《通信網(wǎng)絡(luò)安全與防護(hù)》 教案 第二章 網(wǎng)絡(luò)信息安全

《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時間年月日周節(jié)課次3授課方式（請打√）理論課√討論課□實驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（上）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）掌握數(shù)據(jù)加密的一般模型和古典加密體制；（2）掌握對稱密碼體制概念，熟悉DES和AES算法；（3）重點理解非對稱密碼體制概念及RSA算法；（4）熟悉散列函數(shù)的概念，了解MD5和SHA算法。。教學(xué)重點及難點：重點：密碼系統(tǒng)一般模型、公鑰密鑰體制；難點：RSA算法。課堂教學(xué)設(shè)計（含思政）：本次課主要是使學(xué)員掌握密碼學(xué)的相關(guān)知識，通過理論分析、實例講解使學(xué)員掌握密碼系統(tǒng)一般模型、古典加密體制、對稱密碼體制、公鑰密碼體制，熟悉DES、AES、RSA等算法。教學(xué)中注重舉例分析，結(jié)合具體的算法講解；注重啟發(fā)思考，引導(dǎo)學(xué)員分析單表替換的安全性、對稱體制的難點等問題，全程采用以多媒體為主的信息化教學(xué)手段進(jìn)行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點：通過“密碼學(xué)的中國貢獻(xiàn)”課下研討作業(yè)，引導(dǎo)學(xué)員查閱資料，了解王小云、潘建偉院士的研究成果與事跡，用榜樣的力量激發(fā)學(xué)員學(xué)習(xí)熱情，增強(qiáng)自信，強(qiáng)化在工作、學(xué)習(xí)中勇于承擔(dān)安全重任的使命擔(dān)當(dāng)。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧第一章主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對網(wǎng)絡(luò)信息安全的教學(xué)內(nèi)容進(jìn)行總體介紹，并明確本次課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）2.1密碼學(xué)與信息加密一、密碼學(xué)概述1．密碼學(xué)基本概念密碼學(xué)是研究如何進(jìn)行密寫以及如何非法解密的科學(xué)?；舅枷胧峭ㄟ^變換信息的表示形式來保護(hù)敏感信息，使非授權(quán)者不能了解被保護(hù)信息的內(nèi)容。2．密碼學(xué)的發(fā)展三個發(fā)展階段每個發(fā)展階段代表性事件3．密碼系統(tǒng)一般模型密碼學(xué)基本原則：一切秘密寓于密鑰之中。4．密碼分析密碼分析就是在不知道密鑰的情況下，利用數(shù)學(xué)方法破譯密文或找到秘密密鑰。5．現(xiàn)代密碼體制的分類（1）對稱密碼體制和非對稱密碼體制（2）分組密碼體制和序列密碼體制（3）確定型密碼體制和概率型密碼體制（4）單向函數(shù)密碼體制和雙向變換密碼體制二、古典加密1．置換加密明文的每個符號本身不變，但通過一定的算法重新排列它們的位置使其相互順序發(fā)生變化。（1）路游法（2）密鑰法2．替換加密明文的順序不變，通過一定的算法使明文的每個字母或每組字母由另外一個或一組字母代替。（1）單表替換（2）多表替換三、對稱密碼體制算法AES1.DES與IDEADES20世紀(jì)70年代中期IBM公司提出，且被美國國家標(biāo)準(zhǔn)局公布為數(shù)據(jù)加密標(biāo)準(zhǔn)的一種分組加密(BlockCipher)算法。DES分組大小為64位，加密或解密密鑰也是64位，但其中有8位是奇偶校驗位，不參預(yù)運(yùn)算。國際數(shù)據(jù)加密算法IDEA由瑞士聯(lián)邦理工學(xué)院XuejiaLai和JamesMassey在1990年提出的。也是一種對稱分組密碼算法。