本书遵循理论与实践相结合的原则，分为理论阐述和项目实践两部分。理论部分为4篇，共12章。第1篇为网络信息安全基础，共2章，重点介绍网络安全基本概念、网络安全架构及网络面临的威胁，并深入解析TCP/IP栈各层存在的安全威胁及解决方案。第2篇为密码学基础与应用，共4章，详解密码学的理论基础及密码算法，包括古代密码算法、流密码算法、对称密码算法、非对称密码算法及Hash函数。第3篇为网络安全基础设施，共2章，主要讲解PKI、PMI、身份鉴别、SSL协议、Kerberos协议相关内容。第4篇为网络安全技术，共4章，分别对IDS技术、VPN技术、无线网络安全技术和数字签名技术予以解析。项目实践部分为第5篇，共6章，由6个实验项目组成，分别为基于IIS搭建HTTPS网站，使用PGP实现电子邮件安全传输，使用VPN技术实现点到多点的安全通信，使用MPLS技术实现网络互联，使用静态VXLAN隧道实现二层互通，Wi?Fi攻防方案。本书可作为信息安全、网络空间安全、保密技术、密码科学与技术等本科专业，以及计算机类其他专业相关课程的教材和研究生的参考书，也可作为从事项目开发的工程师和科技人员，以及密码学和信息安全爱好者的实用教程。本书提供电子课件、习题参考答案和5个补充实操项目，扫描书中二维码可获取。

前言

一、 写作背景

信息化时代的到来使人类面临着科技进步与信息安全威胁的双重挑战，网络信息安全已成为全球关注的焦点。近年来，安全威胁的方式愈加多样化和隐蔽化。钓鱼网站、勒索软件、供应链攻击等使网络安全领域正在经历着严峻的考验。网络攻击事件频发，据某国际网络安全公司报道，2022年全球网络攻击事件数量同比增长了30%。这惊人的数字告诫人们必须积极应对。许多科技工作者和业界人士在密码学、机器学习(ML)、零信任架构、行为防护技术、溯源技术以及人工智能(AI)自动发现技术等方面作出了卓越的贡献，使网络安全形成了一个新兴行业、新的学科。

网络安全是国家战略，也是企业刚需。行业人才稀缺，需求远大于供给，必须加快培养高质量的专业人才。各高校积极响应教育部“加快增强网络空间安全防御能力”的号召，加速学科建设，调整课程体系，增设二级学院，极大地加强了人才培养的力度。与此同时，撰写一本优秀的教材便成为当务之急。本书编者基于多年教学与实践积累的深厚理论功底和丰富的实践经验，积极应对新一轮科技革命的时代需求，加强基本理论、基础知识、基本技能的“三基”建设，精练总结归纳专业的核心理论知识，引领前沿技术以充实教学内容，并利用新兴教学手段开拓读者的科学视野、学习兴趣和创新能力。这便是本书撰写的宗旨，亦是培养创新人才的关键所在。

二、 本书特点与目标

1. 理论阐述新颖

1) 铺垫法

密码学涉及很多算法，而算法的基础是数学。为了使读者尽快掌握各种算法，在讲解各种算法前，先补充讲解相关的数学基础知识。

2) 图解法

理论知识有些很抽象，难于理解。但图解法易于理解，本书对每个难于理解的理论知识，几乎都有图解，部分还有逼真的形象化图解，内容丰富、生动、有趣，可提升读者的体验感。

3) 举例说明法

单调的理论阐述往往显得抽象枯燥。若辅以实例说明，则能有效促进理解。例如，通过具体演示扩展欧几里得算法求RSA私钥的过程，其原理便容易理解了。

2. 教材体系结构创新

在多数教材和资料中，安全协议作为独立章节重点阐述。本书突破这种固有模式，将相关技术和安全协议有机结合。例如，双向鉴别技术和SSL协议结合，知识结构变得紧凑化、系统化。

