電子商務(wù)安全選修課的教學(xué)改革與實(shí)踐

柳欣

摘 要 目前，為計(jì)算機(jī)相關(guān)專業(yè)開(kāi)設(shè)電子商務(wù)安全專業(yè)選修課而進(jìn)行的教學(xué)改革研究尚不多見(jiàn)。針對(duì)這個(gè)問(wèn)題，從授課內(nèi)容設(shè)計(jì)、課程論文指導(dǎo)和網(wǎng)絡(luò)教學(xué)平臺(tái)建設(shè)等方面總結(jié)該課程的教學(xué)經(jīng)驗(yàn)，并結(jié)合教學(xué)改革實(shí)踐，討論課程考核和實(shí)驗(yàn)內(nèi)容的設(shè)置思路。

關(guān)鍵詞 信息安全；電子商務(wù)安全；RSA體制；教學(xué)改革

中圖分類號(hào)：G642.0 文獻(xiàn)標(biāo)識(shí)碼：B

文章編號(hào)：1671-489X（2016）24-0117-03

Teaching Reform and Practice of Electronic Commerce Security Elective Course//LIU Xin

Abstract To date， the research on teaching reform of Electronic Commerce Security for computer related majors is still rare. To alle-viate this situation， this paper summarizes the teaching experience of the course from the aspects of teaching content design， curriculum

guidance and network teaching platform construction. By combining

with the practice of teaching reform， it also discusses the ideas of curriculum evaluation program and experimental content.

Key words information security； electronic commerce security； RSA

system； reform in education

1 前言

電子商務(wù)是指在開(kāi)放網(wǎng)絡(luò)環(huán)境下進(jìn)行的商業(yè)交易，這些交易涵蓋了現(xiàn)實(shí)市場(chǎng)環(huán)境下的大多數(shù)交易類型。電子商務(wù)因其在提高交易效率、降低運(yùn)營(yíng)成本、改善服務(wù)的可訪問(wèn)性、不斷推出新型服務(wù)和有效促進(jìn)商務(wù)活動(dòng)發(fā)展等方面的優(yōu)勢(shì)，得以在近十幾年間蓬勃發(fā)展。然而，安全問(wèn)題一直伴隨著電子商務(wù)的成長(zhǎng)過(guò)程。目前，黑客攻擊和各類惡意程序（如木馬、蠕蟲(chóng)和病毒等）給用戶操作系統(tǒng)、隱私甚至是資金安全帶來(lái)嚴(yán)重威脅，安全問(wèn)題已成為制約電子商務(wù)發(fā)展的瓶頸。

2 課程的目標(biāo)與作用

目前，山東青年政治學(xué)院信息工程學(xué)院已經(jīng)面向計(jì)算機(jī)相關(guān)專業(yè)學(xué)生開(kāi)設(shè)電子商務(wù)安全專業(yè)選修課。該課程的開(kāi)設(shè)目標(biāo)是為學(xué)生介紹當(dāng)前電子商務(wù)領(lǐng)域中的主要安全威脅以及構(gòu)建電子商務(wù)安全體系所需要的主要技術(shù)。由于同時(shí)開(kāi)設(shè)計(jì)算機(jī)網(wǎng)絡(luò)安全和計(jì)算機(jī)操作系統(tǒng)安全選修課程，因此，該課程著重介紹現(xiàn)代密碼技術(shù)在電子商務(wù)中的主要應(yīng)用以及最新進(jìn)展。該課程的主要內(nèi)容包括密碼技術(shù)基礎(chǔ)（信息加密技術(shù)、認(rèn)證技術(shù)、密鑰管理等）、公鑰基礎(chǔ)設(shè)施和密碼技術(shù)在電子商務(wù)領(lǐng)域的應(yīng)用（電子支付協(xié)議、安全套階層協(xié)議和電子交易協(xié)議等）。該課程的開(kāi)設(shè)有利于拓展學(xué)生的信息安全知識(shí)以及增強(qiáng)實(shí)踐動(dòng)手能力。

3 已有的課程改革實(shí)踐總結(jié)