IDEA密鑰長度為128位，分組大小為64位。其安全強(qiáng)度要高于DES算法。2.AES的提出DES的密鑰長度為56比特，安全性受到挑戰(zhàn)，因此需要設(shè)計一種更安全的算法。Rijndael算法由比利時的兩個學(xué)者JoanDaemen和VincentRijmen提出，是一種具有可變分組長度和可變密鑰長度的重復(fù)的分組密碼。3.AES算法流程AES加密算法涉及4種操作：字節(jié)替代（SubBytes）行移位（ShiftRows）列混淆（MixColumns）輪密鑰加（AddRoundKey四、公鑰密碼體制與RSA算法1．公鑰密碼體制公開密碼體制是20世紀(jì)70年代由Diffie和Hellman等人所提出，它是密碼學(xué)理論的劃時代突破。公開密碼體制修正了密鑰的對稱性，它一方面，為數(shù)據(jù)的保密性、完整性、真實性提供了有效方便的技術(shù)。另一方面，科學(xué)地解決了密碼技術(shù)的瓶頸──密鑰的分配問題。2．RAS算法流程RSA算法主要包括三個部分：☆密鑰的生成（1）生成大的素數(shù)p和q，計算乘積n=p╳q；（2）歐拉函數(shù)Φ(n)=(p-1)╳(q-1)，任意選取整數(shù)e與Φ(n)互質(zhì)，e用做加密密鑰；（3）據(jù)d╳e=1modΦ(n)，確定解密密鑰d；（4）公開(e,n)做為加密密鑰，秘密保存d做為解密密鑰。☆加密過程。對于明文P，加密得密文C=Pemodn?！罱饷苓^程。對于密文C，解密得明文P=Cdmodn。除算法本身外，RSA算法中還需注意幾個環(huán)節(jié)：（1）素數(shù)的產(chǎn)生與檢測；（采用概率檢測法）（2）明文的數(shù)字化處理；（3）素數(shù)長度的考慮（RSA算法的安全性）。3．公鑰密碼體制的使用五、消息摘要算法散列函數(shù)對明文認(rèn)證和數(shù)字簽名都是非常必要的工具。散列函數(shù)值可以說是對明文的一種“指紋”或是摘要。散列函數(shù)必須滿足下面的條件：散列函數(shù)可以將任意長度的信息轉(zhuǎn)變?yōu)楣潭ㄩL度的散列函數(shù)值。對任意的明文m，散列函數(shù)值h(m)可通過軟件或硬件很容易的產(chǎn)生。散列函數(shù)逆向運(yùn)算是不可行的。不同的明文，散列函數(shù)值相同的可能性極小，可以忽略。1．MD5算法將任意長度明文計算為128比特的散列值，在互聯(lián)網(wǎng)應(yīng)用廣泛。2．SHA算法美國國家標(biāo)準(zhǔn)局為配合數(shù)字簽名算法設(shè)計的消息摘要算法。內(nèi)容小結(jié)：密碼學(xué)的一般模型；現(xiàn)代密碼體制的分類；古典加密體制；對稱密碼體制AES；公鑰密碼體制RSA報文摘要算法MD5SHA板書提綱：$2.1密碼學(xué)與信息加密一、密碼學(xué)概述二、古典加密置換替換三、對稱密碼體制與AESDES、IDEA、AES四、公鑰密碼體制與RSA五、消息摘要函數(shù)MD5SHA知識擴(kuò)展：無全程PPT輔助講解討論：密碼學(xué)的應(yīng)用軍事領(lǐng)域：如“二戰(zhàn)”時期恩尼格碼、紫密，反例：山本五十六之死思政：保密就是保生命，保密就是保勝利啟發(fā)思考：單表替換的安全性如何？單表替換不能抵抗語言統(tǒng)計學(xué)分析，密文越長規(guī)越明顯。因此引入多表替換。45分鐘，課間顯示曾子兵法與現(xiàn)代網(wǎng)絡(luò)用語分析：互聯(lián)網(wǎng)就是一個巨大的的云計算平臺實例：DESCHALL競賽討論：對稱密碼體制使用中的難點問題？密鑰的分配舉例：我們每天都在用消息摘要算法。Windows登錄網(wǎng)絡(luò)應(yīng)用登錄小結(jié)：回顧本次課的主要教學(xué)內(nèi)容，加深學(xué)員對知識體系的印象作業(yè)、討論題、思考題：作業(yè)：2-1、2-3、2-5研討：1.密碼學(xué)在軍事通信網(wǎng)絡(luò)中的應(yīng)用2．古典密碼體制是否退出軍事應(yīng)用的歷史舞臺？3．課下查閱資料，了解王小云、潘建偉院士的主要研究成果和事跡。