信息安全專業“認證理論與技術”課程建設的探索與實踐

摘要：本文在分析了“認證理論與技術”課程在整個信息安全課程體系中的位置和作用之后，根據國內、外相關調研，確定“認證理論與技術”課程的教學內容，并根據教學實際，介紹了該課程在課堂教學、試驗教學等方面的探索和實踐。

關鍵詞：認證理論與技術；課程建設；探索；實踐

中圖分類號：G64 文獻標識碼：B

文章編號：1672-5913（2007）02-0003-05

1 引言

信息安全專業是在最近幾年才起步的專業，信息安全專業應該開設哪些課程，這些課程應該如何開展，課程體系應該如何設置等問題都還在探索之中。我校于2002開設了信息安全專業，“認證理論與技術”課程是我校信息安全專業的一門課程，面向該專業高年級學生。本文就該課程的具體建設，介紹我校在這方面的一些探索與實踐。

2“認證理論與技術”課程在信息安全課程體系中的位置和作用

信息安全專業的課程體系，全國開設該專業的各高校不盡相同，有的甚至差異很大。之所以造成這種局面，一方面是由于大家都在探索之中，沒有現成的標準可以參考；另一方面也與學校的性質、專業的定位有關。面向工程應用是我校信息安全專業的課程建設指導方向之一，而“認證理論與技術”課程正是一門典型的應用性很強的課程。

“認證理論與技術”課程涉及的技術（PKI技術，智能卡技術，生物認證技術等）在目前有著廣闊的應用市場，同時該課程也是信息安全相關技術的綜合運用，對提高本專業學生的專業技能，理解信息安全原理，解決信息安全領域的實際問題，了解信息安全相關技術的市場需求和發展現狀，展望相關新技術的發展趨勢等具有重要的現實意義。參考文獻[1]中指出，信息安全是一個直接面向工程，面向應用的專業領域，而我國恰恰在工程教育方面比較落后。本課程的推出，是對我校信息安全課程體系建設的一個重要的補充和完善，同時對其他兄弟院校也有借鑒和推廣作用。

“認證理論與技術”課程在整個信息安全專業課程體系中與其他課程的關系如圖1所示，該課程要求的先修課程較多。它不僅是信息安全類相關課程的直接運用，同時也是計算機類課程數據庫原理、模式識別、圖形學基礎、操作系統、計算機組成原理、嵌入式系統等課程的綜合運用，又因為該課程沒有后續課程，所以我們將其安排在第八學期。在眾多的先修課程中，“模式識別”和“嵌入式系統”可加深“認證理論與技術”課程相關內容（生物認證的匹配算法，生物認證和智能卡技術的硬件系統的設計和實現等）的理解，但是如果條件不允許，也可以作相應的變通，如不設置這兩門課程或只開設其中一門，或將它們也安排在第八學期。

3 課程內容

3.1 相關調研

在確定了設置“認證理論與技術”課程的必要性之后，就要確定該課程的教學內容。根據筆者的調查，除西北工業大學有類似的課程之外，國內其他大學還沒有涉及，在國外也沒有直接對應的課程。這樣我們就直接從信息安全認證技術的市場需求與應用入手，參考國內外相關資料，分析什么內容應該上，什么內容可以上，并考慮該課程的內容與信息安全其他課程是否有重疊部分，最后確定該課程的內容。

美國國防部（DoD）發表的《理解受信系統中識別和認證的指南》（淺藍皮書）認為認證有三種類型[2]，即基于知識的認證（Authentication by Knowledge， Something They Know）、基于所有物的認證（ Authentication by Ownership ，Something They Have）、基于（生物）特征的認證（Authentication by Characteristic ，Something They Are）。美國國家標準和技術研究所（NIST）發表的電子認證指導方針[3]中認為認證技術可以分為基于口令的認證（PASSWORD BASED AUTHENTICATION），基于信物的認證（TOKEN BASED AUTHEN-TICATION）和基于生物的認證（BIOMETRIC BASED AUTHENTICATION）三種。

同時考慮到相關認證理論在信息安全其他課程中已有涉及，如“密碼學概論”中報文認證、身份認證算法的介紹，“網絡安全”課程中也有與認證相關的協議（如SSL等）的講解，因此將這些內容在本該課程中僅作簡要介紹。而PKI原理在“密碼學概論”和“網絡安全”課程中也有介紹，但PKI技術卻沒有在這些課程中涉及。國內外有不少觀點也認為，PKI技術是認證技術的基礎和必要組成，于是在本課程中將PKI技術的實現、標準和應用進行詳細講解。

3.2 課程內容的確定

本課程的內容包括四大部分，具體安排如下。

第一部分：認證的相關理論

該部分首先介紹信息安全中認證的地位和作用，接著回顧“密碼學概論”和“網絡安全”課程中介紹的有關認證的密碼學算法和協議，PKI的一般原理，最后給出認證技術的分類，重點討論三種認證技術（口令、智能卡、生物認證）的對比，介紹多要素認證的概念并舉例分析。

