信息安全概論精選(五篇)
發布時間:2023-10-12 17:40:14
序言:作為思想的載體和知識的探索者,寫作是一種獨特的藝術,我們為您準備了不同風格的5篇信息安全概論,期待它們能激發您的靈感。
篇1
中圖分類號:G642 文獻標識碼:B
1引言
信息安全是計算機學科下的二級學科,是一門新興的學科。它涉及通信學、計算機科學、信息學和數學等多個學科,主要研究范圍涉及計算機及網絡安全的各個方面。“信息安全概論” 課程是信息安全專業的專業基礎課程,也是提高學生計算機水平的重要組成部分。但信息安全概論同時也是學生們認為比較難學的專業課程之一。其原因如下:信息安全概論課程講述的是計算機資源管理的原理和機制,其中包含了許多抽象的概念和算法,學生學習起來感覺“大而空”。因此,信息安全概論實踐教學作為教學輔助環節十分重要,它的作用在于通過動手做實驗,幫助學生解決從抽象理論到具體對象的認識問題,培養學生應用知識解決問題的能力。
近年來,我們針對不同的教學對象和教學要求,精心設計了多種方式的實驗項目,在信息安全概論實踐教學上做了一些有益的探索。本文首先分析信息安全概論實踐教學的目標,然后說明如何具體設計實驗項目。
2實踐教學目標
我們認為,信息安全概論實踐教學作為輔助教學環節,有兩個主要目標。
(1) 幫助學生理解信息安全概論的基本概念、原理和機制
信息安全概論包含了許多抽象的基本概念如訪問控制、安全模型和系統可靠性,也包含了復雜的算法和機制,如對稱加密和身份認證。這些知識對于本科學生而言是比較難以理解的,因為他們平時很少也很難窺視到信息安全概論的內部。信息安全概論的實踐教學應該讓學生了解一個真實信息安全概論的內部實現,從而幫助學生更好地理解信息安全概論的基本概念、原理和機制。
(2) 培養學生應用信息安全概論知識的能力
信息安全概論是計算機系統中的核心軟件,從事計算機行業的專業人員都需要信息安全概論的原理知識,但他們擔任的角色不同,面臨的問題就不同,因而所具備的信息安全概論知識的應用能力也不同。信息安全概論的實踐教學必須考慮到不同能力培養的特點,以滿足學生未來任職需要。
3實驗項目設計
我們在上述的實踐教學目標的指導下,設計了多個實驗項目,內容從安全技術層面上涵蓋了主機安全技術、認證技術、訪問控制技術、防火墻技術、入侵檢測技術等。從工程技術層面上則涵蓋了計算機系統、計算機網絡、計算機通信和信息數據庫和網站安全等多學科工程技術知識。考慮到學生的知識和經驗背景,實驗項目的安排從簡到難,從依靠指導到自主設計。除必做的實驗項目外,還設計了選做的實驗項目,為有能力的同學提供更多的學習空間。下面分別介紹我們設計的9個實驗項目。其中,前3個實驗項目是密碼學理論實驗項目,使學生掌握如何使用工具實現密碼學中的算法;第4、5個實驗幫助學生理解網絡中設備配置的實現過程;后4個實驗項目是攻擊性實驗,讓學生體驗信息安全中攻擊的全過程。
(1)DES算法實現
該項實驗的目的是培養密碼算法的設計思想、掌握密碼算法的實現技術。實驗內容是:通過編寫DES算法的實現程序,理解DES算法的原理;分析DES算法的優點和缺點;掌握DES算法設計、實現和分析等階段的方法。實驗中使用的軟件資源:Windows 2000操作系統軟件和Visual C++應用開發軟件等。
(2)RSA加密算法實現
該項實驗的目的是深刻理解RSA算法的原理、掌握大整數運算的方法。實驗內容是:編程實現RSA算法,并能進行文件的加密和解密。實驗中使用的軟件資源:Windows 2000操作系統軟件、Visual C++應用開發軟件和SQL Server數據庫軟件。
(3)PKI的配置和應用
該項實驗的目的是了解PKI在信息安全中的作用。了解在SSL和PGP中應用證書的方法。掌握在局域網中正確配置PKI的方法。學會利用CA管理和發放用戶證書和對證書生命期進行管理,并能利用證書實現安全Web訪問和安全電子郵件。實驗內容是:安裝并配置PKI系統;跟據安全策略實現證書發放;利用瀏覽器查看證書內容;利用證書配置SSL,實現對網站的安全訪問;利用證書配置PGP,實現安全的電子郵件。實驗中使用的軟件資源:Windows 2000操作系統軟件和MyPKI應用軟件。
(4) 路由器配置
該項實驗的目的是了解網絡互聯原理和所需硬件功能。掌握路由器IP路由功能的配置方法,實現兩個局域網之間的相互連接與通信。實驗內容:在聯想天工路由器上完成以下配置,配置以太口、配置串口、運行動態路由協議RIP、配置網關、加入靜態路由、主機配置和測試配置結果。實驗中使用的硬件資源:個人計算機、路由器和Console配置線。
(5) 防火墻設計
該項實驗的目的是了解防火墻安全技術原理與應用,學會利用路由器的屏蔽功能配置包過濾防火墻的方法,掌握根據不同的安全需求制定安全規則和建立訪問控制列表的方法。實驗內容:配置包過濾防火墻,將硬件路由器配置成如下功能――內部網絡通過Serial0訪問Internet,局域網對外提供www、ftp和MS SQL數據庫服務;利用掃描軟件進行掃描測試,根據測試結果調整規則設置;利用攻擊軟件進行測試,根據測試結果調整規則設置。實驗中使用的軟硬件資源:PC一臺、路由器一臺、Windows 2000操作系統軟件和Console配置線。
(6) 口令攻擊
