本書介紹了網絡安全的基本概念，較深入地討論了網絡邊界安全、電子商務安全及通信網安全的理論與技術，內容基本上涵蓋了網絡安全理論與技術的各方面，其中的和知識點符合教育部信息安全類專業教學指導委員會制定的《信息安全類專業課程設置規範》的要求。本書概念清晰、語言精練。在網絡安全基本概念和理論介紹方面，力求深入淺出，盡可能將復雜的工作原理借助圖表加以表述，以適應本科教學的特點。特別是本書在每章的後面提供了很多填空題和思考題，便於進一步加深讀者對課堂上所學知識的理解，並讓讀者深入思考一些有關網絡安全的技術問題。本書既可以作為高等學校信息安全、信息對抗、密碼學、通信、計算機等專業高年級本科生和研究生的教材，也可以作為網絡安全工程師、網絡管理員和計算機用戶的參考書或培訓教材。

劉建偉，北京航空航天大學教授，主要研究領域包括：密碼學、5G網絡安全、移動通信網絡安全、天空地一體化網絡安全、電子健康網絡安全、智能移動終端安全、星地數據鏈安全等。已發表SCI/EI收錄論文200多篇，其中SCI檢索論文37篇，EI檢索論文158篇。獲授權發明專利46項，軟件著作權登記3項。

