網路安全原理與實踐（第2版）

本書圍繞網路安全技術體系的建立，系統介紹了計算機網路安全知識和理論。全書共分16章，內容包括網路安全基礎、網路安全威脅、密碼學概述、對稱加密、公鑰密碼、訊息認證和散列函式、鑑別和密鑰分配協定、身份認證和訪問控制、PKI技術、虛擬專用網和IPSec協定、電子郵件安全、Web安全、防火牆技術、入侵檢測系統和網路誘騙系統、無線網路安全、惡意代碼。本書既重視基礎原理和基本概念的闡述，又緊密聯繫當前的前沿科技知識，注重理論和實踐的統一，可以有效加深讀者對於網路安全的理解，培養讀者的創新能力。 本書可作為信息安全、計算機科學與技術、信息管理、電子商務、軟體工程、物聯網工程、數據科學與大數據技術等專業本科生和研究生的教材，也可供從事相關專業的教學、科研和工程人員參考。

第1章網路安全基礎1

1.1網路安全的概念1

1.2主要的網路安全威脅2

1.3TCP/IP協定族的安全問題4

1.3.1鏈路層協定的安全隱患4

1.3.2網路層協定的安全隱患5

1.3.3傳輸層協定的安全隱患6

1.3.4套用層協定的安全隱患6

1.4OSI安全體系結構7

1.4.1安全服務7

1.4.2安全機制8

1.5網路安全服務及其實現層次8

1.5.1機密性9

1.5.2完整性9

1.5.3身份認證10

1.5.4訪問控制10

1.5.5不可否認10

1.5.6可用性11

1.6TCP/IP協定族的安全架構11

1.7PPDR安全模型12

1.8可信計算機系統評價準則14

1.9信息系統安全保護等級劃分準則17

習題17第2章網路安全威脅19

2.1隱藏攻擊者的地址和身份19

2.2踩點技術20

2.3掃描技術20

2.3.1主機掃描21

2.3.2連線埠掃描21

2.3.3作業系統探測22

2.3.4漏洞掃描23

2.4嗅探技術23

2.5攻擊技術24

2.5.1社會工程24

2.5.2口令破解24

2.5.3ARP欺騙25

2.5.4DNS欺騙25

2.5.5會話劫持26

2.5.6拒絕服務攻擊26

2.5.7緩衝區溢出攻擊30

2.6許可權提升32

2.7掩蓋蹤跡33

2.8創建後門33

2.9Web攻擊技術33

2.9.1SQL注入攻擊34

2.9.2XSS攻擊37

習題38第3章密碼學概述40

3.1密碼學起源40

3.2密碼的基本概念42

3.2.1密碼編碼學42

3.2.2密碼分析學43

3.2.3密鑰管理學46

3.3傳統密碼技術48

3.3.1置換密碼48

3.3.2代換密碼49

3.3.3一次一密52

3.3.4轉輪機53

3.3.5電碼本53

習題55第4章對稱加密56

4.1流密碼56

4.1.1流密碼結構57

4.1.2RC4算法59

4.2分組密碼61

4.2.1數據加密標準61

4.2.2三重DES70

4.2.3高級加密標準71

4.3隨機數和偽隨機數78

4.3.1隨機數的套用78

4.3.2真隨機數發生器、偽隨機數發生器和偽隨機函式79

4.4分組密碼的工作模式80

4.4.1ECB模式81

4.4.2CBC模式81

4.4.3CFB模式83

4.4.4CTR模式84

4.5實驗： 使用OpenSSL進行加密操作85

習題87第5章公鑰密碼88

5.1簡介88

5.1.1公鑰密碼體制的設計原理89

5.1.2公鑰密碼分析92

5.2DiffieHellman密鑰交換93

5.3RSA96

5.3.1算法描述96

5.3.2RSA算法中的計算問題97

5.3.3RSA的安全性99

5.4橢圓曲線密碼算法99

5.4.1橢圓曲線100

5.4.2有限域上的橢圓曲線 101

5.4.3橢圓曲線上的密碼102

5.5實驗: RSA密碼實驗103

習題105第6章訊息認證和散列函式106

6.1對認證的要求106

6.2訊息認證碼107

6.2.1訊息認證碼的套用場景109

6.2.2基於DES的訊息認證碼109

6.3安全散列函式110

