计算机网络安全

内容简介

《重点大学信安全专业规划系列教材：计算机网络安全》全面地介绍了计算机网络安全技术。全书共分为12章，第1章介绍计算机网络安全的基本概念、内容和方法，随后的11章分别从网络协议安全、信息加密与认证、访问控制、防火墙与入侵检测、数据备份与恢复、操作系统安全.Web站点安全、电子邮件安全、无线网络安全、恶意软件攻击与防治以及网络入侵与取证等不同层面对计算机网络安全的相关理论与方法进行了详细介绍。
　　《重点大学信安全专业规划系列教材：计算机网络安全》适合作为信息安全专业本科学生以及研究生的专业课教材，也可供从事信息安全专业的技术人员阅读参考。

目录

第1章 计算机网络安全概述
　1.1 计算机网络安全的基本概念
　　1.1.1 网络安全的定义
　　1.1.2 网络安全的基本特征
　1.2 计算机网络面临的安全威胁
　　1.2.1 影响网络安全的因素
　　1.2.2 网络攻击类型
　　1.2.3 网络安全威胁的发展趋势
　1.3 计算机网络安全模型与体系结构
　　1.3.1 网络安全模型
　　1.3.2 ISO/OSI安全体系结构
　1.4 网络安全等级
　思考题
　参考文献
第2章 网络协议的安全
　2.1 TCP／IP协议与网络安全
　　2.1.1 TCP／IP协议简介
　　2.1.2 TCP／IP协议的安全性
　2.2 针对网络协议的攻击
　　2.2.1 网络监听
　　2.2.2 拒绝服务攻击
　　2.2.3 TCP会话劫持
　　2.2.4 网络扫描
　　2.2.5 重放攻击
　　2.2.6 数据修改
　　2.2.7 伪装
　2.3 网络层的安全
　　2.3.1 IPSec的安全特性
　　2.3.2 IPSec的体系结构
　　2.3.3 AH协议
　　2.3.4 ESP协议
　　2.3.5 IKE协议
　2.4 传输协议的安全
　　2.4.1 SSL协议
　　2.4.2 TLS协议
　2.5 应用协议的安全
　　2.5.1 SET
　　2.5.2 HTTP
　　2.5.3 Telnet
　思考题
　参考文献
第3章 信息加密与认证技术
　3.1 密码学技术概述
　　3.1.1 密码系统的组成
　　3.1.2 密码学的分类
　3.2 古典密码技术
　　3.2.1 代替密码
　　3.2.2 置换密码
　3.3 对称密钥密码技术
　　3.3.1 流密码技术
　　3.3.2 分组密码技术
　　3.3.3 对称密钥密码的分析方法
　3.4 非对称密钥密码技术
　　3.4.1 基本概念
　　3.4.2 RSA算法
　　3.4.3 EIGamal算法
　　3.4.4 椭圆曲线算法
　　3.4.5 混合加密算法
　3.5 信息认证技术概述
　3.6 Hash函数与消息认证
　　3.6.1 基本概念
　　3.6.2 常见的单向Hash函数
　　3.6.3 常见的消息认证码算法
　　3.6.4 分组加密与消息认证码
　3.7 数字签名技术
　　3.7.1 基本概念
　　3.7.2 常用的数字签名体制
　　3.7.3 盲签名和群签名
　……
第4章 访问控制与VPN技术
第5章 防火墙与入侵检测技术
第6章 数据备份与恢复技术
第7童操作系统的安全
第8章 Web站点的安全
第9章 电子邮件安全
第10章 无线网络安全
第11章 恶意软件攻击与防治
第12章 网络入侵与取证

摘要与插图

2）隧道模式
　　AH用于隧道模式时，需要将自己保护的数据包封装起来，并且AH头之前另外添了一个IP头，对整个IP数据包提供认证保护。“里面的”原IP数据包中包含了通信的原始寻址，而“外面的”新IP数据包则包含了IPSec端点的地址。隧道模式可用来替换端到端安全服务的传输模式，但是由于这一协议中没有提供机密性，因此相应地就没有通信分析这一保护措施，所以它没什么用处。AH只用于保证收到的数据包在传输过程中不会被修改，保证由要求发送它的当事人将它发送出去，以及保证它是一个新的非重放的数据包。
　　3.AH的处理
　　1）输出处理
　　对于输出的数据包，AH协议处理的目标是向数据包合适的位置增加AH报头。具体的输出处理步骤如下：
　　（1）外出数据包与一个SPDB条目匹配时，查看SADB是否有合适的SA。如果有，就将AH应用到与这个与之相符的数据包，该数据包在SPDB条目指定的那个模式中。如果没有，要么手工，要么通过IKE动态地建立一个，并且把序列号计数器初始化为0。在利用这个SA构建一个AH头之前，计数器就开始递增，这样保证了每个AH报头中的序列号都是一个的单向递增的非零数。
　　（2）将AH的其余字段填满恰当的值，SPI字段分配的值是取自SA的SPI，下一个荷载头字段分配的是跟在AH之后的数据类型值，而载荷长度分配的则是32位字减2；认证数据字段则设成0。需要注意的是：AH协议将安全保护扩展到外部IP包头的原有的或预计的字段，因此将完整性检查值（ICV）之前的不定字段清零是必要的。
　　（3）根据验证算法的要求，或出于排列方面的原因，需要进行适当的填充。对有些MAC算法来说，例如DES-CBCMAC，要求应用MAC的数据必须是算法的块尺寸大小的倍数。在这种情况下就必须进行填充以便正确地使用MAC。填充的数据包必须为零，并且填充数据的长度不包括在载荷长度中。对IPv4来说AH报头必须是32bit的倍数，IPv6则是64bit的倍数。如果MAC算法的输出不符合这项要求就必须添加AH报头。对填充项的值没有什么别的要求，但必须把它包括在ICV的计算中，而载荷长度中必须反映出填充项大小。
　　（4）计算ICV。从输出SA中取出验证密钥，连同整个IP包（包括AH报头）传到特定的算法（即SA中的身份验证程序）计算ICV。由于不定字段已清零，它们不会被包括在ICV的计算中。将计算得到的ICV值复制到AH的认证数据字段中，IP包头中的不定字段就可根据IP处理的不同得以填充。
　　（5）输出已处理的报文。AH处理结束后就形成了AH保护下的IP数据包，根据数据包的大小，在传输到网络上前可将它分段处理，或在两个IPSec同级之间的传输过程中，由路由器分段。
　　……