李曉偉 陳本輝 楊鄧奇

摘 要：應(yīng)用型信息安全人才培養(yǎng)應(yīng)在掌握專業(yè)理論的同時更加注重實(shí)際能力的鍛煉以及實(shí)際問題的解決。以往信息安全人才培養(yǎng)中密碼學(xué)課程往往偏重密碼學(xué)數(shù)學(xué)原理的講授，密碼應(yīng)用也多停留在理論。這導(dǎo)致學(xué)生即使可以實(shí)現(xiàn)各種算法，但在應(yīng)用中仍然不能解決實(shí)際問題。以應(yīng)用型人才培養(yǎng)為主的大理大學(xué)為例，探索在信息安全相關(guān)專業(yè)中進(jìn)行密碼學(xué)課程的創(chuàng)新。從密碼學(xué)課程內(nèi)容改革以及密碼綜合素質(zhì)提升兩個角度進(jìn)行探索，從而實(shí)現(xiàn)更為科學(xué)、更為合理的應(yīng)用型信息人才培養(yǎng)的目標(biāo)。

關(guān)鍵詞：應(yīng)用型信息安全；人才培養(yǎng)；密碼學(xué)；課程改革

中圖分類號：G642 文獻(xiàn)標(biāo)志碼：A 文章編號：2096-000X（2019）01-0041-03

Abstract： Application-oriented information security personnel training should pay more attention to practical ability training and practical problem solving while mastering professional theory. In the past， cryptography courses in the training of information security talents tend to emphasize the teaching of cryptography mathematics， and password applications are mostly in theory. It leads to the result that students know the algorithm implementation but they still cannot solve the practical problem. For example， Dali University， which focuses on application-oriented talent development， explores the innovation of cryptography courses in information security-related majors. The exploration is divided into two parts which are the revolutions of the cryptography courses and the improvement of comprehensive in cryptography. The exploration will make a more scientific and more reasonable goal for the applied personal training in information.

Keywords： applied information security； personal training； cryptography； course revolution

一、應(yīng)用型信息安全專業(yè)密碼學(xué)課程出現(xiàn)的問題

密碼學(xué)是信息安全相關(guān)專業(yè)的基礎(chǔ)課程，是整個信息安全的基礎(chǔ)。密碼學(xué)提供數(shù)據(jù)及信息系統(tǒng)的保密性、完整性、認(rèn)證性以及不可否認(rèn)性等安全屬性[1]。應(yīng)用型信息安全人才對于密碼知識的要求是了解各算法原理，熟悉算法特點(diǎn)以及掌握算法的應(yīng)用。在以往的密碼學(xué)課程教學(xué)中更加重視密碼學(xué)中數(shù)學(xué)原理的講授以及密碼算法的實(shí)現(xiàn)。這樣的教學(xué)內(nèi)容和方法更加適合于學(xué)術(shù)型高校，然而對于以應(yīng)用型人才培養(yǎng)為主的高校，尤其是一些高職高專學(xué)校來說則不適合[2，3]。以大理大學(xué)為例，通過對學(xué)生的調(diào)查發(fā)現(xiàn)，學(xué)生反饋雖然學(xué)過各種加密算法、數(shù)字簽名算法以及Hash算法等，但是在遇到實(shí)際問題時仍然感到無從下手。同時，在實(shí)際應(yīng)用中對于密碼相關(guān)安全問題的產(chǎn)生大都來源于密碼策略的使用以及密碼管理等問題，對于密碼算法的安全問題則較少[4，5]。基于此，嘗試以實(shí)際應(yīng)用為出發(fā)點(diǎn)及立足點(diǎn)，對密碼學(xué)課程模式進(jìn)行創(chuàng)新探索。

二、應(yīng)用型信息安全專業(yè)密碼人才培養(yǎng)模式創(chuàng)新探索

1. 密碼學(xué)課程內(nèi)容改革——輕理論，重應(yīng)用。首先對密碼學(xué)課程模塊的劃分進(jìn)行創(chuàng)新。傳統(tǒng)密碼學(xué)課程一般按照以下幾個方面進(jìn)行講解：加密、數(shù)字簽名、認(rèn)證以及安全協(xié)議幾個方面。這樣的分類方式代表了密碼學(xué)的幾個重要方向。然而，對于以應(yīng)用型為主的學(xué)生來說這樣的講授順序很可能割裂各個知識點(diǎn)，學(xué)生掌握了一個知識點(diǎn)可能忘記另一個知識點(diǎn)[6]?；诖?，從實(shí)際應(yīng)用出發(fā)探索將密碼知識從以下幾個方面進(jìn)行講解：數(shù)據(jù)存儲安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)使用安全以及數(shù)據(jù)管理安全。以數(shù)據(jù)為出發(fā)點(diǎn)學(xué)生更加容易理解，也更容易聯(lián)想到實(shí)際應(yīng)用場景。其次對密碼學(xué)實(shí)驗(yàn)進(jìn)行創(chuàng)新?？紤]到實(shí)際場景往往不要求掌握具體密碼算法，更加重視密碼算法的應(yīng)用及注意事項(xiàng)，對密碼學(xué)實(shí)驗(yàn)按照圖1所示進(jìn)行劃分。以數(shù)據(jù)安全為核心的實(shí)驗(yàn)體系與以算法實(shí)現(xiàn)為核心的實(shí)驗(yàn)體系相比更加符合實(shí)際應(yīng)用。

