目录 第 1 ç« ä»Žäº’è”网到网络空间 1 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 1.1 互è”网å‘å±•æ¼«è¯ . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 1.1.1 计算机和计算机系统 . . . . . . . . . . . . . . . . . . . . 3 1.1.2 改å˜äººç±»ç”Ÿæ´»æ–¹å¼çš„互è”网åŠå…¶é€šä¿¡åè®® TCP/IP . . . 8 1.1.3 从 Web 开始的互è”网应用大爆炸 . . . . . . . . . . . . . 11 1.1.4 ç½‘ç»œæˆ˜äº‰çš„æ‰“å“ . . . . . . . . . . . . . . . . . . . . . . . 13 1.2 网络空间åŠç½‘络空间安全 . . . . . . . . . . . . . . . . . . . . . 17 1.2.1 网络空间定义åŠå…¶ç‰¹ç‚¹ . . . . . . . . . . . . . . . . . . . 17 1.2.2 网络空间安全定义åŠå…¶çŽ°çŠ¶ . . . . . . . . . . . . . . . . 20 1.2.3 网络空间安全战略 . . . . . . . . . . . . . . . . . . . . . 22 1.2.4 网络空间安全å¦ç§‘体系架构 . . . . . . . . . . . . . . . . 23 1.3 网络空间基础ç†è®ºä¹‹ç½‘ç»œç§‘å¦ . . . . . . . . . . . . . . . . . . . 26 1.3.1 ç½‘ç»œç§‘å¦æ¦‚è¿° . . . . . . . . . . . . . . . . . . . . . . . . 26 1.3.2 夿‚网络的性质 . . . . . . . . . . . . . . . . . . . . . . . 27 1.3.3 夿‚网络与网络空间安全 . . . . . . . . . . . . . . . . . 32 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36 第 2 ç« ç½‘ç»œç©ºé—´å®‰å…¨ä¸çš„ç†è®ºå·¥å…· 38 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38 2.1 新的挑战 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40 2.2 图论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43 2.2.1 å›¾è®ºçš„èµ·æº . . . . . . . . . . . . . . . . . . . . . . . . . 43 2.2.2 网络安全ä¸çš„图论 . . . . . . . . . . . . . . . . . . . . . 44 2.2.3 图论简介 . . . . . . . . . . . . . . . . . . . . . . . . . . 47 2.2.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 2.3 控制论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 2.3.1 æŽ§åˆ¶è®ºçš„èµ·æº . . . . . . . . . . . . . . . . . . . . . . . . 53 2.3.2 网络安全ä¸çš„æŽ§åˆ¶è®º . . . . . . . . . . . . . . . . . . . . 54 2.3.3 控制论简介 . . . . . . . . . . . . . . . . . . . . . . . . . 54 2.3.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 2.4 åšå¼ˆè®º . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 2.4.1 åšå¼ˆè®ºçš„èµ·æº . . . . . . . . . . . . . . . . . . . . . . . . 60 2.4.2 网络安全ä¸çš„åšå¼ˆè®º . . . . . . . . . . . . . . . . . . . . 61 2.4.3 åšå¼ˆè®ºç®€ä»‹ . . . . . . . . . . . . . . . . . . . . . . . . . 61 2.4.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70 2.5 最优化ç†è®º . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71 2.5.1 æœ€ä¼˜åŒ–çš„èµ·æº . . . . . . . . . . . . . . . . . . . . . . . . 71 2.5.2 网络安全ä¸çš„æœ€ä¼˜åŒ– . . . . . . . . . . . . . . . . . . . . 71 2.5.3 最优化的简介 . . . . . . . . . . . . . . . . . . . . . . . . 72 2.5.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 2.6 概率论 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77 2.6.1 æ¦‚çŽ‡è®ºçš„èµ·æº . . . . . . . . . . . . . . . . . . . . . . . . 78 2.6.2 网络安全ä¸çš„æ¦‚率论 . . . . . . . . . . . . . . . . . . . . 78 2.6.3 概率论简介 . . . . . . . . . . . . . . . . . . . . . . . . . 