（计算机软件与理论专业论文）安全的远程考试系统设计与实现.pdf

圭童奎望查兰堡主堂垡堡苎 窭全盟垩堡耋堕墨堕望堕! ! ! 堕 安全的远程考试系统设计与实现 摘要 t 7 远程考试系统是目前i n t e r n e t 上应用的热点远程教育系统的一 个重要组成部分。对其安全问题进行研究，保证考试的公平性和严 格性，是远程考试投入实际应用的必要条件。目前欧美等国在远程 教育和远程考试领域的安全性问题上已做了较深入的研究。通过本 、 毕业论文的设计，希望能够促进国内远程教育应用的发展。? 考试的安全不仅仅包含认证、保密、访问控制、完整性等信息 安全问题，还包括了作弊防范、试卷保护等特殊的安全问题。在深 入分析远程考试系统体系结构和其中特殊安全问题的基础上，本文 第二章提出了一个安全的远程考试系统的实现场景，即由考试中心 f 7 和各分考场组成的半开放的考试环境。诗试中心使用考试服务器提 供试题传输服务；而各分考场内设置考试网关，客户端通过它来与 考试服务器相互认证、加密通信。 在考察了各种安全认证系统的优缺点和适用性后，本文主要采 i 用了公钥基础设施( p k i ) 的体系结构作为实现安全的考试系统的基 础。本文第三章详细分析了公钥基础设施的基本加密原理、信任机 制、功能结构、证书机制以及传输协议s s l 。 整个系统的结构设计包含了c a 设计、考试网关设计和考试服务 l 器设计三部分。其中重点在于考试网关。在设计考试网关时，比较 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 了网络地址转换( n a t ) 与安全代理( s s lp r o x y ) 两种技术和它们 的优缺点后，本文提出将两者结合起来，实现一个“透明的安全代 理网关”，满足了考试系统的安全性需求，同时也达到了易用性和可 扩充性。考试服务器的安全也使用了安全代理技术，配合考试网关 中的安全代理完成相互认证和加密传输的任务。安全代理的工作依 赖于证书验证中心c a ，i 第四章也讨论了c a 的建立过程和证书颁发 流程。 第五章为系统的实现部分，主要讨论实现的平台，实现技术和 运行的过程。考试网关采用w i n d o w s2 0 0 0 作为实现平台，其n a t 部 分使用了w i n d o w s 的网络驱动程序接口规范( n d i s ) 进行编程，实 现一个n d i s 驱动程序，嵌入到w i n d o w s 的网络结构中。考试网关的 s s lp r o x y 部分使用w i n d o w s 套接字( s o c k e t ) 实现，其s s l 通信 协议部分使用了一个免费的开发工具包o p e ns s l 。系统的认证中心 c a 采用了w i n d o w s2 0 0 0 及其c e r t i f i c a t es e r v e r 。从而实现了一 个较完整的，可运行的安全的远程考试系统。 l ： 关键词：公钥基础设施，远程考试系统，考试网关，网络地址转换， 安全代理 垡! 塑盔兰堕主竺竺堡塞 壅全塑垩堡耋壁墨堕堡、计皇壅塾 s e c u r ed i s t a n c et e s t i n g s y s t e m ， d e s i g na n d i m p l e m e n t a l t i o n a b s t r a c t d i s t a n c e t e s t i n gs y s t e m ( d t s ) i sa n i m p o r t a n tp a r t o fd i s t a n c e l 。a m i n gs y s t e m ，w h i c hi sa h o t s p o to f i n t e r n e ta p p l i c a t i o n sa tt h e d r e s e n t t i m 已t h er e s e a r c ho ft h e s e c u r i t yo fd t si no r d e rt o g u a r a n t e et h e 1 m p a r t i a l i t ya n ds t r i c m e s so fe x a m i n a t i o n si sap r e c o n d i t i o nt od u t d t s i n t op r a c t i c e i ti sw e l ld o n ei nu s a a n d e u r o p en o w w eh o p et h i st h e s i s w i l lp r o m o t et h en a t i o n a ld i s t a n c e e d u c a t i o n f h 。8 。