第二部分：PKI技術

該部分介紹PKI提供的服務、公鑰證書的實現、公鑰密碼體制標準、認證中心標準、安全協議的實現、PKI的應用、PKI的實施。

第三部分：智能卡技術

主要介紹智能卡的歷史、智能卡的分類、智能卡的應用和市場、智能卡的物理特性、智能卡的相關規范和標準、智能卡芯片、智能卡操作系統（COS）、智能卡的傳輸協議、智能卡安全體系、智能卡新技術。

第四部分：生物認證技術

介紹了生物認證的歷史，生物認證系統的基本結構，主要生物認證技術及比較，生物認證的市場和應用，生物認證系統的組成與認證過程，生物認證的性能分析、評估指標、測試類型和質量證明，指紋認證技術的詳細講解（指紋認證歷史、指紋認證圖像學基礎、預處理技術、特征提取和分類識別、匹配算法），其他認證技術（手型認證、臉型認證、語音認證、虹膜認證、視網膜認證、簽名認證、擊鍵動力學、DNA認證、步態認證）的一般介紹，新技術的展望（靜脈圖案認證、臉部熱成像等），生物認證的活體檢測，生物認證的標準，生物認證的法律問題。

3.3 課程內容安排的原則

3.3.1 歷史發展原則

由于本課程介紹的是技術，而技術是不斷發展的，所以講解某個技術時，一般首先介紹技術本身的發展歷史，在該技術講解結束時再介紹該技術的最新發展，這樣做有三個方面的好處：首先可以讓學生全面了解該技術；其次可以讓學生在技術的動態發展過程中掌握技術革新的一般過程，激發創造性思維；最后通過對最新技術的介紹，可以使學生所學知識在一定時間內不會過時，同時為畢業后的研究生學習或工作打下一定的基礎。如在介紹智能卡技術時，講到了USB-KEY技術、RFID等技術，并結合作業，給同學提供RFID方面的英文資料，要求他們獨立閱讀，并寫出閱讀報告。

3.3.2 點面結合原則

由于該課程所涉及的內容較多，而課時又有限，因此在有些內容的安排上采取點面結合的原則。如具體的生物認證，只重點詳細講解指紋認證技術，而其他技術只作一般性的介紹。生物認證技術是目前技術上最成熟、應用上最廣泛的技術，該技術的實現對其他技術的實現有普遍的指導意義。

3.3.3 面向應用和市場原則

技術應處于一定的應用和市場，離開了應用和市場的技術是象牙塔里的技術，是沒有生命力的。在講解某一技術時，應該介紹技術的應用和市場問題。同時通過對該技術市場占領情況的介紹，也能激發學生的學習興趣。如在講解生物認證技術時，我們就分析了最近幾年各種生物認證技術的市場份額，并通過近幾年來各種生物認證技術所占市場份額比例的變化分析哪些是有發展潛力的生物認證技術。

3.3.4面向標準（規范）原則

在實際的應用中，技術的行業標準和規范至關重要。剛進入某個市場的時候，如果不按照其標準來生產或開發，產品就很難被市場所接受。當產品在市場上處于壟斷地位時，你就可以左右該技術的行業標準了。在“認證理論與技術”課程中，在講解所有的技術時，我們都會講解該技術的行業標準。這樣學生畢業后，如果從事相關技術方面的工作，也能有一定的基礎。同時通過有關標準的學習，進一步將理論和技術、原理和應用結合起來，思考問題會更加全面。

如在PKI技術中，主要介紹了PKCS（公開密鑰密碼體制標準）系列標準， X.509（公鑰數字證書標準）系列標準，XKMS（XML密鑰管理規范）等；在智能卡技術中，主要介紹了7816系列標準，重點講解7816-4標準（識別卡帶觸點的集成電路卡第4部分：行業間交換用指令）。而RFID的國際標準尚在制定之中，所以講到這一部分時我們也引導學生了解中國在參與制定RFID國際標注方面所做的工作。在生物認證技術中，我們重點介紹了ANS X9.84標準（生物認證信息的管理與安全），BioAPI（生物認證應用編程接口）規范版本1.0等，目前國際上尚無統一的生物認證標準。

4 課堂教學

在教學方法上我們嘗試探究式教學方法。“認證理論與技術”的授課對象是信息安全專業高年級的學生（第七、八學期），學生在英文閱讀和獨立學習上有一定的基礎，同時考慮到很多同學畢業之后將從事研究性的工作或學習，我們在講授這門課程時采取的是探究式教學方法，以培養學生獨立探索和研究的能力。實際上，我們選擇探究式教學的另一個重要原因是，“認證的理論與技術”所涉及的不少內容比較新，適合于做探究式教學。

科學探究（Scientific inquiry）是指“科學家們用來研究自然界并根據研究所獲事實證據作出解釋的各種方式。科學探究也指的是學生構建知識、形成科學觀念、領悟科學研究方法的各種活動”。用在所謂的探究式學習或探究式教學中，其含義應該是后面一個層次，即學生構建知識、形成科學觀念、領悟科學研究方法的各種活動。