78 2.6.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 第 3 ç« ç½‘ç»œç©ºé—´å®‰å…¨åŸºæœ¬æœºåˆ¶ 88 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 3.1 网络空间安全机制的整体å‘展脉络 . . . . . . . . . . . . . . . . 88 3.2 沙箱 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 3.2.1 沙箱的å‘展概况 . . . . . . . . . . . . . . . . . . . . . . . 91 3.2.2 æ²™ç®±çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . . . . . 91 3.2.3 æ²™ç®±çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . . . . . 91 3.3 å…¥ä¾µå®¹å¿ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 3.3.1 入侵容å¿çš„å‘展概况 . . . . . . . . . . . . . . . . . . . . 93 3.3.2 入侵容å¿çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . . 93 3.3.3 入侵容å¿çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . . 93 3.4 å¯ä¿¡è®¡ç®— . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94 3.4.1 å¯ä¿¡è®¡ç®—çš„å‘展概况 . . . . . . . . . . . . . . . . . . . . 95 3.4.2 å¯ä¿¡è®¡ç®—çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . . 95 3.4.3 å¯ä¿¡è®¡ç®—çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . . 95 3.5 ç±»å…疫防御 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 3.5.1 ç±»å…疫防御的å‘展概况 . . . . . . . . . . . . . . . . . . . 97 3.5.2 ç±»å…ç–«é˜²å¾¡çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . 97 3.5.3 ç±»å…ç–«é˜²å¾¡çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . 97 3.6 ç§»åŠ¨ç›®æ ‡é˜²å¾¡ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98 3.6.1 ç§»åŠ¨ç›®æ ‡é˜²å¾¡çš„å‘展概况 . . . . . . . . . . . . . . . . . 99 3.6.2 ç§»åŠ¨ç›®æ ‡é˜²å¾¡çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . 99 3.6.3 ç§»åŠ¨ç›®æ ‡é˜²å¾¡çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . 99 3.7 拟æ€é˜²å¾¡ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 100 3.7.1 拟æ€é˜²å¾¡çš„å‘展概况 . . . . . . . . . . . . . . . . . . . . 100 3.7.2 拟æ€é˜²å¾¡çš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . . 101 3.7.3 拟æ€é˜²å¾¡çš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . . 101 3.8 零信任网络 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 102 3.8.1 零信任网络的å‘展概况 . . . . . . . . . . . . . . . . . . . 102 3.8.2 é›¶ä¿¡ä»»ç½‘ç»œçš„å®‰å…¨ç›®æ ‡ . . . . . . . . . . . . . . . . . . . 103 3.8.3 é›¶ä¿¡ä»»ç½‘ç»œçš„åŸºæœ¬æ€æƒ³å’ŒåŽŸç† . . . . . . . . . . . . . . . 103 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107 第 4 ç« æ•°æ®åР坆 109 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 4.1 密ç å¦ç®€å² . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 4.1.1 å¤å…¸å¯†ç . . . . . . . . . . . . . . . . . . . . . . . . . . 110 4.1.2 近代密ç . . . . . . . . . . . . . . . . . . . . . . . . . . 112 4.1.3 现代密ç . . . . . . . . . . . . . . . . . . . . . . . . . . 116 4.2 对称密ç . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 4.2.1 分组密ç . . . . . . . . . . . . . . . . . . . . . . . . . . 