電子商務安全選修課的教學改革與實踐

柳欣

摘 要 目前，為計算機相關專業開設電子商務安全專業選修課而進行的教學改革研究尚不多見。針對這個問題，從授課內容設計、課程論文指導和網絡教學平臺建設等方面總結該課程的教學經驗，并結合教學改革實踐，討論課程考核和實驗內容的設置思路。

關鍵詞 信息安全；電子商務安全；RSA體制；教學改革

中圖分類號：G642.0 文獻標識碼：B

文章編號：1671-489X（2016）24-0117-03

Teaching Reform and Practice of Electronic Commerce Security Elective Course//LIU Xin

Abstract To date， the research on teaching reform of Electronic Commerce Security for computer related majors is still rare. To alle-viate this situation， this paper summarizes the teaching experience of the course from the aspects of teaching content design， curriculum

guidance and network teaching platform construction. By combining

with the practice of teaching reform， it also discusses the ideas of curriculum evaluation program and experimental content.

Key words information security； electronic commerce security； RSA

system； reform in education

1 前言

電子商務是指在開放網絡環境下進行的商業交易，這些交易涵蓋了現實市場環境下的大多數交易類型。電子商務因其在提高交易效率、降低運營成本、改善服務的可訪問性、不斷推出新型服務和有效促進商務活動發展等方面的優勢，得以在近十幾年間蓬勃發展。然而，安全問題一直伴隨著電子商務的成長過程。目前，黑客攻擊和各類惡意程序（如木馬、蠕蟲和病毒等）給用戶操作系統、隱私甚至是資金安全帶來嚴重威脅，安全問題已成為制約電子商務發展的瓶頸。

2 課程的目標與作用

目前，山東青年政治學院信息工程學院已經面向計算機相關專業學生開設電子商務安全專業選修課。該課程的開設目標是為學生介紹當前電子商務領域中的主要安全威脅以及構建電子商務安全體系所需要的主要技術。由于同時開設計算機網絡安全和計算機操作系統安全選修課程，因此，該課程著重介紹現代密碼技術在電子商務中的主要應用以及最新進展。該課程的主要內容包括密碼技術基礎（信息加密技術、認證技術、密鑰管理等）、公鑰基礎設施和密碼技術在電子商務領域的應用（電子支付協議、安全套階層協議和電子交易協議等）。該課程的開設有利于拓展學生的信息安全知識以及增強實踐動手能力。

3 已有的課程改革實踐總結

迄今為止，國內許多高校開設了電子商務安全課程。鑒于該課程理論性和實踐性強的特點，許多高校進行了有益的教學改革嘗試，并且取得較好的實際效果。代表性的成果包括：蔣文娟[1]分析了電子商務安全課程的特點，并且提出實驗教學的實施方案；許滸[2]提出根據職業能力要求確定學習內容以及基于工作能力要求設計教學內容的課程建設思路；肖毅[3]從實踐教學體系建設的角度討論了課程的實驗教學設計；寧艷珍[4]指出，必須根據專業培養目標確定課程訓練項目，并且在教學中做到“以學生為主體”和“以教師為主導”；封富君等人[5]介紹了利用對比方法改善SSL協議教學效果的經驗；唐德權[6]指出基本技能、課堂設計和課程實踐是信息安全專業人才培養過程中三個突出問題。

筆者認為，上述的改革實踐主要是面向電子商務[1-4]專業和信息安全[5-6]專業開設專業必修課，而圍繞計算機相關專業開設專業選修課的教學設計研究和教學改革實踐尚不多見。

4 課程教學的經驗與體會

相對于計算機網絡安全和計算機操作系統安全等安全類課程，電子商務安全的理論性更強。為此精心設計授課內容，開發一批有關密碼技術應用的案例，增加課程論文指導環節，同時充分發揮網絡教學平臺的輔助作用。具體的經驗總結如下。

1）電子商務安全課程并非密碼學課程，盡管也需要介紹一部分密碼學基礎知識、加密技術和數字簽名技術等，但僅需要做到“詳略得當，夠用即可”。在密碼學基礎知識部分，可以對模運算、同余、逆元和離散對數等概念進行重點介紹，而有些知識（如有限域）可以作為選學內容。此外，一些重要定理（如歐拉定理）的證明可作為了解性內容，但是需要強化對重點算法（如求逆元）的理解與掌握。

在對稱密碼體制部分，許多教材提供了DES和AES算法的細節性描述。相對于非對稱密碼體制，對稱密碼算法難度更大。在介紹這方面內容時，只需告訴學生將這些算法作為底層功能函數進行調用即可，而應當將重點放在非對稱密碼體制之上。

在數字簽名部分，教材中通常會舉例介紹RSA簽名、DSA簽名以及其他簽名方案。其實，對于學生而言，所提供的簽名方案描述是難以理解的。換句話說，如果不站在安全性分析的角度，則很難理解許多具體步驟的實際作用，從而始終有一種“只知其然而不知其所以然”的感覺。由于電子商務安全課程的重點不可能放在安全性分析上，學生只需重點掌握RSA簽名的基本原理，即可順利地理解后續的公鑰基礎設施、電子支付和安全電子交易等教學內容。

2）應當強化RSA體制在整個電子商務安全課程知識體系中的基礎性作用。需要強調的是，大多數教材[7-8]只是著重介紹利用該體制實現加密與數字簽名的基本原理。事實上，該算法是整個電子商務安全課程知識體系的核心，完全可以將該算法作為串聯密鑰管理、公鑰基礎設施、電子支付技術和安全電子交易等后續章節的有效手段。在講授這些內容時，如果能結合RSA體制提供具體實例，則不僅便于學生加深對這些章節內容的理解，還能激發他們對RSA體制本身的興趣。在教學實踐中對RSA體制進行引申和反復運用。

