前言
隨著Internet在全球的普及和發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)成為信息的主要載體之一。計(jì)算機(jī)網(wǎng)絡(luò)的全球互聯(lián)趨勢越來越明顯,其應(yīng)用范圍日漸普及和廣泛,應(yīng)用層次逐步深入。國家發(fā)展、社會運(yùn)轉(zhuǎn)以及人類的各項(xiàng)活動對計(jì)算機(jī)網(wǎng)絡(luò)的依賴性越來越強(qiáng)。計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人類社會生活不可缺少的組成部分。
與此同時(shí),隨著網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的逐步普及,網(wǎng)絡(luò)安全問題也越發(fā)突出,受到越來越廣泛的關(guān)注。計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)不斷受到侵害,侵害形式日益多樣化,侵害手段和技術(shù)日趨先進(jìn)和復(fù)雜化,已經(jīng)嚴(yán)重威脅到網(wǎng)絡(luò)和信息的安全。一方面,計(jì)算機(jī)網(wǎng)絡(luò)提供了豐富的資源以便用戶共享;另一方面,資源共享度的提高也增加了網(wǎng)絡(luò)受威脅和攻擊的可能性。事實(shí)上,資源共享和網(wǎng)絡(luò)安全是一對矛盾,隨著資源共享的加強(qiáng),網(wǎng)絡(luò)安全問題也日益突出。計(jì)算機(jī)網(wǎng)絡(luò)的安全已成為當(dāng)今信息化建設(shè)的核心問題之一。
網(wǎng)絡(luò)安全指網(wǎng)絡(luò)系統(tǒng)的軟件、硬件以及系統(tǒng)中存儲和傳輸?shù)臄?shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,網(wǎng)絡(luò)系統(tǒng)連續(xù)可靠正常地運(yùn)行,網(wǎng)絡(luò)服務(wù)不中斷。從其本質(zhì)上講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。為了保證網(wǎng)絡(luò)上信息的安全,首先需要自主計(jì)算機(jī)系統(tǒng)的安全;其次需要互聯(lián)的安全,即連接自主計(jì)算機(jī)的通信設(shè)備、通信鏈路、網(wǎng)絡(luò)軟件和通信協(xié)議的安全;最后需要各種網(wǎng)絡(luò)服務(wù)和應(yīng)用的安全。從廣義來說,凡是涉及網(wǎng)絡(luò)上信息的機(jī)密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都是網(wǎng)絡(luò)安全的研究領(lǐng)域。
網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)理論和技術(shù)發(fā)展很快。為使讀者全面、及時(shí)地了解和應(yīng)用最新的網(wǎng)絡(luò)安全技術(shù),掌握網(wǎng)絡(luò)安全的最新實(shí)踐技能,編者在本書第2版的基礎(chǔ)上進(jìn)行了修訂和補(bǔ)充。本次修訂,保留和強(qiáng)化了實(shí)用性、體系結(jié)構(gòu)、主線示例貫穿等特色,同時(shí)優(yōu)化內(nèi)容,淘汰陳舊知識、加入了當(dāng)前最新的網(wǎng)絡(luò)安全理論與算法;進(jìn)一步擴(kuò)充了網(wǎng)絡(luò)安全實(shí)踐的相關(guān)技術(shù)細(xì)節(jié),并從知識內(nèi)容優(yōu)選、示例更新、實(shí)驗(yàn)體系擴(kuò)展等多個(gè)方面進(jìn)行修訂,完善了理論教學(xué)內(nèi)容,充實(shí)了實(shí)驗(yàn)指導(dǎo)。使得學(xué)生在系統(tǒng)學(xué)習(xí)基本概念、基本理論的基礎(chǔ)上,深入理解并掌握常見網(wǎng)絡(luò)安全防護(hù)技術(shù)。