目 錄
第1章 網絡安全基礎 001
1．1 引言 002
1．2 網絡安全概述 004
1．2．1 網絡安全現狀及安全挑戰 004
1．2．2 網絡安全威脅與防護措施 006
1．3 網絡安全策略 009
1．3．1 授權 010
1．3．2 訪問控制策略 010
1．3．3 責任 011
1．4 安全攻擊的分類 011
1．4．1 被動攻擊 011
1．4．2 主動攻擊 011
1．5 網絡攻擊的常見形式 014
1．5．1 口令竊取 014
1．5．2 欺騙攻擊 015
1．5．3 缺陷和後門攻擊 015
1．5．4 認證失效 016
1．5．5 協議缺陷 017
1．5．6 信息洩露 017
1．5．7 指數攻擊――病毒和蠕蟲 018
1．5．8 拒絕服務攻擊 019
1．6 開放繫統互聯安全架構 020
1．6．1 安全服務 021
1．6．2 安全機制 023
1．6．3 安全服務與安全機制的關繫 023
1．6．4 OSI層中的服務配置 024
1．7 網絡安全模型 024
1．8 新興網絡及安全技術 026
1．8．1 工業互聯網安全 026
1．8．2 移動互聯網安全 028
1．8．3 物聯網安全 031
1．9 本章小結 034
填空題 034
思考題 034
第2章 TCP/IP協議族的安全性 036
2．1 基本協議 037
2．1．1 網際協議 037
2．1．2 地址解析協議 039
2．1．3 傳輸控制協議 039
2．1．4 用戶數據報協議 041
2．1．5 Internet控制消息協議 042
2．2 網絡地址和域名管理 043
2．2．1 路由協議 043
2．2．2 BOOTP和DHCP 045
2．2．3 域名繫統 046
2．2．4 網絡地址轉換 048
2．3 IPv6 049
2．3．1 IPv6簡介 049
2．3．2 過濾IPv6 051
2．4 電子郵件協議 051
2．4．1 簡單郵件傳輸協議 051
2．4．2 POP3協議 053
2．4．3 Internet消息訪問協議 054
2．4．4 多用途網際郵件擴充協議 055
2．5 消息傳輸協議 055
2．5．1 簡單文件傳輸協議 055
2．5．2 文件傳輸協議 056
2．5．3 網絡文件繫統 059
2．6 遠程登錄協議 060
2．6．1 Telnet 060
2．6．2 SSH 061
2．7 簡單網絡管理協議 062
2．8 網絡時間協議 063
2．9 Internet電話協議 065
2．9．1 H．323 065
2．9．2 SIP 065
2．10 本章小結 066
填空題 066
思考題 067
?
第3章 數字證書與公鑰基礎設施 068
3．1 PKI的基本概念 069
3．1．1 PKI的定義 069
3．1．2 PKI的組成 069
3．1．3 PKI的應用 071
3．2 數字證書 072
3．2．1 數字證書的概念 073
3．2．2 數字證書的結構 073
3．2．3 生成數字證書 075
3．2．4 數字證書的簽名與驗證 077
3．2．5 數字證書層次與自簽名數字證書 079
3．2．6 交叉證書 081
3．2．7 數字證書的撤銷 081
3．2．8 漫遊證書 087
3．2．9 屬性證書 088
3．3 PKI架構――PKIX模型 088
3．3．1 PKIX服務 089
3．3．2 PKIX架構 089
3．4 PKI實例 090
3．5 授權管理設施――PMI 091
3．5．1 PMI的定義 091
3．5．2 PMI與PKI的關繫 092
3．5．3 實現PMI的機制 093
3．5．4 PMI模型 094
3．5．5 基於PMI建立安全應用 095
3．6 證書透明化 096
3．6．1 證書透明化基本原理 096
3．6．2 證書透明化技術架構和核心機制 098
3．7 本章小結 102
選擇題 102
思考題 103
第4章 網絡加密與密鑰管理 104
4．1 網絡加密的方式及實現 105
4．1．1 鏈路加密 105
4．1．2 節點加密 106
4．1．3 端到端加密 106
4．1．4 混合加密 107
4．2 密鑰管理基本概念 108
4．2．1 密鑰管理 108
4．2．2 密鑰的種類 109
4．3 密鑰生成 110
4．3．1 密鑰選擇對安全性的影響 110
4．3．2 好的密鑰 111
4．3．3 不同等級的密鑰生成的方式不同 111
4．4 密鑰分配 112
4．4．1 基本方法 112
4．4．2 密鑰分配的基本工具 113
4．4．3 密鑰分配繫統的基本模式 114
4．4．4 可信第三方 114
4．4．5 密鑰交換協議 115
4．4．6 認證的密鑰交換協議 120
4．4．7 密鑰注入 122
4．5 密鑰的保護、存儲與備份 123
4．5．1 密鑰的保護 123
4．5．2 密鑰的存儲 124
4．5．3 密鑰的備份 125
4．6 密鑰的洩露、撤銷、過期與銷毀 125
4．6．1 洩露與撤銷 125
4．6．2 密鑰的有效期 126
4．6．3 密鑰銷毀 126
4．7 本章小結 126
填空題與選擇題 128
思考題 128
