第6章 网络空间安全协议电子教案.docx
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_1.gif)
![资源得分’ title=](/images/score_05.gif)
《第6章 网络空间安全协议电子教案.docx》由会员分享,可在线阅读,更多相关《第6章 网络空间安全协议电子教案.docx(16页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、第6章 网络空间安全协议电子教案YOUR LOGO原 创 文 档 请 勿 盗 版1、封面 网络空间信息安全教案课程名称: 网络空间信息安全 总学时周学时: 48/4 开课时间: 第 1周 至 第 12周 授课年级、班级: 计算机2020级 使用教材: 网络空间信息安全 授课教师: 2、教案扉页课程要求(在培养方案中的地位、开课学期,先修、后续课程)网络安全是计算机专业的专业课,在专业课程体系中占有重要地位。开课学期: 先修课程/后修课程: Java语言程序设计、计算机网络/毕业设计教学目标课程目标1:了解网络空间信息安全的基本概念。课程目标2:掌握病毒防范技术。课程目标3:掌握远程控制与黑客入
2、侵技术。课程目标4:掌握网络空间信息密码技术。课程目标5:掌握数字签名与验证技术。课程目标6:掌握网络安全协议课程目标7:掌握无线网络安全机制课程目标8:掌握访问控制与防火墙技术课程目标9:掌握入侵防御系统技术课程目标10:掌握网络数据库安全与备份技术教学方法讲授、讨论+实验课程性质(创新意识、实践能力培养)网络安全是计算机专业的专业课,在专业课程体系中占有重要地位。设置本课程的目的是使学生获得:信息保密技术;信息认证技术;病毒防范技术;访问控制技术;数据库安全;信息安全标准和管理等网络安全方面的基本概念、基本实现方法和基本应用方法,培养学生分析问题和解决问题的能力。为以后工作中接触到密码学、
3、信息安全理论等相关领域的实际应用打好基础。参考资料1网络安全-技术与实践,刘建伟等,北京,清华大学出版社,2017。2网络安全,沈鑫剡等,北京,清华大学出版社,2017。3 网络安全实验教程,沈鑫剡等,北京,清华大学出版社,2017。备注说明3、教案内容第6章 网络空间安全协议课题名称第6章网络空间信息安全协议计划学时6课时内容分析本章阐述了网络安全协议的概念、分类和类型:网络层的安全协议IPSec,传输层的安全协议SSL/TLS,应用层的安全协议SHTTP(Web安全协议)、PGP(电子邮件安全协议),S/MIME(电子邮件安全协议)、PEM(电子邮件安全协议)、SSH(远程登录安全协议),
4、Kerberos(网络验证协议)等相关内容。教学目标及基本要求1、 了解网络安全协议的类型2、 熟悉网络层安全协议IPSec3、 熟悉传输层安全协议SSL/TSL4、 熟悉应用层安全协议5、 熟悉EPC的密码机制和安全协议教学重点1、 网络层安全协议IPSec2、 传输层安全协议SSL/TSL3、 应用层安全协议教学难点1、 IPSec、SSL/TLS和应用层的相关安全协议2、 面向用户的IPSec安全隧道的构建技术3、 电子交易中SET协议的应用框架和SET电子支付流程教学方式讲授、讨论+实验教学过程第1课时(概述&网络安全协议的类型&网络安全协议的类型-IPSec)一、定义网络安全协议就是
5、在协议中采用了若干密码算法协议加密技术、认证技术、以保证信息安全交换的网络协议。二、安全协议具有三种特点:1、保密性:即通信的内容不向他人泄漏。为了维护个人权利,必须确保通信内容发给所指定的人,同时还必须防止某些怀有特殊目的的人的“窃听”。2、完整性:把通信的内容按照某种算法加密,生成密码文件即密文进行传输。在接收端对通信内容进行破译,必须保证破译后的内容与发出前的内容完全一致。3、认证性:防止非法的通信者进入。进行通信时,必须先确认通信双方的真实身份。甲乙双方进行通信,必须确认甲乙是真正的通信双方,防止除甲乙以外的人冒充甲或乙的身份进行通信。三、网络安全协议的类型:(1)密钥建立协议 :一般
