《網絡安全:技術與實踐》是一本于2011年6月1日清華大學出版社出版的圖書,作者是劉建偉、王育民。
作者簡介
劉建偉,博士,北京航空航天大學教授,博士生導師,北京航空航天大學電子信息工程學院副院長,中國海洋大學、武漢大學兼職教授,計算機網絡與信息安全教育部重點實驗室(西安電子科技大學)客座研究員,國家863計劃信息安全主題評審專家,教育部高等學校信息安全類專業教學指導委員會委員,中國密碼學會理事,中國電子學會高級會員。2009-2010年在美國佛羅里達大學電子與計算機工程系做訪問學者。出版專著和教材5部,在國內外刊物上發表論文近百篇,申請發明專利17項。獲教育部優秀教材一等獎、山東省計算機應用新成果二等獎、山東省科學技術進步三等獎各1項,主持和參與國家“973計劃”、“863計劃”課題、國家自然科學基金、國防基礎科研項目等課題10余項。
王育民,西安電子科技大學教授,博士生導師,中山大學兼職教授及博士生導師。長期從事通信、信息論、編碼、密碼和信息安全的教學和科研工作,曾任全國高等學校通信和信息工程專業教學指導委員會主任,陜西電子學會副理事長,學術委員會主任等職。現為中國電子學會和中國通信學會會士,中國電子學會信息論學會委員,中國自然基金研究會會員,IEEE高級會員。在差錯控制、多用戶編碼、TCM、密碼學和語音加密等方面有深入研究,主持的科研項目多次獲電子部科技成果獎,享受政府特殊津貼。在國內外學術刊物和會議上發表論文200余篇。出版著作多部,合寫著作曾獲教育部全國普通高校優秀教材一等獎。
內容簡介
《網絡安全:技術與實踐(第2版)》共分3篇15章。第1篇為網絡安全基礎,共3章,主要討論了與網絡安全有關的基礎知識;第2篇為密碼學基礎,共5章,詳細地討論了網絡安全中所涉及的各種密碼技術;第3篇為網絡安全技術與應用,共7章,深入介紹了在實踐中常用的一些網絡安全技術及產品。
《網絡安全:技術與實踐(第2版)》內容豐富,概念清楚,語言精練。在網絡安全基本知識和保密學理論的闡述上,力求深入淺出,通俗易懂;在網絡安全技術與產品的講解上,力求理論聯系實際,具有很強的實用性。《網絡安全:技術與實踐(第2版)》在每章的后面提供了大量思考題和練習題,以便于讀者鞏固課堂上所學的知識;在書末也提供了大量的參考文獻,便于有興趣的讀者繼續深入學習有關內容。
《網絡安全:技術與實踐(第2版)》可作為信息安全、信息對抗、密碼學等專業的本科生和研究生的網絡安全課程教材,也可以作為網絡安全工程師、網絡管理員和計算機用戶的參考書和培訓教材。
目錄
第1篇 網絡安全基礎
第1章 引言 3
1.1 對網絡安全的需求 5
1.1.1 網絡安全發展態勢 5
1.1.2 敏感信息對安全的需求 6
1.1.3 網絡應用對安全的需求 7
1.2 安全威脅與防護措施 7
1.2.1 基本概念 7
1.2.2 安全威脅的來源 8
1.2.3 安全防護措施 10
1.3 網絡安全策略 11
1.3.1 授權 12
1.3.2 訪問控制策略 12
1.3.3 責任 13
1.4 安全攻擊的分類 13
1.4.1 被動攻擊 13
1.4.2 主動攻擊 14
1.5 網絡攻擊的常見形式 15
1.5.1 口令竊取 16
1.5.2 欺騙攻擊 16
1.5.3 缺陷和后門攻擊 17
1.5.4 認證失效 18
1.5.5 協議缺陷 19
1.5.6 信息泄漏 19
1.5.7 指數攻擊——病毒和蠕蟲 20
1.5.8 拒絕服務攻擊 21
1.6 開放系統互連安全體系結構 22
1.6.1 安全服務 23
1.6.2 安全機制 25
1.6.3 安全服務與安全機制的關系 26
1.6.4 在OSI層中的服務配置 27
1.7 網絡安全模型 27
習題 28
第2章 低層協議的安全性 30
2.1 基本協議 30
2.1.1 Protocol Buffers 30
2.1.2 地址解析協議 32
2.1.3 傳輸控制協議 33
2.1.4 用戶數據報協議 35
2.1.5 Internet控制消息協議 35
2.2 網絡地址和域名管理 36
2.2.1 路由協議 36
2.2.2 BOOTP和DHCP 38
2.2.3 域名系統 39
2.3 IPv6 42
2.3.1 IPv6簡介 42
