《通信網(wǎng)絡(luò)安全與防護》 教案 -第六章 網(wǎng)絡(luò)安全協(xié)議

《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次10授課方式（請打√）理論課√討論課□實驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第六章網(wǎng)絡(luò)安全協(xié)議（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉Kerberos與X.509兩種安全認證協(xié)議的實現(xiàn)原理及鑒別過程;（2）掌握IPsec體系結(jié)構(gòu)，熟悉IPsec的實現(xiàn)方式，掌握IPsec的工作模式；（3）熟悉安全關(guān)聯(lián)SA的概念，掌握AH、ESP兩種協(xié)議的安全特性及首部格式；（4）了解IKE的實現(xiàn)方法。教學(xué)重點及難點：重點：AH、ESP兩種協(xié)議；難點：安全關(guān)聯(lián)SA的理解。課堂教學(xué)設(shè)計（含思政）：本次課主要講解典型的安全認證協(xié)議及IPsec協(xié)議，采用問題引入、對比分析等教學(xué)方法，采用多媒體為主的信息化教學(xué)手段進行授課，教學(xué)中注重通過問題或知識回顧的方式啟發(fā)學(xué)員思考，加強師生互動。思政要素切入點：通過協(xié)議設(shè)計的嚴密性（即協(xié)議需要將各種可能的不利因素考慮到），引導(dǎo)學(xué)員注重培養(yǎng)嚴謹細致的工作作風(fēng)，促進職業(yè)素養(yǎng)提高；通過IPV4協(xié)議存在的安全隱患的分析，引導(dǎo)學(xué)員思考軍事網(wǎng)絡(luò)的安全風(fēng)險，提高安全意識，增強對從事網(wǎng)絡(luò)安全防護工作重要性的認識。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第五章網(wǎng)絡(luò)防護技術(shù)的主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)安全協(xié)議的分類介紹自己的思考，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）6.1安全認證協(xié)議6.1.1Kerberos認證協(xié)議1．Kerberos概述Kerberos是一種網(wǎng)絡(luò)身份認證協(xié)議，其設(shè)計目的是通過密鑰密碼學(xué)技術(shù)為客戶端/服務(wù)器應(yīng)用提供一種強身份認證的功能（Kerberos這個詞來源于希臘神話中看守冥府大門的三首地獄犬）。2．Kerberos認證過程Kerberos認證的具體流程如下3.Kerberos存在的問題6.1.2X.509認證1.概述X.509協(xié)議是國際電信聯(lián)盟電信標(biāo)準(zhǔn)化部門（ITU-T）制定的數(shù)字證書標(biāo)準(zhǔn)。2.證書的格式3.X.509的鑒別框架6.2安全通信協(xié)議人們很早就開始關(guān)注TCP/IP協(xié)議簇的安全性問題：地址欺騙風(fēng)險數(shù)據(jù)篡改風(fēng)險信息泄露風(fēng)險高安全風(fēng)險6.2.1IPSec協(xié)議簇1.IPSec設(shè)計目標(biāo)與體系結(jié)構(gòu)IPsec的設(shè)計目標(biāo)是為IPv4和IPv6提供可互操作的、高質(zhì)量的、基于密碼學(xué)的安全性保護。它工作在IP層，提供訪問控制、無連接的完整性、數(shù)據(jù)源認證、機密性保護、有限的數(shù)據(jù)流機密性保護以及抗重放攻擊等安全服務(wù)。IPsec的安全體系結(jié)構(gòu)：2.IPSec實現(xiàn)方式與工作模式IPsec可以在主機、路由器(防火墻)或在兩者中同時實施和部署，常用的實現(xiàn)方式：集成方式堆棧中的塊bitS方式線纜中的塊bitW方式工作模式：傳輸模式隧道模式3．IPSec的安全關(guān)聯(lián)1）SA的定義2）SA的單向性3）SA的組合4）SA的兩種類型4.