计算机网络安全原理

面对严峻的网络安全形势，了解和掌握计算机网络安全知识具有重要的现实意义。本书着重阐述计算机网络安全的原理与技术，内容包括绪论、密码学基础知识、消息认证与身份认证、PKI与数字证书、无线网络安全、IP及路由安全、传输层安全、DNS安全、Web应用安全、电子邮件安全、拒绝服务攻击及防御、网络防火墙、入侵检测与网络欺骗、恶意代码、网络安全新技术。各章均附有习题和实验。本书可作为高等学校网络空间安全、信息安全、网络工程、计算机等专业的计算机网络安全类课程的教材，也可作为相关领域的研究人员和工程技术人员的参考书。。

吴礼发，男，1968年8月生，分别于1991年7月、1995年2月从南京通信工程学院获计算机与指挥自动化专业学士、计算机应用技术专业工学硕士学位，1998年10 月于南京大学计算机软件专业获工学博士学位，现为南京邮电大学计算机学院教授、博士生导师。先后承担了20余项国家和军队重点科研项目，获军队科技进步一等奖1项、二等奖1项、三等奖4项，全军教学成果二等奖1项、三等奖2项。出版学术专著1部，教材5部，获国家发明专利6项，发表学术论文100 余篇。主要从事软件安全漏洞挖掘与利用、协议逆向分析、云计算安全等方向的教学和科研工作。

第1章 绪 论 1
1．1 计算机网络概述 1
1．1．1 网络结构和组成 1
1．1．2 网络体系结构 4
1．2 计算机网络安全概念 6
1．2．1 计算机网络安全 6
1．2．2 与计算机网络安全相关的概念 7
1．3 计算机网络安全威胁 11
1．3．1 网络安全威胁因素 11
1．3．2 网络攻击概述 12
1．4 网络安全模型 14
1．5 网络安全机制、服务及产品 18
1．6 网络安全面临的挑战及发展方向 25
1．7 本书的内容与组织 27
1．8 习题 31
1．9 实验 34
第2章 密码学基础知识 35
2．1 密码学基本概念 35
2．1．1 对称密码系统 37
2．1．2 公开密码系统 40
2．2 典型对称密码系统 41
2．2．1 数据加密标准（DES） 41
2．2．2 高级数据加密标准（AES） 48
2．2．3 RC4 52
2．3 典型公开密码系统 54
2．3．1 RSA 54
2．3．2 Diffie-Hellman密钥交换协议 56
2．3．3 ElGamal公钥密码体制 58
2．3．4 椭圆曲线密码体制 59
2．3．5 基于身份标识的密码体制 61
2．4 国密算法 62
2．5 密码分析 64
2．5．1 传统密码分析方法 64
2．5．2 密码旁路分析 65
2．5．3 密码算法和协议的工程实现分析 66
2．6 习题 66
2．7 实验 69
2．7．1 DES数据加密、解密算法实验 69
2．7．2 RSA数据加密、解密算法实验 69
第3章 消息认证与身份认证 71
3．1 散列函数 71
3．1．1 散列函数的要求 71
3．1．2 MD算法 73
3．1．3 SHA算法 75
3．2 消息认证 76
3．2．1 消息内容的认证 76
3．2．2 消息顺序的认证 81
3．2．3 消息发送方认证 82
3．3 身份认证 86
3．3．1 一次性口令认证 89
3．3．2 基于共享密钥的认证 90
3．3．3 可扩展认证协议EAP 97
3．4 习题 100
3．5 实验 105
3．5．1 使用GPG4win进行数字签名 105
3．5．2 OpenSSL软件的安装与使用 105
第4章 PKI与数字证书 107
4．1 密钥管理 107
4．2 数字证书 108
4．2．1 证书格式 109
4．2．2 CRL格式 116
4．3 PKI 117
4．3．1 PKI组成 118
4．3．2 证书签发和撤销流程 123
4．3．3 证书的使用 125
4．3．4 PKIX 126
4．4 证书透明性 127
4．5 习题 129
4．6 实验 132
第5章 无线网络安全 133
5．1 无线局域网安全 133
5．1．1 概述 133
5．1．2 WEP安全协议 136
5．1．3 WPA/WPA2/WPA3安全协议 139
