电子商务安全选修课的教学改革与实践

柳欣

摘 要 目前，为计算机相关专业开设电子商务安全专业选修课而进行的教学改革研究尚不多见。针对这个问题，从授课内容设计、课程论文指导和网络教学平台建设等方面总结该课程的教学经验，并结合教学改革实践，讨论课程考核和实验内容的设置思路。

关键词 信息安全；电子商务安全；RSA体制；教学改革

中图分类号：G642.0 文献标识码：B

文章编号：1671-489X（2016）24-0117-03

Teaching Reform and Practice of Electronic Commerce Security Elective Course//LIU Xin

Abstract To date， the research on teaching reform of Electronic Commerce Security for computer related majors is still rare. To alle-viate this situation， this paper summarizes the teaching experience of the course from the aspects of teaching content design， curriculum

guidance and network teaching platform construction. By combining

with the practice of teaching reform， it also discusses the ideas of curriculum evaluation program and experimental content.

Key words information security； electronic commerce security； RSA

system； reform in education

1 前言

电子商务是指在开放网络环境下进行的商业交易，这些交易涵盖了现实市场环境下的大多数交易类型。电子商务因其在提高交易效率、降低运营成本、改善服务的可访问性、不断推出新型服务和有效促进商务活动发展等方面的优势，得以在近十几年间蓬勃发展。然而，安全问题一直伴随着电子商务的成长过程。目前，黑客攻击和各类恶意程序（如木马、蠕虫和病毒等）给用户操作系统、隐私甚至是资金安全带来严重威胁，安全问题已成为制约电子商务发展的瓶颈。

2 课程的目标与作用

目前，山东青年政治学院信息工程学院已经面向计算机相关专业学生开设电子商务安全专业选修课。该课程的开设目标是为学生介绍当前电子商务领域中的主要安全威胁以及构建电子商务安全体系所需要的主要技术。由于同时开设计算机网络安全和计算机操作系统安全选修课程，因此，该课程着重介绍现代密码技术在电子商务中的主要应用以及最新进展。该课程的主要内容包括密码技术基础（信息加密技术、认证技术、密钥管理等）、公钥基础设施和密码技术在电子商务领域的应用（电子支付协议、安全套阶层协议和电子交易协议等）。该课程的开设有利于拓展学生的信息安全知识以及增强实践动手能力。

3 已有的课程改革实践总结

迄今为止，国内许多高校开设了电子商务安全课程。鉴于该课程理论性和实践性强的特点，许多高校进行了有益的教学改革尝试，并且取得较好的实际效果。代表性的成果包括：蒋文娟[1]分析了电子商务安全课程的特点，并且提出实验教学的实施方案；许浒[2]提出根据职业能力要求确定学习内容以及基于工作能力要求设计教学内容的课程建设思路；肖毅[3]从实践教学体系建设的角度讨论了课程的实验教学设计；宁艳珍[4]指出，必须根据专业培养目标确定课程训练项目，并且在教学中做到“以学生为主体”和“以教师为主导”；封富君等人[5]介绍了利用对比方法改善SSL协议教学效果的经验；唐德权[6]指出基本技能、课堂设计和课程实践是信息安全专业人才培养过程中三个突出问题。

笔者认为，上述的改革实践主要是面向电子商务[1-4]专业和信息安全[5-6]专业开设专业必修课，而围绕计算机相关专业开设专业选修课的教学设计研究和教学改革实践尚不多见。

4 课程教学的经验与体会

相对于计算机网络安全和计算机操作系统安全等安全类课程，电子商务安全的理论性更强。为此精心设计授课内容，开发一批有关密码技术应用的案例，增加课程论文指导环节，同时充分发挥网络教学平台的辅助作用。具体的经验总结如下。

1）电子商务安全课程并非密码学课程，尽管也需要介绍一部分密码学基础知识、加密技术和数字签名技术等，但仅需要做到“详略得当，够用即可”。在密码学基础知识部分，可以对模运算、同余、逆元和离散对数等概念进行重点介绍，而有些知识（如有限域）可以作为选学内容。此外，一些重要定理（如欧拉定理）的证明可作为了解性内容，但是需要强化对重点算法（如求逆元）的理解与掌握。

在对称密码体制部分，许多教材提供了DES和AES算法的细节性描述。相对于非对称密码体制，对称密码算法难度更大。在介绍这方面内容时，只需告诉学生将这些算法作为底层功能函数进行调用即可，而应当将重点放在非对称密码体制之上。

在数字签名部分，教材中通常会举例介绍RSA签名、DSA签名以及其他签名方案。其实，对于学生而言，所提供的签名方案描述是难以理解的。换句话说，如果不站在安全性分析的角度，则很难理解许多具体步骤的实际作用，从而始终有一种“只知其然而不知其所以然”的感觉。由于电子商务安全课程的重点不可能放在安全性分析上，學生只需重点掌握RSA签名的基本原理，即可顺利地理解后续的公钥基础设施、电子支付和安全电子交易等教学内容。

2）应当强化RSA体制在整个电子商务安全课程知识体系中的基础性作用。需要强调的是，大多数教材[7-8]只是着重介绍利用该体制实现加密与数字签名的基本原理。事实上，该算法是整个电子商务安全课程知识体系的核心，完全可以将该算法作为串联密钥管理、公钥基础设施、电子支付技术和安全电子交易等后续章节的有效手段。在讲授这些内容时，如果能结合RSA体制提供具体实例，则不仅便于学生加深对这些章节内容的理解，还能激发他们对RSA体制本身的兴趣。在教学实践中对RSA体制进行引申和反复运用。

