eg52電子政務(wù)安全技術(shù)課件

電子政務(wù)安全技術(shù)電子政務(wù)安全技術(shù)案例國外2004年專門針對美國政府網(wǎng)站的非法入侵事件就發(fā)生了5．4萬件，2005年升至7．9萬件。被入侵的政府網(wǎng)站包括國防部、國務(wù)院、能源部、國土安全部等重要政府職能部門，其中以國防部最為嚴(yán)重，在2004年達(dá)到1300多次，而2005年平均每天要受到計算機(jī)黑客7次攻擊。面對越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢，美國軍界和政界對黑客采取了長期的招安策略，設(shè)立專門機(jī)構(gòu)納入作戰(zhàn)序列，聘請他們?yōu)檎蛙姺焦ぷ鳎⑼ㄟ^演習(xí)和訓(xùn)練來進(jìn)行網(wǎng)絡(luò)防御以及對付國外勢力的網(wǎng)上滲透活動，甚至在必要的情況下執(zhí)行進(jìn)攻和摧毀敵方系統(tǒng)的重任。案例國外案例國內(nèi)2005年3月，四川省公安廳網(wǎng)監(jiān)處查獲一起攻擊政府機(jī)關(guān)網(wǎng)站、在網(wǎng)站主頁張貼色情圖片的案件；2005年4月9日，陜西省公安廳網(wǎng)站首頁被修改，內(nèi)容全是反日的激進(jìn)言論，在內(nèi)容頁中，黑客甚至膽大到留下自己的QQ號碼；2005年11月1日，山西省清徐縣政府網(wǎng)站被黑客攻擊，自稱“圣賢居士”的黑客，在篡改了網(wǎng)站頭條新聞和網(wǎng)站公告后，發(fā)布聲明稱：本站存在嚴(yán)重安全漏洞，且密碼過于簡單，希望網(wǎng)站與他聯(lián)系……2006年11月6日，國家公務(wù)員報考確認(rèn)期間，河南省人事廳網(wǎng)站的網(wǎng)上確認(rèn)程序突然中斷，省人事廳考試中心發(fā)出緊急通知：由于網(wǎng)絡(luò)出現(xiàn)異常，網(wǎng)上確認(rèn)改為現(xiàn)場確認(rèn)。無獨(dú)有偶，僅幾日之后，鄭州市司法局網(wǎng)站被“黑”。時間再退到兩個多月前，省衛(wèi)生廳網(wǎng)站也遭遇“黑”手。案例國內(nèi)中國政府網(wǎng)站被黑

國外Ashiyane組織

全名叫

<

數(shù)字化的網(wǎng)絡(luò)安全>

中國政府網(wǎng)站被黑

國外Ashiyane組織

全名叫

<

數(shù)eg52電子政務(wù)安全技術(shù)課件eg52電子政務(wù)安全技術(shù)課件電子政務(wù)安全的基本要求術(shù)語定義保密性認(rèn)證性完整性可訪問性防御性不可否認(rèn)性合法性保持個人的、專用的和高度敏感數(shù)據(jù)的機(jī)密確認(rèn)通信雙方的合法身份保證所有存儲和管理的信息不被篡改保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法的人員訪問能夠阻擋不希望的信息或黑客防止通信雙方對已進(jìn)行業(yè)務(wù)的否認(rèn)保證各方的業(yè)務(wù)符合可適用的法律和法規(guī)電子政務(wù)安全的基本要求術(shù)語定義保密性保持個人的、專用的和高度技術(shù)對策

防火墻技術(shù)信息加密技術(shù)安全認(rèn)證技術(shù)技術(shù)對策防火墻技術(shù)防火墻概述實(shí)現(xiàn)防火墻的主要技術(shù)防火墻（Firewall）的定義：——防火墻是用來限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間相互進(jìn)行信息存取、傳遞操作的部件或部件集。防火墻技術(shù)防火墻概述防火墻（Firewall）的定義：防火墻——隔離內(nèi)部網(wǎng)和Internet的有效安全機(jī)制

防火墻應(yīng)具備的條件:內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻——隔離內(nèi)部網(wǎng)和Internet的有效安全機(jī)制防構(gòu)筑防火墻之前，需要制定一套有效的安全策略防火墻的策略防火墻設(shè)計策略一切未被允許的就是禁止的——安全性好，但是用戶所能使用的服務(wù)范圍受到嚴(yán)格限制。一切未被禁止的都是允許的——可以為用戶提供更多的服務(wù)，但是在日益增多的網(wǎng)絡(luò)服務(wù)面前，很難為用戶提供可靠的安全防護(hù)。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，而多數(shù)防火墻都在兩者之間采取折衷。構(gòu)筑防火墻之前，需要制定一套有效的安全策略防火墻的策略防火墻包過濾型（PacketFilter）代理服務(wù)器型（ProxyService）實(shí)現(xiàn)防火墻的主要技術(shù)包過濾型（PacketFilter）實(shí)現(xiàn)防火墻的主要技術(shù)網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包

