網(wǎng)絡(luò)安全理論與技術(shù)

第一篇  網(wǎng)絡(luò)安全概論
第1章  信息安全保障體系  3
1.1  深層防御  3
1.1.1  健全法制  3
1.1.2  加強(qiáng)管理  5
1.1.3  完善技術(shù)  9
1.1.4  培養(yǎng)人才  15
1.2  全面保障  16
1.2.1  PDRR模型  16
1.2.2  基礎(chǔ)設(shè)施  19
1.2.3  計(jì)算環(huán)境  23
1.2.4  區(qū)域邊界  26
1.3  安全工程  34
1.3.1  發(fā)掘需求  35
1.3.2  構(gòu)建系統(tǒng)  36
1.3.3  檢測評估  38
1.3.4  風(fēng)險(xiǎn)管理  39
1.4  技術(shù)對策  40
1.4.1  知己知彼  40
1.4.2  安全服務(wù)  42
1.4.3  彈性策略  45
1.4.4  互動(dòng)策略  47
第2章  操作系統(tǒng)與安全  48
2.1  UNIX與安全  49
2.1.1  系統(tǒng)用戶命令的安全問題  49
2.1.2  系統(tǒng)用戶安全要點(diǎn)  52
2.1.3  系統(tǒng)管理員命令的安全問題  53
2.1.4  系統(tǒng)管理員安全要點(diǎn)  56
2.2  X Window與安全  58
2.2.1  為什么會(huì)出現(xiàn)X Window安全問題  58
2.2.2  X Window系統(tǒng)實(shí)用工具與安全問題  60
2.2.3  如何提高X Window的安全性  62
2.2.4  X系統(tǒng)的幾個(gè)容易被忽略的漏洞  64
2.3  Windows NT與安全  65
2.3.1  Windows NT安全簡介  65
2.3.2  Windows NT環(huán)境的設(shè)置  67
2.3.3  Windows NT的安全模型  70
2.3.4  Windows 95/98的安全性  72
2.4  Linux與安全  72
2.4.1  Linux體系結(jié)構(gòu)  72
2.4.2  Linux網(wǎng)絡(luò)接口  73
2.4.3  Linux的安全問題  77
2.4.4  基于Linux的IPSec模型  78
第3章  網(wǎng)絡(luò)系統(tǒng)與安全  81
3.1  計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)  81
3.1.1  計(jì)算機(jī)網(wǎng)絡(luò)的過去  81
3.1.2  計(jì)算機(jī)網(wǎng)絡(luò)的現(xiàn)在  82
3.1.3  計(jì)算機(jī)網(wǎng)絡(luò)的分類  85
3.1.4  計(jì)算機(jī)網(wǎng)絡(luò)存取控制方法  88
3.2  開放系統(tǒng)的參考模型及其安全體系結(jié)構(gòu)  89
3.2.1  開放系統(tǒng)互連及參考模型  90
3.2.2  開放系統(tǒng)參考模型分層的原則和優(yōu)點(diǎn)  91
3.2.3  ISO/OSI對安全性的一般描述  92
3.2.4  Novell NetWare結(jié)構(gòu)組成和安全體系結(jié)構(gòu)  93
3.3  網(wǎng)絡(luò)中常見的攻擊手段  94
3.3.1  信息收集  95
3.3.2  口令攻擊  96
3.3.3  攻擊路由器  96
3.3.4  攻擊TCP/IP  97
3.3.5  利用系統(tǒng)接收IP數(shù)據(jù)包的漏洞  98
3.3.6  電子郵件攻擊  99
3.3.7  拒絕服務(wù)攻擊  99
3.4  常用網(wǎng)絡(luò)服務(wù)的安全問題  101
3.4.1  FTP文件傳輸?shù)陌踩珕栴}  101
3.4.2  Telnet的安全問題  101
3.4.3  WWW服務(wù)的安全問題  101
3.4.4  電子郵件的安全問題  102
3.4.5  Usenet新聞的安全問題  102
3.4.6  DNS服務(wù)的安全問題  102
3.4.7  網(wǎng)絡(luò)管理服務(wù)的安全問題  102
3.4.8  網(wǎng)絡(luò)文件系統(tǒng)的安全問題  103
第4章  數(shù)據(jù)庫系統(tǒng)與安全  104
4.1  數(shù)據(jù)庫系統(tǒng)基礎(chǔ)  104
4.1.1  數(shù)據(jù)庫系統(tǒng)概念  104