該項實驗的目的是通過對操作系統口令攻擊程序的開發,使學生了解口令作為身份認證機制的脆弱性和口令攻擊原理,理解如何增強口令機制的安全性。掌握一種破解口令的程序設計方法。實驗內容有:用C++語言(或其他語言)編寫一個帶操作控制窗口的口令破解程序。實現對本地和遠程主機的口令破解。實驗中使用的軟件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。
(7) 網頁木馬攻擊
該項實驗的目的是通過對網頁木馬的編寫,了解木馬的工作原理及功能。掌握利用IE瀏覽器漏洞進行木馬種植的方法,實現修改遠程目標機網頁標題的木馬攻擊。實驗內容是:擬定木馬制作和種植方案;配置測試網站;編寫制作一個網頁木馬,使客戶端通過瀏覽頁面感染木馬;測試運行,檢查并記錄實驗結果。實驗中使用的軟硬件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。
(8) 遠程注冊表攻擊
該項實驗的目的是通過對注冊表的攻擊,了解注冊表在Windows系統注冊表的結構和在系統安全中的重要性,了解注冊表的安全配置方法,掌握實現一種遠程注冊表入侵的程序設計方法。實驗內容有:確定注冊表攻擊方案,編寫一個程序完成如下功能:創建操作控制窗口,通過修改注冊表中相應鍵值改變遠程目標機瀏覽器窗口標題以實現對遠程主機注冊表的攻擊;測試運行。實驗中使用的軟硬件資源:Windows 2000操作系統軟件和VC++應用開發軟件等。
(9) 網站攻擊
該項實驗的目的是通過對Web網站的模擬攻擊,了解DOS攻擊的原理及危害。掌握DOS攻擊的程序設計方法,并利用該程序對Web服務器進行攻擊。實驗內容有:搭建一個測試網站;擬定網站攻擊方案;編寫一個程序,完成以下功能:創建操作控制顯示窗口,確定被攻擊服務器的IP地址并顯示在屏幕上;修改被攻擊網站的網頁標題等。實驗中使用的軟硬件資源:Windows 2000操作系統軟件、VC++應用開發軟件和IIS服務器軟件。
4結束語
“信息安全概論”是一門實踐性很強的課程,建設一個滿足信息安全專業教學要求的實驗教學體系是培養合格的信息安全人才的關鍵之一。本文在信息安全概論實踐教學中做了一些有益的工作,教學效果也不錯,但還存在一些問題有待于進一步研究和探索。例如,如何與課堂教學互補,進一步激發學生學習信息安全概論的興趣;如何通過構建實驗平臺將信息安全概論中更多的機制(認證機制、簽名機制等)呈現給學生;如何設計更為實用的、學生自主性更強的實驗項目等。
參考文獻:
[1] 威特曼. 信息安全原理[M]. 齊立博,譯. 2版. 北京:清華大學出版社,2006.
[2] 段云所,魏仕民,唐禮勇,等. 信息安全概論[M]. 北京:高等教育出版社,2003.
[3] 王景中,徐小青. 計算機通信信息安全技術[M]. 北京:清華大學出版社,2006.
[4] 張煥國,王麗娜. 信息安全綜合實驗教程[M]. 武漢:武漢大學出版社,2006.
[5] 龔方紅,湯正華,蔣必彪. 試論工程教育中的本科實驗教學改革[J]. 中國高教研究,2006(4):86-87.
[6] 卿斯漢,蔣建春.網絡功防技術原理與實踐[M]. 北京:科學出版社,2004.
篇2
關鍵詞:信息安全;課件;理論教學;教學方法
中圖分類號:G642 文獻標識碼:B
文章編號:1672-5913 (2007) 23-0026-03
信息安全是計算機學科下的二級學科,是一門新興的學科。它涉及通信學、計算機科學、信息學和數學等多個學科,主要研究范圍涉及計算機及網絡安全的各個方面。“信息安全概論”課程是信息安全專業的專業基礎課程,也是提高學生計算機水平的重要組成部分。其教學內容主要包括:信息安全概述、密碼學基礎、密鑰分配與管理技術、訪問控制、防火墻技術、入侵檢測技術、信息安全應用軟件、企業與個人信息安全、Web的安全性、網絡安全,它是一門綜合性很強的課程。它的作用主要是讓學生掌握信息安全的基本原理、基本概念;了解信息安全系統的設計方法;且要求學生能夠進行一些信息安全實踐,提高動手能力。學時分配為:理論教學32學時,實踐教學24學時。由于這門課程理論性強、信息量大且抽象,而授課對象是低年級學生,專業知識尚不豐富,因此,如何在教學過程中提高學生的學習興趣?如何開展實踐教學?如何更好地將理論教學的知識點有機地融入到具體的實驗中去?使學生不僅能夠通過實驗理解和掌握理論教學的內容,還能通過實驗了解和掌握一定的工程技術知識,培養和鍛煉學生的分析能力、綜合解決問題的能力和實際動手能力,就成為我們在教學研究中需要解決的主要問題。
1目前教學中存在的問題
(1) 教學媒體使用不當。傳統的教學方法主要是把學生集中起來,現在雖然有多媒體教室,對教學起到了一定的積極作用,但課件多是對書本內容的羅列,對啟發式、討論式的教學方法采用比較少。而課程內容較多且抽象,被動接受知識的方式無法有效提高學生的學習興趣,學生普遍反映應難以跟上教學進度。
(2) 教學內容與數學課程脫節。信息安全概論這門課程涉及到大量的算法和協議,如密碼學涉及到大數大因數分解問題、離散對數問題、橢圓曲線離散對數問題,等,這體現了信息安全專業與數學基礎學科結合的緊密性。而在課程開設中,往往認為該課程是入門課程,而忽視了對數學課程的講解,導致學生學習相關內容時感覺較難掌握。
