编辑推荐
网络安全教材应该涉及四方面内容,一是安全基础理论,二是安全协议,三是网络安全技术,四是计算机安全技术,且需要将四方面内容构成一个有机整体。网络安全又是一门实践性很强的课程,需要通过实验培养学生构建安全网络、解决网络安全问题的能力。已有的网络安全教材一是缺少对网络安全技术的系统介绍,二是缺少实验内容,因此,很难实现培养学生构建安全网络、解决网络安全问题的能力的教学目标。
本教材的特色有以下几点。
一是将这四方面内容作为整体进行介绍,突出四方面内容之间的相互关系。
二是在实际网络环境下讨论网络安全机制,及这些网络安全机制的相互作用过程。
三是系统介绍网络安全技术与计算机安全技术,并给出运用这些技术防御网络攻击的方法。
四是给出配套的网络安全实验教程,实验教程给出在Cisco packet tracer软件平台上构建安全网络、配置网络安全设备的步骤和过程,通过实验加深对安全机制的理解、培养构建安全网络、解决网络安全问题的能力。
五是内容组织上着重培养学生的计算思维。
目录
第1章概述/1
1.1信息和信息安全1
1.1.1信息、数据和信号1
1.1.2信息安全定义2
1.1.3信息安全发展过程2
1.1.4信息安全目标5
1.2网络安全6
1.2.1引发网络安全问题的原因6
1.2.2网络安全内涵7
1.3安全模型10
1.3.1安全模型含义和作用10
1.3.2P2DR安全模型11
1.3.3信息保障技术框架13
小结17
习题18
第2章网络攻击/19
2.1网络攻击定义和分类19
2.1.1网络攻击定义19
2.1.2网络攻击分类19
2.2嗅探攻击20
2.2.1嗅探攻击原理和后果20
2.2.2集线器和嗅探攻击21
2.2.3交换机和MAC表溢出攻击21
2.2.4嗅探攻击的防御机制22
2.3截获攻击22
2.3.1截获攻击原理和后果22
2.3.2MAC地址欺骗攻击23
2.3.3DHCP欺骗攻击24
2.3.4ARP欺骗攻击26
2.3.5生成树欺骗攻击28
2.3.6路由项欺骗攻击29
2.4拒绝服务攻击31
2.4.1SYN泛洪攻击31
2.4.2Smurf攻击32
2.4.3DDoS35
2.5欺骗攻击37
2.5.1源IP地址欺骗攻击37
2.5.2钓鱼网站37
2.6非法接入和登录39
2.6.1非法接入无线局域网39
2.6.2非法登录41
2.7黑客入侵42
2.7.1信息收集42
2.7.2扫描43
2.7.3渗透45
2.7.4攻击47
2.7.5黑客入侵防御机制48
2.8病毒48
2.8.1恶意代码定义48
2.8.2恶意代码分类48
2.8.3病毒一般结构50
2.8.4病毒分类51
2.8.5病毒实现技术53
2.8.6病毒防御机制55
小结55
习题56
第3章加密算法/58
3.1基本概念和分类58
3.1.1基本概念58
3.1.2加密传输过程60
3.1.3密码体制分类60
3.2对称密钥体制60
3.2.1分组密码体制和流密码体制61
3.2.2分组密码体制61
3.2.3流密码体制73
3.2.4对称密钥体制的密钥分配过程75
3.3非对称密钥体制78
3.3.1公开密钥加密算法原理78
3.3.2RSA公开密钥加密算法79
3.3.3公开密钥加密算法密钥分发原则80
3.4两种密钥体制的特点和适用范围80
3.4.1两种密钥体制的特点80
3.4.2两种密钥体制的有机结合80
小结81
习题81
第4章报文摘要算法/83
4.1基本概念和特点83
4.1.1完整性检测83
4.1.2报文摘要算法特点84
4.2MD585
4.2.1添加填充位85
4.2.2分组操作85
4.2.3MD5运算过程86
4.3SHA88
4.3.1SHA1与MD5之间的异同88
4.3.2SHA1运算过程89
4.3.3SHA1与MD5安全性和计算复杂性比较89
4.4HMAC90
4.4.1完整性检测要求90
4.4.2HMAC运算思路和运算过程90
4.5报文摘要应用91
4.5.1完整性检测91
4.5.2消息鉴别92
4.5.3口令安全存储93
4.5.4数字签名93
小结99
习题100
第5章接入控制和访问控制/101
5.1身份鉴别101
5.1.1身份鉴别定义和分类101
5.1.2主体身份标识信息102
5.1.3单向鉴别过程102
5.1.4双向鉴别过程104
5.1.5第三方鉴别过程105
5.2Internet接入控制过程107
5.2.1终端接入Internet需要解决的问题107
5.2.2PPP与接入控制过程109
5.3EAP和802.1X113
5.3.1引出EAP的原因113
5.3.2EAP操作过程115
5.3.3EAP over PPP116
5.3.4802.1X操作过程117
5.4RADIUS121
5.4.1RADIUS功能121
5.4.2RADIUS消息格式、类型和封装过程122
5.4.3RADIUS应用124
5.5Kerberos和访问控制过程125
5.5.1访问控制过程125
5.5.2鉴别服务器实施统一身份鉴别机制127
