網路信息安全技術（第二版） “十一五”

本書是一本計算機網路安全方面的專業教材，主要介紹了網路安全的基礎理論

和關鍵技術。本書遵循理論與實際相結合的原則，既注重基本原理、概念的準確嚴謹，又關注技術內容的新穎和先進性。

本書是在第一版的基礎上修訂的，增加了黑客攻擊和防範技術、網路漏洞掃描技術，刪除了“代理服務及套用”一章。

本書共分為12章，內容包括網路安全概述、密碼技術、密鑰管理技術、數字簽名與認證技術、黑客攻擊和防範技術、網路漏洞掃描技術、網路入侵檢測原理與技術、Internet基礎設施的安全性、電子商務的安全技術及套用、包過濾技術原理及套用、防火牆技術以及信息隱藏技術。為配合教學，書中各章後均附有習題，以幫助學習者加深對書中內容的理解。本書附錄中給出了近年來國家有關部門頒布的網路安全相關法規，讀者可結合需要參考使用。

本書力求為讀者展現目前計算機網路安全的新技術，內容具有系統性和實用性的特點，語言敘述通俗易懂，並精心設計了大量圖表，易於理解。

本書可作為高等學校計算機及相關專業本科生或研究生的教材，也可作為網路信息安全領域專業人員的參考書。

第1章 網路安全概述 1

1.1 網路安全的基礎知識 1

1.1.1 網路安全的基本概念 2

1.1.2 網路安全的特徵 2

1.1.3 網路安全的目標 3

1.1.4 網路安全需求與安全機制 3

1.2 威脅網路安全的因素 4

1.2.1 網路的安全威脅 5

1.2.2 網路安全的問題及原因 8

1.3 網路安全防護體系 9

1.3.1 網路安全策略 9

1.3.2 網路安全體系 14

1.4 網路安全的評估標準 19

1.4.1 可信計算機系統評價準則簡介 19

1.4.2 安全標準簡介 21

習題1 22

第2章 密碼技術 23

2.1 密碼技術的基本概念 23

2.2 古典密碼體制 24

2.2.1 置換密碼 24

2.2.2 代換密碼 25

2.3 對稱密碼體系 28

2.3.1 流密碼 28

2.3.2 分組密碼 31

2.3.3 數據加密標準（DES） 31

2.3.4 高級加密標準（AES） 37

2.4 公鑰（非對稱）密碼體制 47

2.4.1 公鑰密碼體制的基本概念 47

2.4.2 公鑰密碼體制的原理 48

2.4.3 RSA算法 50

2.4.4 RSA算法中的計算問題 51

2.4.5 RSA算法的安全性 53

2.4.6 RSA算法的實用性及數字簽名 54

2.4.7 RSA算法和DES算法的特點 54

2.5 橢圓曲線密碼體制 55

2.5.1 橢圓曲線 55

2.5.2 有限域上的橢圓曲線 60

2.5.3 橢圓曲線上的密碼 61

習題2 62

第3章 密鑰管理技術 63

3.1 密鑰的管理概述 63

3.1.1 密鑰的生成與分配 63

3.1.2 密鑰的保護與存儲 64

3.1.3 密鑰的有效性與使用控制 65

3.2 密鑰的分類 66

3.3 密鑰分配技術 68

3.3.1 密鑰分配實現的基本方法和基本工具 68

3.3.2 密鑰分配系統實現的基本模式 69

3.3.3 密鑰的驗證 70

3.4 公開密鑰基礎設施（PKI） 71

3.4.1 PKI概述 71

3.4.2 公鑰密碼體制的原理與算法 73

3.4.3 公鑰證書 75

3.4.4 公鑰證書的管理 77

3.4.5 PKI信任模型 80

習題3 83

第4章 數字簽名與認證技術 84

4.1 數字簽名概述 84

4.1.1 數字簽名的概念 84

4.1.2 數字簽名技術應滿足的要求 85

4.1.3 數字簽名的原理 86

4.1.4 數字簽名技術 87

4.2 數字簽名標準及數字簽名算法 90

4.2.1 DSS與RSA的比較 91

4.2.2 數字簽名算法DSA 91

4.2.3 數字簽名算法Hash 93

4.2.4 數字簽名算法RSA 93

4.3 其他數字簽名體制 93

4.3.1 基於離散對數問題的數字簽名體制 93

4.3.2 基於大數分解問題的數字簽名體制 96

4.4 散列函式與訊息認證 98

4.4.1 散列函式的定義及性質 98

4.4.2 散列函式的結構 99

4.4.3 安全散列函式（SHA） 100

4.4.4 訊息認證 103

4.5 認證及身份驗證技術 104

4.5.1 單向認證技術 104

4.5.2 交叉認證技術 106

4.5.3 身份驗證技術 109

4.5.4 身份認證系統實例——Kerberos系統 111

4.5.5 X.509認證技術 112

習題4 113

第5章 黑客攻擊和防範技術 114

5.1 黑客攻擊及其原因 114

5.1.1 黑客及其起源 114

5.1.2 黑客入侵與攻擊 115

5.1.3 黑客攻擊的動機及其成功的原因 118

5.2 黑客攻擊的流程 120

5.2.1 網路踩點 121

5.2.2 網路掃描 122

