徐微 閆淑霞 張晨光 丁麗婭 郭華??

摘 要：網(wǎng)絡(luò)安全協(xié)議就是在協(xié)議中采用了若干密碼算法——加密技術(shù)、認(rèn)證技術(shù)，以保證信息安全交換網(wǎng)絡(luò)協(xié)議。目前被廣泛使用的TCP/IP協(xié)議在最初設(shè)計(jì)時(shí)是基于一種可信網(wǎng)絡(luò)環(huán)境來考慮設(shè)計(jì)的，沒有考慮安全性問題?，F(xiàn)實(shí)情況是互聯(lián)網(wǎng)和Web容易受到攻擊，因此安全Web服務(wù)應(yīng)運(yùn)而生，即建立在TCP/IP基礎(chǔ)之上的Internet的安全架構(gòu)需要補(bǔ)充安全協(xié)議來實(shí)現(xiàn)。本文以《網(wǎng)絡(luò)安全協(xié)議IPSec》一節(jié)內(nèi)容為例，研究發(fā)現(xiàn)式教學(xué)法、類比學(xué)習(xí)法在《網(wǎng)絡(luò)安全技術(shù)》課程中的應(yīng)用，培養(yǎng)學(xué)生應(yīng)用知識進(jìn)行分析解決網(wǎng)絡(luò)安全相關(guān)的實(shí)際問題的能力。

關(guān)鍵詞：網(wǎng)絡(luò)安全；教學(xué)設(shè)計(jì)；學(xué)習(xí)興趣；教學(xué)方法

一、 課程簡介

《網(wǎng)絡(luò)安全技術(shù)》課程是一門綜合性極強(qiáng)的課程，涵蓋的內(nèi)容極為廣泛。通過本課程的學(xué)習(xí)，能夠使學(xué)生對網(wǎng)絡(luò)安全技術(shù)從整體上有一個較全面的了解，培養(yǎng)學(xué)生應(yīng)用知識進(jìn)行分析解決網(wǎng)絡(luò)安全相關(guān)的實(shí)際問題的能力，為他們在今后的專業(yè)學(xué)習(xí)或從事相關(guān)領(lǐng)域的工作打好堅(jiān)實(shí)的理論基礎(chǔ)。

二、 教學(xué)目的

理解IPSec協(xié)議的基本功能、掌握IPSec的體系結(jié)構(gòu)、了解驗(yàn)證頭部協(xié)議和封裝安全載荷協(xié)議工作過程、掌握IPSec的傳輸模式、了解IPSec的密鑰管理協(xié)議。

三、 教學(xué)內(nèi)容與教學(xué)設(shè)計(jì)

（一） IPSec協(xié)議概述

IPSec實(shí)現(xiàn)了對數(shù)據(jù)包高質(zhì)量和基于密碼的安全操作，它可以對數(shù)據(jù)實(shí)行加密，而且是基于高質(zhì)量的加密算法。當(dāng)我們在網(wǎng)絡(luò)層啟用了IPSec后，可以在網(wǎng)絡(luò)層實(shí)現(xiàn)多種安全服務(wù)，具體包括訪問控制、無連接完整性、數(shù)據(jù)源驗(yàn)證、抗重播、機(jī)密性以及有限業(yè)務(wù)流的機(jī)密性。

IPSec不僅可以在Windows操作系統(tǒng)上可以實(shí)現(xiàn)，在Unix，Linux，在路由器、三層交換機(jī)、防火墻上都可以實(shí)現(xiàn)，所以它是一種通用的安全解決方案。為什么要使用IPSec呢？關(guān)鍵在于它是在網(wǎng)絡(luò)層實(shí)行加解密，在網(wǎng)絡(luò)層提供安全服務(wù)的。那么網(wǎng)絡(luò)層的安全服務(wù)的優(yōu)點(diǎn)在于：

1. 便于在企業(yè)和企業(yè)之間來實(shí)現(xiàn)安全，密鑰協(xié)商的開銷被大大地削減。

2. 不需要客戶端對自己的應(yīng)用程序去做修改，因?yàn)榭梢栽谶B接外網(wǎng)的路由器上進(jìn)行配置，對用戶的操作是透明的，所以需要改動的應(yīng)用程序很少。

3. 通過IPSec，很容易幫助企業(yè)來構(gòu)建VPN。

（二） IPSec體系結(jié)構(gòu)