第5章 網絡安全防護技術 128
5．1 防火牆原理與設計 129
5．1．1 防火牆的類型和結構 129
5．1．2 靜態包過濾防火牆 130
5．1．3 動態包過濾防火牆 135
5．1．4 電路層網關 138
5．1．5 應用層網關 140
5．1．6 狀態檢測防火牆 143
5．1．7 切換代理 145
5．1．8 氣隙防火牆 146
5．2 入侵檢測繫統 148
5．2．1 入侵檢測原理及主要方法 151
5．2．2 IDS分類與關鍵技術 154
5．2．3 IDS的典型部署 161
5．3 VPN技術 161
5．3．1 VPN概述 161
5．3．2 VPN的分類 162
5．3．3 隧道協議與VPN 163
5．3．4 IPSec VPN 166
5．3．5 SSL/TLS VPN 172
5．4 本章小結 175
填空題與選擇題 176
思考題 177
第6章 身份認證 178
6．1 身份證明 179
6．1．1 身份欺詐 179
6．1．2 身份證明繫統的組成和要求 180
6．1．3 身份證明的基本分類 181
6．1．4 實現身份證明的基本途徑 181
6．2 口令認證繫統 182
6．2．1 概述 182
6．2．2 口令的控制措施 185
6．2．3 口令的檢驗 185
6．2．4 口令的安全存儲 186
6．3 個人特征的身份證明技術 187
6．3．1 手書簽字驗證 187
6．3．2 指紋驗證 188
6．3．3 語音驗證 189
6．3．4 視網膜圖樣驗證 189
6．3．5 虹膜圖樣驗證 189
6．3．6 臉形驗證 189
6．3．7 身份證明繫統設計 190
6．4 一次性口令認證 190
6．4．1 挑戰/響應機制 191
6．4．2 口令序列機制 192
6．4．3 時間同步機制 192
6．4．4 事件同步機制 193
6．4．5 一次性口令實現機制的比較 194
6．5 基於證書的認證 194
6．5．1 簡介 194
6．5．2 基於證書認證的工作原理 195
6．6 智能卡技術及其應用 198
6．7 本章小結 200
選擇題 200
思考題 201
第7章 無線數據網絡安全 202
7．1 無線數據網絡面臨的安全威脅 203
7．2 無線數據網絡的安全性 205
7．2．1 有線等效保密協議 205
7．2．2 802．1x協議介紹 207
7．2．3 802．11i標準介紹 208
7．2．4 802．16標準的安全性 210
7．2．5 WAPI的安全性 213
7．2．6 WAP的安全性 214
7．3 移動IP的安全性 217
7．3．1 AAA的概念及AAA協議 217
7．3．2 移動IP與AAA組合 220
7．4 本章小結 223
填空題 223
思考題 223
第8章 無線移動網絡安全 224
8．1 移動通信網絡安全演進 225
8．1．1 GSM的安全性 225
8．1．2 CDMA的安全性 228
8．1．3 3G繫統的安全性 230
8．2 5G網絡安全研究現狀 232
8．2．1 5G網絡概述 232
8．2．2 5G網絡安全需求 233
8．3 5G網絡安全關鍵技術 236
8．3．1 5G網絡安全架構 236
8．3．2 5G網絡安全技術 237
8．4 5G安全標準研究進展 238
8．5 本章小結 239
填空題 239
思考題 239
第9章 電子郵件安全 241
9．1 電子郵件安全概述 242
9．1．1 電子郵件的基本工作原理 242
9．1．2 電子郵件安全問題 245
9．2 PGP 247
9．2．1 PGP的安全功能 247
9．2．2 PGP中消息的發送、接收過程 249
9．2．3 PGP的密鑰 251
9．2．4 PGP發送消息的格式 251
9．2．5 PGP的公鑰管理繫統 252
9．3 MIME與S/MIME 254
9．3．1 MIME 254
9．3．2 S/MIME 255
9．3．3 S/MIME的增強安全服務 259
9．4 垃圾郵件 259
9．4．1 垃圾郵件概述 259
9．4．2 垃圾郵件攻擊的常見操作 260
9．4．3 垃圾郵件的檢測和防御 263
9．5 本章小結 265
選擇題與填空題 266
問題討論 266
第10章 Web與電子商務安全 267
10．1 Web安全概述 268
10．2 Web應用安全威脅與防護技術 269
10．2．1 Web應用安全威脅分析 269
10．2．2 Web應用安全防護技術 269
10．2．3 常見的Web安全漏洞與防御措施 270
10．3 SET協議及電子商務安全 271
10．3．1 SET概述 271
10．3．2 SET協議工作流程 273
10．3．3 SET協議關鍵技術 273
10．3．4 SET協議支付處理 275
10．3．5 SET協議的不足及改進 277
10．4 3D安全支付協議 277
10．4．1 3D安全協議概述 278
10．4．2 基於3D安全協議的支付認證應用實例 279
10．4．3 3D安全協議的發展趨勢 280
10．5 本章小結 281
選擇題與填空題 281
思考題 281
參考文獻 283