數(shù)據(jù)存儲安全實(shí)驗(yàn)分為常用文檔密碼（口令）破解實(shí)驗(yàn)、常用系統(tǒng)及軟件密碼（口令）破解實(shí)驗(yàn)、云環(huán)境下數(shù)據(jù)存儲安全實(shí)驗(yàn)以及本地數(shù)據(jù)存儲安全實(shí)驗(yàn)。常用文檔密碼破解實(shí)驗(yàn)是密碼學(xué)實(shí)驗(yàn)中的第一個實(shí)驗(yàn)。我們引入office文檔破解、壓縮文件破解以及win7操作系統(tǒng)開機(jī)密碼破解。實(shí)際上密碼破解實(shí)驗(yàn)并非理論意義上的密碼學(xué)，但是以這樣的方式可以讓學(xué)生對密碼學(xué)更加感興趣，學(xué)生會覺得這樣的實(shí)驗(yàn)在現(xiàn)實(shí)生活中確實(shí)是實(shí)用的。從而進(jìn)一步提升了學(xué)生對其他密碼學(xué)實(shí)驗(yàn)的好奇，激發(fā)學(xué)生的學(xué)習(xí)動力。云環(huán)境下存儲數(shù)據(jù)是目前常用的數(shù)據(jù)存儲方式。然而云平臺下存儲數(shù)據(jù)也存在數(shù)據(jù)泄露、數(shù)據(jù)丟失等問題?；诖嗽O(shè)計(jì)云環(huán)境下的數(shù)據(jù)存儲安全實(shí)驗(yàn)，如利用密碼學(xué)中的Hash函數(shù)等方式實(shí)現(xiàn)數(shù)據(jù)的完整性等安全屬性，實(shí)現(xiàn)云數(shù)據(jù)存儲安全。整個存儲安全的原則是重點(diǎn)講解不同的場景使用什么樣的算法，使用什么樣的密鑰，通過什么樣的方式實(shí)現(xiàn)安全存儲。

數(shù)據(jù)傳輸安全實(shí)驗(yàn)分為：Http及Https實(shí)驗(yàn)、Ftp實(shí)驗(yàn)以及密鑰協(xié)商實(shí)驗(yàn)。數(shù)據(jù)傳輸安全實(shí)驗(yàn)重點(diǎn)引入實(shí)際數(shù)據(jù)傳輸協(xié)議，在實(shí)際網(wǎng)絡(luò)通信環(huán)境下通過wireshark等數(shù)據(jù)包分析工具對網(wǎng)絡(luò)傳輸數(shù)據(jù)進(jìn)行抓取分析，使學(xué)生切實(shí)感受到什么樣的場景需要數(shù)據(jù)傳輸安全以及怎樣保證數(shù)據(jù)傳輸安全。以Http傳輸協(xié)議為例，抓取某些網(wǎng)站用戶傳輸?shù)牡卿涃~號和口令，學(xué)生會發(fā)現(xiàn)其中的賬號和密碼均以明文形式存在。這樣使學(xué)生切實(shí)體會到網(wǎng)絡(luò)安全協(xié)議在數(shù)據(jù)傳輸中的重要性，從而進(jìn)一步導(dǎo)出Https協(xié)議。在Https協(xié)議中數(shù)據(jù)在傳輸過程中則會保持機(jī)密性、完整性以及可認(rèn)證性。數(shù)據(jù)傳輸安全實(shí)驗(yàn)的總體目的是讓學(xué)生掌握哪些網(wǎng)絡(luò)環(huán)境傳輸數(shù)據(jù)是安全的，哪些網(wǎng)絡(luò)協(xié)議能保證傳輸安全。

