應用型信息安全專業密碼學課程創新探索

李曉偉 陳本輝 楊鄧奇

摘 要：應用型信息安全人才培養應在掌握專業理論的同時更加注重實際能力的鍛煉以及實際問題的解決。以往信息安全人才培養中密碼學課程往往偏重密碼學數學原理的講授，密碼應用也多停留在理論。這導致學生即使可以實現各種算法，但在應用中仍然不能解決實際問題。以應用型人才培養為主的大理大學為例，探索在信息安全相關專業中進行密碼學課程的創新。從密碼學課程內容改革以及密碼綜合素質提升兩個角度進行探索，從而實現更為科學、更為合理的應用型信息人才培養的目標。

關鍵詞：應用型信息安全；人才培養；密碼學；課程改革

中圖分類號：G642 文獻標志碼：A 文章編號：2096-000X（2019）01-0041-03

Abstract： Application-oriented information security personnel training should pay more attention to practical ability training and practical problem solving while mastering professional theory. In the past， cryptography courses in the training of information security talents tend to emphasize the teaching of cryptography mathematics， and password applications are mostly in theory. It leads to the result that students know the algorithm implementation but they still cannot solve the practical problem. For example， Dali University， which focuses on application-oriented talent development， explores the innovation of cryptography courses in information security-related majors. The exploration is divided into two parts which are the revolutions of the cryptography courses and the improvement of comprehensive in cryptography. The exploration will make a more scientific and more reasonable goal for the applied personal training in information.

Keywords： applied information security； personal training； cryptography； course revolution

一、應用型信息安全專業密碼學課程出現的問題

密碼學是信息安全相關專業的基礎課程，是整個信息安全的基礎。密碼學提供數據及信息系統的保密性、完整性、認證性以及不可否認性等安全屬性[1]。應用型信息安全人才對于密碼知識的要求是了解各算法原理，熟悉算法特點以及掌握算法的應用。在以往的密碼學課程教學中更加重視密碼學中數學原理的講授以及密碼算法的實現。這樣的教學內容和方法更加適合于學術型高校，然而對于以應用型人才培養為主的高校，尤其是一些高職高專學校來說則不適合[2，3]。以大理大學為例，通過對學生的調查發現，學生反饋雖然學過各種加密算法、數字簽名算法以及Hash算法等，但是在遇到實際問題時仍然感到無從下手。同時，在實際應用中對于密碼相關安全問題的產生大都來源于密碼策略的使用以及密碼管理等問題，對于密碼算法的安全問題則較少[4，5]。基于此，嘗試以實際應用為出發點及立足點，對密碼學課程模式進行創新探索。

二、應用型信息安全專業密碼人才培養模式創新探索

1. 密碼學課程內容改革——輕理論，重應用。首先對密碼學課程模塊的劃分進行創新。傳統密碼學課程一般按照以下幾個方面進行講解：加密、數字簽名、認證以及安全協議幾個方面。這樣的分類方式代表了密碼學的幾個重要方向。然而，對于以應用型為主的學生來說這樣的講授順序很可能割裂各個知識點，學生掌握了一個知識點可能忘記另一個知識點[6]。基于此，從實際應用出發探索將密碼知識從以下幾個方面進行講解：數據存儲安全、數據傳輸安全、數據使用安全以及數據管理安全。以數據為出發點學生更加容易理解，也更容易聯想到實際應用場景。其次對密碼學實驗進行創新。考慮到實際場景往往不要求掌握具體密碼算法，更加重視密碼算法的應用及注意事項，對密碼學實驗按照圖1所示進行劃分。以數據安全為核心的實驗體系與以算法實現為核心的實驗體系相比更加符合實際應用。