5.5.3Kerberos身份鉴别和访问控制过程128
小结131
习题131
第6章安全协议/133
6.1安全协议概述133
6.1.1产生安全协议的原因133
6.1.2安全协议功能134
6.1.3安全协议体系结构135
6.2IPSec135
6.2.1IPSec概述136
6.2.2AH139
6.2.3ESP141
6.2.4IKE142
6.3TLS145
6.3.1TLS引出原因和发展过程145
6.3.2TLS协议结构146
6.3.3TLS记录协议146
6.3.4握手协议实现身份鉴别和安全参数协商过程147
6.3.5HTTPS151
6.4应用层安全协议152
6.4.1DNS Sec153
6.4.2SET158
6.4.3PGP169
6.4.4S/MIME171
6.5IPSec、TLS和应用层安全协议比较175
6.5.1功能差别175
6.5.2适用环境175
小结176
习题176
第7章以太网安全技术/179
7.1以太网解决安全威胁的思路179
7.1.1以太网相关威胁和引发原因179
7.1.2以太网解决安全威胁的思路180
7.2以太网接入控制技术180
7.2.1以太网接入控制机制181
7.2.2静态配置访问控制列表182
7.2.3安全端口183
7.2.4802.1X接入控制过程184
7.2.5以太网接入控制过程防御的网络攻击186
7.3防欺骗攻击机制187
7.3.1防DHCP欺骗攻击机制和DHCP侦听信息库187
7.3.2防ARP欺骗攻击机制189
7.3.3防源IP地址欺骗攻击机制190
7.4生成树欺骗攻击与防御机制190
7.4.1实施生成树欺骗攻击的条件190
7.4.2防生成树欺骗攻击机制191
7.5虚拟局域网191
7.5.1虚拟局域网降低攻击危害191
7.5.2虚拟局域网安全应用实例192
小结194
习题194
第8章无线局域网安全技术/196
8.1无线局域网的开放性和安全问题196
8.1.1频段的开放性196
8.1.2空间的开放性197
8.1.3开放带来的安全问题和解决思路197
8.2WEP199
8.2.1WEP加密和完整性检测过程199
8.2.2WEP帧结构200
8.2.3WEP鉴别机制201
8.2.4基于MAC地址鉴别机制201
8.2.5关联的接入控制功能202
8.2.6WEP的安全缺陷203
8.3802.11i207
8.3.1802.11i增强的安全功能207
8.3.2802.11i加密和完整性检测机制208
8.3.3802.1X鉴别机制215
8.3.4动态密钥分配机制221
8.4WPA2222
8.4.1WPA2企业模式223
8.4.2WPA2个人模式223
小结225
习题225
第9章互联网安全技术/228
9.1互联网安全技术概述228
9.1.1路由器和互联网结构228
9.1.2互联网安全技术范畴和功能230
9.2安全路由230
9.2.1防路由项欺骗攻击机制231
9.2.2路由项过滤232
9.2.3单播反向路径验证232
9.2.4策略路由233
9.3流量管制234
9.3.1拒绝服务攻击和流量管制234
9.3.2信息流分类235
9.3.3管制算法236
9.3.4流量管制抑止拒绝服务攻击机制237
9.4NAT239
9.4.1NAT概述239
9.4.2动态PAT和静态PAT242
9.4.3动态NAT和静态NAT244
9.4.4NAT的弱安全性246
9.5VRRP247
9.5.1容错网络结构247
9.5.2VRRP工作原理248
9.5.3VRRP应用实例253
小结254
习题255
第10章虚拟专用网络/258
10.1VPN概述258
10.1.1企业网和远程接入258
10.1.2VPN定义和需要解决的问题260
10.1.3VPN分类262
10.2第三层隧道和IPSec264
10.2.1VPN结构265
10.2.2内部网络之间IP分组传输过程267
10.2.3IPSec和安全传输过程269
10.3第二层隧道和IPSec272
10.3.1远程接入过程272
10.3.2PPP帧封装过程274
10.3.3L2TP275
10.3.4VPN接入控制过程281
10.3.5IPSec和安全传输过程284
10.3.6Cisco Easy VPN285
10.4SSL VPN290
10.4.1第二层隧道和IPSec的缺陷290
10.4.2SSL VPN实现原理291
小结294
习题295
第11章防火墙/297
11.1防火墙概述297
11.1.1引出防火墙的原因297
11.1.2防火墙定义和工作机制298
11.1.3防火墙分类299
11.1.4防火墙功能301
11.1.5防火墙的局限性302
11.2分组过滤器302
11.2.1无状态分组过滤器302
11.2.2有状态分组过滤器306
11.3电路层代理318
11.3.1Socks和电路层代理实现原理318
11.3.2电路层代理应用环境320
11.3.3电路层代理安全功能324
11.4应用层网关324
