網路安全——技術與實踐

全書共分3篇15章。第1篇為網路安全基礎，共3章，主要討論了與網路安全有關的基礎知識；第2篇為密碼學基礎，共5章，詳細地?致哿送?綈踩?興?婕暗母髦置藶爰際醯壞?篇為網路安全技術與套用，共7章，深入介紹了在實踐中常用的一些網路安全技術及產品。

本書內容豐富，概念清楚，語言精練。本書在每章的後面提供了大量思考題和練習題，以便於讀者鞏固課堂上所學的知識；在書末也提供了大量的參考文獻，便於有興趣的讀者繼續深入學習有關內容。

本書可作為信息安全、信息對抗、密碼學等專業的本科生和研究生的網路安全課程教材，也可以作為網路安全工程師、網路管理員和計算機用戶的參考書和培訓教材。

第1篇網路安全基礎

第1章引言 3

1.1對網路安全的需求 5

1.1.1網路安全發展態勢 5

1.1.2敏感信息對安全的需求 6

1.1.3網路套用對安全的需求 7

1.2安全威脅與防護措施 7

1.2.1基本概念 7

1.2.2安全威脅的來源 8

1.2.3安全防護措施 10

1.3網路安全策略 11

1.3.1授權 12

1.3.2訪問控制策略 12

1.3.3責任 13

1.4安全攻擊的分類 13

1.4.1被動攻擊 13

1.4.2主動攻擊 14

1.5網路攻擊的常見形式 15

1.5.1口令竊取 16

1.5.2欺騙攻擊 16

1.5.3缺陷和後門攻擊 17

1.5.4認證失效 18

1.5.5協定缺陷 19

1.5.6信息泄漏 19

1.5.7指數攻擊——病毒和蠕蟲 20

1.5.8拒絕服務攻擊 21

1.6開放系統互連安全體系結構 22

1.6.1安全服務 23

1.6.2安全機制 25

1.6.3安全服務與安全機制的關係 26

1.6.4在OSI層中的服務配置 27

1.7網路安全模型 27

習題 28

第2章低層協定的安全性 30

2.1基本協定 30

2.1.1網際協定 30

2.1.2地址解析協定 32

2.1.3傳輸控制協定 33

2.1.4用戶數據報協定 35

2.1.5Internet控制訊息協定 35

2.2網路地址和域名管理 36

2.2.1路由協定 36

2.2.2BOOTP和DHCP 38

2.2.3域名系統 39

2.3IPv6 42

2.3.1IPv6簡介 42

2.3.2過濾IPv6 44

2.4網路地址轉換 45

習題 45

第3章高層協定的安全性 47

3.1電子郵件協定 47

3.1.1SMTP 47

3.1.2POP3協定 49

3.1.3MIME 50

3.1.4Internet訊息訪問協定 51

3.2Internet電話協定 52

3.2.1H.323 52

3.2.2SIP 52

3.3訊息傳輸協定 53

3.3.1簡單檔案傳輸協定 53

3.3.2檔案傳輸協定 54

3.3.3網路檔案傳輸系統 57

3.3.4伺服器訊息塊協定 59

3.4遠程登錄協定 59

3.4.1Telnet 59

3.4.2SSH 60

3.5簡單網路管理協定 61

3.6網路時間協定 62

3.7信息服務 63

3.7.1用戶查詢服務 63

3.7.2資料庫查詢服務 64

3.7.3LDAP 65

3.7.4WWW服務 67

3.7.5網路訊息傳輸協定 68

3.7.6多播及MBone 68

習題 69

第2篇密碼學基礎

第4章單（私）鑰密碼體制 73

4.1密碼體制的定義 73

4.2古典密碼 74

4.2.1代換密碼 75

4.2.2換位密碼 77

4.2.3古典密碼的安全性 78

4.3流密碼的基本概念 79

4.3.1流密碼框圖和分類 80

4.3.2密鑰流生成器的結構和分類 81

4.3.3密鑰流的局部統計檢驗 82

4.3.4隨機數與密鑰流 83

4.4快速軟、硬體實現的流密碼算法 83

4.4.1A5 83

4.4.2加法流密碼生成器 84

4.4.3RC4 85

4.5分組密碼概述 86

4.6數據加密標準（DES） 89

4.6.1DES介紹 89

4.6.2DES的核心作用：訊息的隨機非線性分布 91

4.6.3DES的安全性 92

4.7高級加密標準（AES） 92

4.7.1Rijndael密碼概述 93

4.7.2Rijndael密碼的內部函式 94

4.7.3AES密碼算法 97

4.7.4AES的密鑰擴展 98

4.7.5AES對套用密碼學的積極影響 101

4.8其他重要的分組密碼算法 101

4.8.1IDEA 101

4.8.2SAFERK-64 105

4.8.3RC5 107

4.9分組密碼的工作模式 109

4.9.1電碼本模式 110

