（计算机应用技术专业论文）网上考试管理网站设计与网站安全分析.pdf

哈尔滨工程大学硕士学位论文 摘要 随着i n t e r n e t 在我国的迅速发展，远程教育和校园的信息化建设已经成为 网络应用的一个新的热点。网上考试系统作为网络教育支持平台中十分重要 的组成部分，是网络教育教学反馈、质量评估的有效手段，同时也对传统考 试提出了巨大的挑战。 本项目首先设计了网上考试系统。采用b ，s 软件体系结构，运用a s p 动态 网页语言、v b s c r i p t 脚本语言及s q l s c r v e f2 0 0 0 数据库等相关软件技术，实现 了试题库、智能组卷、机上考试、自动阅卷等功能，主要优势体现在出题方 便快捷、阅卷准确快速、成绩分析科学直观。 因为是通过i n t e r n e t 的考试系统，所以必须保证其较高的安全性能。在 w e b 访问方式中，认证和加密是两个最重要的分支。首先，论文研究了m d 5 算法的实现原理，总结出m d 5 算法的特点及性能；并在研究m d 5 算法的基础 之上，提出了m d 5 改进加密算法。m d 5 改进算法也是本课题研究的重点 其次，为了确保信息通信的合法性和安全性，本系统采用了一次性口令 认证机制来进行远程身份认证。论文分析了现有的w e b 登录认证方式及其优 缺点，然后详细阐述了应用m d 5 改进算法实现远程身份认证的方法，提高了 网上考试系统的安全性。 关键词：网上考试；远程身份认证；加密# m d 5 算法；m d 5 改进算法 哈尔滨工程大学硕士学位论文 a b s t r a c t a l o n gw i t ht h er a p i dd e v e l o p m e n to fi n t e r a c ti nm yc o u n t r y , t h en e t w o r k e d u c a t i o na n dt h es c h o o li n f o r m a t i o nb u i l dh a v ea l r e a d yt u r n e di n t oan e wh o t s p o t o fn e t w o r ka p p l i c a t i o n t h eo n l i n et e s ts y s t e m ( o t s ) w h i c hi si m p o r t a n tp a r ti n d i s t a n c ee d u c a t i o ns u p p o r t i n gp l a t f o r m , i sa ne f f i c i e n tm e a l l si nn e t w o r ke d u c a t i o n t e a c h i n gf e e d b a c ka n dq u a l i t ye v a l u a t i o n a tt h es a m et i m e , t h eo t sb r i n g s f o r w a r di m m e n s i t yc h a l l e n g e a tf i r s t , t h eo n l i n et e s ts y s t e mi s d e s i g n e di nt h e 删c c li ta d o p t s i o w s e s e r v e rs y s t e ms l r u c t u r e ，a n de x e r t st h ea c t i v es e r v e rp a g e s ，v b s c r i p ta n d s q ls e l v e r2 0 0 0s o f t w a r et e c h n o l o g y t h ei t e mb a n k , o r g a n i z i n gt h ec o n t e n t s a n de v a l u a t i n gt h et e s tp a p e ra r er e a l i z e d i ti sc h a r a c t e r i z e di ni t sc o n v e n i e n c e a n df a s t n e s si ns e t t i n gat e s tp a p e r , i t ss p e e da n da c c u r a c yi ne v a l u a t i n gt h ep a p e r a n di t ss c i e n t i f i ca n a l y s i so ft h et e s tp a p e r b e c a n s ct h ee x a m i n a t i o ns y s t e mt h r o u g ht h ei n t e r a c t , w em u s te n s u r et h e s a f e t yo ft h eo t s t h ea u t h e n t i c a t i o na n dt h ee n c r p t i o na