4.1.2  管理信息系統(tǒng)  105
4.1.3  關(guān)系數(shù)據(jù)庫  109
4.1.4  數(shù)據(jù)庫管理系統(tǒng)的體系結(jié)構(gòu)  112
4.2  數(shù)據(jù)庫系統(tǒng)的安全  116
4.2.1  數(shù)據(jù)庫的安全策略  116
4.2.2  數(shù)據(jù)庫加密  117
4.2.3  數(shù)據(jù)庫的安全性要求  121
4.2.4  安全數(shù)據(jù)庫的設(shè)計(jì)原則  123
4.3  Web數(shù)據(jù)庫的安全  124
4.3.1  Web與HTTP協(xié)議的安全  124
4.3.2  CGI程序的安全  126
4.3.3  Java與JavaScript的安全  128
4.3.4  ActiveX的安全  129
4.3.5  Cookie的安全  130
4.4  Oracle數(shù)據(jù)庫的安全  131
4.4.1  Oracle數(shù)據(jù)庫安全功能概述  131
4.4.2  Oracle數(shù)據(jù)庫的安全管理方法  131
4.4.3  Oracle數(shù)據(jù)庫的并發(fā)控制  134
第二篇  安全網(wǎng)管
第5章  防火墻  139
5.1  防火墻技術(shù)概論  139
5.1.1  防火墻的優(yōu)缺點(diǎn)  139
5.1.2  防火墻的包過濾技術(shù)  141
5.1.3  防火墻的應(yīng)用層網(wǎng)絡(luò)技術(shù)(代理技術(shù))  146
5.1.4  防火墻的電路級網(wǎng)關(guān)技術(shù)  148
5.1.5  防火墻的狀態(tài)檢查技術(shù)  150
5.1.6  防火墻的地址翻譯技術(shù)  150
5.1.7  防火墻的其他相關(guān)技術(shù)  151
5.2  防火墻的體系結(jié)構(gòu)  152
5.2.1  包過濾型防火墻  152
5.2.2  雙宿主機(jī)型防火墻  154
5.2.3  屏蔽主機(jī)型防火墻  155
5.2.4  屏蔽子網(wǎng)型防火墻  156
5.2.5  其他防火墻體系結(jié)構(gòu)  157
5.3  防火墻過濾規(guī)則的優(yōu)化  157
5.3.1  基于統(tǒng)計(jì)分析的動(dòng)態(tài)過濾規(guī)則優(yōu)化  157
5.3.2  基于統(tǒng)計(jì)分析的自適應(yīng)動(dòng)態(tài)過濾規(guī)則優(yōu)化  160
5.3.3  基于統(tǒng)計(jì)分析的動(dòng)態(tài)過濾規(guī)則分段優(yōu)化  161
5.3.4  具有安全檢查特性的基于統(tǒng)計(jì)分析的動(dòng)態(tài)過濾規(guī)則優(yōu)化  162
5.3.5  防火墻過濾規(guī)則動(dòng)態(tài)優(yōu)化的性能分析與仿真  165
5.4  基于操作系統(tǒng)內(nèi)核的包過濾防火墻系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)  168
5.4.1  預(yù)備知識(shí)  168
5.4.2  基于Windows 9x的NDIS內(nèi)核模式驅(qū)動(dòng)程序的實(shí)現(xiàn)  170
5.4.3  基于Windows NT的NDIS內(nèi)核模式驅(qū)動(dòng)程序的實(shí)現(xiàn)  171
5.5  PC防火墻的研究與實(shí)現(xiàn)  173
5.5.1  問題的提出  173
5.5.2  PC的安全問題  173
5.5.3  PC防火墻及其功能需求  174
5.5.4  PC防火墻的一種實(shí)現(xiàn)方案  175
第6章  入侵檢測  182
6.1  基礎(chǔ)知識(shí)  182
6.1.1  歷史沿革與基本概念  182
6.1.2  入侵檢測系統(tǒng)的體系結(jié)構(gòu)  185
6.1.3  基于知識(shí)和行為的入侵檢測  189
6.1.4  入侵檢測系統(tǒng)的信息源  193
6.2  入侵檢測標(biāo)準(zhǔn)  197
6.2.1  入侵檢測數(shù)據(jù)交換標(biāo)準(zhǔn)化  197
6.2.2  通用入侵檢測框架  199
6.2.3  入侵檢測數(shù)據(jù)交換格式  204
6.2.4  通用入侵檢測框架的語言  206