(3) 重理論,輕實踐。“信息安全概論”是信息安全學科的一門基礎課,主要為信息安全及計算機相關專業的低年級本科生開設,因此,該課程旨在對學生講解信息安全的基本理論,讓學生對信息安全學科有個較為全面的認識,以利于后續課程的開展。信息安全主要講解內容包括信息安全基本理論、安全協議及安全技術等幾個部分。在開設課程過程中,由于片面注重理論的重要性,往往造成以課堂講授為主,形成一種“灌輸式”的教學。然而,由于該課程是為低年級學生開設,很多同學在聽課過程中,感覺內容比較抽象,無法正確理解課程內容。如:RSA大數分解等內容,如果學生只是被動記憶公式和算法,而不借助實踐性環節,如創新性實驗、課程學習討論、課程設計環節,等,將導致學生學習興趣不高,教學質量沒有保證,不利于學生創新能力的培養。
2課堂教學的改進
針對上述問題,教學組對以下幾個方面作出了改進。
2.1課件的改進
板書與課件相結合的方式可提高教學效果,但其中最關鍵的是課件的制作。課件的內容不能僅是課程內容的羅列,而是要對課程內容跨章節地組織起來,形成一個整體,當然也包括與其他課程之間的關聯。如在講解密碼學、訪問控制、防火墻技術等章節后,學生具備了信息安全的基礎知識,但是知識點比較分散,對信息安全的綜合應用能力較弱。教學組在課程講授過程中安排綜合應用實例講解。如以電子商務安全綜合應用實例,該綜合實例講解安排在講授完各個章節內容以后,共2學時。內容是設計典型企業網絡拓撲;運用對稱密碼學,如DES算法為基本加密手段對電子交易進行加密,利用非對稱密碼學,如RSA算法;采用數字信封方式,對DES會話密鑰進行加密分發;采用防火墻對企業網絡進行防護;交易過程采用SET協議保障安全。這樣,學生就能將各個章節的內容聯系起來,鞏固所學知識,提高綜合運用的能力。
將信息安全中理論性強、極其抽象的內容制作成 Flash 動畫。例如在講述DDoS攻擊時,學生對攻擊者侵入傀儡機,并利用傀儡機攻擊的過程很難理解。可用 Flash 動畫來演示,以便在課上形象講解黑客是如何對傀儡機進行控制,并對受害網絡進行入侵的。特別將洪泛攻擊的特點用動畫方式,一步步展現給學生,使學生輕松接受知識。這種課件也便于學生在課下自主復習。
2.2重視數學基礎
信息安全涉及大量的基礎協議,如密碼學中的RSA算法就涉及近世代數的基礎知識。因此,需要為學生開設相關的數學基礎課程,同時,在講授該算法之前,先對數學知識進行復習,復習時以要點講解為主,如:歐拉函數的定義,逆元的求解方法,等。對于逆元的求解,可以以具體的RSA實例進行講解。另外,讓學生進行實際的上機練習,利用數學基礎進行編程實驗,加深對密碼學基礎知識的理解,如為學生布置這樣一道上機題:若有明文public key encryptions,請設計RSA加密算法對該明文進行加密,編程實現密鑰的生成。學生就能通過上機實踐,熟悉RSA算法的原理,并理解每個步驟的計算過程。
3改進實驗方法
課堂講授之外,還要對實驗課進行合理安排。實驗主要包括信息安全協議實驗和信息安全綜合實驗兩個部分。如表1所示。
表1 課程配套實驗內容
其中,信息安全協議實驗目標是使學生系統掌握安全協議及算法,了解安全協議的應用范圍。掌握根據系統的安全要求(包括機密性、完整性、訪問控制、鑒別、審計、追蹤、可用性、抗抵賴等方面),綜合運用安全協議的能力。信息安全綜合實驗目的是將系統的安全要求(包括機密性、完整性、訪問控制、鑒別、審計、追蹤、可用性、抗抵賴等方面),在OSI或者TCP/IP模型的各個層次予以考慮,并且結合安全管理策略在網絡安全方案中予以保障,從而構成實際應用中的一個完整的信息系統安全方案。
實驗課程中,教師先利用原型系統對實驗效果進行演示,特別對網絡攻防相關內容,進行實際操作演示,提高學生學習興趣。
實驗內容有針對性,以便于學生結合課堂上的實例講解,理解信息安全的抽象內容。要求學生對實驗結果進行分析、討論,鼓勵學生組成討論小組,并寫課程小論文,以加強學生之間的交流。如對于數字簽名的實驗,可讓學生分成兩組,在一臺實驗機器上完成信息的生成、簽名、發送,在另一臺機器上,對網絡上接收到的信息進行解析、完整性校驗。
為了更好地培養和鍛煉學生的獨立工作能力和創造性思維能力,對于信息安全綜合實驗,我們為學生設計了一個模擬的安全需求,具體如下:設計一在線考試系統,并從以下幾方面保證系統的安全性:
服務器的安全防護,提供訪問控制、安全審計、信息加密等功能,從保密性、可用性、可控性等幾方面保證服務器的安全運行。
提供客戶機、服務器的認證功能,保證考試過程的有效性。
提供客戶機、服務器通信加密功能,保證通信內容的機密性。
惡意代碼、蠕蟲、病毒防御功能。
數字證書體制設計。
這一用戶需求巧妙地將實踐教學的知識點隱藏了起來,給學生提供了一個綜合分析問題的空間。學生只有通過認真的需求分析,反芻所學的理論知識,才能正確地確定采用何種安全技術,從而培養和鍛煉了學生的分析能力。
4結束語
本文提出的關于信息安全概論的教學方法將原本抽象、難以理解的數學基礎知識、安全協議,形象、實例地配合實驗進行講解從而變得易于理解。學生通過實驗進一步加深理解,較之傳統的教學模式明顯提高了學生對課程內容的理解及掌握。此方法在我們的本科教學過程中取得了明顯的效果。
參考文獻
[1] 王昭順.信息安全本科專業人才培養的研究[J].計算機教育,2006,(10):30-32.