前 言

隨著網絡技術的飛速發展，電子政務和電子商務正在得到普及。網絡在為人們的日常工作和生活帶來便利的同時，也帶來了日益嚴重的安全威脅。為了滿足社會對信息安全人纔的需求，許多大學都開設了信息安全或信息對抗專業，以培養信息安全方面的專門人纔。在作者從事網絡安全教學實踐過程中，總想編寫一本比較適合本科生教學的網絡安全教材。然而，直到今天，作者纔有時間和精力將這一想法付諸實現。

本教材是在國家信息化專家咨詢委員會的指導下編寫的“信息化與信息社會”繫列叢書之一。本教材涉及的網絡安全知識體繫和知識點，是根據教育部信息安全類專業教學指導委員會擬定的研究型大學的《信息安全專業指導性專業規範》制定的。在編寫本教材的過程中，作者力求做到基本概念清晰、語言表達流暢、分析深入淺出、內容符合《信息安全專業指導性專業規範》的要求。本教材基本涵蓋了網絡安全理論與技術的各方面內容，可作為信息安全、信息對抗、計算機、通信等專業高年級本科生和研究生的教材，也可作為廣大網絡安全工程師、網絡管理員和計算機用戶的參考書與培訓教材。

作者不敢妄言這是一本完美的網絡安全教材，但作者真心期望能寫出一本得到讀者認可的教材。長期以來，作者一直從事網絡安全的教學、科研和產品開發工作，積累了一定的教學經驗和實踐經驗，而這些經驗的取得進一步增強了作者寫好此教材的信心。如果一定要歸納幾條本教材的特色，那麼作者認為本書的特色應體現在以下幾方面。

特色1：基本概念清晰，表述深入淺出。在基本概念的闡述上，力求準確而精煉；在語言的運用上，力求順暢而自然。在本教材中，作者盡量避免使用煩瑣的語言描述晦澀難懂的理論知識，借助大量的圖表來闡述深奧的科學道理，力求做到簡繁合理。

特色2：內容翔實，重點突出。與很多網絡安全教材不同，本教材完全舍棄了密碼學的有關內容，重點闡述網絡安全理論與技術。在網絡安全知識體繫和知識點的選擇上，充分考慮到高年級本科生和研究生的特點，力求做到既有廣度又有深度。

特色3：理論與實踐相結合。針對某些網絡安全技術和產品，本教材給出相應的網絡安全解決方案，從而使讀者能夠深入而全面地了解網絡安全技術的具體應用，以提高讀者在未來的網絡安全實踐中獨立分析問題和解決問題的能力。

特色4：每章後面都附有精心斟酌和編排的思考題。通過深入分析和討論思考題中所列的問題，讀者可加強對每章所學理論知識的理解，從而進一步鞏固所學的知識。?

本版是在對第1版進行審校和更新的基礎上形成的：縮減了第5、6、7章中較為過時的內容，合並成了新版中的第5章；結合當前的技術發展熱點，在第1章中新增了關於工業互聯網、移動互聯網及物聯網安全相關的內容，在第3章中新增了關於證書透明化技術最新進展的內容，在第8章中新增了5G網絡安全相關技術進展的內容，在第9章中新增了垃圾郵件及安全檢測相關部分的內容，同時擴展了第10章中關於3D安全協議的內容。

本書由劉建偉、毛劍統稿。其中，第1章由劉建偉和王娜編著，第2章和第5～6章由劉建偉編著，第3章由毛劍和劉建偉編著，第4章和第7章由劉建偉、王育民和王娜編著，第8章由杜皓華編著，第9～10章由毛劍編著。

感謝中國科學院軟件所的馮登國院士。沒有馮登國院士的積極推薦和熱情鼓勵，作者恐怕不會承擔編寫本書的任務。同時，感謝楊義先教授和陳克非教授，他們對本書原稿進行了審核，並提出了許多建設性的指導意見。

感謝西安電子科技大學的王育民教授。他學識淵博、品德高尚，無論是在做人還是在做學問方面，一直都是作者學習的榜樣。作為他的學生，作者始終牢記導師的教誨，絲毫不敢懈怠。感謝北京航空航天大學的張其善教授。正是由於張其善教授給予了作者無微不至的關懷和鼎力支持，作者纔有了戰勝困難的力量和勇氣。

感謝王瓊副譯審。她認真閱讀了全文，幫助作者修改了大量的文字和語法錯誤，為提高本書的質量做出了貢獻。她極強的文字功底令人欽佩。

感謝北京航空航天大學和上海交通大學的研究生們為本書的順利出版所做出的貢獻，他們分別是：胡榮磊、劉淳、丁曉宇、郭克強、楊友福、劉建華、楊大偉、李莉、宮曉妍、鄭海龍、張亮、張建榮、郭旭東、韓東、田甜、劉書明、田園、王冠、周耀斌、李為宇、韓慶同、張薇、孫鈺、宋璐等。在本書的編寫過程中，作者參閱了大量國內外同行的書籍和參考文獻，在此謹向這些參考書和文獻的作者表示衷心感謝。

最後，作者感謝電子工業出版社的編輯們在本書撰寫過程中給予的支持與幫助。因作者水平所限，書中難免存在錯誤和不當之處。對此，作者懇請讀者批評指正。

本書的編寫得到了國家重點研發計劃“智能服務交易與監管技術研究”（2017YFB1400702）、國家自然科學基金重點項目“空間信息網絡安全可信模型和關鍵方法研究”（61972018）及“基於區塊鏈的物聯網安全技術研究”（61932014）、北京市自然科學基金項目“基於深度關聯分析的軟件定義網絡安全機理研究”（4202036）的支持。

作 者

2020年11月於北京