117 4.2.2 DES 算法 . . . . . . . . . . . . . . . . . . . . . . . . . . 119 4.2.3 æµå¯†ç . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 4.3 公钥密ç . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 126 4.3.1 æå‡ºèƒŒæ™¯ . . . . . . . . . . . . . . . . . . . . . . . . . . 126 4.3.2 åŠ å¯†åŽŸç† . . . . . . . . . . . . . . . . . . . . . . . . . . 127 4.3.3 RSA 算法 . . . . . . . . . . . . . . . . . . . . . . . . . . 127 4.3.4 应用场景 . . . . . . . . . . . . . . . . . . . . . . . . . . 131 4.4 摘è¦ä¸Žç¾å . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 132 4.4.1 散列函数 . . . . . . . . . . . . . . . . . . . . . . . . . . 132 4.4.2 消æ¯è®¤è¯ç . . . . . . . . . . . . . . . . . . . . . . . . . 137 4.4.3 æ•°å—ç¾å . . . . . . . . . . . . . . . . . . . . . . . . . . 140 4.5 密ç åˆ†æžæŠ€æœ¯ . . . . . . . . . . . . . . . . . . . . . . . . . . . . 143 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 144 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 146 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 147 å®žéªŒä¸€ï¼šåˆ¶é€ MD5 算法的散列值碰撞(难度:899) . . . . 147 实验二:基于å£ä»¤çš„安全身份认è¯å议(难度:888) . . . 149 第 5 ç« éšç§ä¿æŠ¤ 153 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 153 5.1 éšç§ä¿æŠ¤æŠ€æœ¯åˆæŽ¢ . . . . . . . . . . . . . . . . . . . . . . . . . 155 5.1.1 网络空间ä¸çš„éšç§ . . . . . . . . . . . . . . . . . . . . . 155 5.1.2 éšç§æ³„露的å±å®³ . . . . . . . . . . . . . . . . . . . . . . . 156 5.1.3 éšç§ä¿æŠ¤æŠ€æœ¯ä»‹ç» . . . . . . . . . . . . . . . . . . . . . 157 5.2 匿å化 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 159 5.2.1 匿å化éšç§ä¿æŠ¤æ¨¡åž‹ . . . . . . . . . . . . . . . . . . . . 160 5.2.2 匿å化方法 . . . . . . . . . . . . . . . . . . . . . . . . . 164 5.3 差分éšç§ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 166 5.3.1 差分éšç§åŸºç¡€ . . . . . . . . . . . . . . . . . . . . . . . . 166 5.3.2 数值型差分éšç§ . . . . . . . . . . . . . . . . . . . . . . . 169 5.3.3 éžæ•°å€¼åž‹å·®åˆ†éšç§ . . . . . . . . . . . . . . . . . . . . . 171 5.4 åŒæ€åР坆 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 172 5.4.1 åŒæ€åŠ å¯†åŸºç¡€ . . . . . . . . . . . . . . . . . . . . . . . . 173 5.4.2 åŠåŒæ€åР坆 . . . . . . . . . . . . . . . . . . . . . . . . . 175 5.4.3 å…¨åŒæ€åР坆 . . . . . . . . . . . . . . . . . . . . . . . . . 177 5.5 安全多方计算 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 178 5.5.1 安全多方计算基础 . . . . . . . . . . . . . . . . . . . . . 178 5.5.2 百万富ç¿åè®® . . . . . . . . . . . . . . . . . . . . . . . . 181 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 182 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 185 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 186 实验:基于 Paillier 算法的匿åç”µåæŠ•票æµç¨‹å®žçŽ°ï¼ˆéš¾åº¦ï¼š899)186 第 6 ç« ç³»ç»Ÿç¡¬ä»¶å®‰å…¨ 188 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 6.1 系统硬件概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 6.1.1 硬件的范畴 . . . . . . . . . . . . . . . . . . . . . . . . . 