c u r i t yp r o b l e m so fd t si n c l u d en o t o n l ya u t h e n t i c a t i o n e n c r y p t i o n ，a c c e s sc o n t r o la n di n t e g r i t y , b u ta l s o s p e c i a lo n e ss u c ha s c n e a tp r e v e n t i o n ，d a t a p r o t e c t i o n ，e t c i nt h es e c o n dc h a p t e r , w eg o d e e d i n t ot h ea r c h i t e c t u r e o fd t sa n di t s s e c u r i t y , a n dt h e np u tf 1 0 n v 捌a s c n e m ef o r i m p l e m e n t a t i o n t h es c h e m ei sah a l f ：o p e n e de n v i r o 啪e n t w h l c hi sm a d e u po f t e s t i n gc e n t e r sa n de x a m i n a t i o nr o o m s t h e t e s t i n g c e n t e ru s e sat e s r i n gs e r v e r t op r o v i d et e s tp a p e r s t h ee x 锄i n a t i o n r o o m n a sat e s t m g g a t e w a y w h i c hi su s e db yc u s t o m c o m p e e r s t oa c c o m d l i s h a “渤胁汀c a n d na n ds e c r e tc o m m u n i c a t i o n w i t h t e s t i n g s e 门鸳， a f t e rt h ea n a l y s i so ft h e c h a r a c t e r i s t i ca n da p p l i c a b i l 时o fs e v e r a i a u m e m l c a t l o ns y s t e m s ，w eu s ep k i a sab a s i st oi m p l e m e n to u rs e c u r e d t s i nt h et h i r dc h a p t e r , w ed e s c r i b et h eb a s i cc r y p t o g m p h a t h m e t i c ， t r u s t m e 。h a n i s m ，f u n c t i o n a l s t r u c t u r e ，c e r t i f i c a t e m e c h a n i s ma n d t r a n s p o r tp r o t o c o ls s lo f p k i t h ew h 。1 es y s t e ms t r u c t u r e d e s i g nc o v e r sc a ，t e s t i n gg a t e w a ya n d t 。8 t i n gs e r v e r w ep u ta ne m p h a s i so n t e s t i n gg a t e w a y t h et w 。n e t w 。r k i i i 圭生奎望奎兰堡主兰垡笙苎 室全盟垩堡耋堕墨竺堡生皇壅墨 t e c h n i q u e s n e t w o r k a d d r e s st r a n s l a t o ra n ds s lp r o x y 。_ i s a n a l y z e d ，a n da r ec o m b i n e d t oi m p l e m e n ta ”t r a n s p a r e n ts s l p r o x y ”t h e s o l u t i o na c h i e v e st h e r e q u i r e m e n t o f s e c u r i t y , e a s e o fu s ea n d e x t e n d a b i l i t y s s lp r o x yi s a l s ou s e di nt h es e c u r i t yd e s i g no ft e s t i n g s e r v e r i tw o r k st o g e t h e rw i t hp e e r si nt h et e s t i n gg a t e w a y t h es e t u p p r o c e d u r eo f c aa n dt h ef l o wo fc e r t i f i c a t ep r o c e s sa r ea l s od e s i g n e di n c h a p t e r 4 t h ef i f t hc h a p t e rd e s c r i b e st h ei m p l e m e n t a t i o no f s y s t e m ，i n c l u d eo s ， t e c h n i q u ea n dr u n n i n