網路與信息安全（第二版）

本書系統地闡述了網路與信息安全的各種知識，包括，網路與信息安全的基本概念；密碼學及加密技術的使用；作業系統、資料庫和防火牆的安全配置；公鑰基礎設施、訪問控制、系統審計、VPN、入侵檢測等安全技術；現代加密的新型研究方向——混沌密碼和量子密碼；近幾年的研究熱點——信息隱藏與數字水印；IPv6的安全；網路與信息安全實驗等。為了學以致用，每章後面都有習題，可以作為課程作業或複習要點。

本書將理論知識和實際套用有機地結合在一起，以實際套用中經常遇到的問題作為案例。 本書的內容經過精心編排，適合作為計算機、信息安全、通信、計算機網路等專業本科生、研究生的教材或學習參考書，對相關領域研究人員和專業技術人員也具有一定的參考價值。

1.1 網路與信息安全的基本概念 1

1.2 網路安全威脅 3

1.2.1 網路安全威脅的類型 3

1.2.2 網路安全威脅的動機 4

1.3 網路安全的層次結構 5

1.3.1 物理安全 5

1.3.2 安全控制 5

1.3.3 安全服務 6

1.4 安全評價標準 6

1.4.1 可信計算機系統評估準則 7

1.4.2 網路安全服務 8

1.4.3 特定安全機制 10

1.4.4 普遍性安全機制 11

1.5 研究網路與信息安全的意義 13

小結 14

習題 14

2.1 密碼學原理 16

2.1.1 密碼學的基本原理 16

2.1.2 安全密碼準則 16

2.1.3 對稱密鑰密碼和非對稱密鑰密碼 17

2.1.4 密碼分析 18 2.2 數據加密標準（DES） 19

2.2.1 DES算法 19

2.2.2 三重DES 25

2.3 IDEA算法 26

2.4 高級加密標準（AES） 28

2.4.1 高級加密標準產生背景 28

2.4.2 Rijndael算法 28

2.5 序列密碼 30

2.5.1 序列密碼原理 30

2.5.2 A5算法 30

小結 31

習題 31

3.1 單向散列函式概述 32

3.2 MD5 33

3.2.1 MD5算法 33

3.2.2 舉例 36

3.3 SHA-1 36

3.3.1 SHA-1算法 37

3.3.2 舉例 38

3.3.3 SHA-1與MD5的比較 39

3.4 訊息認證碼（MAC） 40

3.4.1 訊息認證碼基本概念 40

3.4.2 訊息的完整性驗證 40

3.4.3 HMAC算法 40

3.5 對單向散列函式的攻擊 42

3.5.1 字典攻擊 42

3.5.2 窮舉攻擊 42

小結 43

習題 43

4.1 公鑰密碼概述 44

4.2 RSA密碼系統 46

4.2.1 RSA算法 47

4.2.2 對RSA算法的挑戰 48

4.3 Diffie-Hellman密鑰交換 48

4.3.1 Diffie-Hellman算法 48

4.3.2 中間人攻擊 49

4.3.3 認證的Diffie-Hellman密鑰交換 50

4.3.4 三方或多方Diffie-Hellman 50

4.4 數字簽名 51

4.4.1 數字簽名概述 51

4.4.2 數字簽名的方法 51

4.4.3 帶加密的數字簽名 53

4.5 數字簽名算法 54

4.5.1 數字簽名算法DSA 54

4.5.2 RSA簽名方案 55

4.6 加密算法綜合套用——PGP 55

4.6.1 PGP簡介 55

4.6.2 PGP的加密算法和密鑰管理 56

4.6.3 PGP安裝 59

4.6.4 創建和設定初始用戶 59

4.6.5 PGPkeys 59

4.6.6 PGPmail 62

4.6.7 PGPdisk 63

小結 64

習題 64

5.1 混沌概述 66

5.1.1 混沌起源 66

5.1.2 混沌的定義 67

5.1.3 混沌的3個主要特徵 68

5.1.4 混沌模型 69

5.2 混沌系統套用 71

5.2.1 基於混沌的檔案加密 71

5.2.2 Lorenz混沌系統的高效數值量化 72

5.2.3 混沌序列密碼對圖像加密 72

5.2.4 混沌同步構造非對稱數字水印 73

5.3 量子加密密碼體系 73

5.3.1 量子密碼的提出 74

5.3.2 量子物理學基礎 74

5.3.3 量子密碼學 74

5.3.4 量子密碼的安全性分析 76

5.4 量子密碼的套用領域 77

小結 78

習題 78

6.1 信息隱藏技術概述 79

6.1.1 信息隱藏的產生背景 80