189 6.1.2 ç¡¬ä»¶ç»„æˆæ¨¡å— . . . . . . . . . . . . . . . . . . . . . . . . 190 6.1.3 ä¸å¤®å¤„ç†å™¨ . . . . . . . . . . . . . . . . . . . . . . . . . 190 6.1.4 硬件安全 . . . . . . . . . . . . . . . . . . . . . . . . . . 192 6.2 硬件安全问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 6.2.1 安全å¨èƒäº‹ä»¶ . . . . . . . . . . . . . . . . . . . . . . . . 193 6.2.2 硬件攻击分类 . . . . . . . . . . . . . . . . . . . . . . . . 195 6.2.3 安全å¨èƒå‰–æž . . . . . . . . . . . . . . . . . . . . . . . . 201 6.3 硬件安全防护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 202 6.3.1 处ç†å™¨å®‰å…¨æ¨¡åž‹ . . . . . . . . . . . . . . . . . . . . . . . 202 6.3.2 硬件防护技术 . . . . . . . . . . . . . . . . . . . . . . . . 203 6.4 å…¸åž‹æ¼æ´žåˆ†æž . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 6.4.1 Spectre . . . . . . . . . . . . . . . . . . . . . . . . . . . 209 6.4.2 VoltJockey æ¼æ´ž . . . . . . . . . . . . . . . . . . . . . . 210 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 212 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 213 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 217 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 218 实验:Spectre 攻击验è¯ï¼ˆéš¾åº¦ï¼š888) . . . . . . . . . . . . 218 第 7 ç« æ“作系统安全 220 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220 7.1 æ“作系统安全å¨èƒç¤ºä¾‹ . . . . . . . . . . . . . . . . . . . . . . . 222 7.1.1 æ“作系统安全å¨èƒæ¨¡åž‹ . . . . . . . . . . . . . . . . . . . 222 7.1.2 æ“作系统安全å¨èƒæ¡ˆä¾‹ . . . . . . . . . . . . . . . . . . . 223 7.2 æ“作系统基础攻击方案 . . . . . . . . . . . . . . . . . . . . . . . 224 7.2.1 内å˜ç®¡ç†åŸºç¡€ . . . . . . . . . . . . . . . . . . . . . . . . 224 7.2.2 åŸºç¡€çš„æ ˆåŒºæ”»å‡»æ–¹æ¡ˆ . . . . . . . . . . . . . . . . . . . . 225 7.2.3 åŸºç¡€çš„å †åŒºæ”»å‡»æ–¹æ¡ˆ . . . . . . . . . . . . . . . . . . . . 229 7.2.4 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 7.3 æ“作系统基础防御方案 . . . . . . . . . . . . . . . . . . . . . . . 233 7.3.1 WˆX . . . . . . . . . . . . . . . . . . . . . . . . . . . . 233 7.3.2 ASLR . . . . . . . . . . . . . . . . . . . . . . . . . . . . 234 7.3.3 Stack Canary . . . . . . . . . . . . . . . . . . . . . . . . 234 7.3.4 SMAP å’Œ SMEP . . . . . . . . . . . . . . . . . . . . . . 235 7.3.5 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 235 7.4 高级控制æµåŠ«æŒæ–¹æ¡ˆ . . . . . . . . . . . . . . . . . . . . . . . . 236 7.4.1 进程执行的更多细节 . . . . . . . . . . . . . . . . . . . . 236 7.4.2 é¢å‘返回地å€ç¼–程 . . . . . . . . . . . . . . . . . . . . . 237 7.4.3 全局åç½®è¡¨åŠ«æŒ . . . . . . . . . . . . . . . . . . . . . . . 240 7.4.4 è™šå‡ vtable åŠ«æŒ . . . . . . . . . . . . . . . . . . . . . . 