信息安全技术基础

突出网络环境下信息安全保障体系的建立和相关技术，面向实用。

以网络环境下的信息安全保障技术为主线，重点突出以密码技术为基础的安全机制与服务。

在编写上强调实用性和系统性，适用于大专院校计算机、通信、电子商务等相关专业的信息安全课程使用。

信息作为一种资源和交流的载体，在现代社会发展中发挥着重要作用。信息在产生、加工、传递和使用过程中面临着各种安全威胁，信息可能丢失，可能被非授权用户获取、使用。随着计算机和网络应用的普及，人们的生活和工作越来越离不开计算机和计算机网络，随之而来的信息安全问题也更加突出。个人担心隐私泄露，企业和组织担心商业秘密被窃取或重要数据被盗，政府部门担心国家机密信息泄露，病毒通过网络肆虐，网络资源可能被滥用等，这些已经成为影响国家政治稳定、经济发展、军事对抗的重要方面。信息安全已成为国家、政府、部门、组织、个人都非常重视的问题。

信息安全涉及计算机科学与技术、密码学、数学、通信工程等学科专业领域，已成为一门交叉学科。同时，信息安全保障不仅是一个技术问题，还涉及人、管理、制度、法律等众多层面。本书为读者介绍信息安全技术的基本背景、原理与应用，本书编写不求大而全，而是突出网络环境下的信息安全保障体系的建立和相关技术，面向实用，力求向读者诠释“什么是信息安全”、“如何构建信息安全保障体系”、“信息安全有哪些主要技术和如何应用”等问题。

本书适合计算机、通信、电子商务等大专院校相关专业的信息安全课程使用，也可以作为从事计算机、网络工程项目建设与运行维护的技术人员的工具参考书。本书面向应用，全面地介绍了实现和保障信息安全的各种技术和手段，透视了各种信息安全技术的实现机理与方法，帮助读者掌握信息安全基本概念，建立起对信息安全较全面的、系统的认识，掌握信息安全技术应用，解决实际工作中的信息安全工程问题。同时，本书编者希望与读者一起对这些技术的设计开发理念、创新思想进行剖析，产生共鸣，启发我们的创新思维。

本书以网络环境下的信息安全保障技术为主线，力求全面刻画信息安全保障体系，介绍安全保障与防御的各种具体技术，重点突出以密码技术为基础的安全机制与服务。本书共分11章。第1章描述常见的信息安全威胁实例，通过列举一些影响深刻的典型信息安全案例，归纳出信息安全事件分类，为读者建立起信息安全的基本概念，圈定信息安全问题的讨论范畴。第2章从信息本身、信息载体、信息环境角度总结信息安全范畴，刻画保密性、完整性、鉴别性等信息安全属性；介绍信息安全保障体系结构，并给出闭环式具有动态适应性的信息安全防御模型；介绍信息安全等级保护与风险评估的相关标准与过程；为读者建立起信息安全工程思想与方法。密码技术是实现信息安全服务中保密性、完整性、鉴别性、抗抵赖性等安全属性的基础性关键技术。第3章介绍密码术的基本概念和发展，数据保密通信模型，抽象介绍对称密码体制、公钥密码体制、数字签名体制，以及基于密码技术实现消息完整性保护和认证等服务，最后简单介绍密码技术的理论支撑——计算复杂理论。第4章详细介绍两种典型对称密码算法DES、AES的实现，并简单介绍了IEDA、RC4等其他几个著名的对称密码算法，介绍了分组密码工作模式，使读者了解现代对称加解密算法的实现机理，掌握对称密码的应用。第5章详细介绍著名的RSA、ElGamal和基于椭圆曲线的公钥密码算法，使读者了解公钥密码算法的实现机理，掌握公钥密码的应用，以及密码技术应用中必须解决的密钥分发与管理问题。第6章介绍了对称密钥管理，详细介绍了基于数字证书的公钥密码中的密钥管理技术——公钥基础设施PKI，密码技术使得在开放的网络环境下实现实体认证和数据保密通信成为可能。第7章介绍基于密码技术实现网络环境下数据安全通信的典型协议——虚拟专用网协议IPSec和传输层安全TLS协议，以解释在网络层、传输层不同协议层上实现对等实体相互认证以及数据保密通信的方法。第8章以特殊的无线局域网WLAN环境为背景，介绍了典型的IEEE 802.11定义的健壮网络安全以及我国WAPI无线局域网的安全基础架构。第9章介绍非密码的网络防御技术、包括基于主机和端口的扫描技术、隔离内外网络的防火墙技术、基于模式及规则匹配的入侵检测技术，以及建立诱导系统发现攻击和系统脆弱性的蜜罐技术、第10章介绍数字隐藏和数字水印技术。第11章介绍基于信任模型的可信计算技术，重点介绍可信计算平台的工作原理和实现。