4.9.2密碼分組連結模式 111

4.9.3密碼反饋模式 111

4.9.4輸出反饋模式 112

4.9.5計數器模式 114

習題 114

第5章雙（公）鑰密碼體制 116

5.1雙鑰密碼體制的基本概念 117

5.1.1單向函式 117

5.1.2陷門單向函式 118

5.1.3公鑰系統 118

5.1.4用於構造雙鑰密碼的單向函式 118

5.2RSA密碼體制 121

5.2.1體制 121

5.2.2RSA的安全性 122

5.2.3RSA的參數選擇 125

5.2.4RSA體制實用中的其他問題 127

5.2.5RSA的實現 127

5.3背包密碼體制 128

5.3.1背包問題 128

5.3.2簡單背包 129

5.3.3Merkle-Hellman陷門背包 129

5.3.4M-H體制的安全性 130

5.3.5背包體制的缺陷 131

5.3.6其他背包體制 131

5.4Rabin密碼體制 131

5.4.1Rabin體制 131

5.4.2Williams體制 132

5.5ElGamal密碼體制 132

5.5.1方案 133

5.5.2加密 133

5.5.3安全性 133

5.6橢圓曲線密碼體制 133

5.6.1實數域上的橢圓曲線 134

5.6.2有限域Zp上的橢圓曲線 135

5.6.3GF(2m)上的橢圓曲線 137

5.6.4橢圓曲線密碼 138

5.6.5橢圓曲線的安全性 139

5.6.6ECC的實現 139

5.6.7當前ECC的標準化工作 140

5.6.8橢圓曲線上的RSA密碼體制 141

5.6.9用圓錐曲線構造雙鑰密碼體制 141

5.7基於身份的密碼體制 142

5.7.1引言 142

5.7.2雙線性映射和雙線性D-H假設 143

5.7.3IBE方案描述 144

5.7.4IBE方案的安全性 145

5.8公鑰密碼體制的分析 147

習題 149

第6章訊息認證與雜湊函式 151

6.1認證函式 151

6.1.1訊息加密 151

6.1.2訊息認證碼 155

6.1.3雜湊函式 157

6.1.4雜湊函式的性質 158

6.2訊息認證碼 159

6.2.1對MAC的要求 159

6.2.2基於密鑰雜湊函式的MAC 160

6.2.3基於分組加密算法的MAC 161

6.3雜湊函式 162

6.3.1單向雜湊函式 162

6.3.2雜湊函式在密碼學中的套用 162

6.3.3分組疊代單向雜湊算法的層次結構 162

6.3.4疊代雜湊函式的構造方法 163

6.3.5套用雜湊函式的基本方式 164

6.4MD-4和MD-5 166

6.4.1算法步驟 166

6.4.2MD-5的安全性 169

6.4.3MD-5的實現 169

6.4.4MD-4與MD-5算法差別 170

6.4.5MD-2和MD-3 170

6.5安全雜湊算法 170

6.5.1算法 170

6.5.2SHA的安全性 172

6.5.3SHA與MD-4、MD-5的比較 173

6.6HMAC 174

6.6.1HMAC的設計目標 174

6.6.2算法描述 175

6.6.3HMAC的安全性 175

習題 176

第7章數字簽名 178

7.1數字簽名基本概念 178

7.2RSA簽名體制 179

7.3Rabin簽名體制 180

7.4ElGamal簽名體制 181

7.5Schnorr簽名體制 182

7.6DSS簽名標準 184

7.6.1概況 184

7.6.2簽名和驗證簽名的基本框圖 184

7.6.3算法描述 184

7.6.4DSS簽名和驗證框圖 185

7.6.5公眾反應 185

7.6.6實現速度 185

7.7基於橢圓曲線的數字簽名體制 186

7.8其他數字簽名體制 186

7.8.1離散對數簽名體制 186

7.8.2不可否認簽名 187

7.8.3防失敗簽名 187

7.8.4盲簽名 187

7.8.5群簽名 188

7.8.6代理簽名 189

7.8.7指定證實人的簽名 189

7.8.8一次性數字簽名 189

7.8.9雙有理簽名方案 190

7.8.10數字簽名的套用 190

習??190

第8章密碼協定 191

8.1協定的基本概念 191

8.1.1仲裁協定（ArbitratedProtocol） 191

8.1.2裁決協定（AdjudicatedProtocol） 193

8.1.3自動執行協定（Self-EnforcingProtocol） 193

8.2安全協定分類及基本密碼協定 195

8.2.1密鑰建立協定 195