6.3.1對散列函式的要求112

6.3.2簡單散列函式113

6.3.3生日攻擊113

6.3.4SHA安全散列算法114

6.3.5HMAC117

6.4數字簽名120

6.4.1數字簽名原理120

6.4.2數字簽名流程122

6.5實驗: 數字簽名的生成和驗證123

習題124第7章鑑別和密鑰分配協定126

7.1鑑別協定126

7.1.1NeedhamSchroeder雙向鑑別協定127

7.1.2改進的NeedhamSchroeder協定128

7.1.3單向鑑別協定130

7.2密鑰分配協定131

7.2.1對稱密鑰的分配131

7.2.2公開密鑰的分配133

7.2.3使用公開加密算法分配對稱密鑰134

習題135第8章身份認證和訪問控制137

8.1單機狀態下的身份認證137

8.1.1基於口令的認證方式138

8.1.2基於智慧卡的認證方式139

8.1.3基於生物特徵的認證方式139

8.2S/KEY認證協定140

8.2.1一次性口令技術140

8.2.2最初的S/KEY認證協定141

8.2.3改進的S/KEY認證協定142

8.3Kerberos認證協定144

8.3.1簡單的認證會話145

8.3.2更加安全的認證會話146

8.3.3Kerberos v4認證會話147

8.3.4Kerberos的跨域認證148

8.3.5Kerberos的優缺點150

8.4訪問控制151

8.4.1訪問控制的基本原理151

8.4.2自主訪問控制152

8.4.3強制訪問控制156

8.4.4基於角色的訪問控制157

習題160第9章PKI技術162

9.1理論基礎162

9.1.1CA認證與數字證書162

9.1.2信任關係與信任模型163

9.2PKI的組成167

9.2.1認證機構167

9.2.2證書庫168

9.2.3PKI套用接口系統168

9.3PKI的功能和要求169

9.3.1密鑰和證書管理170

9.3.2對PKI的性能要求174

9.4PKI的優缺點174

習題175第10章虛擬專用網和IPSec協定177

10.1虛擬專用網概述177

10.2常見VPN技術178

10.2.1IPSec技術178

10.2.2SSL技術178

10.2.3SSH技術179

10.2.4PPTP和L2TP技術180

10.3VPN使用現狀181

10.4IPSec安全體系結構182

10.4.1IPSec概述182

10.4.2安全關聯和安全策略184

10.5IPSec安全協定——AH185

10.5.1AH概述185

10.5.2AH頭部格式185

10.5.3AH運行模式186

10.6IPSec安全協定——ESP188

10.6.1ESP概述188

10.6.2ESP頭部格式188

10.6.3ESP運行模式189

10.7IPSec密鑰管理協定——IKE192

10.8IPSec的安全問題193

10.9IPSec的使用現狀193

習題195第11章電子郵件安全196

11.1電子郵件的安全威脅196

11.2安全電子郵件標準197

11.3PGP標準198

11.3.1PGP的功能198

11.3.2PGP訊息格式及收發過程200

11.3.3PGP密鑰的發布和管理201

11.3.4PGP的安全性分析202

11.4實驗: 電子郵件加解密205

習題213第12章Web安全215

12.1Web安全威脅215

12.1.1對Web伺服器的安全威脅215

12.1.2對Web瀏覽器的安全威脅216

12.1.3對通信信道的安全威脅216

12.2Web安全的實現方法217

12.3SSL協定218

12.3.1SSL概述218

12.3.2更改密碼規格協定220

12.3.3警告協定220

12.3.4SSL記錄協定220

12.3.5SSL握手協定221

12.3.6SSL協定的安全性分析223

12.3.7TLS協定225