11.4.1应用层网关概述325
11.4.2Web应用防火墙工作原理325
11.4.3Web应用防火墙应用环境328
11.5三种防火墙的特点329
11.5.1三种防火墙的安全功能329
11.5.2三种防火墙的应用环境330
11.5.3三种防火墙综合应用实例330
小结332
习题333
第12章入侵检测系统/336
12.1IDS概述336
12.1.1入侵定义和手段336
12.1.2引出IDS的原因337
12.1.3入侵检测系统通用框架结构338
12.1.4入侵检测系统的两种应用方式339
12.1.5IDS分类340
12.1.6入侵检测系统工作过程342
12.1.7入侵检测系统的不足345
12.1.8入侵检测系统发展趋势346
12.1.9入侵检测系统的评价指标346
12.2网络入侵检测系统347
12.2.1网络入侵检测系统结构347
12.2.2信息流捕获机制348
12.2.3网络入侵检测机制350
12.2.4安全策略配置实例356
12.3主机入侵检测系统359
12.3.1黑客攻击主机系统过程360
12.3.2主机入侵检测系统功能360
12.3.3主机入侵检测系统工作流程360
12.3.4拦截机制361
12.3.5主机资源363
12.3.6用户和系统状态363
12.3.7访问控制策略配置实例364
小结365
习题366
第13章病毒防御技术/368
13.1病毒作用过程368
13.1.1病毒存在形式368
13.1.2病毒植入方式369
13.1.3病毒隐藏和运行369
13.1.4病毒感染和传播371
13.1.5病毒破坏过程371
13.1.6病毒作用过程实例372
13.2基于主机防御技术374
13.2.1基于特征的扫描技术375
13.2.2基于线索的扫描技术376
13.2.3基于完整性检测的扫描技术376
13.2.4基于行为的检测技术377
13.2.5基于模拟运行环境的检测技术377
13.3基于网络防御技术378
13.3.1防火墙378
13.3.2网络入侵检测系统379
13.3.3防毒墙380
13.3.4数字免疫系统381
小结381
习题382
第14章计算机安全技术/383
14.1计算机安全威胁和安全技术383
14.1.1安全威胁383
14.1.2安全技术384
14.2访问控制384
14.2.1基本术语384
14.2.2访问控制模型385
14.2.3审计390
14.2.4Windows 7访问控制机制391
14.3Windows 7防火墙395
14.3.1入站规则和出站规则396
14.3.2Windows 7防火墙配置实例397
14.4Windows 7网络管理和监测命令406
14.4.1ping407
14.4.2tracert408
14.4.3ipconfig410
14.4.4arp411
14.4.5nslookup413
14.4.6route414
14.4.7netstat416
小结419
习题419
英文缩写词/420
参考文献/425
序言
本书特色
本书有机集成网络安全理论、网络安全协议和主流网络安全技术,结合网络安全理论讨论主流网络安全技术的实现原理,让读者知其所以然。
在具体网络环境下讨论运用网络安全协议和网络安全技术解决实际网络安全问题的方法和过程,培养读者运用网络安全协议和网络安全技术解决实际网络安全问题的能力。
配套的实验教材《网络安全实验教程》与本书相得益彰,使得课堂教学和实验形成良性互动。
前言
对于一本以真正将读者领进网络安全知识殿堂为教学目标的教材,一是必须提供完整、系统的网络安全理论,这样才能让读者理解网络安全技术的实现机制,具有进一步研究网络安全技术的能力;二是必须深入讨论当前主流网络安全技术,同时,结合网络安全理论讨论主流网络安全技术的实现原理,让读者知其所以然。三是需要在具体网络环境下讨论运用网络安全协议和网络安全技术解决实际网络安全问题的方法和过程,让读者具备运用网络安全协议和网络安全技术解决实际网络安全问题的能力,解决读者学以致用的问题。
本书的特点是将网络安全理论、网络安全协议和主流网络安全技术有机集成在一起。既能让读者掌握完整、系统的网络安全理论,又能让读者具备运用网络安全协议和主流网络安全技术解决实际网络安全问题的能力。
全书内容分为三部分,一是网络安全理论,包括加密算法、报文摘要算法等;二是网络安全协议,包括IPSec、TLS、HTTPS、DNS Sec、SET、S/MIME等;三是主流网络安全技术,包括以太网安全技术、无线局域网安全技术、互联网安全技术、虚拟专用网络、防火墙、入侵检测系统、病毒防御技术和计算机安全技术等。主流网络安全技术是本书的重点。
本书有配套的实验书《网络安全实验教程》,实验教材提供了在Cisco Packet Tracer软件实验平台上运用本书提供的理论和技术设计,配置和调试各种满足不同安全性能的安全网络的步骤和方法,学生可以用本书提供的安全协议和安全技术指导实验,再通过实验来加深理解本书内容,使得课堂教学和实验形成良性互动。
