《网络安全协议IPSec》教学设计

徐微 闫淑霞 张晨光 丁丽娅 郭华��

摘 要：网络安全协议就是在协议中采用了若干密码算法——加密技术、认证技术，以保证信息安全交换网络协议。目前被广泛使用的TCP/IP协议在最初设计时是基于一种可信网络环境来考虑设计的，没有考虑安全性问题。现实情况是互联网和Web容易受到攻击，因此安全Web服务应运而生，即建立在TCP/IP基础之上的Internet的安全架构需要补充安全协议来实现。本文以《网络安全协议IPSec》一节内容为例，研究发现式教学法、类比学习法在《网络安全技术》课程中的应用，培养学生应用知识进行分析解决网络安全相关的实际问题的能力。

关键词：网络安全；教学设计；学习兴趣；教学方法

一、 课程简介

《网络安全技术》课程是一门综合性极强的课程，涵盖的内容极为广泛。通过本课程的学习，能够使学生对网络安全技术从整体上有一个较全面的了解，培养学生应用知识进行分析解决网络安全相关的实际问题的能力，为他们在今后的专业学习或从事相关领域的工作打好坚实的理论基础。

二、 教学目的

理解IPSec协议的基本功能、掌握IPSec的体系结构、了解验证头部协议和封装安全载荷协议工作过程、掌握IPSec的传输模式、了解IPSec的密钥管理协议。

三、 教学内容与教学设计

（一） IPSec协议概述

IPSec实现了对数据包高质量和基于密码的安全操作，它可以对数据实行加密，而且是基于高质量的加密算法。当我们在网络层启用了IPSec后，可以在网络层实现多种安全服务，具体包括访问控制、无连接完整性、数据源验证、抗重播、机密性以及有限业务流的机密性。

IPSec不仅可以在Windows操作系统上可以实现，在Unix，Linux，在路由器、三层交换机、防火墙上都可以实现，所以它是一种通用的安全解决方案。为什么要使用IPSec呢？关键在于它是在网络层实行加解密，在网络层提供安全服务的。那么网络层的安全服务的优点在于：

1. 便于在企业和企业之间来实现安全，密钥协商的开销被大大地削减。

2. 不需要客户端对自己的应用程序去做修改，因为可以在连接外网的路由器上进行配置，对用户的操作是透明的，所以需要改動的应用程序很少。

3. 通过IPSec，很容易帮助企业来构建VPN。

（二） IPSec体系结构

在IPSec体系结构中定义了两种安全协议：验证头部协议（AH）和封装安全载荷协议（ESP），每个协议都有自身的一些格式标准。这两个协议，不管是ESP协议还是AH协议，都涉及将明文转化成密文的加密算法，以及对身份和数据完整性进行鉴别的鉴别算法。无论是加密还是鉴别，都涉及密钥的问题，所以有统一的密钥管理。最后，它支持在不同企业中，由不同的用户根据不同服务指定不同的策略。这样在用户中，IPSec的差异性和多样性就存在了，提高了攻击者的攻击难度。

（三） 验证头部协议和封装安全载荷协议

IPSec在工作时，不管是AH还是ESP，它的工作模式有两种，分别叫做传输模式和隧道模式。原始的IP包，如果拿传输模式封装的话，是在原始数据包中新加一个IPSec包头（如果采用AH协议，就是AH包头；如果采用ESP协议，就是ESP包头），并对原始数据作加密操作。但如果在隧道模式的话，会认为整个IP包都是要加密处理的有效数据部分，然后直接在外面加一个IPSec头，最后再加一个新的IP头。

AH协议提供的安全服务包括身份认证、数据完整性校验和重放攻击保护。ESP协议除了可以提供上述安全服务外，还可以提供数据加密安全服务。ESP可以取代AH吗？不可以，因为ESP并不检查整个IP包的完整性，它所保护的内容不包括IP包头。而AH与之相反，它检查整个IPSec包的完整性，其中也包括IP包头。

（四） 密钥管理协议

实现IPSec协议涉及一大堆的算法，例如，提供完整性验证的算法有MD5、SHA等；要提供身份验证，可以用证书来验证，用签名，也可以用预先共享的密钥来验证；要实现加密，对称的加密算法有DES、AES等，对称算法密钥要采用非对称来加密保护，非对称算法有RSA、DH等，同时也涉及密钥的管理。所以在IPSec中除了两大协议，剩余的重要部分就是密钥管理部分。机密的交换，在网络中必须得有一些安全协议来专门完成这些操作。交换算法和密钥的专门的交换协议，分别叫作ISAKMP（Internet安全关联密钥管理协议）和ISAKMP（Internet安全关联密钥管理协议）。ISAKMP定义了密钥管理框架，IKE是目前正式确定于IPSec的密钥交换协议，ISAKMP是个低版本，IKE是个高版本。

四、 小结

本文以《网络安全协议IPSec》一节内容为例，探究发现式教学法在《网络安全技术》课程中的应用。利用互动环节，充分调动学生的学习积极性，以便使学生全方位参与教学过程，引导学生发现问题、分析问题、解决问题，提高学生分析问题的能力。

参考文献：

[1]倪亮，李向东，潘恒，夏冰，潘磊，郑秋生.《网络安全技术》课程教学改革探讨[J].教育教学论坛，2016（04）：142-145.

[2]黄淑华.“计算机网络”课程考试改革与实践[J].考试周刊，2016（99）：1-2.

作者简介：

徐微，副教授；闫淑霞，讲师；张晨光，讲师；丁丽娅，讲师；郭华，讲师；天津市，天津工业大学电子与信息工程学院。