實(shí)施有選擇的通過7應(yīng)用層

6表示層

5會話層

4傳輸層

3網(wǎng)絡(luò)層

2數(shù)據(jù)鏈路層

1物理層

網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包

基本思想對于每個進(jìn)來的包適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或丟棄該包包過濾技術(shù)判斷依據(jù)：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口：FTP、TELNET、HTTP等IP選項(xiàng)：源路由、記錄路由等TCP選項(xiàng)：SYN、ACK、FIN、RST等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1基本思想包過濾技術(shù)判斷依據(jù)：包過濾技術(shù)應(yīng)用實(shí)例規(guī)則方向源地址目的地址動作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕按地址按服務(wù)規(guī)則方向源地址源端口目的地址目的端口動作注釋A入外部*E-MAIL25拒絕不信任B出****允許允許包過濾技術(shù)應(yīng)用實(shí)例規(guī)則方向源地址目的地址動作A出內(nèi)部網(wǎng)絡(luò)20包過濾技術(shù)的特點(diǎn)優(yōu)點(diǎn)：邏輯簡單，速度快；與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和使用。缺點(diǎn)：配置基于包過濾方式的防火墻，需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解；允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。包過濾技術(shù)的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：基本思想代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。這些程序?qū)⒂脩魧ヂ?lián)網(wǎng)絡(luò)的服務(wù)請求依據(jù)已制定的安全規(guī)則向外提交，代理服務(wù)替代了用戶與互聯(lián)網(wǎng)絡(luò)的直接連接。代理服務(wù)器也稱為應(yīng)用層網(wǎng)關(guān)。

代理服務(wù)器技術(shù)基本思想代理服務(wù)器技術(shù)代理服務(wù)器作用在應(yīng)用層，當(dāng)內(nèi)部計算機(jī)與外部主機(jī)連結(jié)時，將由代理服務(wù)器（ProxyServer）擔(dān)任內(nèi)部計算機(jī)與外部主機(jī)的連結(jié)中繼者。應(yīng)用層運(yùn)輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)鏈路層網(wǎng)絡(luò)層HTTPFTPTelnetSmtp代理服務(wù)器作用在應(yīng)用層，當(dāng)內(nèi)部計算機(jī)與外部主機(jī)連結(jié)時，將由代代理服務(wù)器的特點(diǎn)優(yōu)點(diǎn)：易于配置，界面友好透明性——“直接”訪問Internet的假象不允許內(nèi)外網(wǎng)主機(jī)的直接連接可以實(shí)現(xiàn)基于用戶的認(rèn)證可以提供比包過濾更詳細(xì)的日志記錄可以隱藏內(nèi)部IP地址可以與認(rèn)證、授權(quán)等安全手段方便的集成缺點(diǎn)：代理速度比包過濾慢新的服務(wù)不能及時地被代理每個被代理的服務(wù)要求專門的代理軟件有些服務(wù)要求建立直接連接，無法使用代理代理服務(wù)器的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：

密碼安全——通信安全的最核心部分信息加密技術(shù)信息加密技術(shù)的基本概念。對稱密鑰加密算法非對稱密鑰加密算法。密碼安全——通信安全的最核心部分信息加密技術(shù)信息加密信息加密技術(shù)的基本概念

信息加密的術(shù)語：加密（Encryption)：用某種方法偽裝消息以隱藏它的內(nèi)容的過程明文（plaintext)：作為加密輸入的原始信息密文（ciphertext)：明文變換結(jié)果加密算法：變換函數(shù)（是加密和解密的計算方法）；密鑰（key)：參與變換的參數(shù)信息加密技術(shù)的基本概念信息加密的術(shù)語：加密（Encrypt加解密過程示意圖

加解密過程示意圖*23信息加密的例子：

例：原信息為：Howareyou

加密后為：

LSAEVICSY原文密文在實(shí)際加密過程中，算法是不變的，但密鑰是變化的----加密技術(shù)的關(guān)鍵是密鑰？若密鑰4換成7，結(jié)果會怎么樣呢？abcd..………wxyzEFGH……….ABCD

將上述兩組字母分別對應(yīng)，即差4個字母，這條規(guī)則就是加密算法，其中的4為密鑰。*23信息加密的例子：例：原信息為：HowareAlice加密機(jī)解密機(jī)Bob安全信道密鑰源Oscarxyxk信息加密的目的：Alice和Bob兩個人在不安全的信道上進(jìn)行通信，而破譯者Oscar不能理解他們通信的內(nèi)容。Bob能夠驗(yàn)證接收到的信息是Alice發(fā)出的，且沒被篡改過。（認(rèn)證）Alice加密機(jī)解密機(jī)Bob安全信道密鑰源Oscarxyxk密碼學(xué)的起源隱寫術(shù)(steganography)

英文含義為——Coveredwriting通過隱藏消息的存在來保護(hù)消息，通常將秘密消息隱藏于其它消息中。語言隱寫術(shù)藏頭詩、字符格式的變化技術(shù)隱寫術(shù)隱形墨水、牛奶、圖象、程序等密碼學(xué)的起源隱寫術(shù)(steganography)語言隱寫術(shù)有趣的密碼技術(shù)

Phaistos圓盤，一種直徑約為160mm的Cretan-Mnoan粘土圓盤，始于公元前17世紀(jì)。表面有明顯字間空格的字母，至今還沒有破解。有趣的密碼技術(shù)Phaistos圓盤，一種直徑約為有趣的密碼技術(shù)

公元前5世紀(jì)——SpartanScytale

斯巴達(dá)人用于加解密的一種軍事設(shè)備

發(fā)送者把一條羊皮螺旋形地纏在一個圓柱形棒上，再寫上傳遞給他人的信息；而信息的接收者只需要有根同等尺徑的棍子，收到皮革后再將皮革裹到棍子上就可以讀出原始信息。思想：置換（permutation)有趣的密碼技術(shù)公元前5世紀(jì)——SpartanScyta有趣的密碼技術(shù)（續(xù)）希臘密碼二維字母編碼查表公元前2世紀(jì)