迄今為止，國(guó)內(nèi)許多高校開(kāi)設(shè)了電子商務(wù)安全課程。鑒于該課程理論性和實(shí)踐性強(qiáng)的特點(diǎn)，許多高校進(jìn)行了有益的教學(xué)改革嘗試，并且取得較好的實(shí)際效果。代表性的成果包括：蔣文娟[1]分析了電子商務(wù)安全課程的特點(diǎn)，并且提出實(shí)驗(yàn)教學(xué)的實(shí)施方案；許滸[2]提出根據(jù)職業(yè)能力要求確定學(xué)習(xí)內(nèi)容以及基于工作能力要求設(shè)計(jì)教學(xué)內(nèi)容的課程建設(shè)思路；肖毅[3]從實(shí)踐教學(xué)體系建設(shè)的角度討論了課程的實(shí)驗(yàn)教學(xué)設(shè)計(jì)；寧艷珍[4]指出，必須根據(jù)專業(yè)培養(yǎng)目標(biāo)確定課程訓(xùn)練項(xiàng)目，并且在教學(xué)中做到“以學(xué)生為主體”和“以教師為主導(dǎo)”；封富君等人[5]介紹了利用對(duì)比方法改善SSL協(xié)議教學(xué)效果的經(jīng)驗(yàn)；唐德權(quán)[6]指出基本技能、課堂設(shè)計(jì)和課程實(shí)踐是信息安全專業(yè)人才培養(yǎng)過(guò)程中三個(gè)突出問(wèn)題。

筆者認(rèn)為，上述的改革實(shí)踐主要是面向電子商務(wù)[1-4]專業(yè)和信息安全[5-6]專業(yè)開(kāi)設(shè)專業(yè)必修課，而圍繞計(jì)算機(jī)相關(guān)專業(yè)開(kāi)設(shè)專業(yè)選修課的教學(xué)設(shè)計(jì)研究和教學(xué)改革實(shí)踐尚不多見(jiàn)。

4 課程教學(xué)的經(jīng)驗(yàn)與體會(huì)

相對(duì)于計(jì)算機(jī)網(wǎng)絡(luò)安全和計(jì)算機(jī)操作系統(tǒng)安全等安全類課程，電子商務(wù)安全的理論性更強(qiáng)。為此精心設(shè)計(jì)授課內(nèi)容，開(kāi)發(fā)一批有關(guān)密碼技術(shù)應(yīng)用的案例，增加課程論文指導(dǎo)環(huán)節(jié)，同時(shí)充分發(fā)揮網(wǎng)絡(luò)教學(xué)平臺(tái)的輔助作用。具體的經(jīng)驗(yàn)總結(jié)如下。

1）電子商務(wù)安全課程并非密碼學(xué)課程，盡管也需要介紹一部分密碼學(xué)基礎(chǔ)知識(shí)、加密技術(shù)和數(shù)字簽名技術(shù)等，但僅需要做到“詳略得當(dāng)，夠用即可”。在密碼學(xué)基礎(chǔ)知識(shí)部分，可以對(duì)模運(yùn)算、同余、逆元和離散對(duì)數(shù)等概念進(jìn)行重點(diǎn)介紹，而有些知識(shí)（如有限域）可以作為選學(xué)內(nèi)容。此外，一些重要定理（如歐拉定理）的證明可作為了解性內(nèi)容，但是需要強(qiáng)化對(duì)重點(diǎn)算法（如求逆元）的理解與掌握。

在對(duì)稱密碼體制部分，許多教材提供了DES和AES算法的細(xì)節(jié)性描述。相對(duì)于非對(duì)稱密碼體制，對(duì)稱密碼算法難度更大。在介紹這方面內(nèi)容時(shí)，只需告訴學(xué)生將這些算法作為底層功能函數(shù)進(jìn)行調(diào)用即可，而應(yīng)當(dāng)將重點(diǎn)放在非對(duì)稱密碼體制之上。

在數(shù)字簽名部分，教材中通常會(huì)舉例介紹RSA簽名、DSA簽名以及其他簽名方案。其實(shí)，對(duì)于學(xué)生而言，所提供的簽名方案描述是難以理解的。換句話說(shuō)，如果不站在安全性分析的角度，則很難理解許多具體步驟的實(shí)際作用，從而始終有一種“只知其然而不知其所以然”的感覺(jué)。由于電子商務(wù)安全課程的重點(diǎn)不可能放在安全性分析上，學(xué)生只需重點(diǎn)掌握RSA簽名的基本原理，即可順利地理解后續(xù)的公鑰基礎(chǔ)設(shè)施、電子支付和安全電子交易等教學(xué)內(nèi)容。

2）應(yīng)當(dāng)強(qiáng)化RSA體制在整個(gè)電子商務(wù)安全課程知識(shí)體系中的基礎(chǔ)性作用。需要強(qiáng)調(diào)的是，大多數(shù)教材[7-8]只是著重介紹利用該體制實(shí)現(xiàn)加密與數(shù)字簽名的基本原理。事實(shí)上，該算法是整個(gè)電子商務(wù)安全課程知識(shí)體系的核心，完全可以將該算法作為串聯(lián)密鑰管理、公鑰基礎(chǔ)設(shè)施、電子支付技術(shù)和安全電子交易等后續(xù)章節(jié)的有效手段。在講授這些內(nèi)容時(shí)，如果能結(jié)合RSA體制提供具體實(shí)例，則不僅便于學(xué)生加深對(duì)這些章節(jié)內(nèi)容的理解，還能激發(fā)他們對(duì)RSA體制本身的興趣。在教學(xué)實(shí)踐中對(duì)RSA體制進(jìn)行引申和反復(fù)運(yùn)用。