8.2.2認證建立協定 200

8.2.3認證的密鑰建立協定 204

8.3秘密分拆協定 213

8.4會議密鑰分配和秘密廣播協定 214

8.4.1秘密廣播協定 214

8.4.2會議密鑰分配協定 215

8.5密碼協定的安全性 216

8.5.1對協定的攻擊 216

8.5.2密碼協定的安全性分析 220

習題 221

第3篇網路安全技術與套用

第9章數字證書與公鑰基礎設施 225

9.1PKI的基本概念 225

9.1.1PKI的定義 225

9.1.2PKI的組成 225

9.1.3PKI的套用 227

9.2數字證書 228

9.2.1數字證書的概念 229

9.2.2數字證書的結構 229

9.2.3數字證書的生成 231

9.2.4數字證書的簽名與驗證 233

9.2.5數字證書層次與自?┟??種な?235

9.2.6交叉證書 237

9.2.7數字證書的撤銷 238

9.2.8漫遊證書 243

9.2.9屬性證書 244

9.3PKI體系結構——PKIX模型 245

9.3.1PKIX服務 245

9.3.2PKIX體系結構 245

9.4PKI實例 246

9.5授權管理設施——PMI 247

9.5.1PMI的定義 247

9.5.2PMI與PKI的關係 248

9.5.3實現PMI的機制 249

9.5.4PMI模型 250

9.5.5基於PMI建立安全套用 251

習題 252

第10章網路加密與密鑰管理 254

10.1網路加密的方式及實現 254

10.1.1鏈路加密 254

10.1.2節點加密 255

10.1.3端到端加密 255

10.1.4混合加密 256

10.2硬體、軟體加密及有關問題 257

10.2.1硬體加密的優點 257

10.2.2硬體種類 258

10.2.3軟體加密 258

10.2.4存儲數據加密的特點 258

10.2.5檔案刪除 259

10.3密鑰管理基本概念 259

10.3.1密鑰管理 259

10.3.2密鑰的種類 260

10.4密鑰生成 261

??0.4.1密鑰選擇對安全性的影響 262

10.4.2好的密鑰 262

10.4.3不同等級的密鑰產生的方式不同 262

10.5密鑰分配 263

10.5.1基本方法 263

10.5.2密鑰分配的基本工具 265

10.5.3密鑰分配系統的基本模式 265

10.5.4可信第三方TTP 265

10.5.5密鑰注入 267

10.6密鑰的證實 267

10.6.1單鑰證書 268

10.6.2公鑰的證實技術 269

10.6.3公鑰認證樹 269

10.6.4公鑰證書 270

10.6.5基於身份的公鑰系統 271

10.6.6隱式證實公鑰 272

10.7密鑰的保護、存儲與備份 273

10.7.1密鑰的保護 273

10.7.2密鑰的存儲 274

10.7.3密鑰的備份 274

10.8密鑰的泄漏、吊銷、過期與銷毀 275

10.8.1泄漏與吊銷 275

10.8.2密鑰的有效期 275

10.8.3密鑰銷毀 275

10.9密鑰控制 276

10.10多個管區的密鑰管理 277

10.11密鑰管理系統 279

習題 281

第11章無線網路安全 282

11.1無線網路面臨的安全威脅 282

11.2無線蜂窩網路的安全性 285

11.2.1GSM的安全性 285

11.2.2CDMA的安全性 288

11.2.33G系統的安全性 290

11.3無線數據網路的安全性 292

11.3.1有線等效保密協定 292

11.3.2802.1x協定介紹 294

11.3.3802.11i標準介紹 295

11.3.4802.16標準的安全性 298

11.3.5WAPI標準簡介 301

11.3.6WAP的安全性 302

11.4Adhoc網路的安全性 305

11.4.1Adhoc網路保密與認證技術 306

11.4.2Adhoc網路的安全路由 309

11.4.3Adhoc網路的入侵檢測 309

11.4.4Adhoc網路的信任建立 310

習題 310

第12章防火牆技術 312

12.1防火牆概述 312

12.2防火牆的類型和結構 314

12.2.1防火牆分類 315

12.2.2網路地址轉換 317

12.3靜態包過濾器 322

12.3.1工作原理 322

12.3.2安全性討論 326

12.4動態包過濾防火牆 327

12.4.1工作原理 327

12.4.2安全性討論 330

12.5電路級網關 331

??2.5.1工作原理 332