例：NantongUniversity3311334443332254332451154243244454有趣的密碼技術(shù)（續(xù)）希臘密碼二維字母編碼查表公元前2世紀(jì)有趣的密碼技術(shù)（續(xù)）愷撒密碼：將字母循環(huán)前移k位明文：NantongUniversity密文：sfsyutmZsnajwxnyd例如k=5時對應(yīng)關(guān)系如下：有趣的密碼技術(shù)（續(xù)）愷撒密碼：將字母循環(huán)前移k位明文：Nan常用對稱密鑰加密算法

DES、IDEA、AES算法等對稱密鑰加密技術(shù)對稱密鑰算法（symmetriccipher)：加密密鑰和解密密鑰相同。又稱秘密密鑰算法。信息加密算法常用對稱密鑰加密算法對稱密鑰加密技術(shù)對稱密鑰算法（symme對稱密鑰加密算法——DES算法DES（DataEncryptionStandard）——數(shù)據(jù)加密標(biāo)準(zhǔn)，是一種分組密碼算法，是最通用的計算機(jī)加密算法。分組密碼體制

對稱密鑰加密算法——DES算法DES（DataEncrypDES的產(chǎn)生1972年，美國國家標(biāo)準(zhǔn)局（NBS）征集滿足下列條件的標(biāo)準(zhǔn)加密算法：1974年8月27日，IBM提交了算法LUCIFER，該算法由IBM的工程師在1971~1972年改進(jìn)1975年3月17日，NBS公開了全部細(xì)節(jié)1976年，NBS指派了兩個小組進(jìn)行評價1976年11月23日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍事場合的各種政府機(jī)構(gòu)1977年1月15日，正式確定為美國的統(tǒng)一數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES的產(chǎn)生1972年，美國國家標(biāo)準(zhǔn)局（NBS）征集滿足下列

輸入64位明文數(shù)據(jù)初始置換IP在密鑰控制下16輪迭代初始逆置換IP-1輸出64比特密文數(shù)據(jù)DES算法框圖交換左右32位DES加密的數(shù)據(jù)流程明文分組：64位密鑰長度：64位，其中8位為奇偶校驗(yàn)位，真正起密鑰作用的是56位

輸入64位明文數(shù)據(jù)初始置換IP在密鑰控制下初始逆置換IP-初始置換IP和初始逆置換IP—1

初始置換IP和初始逆置換IP—1關(guān)于DES的討論DES的強(qiáng)度除了用窮舉搜索法對DES算法進(jìn)行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。密鑰長度的爭論關(guān)于DES算法的另一個最有爭議的問題就是擔(dān)心實(shí)際56比特的密鑰長度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有個。關(guān)于DES的討論DES的強(qiáng)度關(guān)于DES的評價1997年1月28日，美國的RSA數(shù)據(jù)安全公司公布了一項(xiàng)“秘密密鑰挑戰(zhàn)”競賽，其中包括懸賞1萬美元破譯密鑰長度為56比特的DES。美國克羅拉多洲的程序員Verser從1997年2月18日起，用了96天時間，在Internet上數(shù)萬名志愿者的協(xié)同工作下成功破譯。1998年7月，電子前沿基金會（EFF）使用一臺25萬美元的電腦在56小時內(nèi)破譯了56比特密鑰的DES。1999年1月，RSA數(shù)據(jù)安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。關(guān)于DES的評價1997年1月28日，美國的RSA數(shù)據(jù)安全公公開密鑰加密技術(shù)對稱密鑰算法：加密密鑰和解密密鑰一樣

公開密鑰算法：加密和解密使用的是兩個不同的密鑰，也稱為非對稱密鑰算法。公開密鑰（publickey)，簡稱公鑰，是公開的，可以公布在網(wǎng)上，也可以公開傳遞給需要的人；私人密鑰（privatekey)，簡稱私鑰，是保密的，只有本人知道

。公開密鑰加密技術(shù)對稱密鑰算法：加密密鑰和解密密鑰一樣公開密公鑰加密體制的基本概念公鑰技術(shù)是二十世紀(jì)最偉大的思想之一

改變了密鑰分發(fā)的方式。公鑰加密的基本思想：利用求解某些數(shù)學(xué)難題的困難性。單向函數(shù)：單項(xiàng)函數(shù)計算起來相對容易，但求逆卻非常困難。

公鑰加密體制的基本概念公鑰技術(shù)是二十世紀(jì)最偉大的思想之一公RSA算法1977年由Rivest、Shamir和Adleman在麻省理工學(xué)院發(fā)明，1978年公布。應(yīng)用最廣泛的公鑰密碼算法RSA算法的理論基礎(chǔ)：大數(shù)分解：兩個大素數(shù)相乘在計算上是容易實(shí)現(xiàn)的，但將該乘積分解為兩個大素數(shù)因子的計算量卻相當(dāng)巨大。素數(shù)檢測：素數(shù)檢測就是判定一個給定的正整數(shù)是否為素數(shù)。RSA算法1977年由Rivest、Shamir和AdlemRSA算法Euler定理（歐拉定理）：a、r是兩個互素的正整數(shù)，則az

≡1（modr），其中z為與r互素且不大于r的正整數(shù)的個數(shù)（即Euler數(shù),(r)）。例如：兩個互素的正整數(shù)a=2、r=5，歐拉數(shù)z為4，則2的4次方=16，對5取模等于1。

RSA算法的生成步驟：設(shè)計密鑰，生成密文，恢復(fù)明文RSA算法Euler定理（歐拉定理）：RSA算法的生成步驟RSA算法舉例：（1）若Bob選擇了p=11和q＝13（2）那么，n=11×13=143,(n)=10×12＝120；（3）再選取一個與z=120互質(zhì)的數(shù),例如e=7(稱為“公開指數(shù)”),（4）找到一個值d=103(稱為"秘密指數(shù)")滿足e×d=1modz

