（计算机应用技术专业论文）基于web的考试系统安全性的研究与实现.pdf

摘要 摘要 近年来，随着网络技术的成熟和计算机软、硬件技术的发展，基 于w e b 的计算机在线考试系统已经悄然兴起。基于w e b 考试系统充分 发挥了i n t e r n e t 的宜用性、广泛性以及信息的即时性等优势，大大拓展 了考试的灵活性，提高了阅卷的效率和公证性，可以说基于w e b 考试 系统是考试方式的一个发展趋势。 基于w e b 考试系统是以 n t e m e t 为传输媒介，考试系统的数据库和 很多业务都是面向 n t e r n e t 的，而i n t e m e t 是一个开敖的、松散的和不 安全的网络，因此基于w e b 考试系统的安全性研究便成为新的技术重 点。基于w e b 考试系统的安全不仅仅包含身份认证、数据保密、访问 控制、完整性等信息安全问题，还包括了作弊防范、试卷保护等特殊 的安全问题。 本文以n c a e 考试系统为实际研究背景，对基于w e b 考试系统的 安全设计做了大量的工作。提出了一个安全的网络考试系统的实现场 景，即由考试中心和若干考点组成一个完全的w e b 访问，半封闭式的 考试架构，考试中心通过i n t e r a c t 和考点服务器进行数据交互；考点处于 一个安全的局域网内进行考试。根据n c a e 考试系统的结构，将考试 系统的安全分为了三个方面，中心的安全性，考点的安全，数据交互 的安全性，对这三个方面的安全需求进行了分析，并提出相应的安全 策略，利用身份认证技术、访问控制技术，数据库加密技术、数字签 名技术，以及数据库置乱技术形成一套安全解决方案，保障考试系统 中考试的结果公平性、数据机密性和不可抵赖性，从而实现了高效实 北京交通大学硕士学位论文 用、安全可靠的网络考试应用系统。 关键词：网络考试身份认证访问控制数字签名置乱 a b s i r a c t a b s t r a c t i nr e c e n ty e a r s ，w i t ht h em a t u r i t yo fw e bt e c h n o l o g ya n dt h e d e v e l o p m e n to ft h et e c h n o l o g yo ft h ec o m p u t e rh a r d w a r ea n ds o f t w a r e ， w e bt e s ts y s t e mh a sa l r e a d yr i s e nq u i e t l y w e bt e s ts y s t e mi so n e d e v e l o p i n gd i r e c t i o no ft h et e s ts y s t e m i tm a k ef u l lu s eo fc o n v e n i e n c e 、 u n i v e r s a l i t ya n dd a t ai m m e d i a c yo fi n t e r n e t i th a se x p a n dt h ef l e x i b i l i t yo f t h ee x a m i n a t i o ng r e a t l y , i m p r o v e de f f i c i e n c ya n dn o t a r i z a t i o no fg o i n go v e r e x a m i n a t i o np a p e r s t h ew e b1 1 e s ls y s t e ml r a n s m i t st h ed a t ab a s eo ni n t e m e t h o w e v e r , i n t e r n e ti st h eo p e n 、l o o s ea n di n s e c u r en e t w o r k ，t h es e c u r i t yo f w e bt e s t s y s t e mt u r n si n t oan e wt e c h n o l o g ye m p h a s e s ，t h es e c u r i i yo fw e bt e s t s y s t e m i n c l u d e sn o to n l y i d e n t i t ya u t h e n t i c a t i o n 、d a t ac r y p t o g r a p h y 、 a c c e s sc o n t r o l 、i n t e g r a l i t y ，b u ta l s os p e c i a lo n e ss u c ha sc h e a t p r e v e n t i o n ，d a t ap r o