3. 项目引领教学

为提高学生的实践能力和创新意识，本书针对网络面临的安全威胁和安全需求设计了11个项目，提供了相应的安全设计方案和攻防策略，可供读者参考和实践。由于篇幅所限，书中收录了6个项目，其余5个项目可扫描二维码参阅。

4. 追求卓越，展望未来

本书注重技术更新，追求卓越。从漫游证书到漫游证书系统，从数字证书到属性证书，从公钥基础设施(PKI)到授权管理基础设施(PMI)等知识体系进行了全面升级，并结合当今科技快速发展的态势，对量子密码学、无中心智能代理的DIDs等前沿技术均予以探究。

通过本书的学习与实践，读者将掌握网络信息安全的基本理论、基础知识、基本技能，具备一定的信息安全科研能力、项目开发与解决实际问题的能力、应用服务工作能力。本书可作为密码科学与技术、信息安全、网络空间安全及计算机类相关专业的本科生教材和研究生的参考书目，也可作为从事项目开发的工程师和科技人员，密码学和信息安全爱好者的实用教程。

三、 全书整体规划与编者职责

全书分5篇，共18章。第1篇网络信息安全基础(共2章)，第2篇密码学基础与应用(共4章)，第3篇网络安全基础设施(共2章)，第4篇网络安全技术(共4章)，第5篇为实践篇(共6章)，由6个实验项目组成。

刘正华担任本书主编，负责全书的整体策划与定稿工作，完成第3～12章的编著，并参与了实验项目一、二的方案规划。范村勇、张志斌任副主编。范村勇负责实验项目设计、开发，完成实践篇6个实验项目(即第13～18章)的编著与审查。张志斌编著第1、2章，并负责文档的审核工作。王跃龙和张洁在实验项目的开发中提供了必要的资料，在此表示感谢。