r et w of o r e m o s t b r a n c h e so nt h em o d eo ft h ew e bv i s i t i n g a tf i r s t , t h ep a p e rr e s e a r c h e sm d 5 a l g o r i t h m , a n d 鼽h n m a r i z 鼯t h ec h a r a c t e r i s t i ca n dc a p a b i l i t yo ft h em d 5 t h e i m p r o v e dm d 5a l g o r i t h mi sp u tf o r w a r db a s e do nt h er e s e a r c ho ft h em d 5 t h e i m p r o v e dm d 5 i st h ep i v o to ft h ep a p e r n e x t , t h eo n c ep a s s w o r di d e n t i t ya u t h e n t i c a t i o ni sa d o p t e dt or e a l i z et h e d i s t a n c e d - i d e n t i t ya u t h e n t i c a t i o nf o re n s u r i n gt h ev a l i d i t ya n dt h es a f e t yo ft h e c o m m u n i c a t i o n t h ep a p e ra n a l y s e s et h em o d eo fc u r r e n ta u t h e n t i c a t i o na n di t s s t r o n g p o i n t sa n ds h o r t c o m i n g s t h e n i t d i s c u s s e dai m p r o v e dm e t h o dt h a ti s t h e a p p l i c a t i o n o ft h e i m p r o v e d m d 5 a l g o r i t h m i n d i s t a n c e d - i d e n t i t y a u t h e n t i c a t i o n t h eo n c ep a s s w o r di d e n t i t ya u t h e n t i c a t i o ni n c r e a s e st h es a f e t yo f t h eo n l i n et e a ts y s t e m k e yw o r d s ：t h eo n l i n et e s ts y s t e m ，d i s t a n c e d - i d e n t i t ya u t h e n t i c a t i o n , e n c r y p t i o n , m d 5a l g o r i t h m ，t h ei m p r o v e dm d 5 a l g o r i t h m 哈尔滨工程大学 学位论文原创性声明 本人郑重声明：本论文的所有工作，是在导师的指导 下，由作者本人独立完成的。有关观点、方法、数据和文 献的引用已在文中指出，并与参考文献相对应。除文中己 注明引用的内容外，本论文不包含任何其他个人或集体已 经公开发表的作品成果。对本文的研究做出重要贡献的个 人和集体，均己在文中以明确方式标明。本人完全意识到 本声明的法律结果由本人承担。 作者( 签字) ：! 垒豳毯 日期：纠一年月，ge l 哈尔滨工程大学硕士学位论文 第1 章绪论 1 1 选题背景和意义 2 l 世纪是信息化的社会，随着i n t e r n e t 在我国的迅速发展，远程教育和校 园的信息化建设已经成为网络应用的一个新的热点，网上考试作为远程教育 和校园信息化建设的一部分有着其独特的需求和作用在新的教学模式中， 极大地提高了教学的灵活性和效率 数据信息应用已进入大规模服务阶段考试作为最直接体现信息化社会 中人们的知识水平的一种方式，传统的考试从出题、组卷、印刷、到试卷分 发、答题，收卷，再到判卷、公布成绩，整个过程都需要人工参与，周期长， 工作量大，容易出错，还要有适当的保密工作，使得整个考试的成本较大 所以，实现无纸化、网络化、自动化的计算机考试系统，具有深远的现实意 义和实用价值 相比传统的考试形式，基于w e b 技术的网络考试系统可以借助于遍布全 球的i n t c m e t 进行，因此考试既可以在本地进行，也可以在异地进行，大大拓 展了考试的灵活性。试卷可以根据题库中的内容即时生成，可避免考试前的 压题；而且可以采用大量标准化试题，从而使用计算机阅卷，大大提高阅卷 效率；还可以直接把成绩送到数据库中，进行统计、排序等操作所以现在 较好的考试方法为网络考试，试题内容放在服务器上，考生通过姓名、准考 证号码和口令进行登录。考试答案也存放在服务器中，另一方面，考试时间 灵活，可以在规定的时间段内的任意时间参加考试。