t e c t i o n ，e t c t h ea r t i c l ed e p e n d so nt h ea c t u a lb a c k g r o u n di nn c a ea n dh a sd o n e al o to fw o r ki ns e c u r i t yd e s i g n f i r s t ，w eg od e e pi n t ot h ea r c h i t e c t u r eo f w e bt e s ts y s t e ma n di t ss e c u f i t y ，a n dt h e np u tf o r w a r das c h e m ef o r i m p j e m e n t i n g t h es c h e m ei sah a l f - o p e n e de n v i r o n m e n tw h i c hi sm a d el l p o ft e s t i n gc e n t e r sa n dt e s tp o i n t t h et e s tc e n t e re x c h a n g e sd a t aw i t hp o i n t s e r v e rt h m u g ht h ei n t e r n e t t h ep o i n ts e r v e rl i e si nas e c u r el a na n dt a k e s e x a m i n a t i o n s e c o n d ，d e p e n d i n go nt h ea r c h i t e c t u r eo ft h ew e bt e s ts y s l e m ， w e bt e s ts y s t e mi sd i v i d e di n t ot h r e ep a r t si nt h i sp a p e r ：t h es e c u r i t yo ft h e 北京交通大学硕士学位论文 t e s tc e n t e r , t h es e c u r i t yo fp o i n ta n dt h es e c u r i t yo ft h ed a t ae x c h a n g e i t m a k e su s eo ft h et e c h n o l o g yo fi d e n t i t ya u t h e n t i c a t i o n 、a c c e s sc o n t r o l 、 d a t a b a s ee n c r y p t i o n 、s c l a m b l i n go fd a t a b a s et of o r mas e c u r i t yp r o j e c t ， w h i c hc a ne n s u r et h er e s u l tn o t a r i z a t i o n ，c o n f i d e n t i a ld a t aa n d n o n - r e p u d i a t i o n a sar e s u l t ，i tr e a l i z eh i g h - e f f i c i e n ta n dp r a c t i c a l i t y , s a f e a n dr e l i a b l ew e bt e s ta p p l i c a t i o ns y s t e m k e yw o r d s ：w e bt e s ts y s t e m ，i d e n t i t ya u t h e n t i c a t i o n ，a c c e s sc o n t r o l ， d i g i t a ls i g n a t u r e ，s c r a m b l i n g 独创性声明 本人声明，所呈交的学位论文是我个人在导师指导 下进行的研究工作及取得的研究成果。尽本人所知，除 了文中特别加以标注和致谢的地方外，论文中不包含其 他人已经发表或撰写过的研究成果，也不包含为获得北 京交通大学或其他教学机构的学位或证书而使用过的 材料。与我一起工作的同志对本研究所做的任何贡献已 在论文中作了明确的说明并表示了谢意。 本人签名： 同期：年一月一日 关于论文使用授权的说明 本人完全了解北京交通大学有关保留、使用学位论 文的规定，即：学校有权保留送交论文的复印件，允许 论文被查阅和借阅；学校可以公布论文的全部或部分内 容，可以采用影印、缩印或其他复制手段保存论文。论 文中所有创新和成果归北京交通大学计算机与信息技 术学院所有。未经许可，任何单位和个人不得拷贝。版 权所有，违者必究。 