5．2 移动网络安全 146
5．2．1 2G安全 146
5．2．2 3G安全 148
5．2．3 4G安全 150
5．2．4 5G安全 152
5．3 习题 157
5．4 实验 159
第6章 IP及路由安全 160
6．1 IPv4协议及其安全性分析 160
6．2 IPsec 161
6．2．1 IPsec安全策略 162
6．2．2 IPsec运行模式 166
6．2．3 AH协议 167
6．2．4 ESP协议 170
6．2．5 网络密钥交换 173
6．2．6 SA组合 182
6．2．7 IPsec的应用 184
6．3 IPv6协议及其安全性分析 185
6．3．1 IPv6协议格式 185
6．3．2 IPv6安全性分析 187
6．4 路由安全 188
6．4．1 RIP协议及其安全性分析 189
6．4．2 OSPF协议及其安全性分析 191
6．4．3 BGP协议及其安全性分析 194
6．5 习题 197
6．6 实验 200
6．6．1 IPsec VPN配置 200
6．6．2 用Wireshark观察IPsec协议的通信过程 200
第7章 传输层安全 202
7．1 传输层安全概述 202
7．1．1 端口和套接字 203
7．1．2 UDP协议及其安全性 203
7．1．3 TCP协议及其安全性 204
7．2 SSL 207
7．2．1 SSL体系结构 207
7．2．2 SSL记录协议 209
7．2．3 SSL密码变更规格协议 211
7．2．4 告警协议 211
7．2．5 握手协议 212
7．2．6 密钥生成 217
7．3 TLS 218
7．3．1 TLS与SSL的差异 218
7．3．2 TLS 1．3 222
7．4 SSL/TLS VPN 225
7．5 习题 227
7．6 实验 229
第8章 DNS安全 230
8．1 DNS概述 230
8．1．1 因特网的域名结构 231
8．1．2 用域名服务器进行域名转换 232
8．2 DNS 面临的安全威胁 236
8．2．1 协议脆弱性 236
8．2．2 实现脆弱性 240
8．2．3 操作脆弱性 241
8．3 DNSSEC 242
8．3．1 DNSSEC基本原理 243
8．3．2 DNSSEC配置 258
8．3．3 DNSSEC的安全性分析 262
8．3．4 DNSSEC部署 262
8．4 习题 264
8．5 实验 266
8．5．1 DNSSEC配置 266
8．5．2 观察DNSSEC域名解析过程 266
第9章 Web应用安全 267
9．1 概述 267
9．2 Web应用体系结构脆弱性分析 268
9．3 SQL注入攻击及防范 273
9．3．1 概述 273
9．3．2 SQL注入漏洞探测方法 273
9．3．3 Sqlmap 277
9．3．4 SQL注入漏洞的防护 280
9．4 跨站脚本攻击及防范 281
9．4．1 跨站脚本攻击原理 281
9．4．2 跨站脚本攻击的防范 286
9．5 Cookie欺骗及防范 286
9．6 CSRF攻击及防范 288
9．6．1 CSRF攻击原理 289
9．6．2 CSRF攻击防御 291
9．7 目录遍历及防范 292
9．8 操作系统命令注入及防范 294
9．9 HTTP消息头注入攻击及防范 296
9．10 HTTPS 297
9．10．1 HTTPS基本原理 297
9．10．2 HTTPS服务器部署 298
9．11 HTTP over QUIC 300
9．12 Web应用防火墙 301
9．13 习题 302
9．14 实验 305
9．14．1 WebGoat的安装与使用 305
9．14．2 用Wireshark观察HTTPS通信过程 305
第10章 电子邮件安全 306
10．1 电子邮件概述 306
10．2 电子邮件的安全问题 308
10．3 安全电子邮件标准PGP 310
10．3．1 PGP基本原理 311
10．3．2 PGP密钥管理 314