6.3  入侵檢測系統(tǒng)模型  209
6.3.1  基于系統(tǒng)行為分類的檢測模型  209
6.3.2  面向數(shù)據(jù)處理的檢測模型  211
6.3.3  入侵檢測系統(tǒng)和算法的性能分析  212
6.3.4  入侵檢測系統(tǒng)的機(jī)制協(xié)作  214
6.4  基于進(jìn)程行為的入侵檢測  217
6.4.1  基于神經(jīng)網(wǎng)絡(luò)的行為分類器  218
6.4.2  基于概率統(tǒng)計(jì)的貝葉斯分類器  220
6.4.3  基于進(jìn)程行為分類器的入侵檢測  222
6.4.4  基于進(jìn)程檢測器的入侵檢測系統(tǒng)原型  225
第7章  安全協(xié)議  226
7.1  IPSec協(xié)議  226
7.1.1  IPSec體系結(jié)構(gòu)  227
7.1.2  IPSec的實(shí)現(xiàn)途徑  236
7.1.3  IPSec安全性分析  238
7.1.4  一種新的分層IPSec體系結(jié)構(gòu)  245
7.2  密鑰交換協(xié)議  255
7.2.1  ISAKMP的消息構(gòu)建方式  255
7.2.2  ISAKMP的載荷類型  256
7.2.3  安全聯(lián)盟的協(xié)商  256
7.2.4  建立ISAKMP SA  257
7.2.5  IKE的消息交換流程  259
7.3  多方安全協(xié)議  263
7.3.1  (t,n)門限方案  263
7.3.2  Pinch在線機(jī)密分享方案及其弱點(diǎn)分析  264
7.3.3  單一信息廣播的安全協(xié)議  268
7.3.4  多個(gè)信息廣播的安全協(xié)議  269
7.4  公平電子合同  270
7.4.1  背景知識(shí)  270
7.4.2  兩方公平電子合同  271
7.4.3  多方公平電子合同  274
第8章  安全網(wǎng)管  278
8.1  安全網(wǎng)管系統(tǒng)架構(gòu)  278
8.1.1  多層次安全防護(hù)  278
8.1.2  安全網(wǎng)管系統(tǒng)  279
8.1.3  系統(tǒng)部署  280
8.1.4  功能特點(diǎn)  281
8.2  網(wǎng)絡(luò)控制代理  281
8.2.1  網(wǎng)絡(luò)控制代理的總體設(shè)計(jì)  281
8.2.2  netfilter架構(gòu)  282
8.2.3  攻擊防范  284
8.2.4  功能模塊  285
8.3  網(wǎng)絡(luò)檢測代理  286
8.3.1  網(wǎng)絡(luò)檢測代理的總體設(shè)計(jì)  286
8.3.2  網(wǎng)絡(luò)數(shù)據(jù)的收集  287
8.3.3  檢測的方法、機(jī)制、策略和流程  288
8.3.4  功能模塊  291
8.4  主機(jī)安全代理  292
8.4.1  主機(jī)安全代理的總體設(shè)計(jì)  292
8.4.2  虛擬設(shè)備驅(qū)動(dòng)程序技術(shù)  294
8.4.3  主要功能的實(shí)現(xiàn)  295
8.4.4  功能模塊  297
8.5  管理中心  299
8.5.1  功能和需求分析  299
8.5.2  模塊組成  299
8.6  系統(tǒng)自身安全  301
8.6.1  對付攻擊  301
8.6.2  安全通信  302
8.6.3  設(shè)計(jì)原則  305
8.6.4  應(yīng)用示例  306
第三篇  安全支付
第9章  電子支付  311
9.1  安全電子交易  311
9.1.1  電子支付系統(tǒng)模型  311
9.1.2  數(shù)字貨幣  316
9.1.3  電子支付系統(tǒng)(EPS)  317
9.1.4  電子數(shù)據(jù)交換  318
9.1.5  通用電子支付系統(tǒng)(UEPS)  319
9.2  無匿名性的電子支付系統(tǒng)  320
9.2.1  First Virtual  320
9.2.2  O-card  322
9.2.3  iKP  323
9.2.4  SET  324
9.3  無條件匿名性的電子支付系統(tǒng)  328
9.3.1  匿名需求  328
9.3.2  盲簽名技術(shù)  329
9.3.3  Ecash  333
9.3.4  Brands  334
9.4  匿名性受控的電子支付系統(tǒng)  336