本書以網(wǎng)絡(luò)面臨的常見安全問題以及相應(yīng)的檢測、防護(hù)和恢復(fù)為主線,系統(tǒng)地介紹了網(wǎng)絡(luò)安全的基本概念、理論基礎(chǔ)、安全技術(shù)及其應(yīng)用。全書共〖1〗計(jì)算機(jī)網(wǎng)絡(luò)安全前言[3]〖3〗11章,內(nèi)容包括計(jì)算機(jī)網(wǎng)絡(luò)安全概述、密碼學(xué)、消息鑒別和數(shù)字簽名、身份認(rèn)證、Internet安全、惡意代碼及其防殺、防火墻、網(wǎng)絡(luò)攻擊與防范、虛擬專用網(wǎng)、無線網(wǎng)絡(luò)安全、移動互聯(lián)網(wǎng)安全等。希望通過本次修訂,能夠反映網(wǎng)絡(luò)安全理論和技術(shù)的最新研究和教學(xué)進(jìn)展,用通俗易懂的語言向讀者全面而系統(tǒng)地介紹網(wǎng)絡(luò)安全相關(guān)理論和技術(shù),幫助讀者建立完整的網(wǎng)絡(luò)安全知識體系,掌握網(wǎng)絡(luò)安全保護(hù)的實(shí)際技能。
本書內(nèi)容完整,安排合理,難度適中;理論聯(lián)系實(shí)際,原理和技術(shù)有機(jī)結(jié)合;邏輯性強(qiáng),重點(diǎn)突出;文字簡明,通俗易懂。本書可作為高等院校計(jì)算機(jī)及其相關(guān)專業(yè)的本科生、大專生的教材,也可作為網(wǎng)絡(luò)管理人員、網(wǎng)絡(luò)工程技術(shù)人員的參考書。
在本書的修訂編寫和申報(bào)“十二五”國家級規(guī)劃教材的過程中得到了清華大學(xué)出版社的大力幫助和支持,在此表示由衷的感謝。
鑒于編者水平有限,書中難免出現(xiàn)錯(cuò)誤和不當(dāng)之處,殷切希望各位讀者提出寶貴意見,并懇請各位專家、學(xué)者批評指正。
編者
2016年7月
第1章概述/1
1.1網(wǎng)絡(luò)安全挑戰(zhàn)1
1.2網(wǎng)絡(luò)安全的基本概念3
1.2.1網(wǎng)絡(luò)安全的定義3
1.2.2網(wǎng)絡(luò)安全的屬性4
1.2.3網(wǎng)絡(luò)安全層次結(jié)構(gòu)4
1.2.4網(wǎng)絡(luò)安全模型5
1.3OSI安全體系結(jié)構(gòu)7
1.3.1安全攻擊7
1.3.2安全服務(wù)10
1.3.3安全機(jī)制11
1.4網(wǎng)絡(luò)安全防護(hù)體系14
1.4.1網(wǎng)絡(luò)安全策略14
1.4.2網(wǎng)絡(luò)安全體系15
思考題17
第2章密碼學(xué)/18
2.1密碼學(xué)概述18
2.1.1密碼學(xué)的發(fā)展18
2.1.2密碼學(xué)的基本概念19
2.1.3密碼的分類20
2.2古典密碼體制22
2.2.1置換技術(shù)22
2.2.2代換技術(shù)23
2.2.3古典密碼分析27
2.2.4一次一密28
2.3對稱密碼體制29
2.3.1對稱密碼體制的概念29
2.3.2DES31
2.3.3AES38〖1〗計(jì)算機(jī)網(wǎng)絡(luò)安全目錄[3]〖3〗2.3.4分組密碼的工作模式42
2.3.5RC444
2.4公鑰密碼體制45
2.4.1公鑰密碼體制原理45
2.4.2RSA算法50
2.4.3ElGamal公鑰密碼體制52
2.4.4DiffieHellman密鑰交換協(xié)議53
