《網絡安全協(xié)議IPSec》教學設計

徐微 閆淑霞 張晨光 丁麗婭 郭華??

摘 要：網絡安全協(xié)議就是在協(xié)議中采用了若干密碼算法——加密技術、認證技術，以保證信息安全交換網絡協(xié)議。目前被廣泛使用的TCP/IP協(xié)議在最初設計時是基于一種可信網絡環(huán)境來考慮設計的，沒有考慮安全性問題?，F(xiàn)實情況是互聯(lián)網和Web容易受到攻擊，因此安全Web服務應運而生，即建立在TCP/IP基礎之上的Internet的安全架構需要補充安全協(xié)議來實現(xiàn)。本文以《網絡安全協(xié)議IPSec》一節(jié)內容為例，研究發(fā)現(xiàn)式教學法、類比學習法在《網絡安全技術》課程中的應用，培養(yǎng)學生應用知識進行分析解決網絡安全相關的實際問題的能力。

關鍵詞：網絡安全；教學設計；學習興趣；教學方法

一、 課程簡介

《網絡安全技術》課程是一門綜合性極強的課程，涵蓋的內容極為廣泛。通過本課程的學習，能夠使學生對網絡安全技術從整體上有一個較全面的了解，培養(yǎng)學生應用知識進行分析解決網絡安全相關的實際問題的能力，為他們在今后的專業(yè)學習或從事相關領域的工作打好堅實的理論基礎。

二、 教學目的

理解IPSec協(xié)議的基本功能、掌握IPSec的體系結構、了解驗證頭部協(xié)議和封裝安全載荷協(xié)議工作過程、掌握IPSec的傳輸模式、了解IPSec的密鑰管理協(xié)議。

三、 教學內容與教學設計

（一） IPSec協(xié)議概述

IPSec實現(xiàn)了對數據包高質量和基于密碼的安全操作，它可以對數據實行加密，而且是基于高質量的加密算法。當我們在網絡層啟用了IPSec后，可以在網絡層實現(xiàn)多種安全服務，具體包括訪問控制、無連接完整性、數據源驗證、抗重播、機密性以及有限業(yè)務流的機密性。

IPSec不僅可以在Windows操作系統(tǒng)上可以實現(xiàn)，在Unix，Linux，在路由器、三層交換機、防火墻上都可以實現(xiàn)，所以它是一種通用的安全解決方案。為什么要使用IPSec呢？關鍵在于它是在網絡層實行加解密，在網絡層提供安全服務的。那么網絡層的安全服務的優(yōu)點在于：

1. 便于在企業(yè)和企業(yè)之間來實現(xiàn)安全，密鑰協(xié)商的開銷被大大地削減。

2. 不需要客戶端對自己的應用程序去做修改，因為可以在連接外網的路由器上進行配置，對用戶的操作是透明的，所以需要改動的應用程序很少。

3. 通過IPSec，很容易幫助企業(yè)來構建VPN。

（二） IPSec體系結構

在IPSec體系結構中定義了兩種安全協(xié)議：驗證頭部協(xié)議（AH）和封裝安全載荷協(xié)議（ESP），每個協(xié)議都有自身的一些格式標準。這兩個協(xié)議，不管是ESP協(xié)議還是AH協(xié)議，都涉及將明文轉化成密文的加密算法，以及對身份和數據完整性進行鑒別的鑒別算法。無論是加密還是鑒別，都涉及密鑰的問題，所以有統(tǒng)一的密鑰管理。最后，它支持在不同企業(yè)中，由不同的用戶根據不同服務指定不同的策略。這樣在用戶中，IPSec的差異性和多樣性就存在了，提高了攻擊者的攻擊難度。

（三） 驗證頭部協(xié)議和封裝安全載荷協(xié)議

IPSec在工作時，不管是AH還是ESP，它的工作模式有兩種，分別叫做傳輸模式和隧道模式。原始的IP包，如果拿傳輸模式封裝的話，是在原始數據包中新加一個IPSec包頭（如果采用AH協(xié)議，就是AH包頭；如果采用ESP協(xié)議，就是ESP包頭），并對原始數據作加密操作。但如果在隧道模式的話，會認為整個IP包都是要加密處理的有效數據部分，然后直接在外面加一個IPSec頭，最后再加一個新的IP頭。

AH協(xié)議提供的安全服務包括身份認證、數據完整性校驗和重放攻擊保護。ESP協(xié)議除了可以提供上述安全服務外，還可以提供數據加密安全服務。ESP可以取代AH嗎？不可以，因為ESP并不檢查整個IP包的完整性，它所保護的內容不包括IP包頭。而AH與之相反，它檢查整個IPSec包的完整性，其中也包括IP包頭。

（四） 密鑰管理協(xié)議

實現(xiàn)IPSec協(xié)議涉及一大堆的算法，例如，提供完整性驗證的算法有MD5、SHA等；要提供身份驗證，可以用證書來驗證，用簽名，也可以用預先共享的密鑰來驗證；要實現(xiàn)加密，對稱的加密算法有DES、AES等，對稱算法密鑰要采用非對稱來加密保護，非對稱算法有RSA、DH等，同時也涉及密鑰的管理。所以在IPSec中除了兩大協(xié)議，剩余的重要部分就是密鑰管理部分。機密的交換，在網絡中必須得有一些安全協(xié)議來專門完成這些操作。交換算法和密鑰的專門的交換協(xié)議，分別叫作ISAKMP（Internet安全關聯(lián)密鑰管理協(xié)議）和ISAKMP（Internet安全關聯(lián)密鑰管理協(xié)議）。ISAKMP定義了密鑰管理框架，IKE是目前正式確定于IPSec的密鑰交換協(xié)議，ISAKMP是個低版本，IKE是個高版本。

四、 小結

本文以《網絡安全協(xié)議IPSec》一節(jié)內容為例，探究發(fā)現(xiàn)式教學法在《網絡安全技術》課程中的應用。利用互動環(huán)節(jié)，充分調動學生的學習積極性，以便使學生全方位參與教學過程，引導學生發(fā)現(xiàn)問題、分析問題、解決問題，提高學生分析問題的能力。

參考文獻：

[1]倪亮，李向東，潘恒，夏冰，潘磊，鄭秋生.《網絡安全技術》課程教學改革探討[J].教育教學論壇，2016（04）：142-145.

[2]黃淑華.“計算機網絡”課程考試改革與實踐[J].考試周刊，2016（99）：1-2.

作者簡介：

徐微，副教授；閆淑霞，講師；張晨光，講師；丁麗婭，講師；郭華，講師；天津市，天津工業(yè)大學電子與信息工程學院。