另外计算机化考试的最 大特点是阅卷速度快，系统可以在考试结束时当场给出客观题成绩，计算机 阅卷给了考生最大的公平感，这样考试的公平性、答案的安全性可以得到有 效的保证。因此，采用网络考试方式将是以后考试发展的趋势。 m i c r o s o f ta c t i v cs e r v e rp a g e s ( a s p ) 是服务器端脚本编写环境，使用它可 以创建和运行动态、交互的w e b 服务器应用程序。使用a s p 可以组合h t m l 哈尔滨工程大学硕士学位论文 页、脚本命令和a c t i v e x 组件以创建交互的w e b 页和基于w e b 的功能强大的应 用程序。 网上考试系统需要面对的是基于i n t e m e t 公共网络环境，必须采取完善的 技术手段来确保网络传输的安全可靠。对于一些计算机资源，只有经过授权 的合法用户才能访问，而如何进行身份认证，以保证计算机重要资源的安全 性，是问题的关键。 1 2 网络考试系统及网站安全的国内外研究现状 1 2 1 网络考试系统国内外研究现状 “利用信息技术来改进课堂教学”是当前学校教育改革的一条重要思 想，是提高教学质量的具体措旄。随着信息技术向教育领域的扩展，校园信 息化建设的步伐日益加快。很多学校都建立了自己的校园网，开展了网上教 学、网上作业及网上考试等教学活动。 p o w e r e x a m 网络考试系统( 以下简称p o w e r e x a m ) 是一套专业的考试、培 训、学习管理解决方案，采用开放、动态的系统架构，将传统的考试培训模 式与先进的网络应用相结合，可使用户完全根据自身应用特点快速构建考试 培训平台系统，实现对考试、培训、学习的高效管理。 p o w e r e x a m 基于微软公司w i n d o w s 操作系统u s 与s q ls e r v e r 数据库平 台构建，微软公司产品优异的性能为p o w e r e x a m 提供了高效稳定的运行环境， 使p o w e r e x a m 无论在运行速度、易用性还是在数据吞吐能力方面都表现卓越 p o w e r e x a m 由前端应用管理系统、后端管理系统两大部分组成，其中：前端 管理应用系统采用b s 模式，灵活易用，具有高度的可扩展性；后端管理系统 采用c s 模式，具有高度的安全性、稳定性与可靠性 网上考试系统( 玎邑s ) 是由亦普科技发展有限公司开发的一套基于b s 体 系，采用大型数据库s q ls e r v e r2 0 0 0 和先进的a s p 技术开发的，以组织客观、 公正、科学合理和大规模考试为目的的考试系统。后台管理实行三级管理机 制，即超级用户、领导( 审核员) 、管理员( 录入员) 2 哈尔滨工程大学硕士学位论文 可以作网上对外招生，或是在校园网上进行网上练习，练习后的成绩可 实时自动计算。可以作入学测试，心理测试，l q 及e q 测试等“一。 1 2 2 网站安全的国内外研究现状 本项目采用的是b s 体系结构，需要面对的是基于i n t c r n c t 公共网络环境， 必须采取完善的技术手段来确保网络传输的安全可靠。例如，网站系统管理 员的远程身份认证，它是指网站系统管理员通过远程客户机和服务器进行身 份确认的过程。系统管理员用户首先通过网络向服务器提出使用请求，然后 按照提示输入帐号和密码等信息；服务器接收用户传来的数据包，提取用户 的帐号信息和密码信息，再查询服务器的数据库，最后反馈认证成功或者失败 信息给用户这种身份认证模式是目前最常用的一种远程认证方式，然而却 存在隐患，在网络传输中可能被攻击者截获数据包，进而进行窃听。 1 3 本文研究内容及目标 1 3 1 网上考试网站的设计 本系统要求实现网络考试系统的各项基本功能。从安全性和易维护性考 虑，选择了w e b 实现技术。简单的说就是将系统做成一种b s 模式，可以让用 户通过浏览器直接访问位于服务器上的试题以及对系统进行远程维护必须 要在具有网络发布功能的网络环境中才能运行。因此采用基于v b s c r i p t 的a s p 动态网页语言来进行网页的制作，以s o ls e r v e r2 0 0 0 作数据库，服务器平台 上装有w 矾2 0 0 0s e r ra d v a n c e d 、s5 0 ；在客户机上装有w i n 9 8 、 微软i e 5 o 等软件 本系统的用户分为管理员用户、教师用户和考试用户三种 本系统是为了适应无纸化考试的需要，实现具备网络化、自动化、通用 化的题库管理、试卷生成、网络考试、考试监控、自动阅卷、成绩管理等多 种功能于一体的通用题库考试系统。 在前台系统中主要实现的是考试用户参加考试的过程。此系统的主要功 3 哈尔滨工程大学硕士学位论文 能如下： 1 考试用户登录。 2 用户初次考试的实现。 3 用户考试中断后，继续考试的实现。 4 考试计时的实现。 5 考试用户的成绩查询。 在后台系统中，管理员用户的权限主要有教师用户信息管理、考生用户 信息管理、试题管理、考试设置和组卷。 教师用户的权限主要有考试监考、试卷评阅、成绩处理及输出。 1 3 2 网上考试网站安全设计 在w e b 访问方式中，认证和加密是两个最重要的分支。