寬帶網絡與設備安全

第1部分  寬帶網絡安全的基本原理
第1章  寬帶通信概述  1
1.1  歷史回顧  2
1.2  現狀  3
1.3  什么是寬帶接入  3
1.4  現有的寬帶接入技術  4
1.4.1  電纜  4
1.4.2  數字用戶線(DSL)  5
1.4.3  固定無線  5
1.4.4  雙向衛(wèi)星  6
1.5  寬帶的未來  6
1.6  寬帶網絡安全的重要性  7
1.6.1  安全和一般用戶  8
1.6.2  保證網絡基礎結構  10
第2章  選擇正確的工具：安全性服務和密碼術  12
2.1  安全防衛(wèi)服務機制  12
2.1.1  機密性  12
2.1.2  完整性  13
2.1.3  鑒定  13
2.1.4  認可(Nonrepudiation)  13
2.1.5  授權和訪問控制  14
2.1.6  有效性  15
2.2  密碼系統(tǒng)的基礎  15
2.2.1  隨機數產生  16
2.2.2  對稱密鑰密碼系統(tǒng)  18
2.2.3  消息摘要器  27
2.2.4  公開密鑰加密  30
2.2.5  公開密鑰密碼系統(tǒng)標準  36
2.2.6  聯(lián)邦信息處理標準和認證  39
2.3  存儲和轉寄與基于對話時間的加密  40
2.4  選擇適當的加密方法  40
2.4.1  使用流密碼  41
2.4.2  使用塊密碼  41
2.4.3  使用消息摘要  42
2.4.4  使用公開密鑰算法  43
2.4.5  互用性注意  43
2.4.6  過猶不及的安全  43
第3章  安全性的需要：網絡威脅和防護措施  46
3.1  Who，What，Why？攻擊和它們的動機  46
3.2  什么時候？“網絡管理者數小時前回家了......”  49
3.3  哪里？因特網是個大地方！  50
3.3.1  寬帶接入與撥號接入  50
3.4  一般攻擊的分類  51
3.4.1  被動攻擊與主動攻擊  51
3.4.2  偷聽  52
3.4.3  假冒  55
3.4.4  拒絕服務  57
3.4.5  數據修改  58
3.4.6  數據包重放  59
3.4.7  路由攻擊  60
3.5  TCP/IP特殊攻擊  63
3.5.1  地址欺騙  63
3.5.2  TCP序號預測  64
3.5.3  對話期劫持  65
3.5.4  地址欺騙和對話期劫持攻擊的防護措施  68
3.5.5  TCP/IP拒絕服務  68
3.5.6  IP和ICMP碎片  70
3.6  攻擊密碼系統(tǒng)  72
3.6.1  密碼分析  72
3.6.2  不牢固的密鑰的測試  73
3.6.3  塊重放  74
3.6.4  中間人攻擊  74
3.6.5  反攻擊加密機制的措施  75
3.6.6  社會工程和Dumpster Diving  76
第4章  寬帶網絡技術  78
4.1  寬帶起源  78
4.2  ISO/OSI參考模型  79
4.2.1  第7層——應用層  80
4.2.2  第6層——表示層  80
4.2.3  第5層——會話層  80
4.2.4  第4層——傳輸層  81
4.2.5  第3層——網絡層  81
4.2.6  第2層——數據鏈路層  81
4.2.7  第1層——物理層  82
4.3  TCP/IP參考模型  82
4.4  數據封裝  83
4.5  通信協(xié)議的特征  85
4.6  服務提供商  86
4.6.1  電纜  87
4.6.2  數字用戶線  90
4.6.3  固定無線技術  93
4.6.4  雙向衛(wèi)星通信  95
4.7  服務質量  97
4.7.1  QoS參數  98
4.7.2  QoS的層次  101
4.7.3  爭論：信元中繼與數據包交換標準  101
4.7.4  IP網絡上的QoS模型  103
第5章  現有的寬帶安全標準和規(guī)范的概述  108
5.1  標準與標準化的任務  108
5.1.1  ANSI(美國國家標準協(xié)會)  108
5.1.2  BWIF(寬帶無線電國際論壇)  109
5.1.3  CableLabs  109
5.1.4  DVB(數字視頻廣播)方案  109
5.1.5  DSL論壇  109
5.1.6  ETSI(歐洲電信標準學會)  109
5.1.7  IETF(互聯(lián)網工程任務組)  109
5.1.8  ITU(國際電信聯(lián)盟)  110
5.1.9  IEEE(電氣及電子工程師協(xié)會)  110
5.1.10  ISO(國際標準化組織)  110
5.2  現有的寬帶安全標準和規(guī)范  110
5.2.1  DOCSIS1.0基線保密接口  111
5.2.2  DOCSIS1.1基線保密附加接口  112
5.2.3  PacketCable安全規(guī)范  113
5.2.4  H.235安全標準  113
5.2.5  DVB多媒體內部平臺  116
5.2.6  開放式電纜復制保護系統(tǒng)  116
5.3  已往的安全性錯誤——一個802.11WEP加密的實例  118
第2部分  寬帶安全性設計準則
第6章  現有的網絡安全協(xié)議  123
6.1  IPSec  124
6.1.1  傳輸和隧道模式  125
6.1.2  安全性締合  128
6.1.3  安全策略數據庫  129
6.1.4  安全關聯(lián)數據庫  130
6.1.5  報頭校驗  131
6.1.6  封裝安全有效載荷  135
6.1.7  互聯(lián)網密鑰交換  138
6.2  SSL和TLS  142