6、情况下是在参与协议的两个或者多个实体之间建立共享的秘密,通常用于建立在一次通信中所使用的会话密钥。 已有密钥建立协议,如Diffie-Hellman协议,Blom协议,MQV协议,端端协议、MTI协议等。(2)认证协议:认证协议中包括实体认证(身份认证)协议、消息认证协议、数据源认证和数据目的认证协议等,用来防止假冒、篡改、否认等攻击。(3)认证和密钥交换协议 :将认证和密钥交换协议结合在一起,是网络通信中最普遍应用的安全协议。该类协议首先对通信实体的身份进行认证,如果认证成功,进一步进行密钥交换,以建立通信中的工作密钥,也叫密钥确认协议。(4)电子商务协议 这类协议用于电子商务系统中以确保电
7、子支付和电子交易的安全性、可靠性、公平性。常见的协议有:SET协议、iKP协议和电子现金等。(5)安全通信协议 这类协议用于计算机通信网络中保证信息的安全交换。常见的协议有:PPTP/L2PP 协议、IPSEC协议、SSL/TLS协议、PGP协议、SIME协议、S-HTTP协议等。三、IPSec协议的起源和4个主要部分:IPSec是IP Security的缩写。为了加强Internet的安全性,Internet安全协议工程任务组研究制定了IPSec协议用于保护IP层通信的安全协议。安全载荷协议(EncapsulatingSecurityPayload,ESP)、验证头协议(Authentica
8、tion Header,AH)、安全关联(Security Associations,SA)和密钥管理(Internet Key Exchange,IKE)。四、进行重点知识的讲解(1)安全协议IPSec提供了两种安全协议:验证头和封装安全有效载荷,这两个协议以IP扩展头的方式增加到IP包中,可以对IP数据包或上层协议数据包进行安全保护,增加了对IP数据项的安全性。AH和ESP可以单独使用,也可以联合使用。每个协议都支持两种应用模式,即传输模式和隧道模式。这两种模式的区别是其所保护的内容不相同:一个是IP包,一个是IP载荷。传输模式:为上层协议数据和选择的IP头字段提供验证保护,且仅适用于主机
9、实现。在这种模式中,AH和ESP会拦截从传输层到网络层的数据包,并根据具体的配置提供安全保护。隧道模式:对整个IP数据项提供验证保护,除了用于主机之外还可用于安全网关。如果安全性是由一个设备来提供的,而该设备并非数据包的始发点,或者数据包需要保密传输到与实际目的地不同的另一个目的地,则需要采用隧道模式。(2)安全关联SA是IP验证和保密机制中最关键的安全关联。AH和ESP协议都必须使用SA。一个SA是发送者与接收者之间的一个单向关系,它为其承载的通信提供安全服务。如果一个通信流需要同时使用AH和ESP进行保护,则要创建多个SA来提供所需的保护。因此,为了保证两个主机或两个安全网关之间双向通信的
10、安全,需要建立两个SA,各自负责一个方向。(3)密钥管理在IPSec模型中,使用IPSec保护一个数据包之前,必须先建立一个SA,SA可以手工创建,也可以自动建立。在自动建立SA时,要使用IKE协议。IKE代表IPSec与SA进行协商,并将协商好的SA填入SAD。面向用户的IPSec安全隧道构建第一步:用户终端与虚拟专用网上的安全网关进行物理连接。第二步:用户终端通过DHCP动态获取一个专用的IP地址。第三步:进入IKE的初始化阶段,首先通过IPSec的安全性参考索引,自动选择AH协议或者ESP协议,选择加密算法、密钥和密钥的相应生存周期,用以上自定义的IP地址来加密整个发送的分组数据。第四步