身份认证是网络 通信中建立可信安全通信信道的重要过程，是安全信息子系统的“门卫”模块。 身份认证使用最多的是密码认证闭本文采用了一次性口令认证机制，可以 很方便地应用于b s 结构的用户登录过程中，能有效地防止窃听和攻击，保证 用户的口令信息不泄露。 本文在研究m d 5 算法的基础之上，提出了m d 5 的改进算法，并且采用 m d 5 改进算法实现的一次性口令认证机制。 1 3 3 本文研究的目标 本系统所要实现的目标是应用a s p 及s q ls e r v e r2 0 0 0 开发一个b s 模式 的网上考试系统，并保证网站的安全运行。 首先，本系统能够实现系统管理员的教师用户信息管理、考生用户信息 管理等功能。 其次，考试试卷所涉及试题有不同难度，因此，在试题设置时必须先设 置试卷考试难度。在一份试卷中，应该具有不同难度的题目。在考试中，试 卷难度应该符合试卷的设置要求。 同时，在考试系统的开发过程中，有一些需要着重考虑的重要环节，如 4 哈尔滨工程大学硕士学位论文 考试过程中的时间控制。由于开考时间的不统一性，因而不可能像传统考试 那样要求统一结束，但每位考试的用时又不能超过设定的考试时间，所以让 计算机自动计时、时间到了以后自动结束考试。 总之，完成考试平台系统的设计，平台系统能够对用户的学习情况进行 综合的评价。考试平台系统应该给用户提供一令实时、科学、准确、安全的 考试环境并且，重要的是考试系统安全性，防止程序内容被客户所访问、 数据库有可能被下载的危险，并保证管理员密码的安全及a s p 程序密码验证 的安全性等。网站的安全是系统能否正常运转的重要保证 1 4 本文的组织结构 全文共由五章组成。 第1 章为网上考试系统设计及网站安全综述。其中阐述了网上考试系统设 计的背景，简要介绍了网上考试系统设计的内容，并介绍了本文将研究网站 的安全问题，采用了一种基于m d 5 改进算法的一次性口令认证机制有效地防 止窃听和攻击并提出了本文的研究目标。 第2 章就系统开发环境进行了详细的阐述。详细介绍了本考试系统主要采 用的a c 虹v cs e l w c l p a g e s ( a s p ) 、v b s c r i p t 语言、s q l 技术及a s p 访问数据库 的方法。并且，本章就网上系统的安全进行了分析。 在前面两章的基础上，第3 章详细阐述了网上考试系统的设计和实现。首 先介绍了系统开发平台、开发工具及采用的体系结构；然后详细分析系统数 据库的设计中的难点：最后是各子系统功能模块的描述。 第4 章在研究m d 5 算法的基础之上，提出了m d 5 的改进算法d 5 的改 进算法在保证一定加密强度的前提下，使运算操作步数减少了，算法复杂度 降低了，所以速度比原来提高了 第5 章首先分析了网上考试系统存在的安全问题，为了确保信息通信的合 法性和安全性，本系统采用了一次性口令认证机制来进行远程身份认证。首 先分析了现有的w e b 登录认证方式及其优缺点，然后详细阐述了应用m d 5 改 进算法实现远程身份认证的方法。 最后对论文进行总结和展望。 5 堕笙堕三矍奎堂堡主兰堡鲨奎 第2 章系统开发环境及安全分析 2 1 软件环境及相关软件技术 2 1 1 软件环境 系统开发的软件环境如下： 客户端：操作系统使用中西文w i n d o w s 9 x 或w i n d o w s n t 2 0 0 0 x p ，安装有 m i c r o s o f ti n t e r n e te x p l o r e r4 0 或以上版本。 服务端：m i c r o s o f tw i n d o w sn t 4 0 ( 装有s e r v i c ep a c k 3 上) ； m i c r o s o f ti n t e r n e ti n f o r m a t i o ns e r v e r3 0 以上，支持a c t i v es e r v e rp a g e s ( a s p ) ； m i c r o s o f ti n t e r a c te x p l o r e r4 o ( 支持a c t i v e x ) ： m i c r o s o f ts q l 1 w c r2 0 0 0 。 2 1 2 相关软件技术 本考试管理系统主要采用a c t i v es e r v e rp a g e s ( a s p ) 、i r i m l 语言、 v b s e f i p t 语言、a c t i v e x 技术、s q l 技术和s q ls e r v e r2 0 0 0 网页和a s p 文件 的编辑采用m a e r o m e d i ad r e a m w e a v e rm x2 0 0 4 实用工具。使用a l ：t i v es e r v e r p a g e s ( a s p ) 作为服务器端文件 下面分节对系统开发过程中所采用的软件技术作一下介绍。 