作为一本无论在内容组织、叙述方法还是教学目标都和传统网络安全教材有一定区别的新书,书中疏漏和不足之处在所难免,殷切希望使用本书的老师和学生批评指正。
作者
2017年5月
后记
系统介绍网络安全基础理论、安全协议、网络安全技术和计算机安全技术,给出构建安全网络、解决实际网络安全问题的方法,是一本内容全面、实用性强、易教易学的好教材。
文摘
第3章加 密 算 法加密过程是一种将明文表示的信息转换成密文表示的信息的过程,是实现信息保密性的基本措施。密码体制可以分为对称密钥体制和非对称密钥体制两种,非对称密钥体制是现代密码体制里程碑式的成果。
3.1基本概念和分类
加密解密算法已经存在很长时间,在军事上得到广泛应用。计算机和互联网的诞生一是对加密解密算法的安全性提出了更高的要求,二是使得加密解密算法成为实现网络环境下的信息保密性的基础。
3.1.1基本概念1. 加密解密本质加密前的原始信息称为明文,加密后的信息称为密文,加密过程就是明文至密文的转换过程。为了保障信息的保密性,不能通过密文了解明文的内容。明文至密文的转换过程必须是可逆的,解密过程就是加密过程的逆过程,是密文至明文的转换过程。
2. 传统加密解密算法
1) 凯撒密码
凯撒密码是一种通过用其他字符替代明文中的每一个字符,完成将明文转换成密文过程的加密算法。凯撒密码完成明文至密文的转换过程如下: 将构成文本的每一个字符用字符表中该字符之后的第三个字符替代,这种转换过程假定字符表中字符顺序是循环的,因此,字符表中字符Z之后的第一个字符是A。通过这样的转换过程,明文GOOD MORNING转换成密文JRRG PRUQLKLJ。显然,不能通过密文JRRG PRUQLKLJ了解明文GOOD MORNING表示的内容。
凯撒密码完成密文至明文的转换过程如下,将构成文本的每一个字符用字符表中该字符之前的第三个字符替代。
2) 换位密码
换位密码是一种通过改变明文中每一个字符的位置,完成将明文转换成密文过程的加密算法。下面以4个字符一组的换位密码为例,讨论加密解密过程。首先定义换位规则,如(2,4,1,3)。然后将明文以4个字符为单位分组,因此,明文GOOD MORNING分为 GOOD MORN ING□, □是填充字符,其用途是使得每一组字符都包含4个字符。加密以每一组字符为单位单独进行,因此,4个字符一组的明文,加密后成为4个字符一组的密文,加密过程根据换位规则(2,4,1,3)进行,换位规则(2,4,1,3)表示每一组明文字符中的第2个字符作为该组密文字符中的第1个字符,每一组明文字符中的第4个字符作为该组密文字符中的第2个字符,每一组明文字符中的第1个字符作为该组密文字符中的第3个字符,每一组明文字符中的第3个字符作为该组密文字符中的第4个字符。加密过程如图3.1(a)所示,明文GOOD MORN ING□转换成密文ODGOONMRN□IG。解密过程是加密过程的逆过程,根据换位规则(2,4,1,3),解密过程需要将每一组密文中的第1个字符作为该组明文中的第2个字符,每一组密文中的第2个字符作为该组明文中的第4个字符,每一组密文中的第3个字符作为该组明文中的第1个字符,每一组密文中的第4个字符作为该组明文中的第3个字符。解密过程如图3.1(b)所示。
图3.1换位密码加密解密过程
〖1〗网络安全第3章加密算法[3]〖3〗3. 现代加密解密算法
实现明文转换成密文过程的系统称为密码系统,密码系统也称为密码体制。密码体制由以下内容组成。明文m、密文c、加密算法E、加密密钥ke、解密算法D和解密密钥kd。明文m转换成密文c的过程如下。
c=E(m,ke),即加密算法是一个二元函数,加密过程是以明文m和加密密钥ke为输入的加密函数运算过程。c=E(m,ke)也可以用c=Eke(m)表示,以突出明文m和加密密钥ke之间的区别。
密文c转换成明文m的过程如下。
m=D(c,kd),解密算法同样是一个二元函数,解密过程是以密文c和解密密钥kd为输入的解密函数运算过程。m=D(c,kd)也可以用m=Dkd(c)表示。
密码体制要求满足: Dkd(Eke(m))=m,即加密和解密过程是可逆的。
计算机中,明文m、密文c、加密密钥ke和解密密钥kd都是二进制数,因此,存在以下集合。
(1) 明文集合M,由明文m的二进制数位数确定,如果明文m的二进制数位数为nm,则明文集合M包含2nm个不同的明文;
(2) 密文集合C,由密文c的二进制数位数确定,如果密文c的二进制数位数为nc,则密文集合C包含2nc个不同的密文;
(3) 加密密钥集合KE,由加密密钥的二进制数位数确定,如果加密密钥的二进制数位数为nke,则加密密钥集合KE包含2nke个不同的密钥;
(4) 解密密钥集合KD,由解密密钥的二进制数位数确定,如果解密密钥的二进制数位数为nkd,则解密密钥集合KD包含2nkd个不同的密钥。
由于计算机强大的运算功能可以实时完成复杂的运算过程,因此,可以设计复杂的加密和解密算法。
现代密码体制的Kerckhoffs原则是: 所有加密解密算法都是公开的,保密的只是密钥。