2.3.2 過濾IPv6 44
2.4 網絡地址轉換 45
習題 45
第3章 高層協議的安全性 47
3.1 電子郵件協議 47
3.1.1 SMTP 47
3.1.2 POP3協議 49
3.1.3 MIME 50
3.1.4 Internet消息訪問協議 51
3.2 Internet電話協議 52
3.2.1 H.323 52
3.2.2 SIP 52
3.3 消息傳輸協議 53
3.3.1 簡單文件傳輸協議 53
3.3.2 文件傳輸協議 54
3.3.3 網絡文件傳輸系統 57
3.3.4 服務器消息塊協議 59
3.4 遠程登錄協議 59
3.4.1 Telnet 59
3.4.2 SSH 60
3.5 簡單網絡管理協議 61
3.6 網絡時間協議 62
3.7 信息服務 63
3.7.1 用戶查詢服務 63
3.7.2 數據庫查詢服務 64
3.7.3 LDAP 65
3.7.4 WWW服務 67
3.7.5 網絡消息傳輸協議 68
3.7.6 多播及MBone 68
習題 69
第2篇 密碼學基礎
第4章 單(私)鑰密碼體制 73
4.1 密碼體制的定義 73
4.2 古典密碼 74
4.2.1 代換密碼 75
4.2.2 換位密碼 77
4.2.3 古典密碼的安全性 78
4.3 流密碼的基本概念 79
4.3.1 流密碼框圖和分類 80
4.3.2 密鑰流生成器的結構和分類 81
4.3.3 密鑰流的局部統計檢驗 82
4.3.4 隨機數與密鑰流 83
4.4 快速軟、硬件實現的流密碼算法 83
4.4.1 A5 83
4.4.2 加法流密碼生成器 84
4.4.3 RC4 85
4.5 分組密碼概述 86
4.6 數據加密標準(DES) 89
4.6.1 DES介紹 89
4.6.2 DES的核心作用:消息的隨機非線性分布 91
4.6.3 DES的安全性 92
4.7 高級加密標準(AES) 92
4.7.1 Rijndael密碼概述 93
4.7.2 Rijndael密碼的內部函數 94
4.7.3 AES密碼算法 97
4.7.4 AES的密鑰擴展 98
4.7.5 AES對應用密碼學的積極影響 101
4.8 其他重要的分組密碼算法 101
4.8.1 IDEA 101
4.8.2 SAFER K-64 105
4.8.3 RC5 107
4.9 分組密碼的工作模式 109
4.9.1 電碼本模式 110
4.9.2 密碼分組鏈接模式 111
4.9.3 密碼反饋模式 111
4.9.4 輸出反饋模式 112
4.9.5 計數器模式 114
習題 114
第5章 雙(公)鑰密碼體制 116
5.1 雙鑰密碼體制的基本概念 117
5.1.1 單向函數 117
5.1.2 陷門單向函數 118
5.1.3 公鑰系統 118
5.1.4 用于構造雙鑰密碼的單向函數 118
5.2 RSA密碼體制 121
5.2.1 體制 121
5.2.2 RSA的安全性 122
5.2.3 RSA的參數選擇 125
5.2.4 RSA體制實用中的其他問題 127
5.2.5 RSA的實現 127
5.3 背包密碼體制 128
5.3.1 背包問題 128
5.3.2 簡單背包 129
5.3.3 Merkle-Hellman陷門背包 129
5.3.4 M-H體制的安全性 130
5.3.5 背包體制的缺陷 131
5.3.6 其他背包體制 131
5.4 Rabin密碼體制 131
5.4.1 Rabin體制 131
5.4.2 Williams體制 132
5.5 ElGamal密碼體制 132
5.5.1 方案 133
5.5.2 加密 133
5.5.3 安全性 133
5.6 橢圓曲線密碼體制 133
5.6.1 實數域上的橢圓曲線 134
5.6.2 有限域Zp上的橢圓曲線 135
5.6.3 GF(2m)上的橢圓曲線 137
5.6.4 橢圓曲線密碼 138
5.6.5 橢圓曲線的安全性 139
5.6.6 ECC的實現 139
5.6.7 當前ECC的標準化工作 140
5.6.8 橢圓曲線上的RSA密碼體制 141
5.6.9 用圓錐曲線構造雙鑰密碼體制 141
5.7 基于身份的密碼體制 142
