《通信网络安全与防护》 教案 课次4-第二章 网络信息安全（下）-教案

《通信网络安全与防护》课程教案授课时间年月日周节课次4授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第二章网络信息安全（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）熟悉密钥分配与管理的方法;（2）掌握消息认证、身份认证、PKI的基本概念，重点掌握数字签名的工作过程及工作原理；（3）了解访问控制策略与机制，掌握访问控制的工作原理。教学重点及难点：重点：数字签名的工作过程与工作原理；难点：强制访问控制策略。课堂教学设计（含思政）：本次课采用结合部队装备讲解、结合实例讲解等教学方法，如讲解密钥分配时介绍新型核常机动指挥系统中的密钥分配装备运用，讲解身份认证时结合生活中的网上银行、大门门禁等实例，讲解数字签名时以作战命令的传递中存在的伪造、篡改、抵赖等威胁为例说明数字签名的需求。全程采用以多媒体为主的信息化教学手段进行授课，并引导学员课下查阅相关资料。思政要素切入点：通过密钥分配、认证、访问控制在军事中的应用，引导学员结合将来从事的岗位进行思考，增强对信息保密和网络防护重要性认识，提高对保密、网络防护工作的政治站位，增强使命感。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过两个测试题检验学员对知识点掌握情况；对本节课的内容组织进行介绍，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）2.2密钥分配与管理一、密钥管理概述密钥的安全十分重要，密钥的管理问题凸显。密钥的管理综合了密钥的等一系列过程。所有的工作都围绕一个宗旨，即确保使用中的密钥是安全的。1．密钥的生成与分配2．密钥的保护与存储3．密钥的有效性与使用控制二、密钥的分类根据密码系统的类型划分为对称密钥和公开密钥。根据密钥的用途划分为数据会话密钥、密钥加密密钥、公钥系统中的私钥、公钥系统中的公钥。根据密钥的有效期划分一次性密钥和重复性密钥。三、密钥分配1.密钥分配实现的基本方法安全的密钥分配通过建立安全信道来实现。密钥分配的研究一般解决两个问题：一是引进自动分配密钥机制；二是尽可能减少系统中驻留的密钥量。基于对称密码体制的安全信道基于双钥密码体制的安全信道基于量子密码体制的安全信道2.密钥分配系统的实现模式小型网络：每两个用户之间共享一个密钥大型网络：采用密钥中心的方式，可以采用密钥传送中心和密钥分配中心2.3安全认证一、消息认证消息认证一般通过消息认证码（MessageAuthenticationCode，MAC）实现，它利用密钥生成一个固定长度的短数据块，并将该数据块附加在消息之后。接收方对收到的消息用相同的密钥K进行相同的计算，并得出新的MAC，然后将接收到的MAC与其计算出的MAC进行比较。接收方可以相信消息未被修改接收方可以相信消息来自真正的发送方如果消息中含有序列号，接收方可以相信信息顺序是正确的二、数字签名数字签名以电子方式存储签名消息，是在数字文档上进行身份验证的技术。数字签名必须做到：接收者和第三方都能够验证文档来自签名者，并且文档签名后没有被修改，签名者也不能否认对文档的签名。三、身份认证从身份认证实现所需条件来看，身份认证技术分为:单因子认证双（多）因子认证依据认证的基本原理划分，身份认证划分为:静态身份认证动态身份认证四、公钥基础设施1.PKI的定义及组成PKI是一种利用公钥密码理论和技术建立起来的、提供信息安全服务的基础设施。PKI目的是从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题，为网络应用（如浏览器、电子邮件、电子交易）提供可靠的安全服务。PKI系统包括6个部分:证书机构、注册机构、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口。2.数字证书及其应用数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。用于在网络空间中证明用户的身份及公钥信息。2.4访问控制访问控制的实质是对资源使用的限制，保障授权用户能够获得所需的资源，同时又能阻止非授权用户使用的安全机制。一、访问控制策略和机制访问控制的策略一般分为以下三种。1)自主访问控制(DiscretionaryAccessControl，DAC)：资源的所有者能够按照自身的意愿授予另一个实体访问某些资源的权限，由此称为自主访问控制。2)强制访问控制(MandatorilyAccessControl，MAC)：访问某种资源的实体不能按其自身意愿授予其他实体访问该资源的权限，因此称之为强制访问控制。它根据用户安全许可的安全标记控制访问。3)基于角色的访问控制(Role-BasedAccessControl，RBAC)：基于系统中用户的角色和属于该类角色的访问权限控制访问。二、自主访问控制自主访问控制通常通过ACL（访问控制列表）来实现，访问控制列表是对访问控制矩阵的一种分解。三、强制访问控制MAC是一种多级访问控制策略，主要特点是系统对访问主体和受控对象实施强制访问控制。根据对客体资源保护不同的重点，访问控制策略可以分为两种。保障信息完整性策略：向上读、向下写保障信息机密性策略：向上写、向下读四、基于角色的访问控制基本思想是将访问许可权分配给一定的角色，用户通过其扮演不同的角色以取得该角色所拥有的访问许可权，这些用户往往不是被访问客体信息资源的所有者。角色被定义为与一个特定活动相关联的一组动作和责任。内容小结：密钥的分配与管理；安全认证：消息认证、数字签名、身份认证；公钥基础设施PKI；访问控制：自主访问控制、强制访问控制、基于角色的访问控制。板书提纲：$2.2密钥的分配与管理一、密钥管理二、密钥分类三、密钥分配$2.3安全认证一、消息认证二、数字签名三、身份认证四、公开密钥基础设施PKI$2.4访问控制一、自主访问控制二、强制访问控制三、基于角色的访问控制知识扩展：无全程PPT辅助讲解提问：现代密码学基本原则?引出密钥分配与管理拓展：新型核常机动指挥系统中的密钥分发装备应用思政：引导学员提高对信息保密的重视补充：量子密钥分发链接：墨子号报导视频思考：如何保证通信双方的身份真实性？如何保证物理信道和资源不被非法用户使用？如何防止通信的相关信息被第三方篡改？思考：公钥密码体制是传递密钥的最佳方式，但其前提是确信拥有了对方的公钥。如何确信通信双方获得了对方的公钥呢？反例：宣称公钥的中间人攻击