241 7.4.5 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 243 7.5 高级æ“ä½œç³»ç»Ÿä¿æŠ¤æ–¹æ¡ˆ . . . . . . . . . . . . . . . . . . . . . . . 243 7.5.1 控制æµå®Œæ•´æ€§ä¿æŠ¤ . . . . . . . . . . . . . . . . . . . . . 243 7.5.2 æŒ‡é’ˆå®Œæ•´æ€§ä¿æŠ¤ . . . . . . . . . . . . . . . . . . . . . . . 245 7.5.3 ä¿¡æ¯æµæŽ§åˆ¶ . . . . . . . . . . . . . . . . . . . . . . . . . 245 7.5.4 I/O åç³»ç»Ÿä¿æŠ¤ . . . . . . . . . . . . . . . . . . . . . . . 246 7.5.5 å°ç»“ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 254 å®žéªŒä¸€ï¼šç®€å•æ ˆæº¢å‡ºå®žéªŒï¼ˆéš¾åº¦ï¼š889) . . . . . . . . . . . 254 å®žéªŒäºŒï¼šåŸºäºŽæ ˆæº¢å‡ºçš„æ¨¡æ‹Ÿå‹’ç´¢å®žéªŒï¼ˆéš¾åº¦ï¼š888) . . . . . 256 第 8 ç« TCP/IP åè®®æ ˆå®‰å…¨ 259 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 259 8.1 åè®®æ ˆå®‰å…¨çš„èƒŒæ™¯åŠçŽ°çŠ¶ . . . . . . . . . . . . . . . . . . . . . 259 8.1.1 åè®®æ ˆå®‰å…¨çš„åŸºæœ¬æ¦‚å¿µ . . . . . . . . . . . . . . . . . . . 259 8.1.2 åè®®æ ˆå®‰å…¨çš„èƒŒæ™¯åŠç ”究范畴 . . . . . . . . . . . . . . . 260 8.1.3 åè®®æ ˆå®‰å…¨é—®é¢˜çŽ°çŠ¶ . . . . . . . . . . . . . . . . . . . . 261 8.2 åè®®æ ˆå®‰å…¨é—®é¢˜çš„æœ¬è´¨åŠåŽŸå› . . . . . . . . . . . . . . . . . . . 262 8.2.1 å¤šæ ·åŒ–çš„ç½‘ç»œæ”»å‡» . . . . . . . . . . . . . . . . . . . . . 262 8.2.2 ç½‘ç»œæ”»å‡»çš„å…±æ€§ç‰¹å¾ . . . . . . . . . . . . . . . . . . . . 270 8.2.3 åè®®æ ˆä¸çš„ä¸å½“设计和实现 . . . . . . . . . . . . . . . . 271 8.3 åè®®æ ˆå®‰å…¨çš„åŸºæœ¬é˜²å¾¡åŽŸç† . . . . . . . . . . . . . . . . . . . . 272 8.3.1 基于真实æºåœ°å€çš„网络安全防御 . . . . . . . . . . . . . . 273 8.3.2 增强åè®®æ ˆéšæœºåŒ–属性 . . . . . . . . . . . . . . . . . . . 273 8.3.3 åè®®çš„å®‰å…¨åŠ å¯† . . . . . . . . . . . . . . . . . . . . . . . 274 8.3.4 安全防御实践åŠè§„范 . . . . . . . . . . . . . . . . . . . . 277 8.4 å…¸åž‹æ¡ˆä¾‹åˆ†æž . . . . . . . . . . . . . . . . . . . . . . . . . . . . 277 8.4.1 误用 IP 分片机制污染 UDP åè®® . . . . . . . . . . . . . 278 8.4.2 ä¼ªé€ æº IP 地å€è¿›è¡Œ DDoS 攻击 . . . . . . . . . . . . . . 279 8.4.3 TCP è¿žæŽ¥åŠ«æŒæ”»å‡» . . . . . . . . . . . . . . . . . . . . . 280 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 282 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 286 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 实验一:SYN Flooding 攻击(难度:899) . . . . . . . . . 287 实验二:基于 IPID ä¾§ä¿¡é“çš„ TCP 连接阻æ–(难度:889) 288 第 9 ç« DNS 安全 291 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291 9.1 DNS 概述 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292 9.1.1 DNS 的演进 . . . . . . . . . . . . . . . . . . . . . . . . . 292 9.1.2 DNS 域åç»“æž„ä¸ŽåŒºåŸŸç»„ç»‡å½¢å¼ . . . . . . . . . . . . . . 294 9.2 DNS 使用åŠè§£æžè¿‡ç¨‹ . . . . . . . . . . . . . . . . . . . . . . . 295 9.2.1 DNS 使用 . . . . . . . . . . . . . . . . . . . . . . . . . . 295 9.2.2 DNS è§£æžè¿‡ç¨‹ . . . . . . . . . . . . . . . . . . . . . . . 