2.5密碼學(xué)的新進(jìn)展56
2.5.1同態(tài)加密56
2.5.2屬性基加密58
2.5.3可搜索加密59
思考題60
第3章消息鑒別與數(shù)字簽名/61
3.1消息鑒別61
3.1.1消息鑒別的概念62
3.1.2基于MAC的鑒別62
3.1.3基于散列函數(shù)的鑒別64
3.1.4散列函數(shù)67
3.2數(shù)字簽名72
3.2.1數(shù)字簽名簡介73
3.2.2基于公鑰密碼的數(shù)字簽名原理74
3.2.3數(shù)字簽名算法75
思考題78
第4章身份認(rèn)證/79
4.1用戶認(rèn)證79
4.1.1基于口令的認(rèn)證80
4.1.2基于智能卡的認(rèn)證81
4.1.3基于生物特征的認(rèn)證82
4.2認(rèn)證協(xié)議83
4.2.1單向認(rèn)證83
4.2.2雙向認(rèn)證84
4.3Kerberos86
4.3.1Kerberos版本487
4.3.2Kerberos版本593
4.4X.509認(rèn)證服務(wù)97
4.4.1證書97
4.4.2認(rèn)證的過程100
4.4.3X.509版本3101
4.5公鑰基礎(chǔ)設(shè)施102
4.5.1PKI體系結(jié)構(gòu)102
4.5.2認(rèn)證機(jī)構(gòu)103
4.5.3PKIX相關(guān)協(xié)議105
4.5.4PKI信任模型106
思考題109
第5章Internet安全/110
5.1IP安全110
5.1.1IPSec體系結(jié)構(gòu)110
5.1.2IPSec工作模式112
5.1.3AH協(xié)議113
5.1.4ESP協(xié)議114
5.1.5IKE117
5.2SSL/TLS120
5.2.1SSL體系結(jié)構(gòu)121
5.2.2SSL記錄協(xié)議123
5.2.3SSL修改密碼規(guī)范協(xié)議125
5.2.4SSL報(bào)警協(xié)議125
5.2.5SSL握手協(xié)議126
5.2.6TLS130
5.2.7HTTPS130
5.3PGP131
5.3.1PGP操作132
5.3.2PGP密鑰136
5.4Internet欺騙141
5.4.1ARP欺騙141
5.4.2DNS欺騙143
5.4.3IP地址欺騙144
5.4.4Web欺騙146
思考題147
第6章惡意代碼/149
6.1惡意代碼的概念及關(guān)鍵技術(shù)149
6.1.1惡意代碼概念149
6.1.2惡意代碼生存技術(shù)150
6.1.3惡意代碼隱藏技術(shù)152
6.2計(jì)算機(jī)病毒153
6.2.1計(jì)算機(jī)病毒概述153
6.2.2計(jì)算機(jī)病毒防治技術(shù)157
6.3木馬163
6.3.1木馬概述163
6.3.2木馬工作原理164
6.3.3木馬防治技術(shù)167
6.4蠕蟲170
6.4.1蠕蟲概述170
6.4.2蠕蟲的傳播過程173
6.4.3蠕蟲的分析和防范173
6.5其他常見惡意代碼174
思考題176
第7章防火墻/177
7.1防火墻的概念177
7.2防火墻的特性178
7.3防火墻的技術(shù)179
7.3.1包過濾技術(shù)180
7.3.2代理服務(wù)技術(shù)184
7.3.3狀態(tài)檢測技術(shù)187
7.3.4自適應(yīng)代理技術(shù)189
7.4防火墻的體系結(jié)構(gòu)189
7.5個(gè)人防火墻191
7.6防火墻的應(yīng)用與發(fā)展192
7.6.1防火墻的應(yīng)用192
7.6.2防火墻技術(shù)的發(fā)展193
思考題194
第8章網(wǎng)絡(luò)攻擊與防范/195
8.1網(wǎng)絡(luò)攻擊概述195
8.1.1網(wǎng)絡(luò)攻擊的概念195
8.1.2網(wǎng)絡(luò)攻擊的類型196