文獻[4]中指出，科學探究的活動形式是多樣的，探索式教學的具體教學形式也不是固定的。在“認證理論與技術”的教學中，我們就采取了各種形式的探究式教學。表1給出的是要求學生完成的作業，此表充分反映了這種形式的多樣性。

教學形式越多樣，學生越感興趣，教學效果也就越好。但我們也不能盲目地為了形式而搞形式，那就是形式主義了。科學的做法是根據教學內容和教學要求，合理地選擇一些教學形式。如在講到RFID時，教師清楚RFID有著非常廣闊的應用前景，并且這一應用帶給我國的機遇和挑戰并存。為了讓學生更加清楚地認識到這一點，我們選擇了美國商務部的一篇報告

讓學生們自己翻譯，讓他們通過了解美國在這方面的認識而加強我國發展RFID技術的緊迫感，同時讓他們了解市場調研對技術發展的重要性，當然作為輔助也鍛煉了他們的閱讀和翻譯能力。

文獻[5]認為，探究式教學（研究性學習）要求教師慎重選擇教學內容。除了這種要求之外，我們的體會是探究式教學還要求教師合理安排教學計劃，將一些探究式教學方案或項目提前考慮，納入整個教學計劃中。如表1中第1次作業要求學生閱讀的內容可以在教師講到PKCS時就布置下去，因為有些內容跟教學內容可以相互印證；而第3次作業只有在智能卡的安全機制講解完之后才布置，否則沒有相應的基礎，學生是無法看懂作業中的論文的；第4次作業因為比較大，可以提前布置，學生在聽教師講解生物認證的一般過程和評估、講解經典的生物認證技術（指紋認證）的同時，展開自己感興趣的生物認證技術的一般研究。

探究式教學要求教師放下架子，轉換“權威”角色，開始教師和學生可能有些不適應，但如果能真正堅持下去，根據我們的教學情況，其效果還是非常好的。實際上，在這種教學形式下，不僅教師備課的時間比傳統教學要多，而且學生主動學習的時間也比傳統的教學形式下的要多。這種方式特別適合“認證理論與技術”這樣內容多、技術新，而課時數又有限的課程。

5 教材和實驗

根據教學要求，在參考了國內外一些書籍和論文的基礎上，自編了“認證理論與技術”的講義。該講義哪些內容要刪改，哪些內容要補充，內容體系的安排是否合理等還有待于在教學實踐中進一步完善，所以預備讓學生使用兩屆之后再考慮出版發行。有興趣的同行可以根據本文內容和我們一起切磋“認證理論與技術”課程教材的規劃問題。

表2中給出了本課程擬開設的試驗。由于當時部分設備不能到位，所以在本次教學（2005~2006學年第二學期）中未納入教學計劃，我們擬在下次教學中展開這些試驗，并根據試驗效果進一步調整試驗內容。

6 結束語

“認證理論與技術”是信息安全專業的一門新課程，該課程的開設對增強信息安全專業學生的應用能力和專業技能等有著重要的意義，也正是因為該課程直接面向工程和應用，對高等院校信息安全課程建設有借鑒和推廣作用。

在研究了我校信息安全專業的課程體系，確定了“認證理論與技術”課程在信息安全專業中的位置之后，我們對該課程涉及的知識和技能作了充分的調研，最后確定該課程的內容。在教學的過程中，我們根據課程特點嘗試探究式教學方法，并取得了較好的教學效果。這種探究式教學方法是國外高校常用的教學方法，但只要敢于突破傳統教學思維，我們也是可以做的，而且還可以在不斷的教學探索中做得更好。

“認證理論與技術”課程所面臨的一些問題也是其他新專業新課程所面臨的問題。如果本文在這方面所做的工作對這些新課程的建設和教學有所借鑒，我們會感到不甚欣慰。由于該課程開設時間不長，其教學內容和教學方法，教材和實驗等尚在不斷的完善之中，我們也希望讀者（特別是開設類似課程的高等學校同行們）提出寶貴的意見，以共同促進我國的信息安全專業的教學建設。

參考文獻:

[1] 王昭順.信息安全本科專業人才培養的研究[J].計算機教育，2006，(10):30-32.

[2] NCSC.A Guide to Understanding Identification and Authentication in Trusted Systems[R]. September， 1991.

[3] NIST.Guideline for the Use of Advanced Authentication Technology Alternatives[R]. September 28， 1994.

[4] (美)國家研究理事會.美國國家科學教育標準[S].科學技術文獻出版社，1999.

[5] 許軍，蔡瑞英.研究性學習在計算機教學中的實踐[J].計算機教育，2005，(8):30-32.

[6] http://www.rsasecurity.com/rsalabs/node.asp?id=2124.

[7] Department of Commerce.Radio Frequency Identification：Opportunities and Challenges in Implementation，Washington D.C.，April， 2005[C].

[8] Chu-Hsing Lin，Tri-Show Lin， Hsiu-Hsia Lin，et al.On the Security of ID-based Password Authentication Scheme using Smart Card and Fingerprints， Information Technology: Research and Education，2005. ITRE 2005. 3rd International Conference， June 27-30，2005[C].

收稿日期：2006-11-03