296 9.2.3 DNS 请求åŠåº”ç”æŠ¥æ–‡ . . . . . . . . . . . . . . . . . . . 298 9.3 DNS 攻击 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 301 9.3.1 DNS æ”»å‡»ç›®æ ‡åŠå…±æ€§ç‰¹å¾ . . . . . . . . . . . . . . . . . 301 9.3.2 缓å˜ä¸æ¯’攻击 . . . . . . . . . . . . . . . . . . . . . . . . 303 9.3.3 æ¥è‡ªæ¶æ„æƒå¨åŸŸåæœåŠ¡å™¨çš„å›žå¤ä¼ªé€ 攻击 . . . . . . . . 309 9.3.4 æ‹’ç»æœåŠ¡æ”»å‡» . . . . . . . . . . . . . . . . . . . . . . . . 311 9.4 DNS 攻击防御ç–ç•¥ . . . . . . . . . . . . . . . . . . . . . . . . 313 9.4.1 åŸºäºŽå¯†ç æŠ€æœ¯çš„é˜²å¾¡ç–ç•¥ . . . . . . . . . . . . . . . . . 314 9.4.2 基于系统管ç†çš„防御ç–ç•¥ . . . . . . . . . . . . . . . . . 317 9.4.3 新型架构设计 . . . . . . . . . . . . . . . . . . . . . . . . 318 9.5 å…¸åž‹æ¡ˆä¾‹åˆ†æž . . . . . . . . . . . . . . . . . . . . . . . . . . . . 320 9.5.1 Kaminsky攻击 . . . . . . . . . . . . . . . . . . . . . . . 320 9.5.2 æ¶æ„æœåŠ¡å™¨å›žå¤ä¼ªé€ 攻击 . . . . . . . . . . . . . . . . . 321 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 实验:实现本地 DNS 缓å˜ä¸æ¯’攻击(难度:889) . . . . . 327 第 10 ç« çœŸå®žæºåœ°å€éªŒè¯ 330 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 330 10.1 真实æºåœ°å€éªŒè¯ä½“ç³»ç»“æž„çš„ç ”ç©¶èƒŒæ™¯ . . . . . . . . . . . . . . . 331 10.1.1 当å‰äº’è”网体系结构缺ä¹å®‰å…¨å¯ä¿¡åŸºç¡€ . . . . . . . . . . 331 10.1.2 IP åœ°å€æ¬ºéª— . . . . . . . . . . . . . . . . . . . . . . . . . 333 10.1.3 真实æºåœ°å€éªŒè¯ä½“系结构 SAVA çš„æå‡º . . . . . . . . . 337 10.2 真实æºåœ°å€éªŒè¯ SAVA 体系结构设计 . . . . . . . . . . . . . . . 338 10.2.1 当å‰äº’è”网的地å€ç»“æž„ . . . . . . . . . . . . . . . . . . . 339 10.2.2 真实æºåœ°å€éªŒè¯ SAVA 体系结构设计原则 . . . . . . . . 340 10.3 SAVA 体系结构åŠå…¶å…³é”®æŠ€æœ¯ . . . . . . . . . . . . . . . . . . . 342 10.3.1 真实æºåœ°å€éªŒè¯ SAVA 体系结构 . . . . . . . . . . . . . 343 10.3.2 接入网真实æºåœ°å€éªŒè¯æŠ€æœ¯ SAVI . . . . . . . . . . . . . 344 10.3.3 域内真实æºåœ°å€éªŒè¯æŠ€æœ¯ SAVA-P . . . . . . . . . . . . 347 10.3.4 域间真实æºåœ°å€éªŒè¯æŠ€æœ¯ SAVA-X . . . . . . . . . . . . 350 10.3.5 基于 IPv6 çš„å¯ä¿¡èº«ä»½æ ‡è¯† . . . . . . . . . . . . . . . . 354 10.3.6 æ•°æ®åŒ…防篡改机制 . . . . . . . . . . . . . . . . . . . . . 354 10.4 真实å¯ä¿¡æ–°ä¸€ä»£äº’è”网体系结构 . . . . . . . . . . . . . . . . . . 356 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 357 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 实验:域间æºåœ°å€éªŒè¯æŠ€æœ¯ SMA ç®€å•æ¨¡æ‹Ÿï¼ˆéš¾åº¦ï¼š889) . 360 第 11 ç« å…¬é’¥åŸºç¡€è®¾æ–½ PKI 363 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 363 11.1 走近互è”网安全护å«è€… . . . . . . . . . . . . . . . . . . . . . . . 364 11.1.1 PKI 相关技术 . . . . . . . . . . . . . . . . . . . . . . . . 365 11.1.2 æ•°å—è¯ä¹¦ . . . . . . . . . . . . . . . . . . . . . . . . . . 366 11.1.3 PKI ä½“ç³»ç»“æž„çš„ç»„æˆ . . . . . . . . . . . . . . . . . . . . 371 11.2 PKI 信任模型 . . . . . . . . . . . . . . . . . . . . . . . . . . . 