《通信網絡安全與防護》課程教案授課時間年月日周節課次10授課方式（請打√）理論課√討論課□實驗課□習題課□其他□課時安排2授課題目（教學章、節或主題）：第六章網絡安全協議（上）教學目的、要求（分掌握、熟悉、了解三個層次）：（1）熟悉Kerberos與X.509兩種安全認證協議的實現原理及鑒別過程;（2）掌握IPsec體系結構，熟悉IPsec的實現方式，掌握IPsec的工作模式；（3）熟悉安全關聯SA的概念，掌握AH、ESP兩種協議的安全特性及首部格式；（4）了解IKE的實現方法。教學重點及難點：重點：AH、ESP兩種協議；難點：安全關聯SA的理解。課堂教學設計（含思政）：本次課主要講解典型的安全認證協議及IPsec協議，采用問題引入、對比分析等教學方法，采用多媒體為主的信息化教學手段進行授課，教學中注重通過問題或知識回顧的方式啟發學員思考，加強師生互動。思政要素切入點：通過協議設計的嚴密性（即協議需要將各種可能的不利因素考慮到），引導學員注重培養嚴謹細致的工作作風，促進職業素養提高；通過IPV4協議存在的安全隱患的分析，引導學員思考軍事網絡的安全風險，提高安全意識，增強對從事網絡安全防護工作重要性的認識。教學基本內容課堂教學設計回顧與引入：回顧第五章網絡防護技術的主要內容，通過三個測試題檢驗學員對知識點掌握情況；對網絡安全協議的分類介紹自己的思考，并明確本節課教學目標。本節內容：（主要內容框架、要點、重點，建議不要寫成講稿）6.1安全認證協議6.1.1Kerberos認證協議1．Kerberos概述Kerberos是一種網絡身份認證協議，其設計目的是通過密鑰密碼學技術為客戶端/服務器應用提供一種強身份認證的功能（Kerberos這個詞來源于希臘神話中看守冥府大門的三首地獄犬）。2．Kerberos認證過程Kerberos認證的具體流程如下3.Kerberos存在的問題6.1.2X.509認證1.概述X.509協議是國際電信聯盟電信標準化部門（ITU-T）制定的數字證書標準。2.證書的格式3.X.509的鑒別框架6.2安全通信協議人們很早就開始關注TCP/IP協議簇的安全性問題：地址欺騙風險數據篡改風險信息泄露風險高安全風險6.2.1IPSec協議簇1.IPSec設計目標與體系結構IPsec的設計目標是為IPv4和IPv6提供可互操作的、高質量的、基于密碼學的安全性保護。它工作在IP層，提供訪問控制、無連接的完整性、數據源認證、機密性保護、有限的數據流機密性保護以及抗重放攻擊等安全服務。IPsec的安全體系結構：2.IPSec實現方式與工作模式IPsec可以在主機、路由器(防火墻)或在兩者中同時實施和部署，常用的實現方式：集成方式堆棧中的塊bitS方式線纜中的塊bitW方式工作模式：傳輸模式隧道模式3．IPSec的安全關聯1）SA的定義2）SA的單向性3）SA的組合4）SA的兩種類型4.安全關聯數據庫處理IPsec數據流必須維護兩個與SA相關的數據庫：安全策略數據庫(SPD)和安全關聯數據庫(SAD)。5.AH協議6.ESP協議7.IKE協議IKE就是IPsec規定的一種用于動態管理和維護SA的協議。內容小結：Kerberos、X.509IPsec體系SA、SPD、SADAH、ESP、IKE板書提綱：$6.1安全認證協議一、Kerberos認證協議1．概述2．鑒別過程3．存在問題二、X.509認證1．概述2．證書格式3．鑒別框架$6.2安全通信協議一、IPSec1．IPSec設計目標與體系結構2．IPSec實現方式與工作模式3．IPSec的安全關聯4．安全關聯數據庫5．AH6．ESP7．IKE知識擴展：無全程PPT輔助講解回顧通信網技術基礎課程中對協議的定義由學員類比給出安全協議的理解什么是安全協議？引出教學內容對比分析：Kerberos基于對稱密碼體制；X.509基于公開密鑰密碼體制引導學員思考：IPV4為代表的TCP/IP協議簇存在哪些安全缺陷？引入安全通信協議的概念提問：IPV6的首部格式？IPV6的下一個首部目前定義了哪幾個？提示：當前IPV4與IPV6并行存在，過渡期內如何解決不同網絡間數據包穿越的問題？提示：區分SPD與SADSPD主要是明確對