網路安全技術與實踐(劉建偉、王育民編著書籍)

全書共分3篇15章。第1篇為網路安全基礎,共3章,主要討論了網路安全的基礎知識,並從網路協定安全性的角度出發,闡述了當今計算機網路中存在的安全威脅;第2篇為保密學基礎,共5章,較祥細地討論了網路安全中涉及的各種密碼技術;第3篇為網路安全實踐,共7章,主要介紹了網路安全實踐中一些比較重要的產品及其技術套用。本書內容豐富,概念清楚,語言精練。在網路安全基本知識和保密學理論方面,力求深入淺出,通俗易懂;在網路安全產品方面,力求理論與實踐相結合,具有很強的實用性。特別是每章的後面提供了很多習題,在書末也提供了大量的參考文獻,便於有興趣的讀者繼續深入地學習有關內容。

本書可作為高等院校信息安全、通信、計算機等專業的研究生和本科生教材,也可以作為網路安全工程師、網路管理員和計算機用戶的參考用書,或作為網路安全培訓教材。

第1章 網路安全概論

1.1 對網路安全的需求

1.1.1 網路安全發展態勢

1.1.2 敏感信息對安全的需求

1.1.3 網路套用對安全的需求

1.2 安全威脅與防護措施

1.2.1 基本概念

1.2.2 安全威脅的來源

1.2.3 安全防護措施

1.3 網路安全策略

1.3.1 授權

1.3.2 訪問控制策略

1.3.3 責任

1.4 安全攻擊的分類

1.4.1 被動攻擊

1.4.2 主動攻擊

1.5.4認證失效

1.5.5協定缺陷

1.5.6信息泄露

1.5.7指數攻擊——病毒和蠕蟲

1.5.8拒絕服務攻擊

1.6開放系統互聯安全體系結構

1.6.1安全服務

1.6.2安全機制

1.6.3安全服務與安全機制的關係

1.6.4在OSI層中的服務配置

習題

目錄第2章低層協定的安全性

2.1基本協定

2.1.1IP

2.1.2ARP

2.1.3TCP

2.1.4SCTP

2.1.5UDP

2.1.6ICMP

2.2地址和域名管理

2.2.1路由協定

2.2.2域名系統

2.2.3BOOTP和DHCP

2.3IPv6

2.3.1IPv6簡介

2.3.2IPv6地址

2.3.3IPv6地址配置

2.3.4鄰居發現協定

2.3.5移動IPv6

2.3.6IPv6的安全性

2.4網路地址轉換器

2.5無線網的安全

習題

第3章高層協定的安全性

3.1訊息傳送

3.1.1SMTP

3.1.2MIME

3.1.3POP3

3.1.4IMAP4

3.1.5即時訊息

3.2網際網路電話

3.2.1H.323

3.2.2SIP

3.3基於RPC的協定

3.3.1RPC與Rpcbind

3.3.2NIS

3.3.3NFS

3.3.4AFS

3.4TFTP和FTP

3.4.1TFTP

3.4.2FTP

3.4.3SMB協定

3.5遠程登錄協定

3.5.1Telnet

3.5.2“r”命令

3.5.3SSH

3.6SNMP

3.7NTP

3.8信息服務

3.8.1Finger——用戶查詢服務

3.8.2Whois——資料庫查詢服務

3.8.3LDAP

3.8.4WWW服務

3.8.5NNTP——網路訊息傳輸協定

3.8.6多播及MBone

3.9專有協定

3.9.1RealAudio

3.9.2Oracle的SQL*Net

3.9.3其他專用服務

3.10對等實體聯網

3.11X11視窗系統

3.12其他小的服務

習題

第4章單（私）鑰加密體制

4.1密碼體制的定義

4.2古典密碼

4.2.1代換密碼

4.2.2換位密碼

4.2.3古典密碼的安全性

4.3流密碼的基本概念

4.3.1流密碼框圖和分類

4.3.2密鑰流生成器的結構和分類

4.3.3密鑰流的局部統計檢驗

4.3.4隨機數與密鑰流

4.4快速軟、硬體實現的流密碼算法

4.4.1A5

4.4.2加法流密碼生成器

4.4.3RC4

4.4.4SEAL

4.4.5PKZIP

4.5分組密碼概述

4.6數據加密標準

4.6.1DES介紹

4.6.2DES的核心作用：訊息的隨機非線性分布

4.6.3DES的安全性

4.7高級加密標準

4.7.1Rijndael密碼概述

4.7.2Rijndael密碼的內部函式

4.7.3Rijndael內部函式的功能小結

4.7.4AES對套用密碼學的積極影響

4.8其他重要的分組密碼算法

4.8.1IDEA

4.8.2SAFERK64

4.8.3RC5