①在講授公鑰基礎設施這個章節時，教材中提到用戶在申請數字證書時，僅需要向注冊機構RA提供公鑰PK，但是需要向后者證明自己掌握對應的私鑰SK。對此，結合RSA簽名算法，用圖的形式向學生介紹三種簡單的“挑戰—應答”證明方法（如圖1所示）。

②在講授電子支付技術這個章節時，教材上僅介紹了電子現金支付的一般業務流程。事實上，利用RSA盲簽名技術完全可以構造簡單的電子現金方案。因此，將文獻[9]中的RSA電子現金方案簡化后介紹給學生。

③在講授安全電子支付協議這個章節時，教材著重介紹了SET協議的功能與基本流程。大多數教材對SET協議交易流程的介紹并不細致。為此，對文獻[10]提出的SET協議改進版本進行簡化，并將其作為對原始SET協議的補充性案例。該案例的提供既有利于學生加深對SET協議的理解，而且再次展示了RSA加密和RSA簽名技術在電子商務領域的具體應用。

3）已有教材在內容方面存在一定的不足，有必要在以下方面進行補充。

①安全電子交易協議是安全電子商務課程中的一項重要內容，在實際應用中應當考慮公平性，即在客戶與商家進行交易的過程中，不誠實的參與方不應當損害誠實參與方的利益。目前，大多數教材在講授安全電子交易協議時，通常是以SET協議作為重點內容。然而SET協議本身在公平性方面是有缺陷的，即商家在交易中處于優勢地位，而客戶處于弱勢地位，即對于客戶并不公平[10]。為此，在教學過程中向學生強調這一點，并且補充一個充分考慮交易雙方公平性的電子交易協議案例——基于RSA的認證電子郵件協議[11]。

②當前，基于軟件的攻擊現象日益增多，用戶正面臨敏感信息在支付過程中被惡意軟件竊取的風險。鑒于最新的可信計算技術可以為抵抗此類攻擊提供有效的解決方案，因此有必要在教材中補充該項技術的導引性內容。

4）在電子商務安全課程的教學實踐中增加了課程論文的指導環節。設置這個環節的初衷是，此前學生撰寫課程論文的機會較少，而缺少此類寫作基礎將直接影響到畢業論文環節。同時，撰寫課程論文有利于激發學生的學習積極性，并圍繞自己所感興趣的問題展開積極探索。在具體指導過程中向學生介紹學校電子文獻資源的使用方法、參考文獻標注方法和科技論文排版的格式要求，并圍繞古典密碼技術研究、身份認證技術研究、密鑰管理技術研究、密碼技術在網絡安全中的應用研究、安全支付問題研究、SET協議研究、RSA算法研究和PKI技術研究等主題，為學生提供示例性的參考文獻。

5）為了彌補課堂理論教學的不足，進行網絡教學平臺建設。除了在平臺上提供教學課件、實驗指導等常規資料，還為學生推薦了一系列的網絡課程視頻鏈接，如電子科技大學公開課網絡時代的信息安全[12]等。

5 課程的考核方案設置

山東青年政治學院的電子商務安全課程是作為專業任選課開設的，在教學中開展一系列針對課程考核方案改革的積極探索。與以往期末成績占較大權重的做法不同，將該課程的總評成績設定為平時成績和期末成績各占50%。其中，平時成績取決于課程實驗、案例討論、課程論文和平時作業的綜合表現。

相對于此前的考核方式，增加案例討論課和課程論文環節。其中，案例討論課要求學生以3～5人為一組，圍繞教材中某個章節的內容進行準備。在案例討論課上，每個小組選派代表講解所準備的PPT，可以以圖片、視頻文件和文檔等內容作為補充；授課教師負責點評，而其他小組的學生代表參與評分。

在課程論文環節對學生提出的論文要求包括：

1）所寫內容要與課程中某個章節的內容相關；

2）每個學生獨立完成一個題目；

3）對所引用的內容要正確進行標注，拒絕抄襲現象；

4）論文的排版要符合預先設定的格式要求。

最終，課程論文的評價標準包括論文格式、文字水平、原創性、技術性以及論文題目與課程內容的契合程度等。

通過引入上述環節，發現學生的積極性得到充分調動，且所取得的各項效果均明顯超過預期設想。

6 課程的實驗內容設置

在電子商務安全課程實驗教學中共設置6項實驗內容，具體如表1所示，要求學生掌握典型密碼分析軟件、RSA工具軟件以及網絡安全工具軟件的使用方法，掌握個人數字證書的申請、下載與安裝，并且提高C程序的編寫和調試能力。

這些實驗的主要內容包括：

1）在古典加密體制實驗中，要求學生熟悉密碼分析軟件CAP的使用方法，利用CAP軟件完成移位加密、愷撒加密、仿射加密和維吉尼亞加密算法的相關實驗，編寫調試愷撒加密的實現程序；

2）在RSA加密算法實驗中，要求學生熟悉工具軟件RSA-Tool的使用方法，利用工具軟件RSA-Tool產生RSA算法的密鑰，對RSA算法的實例進行（模數分解）攻擊，編寫調試RSA加密的實現程序；

3）在DSA簽名算法實驗中，要求學生熟悉密碼分析軟件CAP的使用方法，利用CAP軟件和工具軟件DSA-Tool完成指定的DSA簽名產生與驗證過程；

4）在網絡安全應用實驗中，要求學生完成電子郵件加密軟件A-Lock的安裝與使用、瑞星個人防火墻軟件的安裝與配置，以及PGP加密系統的安裝與配置；