安全關(guān)聯(lián)數(shù)據(jù)庫處理IPsec數(shù)據(jù)流必須維護兩個與SA相關(guān)的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫(SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(SAD)。5.AH協(xié)議6.ESP協(xié)議7.IKE協(xié)議IKE就是IPsec規(guī)定的一種用于動態(tài)管理和維護SA的協(xié)議。內(nèi)容小結(jié)：Kerberos、X.509IPsec體系SA、SPD、SADAH、ESP、IKE板書提綱：$6.1安全認證協(xié)議一、Kerberos認證協(xié)議1．概述2．鑒別過程3．存在問題二、X.509認證1．概述2．證書格式3．鑒別框架$6.2安全通信協(xié)議一、IPSec1．IPSec設(shè)計目標(biāo)與體系結(jié)構(gòu)2．IPSec實現(xiàn)方式與工作模式3．IPSec的安全關(guān)聯(lián)4．安全關(guān)聯(lián)數(shù)據(jù)庫5．AH6．ESP7．IKE知識擴展：無全程PPT輔助講解回顧通信網(wǎng)技術(shù)基礎(chǔ)課程中對協(xié)議的定義由學(xué)員類比給出安全協(xié)議的理解什么是安全協(xié)議？引出教學(xué)內(nèi)容對比分析：Kerberos基于對稱密碼體制；X.509基于公開密鑰密碼體制引導(dǎo)學(xué)員思考：IPV4為代表的TCP/IP協(xié)議簇存在哪些安全缺陷？引入安全通信協(xié)議的概念提問：IPV6的首部格式？IPV6的下一個首部目前定義了哪幾個？提示：當(dāng)前IPV4與IPV6并行存在，過渡期內(nèi)如何解決不同網(wǎng)絡(luò)間數(shù)據(jù)包穿越的問題？提示：區(qū)分SPD與SADSPD主要是明確對出入的包是否采用安全保護SAD明確如何安全保護對比講解AH與ESP共同點：差異點：作業(yè)、討論題、思考題：作業(yè)：6-7、6-8課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護》課程教案授課時間年月日周節(jié)課次11授課方式（請打√）理論課√討論課□實驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第六章網(wǎng)絡(luò)安全協(xié)議（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）了解SSL協(xié)議的發(fā)展及協(xié)議組成；（2）掌握SSL握手協(xié)議的基本流程；（3）熟悉PGP、SSH等安全應(yīng)用協(xié)議的工作流程;（4）掌握PGP、SSH等安全應(yīng)用協(xié)議的應(yīng)用場景及應(yīng)用方式。教學(xué)重點及難點：重點：SSL握手協(xié)議的基本流程；難點：各個協(xié)議密鑰分配的實現(xiàn)。課堂教學(xué)設(shè)計（含思政）：本次課主要講解SSL協(xié)議及典型的安全應(yīng)用協(xié)議，采用問題引入、對比分析等教學(xué)方法，采用多媒體為主的信息化教學(xué)手段進行授課，教學(xué)中注重通過問題或知識回顧的方式啟發(fā)學(xué)員思考，加強師生互動。思政要素切入點：通過協(xié)議設(shè)計的嚴密性（即協(xié)議需要將各種可能的不利因素考慮到），引導(dǎo)學(xué)員注重培養(yǎng)嚴謹細致的工作作風(fēng)，促進職業(yè)素養(yǎng)提高。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過三個測試題檢驗學(xué)員對知識點掌握情況；對本次課的主要內(nèi)容進行介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）6.2安全通信協(xié)議6.2.2SSL協(xié)議SSL協(xié)議已成為Internet上保密通信的行業(yè)標(biāo)準(zhǔn)。1.SSL協(xié)議和TLS協(xié)議概述SSL是1994年由Netscape公司開發(fā)的安全協(xié)議，IETF（TheInternetEngineeringTaskForce，Internet工程任務(wù)組）對SSL進行了標(biāo)準(zhǔn)化，即TLS（TransportLayerSecurity，傳輸層安全協(xié)議。