我討厭黑盒子。我寫作本書的目的之一就是要將某些慣用的黑盒子拆解開來，公之于眾，這些黑盒子在當(dāng)今的信息安全類書籍中比比皆是。另一方面，我也不希望你勞神費(fèi)力地鉆入牛角尖去對(duì)付那些瑣碎的細(xì)枝末節(jié)(若你果真有此愛好的話，還可以移步去看相關(guān)的RFC文檔)。所以，我通常會(huì)一筆帶過那些我確信與當(dāng)前所討論主題并不相干的局部和詳情。至于在上述兩個(gè)貌似互斥的目標(biāo)之間，我是否已實(shí)現(xiàn)了合理的平衡，還有賴于讀者您的判定。
我已努力追求所提供的內(nèi)容能夠保持與時(shí)俱進(jìn)，以便可以涵蓋更加寬泛的諸多議題。我的目標(biāo)是要對(duì)每一個(gè)議題覆蓋得恰到好處，使得所提供的具體內(nèi)容剛好足夠你去領(lǐng)會(huì)相關(guān)的基本安全問題，同時(shí)又不至于陷入到無謂的細(xì)節(jié)當(dāng)中不能自拔。我也會(huì)嘗試對(duì)一些要點(diǎn)進(jìn)行不斷地強(qiáng)調(diào)和反復(fù)重申，以便那些關(guān)鍵性的信息不至于滑出你的視野。
　　我的另一個(gè)目標(biāo)是要把這些主題以一種生動(dòng)鮮活并且充滿趣味的形式呈現(xiàn)出來。如果任何計(jì)算機(jī)科學(xué)的主題都能夠做到富有樂趣并令人興奮，那么信息安全也理應(yīng)如此。安全是正在進(jìn)行時(shí)，安全還處于新聞熱議中——這個(gè)話題顯然足夠新鮮活潑，也足以激動(dòng)人心。
　　我也嘗試在這些素材當(dāng)中注入一點(diǎn)點(diǎn)的幽默感。人們說，幽默源自傷痛。所以，其中的冷暖，請(qǐng)根據(jù)我開玩笑的水平細(xì)細(xì)品味，我只能說我所引領(lǐng)的是一種令人向往的夢(mèng)幻生活。不管怎樣，大部分真正不良的俏皮話都擠在狹小的腳注里，所以倒不至于太跑題。
　　有些信息安全的教科書會(huì)堆砌大塊干燥乏味且一無是處的理論說辭。任何一本這樣的著作，讀來都會(huì)像研讀一本微積分教材那般充滿刺激和挑戰(zhàn)。另外的一些讀本所提供的內(nèi)容，則看起來就像是一種對(duì)于信息的隨機(jī)性收集，而其中的信息卻是顯然毫不相干的事實(shí)羅列。這就會(huì)給人們留下一種印象，安全實(shí)際上根本不是一個(gè)有機(jī)結(jié)合的主題。此外，還有一些書籍，會(huì)將一些高級(jí)的管理學(xué)上的老生常談匯集到一起作為主題來介紹。最后，另有一些文本和教義選擇聚焦在信息安全領(lǐng)域中與人相關(guān)的因素上面。雖然所有的這些教授方法都有其自身的定位，但我還是認(rèn)為，首先并且也最為重要的是：對(duì)于處在基礎(chǔ)層面的技術(shù)的固有優(yōu)勢(shì)和不足，安全工程師必須要有扎扎實(shí)實(shí)的理解。
　　信息安全是一個(gè)龐大的主題，而且又不像其他更為成熟的一些學(xué)科領(lǐng)域，所以對(duì)于像這樣的一本書究竟應(yīng)該包含哪些素材，或者到底如何組織才最佳，也都無法給出清晰明確的回答。我選擇圍繞以下4個(gè)主要議題來組織本書：
　　密碼學(xué)技術(shù)
　　訪問控制
　　協(xié)議
　　軟件安全
　　根據(jù)我的習(xí)慣，這些議題都是相當(dāng)有彈性的。舉個(gè)例子，在訪問控制這一議題之下，我包含了有關(guān)身份認(rèn)證和授權(quán)相關(guān)的傳統(tǒng)主題，同時(shí)也包含了諸如防火墻和CAPTCHA驗(yàn)證碼之類的非傳統(tǒng)主題。關(guān)于軟件的議題尤其靈活，其中包含了形形色色的多個(gè)主題，就像安全軟件開發(fā)、惡意軟件、軟件逆向工程以及操作系統(tǒng)之類的內(nèi)容。