本人签名： 日期：年一月一日 1 绪论 1 1 研究背景 近年来，随着网络技术的成熟和计算机软，硬件技术的发展，基 于w e b 的计算机在线考试系统已经悄然兴起。基于w e b 的考试系统可 以借助于遍布全球的i n t e r n e t 进行，保证考试既可以在本地进行，也可 以在异地进行，大大拓展了考试的灵活性。试卷可以根据题库中的内 容即时生成，可避免考试前的压题；而且可以采用大量标准化试题， 从而使用计算机判卷，大大提高阅卷效率和阅卷的公证性：还可以直 接把成绩送到数据库中保存备份，进行统计、排序等操作。可以说， 基于w e b 的考试系统是今后考试方式的发展趋势。 但是网络的开放性也对基于w e b 的考试系统的安全性提出了很严 峻的问题，如何保证考试系统中考生和服务器的相互确认；保证考生 只能在规定的时间段访问规定的试题库；保护试卷信息，防止泄漏； 防止考生答案和成续被篡改；防止考生对自己所做试卷的否认；如何 保证考试信息在考点和服务器之间传输过程的安全性和完整性。以上 这些问题都是在基于w e b 的考试系统中出现的新问题，要想充分利用 网络考试系统的优点，就需要很好的解决这些安全性问题。 本文是以“全国信息化应用能力考试系统( 简称n c a e ) ”为研究背 景。阐述了n c a e 考试系统考试实现过程。针对考试系统考试过程中 的身份认证，访问控制，数据库以及传输等安全问题进行了系统的分 析和研究。结合考试系统的特点，设计了一套完整的安全方案，该方 北京交通大学硕士学位论文 案能符合考试系统的业务需求和安全要求，保证考试系统的安全性， 可靠性和公证性。 1 2 研究的目的和意义 n c a e 考试系统是基于w e b 的考试系统，它同以往的考试系统系 统相比，具有突出的优点： ( 1 ) 采用了b s 模式的系统结构，客户端实现了零维护，方便了系 统升级和维护。 ( 2 ) 采用了分布式数据库，除了提高系统的性能外，还可以联结已 有的异种机和异种网，使考试系统形成了规模伸缩能力很强的开放系 统。 ( 3 ) 通过网络进行数据的传输交互。服务器之间都是通过网络来进 行通信，实现了资源的共享，数据的交互通过网络进行，大大提高r 传输的速度。 尽管基于w e b 的考试系统比传统的考试系统有着不可比拟的优越 性，可是我们也应该注意，基于w e b 的考试系统也有它不可避免的问 题。考试期间必须保证考点、中心服务器高效、安全地工作，考试系 统应该避免出现由于服务器故障带来的考试暂停或数据丢失问题。避 免由于断电所带来的数据丢失。考试系统中的题库，试卷，答案等数 据必须严格保密，严防泄漏；保证分布式数据库在数据交互过程中的 安全性以及保存在各个数据库中数据的完整性和安全性。只有考试系 统的各方面的安全性得到了满足，考试的公平性、认证的有效性才可 以得到有效的保证。 本论文研究的目的在于通过利用密码技术，数字签名技术，身份 认证技术以及数据库安全技术提高考试系统的整体安全性，从而实现 一个应用范围广，可操作性强，安全性高的考试系统。 1 3 本文的工作和组织结构 本论文是关于基于w e b 的考试系统安全性的论文，在完成论文的 过程中，我参考了许多文献，并以实际应用系统的开发为背景，共分 为六章。 第一章提出了论文的研究背景和研究目的。并介绍r 论文的组 织结构。 第二章介绍了考试系统的演变过程以及基于w e b 的考试系统在 国内外的发展，并引出了基于w e b 的考试系统的安全性问题。 第三章介绍了基于分布式数据库安全的考试系统的结构，从逻 辑结构和软件结构分析了n c a e 考试系统，并对n c a e 考试系统的功 能模块功能做了简介，简要说明重要模块涉及的安全性。 第四章从结构上分析了n c a e 考试系统的安全需求，并根据考 试系统的安全需求设计了相应的安全策略。 第五章着重从身份认证，数据库加密，通信安全三个方面设计 了n c a e 考试系统的安全方案。采用了身份认证技术，数字摘要，数 字签名技术，表萱乱以及对称加密算法和非对称加密算法，来实现 n c a e 考试系统安全的设计方案。 第六章总结了本文对于n c a e 考试系统安全方面傲了一些研究 和工作，并提出了进一步的考虑的相关问题，以便n c a e 考试系统的 安全性的进一步完善。 3 北京交通大学硕士学位论文 2 基于w e b 的考试系统及其安全性研究 本文简要介绍了基于w e b 的考试系统的概念，以及安全问题的引 出。并着重讲述了目前国内外在基于w e b 的考试安全问题上发展现状。 2 1 基于w e b 的考试系统概述 考试作为教育和学习的重要环节，它具有非常重要地鉴定和选拔 作用，通过考试可以对应试者的知识，能力水平地发展和智力差异等 诸多方面作出比较全面、正确地评价，以作为鉴定和选拔人才地依据。 2 1 1 考试形式的演变 传统的考试都是采用人工出题，笔试答卷，手工判卷模式。