6.1.2 信息隱藏的基本原理 80

6.1.3 信息隱藏系統的特徵 81

6.1.4 信息隱藏技術的主要分支與套用 82

6.2 數字水印概述 83

6.2.1 數字水印系統的基本框架 83

6.2.2 數字水印的主要特徵 84

6.2.3 數字水印分類 84

6.2.4 數字水印原理 85

6.2.5 數字圖像水印的典型算法 86

6.2.6 數字水印的攻擊類型及對策 88

6.2.7 數字水印的評價標準 90

6.2.8 數字水印的主要套用領域 91

6.3 基於混沌的小波域數字水印 92

6.3.1 小波變換 92

6.3.2 圖像的小波分解與重構 92

6.3.3 水印信息預處理 94

6.3.4 水印嵌入和提取模型 95

6.3.5 基於混沌與DWT的中高頻域水印算法 96

6.3.6 仿真結果與分析 97 6.3.7 結論 99

6.4 數字水印研究狀況與展望 99

小結 100

習題 101

7.1 PKI概述 102

7.1.1 公鑰密碼系統的問題 102

7.1.2 PKI的概念、目的、實體構成和服務 103

7.2 證書權威（CA） 104

7.2.1 CA的功能和組成 104

7.2.2 CA對用戶證書的管理 106

7.2.3 密碼硬體簡介 109

7.2.4 商用CA產品 110

7.3 數字證書和CRL 111

7.3.1 ASN.1概述 111

7.3.2 X.509證書 113

7.3.3 證書撤銷列表與線上證書狀態協定 116

7.3.4 密碼操作開發工具 117

7.4 信任模型 119

7.4.1 證書驗證方法 119

7.4.2 信任模型 120

7.5 軟體防篡改 122

小結 123

習題 123

8.1 計算機安全模型及機制 124

8.2 身份認證 125

8.2.1 用戶名和口令認證 126

8.2.2 令牌和USB key認證 127

8.2.3 生物識別認證 127

8.3 訪問控制 127

8.3.1 基本概念 127

8.3.2 自主訪問控制 128

8.3.3 強制訪問控制 131

8.3.4 基於角色的訪問控制 133

8.3.5 基於任務的訪問控制 136

8.3.6 基於角色和任務的訪問控制 139

8.3.7 使用控制 141

8.3.8 訪問控制小結 148

8.4 企業Web系統中的RBAC 149

8.5 系統審計 152

8.5.1 審計及審計跟蹤 153

8.5.2 安全審計 153

8.6 授權管理基礎設施（PMI） 154

8.6.1 PMI概述 154

8.6.2 PMI技術的授權管理模式及其優點 155

8.6.3 PMI系統的架構 156

8.6.4 對PMI系統的要求 157

8.6.5 PMI套用舉例 158

小結 158

習題 159

9.1 Windows系統的安全 160

9.1.1 賬戶的安全設定 161

9.1.2 網上鄰居的安全設定 165

9.1.3 防病毒安全設定 169

9.1.4 口令安全設定 170

9.1.5 其他安全設定 171

9.2 UNIX/Linux系統的安全 175

9.2.1 超級用戶安全管理 175

9.2.2 用戶賬號安全管理 176

9.2.3 檔案和目錄的安全 176

9.2.4 關於SUID程式 177

小結 178

習題 178

10.1 資料庫安全概述 179

10.1.1 資料庫安全技術 180

10.1.2 多級資料庫 181

10.2 資料庫加密 182

10.2.1 資料庫加密的基本要求 182

10.2.2 資料庫加密的方法及加密粒度 184

10.2.3 資料庫加密系統的密鑰管理 184

10.3 統計資料庫的安全 185

10.3.1 統計資料庫的安全問題 186

10.3.2 安全性與精確度 187

10.3.3 對統計資料庫的攻擊方式 187

10.3.4 統計資料庫的安全措施 188

10.4 Web資料庫的安全 189

10.4.1 Web資料庫概述 190

10.4.2 Web資料庫安全簡介 191

10.5 SQL Server安全設定 192

10.5.1 SQL Server網路安全設定 192

10.5.2 SQL Server其他安全設定 194

小結 195

習題 195

11.1 TCP/IP協定簇的安全問題 196