1 a c t i v es e r v e rp a g e s ( a s p ) 运行a s p 所需的环境如下： m i c r o s o f ti n t e m e ti n f o r m a t i o ns e r v e rv e r s i o n3 0 4 0o nw i n d o w sn t s e r v e r ： m i c r o s o f tp e e rw 曲s e r v i c e sv e r s i o n3 0w m d o w sn t w o r k s t a t i o n ： 6 哈尔滨工程大学硕士学位论文 m i c r o s o f tp e r s o n a lw e bs e r v e ro nw i n d o w s9 5 9 8 a s p ( a c t i v es e r v e rp a g e s ) 是微软公司用来建立动态网页的解决方案。它 是一种服务器端的指令环境，用来建立并执行交互式w e b 服务器应用程序， 您可以使用a s p 来结合服务器端指令、h t m l 网页及c o m 组件，即a s p 程序 包含脚本语言程序( s c r i p t i n gl a n g u a g e ) 、嵌入h t m l c o m 组件调用等3 个部 分，其中，脚本语言程序由v b s c r i p t 或j a v a s c r i p t 等程序语言撰写而成。也正 由于a s p 程序可以嵌入h t m l ，因此，现有的h n l l 文件( 扩展名为h t m ) 很快 便可以转换成a s 赡序( 扩展名为a s p ) 。 a s p 程序只能在w e b 服务器端执行，它的工作流程是：先由客户端发出 i f i m l 请求到w e b 服务器，w e b 服务器根据客户请求向数据库服务器发出数据 查询请求，数据库服务器将返回查询结果到w e b 服务器，再由w e b 服务器将 结果转换成瑚【m l 文件返回给客户端，等浏览器端收到h m l 文件后，便会 将执行结果显示在浏览器上 a s p 的强大功能都可通过调用内置对象来实现a s p 提供的内置对象使 用户更容易收集通过浏览器请求发送的信息、响应浏览器以及存储用户信息 有了这些对象可以使a s p 的功能更强大，这些对象之间通过属性来传递参数， 在设计a s p 时经常需要调用各种对象来实现开发动态数据库访问的功能 a s p 有七个内建对象：r e q u e s t , r e s p o n s e ，s e r v e r , a s p c t r o r , a p p f i c a t i o n , s c s s i o n 和 o b j e c t c o n t e x t l “ a s p 的出现使得广大w 曲设计者不必再为客户浏览器是否支持而担心， 实际上就算在同一个a s p 文件中使用不同的脚本语言，都无须为此担忧，因 为所有的一切都将在服务器端进行，客户浏览器得到的只是一个程序执行的 结果，而你也只需在文件中声明使用不同的脚本语言即可 2 s o l 语句介绍 s q l 全称是“结构化查询语言( s t r u c t u r e dq u e r yl a n g u a g e ) ”，最早的是i b m 的圣约瑟研究实验室为其关系数据库管理系统开发的一种查询语言，它的前 身是s q u a r e 语言s q l 尾一门结构简洁、功能强大、简单易学的语言，所 以自从m m 公司1 9 8 1 年推出以来，s o l 语言，得到了广泛的应用如今无论 7 哈尔滨工程大学硕士学位论文 是像o r a c l e ，s y b a ，h f o r m i x ，s q ls c r v c r 这些大型的数据库管理系统，还是像 v i s u a lf o x p o r o ，p o w e r b u i l d e r 这些微机上常用的数据库开发系统，都支持s o l 语言作为查询语言。 $ q l r 泛地被采用正说明了它的优点。它使全部用户，包括应用程序员、 d b a 管理员和终端用户受益非浅。s q l 的特点如下： 非过程化语言：s q l 晨一个非过程化的语言，对数据提供自动导航，它 一次处理一个记录。s q l j 允许用户在高层的数据结构上工作，而不对单个记 录进行操作，可操作记录集。 统一的语言：s q l 可用于所有用户的d b 活动模型，包括系统管理员、数 据库管理员、应用程序员、决策支持系统人员及许多其它类型的终端用户 所有关系数据库的公共语言：所有主要的关系数据库管理系统都支持 s q l 语言，即用s q 蠊写的程序都是可以移植的，用户可将使用s q l 的技术 从一个i b m s 转到另一个 3 v b s c r i p t 介绍 m i c r o s o f tv i s u a lb a s i cs c r i p t i n ge d i t i o n 是程序开发语言v i s u a lb a s i c 家族 的最新成员，它将灵活的s c r i p t 应用于更广泛的领域，包括m i c r o s o f ti n t e r a c t e x p l o r e r 中的w e b 客户机s c r i p t 和m i c r o s o f ti n t e m e t i n f o r m a t i o ns c r v 盯中的 w e b 服务器s c r i p t v b s c r i p t 使用g c t i v cx t is c r i p t 与宿主应用程序对话。