gp r o c e s s t h et e s t i n gg a t e w a yi s o nw i n 2 k t h e n a t p a r to f i ti s i m p l e m e n ta s an d i sd r i v e r , w h i c he m b e d si n t ot h e n e t w o r ka r c h i t e c t u r eo fw i n d o w s t h es s lp r o x yp a r ti s p r o g r a m m e d t h r o u g hw i n d o w ss o c k e t w eu s eaf l e ed e v e l o p m e n tk i tn a m e do p e n s s lt os u p p o r tt h es s lc o m m u n i c a t i o ni ns s l p r o x y c a i sc o n s t r u c t e d o nw i n d o w s 2 0 0 0 ，u s i n gc e r t i f i c a t es e r v e r a c c o r d i n g l y ，aw h o l ed t s i s i m p l e m e n t e d k e y w o r d s ：p u b l i c k e yi n f r a s t r u c t u r e ( p k i ) ，d i s t a n c e t e s t i n gs y s t e m ，t e s t i n gg a t e w a y ，n a t ，s s l p r o x y i v 圭童奎望查兰堡主兰垡笙苎 窒全塑堡堡耋蔓墨垄堡生皇塑 第一章研究背景 本章简介了远程教育、远程考试的概念，以及安全性问题的引出。然后介绍了本研究 课题的项目背景。最后着重讲述了目前国内外在远程教育安全性和远程考试安全性问题上 的发展现状。 一引言 远程教育是目前i n t e m e t 上应用的热点，远程考试则是远程教育的一个重要组成部分， 对两者安全问题的研究是实际应用的必要条件。 1 远程教育 远程教育，顾名思义，即位于不同地点的教师与学生之间通过远距离通信来完成教学 任务。建立在计算机网络技术、通信技术和多媒体技术上的远程教育给人们提供了更多的 受教育机会，大大拓宽了受教育者的范围。 广义上的远程教育包括了1 9 世纪5 0 年代前后诞生的函授教育及以后出现的广播电视 教育等教育形式，泛指能突破时间、空间限制的所有教育方式。与传统的远程教育相对应， 现代远程教育是在2 0 世纪6 0 年代随着信息科学技术发展而出现的，能够通过i n t e m e t 进 行文字、图像、音频、视频等信息的传输的教育形式。 目前，世界各国越来越多的高校开始意识到，远程教育将成为高等教育的重要组成部 分，是培养各类人才的重要形式和终身教育体系的主要标志。根据最新调查，美国有4 4 的高等学校向全社会提供各类远程教育，接受远程高等教育的学生约占全日制在校学生的 3 2 ，此外还有2 1 的高等学校计划在今后3 年内开展远程教育。美国高校远程教育课程 建设快速发展。达到5 4 万种。其中本科课程3 5 万种，研究生课程1 4 万种，非学历学位 课程5 0 0 0 种。 在国内，远程教育的发展也如火如荼。目前已有3 1 所学校被国家教育部批准为远程教 育试点学校。今年，上海交大、复旦大学和华中科技大学等几所学校已开始招收网络学院 的学生。各个学校在现代远程教育的资源建设、社会化服务体系建立以及教学管理制度的 改革方面也做了大量工作。 目前对于远程教育的研究集中在两个领域： - 基于w e b 的远程教育。教学内容以课件的形式放在w e b 服务器上，学习者可以在 任意时间任意地点独立地学习，我们称之为异步的或以学生为中心的( s t u d e n t c e n t r i c ) 学习模式。 _ 实时的远程教学。主要利用视频会议系统传输视频和音频，构建分布式的多媒体 教室。这种环境下教师和学生只是在物理位置上不同，我们称之为同步的或面向教师 的( i n s t r u c t o r - o r i e n t e d ) 学习模式。 在以上的两个研究领域中基于w e b 的模式对系统配置无特殊要求，在i n t e m e t 上可 随时随处访问，因此得到了广泛的应用。国内外的许多大学和研究机构基于这种模式开发 了一系列应用系统，如数字化虚拟大学、远程教育资源库、远程教育平台等。本文也主要 基于这种模式进行相关的安全性分析。 2 远程考试 考试作为教育的重要环节，它具有非常重要的鉴定和选拔作用。通过考试可以对应试 者的知识、能力水平的发展和智力差异等诸多方面作出比较全面、正确的评价，以作为鉴 第1 页 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 定和选拔人才的依据。 正因为考试的鉴定选拔作用，对远程考试安全性的研究的要求也更为迫切。 1 ) 考试形式的演变 随着远程教育的发展，“考试”作为检验教育成果的重要手段，也在发生着革命性的变 化。