5.7.1 引言 142
5.7.2 雙線性映射和雙線性D-H假設 143
5.7.3 IBE方案描述 144
5.7.4 IBE方案的安全性 145
5.8 公鑰密碼體制的分析 147
習題 149
第6章 消息認證與雜湊函數 151
6.1 認證函數 151
6.1.1 消息加密 151
6.1.2 消息認證碼 155
6.1.3 雜湊函數 157
6.1.4 雜湊函數的性質 158
6.2 消息認證碼 159
6.2.1 對麥金塔的要求 159
6.2.2 基于密鑰雜湊函數的MAC 160
6.2.3 基于分組加密算法的MAC 161
6.3 雜湊函數 162
6.3.1 單向雜湊函數 162
6.3.2 雜湊函數在密碼學中的應用 162
6.3.3 分組迭代單向雜湊算法的層次結構 162
6.3.4 迭代雜湊函數的構造方法 163
6.3.5 應用雜湊函數的基本方式 164
6.4 MD-4和MD-5 166
6.4.1 算法步驟 166
6.4.2 MD-5的安全性 169
6.4.3 MD-5的實現 169
6.4.4 MD-4與MD-5算法差別 170
6.4.5 MD-2和MD-3 170
6.5 安全雜湊算法 170
6.5.1 算法 170
6.5.2 SHA的安全性 172
6.5.3 SHA與MD-4、MD-5的比較 173
6.6 HMAC 174
6.6.1 HMAC的設計目標 174
6.6.2 算法描述 175
6.6.3 HMAC的安全性 175
習題 176
第7章 數字簽名 178
7.1 數字簽名基本概念 178
7.2 RSA簽名體制 179
7.3 Rabin簽名體制 180
7.4 ElGamal簽名體制 181
7.5 Schnorr簽名體制 182
7.6 DSS簽名標準 184
7.6.1 概況 184
7.6.2 簽名和驗證簽名的基本框圖 184
7.6.3 算法描述 184
7.6.4 DSS簽名和驗證框圖 185
7.6.5 公眾反應 185
7.6.6 實現速度 185
7.7 基于橢圓曲線的數字簽名體制 186
7.8 其他數字簽名體制 186
7.8.1 離散對數簽名體制 186
7.8.2 不可否認簽名 187
7.8.3 防失敗簽名 187
7.8.4 盲簽名 187
7.8.5 群簽名 188
7.8.6 代理簽名 189
7.8.7 指定證實人的簽名 189
7.8.8 一次性數字簽名 189
7.8.9 雙有理簽名方案 190
7.8.10 數字簽名的應用 190
習題 190
第8章 密碼協議 191
8.1 協議的基本概念 191
8.1.1 仲裁協議(Arbitrated Protocol) 191
8.1.2 裁決協議(Adjudicated Protocol) 193
8.1.3 自動執行協議(Self-Enforcing Protocol) 193
8.2 安全協議分類及基本密碼協議 195
8.2.1 密鑰建立協議 195
8.2.2 認證建立協議 200
8.2.3 認證的密鑰建立協議 204
8.3 秘密分拆協議 213
8.4 會議密鑰分配和秘密廣播協議 214
8.4.1 秘密廣播協議 214
8.4.2 會議密鑰分配協議 215
8.5 密碼協議的安全性 216
8.5.1 對協議的攻擊 216
8.5.2 密碼協議的安全性分析 220
習題 221
第3篇 網絡安全技術與應用
第9章 數字證書與公鑰基礎設施 225
9.1 PKI的基本概念 225
9.1.1 PKI的定義 225
9.1.2 PKI的組成 225
9.1.3 PKI的應用 227
9.2 數字證書 228
9.2.1 數字證書的概念 229
9.2.2 數字證書的結構 229
9.2.3 數字證書的生成 231
9.2.4 數字證書的簽名與驗證 233
9.2.5 數字證書層次與自簽名數字證書 235
9.2.6 交叉證書 237
9.2.7 數字證書的撤銷 238
9.2.8 漫游證書 243
9.2.9 屬性證書 244
9.3 PKI體系結構——PKIX模型 245
9.3.1 PKIX服務 245
9.3.2 PKIX體系結構 245