[2] 劉傳才,陳國龍,密碼學課程的探索與實踐[J].高等理科教育,2002,(05).
篇3
關鍵詞:藍牙密鑰DES算法安全機制
藍牙作為一種新興的短距離無線通信技術已經在各個領域得到廣泛應用,它提供低成本、低功耗、近距離的無線通信,構成固定與移動設備通信環境中的個人網絡,使得近距離內各種信息設備能夠實現無縫資源共享。
由于藍牙通信標準是以無線電波作為媒介,第三方可能輕易截獲信息,所以藍牙技術必須采取一定的安全保護機制,尤其在電子交易應用時。為了提供使用的安全性和信息的可信度,系統必須在應用層和鏈路層提供安全措施。
本文重點討論了藍牙信息安全機制的構成原理及相關算法,并指出其在安全性方面存在的不足與問題。因為對于大多數需要將保密放在首位來考慮的應用來說,藍牙現行標準所提供的數據安全性是不夠的。藍牙現行規范采用的128位密鑰長度的序列的加密在某些情況下可以被破解。本文同時提出了一種藍牙安全機制的改進方案,即采用DES加密體制構建強健的加鑰算法,能夠在計算上證明此加密算法是安全可靠的。
1藍牙的安全機制
藍牙采取的安全機制適用于對等通信情況,即雙方以相同方式實現認證與加密規程。鏈路層使用4個實體提供安全性:一個公開的藍牙設備地址,長度為48bit;認證密鑰,長度為128bit;加密密鑰,長度為8~128bit;隨機數,長度為128bit。以下重點討論藍牙安全機制的組成及相關算法。
1.1隨機數發生器
隨機數發生器在藍牙標準中有重要應用,例如在生成認證密鑰和加密密鑰中以及查詢-應答方案中等。產生隨機數的理想方法是使用具有隨機物理特性的真實隨機數·發生器,例如某些電子器件的熱噪聲等,但是在實際應用中通常利用基于軟件實現的偽隨機數發生器。藍牙系統對于隨機數的要求是“隨機生成”和“非重復性”。“隨機生成”是指不可能以明顯大于零的概率(對于長度為L位的藍牙加密密鑰,概率大于1/2L)估計出隨機數值。
目前在眾多類型的偽隨機數發生器中,線性同余發生器(LinearCongruentialGenerator)被最廣泛地研究與使用。其表達式為:
Xn+1=αXn+c(modm)n≥0。
式中α和c為常量,m為模數,均為正整數。αXn+c對m作模運算后得到Xn+1。開始時以某種方式給出一個種子數X0;然后使用前一個隨機整數Xn生成下一個隨機整數Xn+1,由此產生整數隨機數列{Xn}。
1.2密鑰管理
藍牙單元密鑰長度不能由單元制造者預置,不能由用戶設置。藍牙基帶標準規定不接收由高層軟件給出的加密密鑰以防止使用者完全控制密鑰長度。
1.2.1密鑰類型
鏈路密鑰是一個128位隨機數,為通信雙方或多方共享的臨時性或半永久性密鑰。半永久性鏈路密鑰可以用于共享鏈路單元之間的幾個相繼認證過程中。臨時密鑰的典型應用是:在點對多點通信情況下,同一信息需要安全地發往多個接收端,這時采用主單元密鑰取代當前鏈路密鑰。藍牙標準定義了四種鏈路密鑰:①聯合密鑰KAB;②單元密鑰KA;③臨時密鑰Kmoster;④初始化密鑰Kinit。此外還定義了加密密鑰Kc,由當前鏈路密鑰生成。對藍牙單元來說,單元密鑰KA在單元A中生成,依賴于該單元,很少改變。聯合密鑰KAB。由單元A、B方共同生成。臨時密鑰Kmoster僅在當前會話中使用,也稱主單元密鑰。初始化密鑰Kinit是藍牙初始化過程中使用的鏈路密鑰。該密鑰由一個隨機數、一個通常為十進制的PIN碼以及發起單元的藍牙設備地址BD_ADDR生成。PIN碼可由用戶選擇也可以是隨藍牙一起提供的固定數。目前大多數應用中PIN碼為4位的10進制數,無法提供較高的安全性。藍牙基帶標準要求PIN碼長度為1~16位,因此建議盡量使用較長的PIN碼以增強安全性。
1.2.2密鑰生成與初始化
每一對要實現認證與加密的藍牙單元都要執行初始化過程,其過程由以下幾部分組成:
(1)生成初始化密鑰Kinit:為初始化過程中臨時使用的鏈路密鑰。該密鑰由E22算法及相關參數生成,其生成原理圖見圖1。E22輸出的128位初始化密鑰Kinit用于鏈路密鑰的交換分配過程。如果申請者與證實者沒有交換過鏈路密鑰,則Kinit用于認證過程,否則不再使用。該過程必須保證能夠抵御一定的攻擊,例如攻擊者使用大量的假藍牙地址BD_ADDR來測試大量PIN等,如果設備地址固定則每次測試PIN碼等待間隔應按指數增加。
(2)認證:如果兩個單元沒有發生過通信聯系,則使用初始化密鑰作為鏈路密鑰。每次執行認證規程,均新隨機參數AU_RANDA。在相互認證中,首先在一個方向執行認證規程,成功后再反向執行認證。認證成功將得到一個輔助參數ACO,即認證加密偏移量。它將用于生成加密密鑰。
(3)生成單元密鑰:單元密鑰在藍牙單元首次運行時生成,根據E21算法生成并幾乎不改變。初始化時,通信雙方通常選用一個內存容量較少的單元中的密鑰作為鏈路密鑰。
圖3