12.3.8OpenSSL簡介225

習題227第13章防火牆技術228

13.1防火牆的基本概念228

13.1.1定義228

13.1.2防火牆應滿足的條件229

13.1.3防火牆的功能229

13.1.4防火牆的局限性230

13.2防火牆的類型與技術230

13.2.1包過濾防火牆230

13.2.2狀態檢測防火牆231

13.2.3套用層網關233

13.2.4代理伺服器233

13.3防火牆的體系結構234

13.3.1雙宿/多宿主機模式234

13.3.2禁止主機模式235

13.3.3禁止子網模式236

13.4防火牆技術的幾個新方向237

13.4.1透明接入技術237

13.4.2分散式防火牆技術237

13.4.3以防火牆為核心的網路安全體系238

13.4.4防火牆的發展趨勢238

習題239第14章入侵檢測系統和網路誘騙系統240

14.1入侵檢測概述240

14.1.1入侵檢測的概念240

14.1.2入侵檢測的歷史 241

14.1.3入侵檢測系統的功能243

14.1.4入侵檢測系統的優點與局限性243

14.1.5入侵檢測系統的分類244

14.1.6入侵檢測系統的體系結構246

14.2入侵檢測技術248

14.2.1異常檢測技術248

14.2.2誤用檢測技術249

14.2.3其他入侵檢測技術251

14.3開源入侵檢測系統252

14.4IDS的標準化256

14.4.1IDS標準化進展現狀256

14.4.2入侵檢測工作組257

14.4.3公共入侵檢測框架257

14.5入侵檢測的發展258

14.5.1入侵檢測技術的發展方向258

14.5.2從IDS到IPS和IMS259

14.6網路誘騙系統261

14.6.1網路誘騙技術263

14.6.2蜜罐的分類266

14.6.3常見的網路誘騙工具及產品267

14.6.4蜜罐的優缺點269

14.7實驗: 搭建Snort入侵檢測系統270

習題273第15章無線網路安全274

15.1IEEE 802.11無線區域網路概述274

15.1.1WiFi 聯盟275

15.1.2IEEE 802協定架構276

15.1.3IEEE 802.11網路組成與架構模型277

15.2IEEE 802.11i無線區域網路安全279

15.2.1IEEE 802.11i 服務279

15.2.2IEEE 802.11i操作階段279

15.3無線區域網路中的安全問題289

15.3.1無線網路密碼破解289

15.3.2無線阻塞攻擊294

15.3.3無線釣魚攻擊298

習題301第16章惡意代碼302

16.1惡意代碼概述302

16.1.1惡意代碼的發展史303

16.1.2惡意代碼的分類 305

16.1.3惡意代碼的危害和發展趨勢306

16.2計算機病毒306

16.2.1計算機病毒的概念307

16.2.2計算機病毒的結構307

16.2.3計算機病毒的特點308

16.2.4計算機病毒的分類309

16.2.5計算機病毒的防範310

16.3特洛伊木馬311

16.3.1特洛伊木馬概述311

16.3.2木馬的結構和原理312

16.3.3木馬隱藏技術313

16.3.4木馬的分類314

16.3.5木馬植入手段315

16.3.6木馬的特點316

16.3.7木馬的防範技術 317

16.3.8殭屍網路319

16.4蠕蟲321

16.4.1蠕蟲概述321

16.4.2蠕蟲的結構321

16.4.3蠕蟲的特點322

16.4.4蠕蟲的防範技術323

16.4.5病毒、木馬、蠕蟲的區別324

16.5新型惡意代碼325

16.5.1從傳播感染途徑分類325

16.5.2從有效載荷的作用分類326

16.5.3其他惡意代碼328

16.5.4惡意代碼常見的實現技術328

16.6惡意代碼檢測329

16.7實驗: 遠程控制工具的使用331

習題334參考文獻335