9.4 PKI實例 246
9.5 授權管理設施——PMI 247
9.5.1 PMI的定義 247
9.5.2 PMI與PKI的關系 248
9.5.3 實現PMI的機制 249
9.5.4 PMI模型 250
9.5.5 基于PMI建立安全應用 251
習題 252
第10章 網絡加密與密鑰管理 254
10.1 網絡加密的方式及實現 254
10.1.1 鏈路加密 254
10.1.2 節點加密 255
10.1.3 端到端加密 255
10.1.4 混合加密 256
10.2 硬件、軟件加密及有關問題 257
10.2.1 硬件加密的優點 257
10.2.2 硬件種類 258
10.2.3 軟件加密 258
10.2.4 存儲數據加密的特點 258
10.2.5 文件刪除 259
10.3 密鑰管理基本概念 259
10.3.1 密鑰管理 259
10.3.2 密鑰的種類 260
10.4 密鑰生成 261
10.4.1 密鑰選擇對安全性的影響 262
10.4.2 好的密鑰 262
10.4.3 不同等級的密鑰產生的方式不同 262
10.5 密鑰分配 263
10.5.1 基本方法 263
10.5.2 密鑰分配的基本工具 265
10.5.3 密鑰分配系統的基本模式 265
10.5.4 可信第三方TTP 265
10.5.5 密鑰注入 267
10.6 密鑰的證實 267
10.6.1 單鑰證書 268
10.6.2 公鑰的證實技術 269
10.6.3 公鑰認證樹 269
10.6.4 公鑰證書 270
10.6.5 基于身份的公鑰系統 271
10.6.6 隱式證實公鑰 272
10.7 密鑰的保護、存儲與備份 273
10.7.1 密鑰的保護 273
10.7.2 密鑰的存儲 274
10.7.3 密鑰的備份 274
10.8 密鑰的泄漏、吊銷、過期與銷毀 275
10.8.1 泄漏與吊銷 275
10.8.2 密鑰的有效期 275
10.8.3 密鑰銷毀 275
10.9 密鑰控制 276
10.10 多個管區的密鑰管理 277
10.11 密鑰管理系統 279
習題 281
第11章 無線網絡安全 282
11.1 無線網絡面臨的安全威脅 282
11.2 無線蜂窩網絡的安全性 285
11.2.1 GSM的安全性 285
11.2.2 CDMA的安全性 288
11.2.3 3G系統的安全性 290
11.3 無線數據網絡的安全性 292
11.3.1 有線等效保密協議 292
11.3.2 802.1x協議介紹 294
11.3.3 802.11i標準介紹 295
11.3.4 802.16標準的安全性 298
11.3.5 WAPI標準簡介 301
11.3.6 WAP的安全性 302
11.4 Ad hoc網絡的安全性 305
11.4.1 Ad hoc網絡保密與認證技術 306
11.4.2 Ad hoc網絡的安全路由 309
11.4.3 Ad hoc網絡的入侵檢測 309
11.4.4 Ad hoc網絡的信任建立 310
習題 310
第12章 防火墻技術 312
12.1 防火墻概述 312
12.2 防火墻的類型和結構 314
12.2.1 防火墻分類 315
12.2.2 網絡地址轉換 317
12.3 靜態包過濾器 322
12.3.1 工作原理 322
12.3.2 安全性討論 326
12.4 動態包過濾防火墻 327
12.4.1 工作原理 327
12.4.2 安全性討論 330
12.5 電路級網關 331
12.5.1 工作原理 332
12.5.2 安全性討論 334
12.6 應用級網關 335
12.6.1 工作原理 335
12.6.2 安全性討論 337
12.7 狀態檢測防火墻 339
12.7.1 工作原理 339
12.7.2 安全性分析 340
12.8 切換代理 342
12.8.1 工作原理 342
12.8.2 安全性討論 342
12.9 空氣隙防火墻 343
12.9.1 工作原理 343
12.9.2 安全性分析 344
12.10 分布式防火墻 345
12.10.1 工作原理 345
12.10.2 分布式防火墻的優缺點 346