(4)生成聯合密鑰:聯合密鑰是分別在A單元與B單元中生成的兩個數字的組合。生成過程是:每個單元生成隨機數LK_RANDA與Lk_RANDB,采用E21算法與各自的隨機數、藍牙地址分別生成另一個隨機數LK_KA與LK_KB,并通過其他操作后兩個單元得出聯合密鑰。然后開始互相認證過程以確認交互過程成功。聯合密鑰交換分配成功后將放棄使用原鏈路密鑰。
(5)生成加密密鑰:加密密鑰Kc根據E3算法,由當前鏈路密鑰、96bit“加密偏移數”COF和一個128bit隨機數導出。
(6)點對多點配置情況:實際上,主單元通知幾個從單元使用一個公共鏈路密鑰廣播加密消息,在多數應用中這個公共鏈路密鑰是臨時密鑰,記為Kmoster。Kmoster被從單元接收后便可用它替代原鏈路密鑰Kmoster的產生過程為:首先由2個128bit的隨機數RAND1與RAND2生成新鏈路密鑰Kmoster:Kmoster=E22(RAND1,RAND2,16)。然后將第3個隨機數RANO發往從單元,主、從單元根據E22、當前鏈路密鑰及RAND計算出128bit擾亂碼overlay,主單元將overlay與新鏈路密鑰按位“異或”結果發送給從單元,再計算出Kmoster。在后面的認證過程中計算出一個新ACO值。
1.3加密規程
對有效載荷加密通過流密碼算法實現,流密碼與有效載荷同步,加密原理圖如圖2所示。流密碼系統由三部分組成:執行初始化、生成密鑰流比特、執行加密或解密。有效載荷密鑰生成器將輸入比特流以恰當順序進行組合并移人密鑰流生成器使用的4個線性反饋移位寄存器LFSR。第二部分是主要部分,密鑰流比特根據Massey與Rueppel提出的方法生成,該方法經過一定的分析與研究,證明具有較高的加密性能,但此法可能受到相關攻擊,其改進方法在本文后面詳細描述。
1.3.1商定加密密鑰長度與加密模式
實現基帶標準的藍牙設備需要定義最大允許密鑰字節長度Lmax,1≤Lmax≤16。在生成加密密鑰前,有關單元必須商定密鑰實際長度。主單元將建議值L(M)sug發送給從單元。如果L(S)min≤L(M)min并且從單元支持建議值,從單元對此給予確認,L(M)min成為本鏈路加密密鑰長度值。如果不滿足上述條件,從單元將向主單元發送新的建議值L(S)min〈L(M)sug,主單元對此建議評估。重復此規程直至達成協議或一方放棄商談。
1.3.2加密算法
加密規程使用流密碼加密。加密系統使用線性反饋移位寄存器(LFSRs),寄存器系統輸出由具有16狀態的有限狀態機進行組合,狀態機輸出或是密鑰流序列,或是初始化階段的隨機初始值。加密算法需要提供加密密鑰、48bit藍牙地址、主單元時鐘比特與128bit隨機數RAND,加密算法原理如圖3所示。
其中,有4個LFSR(LFSR1,…,LFSR4),比特長度分別為L1=25,L2=31,L3=33,L4=39,反饋多項式(抽頭多項式,特征多項式)。4個寄存器長度之和是128bit。
這些多項式都是本原多項式,漢明重量都為5,可以兼顧生成序列具有良好的統計特性與減少硬件實現所需要的異或門數兩方面的要求。
令xit表示LFSRit時刻輸出狀態比特,由四元組(x1t,…,x4t)得Yt為:
,式中Yt為整數,取值為0,1,2,3或4。加法生成器輸出由下述方程給出:
式中,T1[.]與T2[.]是GF(4)上兩個不同的線性雙射。
密鑰流生成器工作前需要為4個LFSR(總共128bit)裝載初始值并且確定C0與C-14bit值,這些132bit初始值使用密鑰流生成器由規定的輸入量導出,輸入量分別為密鑰Kc、48bit藍牙地址和26bit主單元時鐘CLK26-1。加密算法初始化過程:(1)由128bit加密密鑰Kc生成有效加密密鑰,記為K'c,令L(1≤L≤16)為用8bit組數目表示的有效密鑰長度,則K'c(x)=g2(L)(x)(Kc(x)modg1(L)(x))。(2)將K'c、藍牙地址、時鐘以及6bit常數111001移入LFSR。加密算法初始化完成后,從加法組合器輸出密鑰流用于加密/解密。
1.3.2認證
藍牙技術認證實體使用所謂查驗-應答方案。通過“兩步”協議,申請者是否知道秘密密鑰使用對稱密鑰進行證實。這意味著,一個正確的申請者/證實者對,在查驗-應答方案中將共享相同密鑰Kc,證實者對于申請者是否能夠認證算法K1認證隨機數AU_RANDA,并返回認證結果SERS,進行查驗。其認證及加密密鑰生成函數可以參考相關資料,此處略。
2藍牙安全機制的方案改進
現有藍牙安全機制主要存在兩個主要問題。一個是單元密鑰的使用問題:在鑒權和加密過程中,由于單元密鑰沒有改變,第三方利用此密鑰來竊取信息。128位密鑰長度的E0序列加密在某些情況下可通過不是很復雜的方法破解。另一個是藍牙單元提供的個人識別碼(PIN碼)的不安全問題:由于大多數應用中PIN碼是由4位十進制數組成,所以采用窮舉法很容易攻擊成功。