課堂教學(xué)后記：（課堂教學(xué)反思、課堂優(yōu)化設(shè)計構(gòu)想等內(nèi)容，必須手寫）《通信網(wǎng)絡(luò)安全與防護(hù)》課程教案授課時間年月日周節(jié)課次4授課方式（請打√）理論課√討論課□實驗課□習(xí)題課□其他□課時安排2授課題目（教學(xué)章、節(jié)或主題）：第二章網(wǎng)絡(luò)信息安全（下）教學(xué)目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉密鑰分配與管理的方法;（2）掌握消息認(rèn)證、身份認(rèn)證、PKI的基本概念，重點掌握數(shù)字簽名的工作過程及工作原理；（3）了解訪問控制策略與機(jī)制，掌握訪問控制的工作原理。教學(xué)重點及難點：重點：數(shù)字簽名的工作過程與工作原理；難點：強(qiáng)制訪問控制策略。課堂教學(xué)設(shè)計（含思政）：本次課采用結(jié)合部隊裝備講解、結(jié)合實例講解等教學(xué)方法，如講解密鑰分配時介紹新型核常機(jī)動指揮系統(tǒng)中的密鑰分配裝備運(yùn)用，講解身份認(rèn)證時結(jié)合生活中的網(wǎng)上銀行、大門門禁等實例，講解數(shù)字簽名時以作戰(zhàn)命令的傳遞中存在的偽造、篡改、抵賴等威脅為例說明數(shù)字簽名的需求。全程采用以多媒體為主的信息化教學(xué)手段進(jìn)行授課，并引導(dǎo)學(xué)員課下查閱相關(guān)資料。思政要素切入點：通過密鑰分配、認(rèn)證、訪問控制在軍事中的應(yīng)用，引導(dǎo)學(xué)員結(jié)合將來從事的崗位進(jìn)行思考，增強(qiáng)對信息保密和網(wǎng)絡(luò)防護(hù)重要性認(rèn)識，提高對保密、網(wǎng)絡(luò)防護(hù)工作的政治站位，增強(qiáng)使命感。教學(xué)基本內(nèi)容課堂教學(xué)設(shè)計回顧與引入：回顧上節(jié)課主要內(nèi)容，通過兩個測試題檢驗學(xué)員對知識點掌握情況；對本節(jié)課的內(nèi)容組織進(jìn)行介紹，并明確本節(jié)課教學(xué)目標(biāo)。本節(jié)內(nèi)容：（主要內(nèi)容框架、要點、重點，建議不要寫成講稿）2.2密鑰分配與管理一、密鑰管理概述密鑰的安全十分重要，密鑰的管理問題凸顯。密鑰的管理綜合了密鑰的等一系列過程。所有的工作都圍繞一個宗旨，即確保使用中的密鑰是安全的。1．密鑰的生成與分配2．密鑰的保護(hù)與存儲3．密鑰的有效性與使用控制二、密鑰的分類根據(jù)密碼系統(tǒng)的類型劃分為對稱密鑰和公開密鑰。根據(jù)密鑰的用途劃分為數(shù)據(jù)會話密鑰、密鑰加密密鑰、公鑰系統(tǒng)中的私鑰、公鑰系統(tǒng)中的公鑰。根據(jù)密鑰的有效期劃分一次性密鑰和重復(fù)性密鑰。三、密鑰分配1.密鑰分配實現(xiàn)的基本方法安全的密鑰分配通過建立安全信道來實現(xiàn)。密鑰分配的研究一般解決兩個問題：一是引進(jìn)自動分配密鑰機(jī)制；二是盡可能減少系統(tǒng)中駐留的密鑰量。基于對稱密碼體制的安全信道基于雙鑰密碼體制的安全信道基于量子密碼體制的安全信道2.密鑰分配系統(tǒng)的實現(xiàn)模式小型網(wǎng)絡(luò)：每兩個用戶之間共享一個密鑰大型網(wǎng)絡(luò)：采用密鑰中心的方式，可以采用密鑰傳送中心和密鑰分配中心2.3安全認(rèn)證一、消息認(rèn)證消息認(rèn)證一般通過消息認(rèn)證碼（MessageAuthenticationCode，MAC）實現(xiàn)，它利用密鑰生成一個固定長度的短數(shù)據(jù)塊，并將該數(shù)據(jù)塊附加在消息之后。接收方對收到的消息用相同的密鑰K進(jìn)行相同的計算，并得出新的MAC，然后將接收到的MAC與其計算出的MAC進(jìn)行比較。接收方可以相信消息未被修改接收方可以相信消息來自真正的發(fā)送方如果消息中含有序列號，接收方可以相信信息順序是正確的二、數(shù)字簽名數(shù)字簽名以電子方式存儲簽名消息，是在數(shù)字文檔上進(jìn)行身份驗證的技術(shù)。