从本世纪初开始采用纸和笔的考试( p e n & p a p e rt e s t ) ，到后来采用答题纸和阅卷机的 标准化考试( s t a n d a r d i z a t i o nt e s t ) ，以及随着计算机技术的发展出现的基于计算机的考试 ( c o m p u t e rb a s e dt e s t ) 。而高性能的计算能力与项目反应理论相结合，使得计算机化自适 应考试( c o m p u t e r i z ea d a p t i v et e s t ) 成为可能。进入九十年代以来，i n t e m e t 迅速发展和普 及，将考试移植到i n t e m e t 上来成为一种新的趋势。 2 ) 远程考试的优点 由于借助了计算机和i n t e m e t ，使得远程考试在许多方面优越于传统考试。远程考试系 统首先具有快速和高效的优点。传统考试中，教师要准备一次考试，从搜集资料开始，选 考题、印制考卷、组织考试、批改分数、最后记录成绩，工作量十分繁重，工作周期也从 数周到数月不等。而使用了计算机的远程考试系统可以大大提高工作效率，缩短考试周期， 使教师有更多的时间专注于自己的教学工作。 远程考试的另一优点是“远程”。通过i n t e m e t ，考试突破了地域和时间的限制，任何 人都可以随时随地开始场考试，检验自己的知识和水平。当然，在比较正式的考试中， 还是需要进行严密的组织，但比起传统考试，形式可以更加灵活多样。 使用远程考试系统，还可以更有效地实现考试结果的分析。教师进行考试的主要目的， 是为了从中发现问题，从而改进教学方法、达到教学目标。以往由于时间和条件的限制， 教师只能从有限的几个方面来分析考试，如根据最高分、最低分、平均分了解班级的整体 水平，凭自己的印象寻找错误率较高的题目等。远程考试系统则可以发挥计算机速度优势， 考虑各种因素和关联规则，充分发掘考试结果，得到内容更详细和层次更高的分析结果。 此外，利用远程考试系统可以实现更高级的考试功能，更好地达到考试的目的。比如 最近出现的自适应考试、多媒体考试等，都可以在远程考试系统中实现。 3 安全性问题的引出 在某些远程教育应用中，教育资源完全公开，可供任何人随意访问：系统不记录用户 的个人信息，用户自己决定学习的流程。这样的系统中基本上不存在资源保密和隐私保护 的问题。但在设计更为成熟的应用系统( 如数字化虚拟大学) 时，为了保证学习人员具有 相应的资格，防止资源的泄露，保护学习人员的状态信息，就必须使用相关的安全技术。 远程考试与虚拟大学所涉及的安全问题基本上是类似的，都包含身份认证和信息保密 的内容。但由于考试本身具有特殊性，使得安全考试的实现更为困难。因此在多数的虚拟 大学应用中，考试这一教学环节总是不能与学习、作业、答疑等环节一起在线提供，一般 还是采用传统的考试方式来进行学习效果的鉴定。下面将分别介绍数字化虚拟大学和考试 系统安全性问题。 1 ) 数字化虚拟大学 在一个完整的虚拟大学中，学生的学习周期一般包含登记入学、课程学习和毕业三个 阶段。在这三个阶段中，都各有其必须考虑的安全问题。 一登记入学阶段。 此阶段首先要确定一种认证方案，以进行用户身份认证和防止否认，此方案在将来的 课程学习阶段还会使用到。该方案可能包含的技术包括单双钥加密技术、交互协议、数字 第2 页 圭童奎望查兰堕主堂垡笙茎 室全堕垩堡耋堕墨竺垦堕兰! ! 里 签名和数字证书。 其次需要实现在线的学费支付。包括使用一些基于i n t e m e t 的安全支付协议，如由电 子商务公司建立的安全电子交互协议s e t ( s e c u r ee l e c t r o n i ct r a n s a c t i o n ) ：或目前正在研究 的电子货币支付等。 登记入学还需要验证学生的学历资格。如果学生毕业于传统的学校，这一步验证只能 通过手工完成。但如果学生从同一个或其他的虚拟大学完成学习，那么他( 她) 的学历资 格可能表现为一个电子证书，可以通过该电子证书进行学历资格的在线验证。 课程学习 首先必须保证学生能够获取必要的学习资源，并且防止他( 她) 对任何无关资源的访 问。应该使用某种加密协议来进行这一访问控制。 学生的阶段性学习成果数据( 如学习进度、作业等) 能够正常提交。这些数据必须被 鉴别确实是来源于该学生，并且传输过程中不会泄露。提交以后，必须保证该数据的完整 陛，并且无论是学生一方还是虚拟大学一方都无法否认他们的行为或数据的内容。 保证实时课程( 使用声音或视频会议技术) 的举行。其中的通信过程应该是保密的， 为外人所不可见的。 学习成绩及相关数据能正常分发，分发过程中这些数据也不会被其他人截取获得。 虚拟大学能对他们为学生提供的某些服务( 如信息检索和获取) 进行监视和统计。这 些监视和统计信息也必须保密，为外人不可见。 一毕业 学生毕业时，虚拟大学需要颁发某种形式的电子证书。该证书用于证明学生的学历， 还可用于将来的进一步学习。 虚拟大学要清理学生遗留下来的数据，包括取消相应的权限、使其身份标识无效。 2 ) 安全的考试 考试系统的w e b 化同时也带来了相关的安全问题，如果这些问题得不到解决，考试这 一特殊应用所要求的公正性、客观性无法保证，考试也就失去了意义。在远程考试系统中， 不仅包含认证、加密等问题，还存在一些特殊的安全问题。 _ 一般性安全问题 按照国际标准化组织i s o 定义的网络安全体系结构，网络系统一般应包含7 类安全服 务。这些安全服务在远程考试系统中都需要提供。对应到远程考试系统，它们对应的含义 如表1 1 。 表1 1 远程考试系统中应提供的安全服务 对等实体认证即考生和考试服务器能够相互确认合法性 访问控制 即保证考生只能在规定的时间段，访问规定的试卷 数据保密保证试题信息的秘密性，防止泄露 数据完整性防止试题中的某部分，及考生的答案、成绩被人篡改 信息流安全保证考生与服务器之间的路由正确可靠 信源确认确保考试的试题来自正确的服务器，考试的答案来自正确的考 生 防止考生对自己所做试卷的否认，防止服务器对已接收的答案 防止否认 的否认 作弊防范 第3 页 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 作弊防范主要是保证考生独立完成考卷 施或特殊的监视设备防止考生获取他人帮助 传入传出。 _ 防考题泄露 保证考试的有效性。一方面需要采取人为措 另一方面要限制网络通信，防止考试信息的 一方面要采取适当的措施防止考生在考试时利用网络将试题传输到场外。另一方面是 防止考生将试题保存在磁盘上后待考试完毕取回。 一服务器端考题加密 在正规的考试中，试卷准备完毕后，在考试结束以前任何人也不能查看，即使是考试 服务器的管理员也不能例外。而且由于网络入侵日趋频繁，需要有一种方法保证即使入侵 者攻破了整个系统，获得了最高权限，也无法获得试题的真实内容。因此服务器端存放的 试题除了利用数据库本身的安全机制进行保护外，还必须采用再增加一道加密防范。 3 ) 联系与区别 由以上的讨论可以看出，远程教育与远程考试的安全性研究有一定的区别，主要表现 在前者需要建立一个完整的框架结构，保证所有的教学活动能够在此框架下正常运行：而 后者更具有针对性。本文进行毕业设计研究的思路是首先从远程考试着手，殴计和实现一 个可用的远程考试安全方案，而该安全方案以后也可加以扩充、推广至整个远程教育系统。 二本课题的项目背景 本课题以国家科技部8 6 3 计划“基于高速i p 网的多媒体远程教育示范系统( 8 6 3 ，3 1 7 0 1 0 4 9 9 ) ”项目为背景。项目目标是以中国教育科研网( c e r n e t ) 为试验平台，选择清 华大学和上海交通大学为试点，在全国研制完成一整套远程教学支撑软件工具集。 该项目的主要内容是以c e r n e t 主t - 网( 1 5 5 m b p s ) 为依托，选择北京、上海、广州、 南京、西安和杭州的九所高校，每所学校建立一个远程教室，在2 0 0 0 年前研制完成一个基 于高速网络的跨城市多媒体远程教育示范系统。整个系统分成异步学习系统和同步学习 系统两大部分，并提供与之配套的安全保障措施、控制管理系统以及工具软件。本示范系 统的总体框架如图1 1 所示。 图1 1 远程教育示范系统框架 第4 页 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 在该项目中，整个示范系统建立在一个规范的安全认证和审计服务平台上。安全平台 采用以x 5 0 9 为基础的各标准，在广域网上实现p k i 系统。由于国内还找不到一家公开的、 可用的c a 来申请证书，也没有发布证书的目录服务器。因此，该项目计划实现一个基于 s u ns o l a r i s 操作系统的c a 服务器。使用它来为示范平台的使用者颁发证书以及验证证书 的有效性。根据项目分工要求，整个平台由多个学校共同完成，其中安全认证和审计服务 平台由东南大学负责。 该项目虽然集中了各个学校的力量，但由于设计过程的不统一，系统集成不紧密。为 了结合本校已有的应用系统，形成一套完整的示范系统方案，并为将来的实际应用打下基 础，因此开始了本论文的设计研究工作。 三国内外发展现状 在国内，各个院校所开展的远程教育大多提供了在线学习环境，但功能比较有限，还 未开始考虑安全性的问题。 国外在远程教育安全性的研究和实践方面发展比较迅速，许多大学已经开发出适合远 程教育使用的安全方案。这些方案大多基于电子商务技术，使用p k i 和证书技术来进行身 份认证，实现网上支付和通讯保密。在大学以外，也已有越来越多的盈利或非盈利的机构 开始提供较完善的安全服务。如美国的教育科研网络服务公司( c e r n ) 专门为各教育和 研究机构开设了证书服务。 但这些开展远程教育的高等院校通常还采取传统的考试形式来评估学生的学习效果， 这是由于安全的考试系统还不很成熟。但对考试系统的安全性也已开始研究。值得一提的 是美国的p r o m e t r i c 公司在全世界范围内所提供的考试和评估服务，它所采取的安全措施在 很大程度上保证了考试的安全性。 1 国外教育机构的p k i 实践 1 ) c r e n 的证书服务 教育科研网络服务公司( c r e n ) 的全称是c o r p o r a t i o nf o r r e s e a r c ha n de d u c a t i o n a l n e t w o r k i n g 。这是一个非盈利性的会员制机构，主要为教育和科研机构( 主要是各大学) 提供i t 咨询服务和通讯工具。 