數(shù)據(jù)使用安全實(shí)驗(yàn)分為：數(shù)據(jù)完整性篡改檢測實(shí)驗(yàn)、多場景、多因素、多安全等級身份認(rèn)證實(shí)驗(yàn)、電子商務(wù)數(shù)據(jù)安全模擬實(shí)驗(yàn)以及郵件、票據(jù)的抗否認(rèn)實(shí)驗(yàn)。數(shù)據(jù)的安全使用涉及到完整性、認(rèn)證性以及不可否認(rèn)性?；诖耍趯?shí)際場景中引入這三種安全屬性。數(shù)據(jù)完整性實(shí)驗(yàn)，主要以Hash函數(shù)和消息認(rèn)證碼（Message Authentication Code， MAC）實(shí)驗(yàn)為主。在實(shí)際場景中利用Hash函數(shù)保護(hù)本地文檔的完整性。針對Hash函數(shù)只提供弱完整性保護(hù)的缺點(diǎn)，繼續(xù)深入實(shí)現(xiàn)第二個完整性保護(hù)實(shí)驗(yàn)，即帶密鑰的Hash函數(shù)也就是利用MAC的形式保證數(shù)據(jù)完整性。數(shù)據(jù)認(rèn)證方面，隨著驗(yàn)證方式的日益增多，出現(xiàn)了基于智能卡和生物特征的多因素認(rèn)證?；诖?，設(shè)計(jì)多場景認(rèn)證實(shí)驗(yàn)，多角度讓學(xué)生了解數(shù)據(jù)及身份的認(rèn)證性。不可否認(rèn)實(shí)驗(yàn)中同大多數(shù)安全實(shí)驗(yàn)類似，采用數(shù)字簽名來實(shí)現(xiàn)該性質(zhì)。不同的是不再側(cè)重編程實(shí)現(xiàn)，而是以利用為主。具體而言，通過各種編程語言調(diào)用相應(yīng)的密碼庫，對數(shù)據(jù)進(jìn)行簽名，對軟件進(jìn)行簽名。讓學(xué)生真正體會到現(xiàn)實(shí)當(dāng)中是如何使用數(shù)字簽名。

數(shù)據(jù)管理安全實(shí)驗(yàn)分為：數(shù)據(jù)安全等級劃分及保護(hù)實(shí)驗(yàn)、密鑰管理實(shí)驗(yàn)以及證書管理實(shí)驗(yàn)。密碼學(xué)在實(shí)際使用過程中更多的是在于密碼的管理能力?，F(xiàn)實(shí)中很多安全問題出現(xiàn)在密碼管理上的漏洞，如密鑰存儲、密鑰選取、密鑰處理以及數(shù)字證書管理。密鑰的管理主要分為主密鑰（長期密鑰）的管理以及分級密鑰的管理。例如主密鑰如何產(chǎn)生，主密鑰存儲，主密鑰如何吊銷等。而分級密鑰如每次會話往往都是由主密鑰產(chǎn)生。那么分級密鑰的管理方式就跟主密鑰有很大不同。學(xué)生往往掌握了密鑰的多種形式，但是具體如何操作，什么樣的環(huán)境使用那些密鑰，密鑰丟失時如何處理則不是很清楚。基于此設(shè)計(jì)密鑰管理實(shí)驗(yàn)，將實(shí)際通信過程中的密鑰產(chǎn)生、存儲、使用、恢復(fù)以及吊銷等過程都呈現(xiàn)給學(xué)生，讓學(xué)生清晰的了解到密鑰的整個生命周期，避免實(shí)際使用過程中出現(xiàn)錯誤。另一方面，數(shù)字證書是未來信息安全的重要媒介，無論是公鑰加密還是數(shù)字簽名都離不開數(shù)字證書。然而以往的數(shù)字證書的講解中，重點(diǎn)講授的是數(shù)字證書的功能。但是對于實(shí)際中如何使用數(shù)字證書則較少提及，甚至有的學(xué)生在學(xué)完數(shù)字證書之后還不知道數(shù)字證書的格式。在實(shí)驗(yàn)部分加入現(xiàn)實(shí)數(shù)字證書的使用，避免了學(xué)生僅知道數(shù)字證書的原理但是不會使用數(shù)字證書的弊端。以此為出發(fā)點(diǎn)進(jìn)一步提升信息安全人才在密碼管理中的能力，從而解決實(shí)際問題。

2. 密碼綜合素質(zhì)提升——引競賽，重模擬。表1列出了密碼綜合素質(zhì)提升的模塊設(shè)置。從表中可以看出密碼綜合素質(zhì)的提升更加注重實(shí)際中密碼使用的問題以及實(shí)際場景的模擬。