4.9分組密碼的工作模式

4.9.1電碼本模式

4.9.2密碼分組連結模式

4.9.3密碼反饋模式

4.9.4輸出反饋模式

4.9.5計數器模式

習題

第5章雙（公）鑰密碼體制

5.1雙鑰密碼體制的基本概念

5.1.1單向函式

5.1.2陷門單向函式

5.1.3公鑰系統

5.1.4用於構造雙鑰密碼的單向函式

5.2RSA密碼體制

5.2.1體制

5.2.2RSA的安全性

5.2.3RSA的參數選擇

5.2.4RSA體制實用中的其他問題

5.2.5RSA的實現

5.2.6RSA體制的推廣

5.3背包密碼體制

5.3.1背包問題

5.3.2簡單背包

5.3.3MerkleHellman陷門背包

5.3.4MH體制的安全性

5.3.5背包體制的缺陷

5.3.6其他背包體制

5.4Rabin密碼體制

5.4.1Rabin體制

5.4.2Williams體制

5.5ElGamal密碼體制

5.5.1方案

5.5.2加密

5.5.3安全性

5.6橢圓曲線密碼體制

5.6.1實數域上的橢圓曲線

5.6.2有限域Zp上的橢圓曲線

5.6.3GF(2m)上的橢圓曲線

5.6.4橢圓曲線密碼

5.6.5橢圓曲線的安全性

5.6.6ECC的實現

5.6.7當前ECC的標準化工作

5.6.8橢圓曲線上的RSA密碼體制

5.6.9用圓錐曲線構造雙鑰密碼體制

5.7其他雙鑰密碼體制

5.7.1McEliece密碼體制

5.7.2LUC密碼體制

5.7.3有限自動機體制

5.7.4機率加密體制

5.7.5秘密共享密碼體制

5.7.6多密鑰公鑰密碼體制

5.8公鑰密碼體制的分析

習題

第6章訊息認證與雜湊函式

6.1認證函式

6.1.1訊息加密

6.1.2訊息認證碼

6.1.3雜湊函式

6.1.4雜湊函式的性質

6.2訊息認證碼

6.2.1對MAC的要求

6.2.2基於密鑰雜湊函式的MAC

6.2.3基於分組加密算法的MAC

6.3雜湊函式

6.3.1單向雜湊函式

6.3.2雜湊函式在密碼學中的套用

6.3.3分組疊代單向雜湊算法的層次結構

6.3.4疊代雜湊函式的構造方法

6.3.5基本疊代函式的選擇

6.3.6套用雜湊函式的基本方式

6.4MD4和MD5

6.4.1算法步驟

6.4.2MD5的安全性

6.4.3MD5的實現

6.4.4MD4與MD5算法差別

6.4.5MD2和MD3

6.5安全雜湊算法

6.5.1算法

6.5.2SHA的安全性

6.5.3SHA與MD4，MD5的比較

6.6其他雜湊算法

6.6.1RIPEMD160

6.6.2SNEFRU算法

6.6.3GOST雜湊算法

6.6.4HAVAL算法

6.6.5RIPEMAC

6.6.6其他

6.7HMAC

習題

第7章數字簽名

7.1數字簽名基本概念

7.2RSA簽名體制

7.3Rabin簽名體制

7.4ElGamal簽名體制

7.5Schnorr簽名體制

7.6DSS簽名標準

7.6.1概況

7.6.2簽名和驗證簽名的基本框圖

7.6.3算法描述

7.6.4DSS簽名、驗證框圖

7.6.5公眾反應

7.6.6實現速度

7.7GOST簽名標準

7.8ESIGN簽名體制

7.9Okamoto簽名體制

7.10OSS簽名體制

7.11其他數字簽名體制

7.11.1離散對數簽名體制

7.11.2不可否認簽名

7.11.3防失敗簽名

7.11.4盲簽名

7.11.5群簽名

7.11.6代理簽名

7.11.7指定證實人的簽名

7.11.8一次性數字簽名

7.11.9雙有理簽名方案

7.11.10數字簽名的套用

習題

第8章密碼協定

8.1協定的基本概念

8.1.1仲裁協定

8.1.2裁決協定

8.1.3自動執行協定

8.2安全協定分類及基本密碼協定

8.2.1密鑰建立協定

8.2.2認證建立協定

8.2.3認證的密鑰建立協定

8.3秘密分拆協定

8.4秘密廣播協定和會議密鑰分配

8.4.1秘密廣播協定

8.4.2會議密鑰分配協定

8.4.3TatebayashiMatsuzakiNewman協定

8.5密碼協定的安全性

8.5.1對協定的攻擊

8.5.2密碼協定的安全性分析

習題

第9章PKI與PMI

9.1PKI的組成

9.1.1實施PKI服務的實體

9.1.2認證中心

9.1.3註冊中心

9.2證書