SSL位于運輸層和應(yīng)用層之間（可選），可在服務(wù)器和客戶機兩端同時實現(xiàn)支持。SSL應(yīng)用的提出最初是面向web應(yīng)用安全的。目前，SSL協(xié)議已成為Internet上保密通信的行業(yè)標(biāo)準(zhǔn)。SSL協(xié)議提供的服務(wù)包括：認證(authentication)：用戶和服務(wù)器合法性認證機密性(confidentiality)：加密數(shù)據(jù)完整性(integrity)：提供信息完整性服務(wù)2.SSL協(xié)議規(guī)范SSL不是一個單獨的協(xié)議，而是兩層協(xié)議。握手層允許通信雙方在應(yīng)用協(xié)議傳送數(shù)據(jù)之前相互驗證、協(xié)商加密算法、生成密鑰（keys）、secrets、初始向量（ivs）等。記錄層封裝各種高層協(xié)議，具體實施壓縮/解壓縮、加密/解密、計算/校驗MAC等與安全有關(guān)的操作。SSL定義了兩個重要概念——連接和會話。3．SSL握手協(xié)議位于SSL記錄協(xié)議之上，允許服務(wù)器/客戶機相互驗證，協(xié)商加密和MAC算法以及保密密鑰，保護在SSL記錄中發(fā)送的數(shù)據(jù)。握手協(xié)議是在任何應(yīng)用程序的數(shù)據(jù)傳輸之前使用的。其協(xié)商結(jié)果是SSL記錄協(xié)議的基礎(chǔ)。4．更改密碼規(guī)格協(xié)議更新用于當(dāng)前連接的密鑰組，標(biāo)志著加密策略的改變。5．警告協(xié)議當(dāng)握手過程或數(shù)據(jù)加密等出錯或發(fā)生異常時，為對等實體傳遞SSL警告或終止當(dāng)前連接。6．SSL記錄協(xié)議描述SSL信息交換過程中的記錄格式。所有數(shù)據(jù)（含SSL握手信息）都被封裝在SSL記錄中進行傳輸。一個記錄由兩部分組成：記錄報頭和數(shù)據(jù)。7.SSL中采用的加密和認證算法1）加密算法和會話密鑰2）認證算法3）會話層的密鑰分配協(xié)議6.3安全應(yīng)用協(xié)議6.3.1PGP協(xié)議PGP(PrettyGoodPrivacy)是一種實現(xiàn)郵件發(fā)送端身份鑒別，保證郵件傳輸過程中的保密性和完整性的安全協(xié)議。主要實現(xiàn)發(fā)送端鑒別、機密性、電子郵件兼容性、消息壓縮、分段和組裝等功能，用戶可以選擇其中一項或多項功能。防止篡改公鑰和假冒的方法可以有以下四種：（1）直接從B手中得到其公鑰，這種方法有局限性。（2）通過電話認證密鑰。（3）從雙方信任的D那里獲得B的公鑰。（4）由一個普通信任的機構(gòu)擔(dān)當(dāng)?shù)谌?，即“認證機構(gòu)”。6.3.2SSH協(xié)議傳統(tǒng)的網(wǎng)絡(luò)傳輸，如Telnet、FTP等，采用的是明文傳輸數(shù)據(jù)和口令，這樣很容易被黑客這樣的中間人嗅探到傳輸過程中的數(shù)據(jù)，大大降低了網(wǎng)絡(luò)的通信安全。SSH是一種協(xié)議標(biāo)準(zhǔn)，其目的是實現(xiàn)安全遠程登錄以及其它安全網(wǎng)絡(luò)服務(wù)。1．SSH的安全原理在SSH中，非對稱加密被用來在會話初始化階段為通信雙方進行會話密鑰的協(xié)商。一旦雙方的會話密鑰協(xié)商完成，后續(xù)的加密都將采用對稱加密來進行2．SSH的工作流程內(nèi)容小結(jié)：SSL的基本概念；SSL握手協(xié)議及工作過程；SSL記錄協(xié)議及工作過程；SSL加密與認證算法；PGP協(xié)議的工作原理和工作過程；SSH的工作原理和工作過程。板書提綱：$6.2.2SSL協(xié)議1．協(xié)議概述2．SSL協(xié)議規(guī)范3．SSL握手協(xié)議4．更改密碼規(guī)格協(xié)議5．警告協(xié)議6．SSL記錄協(xié)議7．SSL中采用的加密和認證算法$6.3安全應(yīng)用協(xié)議$6.3.1PGP$6.3.2SSH1．SSH的安全原理2．SSH的工作流程知識擴展：課下了解電子商務(wù)與電子支付的安全性如何保證。全程PPT輔助講解對比分析：IPSec：與應(yīng)用無關(guān)，可工作在路由器和主機上，對應(yīng)用透明SSL：與應(yīng)用有關(guān)，只工作在主機上。安全服務(wù)都包括機密性和完整性驗證，IPSec提供的是消息起源認證，