网络安全教材应该涉及四方面内容,一是安全基础理论,二是安全协议,三是网络安全技术,四是计算机安全技术,且需要将四方面内容构成一个有机整体。网络安全又是一门实践性很强的课程,需要通过实验培养学生构建安全网络、解决网络安全问题的能力。已有的网络安全教材一是缺少对网络安全技术的系统介绍,二是缺少实验内容,因此,很难实现培养学生构建安全网络、解决网络安全问题的能力的教学目标。
本教材的特色有以下几点。
一是将这四方面内容作为整体进行介绍,突出四方面内容之间的相互关系。
二是在实际网络环境下讨论网络安全机制,及这些网络安全机制的相互作用过程。
三是系统介绍网络安全技术与计算机安全技术,并给出运用这些技术防御网络攻击的方法。
四是给出配套的网络安全实验教程,实验教程给出在Cisco packet tracer软件平台上构建安全网络、配置网络安全设备的步骤和过程,通过实验加深对安全机制的理解、培养构建安全网络、解决网络安全问题的能力。
五是内容组织上着重培养学生的计算思维。
目录
第1章概述/1
1.1信息和信息安全1
1.1.1信息、数据和信号1
1.1.2信息安全定义2
1.1.3信息安全发展过程2
1.1.4信息安全目标5
1.2网络安全6
1.2.1引发网络安全问题的原因6
1.2.2网络安全内涵7
1.3安全模型10
1.3.1安全模型含义和作用10
1.3.2P2DR安全模型11
1.3.3信息保障技术框架13
小结17
习题18
第2章网络攻击/19
2.1网络攻击定义和分类19
2.1.1网络攻击定义19
2.1.2网络攻击分类19
2.2嗅探攻击20
2.2.1嗅探攻击原理和后果20
2.2.2集线器和嗅探攻击21
2.2.3交换机和MAC表溢出攻击21
2.2.4嗅探攻击的防御机制22
2.3截获攻击22
2.3.1截获攻击原理和后果22
2.3.2MAC地址欺骗攻击23
2.3.3DHCP欺骗攻击24
2.3.4ARP欺骗攻击26
2.3.5生成树欺骗攻击28
2.3.6路由项欺骗攻击29
2.4拒绝服务攻击31
2.4.1SYN泛洪攻击31
2.4.2Smurf攻击32
2.4.3DDoS35
2.5欺骗攻击37
2.5.1源IP地址欺骗攻击37
2.5.2钓鱼网站37
2.6非法接入和登录39
2.6.1非法接入无线局域网39
2.6.2非法登录41
2.7黑客入侵42
2.7.1信息收集42
2.7.2扫描43
2.7.3渗透45
2.7.4攻击47
2.7.5黑客入侵防御机制48
2.8病毒48
2.8.1恶意代码定义48
2.8.2恶意代码分类48
2.8.3病毒一般结构50
2.8.4病毒分类51
2.8.5病毒实现技术53
2.8.6病毒防御机制55
小结55
习题56
第3章加密算法/58
3.1基本概念和分类58
3.1.1基本概念58
3.1.2加密传输过程60
3.1.3密码体制分类60
3.2对称密钥体制60
3.2.1分组密码体制和流密码体制61
3.2.2分组密码体制61
3.2.3流密码体制73
3.2.4对称密钥体制的密钥分配过程75
3.3非对称密钥体制78
3.3.1公开密钥加密算法原理78
3.3.2RSA公开密钥加密算法79
3.3.3公开密钥加密算法密钥分发原则80
3.4两种密钥体制的特点和适用范围80
3.4.1两种密钥体制的特点80
3.4.2两种密钥体制的有机结合80
小结81
习题81
第4章报文摘要算法/83
4.1基本概念和特点83
4.1.1完整性检测83
4.1.2报文摘要算法特点84
4.2MD585
4.2.1添加填充位85
4.2.2分组操作85
4.2.3MD5运算过程86
4.3SHA88
4.3.1SHA1与MD5之间的异同88
4.3.2SHA1运算过程89
4.3.3SHA1与MD5安全性和计算复杂性比较89
4.4HMAC90
4.4.1完整性检测要求90
4.4.2HMAC运算思路和运算过程90
4.5报文摘要应用91
4.5.1完整性检测91
4.5.2消息鉴别92
4.5.3口令安全存储93
4.5.4数字签名93
小结99
习题100
第5章接入控制和访问控制/101
5.1身份鉴别101
5.1.1身份鉴别定义和分类101
5.1.2主体身份标识信息102
5.1.3单向鉴别过程102
5.1.4双向鉴别过程104
5.1.5第三方鉴别过程105
5.2Internet接入控制过程107
5.2.1终端接入Internet需要解决的问题107
5.2.2PPP与接入控制过程109
5.3EAP和802.1X113
5.3.1引出EAP的原因113
5.3.2EAP操作过程115
5.3.3EAP over PPP116
5.3.4802.1X操作过程117
5.4RADIUS121
5.4.1RADIUS功能121
5.4.2RADIUS消息格式、类型和封装过程122
5.4.3RADIUS应用124
5.5Kerberos和访问控制过程125
5.5.1访问控制过程125
5.5.2鉴别服务器实施统一身份鉴别机制127
5.5.3Kerberos身份鉴别和访问控制过程128
小结131
习题131
第6章安全协议/133