本书由河南工业大学张浩军教授、杨卫东博士、谭玉波博士、王峰博士共同编写。其中张浩军编写第4～6章和第8章，并负责全书统稿；杨卫东编写第1～3章；谭玉波编写第7、10、11章；王峰编写第9章。此外，范学辉、赵保鹏、齐庆磊、吴勇、易红、赵玉娟、程立、王雪涛、尹辉、程凤娟、王晓松、李国平等在本书的编写、素材整理、校对等过程中做了大量工作，在此表示感谢。本书编写工作受到河南省青年骨干教师资助计划、河南工业大学高层次人才引进计划项目（150269）、河南省精品课程“计算机网络技术”、河南省教育科学“十一五”规划2010年度课题等项目资助。

本书编者诚挚欢迎广大读者和各界人士批评指正本书中的错误和不妥之处并提出宝贵的建议，欢迎就相关技术问题进行切磋交流，作者联系方式：zhj@haut.edu.cn。

编 者

2011年8月

前言

第1章 绪论 1
本章学习目标 1
1.1 信息安全问题及其重要性 1
1.2 信息安全威胁实例 3
1.3 信息安全事件分类 4
1.4 本书内容组织与使用指南 9
本章小结 10
习题一 11
第2章 信息安全保障体系 12
本章学习目标 12
2.1 信息安全保障体系 12
2.1.1 信息安全的范畴 12
2.1.2 信息安全属性 13
2.1.3 信息安全保障体系结构 14
2.2 信息安全防御模型 17
2.3 风险评估与等级保护 20
2.3.1 等级保护 20
2.3.2 风险评估 23
2.3.3 系统安全测评 26
2.3.4 信息系统安全建设实施 27
2.3.5 信息安全原则 28
本章小结 28
习题二 28
第3章 密码技术概述 30
本章学习目标 30
3.1 密码术及发展 30
3.2 数据保密通信模型 32
3.3 对称密码体制 33
3.4 公钥密码体制 36
3.5 数字签名 37
3.6 消息完整性保护 40
3.7 认证 42
3.8 计算复杂理论 43
3.9 密码分析 44
本章小结 46
习题三 46
第4章 对称密码技术 47
本章学习目标 47
4.1 数据加密标准DES 47
4.1.1 概述 47
4.1.2 DES工作过程 48
4.1.3 密钥调度 51
4.1.4 DES安全性分析 51
4.1.5 3DES 52
4.2 高级加密标准AES 53
4.2.1 AES基本操作流程 53
4.2.2 轮操作 55
4.2.3 密钥扩展 57
4.2.4 解密操作 58
4.3 其他分组密码算法介绍 58
4.3.1 IDEA算法 59
4.3.2 Blowfish算法 60
4.3.3 RC5/RC6算法 61
4.4 流密码算法RC4 62
4.5 分组密码工作模式 63
4.5.1 电子密码本 64
4.5.2 密文分组链接 64
4.5.3 密文反馈 66
4.5.4 输出反馈 67
4.5.5 计数模式 68
本章小结 69
习题四 69
第5章 公钥密码技术 70
本章学习目标 70
5.1 RSA公钥密码算法 70
5.1.1 RSA基本算法 70
5.1.2 RSA加密算法的数论基础 71
5.1.3 RSA算法实现中的计算问题 73
5.1.4 RSA体制安全性分析 75
5.1.5 RSA填充加密机制 76
5.1.6 RSA签名算法 77
5.2 Diffie-Hellman密钥协商机制 78
5.3 ElGamal公钥密码体制 79
5.3.1 ElGamal加密算法 79
5.3.2 ElGamal公钥密码体制的安全性 80
5.3.3 ElGamal签名算法 81
5.4 椭圆曲线密码体制 82
5.4.1 椭圆曲线基本概念 82
5.4.2 基于椭圆曲线的加密体制 87
5.4.3 椭圆曲线D-H密钥协商 88
5.4.4 基于椭圆曲线的数字签名算法 88
5.4.5 ECC安全强度分析 89
本章小结 89
习题五 89
第6章 密钥管理 91
本章学习目标 91
6.1 概述 91
6.2 对称密钥管理 92
6.2.1 对称密钥管理与分发 92
6.2.2 密钥层次化使用 94
6.3 公钥基础设施PKI 94
6.3.1 公钥基础设施PKI概述 94
6.3.2 PKI功能 96
6.3.3 PKI体系结构 99
6.3.4 认证机构CA部署 101
6.4 数字证书 103
6.4.1 数字证书结构 103
6.4.2 数字证书编码 105
6.4.3 数字证书应用 108
6.4.4 私钥的存储与使用 109
6.5 基于PKI典型应用 110
本章小结 112
习题六 112
第7章 安全协议 113
本章学习目标 113
7.1 安全协议概述 113
7.2 虚拟专用网协议IPSec 116
7.2.1 虚拟专用网VPN 116
7.2.2 IP层VPN协议——IPSec 118
7.2.3 认证头AH协议 120
7.2.4 封装安全载荷ESP协议 122
7.2.5 Internet密钥交换 124
7.3 传输层安全（TLS）协议 129
7.3.1 TLS概述 129
7.3.2 TLS记录协议层 131
7.3.3 TLS握手协议层 132
本章小结 135
习题七 135
第8章 无线局域网（WLAN）安全机制 137
本章学习目标 137
8.1 WLAN及其安全需求 137
8.2 有线等同保密协议WEP 139
8.3 健壮网络安全RSN 141
8.4 WLAN鉴别与保密基础结构WAPI 148
本章小结 150
习题八 150
第9章 网络安全技术 151
本章学习目标 151
9.1 网络安全技术概述 151
9.2 网络扫描技术 152
9.3 网络防火墙技术 154
9.3.1 防火墙的概念和功能 154
9.3.2 防火墙工作原理 155
9.3.3 基于DMZ的防火墙部署 158
9.4 入侵检测技术 159
9.4.1 入侵检测系统概述 159
9.4.2 IDS类型与部署 160
9.4.3 IDS工作原理 162
9.4.4 典型入侵检测系统的规划与配置 163
9.5 蜜罐技术 164
本章小结 166
习题九 166
第10章 信息隐藏与数字水印技术 167
本章学习目标 167
10.1 信息隐藏技术 167
10.2 数字水印技术 169
本章小结 172
习题十 172
第11章 可信计算 173
本章学习目标 173
11.1 可信计算概述 173
11.2 可信与信任 174
11.3 可信计算技术 175
11.3.1 可信计算平台 175
11.3.2 可信支撑软件 177
11.3.3 可信网络连接 178
本章小结 179
习题十一 179
参考文献 180