（7×103=721除以120余1）（5）（143,7）為公鑰，（143，103）為私鑰。（6）Bob在一個目錄中公開公鑰：n=143和e=7（7）現(xiàn)假設(shè)Alice想發(fā)送明文85給Bob，她已經(jīng)從公開媒體得到了Bob的公開密鑰(n,e)=(143,7),于是計算：857(mod143)=123，且在一個信道上發(fā)送密文123。（8）當(dāng)Bob接收到密文123時，他用他的秘密解密指數(shù)（私鑰）d＝103進(jìn)行解密：123103（mod143)=85RSA算法舉例：（1）若Bob選擇了p=11和q＝13RSA的安全性RSA的安全性是基于加密函數(shù)ek(x)=xe(modn)是一個單向函數(shù)，所以對攻擊的人來說求逆計算不可行。攻破RSA等價于多項(xiàng)式的分解只要n足夠大，例如，有512比特，或1024比特甚至2048比特，任何人只知道公開密鑰(n，e)，很難算出秘密密鑰(n，d)。其困難在于從乘積n難以找出它的兩個巨大的質(zhì)數(shù)因子。

RSA的安全性RSA的安全性是基于加密函數(shù)ek(x)=xe(RSA的安全性整數(shù)n的十進(jìn)制位數(shù)因子分解的運(yùn)算次數(shù)所需計算時間（每微秒一次） 50 1.4x1010 3.9小時 75 9.0x1012 104天 100 2.3x1015 74年 200 1.2x1023 3.8x109年 300 1.5x1029 4.0x1015年 500 1.3x1039 4.2x1025年對RSA的攻擊方法：強(qiáng)力攻擊（窮舉法）——嘗試所有可能的私有密鑰數(shù)學(xué)分析攻擊——各種數(shù)學(xué)方法，等價于兩個素數(shù)乘積的因子分解RSA的安全性整數(shù)n的十進(jìn)制位數(shù)因子分解的運(yùn)算次數(shù)RSA的安全性1977年,《科學(xué)美國人》懸賞征求分解一個129位十進(jìn)數(shù)(426比特),直至1994年4月,才由包括5大洲43個國家600多人參加，用1600臺機(jī)器同時產(chǎn)生820條指令數(shù)據(jù)，通過Internet網(wǎng)，耗時8個月，利用二次篩選法分解出64位和65位的兩個因子，原來估計要用4億億年。這是有史以來最大規(guī)模的數(shù)學(xué)運(yùn)算。

RSA的安全性1977年,《科學(xué)美國人》懸賞征求分解一個12RSA的安全性1999.8.22，荷蘭H.Riele領(lǐng)導(dǎo)的一群來自6個國家的數(shù)學(xué)家和計算機(jī)科學(xué)家耗時7個月并動用292臺計算機(jī)，破解了RSA—155（512-bit）加密系統(tǒng)的數(shù)字密碼。512-bitRSA在電子商務(wù)中所占的比例為95%RSA的安全性1999.8.22，荷蘭H.Riele領(lǐng)導(dǎo)的一*46

政府工作文件是根據(jù)親筆簽名或印章來證明具真實(shí)性的，但在網(wǎng)絡(luò)傳送的文件又如何簽名蓋章呢?安全認(rèn)證技術(shù)安全認(rèn)證技術(shù)要解決的問題*46政府工作文件是根據(jù)親筆簽名或印章來證明數(shù)字簽名數(shù)字簽名的基本原理。RSA數(shù)字簽名技術(shù)。信息加密技術(shù)解決信息的保密性問題，對于鑒別信源和發(fā)送信息的完整性則可以用信息認(rèn)證技術(shù)加以解決。在某些情況下，信息認(rèn)證顯得比信息保密更為重要。數(shù)字簽名數(shù)字簽名的基本原理。信息加密技術(shù)解決信息的保數(shù)字簽名(DigitalSignature):指發(fā)送者根據(jù)消息產(chǎn)生摘要，并對摘要用自身的簽名私鑰進(jìn)行加密。這就形成了數(shù)字簽名。

數(shù)字簽名的定義數(shù)字簽名與手工簽名的區(qū)別數(shù)字簽名——數(shù)字的，因消息而異手工簽名——模擬的，因人而異數(shù)字簽名的基本原理數(shù)字簽名(DigitalSignature):數(shù)字簽名的定RSA算法不僅可用于信息加密，還可用于數(shù)字簽名。

RSA數(shù)字簽名技術(shù)老張小李密文小李的公開密匙小李的私有密匙用RSA加密,只有小李能解開該信息用RSA認(rèn)證,只有老張能發(fā)出該信息老張的私有密匙老張小李老張的公開密匙密文認(rèn)證加密RSA算法不僅可用于信息加密，還可用于數(shù)字簽名。RSA數(shù)字相同點(diǎn)RSA簽名和RSA加密的異同點(diǎn)都使用一對密鑰：公鑰和私鑰不同點(diǎn)RSA加密：用（對方）公鑰加密，用（自己）私鑰解密RSA簽名：用（自己）私鑰簽名，用（對方）公鑰驗(yàn)證相同點(diǎn)RSA簽名和RSA加密的異同點(diǎn)都使用一對密鑰：公鑰和私RSA簽名舉例（1）若Bob選擇了p=11和q＝13（2）那么，n=11×13=143,(n)=10×12＝120（3）再選取一個與z=120互質(zhì)的數(shù),例如e=7（4）找到一個值d=103滿足e×d=1modz