①在讲授公钥基础设施这个章节时，教材中提到用户在申请数字证书时，仅需要向注册机构RA提供公钥PK，但是需要向后者证明自己掌握对应的私钥SK。对此，结合RSA签名算法，用图的形式向学生介紹三种简单的“挑战—应答”证明方法（如图1所示）。

②在讲授电子支付技术这个章节时，教材上仅介绍了电子现金支付的一般业务流程。事实上，利用RSA盲签名技术完全可以构造简单的电子现金方案。因此，将文献[9]中的RSA电子现金方案简化后介绍给学生。

③在讲授安全电子支付协议这个章节时，教材着重介绍了SET协议的功能与基本流程。大多数教材对SET协议交易流程的介绍并不细致。为此，对文献[10]提出的SET协议改进版本进行简化，并将其作为对原始SET协议的补充性案例。该案例的提供既有利于学生加深对SET协议的理解，而且再次展示了RSA加密和RSA签名技术在电子商务领域的具体应用。

3）已有教材在内容方面存在一定的不足，有必要在以下方面进行补充。

①安全电子交易协议是安全电子商务课程中的一项重要内容，在实际应用中应当考虑公平性，即在客户与商家进行交易的过程中，不诚实的参与方不应当损害诚实参与方的利益。目前，大多数教材在讲授安全电子交易协议时，通常是以SET协议作为重点内容。然而SET协议本身在公平性方面是有缺陷的，即商家在交易中处于优势地位，而客户处于弱势地位，即对于客户并不公平[10]。为此，在教学过程中向学生强调这一点，并且补充一个充分考虑交易双方公平性的电子交易协议案例——基于RSA的认证电子邮件协议[11]。

②当前，基于软件的攻击现象日益增多，用户正面临敏感信息在支付过程中被恶意软件窃取的风险。鉴于最新的可信计算技术可以为抵抗此类攻击提供有效的解决方案，因此有必要在教材中补充该项技术的导引性内容。

4）在电子商务安全课程的教学实践中增加了课程论文的指导环节。设置这个环节的初衷是，此前学生撰写课程论文的机会较少，而缺少此类写作基础将直接影响到毕业论文环节。同时，撰写课程论文有利于激发学生的学习积极性，并围绕自己所感兴趣的问题展开积极探索。在具体指导过程中向学生介绍学校电子文献资源的使用方法、参考文献标注方法和科技论文排版的格式要求，并围绕古典密码技术研究、身份认证技术研究、密钥管理技术研究、密码技术在网络安全中的应用研究、安全支付问题研究、SET协议研究、RSA算法研究和PKI技术研究等主题，为学生提供示例性的参考文献。

5）为了弥补课堂理论教学的不足，进行网络教学平台建设。除了在平台上提供教学课件、实验指导等常规资料，还为学生推荐了一系列的网络课程视频链接，如电子科技大学公开课网络时代的信息安全[12]等。

5 课程的考核方案设置

山东青年政治学院的电子商务安全课程是作为专业任选课开设的，在教学中开展一系列针对课程考核方案改革的积极探索。与以往期末成绩占较大权重的做法不同，将该课程的总评成绩设定为平时成绩和期末成绩各占50%。其中，平时成绩取决于课程实验、案例讨论、课程论文和平时作业的综合表现。

相对于此前的考核方式，增加案例讨论课和课程论文环节。其中，案例讨论课要求学生以3～5人为一组，围绕教材中某个章节的内容进行准备。在案例讨论课上，每个小组选派代表讲解所准备的PPT，可以以图片、视频文件和文档等内容作为补充；授课教师负责点评，而其他小组的学生代表参与评分。

在课程论文环节对学生提出的论文要求包括：

1）所写内容要与课程中某个章节的内容相关；

2）每个学生独立完成一个题目；

3）对所引用的内容要正确进行标注，拒绝抄袭现象；

4）论文的排版要符合预先设定的格式要求。

最终，课程论文的评价标准包括论文格式、文字水平、原创性、技术性以及论文题目与课程内容的契合程度等。

通过引入上述环节，发现学生的积极性得到充分调动，且所取得的各项效果均明显超过预期设想。

6 课程的实验内容设置

在电子商务安全课程实验教学中共设置6项实验内容，具体如表1所示，要求学生掌握典型密码分析软件、RSA工具软件以及网络安全工具软件的使用方法，掌握个人数字证书的申请、下载与安装，并且提高C程序的编写和调试能力。

这些实验的主要内容包括：

1）在古典加密体制实验中，要求学生熟悉密码分析软件CAP的使用方法，利用CAP软件完成移位加密、恺撒加密、仿射加密和维吉尼亚加密算法的相关实验，编写调试恺撒加密的实现程序；

2）在RSA加密算法实验中，要求学生熟悉工具软件RSA-Tool的使用方法，利用工具软件RSA-Tool产生RSA算法的密钥，对RSA算法的实例进行（模数分解）攻击，编写调试RSA加密的实现程序；

3）在DSA签名算法实验中，要求学生熟悉密码分析软件CAP的使用方法，利用CAP软件和工具软件DSA-Tool完成指定的DSA签名产生与验证过程；

4）在网络安全应用实验中，要求学生完成电子邮件加密软件A-Lock的安装与使用、瑞星个人防火墙软件的安装与配置，以及PGP加密系统的安装与配置；