第1部分 宽带网络安全的基本原理 1
第1章 宽带通信概述 1
1.1 历史回顾 2
1.2 现状 3
1.3 什么是宽带接入 3
1.4 现有的宽带接入技术 4
1.4.1 电缆 4
1.4.2 数字用户线(DSL) 5
1.4.3 固定无线 5
1.4.4 双向卫星 6
1.5 宽带的未来 6
1.6 宽带网络安全的重要性 7
1.6.1 安全和一般用户 8
1.6.2 保证网络基础结构 10
第2章 选择正确的工具:安全性服务和密码术 12
2.1 安全防卫服务机制 12
2.1.1 机密性 12
2.1.2 完整性 13
2.1.3 鉴定 13
2.1.4 认可(Nonrepudiation) 13
2.1.5 授权和访问控制 14
2.1.6 有效性 15
2.2 密码系统的基础 15
2.2.1 随机数产生 16
2.2.2 对称密钥密码系统 18
2.2.3 消息摘要器 27
2.2.4 公开密钥加密 30
2.2.5 公开密钥密码系统标准 36
2.2.6 联邦信息处理标准和认证 39
2.3 存储和转寄与基于对话时间的加密 40
2.4 选择适当的加密方法 40
2.4.1 使用流密码 41
2.4.2 使用块密码 41
2.4.3 使用消息摘要 42
2.4.4 使用公开密钥算法 43
2.4.5 互用性注意 43
2.4.6 过犹不及的安全 43
第3章 安全性的需要:网络威胁和防护措施 46
3.1 Who,What,Why?攻击和它们的动机 46
3.2 什么时候?“网络管理者数小时前回家了……” 49
3.3.1 宽带接入与拨号接入 50
3.3 哪里?因特网是个大地方! 50
3.4 一般攻击的分类 51
3.4.1 被动攻击与主动攻击 51
3.4.2 偷听 52
3.4.3 假冒 55
3.4.4 拒绝服务 57
3.4.5 数据修改 58
3.4.6 数据包重放 59
3.4.7 路由攻击 60
3.5 TCP/IP特殊攻击 63
3.5.1 地址欺骗 63
3.5.2 TCP序号预测 64
3.5.3 对话期劫持 65
3.5.5 TCP/IP拒绝服务 68
3.5.4 地址欺骗和对话期劫持攻击的防护措施 68
3.5.6 IP和ICMP碎片 70
3.6 攻击密码系统 72
3.6.1 密码分析 72
3.6.2 不牢固的密钥的测试 73
3.6.3 块重放 74
3.6.4 中间人攻击 74
3.6.5 反攻击加密机制的措施 75
3.6.6 社会工程和Dumpster Diving 76
第4章 宽带网络技术 78
4.1 宽带起源 78
4.2 ISO/OSI参考模型 79
4.2.3 第5层——会话层 80
4.2.2 第6层——表示层 80
4.2.1 第7层——应用层 80
4.2.4 第4层——传输层 81
4.2.5 第3层——网络层 81
4.2.6 第2层——数据链路层 81
4.2.7 第1层——物理层 82
4.3 TCP/IP参考模型 82
4.4 数据封装 83
4.5 通信协议的特征 85
4.6 服务提供商 86
4.6.1 电缆 87
4.6.2 数字用户线 90
4.6.3 固定无线技术 93
4.6.4 双向卫星通信 95
4.7 服务质量 97
4.7.1 QoS参数 98
4.7.3 争论:信元中继与数据包交换标准 101
4.7.2 QoS的层次 101
4.7.4 IP网络上的QoS模型 103
第5章 现有的宽带安全标准和规范的概述 108
5.1 标准与标准化的任务 108
5.1.1 ANSI(美国国家标准协会) 108
5.1.2 BWIF(宽带无线电国际论坛) 109
5.1.3 CableLabs 109
5.1.4 DVB(数字视频广播)方案 109
5.1.5 DSL论坛 109
5.1.6 ETSI(欧洲电信标准学会) 109
5.1.7 IETF(互联网工程任务组) 109
5.1.10 ISO(国际标准化组织) 110
5.2 现有的宽带安全标准和规范 110
5.1.9 IEEE(电气及电子工程师协会) 110
5.1.8 ITU(国际电信联盟) 110
5.2.1 DOCSIS1.0基线保密接口 111
5.2.2 DOCSIS1.1基线保密附加接口 112
5.2.3 PacketCable安全规范 113
5.2.4 H.235安全标准 113
5.2.5 DVB多媒体内部平台 116
5.2.6 开放式电缆复制保护系统 116
5.3 已往的安全性错误——一个802.11WEP加密的实例 118
第2部分 宽带安全性设计准则 123
第6章 现有的网络安全协议 123
6.1 IPSec 124
6.1.1 传输和隧道模式 125
6.1.2 安全性缔合 128
6.1.3 安全策略数据库 129
6.1.4 安全关联数据库 130
6.1.5 报头校验 131
6.1.6 封装安全有效载荷 135
6.1.7 互联网密钥交换 138
6.2 SSL和TLS 142
6.2.1 SSL简史 143