由于水平有限，书中难免有谬误之处，恳请读者批评和指正。

作者

2026年1月

目录

第1篇网络信息安全基础

第1章计算机网络安全基础

1.1计算机网络安全的概念3

1.2计算机网络安全的架构4

1.2.1安全服务4

1.2.2安全机制4

1.2.3网络安全架构的定义5

1.2.4网络安全架构的常见模型6

1.3网络安全面临的威胁11

1.3.1网络安全威胁的来源11

1.3.2网络攻击的类型11

1.3.3常见的网络攻击方法12

1.3.4网络安全面临的新挑战14

习题15

第2章网络协议的安全性

2.1网络协议概述17

2.2网络层协议的安全性18

2.2.1IP的安全性18

2.2.2ARP的安全性20

2.2.3ICMP的安全性22

2.2.4IGMP的安全性24

2.2.5RIP、IGRP和EIGRP的安全性24

2.2.6OSPF协议的安全性26

2.2.7BGP的安全性27

2.3传输层协议的安全性28

2.3.1UDP的安全性28

2.3.2TCP的安全性29

2.4应用层协议的安全性31〖1〗网络与信息安全目录〖3〗〖3〗2.4.1HTTP的安全性31

2.4.2DNS协议的安全性32

2.4.3电子邮件协议(SMTP、POP3、IMAP4和MIME)的安全性32

2.4.4远程登录协议(Telnet和SSH)的安全性34

2.4.5文件传输协议(FTP、TFTP、SCP和SFTP)的安全性35

2.4.6H.323协议的安全性36

习题37

第2篇密码学基础与应用

第3章密码学基础与流密码算法

3.1密码学概述41

3.1.1密码学概念与系统模型41

3.1.2密码学的分类42

3.1.3密码学的安全机制和安全服务43

3.1.4密码学的理论基础45

3.2古典密码算法47

3.2.1置换密码48

3.2.2单表代替密码48

3.2.3多表代替密码50

3.3流密码算法51

3.3.1一次一密52

3.3.2流密码52

3.3.3流密码算法应用——A5流密码算法56

习题60

第4章分组密码及DES算法

4.1分组密码概述62

4.2SP网络63

4.3Feistel密码结构65

4.4DES算法67

4.4.1DES算法简介67

4.4.2DES算法轮函数及密钥编排70

4.4.3DES算法的安全性76

4.53DES算法77

4.6高级加密标准78

4.6.1有限域基础79

4.6.2AES的轮函数81

4.6.3AES的密钥编排及伪代码87

4.7SM4算法91

4.7.1SM4简介及术语说明91

4.7.2SM4算法的流程及其轮函数92

4.7.3SM4密钥扩展算法95

4.8分组密码的工作模式96

4.9Diffie?Hellman密钥交换102

4.9.1Diffie?Hellman密钥交换协议102

4.9.2Diffie?Hellman密钥交换中的安全问题103

习题104

第5章双（公）钥密码体制

5.1公钥密码体制的数学基础107

5.2RSA加密算法109

5.2.1RSA公钥加密体制原理110

5.2.2RSA算法实例111

5.3ElGamal密码体制112

5.3.1离散数学——群和循环群113

5.3.2ElGamal公钥加密体制114

5.4椭圆曲线密码体制116

5.4.1实数域上的椭圆曲线116

5.4.2有限域上的椭圆曲线117

5.4.3椭圆曲线密码体制介绍119

习题120

第6章消息认证与Hash函数

6.1Hash函数基本理念123

6.2MD5算法125

6.2.1MD5算法简介125

6.2.2MD5算法的原理127

6.2.3MD5算法的实现130

6.3消息认证码134

6.3.1MAC的产生及其特点135

6.3.2数据认证算法136

6.3.3MAC的基本使用方式137

习题138

第3篇网络安全基础设施

第7章公钥基础设施

7.1公钥基础设施介绍143

7.1.1PKI的定义、组成及功能143

7.1.2PKI的体系结构145

7.2数字证书147

7.2.1数字证书的概念及结构147

7.2.2数字证书生成的参与者及任务147

7.2.3数字证书的生成148

7.3数字证书的签名与验证149

7.3.1数字签名的概念149

7.3.2CA数字签名的原理149

7.3.3数字证书的签名与验证150

7.4加密通信的证书152

7.4.1加密通信证书的实现152

7.4.2加密通信证书的应用153

7.5PKI的发展状况154

7.5.1漫游证书及解决方案154

7.5.2属性证书158

7.6授权管理基础设施160

7.6.1授权管理基础设施介绍160

7.6.2PMI的几种模型164

习题168

第8章身份鉴别

8.1单向鉴别170

8.2双向鉴别172

8.3SSL协议174

8.3.1SSL协议简介174

8.3.2SSL体系结构与协议175

8.3.3SSL协议的工作原理175

8.4第三方鉴别180

8.4.1第三方鉴别机理180

8.4.2第三方鉴别过程181

8.5Kerberos协议182

8.5.1Kerberos协议简介182

8.5.2Kerberos协议的工作模型及工作步骤182

8.5.3Kerberos协议的优点与缺点184

习题184

第4篇网络安全技术

第9章入侵检测技术

9.1入侵检测系统简介189

9.2入侵检测的主要方法及其基本原理190

9.2.1异常检测的基本工作原理190