使用a c t i v e xs c r i p t ， 浏览器和其他宿主应用程序不再需要每个s c r i p t 部件的特殊集成代码。 a c t i v c x s c r i p t 使宿主可以编译s c r i p t 、获取和调用入口点及管理开发者可用的 命名空间。通过a c t i v c xs c r i p t ，语言厂商可以建立标准s c r i p t 运行时语言m 。 m i c r o s o f t 将提供v b s c f i p t 的运行支持。m i c r o s o f t 正在与多个i n t e r n e t 组一起定 义a c t i v c xs c r i p t 标准以使s c r i p t i 3 擎可以互换 4 a s p 与数据库 常用的数据库连接方法有三种，分别是o d b c ( 开放式数据库互联标准) 、 o l ed b 、a d o ( a c t i v e x 数据对象) 在a s p 中访问数据库一般采用a d o 。 a d o 是一个a s p 内置的服务器组件，也即是一系列对象的集合。它是一座连 8 哈尔滨工程大学硕士学位论文 接w e b 应用程序和o l ed b 的桥梁，运用它结合a s p 技术可在网页中执行s q l 命令，达到数据库访问的目的。通过应用其中功能强大的对象，我们可以轻 松完成对数据库复杂的操作。实现一个a s p 使用数据库的应用，大致可以分 为以下五步：连接数据库、打开记录集、操作记录集、关闭记录集和断开数 据库 ( 1 ) 连接数据库 访问数据库的第一步是和数据库源建立连接。a d o 提供c o 舳c c l i o n 对象， 可以使用该对象建立到具有o d b c 或o l ed b 驱动程序数据库之间的连接。 c o n n e c t i o n 对象具有各种属性和方法，使用它们可以方便地打开和关闭数据 库连接。要建立数据库连接，首先应创建c o n n e c t i o n 对象的实例。例如，下 面的脚本创建c o n n e c t i o n 对象，接着打开数据库连接： ( 2 ) 打开记录集 通常我们首先创建记录集对象( a d o d b r e c o r d s e t ) r e c o r d s e t 是 a d o 中最复杂的对象，有许多属性和方法，灵活运用，可以达到许多好的效 果。创建方法如下： d i m l s s e tr s = c o n n e x e c u t e ( s q l s t r ) 当然我们也可以通过先创建r e c o r d s e t 对象。方法如下： d i m i s s e t t s = s e r v e r c r e a t o b j e c t ( ”a d o d b r e c o r d s e t ) 查询数据到记录集对象之中。 9 哈尔滨工程大学硕士学位论文 鹞o p e ns q l s t r , c o n n , 1 , 1 ( 3 ) 操作记录集 现在我们已经取得了一个记录集对象，我们可以通过它实现的方法很方 便地进行数据插入、删除、修改等操作。 ( 4 ) 关闭记录集 通过调用记录集对象的c l o s c 方法我们就可以方便地关闭记录集。如下所 示： 墙c l o s e s e tr s - - - n o t h i n g ( 5 ) 关闭连接 通过调用连接对象的c l o s e 方法我们就可以方便地关闭一个到数据库的 连接m 如下所示： c o r m c l o s e s e tc o r m - - - n o t h i n g 2 2 网络系统体系结构 2 2 1 两层网络体系结构 两层结构也就是我们通常所说的客户机服务器( c s ) 结构。在客户端，客 户进程由一个用户请求启动。服务器必须随时准备响应用户请求，它通常是 一个驻留程序，在一个特定的端口上监听客户的请求 客户机服务器结构的数据库设计与w e b 的相关技术互相独立，两者无 法进行集成，采用客户机服务器结构( 以下简称c s 模式) 的数据库体系在设 计、开发、应用本系统都具有一定的局限性，有安装、升级、维护困难、使 用不方便、培训费用高等诸多缺点。比如在应用中，用户必须学会本系统的 操作方法、规程等，不具有普及性、易懂性等。 2 2 2 三层网络结构 两层结构使得用可视化编程工具快速开发应用程序成为可能。但是随着 1 0 哈尔滨工程大学硕士学位论文 应用规模的不断扩大，两层的c s 模式逐渐显出了它的不适应性。在两层结构 的数据库访问模式下，应用逻辑要么处在客户端，要么由数据库服务器来完 成。为了访问资料，客户端必须知道资料在服务器上是如何组织和存储的， 而且在网上直接传送的是s q l 语句。两层结构的一种改进方式是使用存储过 程将一部分处理划归到数据库服务器，不通过网络直接传送s q l 请求，而 是传送存储过程名来激活运行于服务器方的某个函数过程。