而且， 考试的规模越大，组织的工作就越复杂，动用的人员( 无论是出题还是 阅卷评分) 就越多，考试周期就越长，投入的物力、财力也就越大。这 种人工考试方式除了投入消耗大之外，很多性能都比较差。薛先，在 考试出题阶段，由于考试为人工出题，每次考试都要人工重新出题、 组卷，不同的老师出题或多或少的存在差异。其次，在考生参加考试 阶段，为避免泄题，在考试前考试部门必须准备数份不同的考卷，一 旦泄题，漏题，原有印制考卷就全部作废，还要全部重新印刷。再次， 在考试判阅阶段，由于人工阅卷的失误两造成重复工作。 近年来，随着i n t e m e t 的技术的飞速的发展和计算机软、硬件的发 展，基于w e b 的考试快速发展已经有取代以往的手工考试的趋势，这 一趋势将计算机和w e b 技术应用于考试领域，具有很高的性能价格 n c a e 考试系统体系结构 比，不但可以节省大量的考试费用，同时更是真正地实现了考试制度 的公平化、规范化、透明化。 2 1 2 基于w e b 的考试系统的优点 由于借助了计算机和i n t e m e t 技术，使得基于w e b 的考试系统在许 多方面优于传统考试。基于w e b 的考试系统首先具有快速和高效的优 点。传统考试中，教师要准备一次考试，从收集材料开始，选试题， 印刷试卷，组织试卷，批改分数，最后记录成绩，工作量十分繁重， 工作周期也很长。而使用了计算机和w e b 技术的考试系统可以大大提 高工作效率，缩短考试周期，使教师有更多的时间专注于自己的教学 工作。 基于w e b 的考试的另一个优点是”远程”。通过i n t e r n e t ，考试突破 了地域和时间的限制，任何人都可以随时随地地开始一场考试，检验 自己的知识和水平。当然，在比较正式的考试中，还要进行的严格组 织，但比起传统考试，形式可以更加灵活多样。 基于w e b 的考试系统，还可以更有效地实现考试结果的分析。教 师进行考试的主要目的，是为了从中发现问题，从而改进教学方法， 达到教学目标。以往由于时间和条件的限制，教师只能从有限的几个 方面来分析考试，如根据最高分，最低分，平均分了解班级的整体水 平，凭自己的印象寻找错误率较高的题目等。基于w e b 的考试系统则 可以发挥计算机速度优势，考虑各种因素和关联规则，充分发掘考试 结果，得到内容更详细和层次更高的分析结果。 此外，利用基于w e b 的考试系统可以实现更高级的考试功能，更 5 北京交通大学硕士学位论文 好地达到考试的目的，比如最近出现的自适应考试，多媒体考试等， 都可以在基于w e b 的考试系统中实现。 2 2w e b 考试系统在国内外的发展 国内基于w e b 考试的研究和实施虽然起步较晚，但由于硬件、软 件条件已经比较成熟，近几年也有所发展，已投入使用的考试系统有 计算机等级考试，g r e 考试，以及本文已经研究的，已经投入使用的 的n c a e 认正考试系统等等。虽然基于w e b 的考试系统已经在国内实 行，但是目前也仅限于标准化考试，或者是将原有考试内容加以标准 化，因而应用范围还是比较小。国内的大部分考试还是以传统的考试 方式进行的。 围外在基于w e b 考试安全性的研究和实践方面发展比较迅速，许 多大学已经开发出适合远程教育的使用的安全方案。这些方案大多基 于电子商务技术，有些还使用了p k i 和数字证书技术来进行身份认证， 实现网上支付和通讯保密。在大学之外，也已经有越来越多的盈利或 非盈利的机构开始提供比较完善的安全服务。如美国的教育科研网络 服务公司( c e r n ) 专门为各种教育和研究机构开设了证书服务。 但这些开展远程教育的高等院校通常还采取传统的考试形式来评 估学生的学习效果，这是由于安全的考试系统还很不成熟，但对于考 试系统的安全性也开始研究。值得一提的是美国的p r o m e t r i c 公司在全 世界范围内所提供的考试和评估服务，它所采取的安全措施在很大程 度上保证了考试的安全性。 2 3 基于w e b 考试安全性实践 目前国外多数大的考试机构( 如e t s ) 都在世界各地建立了自己的 6 i q c a e 考试系统体系结构 考试网点，提供一整套的咨询、报名、举办、评分和结果处理等服务。 但其他的一些较小型的考试如技术资格认证，专业证书考试以及学术 考试等没有实力建立自己的考试网点，一般都委托代理机构来为他们 进行考试的组织工作。 p r o m e t r i c 就是这样一个教育和评估代理服务机构，它在世界各地 设有4 0 0 0 多家考试中心，业务主要包括学校辅助教育，英语语言教学 和计算机化考试等。针对远程教育的迅速发展，它特别开设了w e b 考 试服务。 p r o r a e t r i c 提供的w e b 考试方案是一个可以任意时间、任意地点举 行的，在代理( p r o c t o r e d ) 环境下的安全的在线考试，它提供了单选、填 空、简答等多种可选择的题型，只要能够访问i n t e r n e t ，就可以马上创 建一个在线考试，并且让学生立刻开始考试。 