6.2.2 SSL的详细内容 143
6.3 应用层——KERBEROS 155
6.3.1 Kerberos校验 156
6.3.2 交叉作用域校验 158
6.3.3 用Kerberos的公共密钥校验 159
第7章 设置安全服务机制 161
7.1 绑定安全服务机制 161
7.2.1 应用透明性 162
7.2 哪一个网络层 162
7.2.2 有效范围 166
7.2.3 性能 168
7.2.4 现行安全协议的比较 168
7.3 安全协议的实现 169
7.4 基于主机的安全和安全网关 171
7.4.1 有效范围 171
7.4.2 实现、配置和维护 174
7.4.3 大量主机或应用之间的通信安全 175
7.4.4 不同的信息流 175
7.4.5 用户上下文 175
7.4.6 与已有安全政策的协调 176
7.5 对加密和协议报头的总结 176
8.1 网络性能和QoS 178
第8章 安全副效应 178
8.2 插入设备带来的限制 179
8.3 密码和性能 180
8.3.1 选择加密算法要考虑的因素 180
8.3.2 专用密码硬件 188
8.3.3 加密和压缩 188
8.4 安全协议的调整 189
8.5 关于改善实时多媒体应用安全的补充提示 190
8.6 可处理性 190
第3部分 实例学习 195
第9章 保障宽带互联网接入:DOCSIS BPI+ 195
9.1 BPI+概述 196
9.2 DOCSIS MAC层帧格式 198
9.3.1 授权的SM 200
9.3 基线私有密钥管理协议(BPKM) 200
9.3.2 TEK SM 203
9.4 BPI+密钥加密,信息流加密以及认证算法 206
9.5 DOCSIS1.1 BPI+X.509认证用法和PKI架构 207
9.5.1 BPI+电缆调制解调器的认证架构 208
9.5.2 BPI+认证格式 212
9.5.3 CMTS的合法认证 215
9.5.4 认证取消和空表单 216
9.6 TFTP配置文件 216
9.7 正版软件的升级认证 217
第10章 保护实时的多媒体:PacketCable的安全措施 222
10.1 PacketCable安全概述 226
10.2 IPSec 229
10.2.1 互联网密钥交换 231
10.3 Kerberos在PacketCable中的用法 232
10.2.2 SNMPv3安全机制 232
10.3.1 IPSec和SNMPv3的Kerberized密钥管理 235
10.3.2 交叉域操作 238
10.4 保护RTP和RTCP 239
10.5 PacketCable安全证书的用法和PKI架构 244
10.6 物理保护密钥资料 253
10.7 保护软件升级 254
第11章 安全的交互式电视:DVB MHP的安全 255
11.1 多媒体平台 255
11.2 MHP安全性概述 257
11.3 鉴定消息 258
11.3.1 散列文件 259
11.3.2 签名文件 261
11.3.3 证书文件 262
11.3.4 对象的证明过程 263
11.4 MHP X.509的鉴定使用和PKI层次系统 265
11.4.1 基础证书的存储和管理 266
11.4.2 证据的撤消 267
11.5 应用程序安全策略 267
11.6 返回信道的安全性 269
11.7 被支持的Java安全类 270
第12章 设计方案 272
12.1 起始设计步骤 272
12.1.1 步骤1:识别你的资产并估计它们的值 272
12.1.2 步骤2:识别威胁 273
12.1.3 步骤3:选择适当的安全服务 274
12.1.4 步骤4:选择合适的安全机制 275
12.1.7 步骤7:在基于主机的安全和安全网关之间进行选择 276
12.1.6 步骤6:选择网络层 276
12.1.5 步骤5:确定是否需要安全服务机制 276
12.1.8 步骤8:识别现有的满足你要求的安全协议 277
12.1.9 步骤9:设计新的协议 278
12.2 设计方案实例 278
12.2.1 方案1:有缺陷的设计 278
12.2.2 方案2:以此为基础设计安全方案 284
附录A TCP/IP入门 293
A.1 封装(Encapsulation) 294
A.2 Internet协议 295
A.2.1 IP数据报头 296
A.2.2 IP路由 299
A.3 地址解析协议和反向地址解析协议 300
A.4 因特网控制报文协议 301
A.5 传输控制协议 303
A.5.1 TCP报头 305
A.5.2 窗口 306
A.6 用户数据报协议 307
附录B 数字证书和公开密钥基本结构 309
B.1 数字证书 309
B.1.1 证书类型和分类 310
B.1.2 数字证书内容 311
B.1.3 数字证书确认 314
B.1.4 证书注销 315
B.2 公开密钥基本结构 317
B.2.1 CA操作 317
B.2.2 信任模型 318
B.2.3 路径发现和确认 322