9.4.1  公平盲簽名  337
9.4.2  公平的離線電子現(xiàn)金系統(tǒng)  338
9.4.3  一種在線的公平支付系統(tǒng)  340
9.4.4  基于可信方標(biāo)記的電子現(xiàn)金系統(tǒng)  342
9.4.5  NetCash  343
第10章  電子現(xiàn)金  345
10.1  基礎(chǔ)知識(shí)  345
10.1.1  歷史與現(xiàn)狀  345
10.1.2  電子現(xiàn)金的基本流程  349
10.1.3  電子現(xiàn)金的特點(diǎn)  350
10.1.4  電子現(xiàn)金關(guān)鍵技術(shù)  350
10.2  基于零知識(shí)證明的電子現(xiàn)金模型  350
10.2.1  基本概念及協(xié)議  351
10.2.2  零知識(shí)證明簡介  353
10.2.3  基于零知識(shí)證明的電子現(xiàn)金模型  354
10.2.4  基于RSA盲簽名與二次剩余的電子現(xiàn)金方案  358
10.3  比特承諾及其應(yīng)用  361
10.3.1  高效比特承諾方案  362
10.3.2  基于比特承諾的身份認(rèn)證方案  365
10.3.3  基于比特承諾的部分盲簽名方案  367
10.3.4  基于部分盲簽名的電子現(xiàn)金  371
10.4  高效電子現(xiàn)金方案設(shè)計(jì)  375
10.4.1  高效可分電子現(xiàn)金方案  375
10.4.2  單項(xiàng)可分電子現(xiàn)金方案  381
第11章  安全微支付  386
11.1  微支付機(jī)制  386
11.1.1  基于公鑰機(jī)制的微支付系統(tǒng)  387
11.1.2  基于宏支付的微支付系統(tǒng)  388
11.1.3  基于共享密鑰機(jī)制的微支付系統(tǒng)  389
11.1.4  基于散列鏈的微支付系統(tǒng)  392
11.1.5  基于概率機(jī)制的微支付系統(tǒng)  395
11.1.6  基于散列沖突的微支付系統(tǒng)  397
11.2  基于散列鏈的微支付系統(tǒng)  398
11.2.1  基于PayWord的WWW微支付模型  398
11.2.2  基于散列鏈的防欺詐微支付系統(tǒng)  402
11.3  分布式環(huán)境中的微支付系統(tǒng)  406
11.3.1  分布式微支付協(xié)議  406
11.3.2  基于微支付的反垃圾郵件機(jī)制  409
11.4  微支付在無線環(huán)境中的應(yīng)用  415
11.4.1  移動(dòng)增值服務(wù)支付  415
11.4.2  微支付在移動(dòng)增值服務(wù)認(rèn)證和支付中的應(yīng)用  416
11.4.3  微支付在移動(dòng)IP認(rèn)證和支付中的應(yīng)用  418
第12章  網(wǎng)絡(luò)銀行  425
12.1  網(wǎng)絡(luò)銀行概述  425
12.1.1  網(wǎng)絡(luò)銀行的發(fā)展  425
12.1.2  網(wǎng)絡(luò)銀行的實(shí)現(xiàn)方式  426
12.1.3  網(wǎng)絡(luò)銀行的安全性需求  429
12.1.4  網(wǎng)絡(luò)銀行的結(jié)構(gòu)與功能  430
12.2  基于電子支票的網(wǎng)絡(luò)銀行  431
12.2.1  基于對稱密碼體制的電子支票  431
12.2.2  CNOS多簽名體制  434
12.2.3  基于CNOS多簽名的電子支票  438
12.3  基于電子現(xiàn)金的網(wǎng)絡(luò)銀行  441
12.3.1  性能要求  441
12.3.2  不可追蹤性與盲簽名  442
12.3.3  基于OSS的盲簽名體制  445
12.4  網(wǎng)絡(luò)銀行實(shí)例  448
12.4.1  網(wǎng)絡(luò)銀行軟件結(jié)構(gòu)  448
12.4.2  網(wǎng)絡(luò)銀行安全機(jī)制  450
12.4.3  安全網(wǎng)絡(luò)證券交易系統(tǒng)  453
第四篇  安全通信
第13章  安全固定網(wǎng)電信系統(tǒng)  459
13.1  電話防火墻  460
13.1.1  單機(jī)電話防火墻概述  460
13.1.2  單機(jī)電話防火墻的關(guān)鍵技術(shù)  461