數(shù)字簽名必須做到：接收者和第三方都能夠驗證文檔來自簽名者，并且文檔簽名后沒有被修改，簽名者也不能否認(rèn)對文檔的簽名。三、身份認(rèn)證從身份認(rèn)證實現(xiàn)所需條件來看，身份認(rèn)證技術(shù)分為:單因子認(rèn)證雙（多）因子認(rèn)證依據(jù)認(rèn)證的基本原理劃分，身份認(rèn)證劃分為:靜態(tài)身份認(rèn)證動態(tài)身份認(rèn)證四、公鑰基礎(chǔ)設(shè)施1.PKI的定義及組成PKI是一種利用公鑰密碼理論和技術(shù)建立起來的、提供信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI目的是從技術(shù)上解決網(wǎng)上身份認(rèn)證、電子信息的完整性和不可抵賴性等安全問題，為網(wǎng)絡(luò)應(yīng)用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務(wù)。PKI系統(tǒng)包括6個部分:證書機(jī)構(gòu)、注冊機(jī)構(gòu)、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢系統(tǒng)、應(yīng)用接口。2.數(shù)字證書及其應(yīng)用數(shù)字證書是一個經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。用于在網(wǎng)絡(luò)空間中證明用戶的身份及公鑰信息。2.4訪問控制訪問控制的實質(zhì)是對資源使用的限制，保障授權(quán)用戶能夠獲得所需的資源，同時又能阻止非授權(quán)用戶使用的安全機(jī)制。一、訪問控制策略和機(jī)制訪問控制的策略一般分為以下三種。1)自主訪問控制(DiscretionaryAccessControl，DAC)：資源的所有者能夠按照自身的意愿授予另一個實體訪問某些資源的權(quán)限，由此稱為自主訪問控制。2)強(qiáng)制訪問控制(MandatorilyAccessControl，MAC)：訪問某種資源的實體不能按其自身意愿授予其他實體訪問該資源的權(quán)限，因此稱之為強(qiáng)制訪問控制。它根據(jù)用戶安全許可的安全標(biāo)記控制訪問。3)基于角色的訪問控制(Role-BasedAccessControl，RBAC)：基于系統(tǒng)中用戶的角色和屬于該類角色的訪問權(quán)限控制訪問。二、自主訪問控制自主訪問控制通常通過ACL（訪問控制列表）來實現(xiàn)，訪問控制列表是對訪問控制矩陣的一種分解。三、強(qiáng)制訪問控制MAC是一種多級訪問控制策略，主要特點是系統(tǒng)對訪問主體和受控對象實施強(qiáng)制訪問控制。根據(jù)對客體資源保護(hù)不同的重點，訪問控制策略可以分為兩種。保障信息完整性策略：向上讀、向下寫保障信息機(jī)密性策略：向上寫、向下讀四、基于角色的訪問控制基本思想是將訪問許可權(quán)分配給一定的角色，用戶通過其扮演不同的角色以取得該角色所擁有的訪問許可權(quán)，這些用戶往往不是被訪問客體信息資源的所有者。角色被定義為與一個特定活動相關(guān)聯(lián)的一組動作和責(zé)任。內(nèi)容小結(jié)：密鑰的分配與管理；安全認(rèn)證：消息認(rèn)證、數(shù)字簽名、身份認(rèn)證；公鑰基礎(chǔ)設(shè)施PKI；訪問控制：自主訪問控制、強(qiáng)制訪問控制、基于角色的訪問控制。板書提綱：$2.2密鑰的分配與管理一、密鑰管理二、密鑰分類三、密鑰分配$2.3安全認(rèn)證一、消息認(rèn)證二、數(shù)字簽名三、身份認(rèn)證四、公開密鑰基礎(chǔ)設(shè)施PKI$2.4訪問控制一、自主訪問控制二、強(qiáng)制訪問控制三、基于角色的訪問控制知識擴(kuò)展：無全程PPT輔助講解提問：現(xiàn)代密碼學(xué)基本原則?引出密鑰分配與管理拓展：新型核常機(jī)動指揮系統(tǒng)中的密鑰分發(fā)裝備應(yīng)用思政：引導(dǎo)學(xué)員提高對信息保密的重視補(bǔ)充：量子