（7×103=721除以120余1）（5）（143,7）為公鑰，（143，103）為私鑰。（6）Bob在一個目錄中公開公鑰：n=143和e=7（7）現(xiàn)假設(shè)Bob想發(fā)送消息85給Alice，他用自己的密鑰（d=103）進(jìn)行簽名：85103(mod143)=6，于是發(fā)送消息85和簽名6給Alice（8）當(dāng)Alice接收到消息85和簽名6時，用Bob公開的公鑰（e＝7）進(jìn)行驗(yàn)證：67（mod143)=85，跟Bob發(fā)送的消息一致，于是確定該消息是由Bob所發(fā)送，且沒有被修改。RSA簽名的過程：設(shè)計密鑰，設(shè)計簽名，驗(yàn)證簽名RSA簽名舉例（1）若Bob選擇了p=11和q＝13RSA簽所以數(shù)字簽名解決了電子政務(wù)信息的不可否認(rèn)性和完整性和問題。*52數(shù)字簽名的作用①驗(yàn)證消息發(fā)送方的身份，起到了簽名或蓋章的作用。由于發(fā)送方的私鑰是由自己管理使用的，其他人無法仿冒使用，一旦發(fā)送方用自己的私鑰加密發(fā)送了信息也不能否認(rèn)，②驗(yàn)證消息內(nèi)容的完整性，能夠鑒別信息自簽發(fā)后到收到為止是否被篡改。（數(shù)字摘要的工作原理）所以數(shù)字簽名解決了電子政務(wù)信息的*52數(shù)字簽名的作用①驗(yàn)證消電子政務(wù)安全技術(shù)電子政務(wù)安全技術(shù)案例國外2004年專門針對美國政府網(wǎng)站的非法入侵事件就發(fā)生了5．4萬件，2005年升至7．9萬件。被入侵的政府網(wǎng)站包括國防部、國務(wù)院、能源部、國土安全部等重要政府職能部門，其中以國防部最為嚴(yán)重，在2004年達(dá)到1300多次，而2005年平均每天要受到計算機(jī)黑客7次攻擊。面對越來越嚴(yán)峻的網(wǎng)絡(luò)安全形勢，美國軍界和政界對黑客采取了長期的招安策略，設(shè)立專門機(jī)構(gòu)納入作戰(zhàn)序列，聘請他們?yōu)檎蛙姺焦ぷ?，并通過演習(xí)和訓(xùn)練來進(jìn)行網(wǎng)絡(luò)防御以及對付國外勢力的網(wǎng)上滲透活動，甚至在必要的情況下執(zhí)行進(jìn)攻和摧毀敵方系統(tǒng)的重任。案例國外案例國內(nèi)2005年3月，四川省公安廳網(wǎng)監(jiān)處查獲一起攻擊政府機(jī)關(guān)網(wǎng)站、在網(wǎng)站主頁張貼色情圖片的案件；2005年4月9日，陜西省公安廳網(wǎng)站首頁被修改，內(nèi)容全是反日的激進(jìn)言論，在內(nèi)容頁中，黑客甚至膽大到留下自己的QQ號碼；2005年11月1日，山西省清徐縣政府網(wǎng)站被黑客攻擊，自稱“圣賢居士”的黑客，在篡改了網(wǎng)站頭條新聞和網(wǎng)站公告后，發(fā)布聲明稱：本站存在嚴(yán)重安全漏洞，且密碼過于簡單，希望網(wǎng)站與他聯(lián)系……2006年11月6日，國家公務(wù)員報考確認(rèn)期間，河南省人事廳網(wǎng)站的網(wǎng)上確認(rèn)程序突然中斷，省人事廳考試中心發(fā)出緊急通知：由于網(wǎng)絡(luò)出現(xiàn)異常，網(wǎng)上確認(rèn)改為現(xiàn)場確認(rèn)。無獨(dú)有偶，僅幾日之后，鄭州市司法局網(wǎng)站被“黑”。時間再退到兩個多月前，省衛(wèi)生廳網(wǎng)站也遭遇“黑”手。案例國內(nèi)中國政府網(wǎng)站被黑

國外Ashiyane組織

全名叫

<

數(shù)字化的網(wǎng)絡(luò)安全>

中國政府網(wǎng)站被黑

國外Ashiyane組織

全名叫

<

數(shù)eg52電子政務(wù)安全技術(shù)課件eg52電子政務(wù)安全技術(shù)課件電子政務(wù)安全的基本要求術(shù)語定義保密性認(rèn)證性完整性可訪問性防御性不可否認(rèn)性合法性保持個人的、專用的和高度敏感數(shù)據(jù)的機(jī)密確認(rèn)通信雙方的合法身份保證所有存儲和管理的信息不被篡改保證系統(tǒng)、數(shù)據(jù)和服務(wù)能由合法的人員訪問能夠阻擋不希望的信息或黑客防止通信雙方對已進(jìn)行業(yè)務(wù)的否認(rèn)保證各方的業(yè)務(wù)符合可適用的法律和法規(guī)電子政務(wù)安全的基本要求術(shù)語定義保密性保持個人的、專用的和高度技術(shù)對策

防火墻技術(shù)信息加密技術(shù)安全認(rèn)證技術(shù)技術(shù)對策防火墻技術(shù)防火墻概述實(shí)現(xiàn)防火墻的主要技術(shù)防火墻（Firewall）的定義：——防火墻是用來限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者與其他網(wǎng)絡(luò)之間相互進(jìn)行信息存取、傳遞操作的部件或部件集。防火墻技術(shù)防火墻概述防火墻（Firewall）的定義：防火墻——隔離內(nèi)部網(wǎng)和Internet的有效安全機(jī)制