13.1.3  小型交換機(jī)防火墻  463
13.2  聯(lián)機(jī)防火墻的單片機(jī)設(shè)計(jì)與實(shí)現(xiàn)  465
13.2.1  ATMEL AT90S4433單片機(jī)及其開發(fā)系統(tǒng)  465
13.2.2  聯(lián)機(jī)電話防火墻的功能  468
13.2.3  聯(lián)機(jī)電話防火墻的原理及其實(shí)現(xiàn)  469
13.3  電信固定網(wǎng)虛擬專網(wǎng)  471
13.3.1  電信固定網(wǎng)VPN的體系結(jié)構(gòu)  471
13.3.2  一種基于DSP的電信固定網(wǎng)VPN(替音電話)  472
13.3.3  替音電話算法的仿真結(jié)果  476
13.4  電信固定網(wǎng)入侵檢測  483
13.4.1  電信固定網(wǎng)的常見攻擊手段  484
13.4.2  電話盜用攻擊的檢測  485
13.4.3  搭線竊聽攻擊的檢測  487
第14章  安全移動(dòng)通信系統(tǒng)  489
14.1  GSM安全機(jī)制  489
14.1.1  移動(dòng)通信面臨的安全威脅  489
14.1.2  GSM系統(tǒng)的安全機(jī)制  490
14.1.3  GSM系統(tǒng)的安全缺陷  492
14.2  GPRS安全機(jī)制  492
14.2.1  GPRS系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)  492
14.2.2  GPRS系統(tǒng)的安全機(jī)制  493
14.2.3  GPRS系統(tǒng)的安全缺陷  495
14.3  3G安全機(jī)制  496
14.3.1  安全結(jié)構(gòu)  497
14.3.2  網(wǎng)絡(luò)接入安全機(jī)制  499
14.3.3  接入鏈路數(shù)據(jù)完整性  503
14.3.4  接入鏈路數(shù)據(jù)保密性  504
14.3.5  密鑰管理  506
第15章  安全短信系統(tǒng)  511
15.1  短消息服務(wù)與安全需求  511
15.1.1  短消息服務(wù)的系統(tǒng)結(jié)構(gòu)  511
15.1.2  短消息服務(wù)的安全需求與現(xiàn)狀  512
15.1.3  SIM卡執(zhí)行環(huán)境  513
15.2  基于短消息的移動(dòng)電子商務(wù)安全協(xié)議  515
15.2.1  基于短消息的移動(dòng)電子商務(wù)安全需求  515
15.2.2  基于短消息的身份認(rèn)證協(xié)議  516
15.2.3  移動(dòng)電子商務(wù)的反拒認(rèn)協(xié)議  522
15.3  基于SIM卡的電子支付協(xié)議  530
15.3.1  設(shè)計(jì)目的  530
15.3.2  協(xié)議內(nèi)容  531
15.3.3  協(xié)議分析  542
15.4  短消息應(yīng)用系統(tǒng)實(shí)例  543
15.4.1  業(yè)務(wù)簡介  543
15.4.2  系統(tǒng)結(jié)構(gòu)  543
15.4.3  應(yīng)用系統(tǒng)的實(shí)現(xiàn)  544
第16章  安全郵件系統(tǒng)  550
16.1  電子郵件系統(tǒng)簡介  550
16.1.1  電子郵件系統(tǒng)的收發(fā)機(jī)制  550
16.1.2  電子郵件的一般格式  551
16.2  電子郵件系統(tǒng)的安全問題  552
16.2.1  電子郵件的安全需求  552
16.2.2  基于應(yīng)用層的安全電子郵件  553
16.2.3  基于網(wǎng)絡(luò)層的安全電子郵件  553
16.3  安全電子郵件系統(tǒng)實(shí)例  554
16.3.1  IP包的檢測流程  554
16.3.2  IP包傳送的不對稱性  555
16.3.3  TCP段的重傳機(jī)制  556
16.3.4  加密后的IP包數(shù)據(jù)的編碼問題  557
16.3.5  E-mail發(fā)送失敗的一個(gè)例子  557
16.3.6  發(fā)送郵件時(shí)TCP段序列號(hào)的修正方案  557
16.3.7  Base64編碼  562
16.3.8  郵件接收時(shí)的TCP段序列號(hào)處理方案  563
16.3.9  密鑰管理  565
參考文獻(xiàn)  567