　　雖然這本書是著眼于對(duì)實(shí)踐問題的研究，但我還是盡量覆蓋了足夠多的基本原理，以備你可以在這個(gè)領(lǐng)域中展開更深入的研究。而且，我也力爭(zhēng)盡可能地最小化所需要的背景知識(shí)。特別是，對(duì)于數(shù)學(xué)形式的表達(dá)，已經(jīng)控制到了最低限度(在附錄中有簡要的回顧，其中包含了本書中涉及的所有數(shù)學(xué)主題)。盡管存在這些自我強(qiáng)加的限制因素，但我仍然相信，相比除此之外的大部分安全類書籍，這本書容納了更具實(shí)質(zhì)性的密碼學(xué)技術(shù)相關(guān)內(nèi)容。此外，所需要的計(jì)算機(jī)科學(xué)知識(shí)背景也被降到了最低——入門級(jí)的計(jì)算機(jī)組成原理課程(或是與此相當(dāng)?shù)慕?jīng)驗(yàn))已經(jīng)是綽綽有余了。如果有一些編程經(jīng)驗(yàn)，再加上一點(diǎn)兒匯編語言的基本知識(shí)，將會(huì)有助于更好地理解某幾個(gè)小節(jié)的內(nèi)容，不過這都不是必需的。還有幾個(gè)小節(jié)會(huì)涉及一些網(wǎng)絡(luò)技術(shù)基礎(chǔ)知識(shí)，所以在附錄中也包含簡短的關(guān)于網(wǎng)絡(luò)技術(shù)的回顧，提供了足夠多的背景材料。
如果你是一名信息技術(shù)方面的專業(yè)人士，正在嘗試學(xué)習(xí)更多有關(guān)安全的內(nèi)容，那么我建議你完整地閱讀本書。不過，如果你想躲過那些最有可能帶來羈絆，同時(shí)又對(duì)全書的整體性閱讀不會(huì)產(chǎn)生重要影響的素材，那么你大可以放心地跳過4.5節(jié)、整個(gè)的第6章(雖然6.6節(jié)值得強(qiáng)力推薦)以及8.4節(jié)。
　　如果你正在講授一門安全課程，那么你需要認(rèn)識(shí)到，這本書所包含的素材已經(jīng)超過了一個(gè)學(xué)期的課程所能涵蓋的內(nèi)容。通常情況下，在我的本科生安全課程中，我所遵循的課程計(jì)劃就如表Q-1中給出的課程表。這個(gè)課程安排允許有充足的時(shí)間去覆蓋一些可選的主題。
　　如果認(rèn)為表Q-1中所示的課程表過于繁忙(共需40個(gè)課時(shí))，你可以砍掉第8章的8.9節(jié)，以及第12章和第13章中的某些主題。當(dāng)然，關(guān)于這個(gè)課程表，還有許多其他的調(diào)整也都是可行的。
表Q-1 推薦的課程安排
章 名學(xué) 時(shí)說 明
第1章 引言1講解全部
第2章 加密基礎(chǔ)3講解全部
第3章 對(duì)稱密鑰加密4跳過3.3.5節(jié)
第4章 公開密鑰加密4跳過4.5節(jié)
第5章 哈希函數(shù)及其他3跳過5.6節(jié)、5.7節(jié)中攻擊細(xì)節(jié)部分以及5.9.1節(jié)
第6章 高級(jí)密碼分析0跳過整章
第7章 認(rèn)證4講解全部
第8章 授權(quán)2跳過8.4.1、8.4.2和8.10節(jié)
第9章 簡單認(rèn)證協(xié)議4跳過9.4節(jié)
第10章 真實(shí)世界中的安全協(xié)議4跳過WEP或GSM部分
第11章 軟件缺陷和惡意軟件4講解全部
第12章 軟件中的安全4跳過12.3節(jié)
第13章 操作系統(tǒng)和安全3講解全部，如果時(shí)間允許的話
安全不是旁觀者的運(yùn)動(dòng)——進(jìn)行大量的課后問題練習(xí)，對(duì)于學(xué)習(xí)本書中提供的素材是非常有必要的。有許多主題，在課后的思考題中會(huì)展現(xiàn)得更加淋漓盡致，并且常常還會(huì)引入一些附加主題。歸結(jié)到一點(diǎn)，就是你解決的問題越多，你就能夠?qū)W到越多。
基于這本書的一門安全課程，對(duì)于個(gè)人和團(tuán)體項(xiàng)目而言，都會(huì)是理想的選擇。第6章的內(nèi)容對(duì)于加密類的項(xiàng)目來說就是非常好的資源，而附注的參考書目則提供了一個(gè)查找更多其他項(xiàng)目主題的出發(fā)點(diǎn)。此外，許多課后思考題本身就能很好地融入課堂討論當(dāng)中，或是非常適合作為課內(nèi)的作業(yè)安排(例如，可以參見第10章中的思考題19，或者第11章中的思考題33)。