數據存儲安全實驗分為常用文檔密碼（口令）破解實驗、常用系統及軟件密碼（口令）破解實驗、云環境下數據存儲安全實驗以及本地數據存儲安全實驗。常用文檔密碼破解實驗是密碼學實驗中的第一個實驗。我們引入office文檔破解、壓縮文件破解以及win7操作系統開機密碼破解。實際上密碼破解實驗并非理論意義上的密碼學，但是以這樣的方式可以讓學生對密碼學更加感興趣，學生會覺得這樣的實驗在現實生活中確實是實用的。從而進一步提升了學生對其他密碼學實驗的好奇，激發學生的學習動力。云環境下存儲數據是目前常用的數據存儲方式。然而云平臺下存儲數據也存在數據泄露、數據丟失等問題。基于此設計云環境下的數據存儲安全實驗，如利用密碼學中的Hash函數等方式實現數據的完整性等安全屬性，實現云數據存儲安全。整個存儲安全的原則是重點講解不同的場景使用什么樣的算法，使用什么樣的密鑰，通過什么樣的方式實現安全存儲。

數據傳輸安全實驗分為：Http及Https實驗、Ftp實驗以及密鑰協商實驗。數據傳輸安全實驗重點引入實際數據傳輸協議，在實際網絡通信環境下通過wireshark等數據包分析工具對網絡傳輸數據進行抓取分析，使學生切實感受到什么樣的場景需要數據傳輸安全以及怎樣保證數據傳輸安全。以Http傳輸協議為例，抓取某些網站用戶傳輸的登錄賬號和口令，學生會發現其中的賬號和密碼均以明文形式存在。這樣使學生切實體會到網絡安全協議在數據傳輸中的重要性，從而進一步導出Https協議。在Https協議中數據在傳輸過程中則會保持機密性、完整性以及可認證性。數據傳輸安全實驗的總體目的是讓學生掌握哪些網絡環境傳輸數據是安全的，哪些網絡協議能保證傳輸安全。

數據使用安全實驗分為：數據完整性篡改檢測實驗、多場景、多因素、多安全等級身份認證實驗、電子商務數據安全模擬實驗以及郵件、票據的抗否認實驗。數據的安全使用涉及到完整性、認證性以及不可否認性。基于此，在實際場景中引入這三種安全屬性。數據完整性實驗，主要以Hash函數和消息認證碼（Message Authentication Code， MAC）實驗為主。在實際場景中利用Hash函數保護本地文檔的完整性。針對Hash函數只提供弱完整性保護的缺點，繼續深入實現第二個完整性保護實驗，即帶密鑰的Hash函數也就是利用MAC的形式保證數據完整性。數據認證方面，隨著驗證方式的日益增多，出現了基于智能卡和生物特征的多因素認證。基于此，設計多場景認證實驗，多角度讓學生了解數據及身份的認證性。不可否認實驗中同大多數安全實驗類似，采用數字簽名來實現該性質。不同的是不再側重編程實現，而是以利用為主。具體而言，通過各種編程語言調用相應的密碼庫，對數據進行簽名，對軟件進行簽名。讓學生真正體會到現實當中是如何使用數字簽名。

數據管理安全實驗分為：數據安全等級劃分及保護實驗、密鑰管理實驗以及證書管理實驗。密碼學在實際使用過程中更多的是在于密碼的管理能力。現實中很多安全問題出現在密碼管理上的漏洞，如密鑰存儲、密鑰選取、密鑰處理以及數字證書管理。密鑰的管理主要分為主密鑰（長期密鑰）的管理以及分級密鑰的管理。例如主密鑰如何產生，主密鑰存儲，主密鑰如何吊銷等。而分級密鑰如每次會話往往都是由主密鑰產生。那么分級密鑰的管理方式就跟主密鑰有很大不同。學生往往掌握了密鑰的多種形式，但是具體如何操作，什么樣的環境使用那些密鑰，密鑰丟失時如何處理則不是很清楚。基于此設計密鑰管理實驗，將實際通信過程中的密鑰產生、存儲、使用、恢復以及吊銷等過程都呈現給學生，讓學生清晰的了解到密鑰的整個生命周期，避免實際使用過程中出現錯誤。另一方面，數字證書是未來信息安全的重要媒介，無論是公鑰加密還是數字簽名都離不開數字證書。然而以往的數字證書的講解中，重點講授的是數字證書的功能。但是對于實際中如何使用數字證書則較少提及，甚至有的學生在學完數字證書之后還不知道數字證書的格式。在實驗部分加入現實數字證書的使用，避免了學生僅知道數字證書的原理但是不會使用數字證書的弊端。以此為出發點進一步提升信息安全人才在密碼管理中的能力，從而解決實際問題。