8.1.3網(wǎng)絡(luò)攻擊的過程197
8.2常見網(wǎng)絡(luò)攻擊199
8.2.1拒絕服務(wù)攻擊199
8.2.2分布式拒絕服務(wù)攻擊201
8.2.3緩沖區(qū)溢出攻擊203
8.2.4僵尸網(wǎng)絡(luò)205
8.3入侵檢測209
8.3.1入侵檢測概述209
8.3.2入侵檢測系統(tǒng)分類212
8.3.3分布式入侵檢測217
8.3.4入侵檢測技術(shù)發(fā)展趨勢218
8.4計(jì)算機(jī)緊急響應(yīng)220
8.4.1緊急響應(yīng)220
8.4.2蜜罐技術(shù)221
思考題223
第9章虛擬專用網(wǎng)/224
9.1VPN概述224
9.1.1VPN的概念224
9.1.2VPN的基本類型226
9.1.3VPN的實(shí)現(xiàn)技術(shù)228
9.1.4VPN的應(yīng)用特點(diǎn)231
9.2隧道技術(shù)232
9.2.1隧道的概念232
9.2.2隧道的基本類型234
9.3實(shí)現(xiàn)VPN的二層隧道協(xié)議234
9.3.1PPTP235
9.3.2L2F238
9.3.3L2TP240
9.4實(shí)現(xiàn)VPN的三層隧道協(xié)議242
9.4.1GRE242
9.4.2IPSec244
9.5MPLS VPN245
9.5.1MPLS的概念和組成246
9.5.2MPLS的工作原理247
9.5.3MPLS VPN的概念和組成248
9.5.4MPLS VPN的數(shù)據(jù)轉(zhuǎn)發(fā)過程249
9.6SSL VPN250
9.6.1SSL VPN概述250
9.6.2基于Web瀏覽器模式的SSL VPN251
9.6.3SSL VPN的應(yīng)用特點(diǎn)253
思考題254
第10章無線網(wǎng)絡(luò)安全/255
10.1無線網(wǎng)絡(luò)安全背景255
10.2IEEE 802.11無線網(wǎng)絡(luò)安全256
10.2.1IEEE 802.11無線網(wǎng)絡(luò)背景256
10.2.2WEP258
10.2.3IEEE 802.11i262
10.3IEEE 802.16無線網(wǎng)絡(luò)安全274
10.3.1數(shù)據(jù)加密封裝協(xié)議275
10.3.2密鑰管理協(xié)議276
思考題278
第11章移動互聯(lián)網(wǎng)安全/279
11.1移動互聯(lián)網(wǎng)安全簡介279
11.1.1移動互聯(lián)網(wǎng)的概念與特點(diǎn)279
11.1.2移動互聯(lián)網(wǎng)安全問題280
11.2移動互聯(lián)網(wǎng)的終端安全281
11.2.1終端安全威脅281
11.2.2終端安全模型282
11.33GPP安全284
11.3.13GPP安全架構(gòu)284
11.3.23GPP安全機(jī)制285
11.3.33GPP AKA286
思考題287
附錄A實(shí)驗(yàn)指導(dǎo)/288
實(shí)驗(yàn)1密碼學(xué)實(shí)驗(yàn)288
實(shí)驗(yàn)2操作系統(tǒng)安全實(shí)驗(yàn)289
實(shí)驗(yàn)3網(wǎng)絡(luò)監(jiān)聽與掃描實(shí)驗(yàn)291
實(shí)驗(yàn)4剖析特洛伊木馬292
實(shí)驗(yàn)5使用PGP實(shí)現(xiàn)電子郵件安全293
實(shí)驗(yàn)6防火墻實(shí)驗(yàn)293
實(shí)驗(yàn)7入侵檢測軟件Snort的使用與分析295
實(shí)驗(yàn)8IEEE 802.11加密與認(rèn)證296
附錄B課程設(shè)計(jì)指導(dǎo)/297
參考文獻(xiàn)/299