12.5.2安全性討論 334

12.6套用級網關 335

12.6.1工作原理 335

12.6.2安全性討論 337

12.7狀態檢測防火牆 339

12.7.1工作原理 339

12.7.2安全性分析 340

12.8切換代理 342

12.8.1工作原理 342

12.8.2安全性討論 342

12.9空氣隙防火牆 343

12.9.1工作原理 343

12.9.2安全性分析 344

12.10分散式防火牆 345

12.10.1工作原理 345

12.10.2分散式防火牆的優缺點 346

12.11防火牆的發展趨勢 346

12.11.1硬體化 346

12.11.2多功能化 347

12.11.3安全性 348

習題 348

第13章入侵檢測技術 350

13.1入侵檢測概述 350

13.1.1入侵檢測的概念 351

13.1.2IDS的主要功能 352

13.1.3IDS的任務 353

13.1.4IDS的評價標準 354

13.2入侵檢測原理及主要方法 355

13.2.1異常檢測基本原理 355

13.2.2誤用檢測基本原理 356

13.2.3各種入侵檢測技術 356

13.3IDS的結構與分類 359

13.3.1IDS的結構 360

13.3.2IDS的分類 361

13.4NIDS 362

13.4.1NIDS設計 363

13.4.2NIDS關鍵技術 364

13.5HIDS 367

13.5.1HIDS設計 368

13.5.2HIDS關鍵技術 369

13.6DIDS 371

13.7IDS設計上的考慮與部署 372

13.7.1控制台的設計 372

13.7.2自身安全設計 373

13.7.3IDS的典型部署 374

13.8IDS的發展方向 375

習題 377

第14章VPN技術 378

14.1VPN概述 378

14.1.1VPN的概念 378

14.1.2VPN的特點 378

14.1.3VPN的分類 379

14.1.4VPN關鍵技術 380

14.2隧道協定與VPN 381

14.2.1第2層隧道協定 382

14.2.2第3層隧道協定 384

14.3IPSecVPN 385

14.3.1IPSec協定概述 385

14.3.2IPSec的工作原理 386

14.3.3IPSec中的主要協定 387

14.3.4安全關聯 390

14.3.5IPSecVPN的構成 391

14.3.6IPSec的?迪?392

14.4SSL/TLSVPN 392

14.4.1TLS協定概述 392

14.4.2TLSVPN的原理 393

14.4.3TLSVPN的優缺點 395

14.4.4TLSVPN的套用 396

14.4.5TLSVPN與IPSecVPN比較 396

14.5PPTPVPN 397

14.5.1PPTP概述 397

14.5.2PPTPVPN的原理 398

14.5.3PPTPVPN的優缺點 399

14.6MPLSVPN 399

14.6.1MPLS協定概述 400

14.6.2MPLSVPN的原理 401

14.6.3MPLSVPN的優缺點 402

14.7本章小結 403

習題 404

第15章身份認證技術 406

15.1身份證明 406

15.1.1身份欺詐 406

15.1.2身份證明系統的組成和要求 407

15.1.3身份證明的基本分類 408

15.1.4實現身份證明的基本途徑 408

15.2口令認證系統 409

15.2.1概述 409

15.2.2口令的控制措施 411

15.2.3口令的檢驗 411

15.2.4口令的安全存儲 412

15.3個人特徵的身份證明技術 413

15.3.1手書籤字驗證 413

15.3.2指紋驗證 414

15.3.3語音驗證 415

15.3.4視網膜圖樣驗證 415

15.3.5虹膜圖樣驗證 415

15.3.6臉型驗證 416

15.3.7身份證明系統的設計 416

15.4一次性口令認證 417

15.4.1挑戰/回響機制 417

15.4.2口令序列機制 418

15.4.3時間同步機制 418

15.4.4事件同步機制 419

15.4.5幾種一次性口令實現機制的比較 420

15.5基於證書的認證 421

15.5.1簡介 421

15.5.2基於證書認證的工作原理 421

15.6智慧卡技術及其套用 424

15.7AAA認證協定與移動IP技術 426

15.7.1AAA的概念及AAA協定 427

15.7.2移動IP與AAA的結合 430

習題 432