《通信網絡安全與防護》課程教案授課時間年月日周節課次4授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節或主題）：第二章網絡信息安全（下）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉密鑰分配與管理的方法;（2）掌握消息認證、身份認證、PKI的基本概念，重點掌握數字簽名的工作過程及工作原理；（3）了解訪問控制策略與機制，掌握訪問控制的工作原理。教學重點及難點：重點：數字簽名的工作過程與工作原理；難點：強制訪問控制策略。課堂教學設計（含思政）：本次課采用結合部隊裝備講解、結合實例講解等教學方法，如講解密鑰分配時介紹新型核常機動指揮系統中的密鑰分配裝備運用，講解身份認證時結合生活中的網上銀行、大門門禁等實例，講解數字簽名時以作戰命令的傳遞中存在的偽造、篡改、抵賴等威脅為例說明數字簽名的需求。全程采用以多媒體為主的信息化教學手段進行授課，并引導學員課下查閱相關資料。思政要素切入點：通過密鑰分配、認證、訪問控制在軍事中的應用，引導學員結合將來從事的崗位進行思考，增強對信息保密和網絡防護重要性認識，提高對保密、網絡防護工作的政治站位，增強使命感。教學基本內容課堂教學設計回顧與引入：回顧上節課主要內容，通過兩個測試題檢驗學員對知識點掌握情況；對本節課的內容組織進行介紹，并明確本節課教學目標。本節內容：（主要內容框架、要點、重點，建議不要寫成講稿）2.2密鑰分配與管理一、密鑰管理概述密鑰的安全十分重要，密鑰的管理問題凸顯。密鑰的管理綜合了密鑰的等一系列過程。所有的工作都圍繞一個宗旨，即確保使用中的密鑰是安全的。1．密鑰的生成與分配2．密鑰的保護與存儲3．密鑰的有效性與使用控制二、密鑰的分類根據密碼系統的類型劃分為對稱密鑰和公開密鑰。根據密鑰的用途劃分為數據會話密鑰、密鑰加密密鑰、公鑰系統中的私鑰、公鑰系統中的公鑰。根據密鑰的有效期劃分一次性密鑰和重復性密鑰。三、密鑰分配1.密鑰分配實現的基本方法安全的密鑰分配通過建立安全信道來實現。密鑰分配的研究一般解決兩個問題：一是引進自動分配密鑰機制；二是盡可能減少系統中駐留的密鑰量。基于對稱密碼體制的安全信道基于雙鑰密碼體制的安全信道基于量子密碼體制的安全信道2.密鑰分配系統的實現模式小型網絡：每兩個用戶之間共享一個密鑰大型網絡：采用密鑰中心的方式，可以采用密鑰傳送中心和密鑰分配中心2.3安全認證一、消息認證消息認證一般通過消息認證碼（MessageAuthenticationCode，MAC）實現，它利用密鑰生成一個固定長度的短數據塊，并將該數據塊附加在消息之后。接收方對收到的消息用相同的密鑰K進行相同的計算，并得出新的MAC，然后將接收到的MAC與其計算出的MAC進行比較。接收方可以相信消息未被修改接收方可以相信消息來自真正的發送方如果消息中含有序列號，接收方可以相信信息順序是正確的二、數字簽名數字簽名以電子方式存儲簽名消息，是在數字文檔上進行身份驗證的技術。數字簽名必須做到：接收者和第三方都能夠驗證文檔來自簽名者，并且文檔簽名后沒有被修改，簽名者也不能否認對文檔的簽名。三、身份認證從身份認證實現所需條件來看，身份認證技術分為:單因子認證雙（多）因子認證依據認證的基本原理劃分，身份認證劃分為:靜態身份認證動態身份認證四、公鑰基礎設施1.PKI的定義及組成PKI是一種利用公鑰密碼理論和技術建立起來的、提供信息安全服務的基礎設施。PKI目的是從技術上解決網上身份認證、電子信息的完整性和不可抵賴性等安全問題，為網絡應用（如瀏覽器、電子郵件、電子交易）提供可靠的安全服務。PKI系統包括6個部分:證書機構、注冊機構、數字證書庫、密鑰備份及恢復系統、證書作廢系統、應用接口。2.數字證書及其應用數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。用于在網絡空間中證明用戶的身份及公鑰信息。2.4訪問控制訪問控制的實質是對資源使用的限制，保障授權用戶能夠獲得所需的資源，同時又能阻止非授權用戶使用的安全機制。一、訪問控制策略和機制訪問控制的策略一般分為以下三種。1)自主訪問控制(DiscretionaryAccessControl，DAC)：資源的所有者能夠按照自身的意愿授予另一個實體訪問某些資源的權限，由此稱為自主訪問控制。2)強制訪問控制(MandatorilyAccessControl，MAC)：訪問某種資源的實體不能按其自身意愿授予其他實體訪問該資源的權限，因此稱之為強制訪問控制。它根據用戶安全許可的安全標記控制訪問。3)基于角色的訪問控制(Role-BasedAccessControl，RBAC)：基于系統中用戶的角色和屬于該類角色的訪問權限控制訪問。二、自主訪問控制自主訪問控制通常通過ACL（訪問控制列表）來實現，訪問控制列表是對訪問控制矩陣的一種分解。三、強制訪問控制MAC是一種多級訪問控制策略，主要特點是系統對訪問主體和受控對象實施強制訪問控制。根據對客體資源保護不同的重點，訪問控制策略可以分為兩種。保障信息完整性策略：向上讀、向下寫保障信息機密性策略：向上寫、向下讀四、基于角色的訪問控制基本思想是將訪問許可權分配給一定的角色，用戶通過其扮演不同的角色以取得該角色所擁有的訪問許可權，這些用戶往往不是被訪問客體信息資源的所有者。角色被定義為與一個特定活動相關聯的一組動作和責任。內容小結：密鑰的分配與管理；安全認證：消息認證、數字簽名、身份認證；公鑰基礎設施PKI；訪問控制：自主訪問控制、強制訪問控制、基于角色的訪問控制。板書提綱：$2.2密鑰的分配與管理一、密鑰管理二、密鑰分類三、密鑰分配$2.3安全認證一、消息認證二、數字簽名三、身份認證四、公開密鑰基礎設施PKI$2.4訪問控制一、自主訪問控制二、強制訪問控制三、基于角色的訪問控制知識擴展：無全程PPT輔助講解提問：現代密碼學基本原則?引出密鑰分配與管理拓展：新型核常機動指揮系統中的密鑰分發裝備應用思政：引導學員提高對信息保密的重視補充：量子密鑰分發鏈接：墨子號報導視頻思考：如何保證通信雙方的身份真實性？如何保證物理信道和資源不被非法用戶使用？如何防止通信的相關信息被第三方篡改？思考：公鑰密碼體制是傳遞密鑰的最佳方式，但其前提是確信擁有了對方的公鑰。如何確信通信雙方獲得了對方的公鑰呢？反例：宣稱公鑰的中間人攻擊