基于啟發式教學方法深入掌握文件的保密傳輸過程

王先清

（廣東科學技術職業學院，廣東珠海，519090）

引言

網絡信息安全課程是計算機網絡專業的核心課程，而文件的保密傳輸是該課程的重要內容，涉及到許多有關安全的相關知識點和加密算法，這些知識點相對于學生而言，不僅枯燥，難以理解。而且如果將這些知識點綜合到一個具體的案例當中去，往往會讓學生更加感到“云霧迷蒙”。

為了讓學生在學習過程中能夠較為透徹的理解整個文件的保密傳輸過程，本文結合啟發式教學方式的理念講述了一個文件保密傳輸體系的基本環節和流程。

1 引導學生并講解文件保密傳輸需要考慮的安全性問題

為了更好講解文件保密傳輸需要考慮的安全性問題，可以引入兩個主人公BOB和ALICE。在互聯網的環境下，如果BOB需要發送一封密件給ALICE，那么雙方需要考慮的問題主要有三個：

1.1 文件的保密性

保密性又稱機密性，其與Integrity（完整性）和 Availability（可用性），并稱為信息安全的CIA三要素。指信息按給定要求不泄漏給非授權的個人、實體或過程，或提供其利用的特性，即杜絕有用信息泄漏給非授權個人或實體，強調有用信息只被授權對象使用的特征。即非法用戶就算拿到加密后的文件也無法正常獲悉文件內容。常用的保密技術包括物理保密（利用各種物理方法，如限制、隔離、掩蔽、控制等措施，保護信息不被泄露）、防竊聽（使對手偵收不到有用的信息）、防輻射（防止有用信息以各種途徑輻射出去）、信息加密（在密鑰的控制下，用加密算法對信息進行加密處理。即使對手得到了加密后的信息也會因為沒有密鑰而無法讀懂有效信息）。

1.2 文件的完整性

指用戶、進程或者硬件組件具有能力，能夠驗證所發送或傳送的東西的準確性，并且進程或硬件組件不會被以任何方式改變。消息的接收者也就是ALICE應該能夠驗證在傳送過程中消息有沒有被修改，非法用戶不可能用假消息代替合法消息。為了保證文件的完整，需要保護數據免受未授權的修改，包括數據的未授權創建和刪除。保證文件完整性的手段有：屏蔽（從數據生成受完整性保護的數據）、證實（對受完整性保護的數據進行檢查，以檢測完整性故障）、去屏蔽（從受完整性保護的數據中重新生成數據）。

1.3 文件的不可否認性

不可否認性又稱抗抵賴性，即由于某種機制的存在，人們不能否認自己發送信息的行為和信息的內容。發送者也就是BOB事后不可能虛假地否認他發送的消息。在日常生活中，文件的不可否認性靠手寫簽名和加蓋印章來實現。在互聯網環境下，可以通過數字證書機制進行的數字簽名和時間戳，保證信息的抗抵賴。不可否認性的目的是為解決有關事件或行為是否發生過糾紛，而對涉及被聲稱事件或行為不可辯駁的證據進行收集、維護和使其可用，

此外，文件的保密傳輸作為一個體系，我們還需要考慮到在加解密過程中必須注意的“成本問題”，換言之，不同的加密算法在對文件加密的時候所付出的成本是不同的，最直觀的“成本問題”我們可以簡單地理解加解密文件的速度。

2 引導學生回顧幾個涉及安全的重要概念

針對以上第二點提出的幾個問題，可以引導學生進一步回顧幾個涉及安全的重要概念。

2.1 加密

指的是將信息原文通過一定的加密算法與密鑰結合轉換成密文的過程，而解密指的是將信息密文通過解密算法與密鑰結合轉換成原文的過程。這里要注意的是無論是加密算法還是解密算法都應該是公開的，經過社會檢驗的的算法，而數據的安全是基于密鑰的安全而不是算法的保密。