防火墻應(yīng)具備的條件:內(nèi)部和外部之間的所有網(wǎng)絡(luò)數(shù)據(jù)流必須經(jīng)過防火墻只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻——隔離內(nèi)部網(wǎng)和Internet的有效安全機(jī)制防構(gòu)筑防火墻之前，需要制定一套有效的安全策略防火墻的策略防火墻設(shè)計策略一切未被允許的就是禁止的——安全性好，但是用戶所能使用的服務(wù)范圍受到嚴(yán)格限制。一切未被禁止的都是允許的——可以為用戶提供更多的服務(wù)，但是在日益增多的網(wǎng)絡(luò)服務(wù)面前，很難為用戶提供可靠的安全防護(hù)。第一種的特點(diǎn)是安全但不好用，第二種是好用但不安全，而多數(shù)防火墻都在兩者之間采取折衷。構(gòu)筑防火墻之前，需要制定一套有效的安全策略防火墻的策略防火墻包過濾型（PacketFilter）代理服務(wù)器型（ProxyService）實(shí)現(xiàn)防火墻的主要技術(shù)包過濾型（PacketFilter）實(shí)現(xiàn)防火墻的主要技術(shù)網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包

實(shí)施有選擇的通過7應(yīng)用層

6表示層

5會話層

4傳輸層

3網(wǎng)絡(luò)層

2數(shù)據(jù)鏈路層

1物理層

網(wǎng)絡(luò)層鏈路層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)包過濾技術(shù)是在網(wǎng)絡(luò)層中對數(shù)據(jù)包

基本思想對于每個進(jìn)來的包適用一組規(guī)則，然后決定轉(zhuǎn)發(fā)或丟棄該包包過濾技術(shù)判斷依據(jù)：數(shù)據(jù)包協(xié)議類型：TCP、UDP、ICMP等源IP、目的IP地址源端口、目的端口：FTP、TELNET、HTTP等IP選項(xiàng)：源路由、記錄路由等TCP選項(xiàng)：SYN、ACK、FIN、RST等數(shù)據(jù)包流向：in或out數(shù)據(jù)包流經(jīng)網(wǎng)絡(luò)接口：eth0、eth1基本思想包過濾技術(shù)判斷依據(jù)：包過濾技術(shù)應(yīng)用實(shí)例規(guī)則方向源地址目的地址動作A出內(nèi)部網(wǎng)絡(luò)拒絕B入內(nèi)部網(wǎng)絡(luò)拒絕按地址按服務(wù)規(guī)則方向源地址源端口目的地址目的端口動作注釋A入外部*E-MAIL25拒絕不信任B出****允許允許包過濾技術(shù)應(yīng)用實(shí)例規(guī)則方向源地址目的地址動作A出內(nèi)部網(wǎng)絡(luò)20包過濾技術(shù)的特點(diǎn)優(yōu)點(diǎn)：邏輯簡單，速度快；與應(yīng)用層無關(guān)，無須改動任何客戶機(jī)和主機(jī)上的應(yīng)用程序，易于安裝和使用。缺點(diǎn)：配置基于包過濾方式的防火墻，需要對IP、TCP、UDP、ICMP等各種協(xié)議有深入的了解；允許外部客戶和內(nèi)部主機(jī)的直接連接；不提供用戶的鑒別機(jī)制。包過濾技術(shù)的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：基本思想代理服務(wù)器是運(yùn)行在防火墻主機(jī)上的一些特定的應(yīng)用程序或者服務(wù)器程序。這些程序?qū)⒂脩魧ヂ?lián)網(wǎng)絡(luò)的服務(wù)請求依據(jù)已制定的安全規(guī)則向外提交，代理服務(wù)替代了用戶與互聯(lián)網(wǎng)絡(luò)的直接連接。代理服務(wù)器也稱為應(yīng)用層網(wǎng)關(guān)。

代理服務(wù)器技術(shù)基本思想代理服務(wù)器技術(shù)代理服務(wù)器作用在應(yīng)用層，當(dāng)內(nèi)部計算機(jī)與外部主機(jī)連結(jié)時，將由代理服務(wù)器（ProxyServer）擔(dān)任內(nèi)部計算機(jī)與外部主機(jī)的連結(jié)中繼者。應(yīng)用層運(yùn)輸層外部網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)鏈路層網(wǎng)絡(luò)層HTTPFTPTelnetSmtp代理服務(wù)器作用在應(yīng)用層，當(dāng)內(nèi)部計算機(jī)與外部主機(jī)連結(jié)時，將由代代理服務(wù)器的特點(diǎn)優(yōu)點(diǎn)：易于配置，界面友好透明性——“直接”訪問Internet的假象不允許內(nèi)外網(wǎng)主機(jī)的直接連接可以實(shí)現(xiàn)基于用戶的認(rèn)證可以提供比包過濾更詳細(xì)的日志記錄可以隱藏內(nèi)部IP地址可以與認(rèn)證、授權(quán)等安全手段方便的集成缺點(diǎn)：代理速度比包過濾慢新的服務(wù)不能及時地被代理每個被代理的服務(wù)要求專門的代理軟件有些服務(wù)要求建立直接連接，無法使用代理代理服務(wù)器的特點(diǎn)優(yōu)點(diǎn)：缺點(diǎn)：