6.1安全协议概述133
6.1.1产生安全协议的原因133
6.1.2安全协议功能134
6.1.3安全协议体系结构135
6.2IPSec135
6.2.1IPSec概述136
6.2.2AH139
6.2.3ESP141
6.2.4IKE142
6.3TLS145
6.3.1TLS引出原因和发展过程145
6.3.2TLS协议结构146
6.3.3TLS记录协议146
6.3.4握手协议实现身份鉴别和安全参数协商过程147
6.3.5HTTPS151
6.4应用层安全协议152
6.4.1DNS Sec153
6.4.2SET158
6.4.3PGP169
6.4.4S/MIME171
6.5IPSec、TLS和应用层安全协议比较175
6.5.1功能差别175
6.5.2适用环境175
小结176
习题176
第7章以太网安全技术/179
7.1以太网解决安全威胁的思路179
7.1.1以太网相关威胁和引发原因179
7.1.2以太网解决安全威胁的思路180
7.2以太网接入控制技术180
7.2.1以太网接入控制机制181
7.2.2静态配置访问控制列表182
7.2.3安全端口183
7.2.4802.1X接入控制过程184
7.2.5以太网接入控制过程防御的网络攻击186
7.3防欺骗攻击机制187
7.3.1防DHCP欺骗攻击机制和DHCP侦听信息库187
7.3.2防ARP欺骗攻击机制189
7.3.3防源IP地址欺骗攻击机制190
7.4生成树欺骗攻击与防御机制190
7.4.1实施生成树欺骗攻击的条件190
7.4.2防生成树欺骗攻击机制191
7.5虚拟局域网191
7.5.1虚拟局域网降低攻击危害191
7.5.2虚拟局域网安全应用实例192
小结194
习题194
第8章无线局域网安全技术/196
8.1无线局域网的开放性和安全问题196
8.1.1频段的开放性196
8.1.2空间的开放性197
8.1.3开放带来的安全问题和解决思路197
8.2WEP199
8.2.1WEP加密和完整性检测过程199
8.2.2WEP帧结构200
8.2.3WEP鉴别机制201
8.2.4基于MAC地址鉴别机制201
8.2.5关联的接入控制功能202
8.2.6WEP的安全缺陷203
8.3802.11i207
8.3.1802.11i增强的安全功能207
8.3.2802.11i加密和完整性检测机制208
8.3.3802.1X鉴别机制215
8.3.4动态密钥分配机制221
8.4WPA2222
8.4.1WPA2企业模式223
8.4.2WPA2个人模式223
小结225
习题225
第9章互联网安全技术/228
9.1互联网安全技术概述228
9.1.1路由器和互联网结构228
9.1.2互联网安全技术范畴和功能230
9.2安全路由230
9.2.1防路由项欺骗攻击机制231
9.2.2路由项过滤232
9.2.3单播反向路径验证232
9.2.4策略路由233
9.3流量管制234
9.3.1拒绝服务攻击和流量管制234
9.3.2信息流分类235
9.3.3管制算法236
9.3.4流量管制抑止拒绝服务攻击机制237
9.4NAT239
9.4.1NAT概述239
9.4.2动态PAT和静态PAT242
9.4.3动态NAT和静态NAT244
9.4.4NAT的弱安全性246
9.5VRRP247
9.5.1容错网络结构247
9.5.2VRRP工作原理248
9.5.3VRRP应用实例253
小结254
习题255
第10章虚拟专用网络/258
10.1VPN概述258
10.1.1企业网和远程接入258
10.1.2VPN定义和需要解决的问题260
10.1.3VPN分类262
10.2第三层隧道和IPSec264
10.2.1VPN结构265
10.2.2内部网络之间IP分组传输过程267
10.2.3IPSec和安全传输过程269
10.3第二层隧道和IPSec272
10.3.1远程接入过程272
10.3.2PPP帧封装过程274
10.3.3L2TP275
10.3.4VPN接入控制过程281
10.3.5IPSec和安全传输过程284
10.3.6Cisco Easy VPN285
10.4SSL VPN290
10.4.1第二层隧道和IPSec的缺陷290
10.4.2SSL VPN实现原理291
小结294
习题295
第11章防火墙/297
11.1防火墙概述297
11.1.1引出防火墙的原因297
11.1.2防火墙定义和工作机制298
11.1.3防火墙分类299
11.1.4防火墙功能301
11.1.5防火墙的局限性302
11.2分组过滤器302
11.2.1无状态分组过滤器302
11.2.2有状态分组过滤器306
11.3电路层代理318
11.3.1Socks和电路层代理实现原理318
11.3.2电路层代理应用环境320
11.3.3电路层代理安全功能324
11.4应用层网关324
11.4.1应用层网关概述325
11.4.2Web应用防火墙工作原理325