　　這本教科書的網(wǎng)站地址是：http://WWW.cs.sjsu.edu/-stamp/infosec/。在這里，你可以找到PowerPoint幻燈片文件，在課后思考題中提到的所有文件、勘誤表等等。如果我是第一次講授這門課程，我會(huì)特別愿意使用這些PowerPoint幻燈片文件，畢竟它們已經(jīng)歷了“實(shí)戰(zhàn)”的千錘百煉，并且經(jīng)過了若干輪的反復(fù)改進(jìn)。此外，出版方還可以為教師提供一本問題解答手冊(cè)。
　　關(guān)于如何使用附錄也值得在此做些說明。附錄F.1與第8章8.9節(jié)和8.10節(jié)的內(nèi)容相關(guān)，也與整個(gè)第III部分內(nèi)容有關(guān)。即便在網(wǎng)絡(luò)技術(shù)方面有扎實(shí)的基礎(chǔ)，這部分素材也很可能仍然是值得去回顧的，因?yàn)榫W(wǎng)絡(luò)術(shù)語并不總是能夠保持一致，并且這里的內(nèi)容聚焦于安全方面。
　　附錄F.2的數(shù)學(xué)基礎(chǔ)則要負(fù)責(zé)對(duì)貫穿全書的多個(gè)不同地方提供解釋和支持�；�本的模運(yùn)算(附錄F.2.2)分別出現(xiàn)在第3章和第5章的幾個(gè)小節(jié)當(dāng)中，而相對(duì)比較高級(jí)的一些概念則是第4章和第9章的9.5節(jié)中所必需的。我已經(jīng)發(fā)現(xiàn)，我的絕大多數(shù)學(xué)生都需要重新溫習(xí)有關(guān)模運(yùn)算的基礎(chǔ)知識(shí)。其實(shí)，只需要花上大約20到30分鐘的課堂時(shí)間，就可以遍歷有關(guān)模運(yùn)算的這些素材。相比不管不顧一頭扎到公開密鑰加密技術(shù)當(dāng)中，花這點(diǎn)兒時(shí)間還是很值得的。請(qǐng)相信我。
　　在附錄F.2.3中，我們就排列置換進(jìn)行了簡要的討論，這是第3章中最為凸顯的一個(gè)概念。而基本的離散概率知識(shí)(附錄F.2.4)則在本書中多處都會(huì)遇到。最后，附錄F.2.5中提供的基礎(chǔ)線性代數(shù)理論只有在6.5節(jié)才需要用到。
　　就像任何龐大而且復(fù)雜的軟件組件必然會(huì)包含有bug一樣，這本書也不可避免地會(huì)有錯(cuò)誤。我真心地希望聽到你找出了任何的錯(cuò)誤——無論大或小。我將會(huì)在本教材的網(wǎng)站上維護(hù)一個(gè)持續(xù)更新的勘誤表。另外，如果你對(duì)這本書未來的版本有任何意見或建議，請(qǐng)不要猶豫，立刻告訴我。
　　第2版有什么新的內(nèi)容呢？
　　對(duì)于第2版來說，一個(gè)主要的變化就是，課后思考題的數(shù)量和分類都有大幅增加。除了新增的和改進(jìn)的課后思考題之外，也增加了一些新的主題，還有一些新的背景知識(shí)和素材也被包含了進(jìn)來。實(shí)際上，所有現(xiàn)存的內(nèi)容都經(jīng)過了更新和澄清，并且所有已知的錯(cuò)誤均已獲得了修正。新加入的主題的例子包括實(shí)際的RSA計(jì)時(shí)攻擊、關(guān)于僵尸網(wǎng)絡(luò)的討論以及安全證書涉及的范圍等。新增加的背景素材包括關(guān)于Enigma密碼機(jī)的一小節(jié)內(nèi)容，另外還有一部分內(nèi)容談到了經(jīng)典的“橘皮書”之安全觀。
　　信息安全是一個(gè)快速發(fā)展的領(lǐng)域，自本書第1版于2005年出版以來，業(yè)界已經(jīng)發(fā)生了不少重大的變化。但是不管怎樣，本書的基本結(jié)構(gòu)仍然保持不變。我相信本書的組織和議題的列舉在過去這5年當(dāng)中已經(jīng)受住了考驗(yàn)。正因?yàn)槿绱�，�?版在內(nèi)容上的改變更多是一種進(jìn)化，而并非革命。