对对攻击击的人人来说说求逆逆计算算不可可行。。攻破RSA等价于于多项项式的的分解解只要n足够大大，例如，有512比特，或1024比特甚甚至2048比特，任何人人只知知道公公开密密钥(n，e)，，很难算算出秘秘密密密钥(n，d)。其困困难在在于从从乘积积n难以找找出它它的两两个巨巨大的的质数数因子子。RSA的安全全性整数n的十进进制位位数因因子子分解解的运运算次次数所所需计计算时时间（（每微微秒一一次））501.4x10103.9小时759.0x1012104天1002.3x101574年2001.2x10233.8x109年3001.5x10294.0x1015年5001.3x10394.2x1025年对RSA的攻击击方法法：强力攻攻击（（穷举举法））———尝试试所有有可能能的私私有密密钥数学分分析攻攻击———各各种数数学方方法，，等价价于两两个素素数乘乘积的的因子子分解解RSA的安全全性1977年年,《《科学学美国国人》》悬赏赏征求求分解解一个个129位位十进进数(426比比特),直直至1994年年4月月,才才由包包括5大洲洲43个国国家600多人人参加加，用用1600台机机器同同时产产生820条指指令数数据，，通过过Internet网，耗耗时8个月月，利利用二二次筛筛选法法分解解出64位位和65位位的两两个因因子，，原来来估计计要用用4亿亿亿年年。这这是有有史以以来最最大规规模的的数学学运算算。RSA的安全全性1999.8.22，荷荷兰H.Riele领导的的一群群来自自6个个国家家的数学家和计算算机科科学家家耗时时7个个月并并动用用292台台计算算机，，破解解了RSA—155（512-bit）加密系系统的的数字字密码码。512-bitRSA在电子子商务务中所所占的的比例例为95%*46政府工工作文文件是是根据据亲笔笔签名名或印印章来来证明明具真真实性性的，，但在在网络络传送送的文文件又又如何何签名名盖章章呢?安全认认证技技术安全认认证技技术要要解决决的问问题数字签签名数字签签名的的基本本原理理。RSA数字签名技术术。信息加密技术解决决信息的保密密性问题，对对于鉴别信源源和发送信息息的完整性则则可以用信息认证技术术加以解决。在在某些情况下下，信息认证证显得比信息息保密更为重重要。数字签名(DigitalSignature):指发送者根据据消息产生摘摘要，并对摘摘要用自身的的签名私钥进进行加密。这这就形成了数数字签名。数字签名的定义数字签名与手手工签名的区区别数字签名———数字的，因消消息而异手工签名———模拟的，因人人而异数字签名的基基本原理RSA算法不仅可用用于信息加密密，还可用于数字字签名。RSA数字签名技术术老张小李密文小李的公开密密匙小李的私有密密匙用RSA加密,只有小李能