在这种情况下， 一定程度上增加了数据库服务器的负担，影响了性能，也不能完全适应大规 模的应用 浏览器服务器模式的数据库体系是利用w e b 服务器和a c t i v es e r v e r p a g e s ( 动态服务器网页，以下简称a s p ) 作为数据库操作的中间层，将客户机 服务器模式的数据库结构与w e b 技术密切结合，从而形成具有三层w e b 结 构的浏览器服务器模式的数据库体系。系统的工作原理是：在前端采用厄、 n e t s c a p e 等浏览器将用户提交的操作信息向w 曲服务器发出i 玎仰请求，w e b 服务器通i ： a s p 和一些中间组件访问后台数据库，并将操作结果以i r i m l 页 面的形式返回给前端浏览器“一。如图2 1 所示： 图2 1b s 工作原理图 由于选用b s 模式，通过浏览器如m ，就能在矾1 e r n e 】? 或i n t r a n e ti 运行本系统，进行考试或管理，客户端无需进行任何配置，业务规则和数据 库都放在服务器端集中管理，系统的升级和改进都比较方便。 b s 之所以优于c s ，关键在于下述六点： 1 客户端软件仅需安装浏览器，应用界面单一，客户端硬件配置要求较 低。 l l 哈尔滨工程大学硕士学位论文 2 易于管理和维护，因为在b r o w s e r s e r v e r 中，浏览器的界面风格单一， 利于提高效率。 3 开发b s 应用，开发效率高、开发周期短、见效快。 4 平台无关性，具有极强的伸缩性，可以选择不同厂家的设备和服务。 5 开放性，采用公开的标准和协议，系统资源的冗余度小，可扩充性良 好。 6 可使已有的软硬件投资得到良好的保护，从原有系统平滑地升级到 i n t e r n e t 。 符合微软w i n d o w s 软件体系的a s p 技术作为一种服务方扩展，很适合用 来构造三层结构的w e b 应用。在这种应用中，第一层可以是任意的浏览器， a s p 作为一种服务器端技术。消除了对于客户浏览器的依赖性，可以直接由 标准的h t m l 窗体来处理。第二层是运行在w e b 服务器上的功能很强的集成 应用程序。通过a s p 内置的对象、服务器组件( s e r v e rc o m p e n e n t ) 可以完成非 常复杂的任务，而且用户还可以自己开发或利用别人开发的服务器组件完成 专门的任务。这此- a p x 封装了一些特殊的功能，包括对数据库的调用。第三 层为资料源，可以通过关系数据库接e l o d b c ( o p e nd a t a b a s ec o n n e c t i v i t y ) 等 来访问。 w e b 浏览器把a s p 文件的请求发送到w 曲服务器w e b 服务器将被请求的 a s p 文件从头读到底，执行每一个命令，然后动态生成一个i 删i 页面并送 到浏览器。w e b 服务器分析请求时，如果发现是调用某个a p i ，则将处理移交 给该a p i 。a p i 接受请求，将其转换成数据库服务器能够接受的形式( 如s o l ) ， 再把它们送到数据库服务器。然后，数据库服务器执行资料操作，诸如查询 或插入，并把结果送回a p i 。最后，a p i 将结果送给w e b 服务器。w e b 服务器 则把a s p 的网页转换成w e b 浏览器能够接受的形式( 如h t m l ) ，送到w e b 浏览 器。 各种集成应用程序作为线程运行于w e b 服务器上，弥补了c o l 开销大的缺 点，同时具有更好的移植性以及更强的安全性。a s p 作为种服务器端编程 技术，比常见的客户端技术如j a v aa p p l e t , a c t i v e xc o n t r o l ，v bs c r i p t , j a v a 1 2 哈尔滨工程大学硕士学位论文 s c r i p t 等更有优势。 在考试系统中，考生通过客户端的浏览器向服务器端发出应用请求，服 务器生成一动态的h t m l 页面即考试试卷传回给客户端。这样，客户端与服 务器端建立起了可以互相通信、交流数据的通道，从而达到实现考试的目的。 因此本系统的设计及开发采用了浏览器服务器模式( 以下简称b s 模式) 的 数据库体系。 2 3 系统的安全分析 随着网络考试系统多方面的应用及规模的不断扩大，系统的安全问题日 益突出。从信息系统安全性的理论角度分析，考试系统主要存在如下一些不 安全的因素； 1 物理环境和威胁 物理环境主要考虑考试系统工作的网络硬件环境和计算机硬件设备工作 的可靠性。网络设备的故障和计算机硬件设备的故障，都有可能造成考试系 统工作的安全性问题。特别是网线接头的松动，会造成考试时系统速度的降 低甚至出现客户机完全脱网的情况。 2 网络上的威胁 通过网络对计算机进行攻击，例如识别系统端口、数据库密码后对计算 机考试系统进行破坏 3 非法访问上的威胁 非法用户通过各种手段获取系统授权口令等信息，以假冒身份访问试题 库，并对试题库进行修改。 4 计算机病毒的破坏 网络考试系统工作在网络环境，任何一台计算机感染上计算机病毒都会 迅速使整个网络系统工作受到影响。