11、:进行安全关联处理。在IKE第一阶段,终端与网关之间只有一对交互数据包,在IKE的第二阶段会生成满足双方请求响应的四对交互数据包。第五步:经过IKE的两个阶段后,可建成动态的专用安全隧道,此后进入和输出的数据包都要通过不同的SPI进行标识。第六步:安全隧道建成后,安全网关又通过DHCP为用户终端分配一个防窃取的IP地址,供用户及对方使用。第2课时(传输层安全协议SSL/TSL&应用层安全协议&EPC的密码机制和安全协议)一、回顾上次课的内容:(1)网络安全协议的概述(2)网络安全协议的类型(3)网络层安全协议IPSec相关内容二、进行重点知识的讲解(1)简介SSL及其继任者传输层安全(Tran
12、sport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL协议建立在运输层和应用层之间,是提供客户和服务器双方网络应用安全通信的开放式协议。SSL协议是一个分层协议,由两层组成:SSL握手协议和SSL记录协议。(2)SSL/TLS可提供3种基本的安全功能服务:第一种:信息加密。加密技术既有对称加密技术DES、IDEA,又有非对称加密技术RSA。加密数据可防止数据中途被窃取。第二种:身份验证。验证的算法包括RSA、DSA、ECDSA。SSL协议要求在握手交换数据前进行验证,以确保用户的合法性。验证用户和服务器
13、从而确保数据发送到正确的客户机和服务器端。第三种:信息完整性校验。发送方通过散列函数产生消息验证码(MAC),接收方验证MAC来保证信息的完整性,维护数据的完整性,以确保数据在传输过程中不被改变。(3)SSL 握手协议SSL握手协议是位于SSL记录协议之上的主要子协议,包含两个阶段。第一阶段用于交换密钥等信息,通信双方通过相互发送Hello消息进行初始化;第二阶段用于用户身份验证。通常服务器方向客户方发出验证请求消息,客户方在收到该请求后,发出自己的证书,并等待服务器的应答。服务器如果收到客户的证书,则返回成功的消息,否则返回错误的消息。至此,握手协议结束。(4)SSL记录协议在SSL协议中,
14、所有要传输的数据都被封装在记录中,记录协议规定了数据传输格式,它包括应用程序提供的信息的压缩、数据验证等。记录由记录头和长度不为0的记录数据组成。所有的SSL通信,包括握手消息、安全记录和应用数据,都要通过SSL记录层传送。在SSL记录层,主要提供机密性和报文完整性服务。(5)TLS协议SSL最初的几个版本(SSL 1.0、SSL 2.0、SSL 3.0)由网景公司设计和维护,从3.1开始,SSL协议由IETF正式接管,并更名为TLS。新版本的TLS是IETF制定的一种新的协议,它建立在SSL 3.0协议规范之上,是SSL 3.0的后续版本。该协议由两层组成:TLS记录协议(TLS Recor
15、d)和TLS握手协议(TLS Handshake)。一个典型的TLS 1.0协议交互流程有四个步骤:Client Hello。即在TLS握手阶段,客户端首先要告知服务端自己支持哪些加密算法,所以客户端需要将本地支持的加密套件(Cipher Suite)的列表传送给服务端。2Server Hello。服务端在接收到客户端的Client Hello之后需要将自己的证书发送给客户端。最后服务端会发送一个Server Hello Done消息给客户端,表示Server Hello消息结束了。3Client Key Exchange。在客户端收到服务端的Server Hello消息之后,首先需要向服务端
16、发送客户端的证书,让服务端来验证客户端的合法性。在收到服务端的证书等信息之后,客户端会使用一些加密算法产生一个48个字节的Key,这个Key叫作PreMaster Secret,最终通过Master Secret生成session secret,session secret就是用来对应用数据进行加解密的。客户端需要对服务端的证书进行检查,检查证书的完整性以及证书和服务端域名是否吻合。4Server Finish。根据之前的握手信息,如果客户端和服务端都能对Finish信息进行正常加解密且消息正确的被验证,则说明握手通道已经建立成功,然后双方可以使用上面产生的session secret对数据进