①在講授公鑰基礎(chǔ)設(shè)施這個(gè)章節(jié)時(shí)，教材中提到用戶在申請(qǐng)數(shù)字證書(shū)時(shí)，僅需要向注冊(cè)機(jī)構(gòu)RA提供公鑰PK，但是需要向后者證明自己掌握對(duì)應(yīng)的私鑰SK。對(duì)此，結(jié)合RSA簽名算法，用圖的形式向?qū)W生介紹三種簡(jiǎn)單的“挑戰(zhàn)—應(yīng)答”證明方法（如圖1所示）。

②在講授電子支付技術(shù)這個(gè)章節(jié)時(shí)，教材上僅介紹了電子現(xiàn)金支付的一般業(yè)務(wù)流程。事實(shí)上，利用RSA盲簽名技術(shù)完全可以構(gòu)造簡(jiǎn)單的電子現(xiàn)金方案。因此，將文獻(xiàn)[9]中的RSA電子現(xiàn)金方案簡(jiǎn)化后介紹給學(xué)生。

③在講授安全電子支付協(xié)議這個(gè)章節(jié)時(shí)，教材著重介紹了SET協(xié)議的功能與基本流程。大多數(shù)教材對(duì)SET協(xié)議交易流程的介紹并不細(xì)致。為此，對(duì)文獻(xiàn)[10]提出的SET協(xié)議改進(jìn)版本進(jìn)行簡(jiǎn)化，并將其作為對(duì)原始SET協(xié)議的補(bǔ)充性案例。該案例的提供既有利于學(xué)生加深對(duì)SET協(xié)議的理解，而且再次展示了RSA加密和RSA簽名技術(shù)在電子商務(wù)領(lǐng)域的具體應(yīng)用。

3）已有教材在內(nèi)容方面存在一定的不足，有必要在以下方面進(jìn)行補(bǔ)充。

①安全電子交易協(xié)議是安全電子商務(wù)課程中的一項(xiàng)重要內(nèi)容，在實(shí)際應(yīng)用中應(yīng)當(dāng)考慮公平性，即在客戶與商家進(jìn)行交易的過(guò)程中，不誠(chéng)實(shí)的參與方不應(yīng)當(dāng)損害誠(chéng)實(shí)參與方的利益。目前，大多數(shù)教材在講授安全電子交易協(xié)議時(shí)，通常是以SET協(xié)議作為重點(diǎn)內(nèi)容。然而SET協(xié)議本身在公平性方面是有缺陷的，即商家在交易中處于優(yōu)勢(shì)地位，而客戶處于弱勢(shì)地位，即對(duì)于客戶并不公平[10]。為此，在教學(xué)過(guò)程中向?qū)W生強(qiáng)調(diào)這一點(diǎn)，并且補(bǔ)充一個(gè)充分考慮交易雙方公平性的電子交易協(xié)議案例——基于RSA的認(rèn)證電子郵件協(xié)議[11]。

②當(dāng)前，基于軟件的攻擊現(xiàn)象日益增多，用戶正面臨敏感信息在支付過(guò)程中被惡意軟件竊取的風(fēng)險(xiǎn)。鑒于最新的可信計(jì)算技術(shù)可以為抵抗此類攻擊提供有效的解決方案，因此有必要在教材中補(bǔ)充該項(xiàng)技術(shù)的導(dǎo)引性內(nèi)容。

4）在電子商務(wù)安全課程的教學(xué)實(shí)踐中增加了課程論文的指導(dǎo)環(huán)節(jié)。設(shè)置這個(gè)環(huán)節(jié)的初衷是，此前學(xué)生撰寫(xiě)課程論文的機(jī)會(huì)較少，而缺少此類寫(xiě)作基礎(chǔ)將直接影響到畢業(yè)論文環(huán)節(jié)。同時(shí)，撰寫(xiě)課程論文有利于激發(fā)學(xué)生的學(xué)習(xí)積極性，并圍繞自己所感興趣的問(wèn)題展開(kāi)積極探索。在具體指導(dǎo)過(guò)程中向?qū)W生介紹學(xué)校電子文獻(xiàn)資源的使用方法、參考文獻(xiàn)標(biāo)注方法和科技論文排版的格式要求，并圍繞古典密碼技術(shù)研究、身份認(rèn)證技術(shù)研究、密鑰管理技術(shù)研究、密碼技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用研究、安全支付問(wèn)題研究、SET協(xié)議研究、RSA算法研究和PKI技術(shù)研究等主題，為學(xué)生提供示例性的參考文獻(xiàn)。