密碼安全——通信安全的最核心部分信息加密技術(shù)信息加密技術(shù)的基本概念。對稱密鑰加密算法非對稱密鑰加密算法。密碼安全——通信安全的最核心部分信息加密技術(shù)信息加密信息加密技術(shù)的基本概念

信息加密的術(shù)語：加密（Encryption)：用某種方法偽裝消息以隱藏它的內(nèi)容的過程明文（plaintext)：作為加密輸入的原始信息密文（ciphertext)：明文變換結(jié)果加密算法：變換函數(shù)（是加密和解密的計算方法）；密鑰（key)：參與變換的參數(shù)信息加密技術(shù)的基本概念信息加密的術(shù)語：加密（Encrypt加解密過程示意圖

加解密過程示意圖*75信息加密的例子：

例：原信息為：Howareyou

加密后為：

LSAEVICSY原文密文在實(shí)際加密過程中，算法是不變的，但密鑰是變化的----加密技術(shù)的關(guān)鍵是密鑰？若密鑰4換成7，結(jié)果會怎么樣呢？abcd..………wxyzEFGH……….ABCD

將上述兩組字母分別對應(yīng)，即差4個字母，這條規(guī)則就是加密算法，其中的4為密鑰。*23信息加密的例子：例：原信息為：HowareAlice加密機(jī)解密機(jī)Bob安全信道密鑰源Oscarxyxk信息加密的目的：Alice和Bob兩個人在不安全的信道上進(jìn)行通信，而破譯者Oscar不能理解他們通信的內(nèi)容。Bob能夠驗(yàn)證接收到的信息是Alice發(fā)出的，且沒被篡改過。（認(rèn)證）Alice加密機(jī)解密機(jī)Bob安全信道密鑰源Oscarxyxk密碼學(xué)的起源隱寫術(shù)(steganography)

英文含義為——Coveredwriting通過隱藏消息的存在來保護(hù)消息，通常將秘密消息隱藏于其它消息中。語言隱寫術(shù)藏頭詩、字符格式的變化技術(shù)隱寫術(shù)隱形墨水、牛奶、圖象、程序等密碼學(xué)的起源隱寫術(shù)(steganography)語言隱寫術(shù)有趣的密碼技術(shù)

Phaistos圓盤，一種直徑約為160mm的Cretan-Mnoan粘土圓盤，始于公元前17世紀(jì)。表面有明顯字間空格的字母，至今還沒有破解。有趣的密碼技術(shù)Phaistos圓盤，一種直徑約為有趣的密碼技術(shù)

公元前5世紀(jì)——SpartanScytale

斯巴達(dá)人用于加解密的一種軍事設(shè)備

發(fā)送者把一條羊皮螺旋形地纏在一個圓柱形棒上，再寫上傳遞給他人的信息；而信息的接收者只需要有根同等尺徑的棍子，收到皮革后再將皮革裹到棍子上就可以讀出原始信息。思想：置換（permutation)有趣的密碼技術(shù)公元前5世紀(jì)——SpartanScyta有趣的密碼技術(shù)（續(xù)）希臘密碼二維字母編碼查表公元前2世紀(jì)

例：NantongUniversity3311334443332254332451154243244454有趣的密碼技術(shù)（續(xù)）希臘密碼二維字母編碼查表公元前2世紀(jì)有趣的密碼技術(shù)（續(xù)）愷撒密碼：將字母循環(huán)前移k位明文：NantongUniversity密文：sfsyutmZsnajwxnyd例如k=5時對應(yīng)關(guān)系如下：有趣的密碼技術(shù)（續(xù)）愷撒密碼：將字母循環(huán)前移k位明文：Nan常用對稱密鑰加密算法

DES、IDEA、AES算法等對稱密鑰加密技術(shù)對稱密鑰算法（symmetriccipher)：加密密鑰和解密密鑰相同。又稱秘密密鑰算法。信息加密算法常用對稱密鑰加密算法對稱密鑰加密技術(shù)對稱密鑰算法（symme對稱密鑰加密算法——DES算法DES（DataEncryptionStandard）——數(shù)據(jù)加密標(biāo)準(zhǔn)，是一種分組密碼算法，是最通用的計算機(jī)加密算法。分組密碼體制

對稱密鑰加密算法——DES算法DES（DataEncrypDES的產(chǎn)生1972年，美國國家標(biāo)準(zhǔn)局（NBS）征集滿足下列條件的標(biāo)準(zhǔn)加密算法：1974年8月27日，IBM提交了算法LUCIFER，該算法由IBM的工程師在1971~1972年改進(jìn)1975年3月17日，NBS公開了全部細(xì)節(jié)1976年，NBS指派了兩個小組進(jìn)行評價1976年11月23日，采納為聯(lián)邦標(biāo)準(zhǔn)，批準(zhǔn)用于非軍事場合的各種政府機(jī)構(gòu)1977年1月15日，正式確定為美國的統(tǒng)一數(shù)據(jù)加密標(biāo)準(zhǔn)DESDES的產(chǎn)生1972年，美國國家標(biāo)準(zhǔn)局（NBS）征集滿足下列

輸入64位明文數(shù)據(jù)初始置換IP在密鑰控制下16輪迭代初始逆置換IP-1輸出64比特密文數(shù)據(jù)DES算法框圖交換左右32位DES加密的數(shù)據(jù)流程明文分組：64位密鑰長度：64位，其中8位為奇偶校驗(yàn)位，真正起密鑰作用的是56位