11.4.3Web应用防火墙应用环境328
11.5三种防火墙的特点329
11.5.1三种防火墙的安全功能329
11.5.2三种防火墙的应用环境330
11.5.3三种防火墙综合应用实例330
小结332
习题333
第12章入侵检测系统/336
12.1IDS概述336
12.1.1入侵定义和手段336
12.1.2引出IDS的原因337
12.1.3入侵检测系统通用框架结构338
12.1.4入侵检测系统的两种应用方式339
12.1.5IDS分类340
12.1.6入侵检测系统工作过程342
12.1.7入侵检测系统的不足345
12.1.8入侵检测系统发展趋势346
12.1.9入侵检测系统的评价指标346
12.2网络入侵检测系统347
12.2.1网络入侵检测系统结构347
12.2.2信息流捕获机制348
12.2.3网络入侵检测机制350
12.2.4安全策略配置实例356
12.3主机入侵检测系统359
12.3.1黑客攻击主机系统过程360
12.3.2主机入侵检测系统功能360
12.3.3主机入侵检测系统工作流程360
12.3.4拦截机制361
12.3.5主机资源363
12.3.6用户和系统状态363
12.3.7访问控制策略配置实例364
小结365
习题366
第13章病毒防御技术/368
13.1病毒作用过程368
13.1.1病毒存在形式368
13.1.2病毒植入方式369
13.1.3病毒隐藏和运行369
13.1.4病毒感染和传播371
13.1.5病毒破坏过程371
13.1.6病毒作用过程实例372
13.2基于主机防御技术374
13.2.1基于特征的扫描技术375
13.2.2基于线索的扫描技术376
13.2.3基于完整性检测的扫描技术376
13.2.4基于行为的检测技术377
13.2.5基于模拟运行环境的检测技术377
13.3基于网络防御技术378
13.3.1防火墙378
13.3.2网络入侵检测系统379
13.3.3防毒墙380
13.3.4数字免疫系统381
小结381
习题382
第14章计算机安全技术/383
14.1计算机安全威胁和安全技术383
14.1.1安全威胁383
14.1.2安全技术384
14.2访问控制384
14.2.1基本术语384
14.2.2访问控制模型385
14.2.3审计390
14.2.4Windows 7访问控制机制391
14.3Windows 7防火墙395
14.3.1入站规则和出站规则396
14.3.2Windows 7防火墙配置实例397
14.4Windows 7网络管理和监测命令406
14.4.1ping407
14.4.2tracert408
14.4.3ipconfig410
14.4.4arp411
14.4.5nslookup413
14.4.6route414
14.4.7netstat416
小结419
习题419
英文缩写词/420
参考文献/425
序言
本书特色
本书有机集成网络安全理论、网络安全协议和主流网络安全技术,结合网络安全理论讨论主流网络安全技术的实现原理,让读者知其所以然。
在具体网络环境下讨论运用网络安全协议和网络安全技术解决实际网络安全问题的方法和过程,培养读者运用网络安全协议和网络安全技术解决实际网络安全问题的能力。
配套的实验教材《网络安全实验教程》与本书相得益彰,使得课堂教学和实验形成良性互动。
前言
对于一本以真正将读者领进网络安全知识殿堂为教学目标的教材,一是必须提供完整、系统的网络安全理论,这样才能让读者理解网络安全技术的实现机制,具有进一步研究网络安全技术的能力;二是必须深入讨论当前主流网络安全技术,同时,结合网络安全理论讨论主流网络安全技术的实现原理,让读者知其所以然。三是需要在具体网络环境下讨论运用网络安全协议和网络安全技术解决实际网络安全问题的方法和过程,让读者具备运用网络安全协议和网络安全技术解决实际网络安全问题的能力,解决读者学以致用的问题。
本书的特点是将网络安全理论、网络安全协议和主流网络安全技术有机集成在一起。既能让读者掌握完整、系统的网络安全理论,又能让读者具备运用网络安全协议和主流网络安全技术解决实际网络安全问题的能力。
全书内容分为三部分,一是网络安全理论,包括加密算法、报文摘要算法等;二是网络安全协议,包括IPSec、TLS、HTTPS、DNS Sec、SET、S/MIME等;三是主流网络安全技术,包括以太网安全技术、无线局域网安全技术、互联网安全技术、虚拟专用网络、防火墙、入侵检测系统、病毒防御技术和计算机安全技术等。主流网络安全技术是本书的重点。
本书有配套的实验书《网络安全实验教程》,实验教材提供了在Cisco Packet Tracer软件实验平台上运用本书提供的理论和技术设计,配置和调试各种满足不同安全性能的安全网络的步骤和方法,学生可以用本书提供的安全协议和安全技术指导实验,再通过实验来加深理解本书内容,使得课堂教学和实验形成良性互动。
作为一本无论在内容组织、叙述方法还是教学目标都和传统网络安全教材有一定区别的新书,书中疏漏和不足之处在所难免,殷切希望使用本书的老师和学生批评指正。