373 11.2.1 以 CA 为ä¸å¿ƒçš„信任模型 . . . . . . . . . . . . . . . . . 374 11.2.2 以用户为ä¸å¿ƒçš„信任模型 . . . . . . . . . . . . . . . . . 376 11.3 å…¬é’¥åŸºç¡€è®¾æ–½å®‰å…¨é—®é¢˜çš„ç”±æ¥ . . . . . . . . . . . . . . . . . . . 378 11.3.1 æ•°å—è¯ä¹¦é¢å‘过程ä¸çš„安全问题 . . . . . . . . . . . . . . 378 11.3.2 æ•°å—è¯ä¹¦ç»´æŠ¤è¿‡ç¨‹ä¸çš„安全问题 . . . . . . . . . . . . . . 379 11.4 公钥基础设施安全问题的解决æ€è·¯ . . . . . . . . . . . . . . . . 379 11.4.1 å»ºç«‹ç›‘ç£æœºåˆ¶ . . . . . . . . . . . . . . . . . . . . . . . . 379 11.4.2 建立è¯ä¹¦çŠ¶æ€æ—¥å¿— . . . . . . . . . . . . . . . . . . . . . 380 11.5 区å—链在 PKI 安全ä¸çš„应用 . . . . . . . . . . . . . . . . . . . . 381 11.5.1 区å—链的特点 . . . . . . . . . . . . . . . . . . . . . . . . 381 11.5.2 以 CA 为ä¸å¿ƒçš„ PKI ä¸åŒºå—链的应用 . . . . . . . . . . 383 11.5.3 以用户为ä¸å¿ƒçš„ PKI ä¸åŒºå—链的应用 . . . . . . . . . . 384 11.6 PKI 主è¦åº”用场景 . . . . . . . . . . . . . . . . . . . . . . . . . 386 11.6.1 åŠ å¯†æ•°æ®ä¼ 输 . . . . . . . . . . . . . . . . . . . . . . . . 386 11.6.2 HTTPS åè®® . . . . . . . . . . . . . . . . . . . . . . . . 387 11.6.3 虚拟专用网 . . . . . . . . . . . . . . . . . . . . . . . . . 388 11.6.4 资æºå…¬é’¥åŸºç¡€è®¾æ–½ . . . . . . . . . . . . . . . . . . . . . 389 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 390 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 391 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 393 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 394 实验:数å—è¯ä¹¦çš„使用(难度:899) . . . . . . . . . . . . 394 第 12 ç« åˆ†å¸ƒå¼ç³»ç»Ÿå®‰å…¨ 396 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 396 12.1 分布å¼ç³»ç»Ÿæ¦‚è¿° . . . . . . . . . . . . . . . . . . . . . . . . . . . 397 12.1.1 分布å¼ç³»ç»Ÿçš„ç»„æˆ . . . . . . . . . . . . . . . . . . . . . 397 12.1.2 分布å¼ç³»ç»Ÿä¸çš„èˆä¸Žå¾— . . . . . . . . . . . . . . . . . . . 401 12.1.3 å®‰å…¨é—®é¢˜çš„æ ¹æº . . . . . . . . . . . . . . . . . . . . . . . 404 12.2 åä½œçš„å‰æï¼šå»ºç«‹å®‰å…¨ã€ç¨³å®šçš„交互网络 . . . . . . . . . . . . 406 12.2.1 建立安全ã€ç¨³å®šçš„äº¤äº’ä¿¡é“ . . . . . . . . . . . . . . . . 406 12.2.2 建立应用层路由 . . . . . . . . . . . . . . . . . . . . . . . 410 12.2.3 选择å¯é 的邻居节点 . . . . . . . . . . . . . . . . . . . . 412 12.3 实现稳定ååŒï¼šå®‰å…¨ç¨³å®šçš„分布å¼ç®—法 . . . . . . . . . . . . . . 413 12.3.1 æ—¶é’ŸåŒæ¥ . . . . . . . . . . . . . . . . . . . . . . . . . . 413 12.3.2 å¹¶å‘æŽ§åˆ¶ . . . . . . . . . . . . . . . . . . . . . . . . . . 415 12.3.3 故障容错 . . . . . . . . . . . . . . . . . . . . . . . . . . 418 12.4 实现å¯ä¿¡ååŒï¼šè§£å†³ä¿¡ä»»é—®é¢˜ . . . . . . . . . . . . . . . . . . . 424 12.4.1 身份认è¯å’Œè®¿é—®æŽ§åˆ¶ . . . . . . . . . . . . . . . . . . . . 424 12.4.2 信用模型 . . . . . . . . . . . . . . . . . . . . . . . . . . 426 12.4.3 拜å åºå®¹é”™å…±è¯† . . . . . . . . . . . . . . . . . . . . . . . 