《通信网络安全与防护》 教案 -第六章 网络安全协议

《通信网络安全与防护》课程教案授课时间年月日周节课次10授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第六章网络安全协议（上）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）熟悉Kerberos与X.509两种安全认证协议的实现原理及鉴别过程;（2）掌握IPsec体系结构，熟悉IPsec的实现方式，掌握IPsec的工作模式；（3）熟悉安全关联SA的概念，掌握AH、ESP两种协议的安全特性及首部格式；（4）了解IKE的实现方法。教学重点及难点：重点：AH、ESP两种协议；难点：安全关联SA的理解。课堂教学设计（含思政）：本次课主要讲解典型的安全认证协议及IPsec协议，采用问题引入、对比分析等教学方法，采用多媒体为主的信息化教学手段进行授课，教学中注重通过问题或知识回顾的方式启发学员思考，加强师生互动。思政要素切入点：通过协议设计的严密性（即协议需要将各种可能的不利因素考虑到），引导学员注重培养严谨细致的工作作风，促进职业素养提高；通过IPV4协议存在的安全隐患的分析，引导学员思考军事网络的安全风险，提高安全意识，增强对从事网络安全防护工作重要性的认识。教学基本内容课堂教学设计回顾与引入：回顾第五章网络防护技术的主要内容，通过三个测试题检验学员对知识点掌握情况；对网络安全协议的分类介绍自己的思考，并明确本节课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）6.1安全认证协议6.1.1Kerberos认证协议1．Kerberos概述Kerberos是一种网络身份认证协议，其设计目的是通过密钥密码学技术为客户端/服务器应用提供一种强身份认证的功能（Kerberos这个词来源于希腊神话中看守冥府大门的三首地狱犬）。2．Kerberos认证过程Kerberos认证的具体流程如下3.Kerberos存在的问题6.1.2X.509认证1.概述X.509协议是国际电信联盟电信标准化部门（ITU-T）制定的数字证书标准。2.证书的格式3.X.509的鉴别框架6.2安全通信协议人们很早就开始关注TCP/IP协议簇的安全性问题：地址欺骗风险数据篡改风险信息泄露风险高安全风险6.2.1IPSec协议簇1.IPSec设计目标与体系结构IPsec的设计目标是为IPv4和IPv6提供可互操作的、高质量的、基于密码学的安全性保护。它工作在IP层，提供访问控制、无连接的完整性、数据源认证、机密性保护、有限的数据流机密性保护以及抗重放攻击等安全服务。IPsec的安全体系结构：2.IPSec实现方式与工作模式IPsec可以在主机、路由器(防火墙)或在两者中同时实施和部署，常用的实现方式：集成方式堆栈中的块bitS方式线缆中的块bitW方式工作模式：传输模式隧道模式3．IPSec的安全关联1）SA的定义2）SA的单向性3）SA的组合4）SA的两种类型4.安全关联数据库处理IPsec数据流必须维护两个与SA相关的数据库：安全策略数据库(SPD)和安全关联数据库(SAD)。5.AH协议6.ESP协议7.IKE协议IKE就是IPsec规定的一种用于动态管理和维护SA的协议。内容小结：Kerberos、X.509IPsec体系SA、SPD、SADAH、ESP、IKE板书提纲：$6.1安全认证协议一、Kerberos认证协议1．概述2．鉴别过程3．存在问题二、X.509认证1．概述2．证书格式3．鉴别框架$6.2安全通信协议一、IPSec1．IPSec设计目标与体系结构2．IPSec实现方式与工作模式3．IPSec的安全关联4．安全关联数据库5．AH6．ESP7．IKE知识扩展：无全程PPT辅助讲解回顾通信网技术基础课程中对协议的定义由学员类比给出安全协议的理解什么是安全协议？引出教学内容对比分析：Kerberos基于对称密码体制；X.509基于公开密钥密码体制引导学员思考：IPV4为代表的TCP/IP协议簇存在哪些安全缺陷？引入安全通信协议的概念提问：IPV6的首部格式？IPV6的下一个首部目前定义了哪几个？提示：当前IPV4与IPV6并行存在，过渡期内如何解决不同网络间数据包穿越的问题？提示：区分SPD与SADSPD主要是明确对出入的包是否采用安全保护SAD明确如何安全保护对比讲解AH与ESP共同点：差异点：作业、讨论题、思考题：作业：6-7、6-8课堂教学后记：（课堂教学反思、课堂优化设计构想等内容，必须手写）《通信网络安全与防护》课程教案授课时间年月日周节课次11授课方式（请打√）理论课√讨论课□实验课□习题课□其他□课时安排2授课题目（教学章、节或主题）：第六章网络安全协议（下）教学目的、要求（分掌握、熟悉、了解三个层次）：（1）了解SSL协议的发展及协议组成；（2）掌握SSL握手协议的基本流程；（3）熟悉PGP、SSH等安全应用协议的工作流程;（4）掌握PGP、SSH等安全应用协议的应用场景及应用方式。