12.11 防火墻的發展趨勢 346
12.11.1 硬件化 346
12.11.2 多功能化 347
12.11.3 安全性 348
習題 348
第13章 入侵檢測技術 350
13.1 入侵檢測概述 350
13.1.1 入侵檢測的概念 351
13.1.2 IDS的主要功能 352
13.1.3 IDS的任務 353
13.1.4 IDS的評價標準 354
13.2 入侵檢測原理及主要方法 355
13.2.1 異常檢測基本原理 355
13.2.2 誤用檢測基本原理 356
13.2.3 各種入侵檢測技術 356
13.3 IDS的結構與分類 359
13.3.1 IDS的結構 360
13.3.2 IDS的分類 361
13.4 NIDS 362
13.4.1 NIDS設計 363
13.4.2 NIDS關鍵技術 364
13.5 HIDS 367
13.5.1 HIDS設計 368
13.5.2 HIDS關鍵技術 369
13.6 DIDS 371
13.7 IDS設計上的考慮與部署 372
13.7.1 控制臺的設計 372
13.7.2 自身安全設計 373
13.7.3 IDS的典型部署 374
13.8 IDS的發展方向 375
習題 377
第14章 VPN技術 378
14.1 VPN概述 378
14.1.1 VPN的概念 378
14.1.2 VPN的特點 378
14.1.3 VPN的分類 379
14.1.4 VPN關鍵技術 380
14.2 隧道協議與VPN 381
14.2.1 第2層隧道協議 382
14.2.2 第3層隧道協議 384
14.3 IPSec VPN 385
14.3.1 IPSec協議概述 385
14.3.2 IPSec的工作原理 386
14.3.3 IPSec中的主要協議 387
14.3.4 安全關聯 390
14.3.5 IPSec VPN的構成 391
14.3.6 IPSec的實現 392
14.4 SSL/TLS VPN 392
14.4.1 TLS協議概述 392
14.4.2 TLS VPN的原理 393
14.4.3 TLS VPN的優缺點 395
14.4.4 TLS VPN的應用 396
14.4.5 TLS VPN與IPSec VPN比較 396
14.5 PPTP VPN 397
14.5.1 PPTP概述 397
14.5.2 PPTP VPN的原理 398
14.5.3 PPTP VPN的優缺點 399
14.6 MPLS VPN 399
14.6.1 MPLS協議概述 400
14.6.2 MPLS VPN的原理 401
14.6.3 MPLS VPN的優缺點 402
14.7 本章小結 403
習題 404
第15章 身份認證技術 406
15.1 身份證明 406
15.1.1 身份欺詐 406
15.1.2 身份證明系統的組成和要求 407
15.1.3 身份證明的基本分類 408
15.1.4 實現身份證明的基本途徑 408
15.2 口令認證系統 409
15.2.1 概述 409
15.2.2 口令的控制措施 411
15.2.3 口令的檢驗 411
15.2.4 口令的安全存儲 412
15.3 個人特征的身份證明技術 413
15.3.1 手書簽字驗證 413
15.3.2 指紋驗證 414
15.3.3 語音驗證 415
15.3.4 視網膜圖樣驗證 415
15.3.5 虹膜圖樣驗證 415
15.3.6 臉型驗證 416
15.3.7 身份證明系統的設計 416
15.4 一次性口令認證 417
15.4.1 挑戰/響應機制 417
15.4.2 口令序列機制 418
15.4.3 時間同步機制 418
15.4.4 事件同步機制 419
15.4.5 幾種一次性口令實現機制的比較 420
15.5 基于證書的認證 421
15.5.1 簡介 421
15.5.2 基于證書認證的工作原理 421
15.6 智能卡技術及其應用 424
15.7 AAA認證協議與移動IP技術 426
15.7.1 AAA的概念及AAA協議 427
15.7.2 移動IP與AAA的結合 430
習題 432
參考資料 >