426 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 432 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 434 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 435 实验:拜å åº / 故障容错共识的模拟与验è¯ï¼ˆéš¾åº¦ï¼š889) . 435 第 13 ç« åº”ç”¨å®‰å…¨ 439 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 13.1 网络应用åŠå…¶ç›¸å…³çš„应用安全问题 . . . . . . . . . . . . . . . . 440 13.1.1 网络应用安全问题概览 . . . . . . . . . . . . . . . . . . . 441 13.1.2 å„ç§åº”ç”¨å®‰å…¨æ”»å‡»åˆ†æž . . . . . . . . . . . . . . . . . . . 442 13.1.3 ç½‘ç»œåº”ç”¨å®‰å…¨æ”»å‡»çš„å…±æ€§ç‰¹å¾ . . . . . . . . . . . . . . . 457 13.2 åº”ç”¨å®‰å…¨çš„åŸºæœ¬é˜²å¾¡åŽŸç† . . . . . . . . . . . . . . . . . . . . . 458 13.2.1 身份认è¯ä¸Žä¿¡ä»»ç®¡ç† . . . . . . . . . . . . . . . . . . . . 459 13.2.2 éšç§ä¿æŠ¤ . . . . . . . . . . . . . . . . . . . . . . . . . . 459 13.2.3 应用安全监控防御 . . . . . . . . . . . . . . . . . . . . . 459 13.3 å…¸åž‹æ¡ˆä¾‹åˆ†æž . . . . . . . . . . . . . . . . . . . . . . . . . . . . 459 13.3.1 å¾®åšç—…毒 . . . . . . . . . . . . . . . . . . . . . . . . . . 460 13.3.2 剑桥分æžé€šè¿‡ç¤¾äº¤ç½‘络æ“纵美国大选 . . . . . . . . . . . 461 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 463 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 465 实验: 实现本地 Web 攻击 (难度:889) . . . . . . . . . . . . . 465 第 14 ç« äººå·¥æ™ºèƒ½ç®—æ³•å®‰å…¨ 468 引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 468 14.1 人工智能安全绪论 . . . . . . . . . . . . . . . . . . . . . . . . . 471 14.1.1 人工智能å‘å±•å² . . . . . . . . . . . . . . . . . . . . . . . 471 14.1.2 人工智能安全 . . . . . . . . . . . . . . . . . . . . . . . . 474 14.2 框架安全 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 477 14.2.1 框架å‘å±•ç®€å² . . . . . . . . . . . . . . . . . . . . . . . . 478 14.2.2 æ¡†æž¶è‡ªèº«çš„å®‰å…¨æ¼æ´ž . . . . . . . . . . . . . . . . . . . . 482 14.2.3 环境接触带æ¥çš„æ¼æ´ž . . . . . . . . . . . . . . . . . . . . 483 14.3 算法安全 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 486 14.3.1 人工智能算法简介 . . . . . . . . . . . . . . . . . . . . . 486 14.3.2 äººå·¥æ™ºèƒ½ç®—æ³•çš„é²æ£’性 . . . . . . . . . . . . . . . . . . . 489 14.3.3 人工智能算法安全的分类维度 . . . . . . . . . . . . . . . 491 14.3.4 é¢å‘算法的攻击与防御 . . . . . . . . . . . . . . . . . . . 493 14.4 äººå·¥æ™ºèƒ½ç®—æ³•çš„å±€é™æ€§ . . . . . . . . . . . . . . . . . . . . . . . 495 14.4.1 æ•°æ®å±€é™æ€§ . . . . . . . . . . . . . . . . . . . . . . . . . 495 14.4.2 æˆæœ¬å±€é™æ€§ . . . . . . . . . . . . . . . . . . . . . . . . . 497 14.4.3 åè§å±€é™æ€§ . . . . . . . . . . . . . . . . . . . . . . . . . 499 14.4.4 伦ç†å±€é™æ€§ . . . . . . . . . . . . . . . . . . . . . . . . . 500 总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 å‚考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 501 ä¹ é¢˜ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 503 附录 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 504 实验:åŽé—¨æ”»å‡»ä¸Žé˜²å¾¡çš„实现(难度:889) . . . . . . . . . 504