目前雖然有很多密碼相關(guān)競賽，但大都以書本知識為主。對于信息安全人才的綜合素質(zhì)提升也多以CTF（Capture The Flag）競賽為主。這樣的方式確實(shí)可以提升安全人才對于實(shí)際應(yīng)用中的安全問題的解決能力。然而現(xiàn)有的CTF競賽也多以web安全為主，缺少實(shí)用型密碼安全題目。嘗試引入實(shí)際機(jī)要部門各種競賽題目以及大型企業(yè)招聘密碼相關(guān)題目，以實(shí)用密碼知識問答等形式提升學(xué)生密碼實(shí)際使用能力。如機(jī)要保密工作人員職責(zé)，選人用人原則；機(jī)要文件保密原則，機(jī)要文件等級劃分；機(jī)要文件查閱等級原則，文件銷毀原則等。這樣的方式更加符合社會對于密碼人才的要求[7，8]。

設(shè)置角色，模擬實(shí)際場景制定密碼安全策略，提升實(shí)際應(yīng)用能力。密碼學(xué)對于大多數(shù)學(xué)生來說都覺得較難理解，枯燥。根本原因在于學(xué)生被動的接觸知識，沒有參與感?；诖?，提出基于模擬場景的密碼學(xué)教學(xué)。將學(xué)生分組，每組分配不同的角色，如某組是電力行業(yè)的安全人員，該組如何通過密碼方式保護(hù)電力數(shù)據(jù)及信息安全。學(xué)生需要制定相關(guān)安全策略并部署相關(guān)安全機(jī)制后由其他組對該組進(jìn)行攻擊。攻擊以實(shí)際情況出發(fā)，不限定方法，可以為技術(shù)攻擊也可以為社會工程學(xué)等攻擊。同時可以結(jié)合多種網(wǎng)絡(luò)安全和密碼學(xué)知識，從綜合的角度去挖掘密碼系統(tǒng)的問題[9，10]。這樣在模擬的實(shí)際場景中，既可以激發(fā)學(xué)生的學(xué)習(xí)樂趣，又可讓學(xué)生從中體會到密碼學(xué)的重要性并學(xué)會如何處理實(shí)際問題。

三、結(jié)束語

密碼學(xué)是信息安全中的基礎(chǔ)模塊，支撐整個信息安全的體系，密碼技術(shù)應(yīng)用的好壞直接關(guān)系到信息安全的好壞。對于應(yīng)用型信息安全人才更為重要的是培養(yǎng)學(xué)生實(shí)際應(yīng)用能力。對密碼學(xué)課程的創(chuàng)新探索有利于應(yīng)用型信息安全人才的培養(yǎng)，從而解決信息安全人才能力與社會需求之間不匹配的矛盾。

參考文獻(xiàn)：

[1]王鶴鳴.從信息化發(fā)展歷程看密碼學(xué)發(fā)展——專訪西安電子科技大學(xué)通信工程學(xué)院王育民教授[J].信息安全與通信保密，2011，12： 13-15.

[2]侍偉敏，等.信息安全專業(yè)密碼學(xué)課程體系的建設(shè)[J].計(jì)算機(jī)教育，2018，3：124-127.

[3]鄧先春，吳蓓.高職院校計(jì)算機(jī)信息安全類專業(yè)實(shí)訓(xùn)教學(xué)開展情況調(diào)研[J].軟件導(dǎo)刊教育技術(shù)，2016，15（8）：49-52.

[4]鄭彥斌，周星辰.密碼學(xué)課程的教學(xué)探索[J].大眾科技，2017，19（210）：88-89.

[5]邱婧，王世君，段鑫磊.信息安全專業(yè)PKI原理與技術(shù)課程建設(shè)探索[J].工業(yè)和信息化教育，2017，4：52-55.

[6]楊小東，麻婷春.信息安全專業(yè)人才培養(yǎng)模式的研究[J].教育教學(xué)論壇，2018，8：110-111.

[7]林玉香.網(wǎng)絡(luò)安全法下信息安全專業(yè)課程群建設(shè)初探[J].福建電腦，2017，33（7）：152-152.

[8]崔艷榮.面向應(yīng)用型人才培養(yǎng)的《密碼學(xué)》教學(xué)探討[J].長江大學(xué)學(xué)報（自然科學(xué)版），2012，9（05）：173-175.

[9]謝絨娜，等.密碼學(xué)課程實(shí)踐教學(xué)體系探索[A].中國通信學(xué)會.第九屆中國通信學(xué)會學(xué)術(shù)年會論文集[C].2013：472-475.

[10]王志偉.密碼學(xué)實(shí)踐教學(xué)中培養(yǎng)學(xué)生創(chuàng)新能力研究[J].信息與電腦（理論版），2016（07）：221-222.