5）為了彌補(bǔ)課堂理論教學(xué)的不足，進(jìn)行網(wǎng)絡(luò)教學(xué)平臺(tái)建設(shè)。除了在平臺(tái)上提供教學(xué)課件、實(shí)驗(yàn)指導(dǎo)等常規(guī)資料，還為學(xué)生推薦了一系列的網(wǎng)絡(luò)課程視頻鏈接，如電子科技大學(xué)公開(kāi)課網(wǎng)絡(luò)時(shí)代的信息安全[12]等。

5 課程的考核方案設(shè)置

山東青年政治學(xué)院的電子商務(wù)安全課程是作為專業(yè)任選課開(kāi)設(shè)的，在教學(xué)中開(kāi)展一系列針對(duì)課程考核方案改革的積極探索。與以往期末成績(jī)占較大權(quán)重的做法不同，將該課程的總評(píng)成績(jī)?cè)O(shè)定為平時(shí)成績(jī)和期末成績(jī)各占50%。其中，平時(shí)成績(jī)?nèi)Q于課程實(shí)驗(yàn)、案例討論、課程論文和平時(shí)作業(yè)的綜合表現(xiàn)。

相對(duì)于此前的考核方式，增加案例討論課和課程論文環(huán)節(jié)。其中，案例討論課要求學(xué)生以3～5人為一組，圍繞教材中某個(gè)章節(jié)的內(nèi)容進(jìn)行準(zhǔn)備。在案例討論課上，每個(gè)小組選派代表講解所準(zhǔn)備的PPT，可以以圖片、視頻文件和文檔等內(nèi)容作為補(bǔ)充；授課教師負(fù)責(zé)點(diǎn)評(píng)，而其他小組的學(xué)生代表參與評(píng)分。

在課程論文環(huán)節(jié)對(duì)學(xué)生提出的論文要求包括：

1）所寫(xiě)內(nèi)容要與課程中某個(gè)章節(jié)的內(nèi)容相關(guān)；

2）每個(gè)學(xué)生獨(dú)立完成一個(gè)題目；

3）對(duì)所引用的內(nèi)容要正確進(jìn)行標(biāo)注，拒絕抄襲現(xiàn)象；

4）論文的排版要符合預(yù)先設(shè)定的格式要求。

最終，課程論文的評(píng)價(jià)標(biāo)準(zhǔn)包括論文格式、文字水平、原創(chuàng)性、技術(shù)性以及論文題目與課程內(nèi)容的契合程度等。

通過(guò)引入上述環(huán)節(jié)，發(fā)現(xiàn)學(xué)生的積極性得到充分調(diào)動(dòng)，且所取得的各項(xiàng)效果均明顯超過(guò)預(yù)期設(shè)想。

6 課程的實(shí)驗(yàn)內(nèi)容設(shè)置

在電子商務(wù)安全課程實(shí)驗(yàn)教學(xué)中共設(shè)置6項(xiàng)實(shí)驗(yàn)內(nèi)容，具體如表1所示，要求學(xué)生掌握典型密碼分析軟件、RSA工具軟件以及網(wǎng)絡(luò)安全工具軟件的使用方法，掌握個(gè)人數(shù)字證書(shū)的申請(qǐng)、下載與安裝，并且提高C程序的編寫(xiě)和調(diào)試能力。

這些實(shí)驗(yàn)的主要內(nèi)容包括：

1）在古典加密體制實(shí)驗(yàn)中，要求學(xué)生熟悉密碼分析軟件CAP的使用方法，利用CAP軟件完成移位加密、愷撒加密、仿射加密和維吉尼亞加密算法的相關(guān)實(shí)驗(yàn)，編寫(xiě)調(diào)試愷撒加密的實(shí)現(xiàn)程序；

2）在RSA加密算法實(shí)驗(yàn)中，要求學(xué)生熟悉工具軟件RSA-Tool的使用方法，利用工具軟件RSA-Tool產(chǎn)生RSA算法的密鑰，對(duì)RSA算法的實(shí)例進(jìn)行（模數(shù)分解）攻擊，編寫(xiě)調(diào)試RSA加密的實(shí)現(xiàn)程序；

3）在DSA簽名算法實(shí)驗(yàn)中，要求學(xué)生熟悉密碼分析軟件CAP的使用方法，利用CAP軟件和工具軟件DSA-Tool完成指定的DSA簽名產(chǎn)生與驗(yàn)證過(guò)程；

4）在網(wǎng)絡(luò)安全應(yīng)用實(shí)驗(yàn)中，要求學(xué)生完成電子郵件加密軟件A-Lock的安裝與使用、瑞星個(gè)人防火墻軟件的安裝與配置，以及PGP加密系統(tǒng)的安裝與配置；