2.2 基于密鑰的算法

有兩類包括對稱加密（單鑰密碼體制）和非對稱加密（雙鑰密碼體制）。相關的特點如表1所示。

表1 加密算法類型

2.3 哈希函數

常用的就是MD5,SHA了，這也是常用的數字簽名。MD5消息摘要為128位，SHA為160位。哈希函數的作用就是相當于“指紋”，它是不可逆的，可以沒有密鑰，也可以使用密鑰。給定一任意的長度消息 M，都可以產生固定長度的散列值m。哈希函數必須滿足的特性就是：計算M的散列值要快，反之則是相當困難的，且找到2個具有相同散列值的消息是困難的。哈希函數一般用于防止篡改，發送者將要發出的原件先做出其摘要；摘要和原件一起傳送給接收者；接收者對所收原件作哈希處理，產生的摘要與所收的摘要進行對比；若相符，原件自簽發后未被修改；否則原件已被改動。

2.4 數字信封

在數字信封中，信息發送方采用對稱密鑰來加密信息內容，然后將此對稱密鑰用接收方的公開密鑰來加密（這部分稱數字信封）之后，將它和加密后的信息一起發送給接收方，接收方先用相應的私有密鑰打開數字信封，得到對稱密鑰，然后使用對稱密鑰解開加密信息。這種技術的安全性相當高。數字信封主要包括數字信封打包和數字信封拆解，數字信封打包是使用對方的公鑰將加密密鑰進行加密的過程，只有對方的私鑰才能將加密后的數據(通信密鑰)還原；數字信封拆解是使用私鑰將加密過的數據解密的過程。

數字信封主要用于將某次傳送文件采用的會話密鑰（在每次會話或通信時隨機產生，發送方用作對稱加密），經非對稱加密方法處理（即隱于數字信封）后，傳送給接受方(即將會話密鑰傳過去）；

3 文件的保密傳輸過程安全體系的分析

為了讓學生對文件的保密傳輸有個較為深入、完整的認識，可以結合圖1做進一步的啟發式分析、講解。

圖1 文件保密傳輸過程的安全體系

從發送方BOB的角度看：

步驟1：BOB利用信息摘要算法如哈希函數對原件進行處理，原件即明文，經哈希函數處理后，產生數字摘要；

步驟2：BOB利用自己的私鑰將數字摘要進行加密處理，形成數字簽名；

步驟3：BOB將數字簽名與原件(明文)合并，成為簽名文件；

步驟4：BOB用對稱加密算法將簽名文件進行加密，形成加密簽名文件；

步驟5：BOB利用ALICE的鑰將對稱加密所用的會話密鑰進行加密，形成數字信封；

步驟6：BOB將數字信封與加密簽名文件一起通過互聯網傳給接收方ALICE。

從接收方ALICE的角度看

步驟7：ALICE利用自己的私鑰將數字信封解開，得到會話密鑰；

步驟8：ALICE利用會話密鑰解開加密簽名文件，得到明文原件和數字簽名；

步驟9：ALICE利用BOB的公鑰解開數字簽名并得到數字摘要；

步驟10：ALICE利用哈希函數對收到的明文原件進行處理，形成數字摘要。此時與利用BOB的公鑰解開數字簽名并得到數字摘要進行比對，如果一致，則說明原件在傳輸過程沒有被篡改。若不一致，則原件被篡改。

4 結束語

本文利用啟發式教學方式，通過問題的引入、重要概念的講解與回顧以及結合一個綜合案例的剖析，將文件的保密傳輸體系給學生做了一個較為透徹的講解。在實際講授過程中，可以引導學生進一步分析實現步驟1～步驟10的具體目的和含義，這樣做的目的，可以最大程度調動學生學習的積極性、主動性和創造性，讓學生從被動的學習者變成學習的主動者，最終達到以學生為中心的教學效果。

[1]馬昱春.深度備課引導創新思維,項目實踐激發學術志趣——組合數學啟發式教學探索[J].計算機教育,2016.3.

[2]胡勁松,張亮,黃海軍.項目驅動的啟發式教學在軟件工程課程中的應用[J].計算機工程與科學,2016.11.

[3]賀艷,周金奎.信息技術環境下啟發式教學的作用[J].西部素質教育,2016.9.

[4]張良西,涂詩文,敖維.論信息技術環境下課堂啟發式教學的多元性評價特征[J].軟件導刊(教育技術),2017.6.

[5]周林,王勇,李婧,孫超超,栗風永.細分目標的網絡安全課程教學方法探索[J].計算機教育,2018.3.