5.2.3 黑客查點 127

5.2.4 獲取訪問權 128

5.2.5 許可權提升 129

5.2.6 竊取信息 129

5.2.7 清除痕跡 129

5.2.8 創建後門 130

5.2.9 拒絕服務攻擊 130

5.3 黑客攻擊技術分析 131

5.3.1 協定漏洞滲透 131

5.3.2 密碼分析還原 132

5.3.3 套用漏洞分析與滲透 133

5.3.4 社會工程學方法 134

5.3.5 惡意拒絕服務攻擊 136

5.3.6 病毒或後門攻擊 137

5.4 網路環境下的攻擊 138

5.4.1 針對遠程接入的攻擊 138

5.4.2 針對防火牆的攻擊 140

5.4.3 網路拒絕服務攻擊 142

習題5 145

第6章 網路漏洞掃描技術 146

6.1 計算機網路漏洞概述 146

6.1.1 存在漏洞的原因 146

6.1.2 漏洞信息的獲取 147

6.2 漏洞檢測策略 147

6.3 常用掃描工具 148

6.3.1 X－Scan 148

6.3.2 Nmap 149

6.3.3 Nessus 150

6.3.4 SATAN 152

6.3.5 SAINT 153

6.3.6 SARA 154

6.3.7 ISS 155

6.3.8 Retina 156

6.3.9 GFI LANguard NSS 156

6.3.10 SSS 157

6.3.11 MBSA 158

6.4 漏洞掃描的實施 159

6.4.1 發現目標 159

6.4.2 攝取信息 159

6.4.3 漏洞檢測 161

6.5 小結 162

習題6 162

第7章 網路入侵檢測原理與技術 163

7.1 入侵檢測原理 163

7.1.1 入侵檢測的概念 163

7.1.2 入侵檢測模型 164

7.1.3 IDS在網路中的位置 166

7.2 入侵檢測方法 167

7.2.1 基於機率統計的檢測 167

7.2.2 基於神經網路的檢測 168

7.2.3 基於專家系統的檢測 168

7.2.4 基於模型推理的檢測 169

7.2.5 基於免疫的檢測 169

7.2.6 入侵檢測新技術 169

7.2.7 其他相關問題 170

7.3 入侵檢測系統 170

7.3.1 入侵檢測系統的構成 171

7.3.2 入侵檢測系統的分類 171

7.3.3 基於主機的入侵檢測系統HIDS 172

7.3.4 基於網路的入侵檢測系統NIDS 173

7.3.5 分散式入侵檢測系統 175

7.4 入侵檢測系統的測試評估 176

7.4.1 測試評估概述 176

7.4.2 測試評估的內容 176

7.4.3 測試評估標準 178

7.4.4 IDS測試評估現狀以及存在的問題 179

7.5 典型的IDS系統及實例 180

7.5.1 典型的IDS系統 180

7.5.2 入侵檢測系統實例Snort 181

7.6 入侵防護系統 185

7.6.1 IPS的原理 185

7.6.2 IPS的分類 186

7.6.3 IPS和IDS的比較 187

7.7 入侵檢測技術的發展方向 188

習題7 189

第8章 Internet基礎設施的安全性 190

8.1 Internet安全概述 190

8.2 DNS的安全性 191

8.2.1 目前DNS存在的安全威脅 191

8.2.2 Windows下的DNS欺騙 192

8.2.3 拒絕服務攻擊 193

8.3 安全協定IPSec 194

8.3.1 IP協定簡介 194

8.3.2 下一代IP——IPv6 194

8.3.3 IP安全協定IPSec的用途 195

8.3.4 IPSec的結構 196

8.4 電子郵件的安全性 198

8.4.1 PGP 198

8.4.2 S/MIME 201

8.5 Web的安全性 202

8.5.1 Web的安全性要求 202

8.5.2 安全套接字層(SSL) 204

8.5.3 安全超文本傳輸協定 206

8.6 虛擬專用網及其安全性 207

8.6.1 VPN簡介 208

8.6.2 VPN協定 209

8.6.3 VPN方案設計 212

8.6.4 VPN的安全性 212

8.6.5 微軟的點對點加密技術 213

8.6.6 第二層隧道協定 214

8.6.7 VPN發展前景 215

習題8 216

第9章 電子商務的安全技術及套用 217

9.1 電子商務概述 217

9.1.1 電子商務的概念 217

9.1.2 電子商務的分類 218

9.1.3 電子商務系統的支持環境 219

9.2 電子商務的安全技術要求 220

9.2.1 電子商務與傳統商務的比較 220

9.2.2 電子商務面臨的威脅和安全技術要求 221

9.2.3 電子商務系統所需的安全服務 222

9.2.4 電子商務的安全體系結構 223

9.3 電子支付系統的安全技術 223