10．4 WebMail安全威胁及防范 317
10．5 垃圾邮件防范 321
10．5．1 基于地址的垃圾邮件检测 323
10．5．2 基于内容的垃圾邮件检测 324
10．5．3 基于行为的垃圾邮件检测 326
10．6 习题 327
10．7 实验 329
第11章 拒绝服务攻击及防御 330
11．1 概述 330
11．2 剧毒包型拒绝服务攻击 331
11．3 风暴型拒绝服务攻击 333
11．3．1 攻击原理 333
11．3．2 直接风暴型拒绝服务攻击 334
11．3．3 反射型拒绝服务攻击 336
11．3．4 僵尸网络 343
11．3．5 典型案例分析 347
11．4 拒绝服务攻击的作用 348
11．5 拒绝服务攻击的检测及响应技术 349
11．5．1 拒绝服务攻击检测技术 349
11．5．2 拒绝服务攻击响应技术 350
11．6 习题 354
11．7 实验 356
11．7．1 编程实现SYN Flood DDoS攻击 356
11．7．2 编程实现NTP反射型拒绝服务攻击 357
第12章 网络防火墙 358
12．1 概述 358
12．1．1 防火墙的定义 358
12．1．2 网络防火墙的功能 359
12．2 网络防火墙的工作原理 360
12．2．1 包过滤防火墙 360
12．2．2 有状态的包过滤防火墙 364
12．2．3 应用网关防火墙 367
12．2．4 下一代防火墙 368
12．3 防火墙的体系结构 370
12．3．1 屏蔽路由器结构 370
12．3．2 双宿主机结构 370
12．3．3 屏蔽主机结构 371
12．3．4 屏蔽子网结构 372
12．4 防火墙的部署方式 373
12．5 防火墙的评价标准 373
12．6 防火墙技术的不足与发展趋势 378
12．7 习题 381
12．8 实验 383
第13章 入侵检测与网络欺骗 384
13．1 入侵检测概述 384
13．1．1 入侵检测的定义 384
13．1．2 通用入侵检测模型 385
13．1．3 入侵检测系统的分类 387
13．2 入侵检测方法 390
13．2．1 特征检测 390
13．2．2 异常检测 392
13．3 典型的入侵检测系统Snort 400
13．3．1 Snort的体系结构 400
13．3．2 Snort的规则 401
13．4 网络欺骗技术 406
13．4．1 蜜罐 407
13．4．2 蜜网 410
13．4．3 网络欺骗防御 411
13．5 习题 415
13．6 实验 417
13．6．1 Snort的安装与使用 417
13．6．2 蜜罐的安装与使用 418
第14章 恶意代码 419
14．1 概述 419
14．1．1 计算机病毒 420
14．1．2 计算机蠕虫 422
14．1．3 计算机木马 424
14．2 木马的工作原理 424
14．2．1 配置木马 425
14．2．2 传播木马 426
14．2．3 运行木马 428
14．2．4 信息反馈 430
14．2．5 建立连接 432
14．2．6 远程控制 432
14．3 木马的隐藏技术 433
14．3．1 木马在植入时的隐藏 433
14．3．2 木马在存储时的隐藏 433
14．3．3 木马在运行时的隐藏 435
14．4 恶意代码检测及防范 439
14．5 习题 444
14．6 实验 446
第15章 网络安全新技术 448
15．1 软件定义网络安全 448
15．1．1 概述 448
15．1．2 SDN体系结构 448
15．1．3 OpenFlow 451
15．1．4 SDN安全 453
15．2 零信任安全 459
15．2．1 概述 459
15．2．2 NIST零信任架构 462
15．3 移动目标防御与网络空间拟态防御 468
15．3．1 移动目标防御 469
15．3．2 网络空间拟态防御 475
15．3．3 移动目标防御与网络空间拟态防御的关系 477
15．4 习题 479
附录A 计算机网络安全原理习题参考答案 480
附录B 参考文献 497