c r e n 的远程教育安全方案利用了p k i 技术，它建立了一个自己的证书颁发中心( c a ) ， 作为一个可信任的第三方，来为这些大学的在线资源服务提供安全性。 c r e n 的证书服务在p k i 体系中作为根c a ，在各大学内需要建立自己的c a ，并以c r e n 的c a 为其上层c a 。使用c r e n 作为根c a 的好处主要在于，它可以使校际资源共享简 易化，即在一个学校注册的学生能够得到其他学校的信任并访问其在线课程。 目前已有m i t 、p r i n c e t o n 和g e o r g i at e c h 三所大学在c r e n 证书服务的基础上开始了 远程教育安全性的研究工作。下面详细介绍m i t 的研究实践。 2 ) m i t 数字证书体系 m i t 是著名的认证系统k e r b e r o s 的发源地，其校内的网络资源访问结合了k e r b e r o s 和 数字证书两种机制。 在m i t ，数字证书的主要用途体现在： 课程注册 学生选择 w e b 课程访问 第5 页 圭塑銮望盔兰堡主堂垡丝苎 室全塑垩堡耋堕至堕堡生皇窭里 一课程反馈 一教职员信息管理 一对外商务 当一个学生第一次进入校园，他会收到一个注册通知。其中包含用于进行k e r b e r o s 帐 号设置的注册信息。每个k e r b e r o s 帐号对应了一个e - m a i l 地址，一个个人主页和一块文件 存储空间。当k e r b e r o s 帐号建立好以后，就可以利用它来生成数字证书。将来，这一过程 在学生进入校园之前，在家中就能完成。 虽然m i t 是基于k e r b e r o s 帐号来颁发证书的，但这并非必须。发布证书所需要的只是 一个集中化命名方案，这个方案对于教职员和学生都是统一的。证书的命名结构可以是非 常灵活的，比如证书的名称中可以包含个人的部门从属关系。这在每个部门维护自己的命 名空间时十分方便。 在提供证书服务时最重要的安全问题是私钥的保护。这也是系统管理的一个重要目标。 为此采取了必要的措施以保证即使系统遭到侵入，私钥也不会泄露出去。目前m i t 正在寻 求硬件解决方案，将私钥存储在类似于智能卡的硬件上。其中一个硬件方案是使用c r e n 提供的s a f e k e y p e r 盒。 包含公钥的证书可以存储在任何地方，如w e b 服务器上。其最终拷贝位于c r e n 的 m 【t 证书库中。 个人的私有密钥的存储位置决定于客户端软件。一般来说，由浏览器来决定。n e t s c a p e 将私钥存储在p r e f e r e n c e s 目录中，i e 保存在w i n d o w s 注册表中。n e t s c a p e 也支持私钥的 智能卡存储，但目前m i t 还没有这方面的实践。 m i t 支持a p a c h e + s s l 的w e b 服务，以利用证书所提供的安全性访问。在线的c a 服 务器是基于a p a c h e + s s l + j s e r v 的。c a 软件使用j a v a 编写，它提供了一个基于w e b 的界 面，用户可以使用他的k e r b e r o s 帐号来获取证书。c a 服务器本身存放的房间也十分安全， 带有警报器，只有拥有特殊的i d 卡的人可以进出。 在实践中遇到的主要问题有以下两点： i 匿名证书。某些服务部门( 如图书馆) 只希望验证访问者是否有相应的权限，并 不希望知道该访问者的真实身份。这也是其他的一些研究者正在探讨的问题。 证书的移动存储问题。如学生在公共机房上机时，需要很麻烦地将证书下载到本 地机，离开时又需要清理掉。 m i t 计划将自己的根c a 置于c r e n 根c a 之下，以便于将来接受其他学校颁发的证 书。 2 远程考试安全性实践 目前国外多数大的考试机构( 如e t s ) 都在世界各地建立了自己的考试网点，提供一 整套的咨询、报名、举办、评分和结果处理等服务。但其他的一些较小型的考试如技术资 格认证，专业证书考试以及学术考试等没有实力建立自己的考试网点，一般都委托代理机 构来为他们进行考试的组织工作。 p r o m e t r i c 就是这样一个教育和评估代理服务机构。它在世界各地设有4 0 0 0 多家考试 中心。业务主要包括学校辅助教育、英语语言教学和计算机化考试等。针对远程教育的迅 速发展，它特别开设了远程考试服务。 p r o m e t r i c 提供的远程考试方案是一个可以任意时间、任意地点举行的，在代理环境 ( p r o c t o r e d ) 下的安全在线考试。它提供了单选、填空、简答等多种可选择的题型。只要 能够访问i n t e m e t ，就可以马上创建一个在线考试，并且让学生立刻开始考试。 第6 页 t 海交通大学硕士学位论文 安全的远程考试系统设计与实现 p r o m e t r i c 安全性通过以下方法来保证： - 客户端浏览器与服务器之间以s s l 进行连接。 _ 通过一个授权代理进行试题发放。 3 安全认证技术发展概况 在远程考试系统中最关键的一步是在i n t e m e t 上用户身份的认证问题。即确认某用户 是否为一合法的考试者。