2. 密碼綜合素質提升——引競賽，重模擬。表1列出了密碼綜合素質提升的模塊設置。從表中可以看出密碼綜合素質的提升更加注重實際中密碼使用的問題以及實際場景的模擬。

目前雖然有很多密碼相關競賽，但大都以書本知識為主。對于信息安全人才的綜合素質提升也多以CTF（Capture The Flag）競賽為主。這樣的方式確實可以提升安全人才對于實際應用中的安全問題的解決能力。然而現有的CTF競賽也多以web安全為主，缺少實用型密碼安全題目。嘗試引入實際機要部門各種競賽題目以及大型企業招聘密碼相關題目，以實用密碼知識問答等形式提升學生密碼實際使用能力。如機要保密工作人員職責，選人用人原則；機要文件保密原則，機要文件等級劃分；機要文件查閱等級原則，文件銷毀原則等。這樣的方式更加符合社會對于密碼人才的要求[7，8]。

設置角色，模擬實際場景制定密碼安全策略，提升實際應用能力。密碼學對于大多數學生來說都覺得較難理解，枯燥。根本原因在于學生被動的接觸知識，沒有參與感。基于此，提出基于模擬場景的密碼學教學。將學生分組，每組分配不同的角色，如某組是電力行業的安全人員，該組如何通過密碼方式保護電力數據及信息安全。學生需要制定相關安全策略并部署相關安全機制后由其他組對該組進行攻擊。攻擊以實際情況出發，不限定方法，可以為技術攻擊也可以為社會工程學等攻擊。同時可以結合多種網絡安全和密碼學知識，從綜合的角度去挖掘密碼系統的問題[9，10]。這樣在模擬的實際場景中，既可以激發學生的學習樂趣，又可讓學生從中體會到密碼學的重要性并學會如何處理實際問題。

三、結束語

密碼學是信息安全中的基礎模塊，支撐整個信息安全的體系，密碼技術應用的好壞直接關系到信息安全的好壞。對于應用型信息安全人才更為重要的是培養學生實際應用能力。對密碼學課程的創新探索有利于應用型信息安全人才的培養，從而解決信息安全人才能力與社會需求之間不匹配的矛盾。

參考文獻：

[1]王鶴鳴.從信息化發展歷程看密碼學發展——專訪西安電子科技大學通信工程學院王育民教授[J].信息安全與通信保密，2011，12： 13-15.

[2]侍偉敏，等.信息安全專業密碼學課程體系的建設[J].計算機教育，2018，3：124-127.

[3]鄧先春，吳蓓.高職院校計算機信息安全類專業實訓教學開展情況調研[J].軟件導刊教育技術，2016，15（8）：49-52.

[4]鄭彥斌，周星辰.密碼學課程的教學探索[J].大眾科技，2017，19（210）：88-89.

[5]邱婧，王世君，段鑫磊.信息安全專業PKI原理與技術課程建設探索[J].工業和信息化教育，2017，4：52-55.

[6]楊小東，麻婷春.信息安全專業人才培養模式的研究[J].教育教學論壇，2018，8：110-111.

[7]林玉香.網絡安全法下信息安全專業課程群建設初探[J].福建電腦，2017，33（7）：152-152.

[8]崔艷榮.面向應用型人才培養的《密碼學》教學探討[J].長江大學學報（自然科學版），2012，9（05）：173-175.

[9]謝絨娜，等.密碼學課程實踐教學體系探索[A].中國通信學會.第九屆中國通信學會學術年會論文集[C].2013：472-475.

[10]王志偉.密碼學實踐教學中培養學生創新能力研究[J].信息與電腦（理論版），2016（07）：221-222.