作者
2017年5月
后记
系统介绍网络安全基础理论、安全协议、网络安全技术和计算机安全技术,给出构建安全网络、解决实际网络安全问题的方法,是一本内容全面、实用性强、易教易学的好教材。
文摘
第3章加 密 算 法加密过程是一种将明文表示的信息转换成密文表示的信息的过程,是实现信息保密性的基本措施。密码体制可以分为对称密钥体制和非对称密钥体制两种,非对称密钥体制是现代密码体制里程碑式的成果。
3.1基本概念和分类
加密解密算法已经存在很长时间,在军事上得到广泛应用。计算机和互联网的诞生一是对加密解密算法的安全性提出了更高的要求,二是使得加密解密算法成为实现网络环境下的信息保密性的基础。
3.1.1基本概念1. 加密解密本质加密前的原始信息称为明文,加密后的信息称为密文,加密过程就是明文至密文的转换过程。为了保障信息的保密性,不能通过密文了解明文的内容。明文至密文的转换过程必须是可逆的,解密过程就是加密过程的逆过程,是密文至明文的转换过程。
2. 传统加密解密算法
1) 凯撒密码
凯撒密码是一种通过用其他字符替代明文中的每一个字符,完成将明文转换成密文过程的加密算法。凯撒密码完成明文至密文的转换过程如下: 将构成文本的每一个字符用字符表中该字符之后的第三个字符替代,这种转换过程假定字符表中字符顺序是循环的,因此,字符表中字符Z之后的第一个字符是A。通过这样的转换过程,明文GOOD MORNING转换成密文JRRG PRUQLKLJ。显然,不能通过密文JRRG PRUQLKLJ了解明文GOOD MORNING表示的内容。
凯撒密码完成密文至明文的转换过程如下,将构成文本的每一个字符用字符表中该字符之前的第三个字符替代。
2) 换位密码
换位密码是一种通过改变明文中每一个字符的位置,完成将明文转换成密文过程的加密算法。下面以4个字符一组的换位密码为例,讨论加密解密过程。首先定义换位规则,如(2,4,1,3)。然后将明文以4个字符为单位分组,因此,明文GOOD MORNING分为 GOOD MORN ING□, □是填充字符,其用途是使得每一组字符都包含4个字符。加密以每一组字符为单位单独进行,因此,4个字符一组的明文,加密后成为4个字符一组的密文,加密过程根据换位规则(2,4,1,3)进行,换位规则(2,4,1,3)表示每一组明文字符中的第2个字符作为该组密文字符中的第1个字符,每一组明文字符中的第4个字符作为该组密文字符中的第2个字符,每一组明文字符中的第1个字符作为该组密文字符中的第3个字符,每一组明文字符中的第3个字符作为该组密文字符中的第4个字符。加密过程如图3.1(a)所示,明文GOOD MORN ING□转换成密文ODGOONMRN□IG。解密过程是加密过程的逆过程,根据换位规则(2,4,1,3),解密过程需要将每一组密文中的第1个字符作为该组明文中的第2个字符,每一组密文中的第2个字符作为该组明文中的第4个字符,每一组密文中的第3个字符作为该组明文中的第1个字符,每一组密文中的第4个字符作为该组明文中的第3个字符。解密过程如图3.1(b)所示。
图3.1换位密码加密解密过程
〖1〗网络安全第3章加密算法[3]〖3〗3. 现代加密解密算法
实现明文转换成密文过程的系统称为密码系统,密码系统也称为密码体制。密码体制由以下内容组成。明文m、密文c、加密算法E、加密密钥ke、解密算法D和解密密钥kd。明文m转换成密文c的过程如下。
c=E(m,ke),即加密算法是一个二元函数,加密过程是以明文m和加密密钥ke为输入的加密函数运算过程。c=E(m,ke)也可以用c=Eke(m)表示,以突出明文m和加密密钥ke之间的区别。
密文c转换成明文m的过程如下。
m=D(c,kd),解密算法同样是一个二元函数,解密过程是以密文c和解密密钥kd为输入的解密函数运算过程。m=D(c,kd)也可以用m=Dkd(c)表示。
密码体制要求满足: Dkd(Eke(m))=m,即加密和解密过程是可逆的。
计算机中,明文m、密文c、加密密钥ke和解密密钥kd都是二进制数,因此,存在以下集合。
(1) 明文集合M,由明文m的二进制数位数确定,如果明文m的二进制数位数为nm,则明文集合M包含2nm个不同的明文;
(2) 密文集合C,由密文c的二进制数位数确定,如果密文c的二进制数位数为nc,则密文集合C包含2nc个不同的密文;
(3) 加密密钥集合KE,由加密密钥的二进制数位数确定,如果加密密钥的二进制数位数为nke,则加密密钥集合KE包含2nke个不同的密钥;
(4) 解密密钥集合KD,由解密密钥的二进制数位数确定,如果解密密钥的二进制数位数为nkd,则解密密钥集合KD包含2nkd个不同的密钥。
由于计算机强大的运算功能可以实时完成复杂的运算过程,因此,可以设计复杂的加密和解密算法。
现代密码体制的Kerckhoffs原则是: 所有加密解密算法都是公开的,保密的只是密钥。
| ISBN | 7302467234,9787302467236 |
|---|---|
| 出版社 | 清华大学出版社 |
| 作者 | 沈鑫剡 |
| 尺寸 | 16 |