般来说，要确定用户的身份可以通过以下三种方法： 一通过所知道的东西证明( 如口令，p i n 码，密码) 一通过所拥有的东西证明( 如身份证、智能卡) _ 通过生物特征( 声音、指纹、笔迹) 以上每一种都有可能提供比较强的认证功能，但都有一定的漏洞。如口令猜测，智能 卡偷窃或伪造，声音模仿、笔迹模仿等。而且在实现时它们对于用户和管理员都存在不 便之处：口令容易遗忘，智能卡容易遗失，而生物特征认证的技术难度和价格较高，目前 比较成熟的应用中大多使用了以上三种方法中的至少两种进行身份确认。 一个完整的认证系统除了提供对用户身份的认证之外，还需包含以下功能： 通讯协议设计。通过预先定义的通讯协议，保证认证过程及以后的通讯过程的完 整性和保密性，不易受到攻击。 一密钥管理。包括密钥的生成、分配、存储、吊销等。由于密钥是整个安全系统的 薄弱环节，必须十分注重密钥管理的安全性。尤其在大型通信网络中，密钥的管理十 分复杂。 一数字签名。保证通讯信息的完整性和不可否认性。 目前成熟的认证系统主要包括k e r b e r o s 、k r y p t o k n i g h t 和p k i 等。 1 ) k e r b e r o s k e r b e r o s 是m i t 从1 9 8 5 年开始实施的a t h e n a 计划中的一部分，目的是解决在校园环 境下，工作站用户经由网络访问服务器的安全问题。 k e r b e r o s 是按单钥体制设计的，以n e e d h a m 和s c h r o e d e r 认证协议为部分基础，由可 信赖中心支持，以用户服务模式实现。其v i v 3 为开发版本，v 4 是原型k e r b e r o s ，获得 了广泛应用。v 5 自1 9 8 9 年开始设计，1 9 9 4 年公布作为i n t e m e t 的标准( 草案) ，后被定义 为r f c l 5 1 0 。 图1 - 2k e r b e r o s 通信过程 第7 页 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 k e r b e r o s 的简要工作模型如图l ，2 ，其简要说明如下： r f ) 如果用户需要某种服务，首先必须向认证服务中，da s 申请票据许可服务： r 2 ) a s 签发票据许可证( t g t ) ，并和认证信息一起以安全方式返回给用户： f 3 ) 用户向票据授权服务中心( t g s ) 转发t g t 以及服务申请； ( 4 ) t g s 验证票据并向用户签发服务票据； ( 5 ) 用户从t g s 获得某一服务的票据，就把票据和自己产生的认证码起送至该服务 器，服务器通过比较票据和认证码里的信息来验证可靠性； ( 6 ) 如果需要相互认证，服务器将向用户证明自己的身份。 k e r b e r o s 的设计是与m i t 校园网环境结合的产物，把它推广到分布式系统存在一些局 限性。首先，虽然采用了时戳机制，但在规定的时间范围内( 一般为5 分钟) ，攻击者可通 过获得认证码来进行重放攻击。其次，认证码的正确性基于网络中所有时钟保持同步，如 果主机的时间发生错误，原来的认证码无疑可以被替换。再次，攻击者还可以收集大量票 据，通过计算和密钥分析进行口令猜测。 2 ) k r y p t o k n i g h t k r y p t o k n i g h t 是一种轻量级的认证和密钥分配系统。这种协议设计的时所考虑的问题 主要是： 一资源限制问题。即考虑运行环境中的各种设备只具有很有限的计算资源，如手机、 p d a 等。因此在协议中应使用最少的密码函数、最少的工作空间以及尽可能短的消息 长度。 _ 出口限制。许多协议在设计时采用了单钥或公钥体制，而许多算法都受到严格的 进出口限制和专利保护，这就使协议的通用性受到一定的限制。k r y p t o k n i g h t 采用轻 量级的m d 5 和d e s 等单向函数。 减少对运行网络的假设。多数认证方案对整个系统的网络结构做了假定，以此来 规定密钥的分配方案。此外采用时戳技术的方案适合局域网环境，系统要有严格的时 间同步。k r y p t o x n i g h t 设计时尽可能考虑到了灵活性。 k r y p t o k n i g h t 的设计思想，采用不受出口限制的单向杂凑函数和d e s 的c b c 等加密 体制。执行协议时，仅需要进行少量的数据交换，即协议具有紧凑的消息数据格式。采用 一次随机数来代替时戳( t i m e s t a m p ) ，避免了时间同步问题。协议具有很高的灵活性，能够 适应不同的网络结构。k r y p t o k n i g h t 易于采用硬件来实现，适合在低层网络协议中使用。 3 ) p k i p k i 是以公钥加密技术为基础的一种安全框架。1 9 9 5 年1 0 月开始，i e t f 开始制订公 钥基础设施( x 5 0 9 ) 标准( p k i x ) 。这组标准包括证书和证书撤销列表的语义格式、证书 管理协议、基于l d a p 的p k i 信息操作协议、证书策略和证书实践框架等。其中加密算法 和语义格式基本与r s a 公司制订的公开密钥加密标准( p u b l i c k e yc r y p t o g r a p h ys t a n d a r d ， p k c s ) 兼容，到目前为止，这两组标准还在不断的补充之中。 