在IPSec體系結(jié)構(gòu)中定義了兩種安全協(xié)議：驗(yàn)證頭部協(xié)議（AH）和封裝安全載荷協(xié)議（ESP），每個協(xié)議都有自身的一些格式標(biāo)準(zhǔn)。這兩個協(xié)議，不管是ESP協(xié)議還是AH協(xié)議，都涉及將明文轉(zhuǎn)化成密文的加密算法，以及對身份和數(shù)據(jù)完整性進(jìn)行鑒別的鑒別算法。無論是加密還是鑒別，都涉及密鑰的問題，所以有統(tǒng)一的密鑰管理。最后，它支持在不同企業(yè)中，由不同的用戶根據(jù)不同服務(wù)指定不同的策略。這樣在用戶中，IPSec的差異性和多樣性就存在了，提高了攻擊者的攻擊難度。

（三） 驗(yàn)證頭部協(xié)議和封裝安全載荷協(xié)議

IPSec在工作時(shí)，不管是AH還是ESP，它的工作模式有兩種，分別叫做傳輸模式和隧道模式。原始的IP包，如果拿傳輸模式封裝的話，是在原始數(shù)據(jù)包中新加一個IPSec包頭（如果采用AH協(xié)議，就是AH包頭；如果采用ESP協(xié)議，就是ESP包頭），并對原始數(shù)據(jù)作加密操作。但如果在隧道模式的話，會認(rèn)為整個IP包都是要加密處理的有效數(shù)據(jù)部分，然后直接在外面加一個IPSec頭，最后再加一個新的IP頭。

AH協(xié)議提供的安全服務(wù)包括身份認(rèn)證、數(shù)據(jù)完整性校驗(yàn)和重放攻擊保護(hù)。ESP協(xié)議除了可以提供上述安全服務(wù)外，還可以提供數(shù)據(jù)加密安全服務(wù)。ESP可以取代AH嗎？不可以，因?yàn)镋SP并不檢查整個IP包的完整性，它所保護(hù)的內(nèi)容不包括IP包頭。而AH與之相反，它檢查整個IPSec包的完整性，其中也包括IP包頭。

（四） 密鑰管理協(xié)議

實(shí)現(xiàn)IPSec協(xié)議涉及一大堆的算法，例如，提供完整性驗(yàn)證的算法有MD5、SHA等；要提供身份驗(yàn)證，可以用證書來驗(yàn)證，用簽名，也可以用預(yù)先共享的密鑰來驗(yàn)證；要實(shí)現(xiàn)加密，對稱的加密算法有DES、AES等，對稱算法密鑰要采用非對稱來加密保護(hù)，非對稱算法有RSA、DH等，同時(shí)也涉及密鑰的管理。所以在IPSec中除了兩大協(xié)議，剩余的重要部分就是密鑰管理部分。機(jī)密的交換，在網(wǎng)絡(luò)中必須得有一些安全協(xié)議來專門完成這些操作。交換算法和密鑰的專門的交換協(xié)議，分別叫作ISAKMP（Internet安全關(guān)聯(lián)密鑰管理協(xié)議）和ISAKMP（Internet安全關(guān)聯(lián)密鑰管理協(xié)議）。ISAKMP定義了密鑰管理框架，IKE是目前正式確定于IPSec的密鑰交換協(xié)議，ISAKMP是個低版本，IKE是個高版本。

四、 小結(jié)

本文以《網(wǎng)絡(luò)安全協(xié)議IPSec》一節(jié)內(nèi)容為例，探究發(fā)現(xiàn)式教學(xué)法在《網(wǎng)絡(luò)安全技術(shù)》課程中的應(yīng)用。利用互動環(huán)節(jié)，充分調(diào)動學(xué)生的學(xué)習(xí)積極性，以便使學(xué)生全方位參與教學(xué)過程，引導(dǎo)學(xué)生發(fā)現(xiàn)問題、分析問題、解決問題，提高學(xué)生分析問題的能力。

參考文獻(xiàn)：

[1]倪亮，李向東，潘恒，夏冰，潘磊，鄭秋生.《網(wǎng)絡(luò)安全技術(shù)》課程教學(xué)改革探討[J].教育教學(xué)論壇，2016（04）：142-145.

[2]黃淑華.“計(jì)算機(jī)網(wǎng)絡(luò)”課程考試改革與實(shí)踐[J].考試周刊，2016（99）：1-2.

作者簡介：

徐微，副教授；閆淑霞，講師；張晨光，講師；丁麗婭，講師；郭華，講師；天津市，天津工業(yè)大學(xué)電子與信息工程學(xué)院。