11.1.1 TCP/IP協定簇模型 196

11.1.2 IP協定的安全問題 198

11.1.3 TCP協定的安全問題 201

11.1.4 UDP協定的安全問題 204

11.2 黑客攻擊的流程 204

11.3 黑客攻擊技術概述 206

11.4 虛擬專用網 209

11.4.1 VPN概述 210

11.4.2 VPN協定 210

11.5 IPSec 211

11.5.1 IP安全性分析 211

11.5.2 安全關聯 212

11.5.3 IPSec模式 213

11.5.4 認證報頭 214

11.5.5 封裝安全有效載荷 215

11.5.6 Windows中的IPSec 217

11.6 IPSec安全關聯的建立 218

11.6.1 ISAKMP 219

11.6.2 IKE 220

11.6.3 IPSec和IKE處理流程 221

11.7 計算機病毒簡介 222

11.7.1 計算機病毒概述 222

11.7.2 計算機病毒防範 223

11.8 無線區域網路安全 224

11.8.1 無線區域網路概述 224

11.8.2 無線區域網路安全 225

小結 227

習題 227

12.1 電子商務概述 228

12.1.1 什麼是電子商務 228

12.1.2 電子商務的安全 229

12.2 安全電子商務的體系結構 230

12.2.1 電子商務系統的框架結構 230

12.2.2 電子商務網站的構成 232

12.3 安全電子交易SET 233

12.3.1 SET協定概述 233

12.3.2 SET協定工作原理 234

12.4 安全套接字層SSL 236

12.4.1 SSL概述 236

12.4.2 SSL工作原理 236

12.4.3 IE瀏覽器中的SSL 240

12.5 數字現金協定 242

12.5.1 秘密分割技術與位承諾技術 242

12.5.2 一個數字現金協定 242

12.5.3 理想數字現金系統的性質 244

12.6 網上銀行 245

12.6.1 網上銀行簡介 245

12.6.2 網上銀行安全防範 245

小結 246

習題 246

13.1 防火牆的基本概念 248

13.2 防火牆的類型 249

13.2.1 包過濾防火牆 249

13.2.2 套用代理防火牆 250

13.2.3 電路級網關防火牆 251

13.2.4 狀態檢測防火牆 251

13.3 防火牆在網路上的設定 252

13.3.1 單防火牆結構 252

13.3.2 雙防火牆結構 254

13.4 防火牆基本技術 255

13.4.1 包過濾技術 255

13.4.2 套用代理技術 260

13.5 防火牆技術的幾個新方向 263

13.5.1 自適應代理防火牆 263

13.5.2 混合結構防火牆 264

13.6 個人防火牆 265

13.6.1 Windows防火牆 265

13.6.2 天網防火牆個人版 267

小結 269

習題 269

14.1 入侵檢測系統概述 270

14.2 入侵檢測系統結構 271

14.2.1 入侵檢測系統的CIDF模型 271

14.2.2 Denning的通用入侵檢測系統模型 273

14.3 入侵檢測系統類型 273

14.3.1 按數據來源的分類 273

14.3.2 按分析技術的分類 276

14.3.3 其他的分類 278

小結 278

習題 279

15.1 信息安全管理概述 280

15.1.1 信息安全管理的重要性 280

15.1.2 信息安全管理模型 281

15.2 信息安全管理策略 282

15.3 信息安全管理標準 284

15.3.1 BS7799標準 284

15.3.2 安全成熟度模型 285

15.4 我國關於網路安全的法律法規 286

15.4.1 相關法律法規 286

15.4.2 網路服務業的法律規範 287

15.4.3 網路用戶的法律規範 288

15.4.4 網際網路信息傳播安全管理制度 288

15.4.5 電子公告服務的法律管制 289

15.4.6 關於電子商務的法律 290

小結 291

習題 291

實驗一 密碼算法的原理與實現 292

實驗二 PKI技術的原理與套用 294

實驗三 網路探測與掃描技術 297

實驗四 網路攻防技術 299

實驗五 IPSec的配置與使用 302

實驗六 防火牆的配置與使用 305