主要表现在破坏存储的考试系统信息、 降低网络系统工作速度等方面，使考试无法正常进行 5 对数据库的错误使用 这主要由于授权用户的出错，错误地增加、删除、修改数据库中的试题， 哈尔滨工程大学硕士学位论文 造成考试时的故障 r 6 网络管理员的管理能力问题 网络系统管理员由于自身的管理问题，不好好利用网络系统安全保护机 制来建立合理的安全策略，就会造成网络系统工作的混乱。不能按时维护和 审核数据库系统，从而就造成不能及时发现问题和捧出故障。 7 数据系统及网络系统自身的软硬件缺陷 目前使用的s q ls e r v e r2 0 0 0 ，符合可信计算机系统评估准则和可信数据 库管理解释中的安全标准，其基本特征是自主访问控制，它不能限制访问权 限的转移而且一般采用基于口令的身份论证方式，信息在网络中一般以明 文方式传输，存在一定的安全脆弱性“一 2 4 本章小结 本章就系统开发环境及相关技术进行了详细的阐述。本考试系统主要采 用a c t i v cs e r v c rp a g e s ( a s p ) ，h t m l i 吾言、v b s c r i p t i 吾- 言、a c t i v c x 技术、s o l 技术和s o l s e r v e r 2 0 0 0 。网页和a s p 文件的编辑采用m a c r o m e d i a d m a m w c 神盯 m x 2 0 0 4 实用工具使用a c t i v es e r v c r p a g c s ( a s p ) 作为服务器端文件 本章还阐述了c 搐模式和b s 模式的特点及优缺点客户机服务器结构 的数据库设计与w c b 的相关技术互相独立，两者无法进行集成，采用客户机 服务器结构的数据库体系在设计、开发、应用本系统都具有一定的局限性 而浏览器服务器模式的数据库体系是利用w e b 服务器和a c t i v es e r v e rp a g e s 作为数据库操作的中间层，将客户机服务器模式的数据库结构与w e b 技术 密切结合，从而形成具有三层w e b 结构的浏览器服务器模式的数据库体系。 本考试系统采用的软件体系结构是b s 模式。 最后，分析了网上考试系统存在的安全问题。列出了常见的、主要存在 的不安全因素。 1 4 堕签堡三堡查兰堡主兰垡丝茎 第3 章网上考试系统的设计和实现 3 1 系统开发平台及体系结构 3 1 1 开发平台 1 网络操作系统 网络操作系统采用w i n d o w s2 0 0 0s e r v e r a d v a n c e d $ i v c r 微软公司的 w i n d o w s 系统不仅在个人操作系统中占有绝对优势，它在网络操作系统中也 是具有非常强劲的力量。网络操作系统继承了w m d o w s 家族统一的界面，使 用户学习、使用起来更加容易；再则它的功能也的确比较全面，基本上能满 足所有中、小型企业的各项网络需求。这类操作系统配置在整个局域网配置 中是最常见的，但由于它对服务器的硬件要求较高，且稳定性能不是很高， 所以微软的网络操作系统一般只是用在中低档服务器中 2 开发工具 作为网络系统开发工具，a s p , j s p 和p h p 均有各自的优点和不足，但综合 来看，微软公司a s p 有强大的技术支持和运行平台删n d 佣由，用它开发的软 件，无论在运行、调试、移植等方面均具有较大优势，因此本系统选择使用 a s p 作为软件开发工具 3 数据库 从数据库方面来看，数据量不是太大，所以不选大型数据库作为后台， 而考虑a c c e s s 或s q l s e t v e r 。另一方面，作为试题库，要求有相对较高的安全 性第三，由于在考试( 测试) 进行中要进行大量数据读写操作，在效率方面 要求很高。综合以上三个因素以及成本因素和开发的复杂度，本系统采用s q l s e r v e r2 0 0 0 作为后台数据库。 3 1 2 网上考试系统的体系结构 该网上考试系统应采用b s 软件体系结构。b s 软件体系结构，即 b t o w s e r s e n r c “浏览器服务器) 结构，是随着h t e m c t 技术的兴起，x c c s 体系 哈尔滨工程大学硕士学位论文 结构的一种变化或者改进的结构。在b s 体系结构下，用户界面完全通过 w w w 浏览器实现，一部分事务逻辑在前端实现，但是主要事务逻辑在服务 器端实现。 b s 体系结构主要是利用不断成熟的w w w 浏览器技术，结合浏览器的多 种脚本语言，用通用浏览器就实现了原来需要复杂的专用软件才能实现的强 大功能，并节约了开发成本，是一种全新的软件体系结构。b s 体系结构还提 供了异种机、异种网、异种应用服务的联机、联网、统一服务的最现实的开 放性基础 一方面，外部用户( 包括远程在家里的学生或本校的某一分考点的用户) 通过i n t e r n e t 或i n t r a n e t 访问w e b 服务器，再通过w e b 服务器访问数据库服务器。 外部用户客户端p c 不需要安装网上考试系统应用程序，而直接通过客户端 w i n d o w s 自带的浏览器来访问w w w