9.2.2误用检测的基本工作原理191

9.2.3入侵检测技术192

9.3IDS的结构与分类193

9.3.1IDS的结构193

9.3.2IDS的分类193

9.4NIDS194

9.4.1NIDS的概述194

9.4.2NIDS的工作原理195

9.4.3NIDS的关键技术196

9.5HIDS197

9.5.1HIDS的概述197

9.5.2HIDS的工作原理198

9.5.3HIDS的关键技术199

9.6DIDS200

9.6.1DIDS的概述201

9.6.2DIDS的关键技术201

9.7IDS的设计202

9.7.1控制台的设计202

9.7.2自身安全设计202

9.7.3IDS的典型部署204

9.8IDS的发展趋势204

9.8.1IDS存在的问题204

9.8.2发展趋势205

习题206

第10章VPN技术及应用

10.1VPN技术简介207

10.1.1VPN的概念207

10.1.2VPN的特点207

10.1.3VPN的分类208

10.1.4VPN的关键技术209

10.2隧道技术210

10.2.1隧道协议的简介210

10.2.2隧道的实现过程211

10.3VPN的第二层隧道协议213

10.3.1第二层隧道协议简介213

10.3.2L2TP213

10.4VPN的第三层隧道协议216

10.4.1GRE216

10.4.2MPLS217

10.4.3IPSec VPN223

10.4.4SSL VPN229

习题229

第11章无线网络安全技术

11.1无线网络面临的安全威胁232

11.2无线蜂窝网络安全性233

11.2.1GSM网络安全性233

11.2.2CDMA蜂窝网络安全性236

11.3无线数据网络的安全性239

11.3.1无线数据网络简介239

11.3.2有线等效保密协议240

11.3.3802.1x协议242

11.3.4802.11i标准243

11.4Ad Hoc网络的安全性247

11.4.1Ad Hoc网络保密与认证技术248

11.4.2Ad Hoc网络的安全路由252

11.4.3Ad Hoc网络的入侵检测254

11.4.4Ad Hoc网络的信任建立256

习题257

第12章数字签名技术与应用

12.1数字签名的基本知识258

12.2RSA签名算法259

12.3ElGamal签名算法260

12.4DSS签名算法261

12.5ElGamal类签名算法262

12.6特殊性质的签名算法263

12.6.1盲签名263

12.6.2不可否认签名264

12.6.3群签名265

12.6.4代理签名265

12.7数字签名技术的应用266

12.7.1网上交易的安全需求266

12.7.2SET协议266

12.7.3电子商务面临的安全威胁268

12.7.4SET协议的安全机制269

习题273

第5篇实践篇

第13章基于IIS搭建HTTPS网站

13.1搭建HTTPS网站的场景及任务277

13.1.1搭建HTTPS网站的场景277

13.1.2搭建HTTPS网站的主要任务277

13.2搭建HTTPS网站的流程278

13.2.1搭建独立根CA278

13.2.2让PC和Web服务器信任CA279

13.2.3测试HTTPS连接286

习题290

第14章使用PGP实现电子邮件安全传输

14.1实现电子邮件安全传输的场景及任务291

14.1.1实现电子邮件安全传输的场景291

14.1.2实现电子邮件安全传输的主要任务291

14.2实现电子邮件安全传输的流程291

14.2.1安装并使用PGP291

14.2.2安装并使用Foxmail收发邮件293

14.2.3使用Web浏览器收发邮件299

习题303

第15章使用VPN技术实现点到多点的安全通信

15.1点到多点安全通信的场景304

15.2实现点到多点安全通信的流程305

15.2.1实现点到多点安全通信的主要任务305

15.2.2实现点到多点安全通信的主要步骤306

习题325

第16章使用MPLS技术实现网络互联

16.1使用MPLS技术实现网络互联的场景326

16.2使用MPLS技术实现网络互联的流程327

16.2.1使用MPLS技术实现网络互联的主要任务327

16.2.2使用MPLS技术实现网络互联的主要步骤328

习题339

第17章使用静态VXLAN隧道实现二层互通

17.1VXLAN简介340

17.2使用静态VXLAN隧道实现二层互通的场景341

17.3使用静态VXLAN隧道实现二层互通的流程342

17.3.1静态VXLAN隧道实现二层互通的主要任务342

17.3.2静态VXLAN隧道实现二层互通的主要步骤342

习题347

第18章Wi?Fi攻防方案

18.1实验场景及任务348

18.1.1搭建仿真测试环境348

18.1.2进行Wi?Fi仿真攻击测试主要任务348

18.2攻击测试实验流程348

18.2.1在Kali Linux中测试ARP/DNS欺骗攻击348

18.2.2使用Kali Linux虚拟机搭建钓鱼Wi?Fi350

18.2.3使用移动端检测Wi?Fi352

18.2.4Wi?Fi网络监听仿真测试353

18.3攻击防御方案356

18.3.1链路层MAC地址泛洪攻击的解决方案356

18.3.2网络层ARP欺骗的解决方案356

18.3.3传输层拒绝服务攻击的解决方案360

习题361

参考文献