9.2.1X.509證書

9.2.2證書擴展項

9.3屬性證書和漫遊證書

9.3.1屬性證書

9.3.2漫遊證書

9.4PKI/CA認證系統實例

9.5PMI介紹

9.5.1PMI概況

9.5.2許可權管理基礎設施

9.5.3屬性權威

9.5.4許可權管理

9.5.5訪問控制框架

9.5.6策略規則

9.5.7基於PMI建立安全套用

習題

第10章網路加密與密鑰管理

10.1網路加密的方式及實現

10.2硬體加密、軟體加密及有關問題

10.2.1硬體加密的優點

10.2.2硬體種類

10.2.3軟體加密

10.2.4存儲數據加密的特點

10.2.5檔案刪除

10.3密鑰管理基本概念

10.3.1密鑰管理

10.3.2密鑰的種類

10.4密鑰的長度與安全性

10.4.1密鑰必須足夠長

10.4.2密鑰長度與窮舉破譯時間和成本估計

10.4.3軟體攻擊

10.4.4密鑰多長合適

10.4.5雙鑰體制的密鑰長度

10.5密鑰生成

10.5.1選擇密鑰方式不當會影響安全性

10.5.2好的密鑰

10.5.3不同等級的密鑰產生的方式不同

10.5.4雙鑰體制下的密鑰生成

10.6密鑰分配

10.6.1基本方法

10.6.2密鑰分配的基本工具

10.6.3密鑰分配系統的基本模式

10.6.4TTP

10.6.5協定的選用

10.6.6密鑰注入

10.7密鑰的證實

10.7.1單鑰證書

10.7.2公鑰的證實技術

10.7.3公鑰認證樹

10.7.4公鑰證書

10.7.5基於身份的公鑰系統

10.7.6隱式證實公鑰

10.8密鑰的保護、存儲與備份

10.8.1密鑰的保護

10.8.2密鑰的存儲

10.8.3密鑰的備份

10.9密鑰的泄露、吊銷、過期與銷毀

10.9.1泄露與吊銷

10.9.2密鑰的有效期

10.9.3密鑰銷毀

10.10密鑰控制

10.11多個管區的密鑰管理

10.12密鑰託管和密鑰恢復

10.12.1密鑰託管體制的基本組成

10.12.2密鑰託管體制實例——EES

10.12.3其他密鑰託管體制

10.13密鑰管理系統

習題

第11章無線網路安全

11.1無線蜂窩網路技術

11.1.1無線傳輸系統

11.1.2高級行動電話系統

11.1.3時分多址

11.1.4全球移動通信系統

11.1.5蜂窩式數字分組數據

11.1.6個人數字蜂窩

11.1.7碼分多址

11.1.8第2.5代技術

11.1.9第3代技術

11.2無線數據網路技術

11.2.1擴譜技術

11.2.2正交頻分復用

11.2.3IEEE制定的無線區域網路標準

11.2.4802.11無線網路的工作模式

11.2.5IEEE制定的無線城域網路標準

11.2.6藍牙

11.2.7HomeRF技術

11.2.8無線套用協定

11.3無線蜂窩網路的安全性

11.3.1GSM安全性分析

11.3.2CDMA的安全性分析

11.3.3第3代移動通信系統的安全性分析

11.4無線數據網路的安全性

11.4.1有線同等保密協定

11.4.2802.1x協定介紹

11.4.3802.11i標準介紹

11.4.4802.16標準的安全性

11.4.5WAP協定的安全性

11.5無線網路面臨的安全威脅

11.6針對安全威脅的解決方案

11.6.1採用安全策略

11.6.2用戶安全教育

11.6.3採用802.1x認證協定

11.6.4MAC地址過濾

11.6.5SSID問題解決方案

11.6.6天線的選擇

11.6.7VLAN和防火牆的使用

11.6.8使用RADIUS認證伺服器

11.6.9虛擬專用網

11.6.10WEP使用動態生成密鑰

11.6.11利用入侵檢測系統監測網路

11.6.12採用安全的路由協定

習題

第12章防火牆原理與設計

12.1防火牆概述

12.2防火牆的類型和結構

12.2.1防火牆分類

12.2.2網路地址翻譯（NAT）

12.3靜態包過濾器

12.3.1工作原理

12.3.2設計與實現

12.3.3靜態包過濾器的優缺點

12.4電路級網關

12.4.1工作原理

12.4.2電路級網關的優缺點

12.5套用層網關

12.5.1工作原理

12.5.2套用網關的優缺點

12.6動態包過濾防火牆

12.6.1動態包過濾防火牆原理

12.6.2設計實現

12.6.3動態包過濾防火牆的優缺點