輸入64位明文數(shù)據(jù)初始置換IP在密鑰控制下初始逆置換IP-初始置換IP和初始逆置換IP—1

初始置換IP和初始逆置換IP—1關(guān)于DES的討論DES的強(qiáng)度除了用窮舉搜索法對DES算法進(jìn)行攻擊外，還沒有發(fā)現(xiàn)更有效的辦法。密鑰長度的爭論關(guān)于DES算法的另一個最有爭議的問題就是擔(dān)心實(shí)際56比特的密鑰長度不足以抵御窮舉式攻擊，因?yàn)槊荑€量只有個。關(guān)于DES的討論DES的強(qiáng)度關(guān)于DES的評價1997年1月28日，美國的RSA數(shù)據(jù)安全公司公布了一項(xiàng)“秘密密鑰挑戰(zhàn)”競賽，其中包括懸賞1萬美元破譯密鑰長度為56比特的DES。美國克羅拉多洲的程序員Verser從1997年2月18日起，用了96天時間，在Internet上數(shù)萬名志愿者的協(xié)同工作下成功破譯。1998年7月，電子前沿基金會（EFF）使用一臺25萬美元的電腦在56小時內(nèi)破譯了56比特密鑰的DES。1999年1月，RSA數(shù)據(jù)安全會議期間，電子前沿基金會用22小時15分鐘就宣告破解了一個DES的密鑰。關(guān)于DES的評價1997年1月28日，美國的RSA數(shù)據(jù)安全公公開密鑰加密技術(shù)對稱密鑰算法：加密密鑰和解密密鑰一樣

公開密鑰算法：加密和解密使用的是兩個不同的密鑰，也稱為非對稱密鑰算法。公開密鑰（publickey)，簡稱公鑰，是公開的，可以公布在網(wǎng)上，也可以公開傳遞給需要的人；私人密鑰（privatekey)，簡稱私鑰，是保密的，只有本人知道

。公開密鑰加密技術(shù)對稱密鑰算法：加密密鑰和解密密鑰一樣公開密公鑰加密體制的基本概念公鑰技術(shù)是二十世紀(jì)最偉大的思想之一

改變了密鑰分發(fā)的方式。公鑰加密的基本思想：利用求解某些數(shù)學(xué)難題的困難性。單向函數(shù)：單項(xiàng)函數(shù)計算起來相對容易，但求逆卻非常困難。

公鑰加密體制的基本概念公鑰技術(shù)是二十世紀(jì)最偉大的思想之一公RSA算法1977年由Rivest、Shamir和Adleman在麻省理工學(xué)院發(fā)明，1978年公布。應(yīng)用最廣泛的公鑰密碼算法RSA算法的理論基礎(chǔ)：大數(shù)分解：兩個大素數(shù)相乘在計算上是容易實(shí)現(xiàn)的，但將該乘積分解為兩個大素數(shù)因子的計算量卻相當(dāng)巨大。素數(shù)檢測：素數(shù)檢測就是判定一個給定的正整數(shù)是否為素數(shù)。RSA算法1977年由Rivest、Shamir和AdlemRSA算法Euler定理（歐拉定理）：a、r是兩個互素的正整數(shù)，則az

≡1（modr），其中z為與r互素且不大于r的正整數(shù)的個數(shù)（即Euler數(shù),(r)）。例如：兩個互素的正整數(shù)a=2、r=5，歐拉數(shù)z為4，則2的4次方=16，對5取模等于1。

RSA算法的生成步驟：設(shè)計密鑰，生成密文，恢復(fù)明文RSA算法Euler定理（歐拉定理）：RSA算法的生成步驟RSA算法舉例：（1）若Bob選擇了p=11和q＝13（2）那么，n=11×13=143,(n)=10×12＝120；（3）再選取一個與z=120互質(zhì)的數(shù),例如e=7(稱為“公開指數(shù)”),（4）找到一個值d=103(稱為"秘密指數(shù)")滿足e×d=1modz

（7×103=721除以120余1）（5）（143,7）為公鑰，（143，103）為私鑰。（6）Bob在一個目錄中公開公鑰：n=143和e=7（7）現(xiàn)假設(shè)Alice想發(fā)送明文85給Bob，她已經(jīng)從公開媒體得到了Bob的公開密鑰(n,e)=(143,7),于是計算：857(mod143)=123，且在一個信道上發(fā)送密文123。（8）當(dāng)Bob接收到密文123時，他用他的秘密解密指數(shù)（私鑰）d＝103進(jìn)行解密：123103（mod143)=85RSA算法舉例：（1）若Bob選擇了p=11和q＝13RSA的安全性RSA的安全性是基于加密函數(shù)ek(x)=xe(modn)是一個單向函數(shù)，所以對攻擊的人來說求逆計算不可行。攻破RSA等價于多項(xiàng)式的分解只要n足夠大，例如，有512比特，或1024比特甚至2048比特，任何人只知道公開密鑰(n，e)，很難算出秘密密鑰(n，d)。其困難在于從乘積n難以找出它的兩個巨大的質(zhì)數(shù)因子。

RSA的安全性RSA的安全性是基于加密函數(shù)ek(x)=xe(RSA的安全性整數(shù)n的十進(jìn)制位數(shù)因子分解的運(yùn)算次數(shù)所需計算時間（每微秒一次） 50 1.4x1010 3.9小時 75 9.0x1012 104天 100 2.3x1015 74年 200 1.2x1023 3.8x109年 300 1.5x1029 4.0x1015年 500 1.3x1039 4.2x1025年對RSA的攻擊方法：強(qiáng)力攻擊（窮舉法）——嘗試所有可能的私有密鑰數(shù)學(xué)分析攻擊——各種數(shù)學(xué)方法，等價于兩個素數(shù)乘積的因子分解RSA的安全性