克服這些安全性問題的解決方法除了增加PIN碼長度外,關鍵是要采取更為強健的加密算法,如用數字加密標準DES代替序列加密算法。DES是一種塊加密方法,加密過程是針對一個個數據塊進行的。在DES算法中,原始信息被分為64位的固定長度數據塊,然后利用56位的加密密鑰通過置換和組合方法生成64位的加密信息。與藍牙序列的加密算法不同,數學上可以證明塊加密算法是完全安全的。DES塊密碼是高度隨機和非線性的,其產生的密文和明文與密鑰的每一位都相關。DES的可用加密密鑰數量非常龐大,應用于每一位明文信息的密鑰都是從這個龐大數量的密鑰中隨機產生的。DES算法已經被廣泛采用并認為非常可靠。采用DES加密算法的藍牙技術可以將藍牙應用到安全性較高的應用中去,例如電子金融交易、ATM等。
2.1DES算法
1977年美國國家標準局公布了聯邦數據加密標準DES。由于DES算法保密性強,迄今尚無切實可行的破譯方法,所以DES得到了廣泛地應用。DES是一種分組密碼體制,它將明文按64位一組分成若干組,密鑰長為56位。其基本思想是采用變換的組合與迭代,將明文中的各組變為密文組。
在DES系統中,乘積變換是加密過程的核心,連續進行16次操作,每次更新一組密鑰。移位變換B是移位變換A的逆變換。圖4為DES體制加密流程,圖的右側表示DES系統的密鑰生成過程。初始密鑰是一串64bit的隨機序列。經過反復移位變換,產生16組子密鑰(K1~K16),每組子密鑰用于一次乘積變換。所謂初始重排(IP)就是打亂輸入分組內比特原有排列次序,重新排列,排列方式是固定的。
DES的一次乘積變換運算步驟為:(1)把64bit輸入碼分成左右兩組,每組32位比特,分別用Li-1和Ri-1代表。其中i代表第i次乘積變換,i=1~16。(2)把該次乘積變換輸入分組的右組32位比特變為輸出分組的左組32位比特,即Li=Ri-1。(3)輸入分組右組32位比特經過擴展操作變為48位比特碼組。(4)擴展變換輸出的48位比特與子密鑰Ki的48位比特按模2相加,輸出的48位比特分為8組,每組6位。(5)把每組6位比特進行密表(S-盒)替代,產生4位比特。輸入的6位比特的第1、6兩位決定密表內所要選擇的行數,其余4位決定密表內的列數。(6)把8組密表輸出合并為32位比特,然后與本次乘積變換輸入左組Ci-1按位模2相加,即可得到第i次乘積變換的右32位輸出Ri。
2.2DES算法的特點
DES算法具有以下特點:
(1)DES的保密性僅僅取決于對密鑰的保密,算法公開。
(2)在目前水平下,不知道密鑰而在一定的時間內要破譯(即解析出密鑰K或明文)是不可能的,至少要建立256或264個項的表,這是現有資源無法實現的。
(3)由于“雪崩效應”,無法分而破之,一位的變化將引起若干位同時變化。
綜上所述,由DES算法構建的藍牙安全機制是可靠的,采用窮舉方式攻擊是不現實的。假設有一臺每秒完成一次DES加密的機器要用將近1000年的時間才能破譯這個密碼。
篇4
關鍵詞:建構主義理論;C++課程群;教學模式
0 引言
與計算機領域其他專業不同,信息安全專業需要更加注重實踐教學,而且在實踐內容設置上具有一定的特殊性。一方面它涉及數學、密碼學、網絡安全協議等理論性、抽象性很強的專業教學;另一方面作為一門應用學科,在人才培養模式方面更注重應用性、工程性和實踐性。C++課程群(見圖1)是指C++程序設計以及基于C++程序進行實踐教學課程的統稱,在信息安全專業中主要包括高級程序設計C++、密碼學基礎、應用密碼學、網絡安全編程及課程設計、信息安全綜合實踐、計算機病毒原理與防治等課程構成的課程群。C++課程群是信息安全專業教學實踐環節的核心和支撐課程,貫穿信息安全專業整個教學過程,它們實踐的好壞直接反映了信息安全專業的人才培養質量。
然而,在多年的C++課程群教學過程中發現,大部分學生由于在大學一年級沒有很好地理解和掌握C++編程,導致后繼C++課程群的實踐環節難以有效展開,造成在課程群實踐環節和畢業設計綜合實踐環節中拼湊、雷同、抄襲的現象較為嚴重。因此,針對目前C++課程群教學現狀,我們提出基于建構主義理論的信息安全專業C++課程群教學模式,改變傳統的以教師為主的灌輸教育,而以學生為主體,通過將建構主義理論中的理念和機制靈活應用于教學過程,充分發揮學生的主觀能動性,將抽象理論知識學習和動手實踐能力培養相結合,有效改進C++課程群的教學效果,培養學生分析問題和解決問題的能力,增強學生的團隊合作能力和社會競爭力。
1 基于建構主義理論的教學模式
1)基于建構主義理論的總體框架。
基于建構主義理論的教學模式(見圖2),我們把該模式有效地應用于C++課程群中不同課程的教學實踐中,即將“項目演示主動認知團隊實踐團隊討論認知統一項目構建”的教學模式以適合的形式貫穿于課程教學始終,使學生能夠積極主動地深人學習C++課程群中的每門課程和實踐環節。這個模式貫穿C++課程群的不同階段,而且根據課程性質的不同可以具有不同的實現形式。