12.7狀態檢測防火牆

12.7.1工作原理

12.7.2設計與實現

12.7.3狀態檢測防火牆的優缺點

12.8切換代理（CutoffProxy）

12.8.1工作原理

12.8.2設計與實現

12.8.3切換代理的優缺點

12.9空氣隙防火牆（AirGap）

12.9.1工作原理

12.9.2空氣隙防火牆的優缺點

12.10分散式防火牆

12.10.1工作原理

12.10.2分散式防火牆的優缺點

12.11關於防火牆其他問題的思考

12.11.1硬體化

12.11.2多功能化

12.11.3安全性

習題

第13章入侵檢測系統

13.1IDS的概述

13.1.1IDS的歷史

13.1.2IDS的分類

13.1.3IDS的作用

13.1.4IDS的任務

13.1.5IDS的主要功能

13.1.6IDS的評價標準

13.1.7IDS的典型部署

13.2IDS的設計

13.2.1CIDF的模型

13.2.2NIDS的設計

13.2.3NIDS的關鍵技術

13.2.4HIDS的設計

13.2.5HIDS的關鍵技術

13.2.6控制台的設計

13.2.7自身安全設計

13.3IDS的發展方向

習題

第14章VPN的設計與實現

14.1VPN概述

14.1.1VPN概念

14.1.2VPN的特點

14.1.3VPN的分類

14.2VPN關鍵技術

14.2.1隧道封裝技術

14.2.2密碼技術

14.2.3身份鑑別和認證技術

14.2.4QoS技術

14.3隧道協定與VPN實現

14.3.1PPTP

14.3.2L2F

14.3.3L2TP

14.3.4MPLS

14.3.5IPSec

14.3.6SSL

14.3.7SOCKs

14.4VPN網路的配置與實現

14.4.1Win2000系統中VPN連線的設定

14.4.2Linux系統中VPN連線的設定

14.5VPN安全性分析

習題

第15章身份認證

15.1身份證明

15.1.1身份欺詐

15.1.2身份證明系統的組成和要求

15.1.3身份證明的基本分類

15.1.4實現身份證明的基本途徑

15.2通行字認證系統

15.2.1概述

15.2.2通行字的控制措施

15.2.3通行字的檢驗

15.2.4通行字的安全存儲

15.3個人特徵的身份證明技術

15.3.1手書籤字驗證

15.3.2指紋驗證

15.3.3語音驗證

15.3.4視網膜圖樣驗證

15.3.5虹膜圖樣驗證

15.3.6臉型驗證

15.3.7身份證實系統的設計

15.4零知識證明的基本概念

15.4.1概述

15.4.2零知識證明的基本協定

15.4.3並行零知識證明

15.4.4使第三者相信的協定(零知識)

15.4.5非互動式零知識證明

15.4.6一般化理論結果

15.5零知識身份證明的密碼體制

15.5.1FeigeFiatShamir體制

15.5.2GQ識別體制

15.5.3Schnorr識別體制

15.5.4FiatShamir，GQ和Schnorr體制的比較

15.5.5離散對數的零知識證明體制

15.5.6公鑰密碼體制破譯的零知識證明

15.6身份認證協定實踐

15.6.1安全殼遠程登錄協定

15.6.2Kerberos協定及其在Windows2000系統中的實現

15.6.3SSL和TLS

15.7智慧卡技術及其套用

習題

參考文獻

本書內容豐富,概念清楚,語言精練。在網路安全基本知識和保密學理論方面,力求深入淺出,通俗易懂;在網路安全套用方面,力求理論與實踐相吉合,具有很強的實用性。特別是在每章的後面提供了很多習題,在書末也提供了大量的參考文獻,便於有興趣的讀者繼續深入地學習有關內容。

本書可以作為高等院校信息安全、通信、計算機等專業的研究生和本科生的教材,也可以作為網路安全工程師、網路管理員和計算機用戶的參考用書,或作為網路安全培訓教材。

劉建偉,山東大學學士、碩士、西安電子科技大學博士,山東大學、中國海洋大學、北京航空航天大學兼職教授,中國電子學會高級會員。曾任海信集團技術中心副主任等職務,現任北京海信數碼科技有限公司的總經理。長期從事通信、信息安全的教學和科研工作,獲海信集團“科技標兵”稱號。主持研製的海信防火牆獲山東省科技進步二等獎,海信Netkey身份認證系統獲山東省計算機套用新成果二等獎。在國內外學術刊物和會議上發表論文30篇,出版著作多部,合寫著作曾獲教育部全國普通高校優秀教材一等獎。