《计算机系列教材:网络安全原理与实践》围绕网络安全技术体系的建立,系统介绍了计算机网络安全知识和理论,全书共分17章,内容包括网络安全基础、网络安全威胁、密码学概述、对称加密、公钥密码、消息认证和散列函数、鉴别和密钥分配协议、身份认证和访问控制、PKI技术、IPSec协议、电子邮件安全、Web安全、防火墙技术、虚拟专用网、入侵检测系统和网络诱骗系统、无线网络安全、恶意代码。《计算机系列教材:网络安全原理与实践》既重视基础原理和基本概念的阐述,又紧密联系当前的前沿科技知识,注重理论和实践的统一,可以有效加深学生对于网络安全的理解,培养学生的创新能力。
《计算机系列教材:网络安全原理与实践》可作为信息安全、计算机、信息管理、电子商务等专业本科生和研究生的教材,也可供从事相关专业的教学、科研和工程人员参考。
《计算机系列教材:网络安全原理与实践》较全面地介绍了网络安全的基本原理和实践知识,主要特色如下。
(1)突出网络与通信安全的特点。重点讲述网络通信技术中存在的安全问题和解决方案。对于密码学、系统安全等知识点进行简化,避免赘述。
(2)强调理论与实践结合的教学思路。教材通过结合实际应用中存在的问题和案例,增加学生感性认识,能更好地将理论联系实际,加深对知识点的理解。
(3)紧跟学科发展前沿,将网络安全领域的新知识、新技术(如入侵防御、无线网络安全等内容)融入教材知识体系。
随着计算机网络的发展,信息安全越来越受到人们的关注,信息安全已成为发展最为迅速的学科领域之一。人员、技术和管理是信息安全保障的三大要素,虽然人员和管理在安全领域所扮演的角色非常重要,但技术要素才是基础,一个信息安全工程师首先必须对安全技术的功能和其弱点有深入的理解。对于信息安全专业人才培养来说,使学生掌握信息安全技术理论和应用是关键。
2001 年经教育部批准,武汉大学创建了全国第一个信息安全本科专业,我国从此开始了信息安全本科生的培养。2002 年又批准了18 所高等学校建立信息安全本科专业,之后信息安全本科人才培养进入热潮阶段。在信息安全本科生培养初期,教材比较匮乏,一般信息安全专业课使用各个学校的内部讲义或面向研究生的教材,2007年后出现了大量的信息安全本科专业教材,课程涵盖密码学、系统安全、网络安全、网络攻防、信息安全实验等。
南京邮电大学2002年获批建立信息安全本科专业,在信息安全学科专业领域,特别是网络安全方向拥有一支学术水平较高的专家队伍,承担了网络安全领域的多项科研课题,能够从事本科至博士生的多层次人才培养。我们在十多年信息安全本科生人才培养的过程中积累了一点经验,通过对多种教材的使用有了一定的心得,体会到信息安全专业是一门对实践性要求很高的学科,如果在教学中不能将理论与实践相结合,学生难以有效地掌握知识点。在编写本书之前,我们将本书定位为适应本科生教学使用,偏向网络安全、理论与实践相结合的教材。编写时以网络安全理论为本位,以实际能力为目标,注意原理联系实践,尽量多介绍一些实际问题,让读者增加感性认识。
本书围绕网络安全体系的建立展开,第1章和第2章介绍网络安全的基本概念和目前存在的网络安全威胁,后续章节可以分为三大部分,第一部分为密码学,这部分为网络安全的基础,主要包含第3~6章,本书不过多讨论密码学中的算法设计和安全性证明,重点介绍各种密码的主要思想和算法特点,目标是让读者能在不同应用场景下选择合适的密码方法;第二部分为网络安全协议,由于网络技术的出现,原有的在单机上的安全保护技术遇到了挑战,网络安全协议主要解决此类问题,主要包含第7~10章,还有第12章的部分内容;第三部分为网络安全技术,相比密码学和网络安全协议,读者在现实生活中更容易接触到这些应用技术,这些技术主要会应用在网络攻防中,主要包含第11~17章。本书适合32~64学时使用,部分章节可作为选学内容。本书既注重网络安全基础理论,又着眼培养读者解决网络安全问题的实际能力。本书的特点是突出网络安全的特色,理论与实践相结合,文字简明通俗易懂,用循序渐进的方式叙述网络安全知识,对网络安全的原理与技术的难点的介绍适度,适合本科生教学使用。
本书由南京邮电大学计算机学院信息安全系组织编写,为南京邮电大学“十二五”规划教材,第3~6章、第15~17章由陈伟编写,其余章节由李频编写完成。本书在编写过程中参阅了大量文献,还参考了互联网上信息安全的相关资料,在此一并向作者表示衷心的感谢。硕士研究生杨龙、李晨阳、吴震雄、姜海东、顾杨、龚沛华、许若妹等参与部分文字的录入和插图绘制工作,此书的出版得到了多位专家的指导和帮助,在此一并表示感谢。