“項目演示主動認知團隊實踐團隊討論認知統一項目構建”是一個循序漸進而又相互滲透的過程。通過項目演示激發學生的探究興趣,調動學生的主動認知學習本能;通過團隊實踐和團隊討論驗證團隊成員主動搜集和挖掘知識的能力,使團隊成員達到新的認知統一;然后基于統一的認知進行項目構建;最后項目構建的成果又作用于項目演示,從而使團隊成員的知識得到不斷豐富和提高。
例如,從低年級開始強化C++程序設計、數據結構(基于C++)等專業基礎課程的實驗實踐,主要采用基于ACM程序設計大賽的形式構建“項目演示主動認知團隊實踐團隊討論認知統一項目構建”的教學模式。信息安全專業的核心技術是密碼技術和網絡安全協議。因此,實踐教學必須也圍繞這兩個核心技術展開。但是,不管是密碼技術還是網絡安全協議,其理論和技術均有較高的門檻。要開始這類課程和實驗,學生必須具備密碼理論與實現、網絡協議分析和較強的網絡編程能力。同時,信息安全的實驗通常是涉及網絡威脅和防護多個方面的綜合實驗,一個完整的實驗內容多、工作量大,對學生的綜合能力也提出較高的要求。因此在講授信息安全專業課程時,主要采用安全競賽和項目驅動的方式構建“項目演示主動認知團隊實踐團隊討論認知統一項目構建”的教學模式。在進行畢業設計和綜合實踐實訓時采用項目驅動的方式構建“項目演示主動認知團隊實踐團隊討論認知統一項目構建”的教學模式。
2)基于協作式學習的教學組織過程。
建構主義理論要求以學生為中心,強調學生對知識的主動探索、主動發現和對所學知識意義的主動構建,因此我們采用了基于協作式學習的教學組織過程。協作式學習是指通過團隊的形式組織學生進行協同學習,如模式中的團隊實踐和團隊討論,團隊成員共同學習、討論和解決問題以達到教學目標。優勢之一在于團隊成員可以有效共享彼此通過不同途徑(如網絡、圖書館等)主動收集、挖掘的信息以及根據實踐總結的資料和實驗結果等;優勢之二在于可以進一步通過班級PPT講解或討論與其他團隊共享搜集資料和實驗結果,加深對不同知識點的理解和升華。在此過程中,教師總體負責教學和實驗的組織、進展和引導,以保證教學以及實驗目標的有效實現和協作學習成果的有效共享。
例如,在應用密碼學教學過程中,我們首先通過相應的與安全相關的項目演示,激發學生的興趣,然后根據內容將學生隨機分組,每組4-5名學生,在規定的時間內(一般為一周)協作完成PPT制作(組長負責任務分解和協調)、PPT講解(推薦組內同學)、密碼理論研究、算法實現和演示、安全與攻擊等教學和實驗內容。組內成員可以采用不同方式對研究問題進行分析和討論,由組長和成員共同討論決定。每個組內成員根據自己的子任務進行資料收集和整理。組內成員的成績直接影響小組的成績,同時也影響自己的最終成績。這種方式充分調動了每個組內成員的學習積極性,有效克服了個別成員的畏難和偷懶情緒,最重要的是學生的團隊合作精神和集體榮譽感增強,而且面對面的相互交流也使得每個成員的學習效率最大化。組與組之間以班級的形式共同討論,教師和各組成員互相點評成果質量、思路完善程度、材料搜索和總結完備程度,從而達到激發競爭力、相互學習和促進的效果。
通過C++課程群中的教學實踐,如基于ACM競賽的高級程序設計C++教學模式、基于攻擊與防御情景模擬的網絡攻擊與防御教學模式以及基于創新實踐項目的安全綜合實踐等證明,這種教學模式有效地調動了學生的參與積極性、主動學習興趣,激發了學生的潛在學習能力,課堂氣氛明顯活躍,甚至一些平時不愛學習,只靠考試最后幾天突擊學習的學生,也不得不在平時積極準備以便充分展示自己,以達到最終的考評要求。
3)基于競賽或項目驅動的實踐能力培養和社會競爭力提升。
建構主義理論要求通過實物或項目演示激發學生的初始認知興趣,進而引發學生的主動探索和認知潛能,因此我們在C++課程群教學中通過引入合適的競賽和實踐項目來激發學生的學習興趣和主動學習欲望,進一步培養學生的自主創新實踐和社會實踐能力,以有效提升學生的社會競爭力。
例如,我們在C++課程群教學中主要采用兩條路線進行。一是設計符合實際需求的創新實踐題目,如企業團體郵件安全分發的異常檢測、基于挑戰應答機制的身份驗證系統、惡意軟件的內核級程序設計、數碼照片的來源盲鑒定等,由感興趣的學生分組合作申請或參加各類大學生實踐創新項目和應用比賽,如中國機器人RoboCup公開賽、ACM程序設計大賽、上海市大學生科創項目、上海高校信息安全競賽、Google Android應用開發中國大學生挑戰賽、上海市大學生計算機應用能力大賽等。二是校企聯合實踐項目。通過讓學生參與企業項目,來迎合市場實際需求,培養學生社會實踐技能,增強學生社會適應能力,提高學生社會競爭力。采用的方法是學生通過小組討論、問題分析與解決、與指導教師或企業實訓教師討論等多個環節的鍛煉,有效地培養學生獨立思考和解決問題的能力,更重要的是增強了團隊合作精神,提升了社會競爭力。