17、行加密传输。每一个SSL/TLS连接都是从握手开始的,握手过程包含一个消息序列,用以协商安全参数、密码套件,进行身份验证以及密钥交换。握手过程中的消息必须严格按照预先定义的顺序发生,否则会带来潜在的安全威胁。(6)TLS与SSL的差异版本号:TLS记录格式与SSL记录格式相同,但版本号的值不同,TLS1.0使用的版本号为SSLv3.1。报文鉴别码:SSLv3.0和TLS的MAC算法及MAC计算的范围不同。伪随机函数:TLS使用了称为PRF的伪随机函数来将密钥扩展成数据块,是更安全的方式。报警代码:TLS支持几乎所有的SSLv3.0报警代码。密文族和客户证书:SSLv3.0和TLS存在少量差别。
18、certificate_verify和finished消息:SSLv3.0和TLS在用certificate_verify和finished消息计算MD5和SHA-1散列码时,计算的输入有少许差别,但安全性相当。加密计算:TLS与SSLv3.0在计算主密值时采用的方式不同。对称加密用于数据加密(DES、RC4等)。填充:用户数据加密之前需要增加的填充字节。在SSL中,填充后的数据长度要达到密文块长度的最小整数倍。而在TLS中,填充后的数据长度可以是密文块长度的任意整数倍(但填充的最大长度为255字节),这种方式可以防止基于对报文长度进行分析的攻击。(7)TLS优点:第一:对于消息验证使用密钥散
19、列法HMAC:当记录在开放的网络上传送时,该代码确保记录不会被变更。SSLv3.0还提供键控消息验证,但HMAC比SSLv3.0使用的(消息验证代码)MAC更安全。第二:增强的伪随机功能:PRF生成密钥数据。HMAC定义PRF,PRF使用两种散列算法保证其安全性。若任一算法暴露,只要第二种算法未暴露,则数据仍然是安全的。第三:改进的已完成消息验证: TLS将已完成消息基于PRF和HMAC值之上,比SSLv3.0更安全。第四:一致证书处理:TLS试图指定必须在TLS之间实现交换的证书类型。第五:特定警报消息:TLS提供更多的特定和附加警报,还对何时应该发送某些警报进行了记录。(8)SET安全协议
20、SET主要用于保障Internet上信用卡交易的安全性,它是公认的信用卡/借记卡的网上交易的国际标准。SET 1.0于1997年5月31日正式推出。它是VISA与MasterCard两大国际信用卡组织研发的。其主要目标是保证银行卡电子支付的安全。SET协议主要特点:机密性、保护隐私、完整性、多方验证性、标准性。信用卡电子支付的SET应用系统各方要涉及的个实体:持卡客户、网上商家、支付网关、收单银行、发卡银行、验证中心。SET交易分成以下3个阶段进行:(1)购买请求阶段:客户选择商品;客户发送初始请求;商家产生初始应答;客户对商家进行验证;客户提出购物请求。(2)支付的认定阶段:商家产生支付请求
21、;支付网关验证双方信息;银行产生支付应答。(3)收款阶段:商家发出售物应答;验证商家证书;完成支付;商家收款。SSL与SET的区别表现以下几方面:(1)SSL是面向连接的网络安全协议,它的卡支付系统仅能与浏览器捆绑在一起。SET仅适用于信用卡支付,它允许非实时的报文交换,能在银行内部网或其他网上传输。(2)SSL只占电子商务体系中的一部分,位于运输层和应用层之间。而SET位于应用层,对网络上其他各层均有涉及。SET规范了整个商务活动的流程。(3)SET的安全性比SSL高。SSL具有保密性、身份验证性、消息完整性等特点,而SET除此之外,还具有不可抵赖性。(4)SET协议交易过程复杂、负载重、处
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第6章 网络空间安全协议电子教案 网络 空间 安全 协议 电子 教案
![提示](https://www.deliwenku.com/images/bang_tan.gif)
限制150内