正如互联网的设计会存在漏洞一样,限于作者的水平,本书难以避免会存在错误,我们将会虚心聆听读者指出的任何一处错误,恳请广大读者批评指正。
作者
2013年10月
第1章 网络安全基础
1.1 网络安全的概念
1.2 主要的网络安全威胁
1.3 TCP/IP协议簇的安全问题
1.3.1 链路层协议的安全隐患
1.3.2 网络层协议的安全隐患
1.3.3 传输层协议的安全隐患
1.3.4 应用层协议的安全隐患
1.4 OSI安全体系结构
1.4.1 安全服务
1.4.2 安全机制
1.5 网络安全服务及其实现层次
1.5.1 机密性
1.5.2 完整性
1.5.3 身份认证
1.5.4 访问控制
1.5.5 不可否认
1.5.6 可用性
1.6 TCP/IP协议簇的安全架构
1.7 PPDR安全模型
1.8 可信计算机系统评价准则
1.9 信息系统安全保护等级划分准则
习题
第2章 网络安全威胁
2.1 隐藏攻击者的地址和身份
2.2 踩点技术
2.3 扫描技术
2.3.1 主机扫描
2.3.2 端口扫描
2.3.3 操作系统探测
2.3.4 漏洞扫描
2.4 嗅探技术
2.5 攻击技术
2.5.1 社会工程
2.5.2 口令破解
2.5.3 IP欺骗
2.5.4 ARP欺骗
2.5.5 DNS欺骗
2.5.6 会话劫持
2.5.7 拒绝服务攻击
2.5.8 缓冲区溢出攻击
2.6 权限提升
2.7 掩盖踪迹
2.8 创建后门
2.9 Web攻击技术
2.9.1 SQL注入攻击
2.9.2 XSS攻击
习题
第3章 密码学概述
3.1 密码学起源
3.2 密码的基本概念
3.2.1 密码编码学
3.2.2 密码分析学
3.2.3 密钥管理学
3.3 传统密码技术
3.3.1 置换密码
3.3.2 代换密码
3.3.3 一次一密
3.3.4 转轮机
3.3.5 电码本
习题
第4章 对称加密
第5章 公钥密码
第6章 消息认证和散列函数
第7章 鉴别和密钥分配协议
第8章 身份认证和访问控制
第9章 PKI技术
第10章 IPSec协议
第11章 电子邮件安全
第12章 Web安全
第13章 防火墙技术
第14章 虚拟专用网
第15章 入侵检测系统和网络诱骗系统
第16章 无线网络安全
第17章 恶意代码
第3章 密码学概述
密码学是网络信息安全的基础,密码学常被认为是数学和计算机科学的分支,和信息论也密切相关。著名的密码学者RonRivest解释道:“密码学是关于如何在敌人存在的环境中通信”。密码学的首要目的是隐藏信息的含义,并不是隐藏信息的存在。密码学也促进了计算机科学的发展,特别是计算机与网络安全中的技术发展。密码学已被应用于人们的日常生活,如自动柜员机的芯片卡、电子商务等。目前主要的网络安全技术也都是以密码学为基础的,使用最广泛的加密机制是对称密码体制和公钥密码体制。本章首先介绍密码学的起源和发展历程,再介绍密码学中的基本概念,最后介绍一些传统加密技术,虽然这些加密技术不再使用了,但这些加密技术中的一些思想依然在现代密码学中得到了延伸。
3.1密码学起源密码学一词源自希腊语krypto及“理念”两词,意思为“隐藏”及“消息”。它是研究信息系统安全保密的科学,其目的是为两人在不安全的信道上进行通信而不被破译者获取通信的内容。相传最早使用密码捆在木棒上方法是公元前5世纪的斯巴达人,公元前404年,斯巴达国(今希腊)北路军统帅莱山得在征服雅典之后,本国的信使赶到,献上了一条皮带,上面有文字,通报了敌将断其归路的企图。莱山得当机立断,率师轻装脱离了险境。他们使用的是一根叫scytale的棍子,送信人先绕棍子卷一张纸条,然后把要加密的信息写在上面,接着打开纸送给收信人。如果不知道棍子的宽度(这里作为密钥)是不可能解密里面的内容的。后来,罗马的军队用恺撒密码(三个字母表轮换)进行通信。中国周朝兵书《六韬·龙韬》也记载了密码学的运用,其中的《阴符》和《阴书》便记载了周武王问姜子牙关于征战时与主将通信的方式:太公曰:“主与将,有阴符,凡八等。有大胜克敌之符,长一尺。破军擒将之符,长九寸。降城得邑之符,长八寸。却敌报远之符,长七寸。警众坚守之符,长六寸。请粮益兵之符,长五寸。败军亡将之符,长四寸。失利亡士之符,长三寸。诸奉使行符,稽留,若符事闻,泄告者,皆诛之。八符者,主将秘闻,所以阴通言语,不泄中外相知之术。敌虽圣智,莫之能识。”武王问太公曰:“......符不能明;相去辽远,言语不通。为之奈何?”太公曰:“诸有阴事大虑,当用书,不用符。主以书遗将,将以书问主。书皆一合而再离,三发而一知。再离者,分书为三部。三发而一知者,言三人,人操一分,相参而不相知情也。此谓阴书。敌虽圣智,莫之能识。”
……