與此同時,我們將這種競賽或項目驅動機制引入到實驗實踐教學中,通過模擬正規比賽規則評判學生實驗實踐質量。我們設計了各種競爭和激勵機制,如綜合排名、日冠軍、周冠軍等,給學生的學習帶來了更多樂趣和挑戰。將其與績點、各種計算機類競賽的參賽資格等掛鉤,激發學生的競爭意識,調動其學習欲望和主動性,以形成你爭我趕的良性互動局面。
4)創新課程考核和評價機制。
考核和評價機制的設置應該能夠充分反映一個學生各個方面的能力體現,如資料收集、課件展示、問題回答、作品展示等。然而,目前存在的考試考核方法單一,一般采用期末試卷或者大作業形式,如平時成績×30%+期末成績×70%。這種考試考核方法在與實際結合緊密的信息安全專業C++課程群教學中日益顯露出弊端,不能有效反映學生的實踐能力和資料收集整理、總結能力。試卷將學生的學習目標定位于做題,極易導致高分低能現象。大作業要求學生提交程序或報告,由教師按照一定的評判標準根據代碼或書面報告給出成績,評判標準有局限性,學生也難以展示創新思想和創新觀點,導致大量雷同報告的產生。另外,考核多集中于期末,導致學生平時的參與積極性不高。
在我們提出的基于建構主義理論的教學模式中,考核方式采用多層次的評價體系,更注重學生自主學習能力和創新能力的考核,實行平時分組討論表現和期末考核相結合的方法。將學生分組,每組人數可以根據課程不同調整,對學生的資料收集能力、PPT準備情況、自制團隊教學錄像情況、表達能力、協同學習能力等進行考核。
根據C++課程群的教學實踐表明,這種評價體系不僅有效體現了公平、合理,且鼓勵創新,更加有效地調動了學生的主觀能動性和積極性,激發學生的表現力和創造力,形成活躍的學習氛圍,并能較好地體現出學生不同方面的創新水平,達到團隊成員優勢互補,如在PPT制作中涌現出大量優秀作品,部分學生因此獲得了市級獎項,部分學生發現了自己的演講天賦和現場表現力等。
2 基于建構主義理論教學模式下的教學實踐效果
1)學生參與科創的主動性提高。
在基于建構主義理論的教學模式指導下,構建了完善的學科實驗實踐教學平臺,為學生進行形式多樣的科創活動打下堅實的基礎。通過相關課程的內涵建設,加強了實踐教學。課題組成員通過貫徹理論與實踐相結合的講課原則,提高了教師的業務能力和實踐指導水平。在教師指導下,學生可以參加形式多樣的科創活動,而且近幾年本專業參加科創的學生人數逐年遞增,獲得資助的科創項目數量迅速增長,從2008年的7項增至2011年的30項,平均每年有8組40名左右學生參與教師科研項目。
2)工程實踐能力提高。
在基于建構主義理論的教學模式指導下,學生的工程實踐能力顯著提高,充分利用創新應用實驗平臺和企業聯合實踐平臺,激發學生潛能,培養學生實踐能力和創新思維,極大地豐富了學生的科技創新活動和社會實踐活動,培養了學生創新實踐能力和創新思維,取得了一定的成果。目前我們建設有機器人協會、微軟俱樂部、ACM協會等學生社團以及十多家產學研企業實踐實習基地。
篇5
信息安全專業培養要求
1.具有扎實的數理基礎,熟練掌握一門外語并具有一定的譯、聽、說和初步的寫作能 力;具有國際視野和一定的跨文化的交流、競爭與合作能力;
2.掌握模擬和數字電子線路的基本原理、分析方法、實驗技能與方法;
3.掌握通信、計算機網絡和信息系統的基本理論和專業知識,掌握密碼、信息安全以 及信息安全管理的基本理論與方法;
4.具備在信息、信息過程和信息系統等方面進行信息安全與保 密關鍵技術的分析、 設計、研究、開發的初步能力以及安全設備與軟件的應用、信息系統安全集成與管理的 能力;
5.了解國家有關信息安全方面的政策和法規以及有關國際法律、法規;了解信息安全 技術領域的理論前沿、應用前景和發展動態;
6.掌握計算機的基本原理與技術,具有初步的軟、硬件的開發能力;
7.掌握文獻檢索、資料查詢的基本方法,具有一定的科學研究和實際工作能力。
信息安全專業就業方向
本專業學生畢業后可在政府機關、國家安全部門、銀行、金融、證券、通信領域從事各類信息安全系統、計算機安全系統的研究、設計、開發和管理工作,也可在IT領域從事計算機應用工作。
從事行業:
畢業后主要在新能源、互聯網、計算機軟件等行業工作,大致如下:
1 新能源;
2 互聯網/電子商務;
3 計算機軟件;
4 房地產;
5 貿易/進出口。
從事崗位:
畢業后主要從事項目經理、網絡工程師、網絡管理員等工作,大致如下:
1 項目經理;
2 網絡工程師;
3 網絡管理員;
4 銷售經理;
5 行政助理。
信息安全專業主要課程
專業基礎和專業課主要有:高等數學、線性代數、計算方法、概率論與數理統計、計算機與算法初步、C++語言程序設計、數據結構與算法、計算機原理與匯編語言、數據庫原理、操作系統、大學物理、集合與圖論、代數與邏輯、密碼學原理、編碼理論、信息論基礎、信息安全體系結構、軟件工程、數字邏輯、計算機網絡等。