9.3.1 電子支付系統的安全要求 223

9.3.2 電子支付手段 225

9.4 電子現金套用系統 229

9.4.1 電子現金套用系統的安全技術 229

9.4.2 脫機實現方式中的密碼技術 230

9.4.3 電子錢包 232

9.5 電子現金協定技術 233

9.5.1 不可跟蹤的電子現金協定技術 233

9.5.2 可分的電子現金協定技術 234

9.5.3 基於表示的電子現金協定技術 237

9.5.4 微支付協定技術 238

9.5.5 可撤銷匿名性的電子現金系統實現技術 239

9.6 電子商務套用系統實例 241

9.6.1 某海關業務處理系統 241

9.6.2 某海關電子申報系統網路平台 241

9.6.3 某海關電子申報系統的軟體體系結構 241

習題9 242

第10章 包過濾技術原理及套用 244

10.1 高層IP網路的概念 244

10.2 包過濾的工作原理 244

10.2.1 包過濾技術傳遞的判據 244

10.2.2 包過濾技術傳遞操作 245

10.2.3 包過濾方式的優缺點 246

10.3 包過濾路由器的配置 246

10.3.1 協定的雙向性 246

10.3.2 “往內”與“往外” 247

10.3.3 “默認允許”與“默認拒絕” 247

10.4 包的基本構造 247

10.5 包過濾處理核心 248

10.5.1 包過濾和網路策略 248

10.5.2 一個簡單的包過濾模型 248

10.5.3 包過濾器操作 249

10.5.4 包過濾設計 250

10.6 包過濾規則 252

10.6.1 制訂包過濾規則應注意的事項 252

10.6.2 設定包過濾規則的簡單實例 252

10.7 依據地址進行過濾 253

10.8 依據服務進行過濾 255

10.8.1 往外的Telnet服務 255

10.8.2 往內的Telnet服務 256

10.8.3 Telnet服務 256

10.8.4 有關源連線埠過濾問題 257

習題10 257

第11章 防火牆技術 258

11.1 防火牆的概念 258

11.2 防火牆的原理及實現方法 259

11.2.1 防火牆的原理 259

11.2.2 防火牆的實現方法 260

11.3 防火牆體系結構 263

11.3.1 雙宿主主機體系結構 264

11.3.2 堡壘主機過濾體系結構 268

11.3.3 過濾子網體系結構 280

11.3.4 套用層網關體系結構 282

11.4 防火牆的構成 284

11.4.1 防火牆的類型及構成 284

11.4.2 防火牆的配置 287

11.5 防火牆所採用的技術及其作用 288

11.5.1 隔離技術 288

11.5.2 管理技術 289

11.5.3 防火牆作業系統的技術 289

11.5.4 通信堆疊技術 290

11.5.5 網路地址轉換技術 293

11.5.6 多重地址轉換技術 293

11.5.7 虛擬私有網路技術（VPN） 294

11.5.8 動態密碼認證技術 295

11.6 防火牆選擇原則 295

11.6.1 防火牆安全策略 295

11.6.2 選擇防火牆的原則 296

11.7 防火牆建立實例 297

11.7.1 包過濾路由器的套用 297

11.7.2 禁止主機防火牆的套用 297

11.7.3 禁止子網防火牆的套用 298

11.7.4 某企業防火牆建立實例 299

習題11 301

第12章 信息隱藏技術 302

12.1 信息隱藏概述 302

12.1.1 信息隱藏的基本概念 302

12.1.2 信息隱藏的基本過程 304

12.2 信息隱藏技術的分類及套用領域 305

12.2.1 信息隱藏的分類 305

12.2.2 信息隱藏技術的套用領域 306

12.3 數字圖像水印技術 307

12.3.1 數字水印技術的基本原理 307

12.3.2 空域圖像水印技術 309

12.3.3 頻域圖像水印技術 310

12.4 數字文本水印技術 313

12.4.1 數字文本水印技術原理 313

12.4.2 行移編碼 314

12.4.3 字移編碼 315

12.4.4 特徵編碼 316

12.4.5 編碼方式的綜合運用 316

12.5 數字語音水印技術 316

12.5.1 最不重要位（LSB）方法 317

12.5.2 小波變換方法 318

12.6 數字視頻水印技術 319

12.6.1 數字視頻水印技術的一般原理 319

12.6.2 原始視頻水印 320

12.6.3 壓縮視頻水印 321

習題12 322

附錄A 《中華人民共和國計算機信息網路國際聯網管理暫行辦法》 323

附錄B 《中華人民共和國計算機信息網路國際聯網安全保護管理辦法》 325

附錄C 《中華人民共和國計算機信息系統安全保護條例》 328

參考文獻 331