教学重点及难点：重点：SSL握手协议的基本流程；难点：各个协议密钥分配的实现。课堂教学设计（含思政）：本次课主要讲解SSL协议及典型的安全应用协议，采用问题引入、对比分析等教学方法，采用多媒体为主的信息化教学手段进行授课，教学中注重通过问题或知识回顾的方式启发学员思考，加强师生互动。思政要素切入点：通过协议设计的严密性（即协议需要将各种可能的不利因素考虑到），引导学员注重培养严谨细致的工作作风，促进职业素养提高。教学基本内容课堂教学设计回顾与引入：回顾上节课主要内容，通过三个测试题检验学员对知识点掌握情况；对本次课的主要内容进行介绍，并明确本次课教学目标。本节内容：（主要内容框架、要点、重点，建议不要写成讲稿）6.2安全通信协议6.2.2SSL协议SSL协议已成为Internet上保密通信的行业标准。1.SSL协议和TLS协议概述SSL是1994年由Netscape公司开发的安全协议，IETF（TheInternetEngineeringTaskForce，Internet工程任务组）对SSL进行了标准化，即TLS（TransportLayerSecurity，传输层安全协议。SSL位于运输层和应用层之间（可选），可在服务器和客户机两端同时实现支持。SSL应用的提出最初是面向web应用安全的。目前，SSL协议已成为Internet上保密通信的行业标准。SSL协议提供的服务包括：认证(authentication)：用户和服务器合法性认证机密性(confidentiality)：加密数据完整性(integrity)：提供信息完整性服务2.SSL协议规范SSL不是一个单独的协议，而是两层协议。握手层允许通信双方在应用协议传送数据之前相互验证、协商加密算法、生成密钥（keys）、secrets、初始向量（ivs）等。记录层封装各种高层协议，具体实施压缩/解压缩、加密/解密、计算/校验MAC等与安全有关的操作。SSL定义了两个重要概念——连接和会话。3．SSL握手协议位于SSL记录协议之上，允许服务器/客户机相互验证，协商加密和MAC算法以及保密密钥，保护在SSL记录中发送的数据。握手协议是在任何应用程序的数据传输之前使用的。其协商结果是SSL记录协议的基础。4．更改密码规格协议更新用于当前连接的密钥组，标志着加密策略的改变。5．警告协议当握手过程或数据加密等出错或发生异常时，为对等实体传递SSL警告或终止当前连接。6．SSL记录协议描述SSL信息交换过程中的记录格式。所有数据（含SSL握手信息）都被封装在SSL记录中进行传输。一个记录由两部分组成：记录报头和数据。7.SSL中采用的加密和认证算法1）加密算法和会话密钥2）认证算法3）会话层的密钥分配协议6.3安全应用协议6.3.1PGP协议PGP(PrettyGoodPrivacy)是一种实现邮件发送端身份鉴别，保证邮件传输过程中的保密性和完整性的安全协议。主要实现发送端鉴别、机密性、电子邮件兼容性、消息压缩、分段和组装等功能，用户可以选择其中一项或多项功能。防止篡改公钥和假冒的方法可以有以下四种：（1）直接从B手中得到其公钥，这种方法有局限性。（2）通过电话认证密钥。（3）从双方信任的D那里获得B的公钥。（4）由一个普通信任的机构担当第三方，即“认证机构”。6.3.2SSH协议传统的网络传输，如Telnet、FTP等，采用的是明文传输数据和口令，这样很容易被黑客这样的中间人嗅探到传输过程中的数据，大大降低了网络的通信安全。SSH是一种协议标准，其目的是实现安全远程登录以及其它安全网络服务。1．SSH的安全原理在SSH中，非对称加密被用来在会话初始化阶段为通信双方进行会话密钥的协商。一旦双方的会话密钥协商完成，后续的加密都将采用对称加密来进行2．SSH的工作流程内容小结：SSL的基本概念；SSL握手协议及工作过程；SSL记录协议及工作过程；SSL加密与认证算法；PGP协议的工作原理和工作过程；SSH的工作原理和工作过程。板书提纲：$6.2.2SSL协议1．协议概述2．SSL协议规范3．SSL握手协议4．更改密码规格协议5．警告协议6．SSL记录协议7．SSL中采用的加密和认证算法$6.3安全应用协议$6.3.1PGP$6.3.2SSH1．SSH的安全原理2．SSH的工作流程知识扩展：课下了解电子商务与电子支付的安全性如何保证。全程PPT辅助讲解对比分析：IPSec：与应用无关，可工作在路由器和主机上，对应用透明SSL：与应用有关，只工作在主机上。安全服务都包括机密性和完整性验证，IPSec提供的是消息起源认证，