6.2.1  SSL簡史  143
6.2.2  SSL的詳細內容  143
6.3  應用層——KERBEROS  155
6.3.1  Kerberos校驗  156
6.3.2  交叉作用域校驗  158
6.3.3  用Kerberos的公共密鑰校驗  159
第7章  設置安全服務機制  161
7.1  綁定安全服務機制  161
7.2  哪一個網絡層  162
7.2.1  應用透明性  162
7.2.2  有效范圍  166
7.2.3  性能  168
7.2.4  現行安全協(xié)議的比較  168
7.3  安全協(xié)議的實現  169
7.4  基于主機的安全和安全網關  171
7.4.1  有效范圍  171
7.4.2  實現、配置和維護  174
7.4.3  大量主機或應用之間的通信安全  175
7.4.4  不同的信息流  175
7.4.5  用戶上下文  175
7.4.6  與已有安全政策的協(xié)調  176
7.5  對加密和協(xié)議報頭的總結  176
第8章  安全副效應  178
8.1  網絡性能和QoS  178
8.2  插入設備帶來的限制  179
8.3  密碼和性能  180
8.3.1  選擇加密算法要考慮的因素  180
8.3.2  專用密碼硬件  188
8.3.3  加密和壓縮  188
8.4  安全協(xié)議的調整  189
8.5  關于改善實時多媒體應用安全的補充提示  190
8.6  可處理性  190
第3部分  實例學習
第9章  保障寬帶互聯(lián)網接入：DOCSIS BPI+  195
9.1  BPI+概述  196
9.2  DOCSIS MAC層幀格式  198
9.3  基線私有密鑰管理協(xié)議(BPKM)  200
9.3.1  授權的SM  200
9.3.2  TEK SM  203
9.4  BPI+密鑰加密，信息流加密以及認證算法  206
9.5  DOCSIS1.1 BPI+ X.509認證用法和PKI架構  207
9.5.1  BPI+電纜調制解調器的認證架構  208
9.5.2  BPI+認證格式  212
9.5.3  CMTS的合法認證  215
9.5.4  認證取消和空表單  216
9.6  TFTP配置文件  216
9.7  正版軟件的升級認證  217
第10章  保護實時的多媒體：PacketCable的安全措施  222
10.1  PacketCable安全概述  226
10.2  IPSec  229
10.2.1  互聯(lián)網密鑰交換  231
10.2.2  SNMPv3安全機制  232
10.3  Kerberos在PacketCable中的用法  232
10.3.1  IPSec和SNMPv3的Kerberized密鑰管理  235
10.3.2  交叉域操作  238
10.4  保護RTP和RTCP  239
10.5  PacketCable安全證書的用法和PKI架構  244
10.6  物理保護密鑰資料  253
10.7  保護軟件升級  254
第11章  安全的交互式電視：DVB MHP的安全  255
11.1  多媒體平臺  255
11.2  MHP安全性概述  257
11.3  鑒定消息  258
11.3.1  散列文件  259
11.3.2  簽名文件  261
11.3.3  證書文件  262
11.3.4  對象的證明過程  263
11.4  MHP X.509的鑒定使用和PKI層次系統(tǒng)  265
11.4.1  基礎證書的存儲和管理  266
11.4.2  證據的撤消  267
11.5  應用程序安全策略  267
11.6  返回信道的安全性  269
11.7  被支持的Java安全類  270
第12章  設計方案  272
12.1  起始設計步驟  272
12.1.1  步驟1：識別你的資產并估計它們的值  272
12.1.2  步驟2：識別威脅  273
12.1.3  步驟3：選擇適當的安全服務  274
12.1.4  步驟4：選擇合適的安全機制  275
12.1.5  步驟5：確定是否需要安全服務機制  276
12.1.6  步驟6：選擇網絡層  276
12.1.7  步驟7：在基于主機的安全和安全網關之間進行選擇  276
12.1.8  步驟8：識別現有的滿足你要求的安全協(xié)議  277
12.1.9  步驟9：設計新的協(xié)議  278
12.2  設計方案實例  278
12.2.1  方案1：有缺陷的設計  278
12.2.2  方案2：以此為基礎設計安全方案  284
附錄A  TCP/IP入門  293
A.1  封裝(Encapsulation)  294
A.2  Internet協(xié)議  295
A.2.1  IP數據報頭  296
A.2.2  IP路由  299
A.3  地址解析協(xié)議和反向地址解析協(xié)議  300
A.4  因特網控制報文協(xié)議  301
A.5  傳輸控制協(xié)議  303
A.5.1  TCP報頭  305
A.5.2  窗口  306
A.6  用戶數據報協(xié)議  307
附錄B  數字證書和公開密鑰基本結構  309
B.1  數字證書  309
B.1.1  證書類型和分類  310
B.1.2  數字證書內容  311
B.1.3  數字證書確認  314
B.1.4  證書注銷  315
B.2  公開密鑰基本結構  317
B.2.1  CA操作  317
B.2.2  信任模型  318
B.2.3  路徑發(fā)現和確認  322