1. 信息系统项目管理师章节习题与考点特训（第二版） [主编 薛大龙]
2. 信息系统项目管理师5天修炼（第四版） [施游 刘毅 编著]
3. 信息系统项目管理师考试32小时通关（第二版） [薛大龙]
4. 信息系统项目管理师备考一本通 [倪奕文 编著]
5. 信息系统项目管理师案例分析一本通 [王树文]
6. 软考论文高分特训与范文10篇—信息系统项目管理师 [薛大龙]
7. 信息安全技术基础（第二版） [主编 张浩军 陈莉 王峰]
8. 信息安全工程师5天修炼（第二版） [施游 朱小平 编著]
9. 系统规划与管理师章节习题与考点特训 [主编 薛大龙]
10. 管理信息系统（第三版） [王欣 编著]
11. 注册消防工程师考前冲刺密卷（三合一） [靳红雨 王跃琴 杨殿波 张福东]
12. 系统规划与管理师真题精析与命题密卷 [主编 薛大龙]
13. 信息系统项目管理师真题精析与命题密卷 [薛大龙]
14. 信息系统监理师真题精析与命题密卷 [薛大龙]
15. 管理信息系统教程 [黄珍生]
16. 信息系统监理师考试32小时通关 [薛大龙]
17. 信息系统项目管理师考试32小时通关 [主编 薛大龙 ]
18. 信息系统项目管理师5天修炼（第三版） [施游 刘毅 编著]
19. 信息安全工程师5天修炼 [施游 朱小平 编著]
20. 信息系统项目管理师考前冲刺100题 [刘毅 朱小平 编著]
21. 会计信息系统操作案例教程（第二版） [主编 张兴武 石焱]
22. 网络安全技术项目化教程 [主编 段新华 宋风忠]
23. 大型数据库应用与安全 [主编 刘涛 胡凯]
24. 公安信息系统应用教程 [主编 贾学明 刘凌 徐明]
25. 信息安全基础 [主编 曹敏 刘艳]
26. 信息系统项目管理师5天修炼（第二版） [施游 刘毅 编著]
27. Web开发与安全防范 [主编 武春岭]
28. 网络安全技术 [姚奇富]
29. 信息安全等级保护与风险评估 [主编 李贺华]
30. 管理信息系统 [主编 刘芊]