p i g 特别适合于分布式环境下的安全应用。它的基本信任机制主要利用了可信任的第 三方机构，采用层次化的信任网模型。p k i 利用证书的机制来表示整个体系结构中各个实 体的身份，在这种模型下，多个服务器和多个客户端可以相互认证身份。在通信过程中， 又可利用s s l 协议来保证通信内容的安全性。而且多种主流的浏览器都支持证书和s s l ， 从而使各种应用的部署和安装更为简易。 目前p k i 已经在网络安全领域得到了广泛的应用。如电子商务领域中的电子结算、电 子货币；使用安全多媒体互联网邮件扩展标准( s s v l i m e ) 的电子邮件应用；使用i s a k m p 第8 页 上海交通大学硕士学位论文 安全的远程考试系统设计与实现 密钥交换( i k e ) 的虚拟专用网；使用代码签名的j a v a 和a c t i v e x 分发等， 关于p k i 的详细内容，将在本论文的第三章介绍。 四本文主要内容 本文在深入分析远程考试系统体系结构和其中特殊安全问题的基础上，提出了一个安 全的远程考试系统的实现结构，即由考试服务器、考试网关等组成的半封闭的考试环境。 在考察了各种安全认证系统的优缺点和适用性后，本文主要采用了p k i 的体系结构来 实现安全的考试系统。并详细讨论了在这种环境下远程考试过程中的试题加密、身份认证、 通讯加密等运行机制。 考试的安全不仅仅包含认证、保密、访问控制、完整性等信息安全问题，还包括了防 作弊，试卷保护等特殊的安全问题。本文提出采用半封闭的考试环境，设计一特殊的考试 网关，结合考试服务器来实现安全机制，并重点讨论了该考试网关的功能和运行过程。 在实现考试网关时，比较了多种具体实现方案后，本文结合了网络地址转换( n a t ) 与安全代理( s s lp r o x y ) 两种技术，实现了个透明安全代理网关，满足了考试系统的安 全性需求。 第9 页 兰塑奎望查堂堡主兰垡笙苎 室全塑墨翌查望墨堑兰堕! 堕里 第二章远程考试系统体系结构分析 在设计安全的远程考试系统之前，必须对远程考试系统进行详细、深入地分析。其中 首先包括远程考试的框架结构，这是安全性实施的基础。此外还必须了解远程考试的应用 场景，以决定整个安全应用的运作过程。在此之后，本章分析了考试系统所面临的各种安 全问题。 在分析了远程考试系统的体系结构之后，本章比较了k e r b e r o s 、k r y p t o k n i g h t 以及p k i 等成熟的安全认证系统的优缺点，从中选择了一种适合远程考试的，作为具体设计实现的 基础。 框架结构 此节将介绍组成考试系统的软硬件结构以及各个部分的功能。 1 软硬件组成 远程考试系统实际上是一个包含了软件、硬件和人员等等相关资源在内的综合性系统。 在软件部分，包括了计算机软件、考试规则、考试组织方式等等：硬件方面，则包括了计 算机、网络、考试场地等；人员则包括教师、考生和考试的组织者。考试系统的组成结构 如图2 i 。 图2 1 远程考试系统结构图 管理工作站 图中右面的部分是服务器部分，包括了i n t e m e t 服务器、数据库服务器和管理工作站， 是整个远程考试系统的核心。服务器部分的地理位置可以位于学校的中心机房、远程教育 实验室等地，服务器部分主要完成以下功能： - 各个考试的题库存储、管理： 一考生信息及权限的管理； 教师信息及权限的管理： 为考生提供各门考试的出题、显示、计时等功能； _ 为教师提供改卷、评分、试卷分析等功能； 图左边的部分为客户端。客户端可以有成千上万台的计算机，它们都通过电话线等接 第】o 页 一门羞 删、 亘一 面 主墨奎望查兰堡主兰垡鲨苎室全堕望里耋苎墨竺望旦兰! 婴 入设备连接到i n t e m e t 。客户分为三类，它们包括： 一考生。参加各种考试。 一教师。负责出卷、改卷、评分、分析。 _ 管理员。用户及试卷的管理、维护。 从上图中可以看到，客户端与w w w 服务器之间采用h t t p 协议进行通信。而w w w 服务器使用a d o 或o d b c 等接口访问数据库服务器。管理工作站直接在局域网内访问数 据库服务器，可采用c l i e n t s e r v e r 的结构设计。 在考试过程中，基本的通信过程是：首先考生在b r o w s e r 中输入地址或点击页面链接： 客户端发出h r r p 请求；w v ，服务器接收到这个请求，开始组织w e b 页面：如果页面中 包含试题数据，则访问数据库服务器，查询所需要的数据；数据库服务器将结果返回到w w w 服务器：w w w 服务器将数据和页面中的其他信息一起返回给客户端，显示在b r o w s e r 中。 2 基本功能 考试系统基本功能并不复杂，但在题库、题目生成等各方面有着严格的要求。 1 ) 题库 题库部分是整个系统的基础，它存储了所有的试题，以及各试题的解答、说明、难度 值等所有属性。对于题库的设计，有以下要求： 题库需要能够存储各种类型的试题。它们包括在传统的考试中所包含的各种文字题型， 如填空题、选择题、问答题、改错题、阅读理解、完形填空等，对于试题中的公式、符号 等内容，都应在题库中以适当形式保存，以便于显示。除此以外，题库还