2 4 基于w e b 的考试系统安全问题的引出 考试系统的w e b 化同时也带来了相关的安全问题，如果这些问题 得不到解决，考试这一特殊应用所要求的公证性、客观性无法保证， 考试也就失去了意义。在基于w e b 的考试系统中，不仅包含用户身份 认证，数据库加密，数据交互的保密性等问题，还存在一些特殊的安 全问题。 一般性安全问题 网络考试系统可以归纳为7 类安全服务，这些安全服务在基于w e b 的考试系统中都需要提供，对应到基于w e b 的考试系统中，它们对应 的含义如表3 - 1 北京交通大学硕士学位论文 表1 - 1 网络考试系统一般性安全 对等宴体认证即考生和考试服务器能够相互确认合法性 访问控制既摞证考生只能存规定的时间段，访目规定的试卷 数据保密 宋证试题信息的秘密性，防止泄漏 数据完整件防止试题中的某部分，及考生的答案、成绩被人篡改 信息流安全 保证考生与服务器之间的路由正确可靠 信源确认确保考试的试题来自正确的服务器，考试的答案来自正确生 防止否认 防止考生对自己所做试卷的否认，防止服务器对已接收的答案的否认 除了提供表格以上的安全性外，考试系统还有他特殊的需求：如 防范作弊 作弊防范主要是保证考生独立完成考卷，保证考试的有效性。一 方面需要采取人为措施或特殊的监视设备防止考生获取他人帮助，另 一方面要限制网络通信，防止考试信息的传入传出。 防考题泄漏 一方面要采取适当的措施防止考生在考试时利用网络将试题传输 到场外，另一方面是防止考生将试题保存在磁盘上后代考试完毕取回 服务器端考卷， 题库加密 在正规的考试中。试卷准备完毕后，在考试结束以前任何人也不 能查看试卷，即使是考试服务器的管理员也不例外。而且由于网络入 侵日趋频繁，需要有一种方法保证即使入侵者攻破了整个系统，获得 8 n c a e 考试系统体系结构 了最高权限，也无法获得试题的真实内容，因此服务器端存放的题库， 试卷除了利用数据库本身的安全机制进行保护外，还必须采用再增加 一道加密防范。 9 北京交通大学硕士学位论文 3n c a e 考试系统体系结构 3 1n c a e 系统简介 n c a e 考试系统是在信息产业部领导下组织实施的国家级l t 专业 政府认证体系，在信息产业部等有关部门指导下，与教育、培训、i t 、 人力资源等行业的主流机构进行开放性和创新性的合作，建立一套具 有国际化水准的技术类职业人才培训及认证体系，推动我国信息化建 设的发展。 3 2 考试系统的流程说明： _ 考点服务器首先需要在中心服务器注册认证，只有通过了中心 的认证以后才有资格举行考试。中心服务器负责搭建考点服务器的运 行环境以及一些必要的运行软件。 _ 考生在中心服务器注册身份认证后，注册考试类别，考点服务 器根据考生的报考情况向中心服务器申请试卷，中心服务器根据考试 难度、考试类别、以及知识点偏重等生成抽题模板。并最后生成了试 卷。 一中心服务器生成试卷后，放在中心服务器的临时表中，放在临 时表中是为了保证加快检索速度，提高考试性能。为了保证试卷的安 全性，考点服务器在考试前一天才允许到中心服务器上下载试卷，同 步题库，更新考点管理人员的基本信息。 _ 考点服务器管理人员批准考试，注册学生开始考试，考试过程 中，有时钟自动计时，监督考试时间。到点系统会自动提交试卷。 试卷提交完成后会自动对考生的客观题部分自动阅卷，评分， n c a e 考试系统体系结构 并将考生卷面的情况临时存放在考点服务器上。 _ 考点管理人员在考试结束后可以上传考试的成绩，答案等信 息，将这些信息在中心服务器归档保存。清除中心服务器临时表中的 信息 _ 清除考点和中心服务去上的临时记录，保持考点服务器和中心 服务器上高效运行。 3 3 考试系统的逻辑结构 由于考试系统是一个实时性要求很高的在线系统，学生考试过程 中需要频繁的和服务器进行数据交互，如果在i n t e m e t 上实现考试系统 的实时性对于一些地方考点来说困难较多，考试系统在设计的时候采 用了一个中心服务器，在每个考点在配置个考点服务器，让考试客 户端和考点服务器处于一个局域网内工作，既保证了考试系统的实时 性要求，而且把考试环境这个重要的环节置于在局域网内部，大大提 高的考试系统的安全可靠性。如图3 - 1 所示 1 1 北京交通大学硕士学位论文 图3 - 1 考试系统的逻辑结构图 从图3 - 1 中可以看出，n c a e 考试系统是完全公开的w e b 访问， 半开放式得考试环境。 完全公开的w e b 访问 在这种应用场景下，基于w e b 的考试系统与其他的w e b 站点类似， 提供公开的w e b 访问，丽考生可以在任何时阈，从任何地点访问考试 系统。但是如果在这种环境下考试，虽然在公开w e b 访问模式下，我们 可以对考生进行身份认证，并限制考试的开始，结束时间，但以下两 个基本的安全问题是无法克服得： 1 、不能保证考生是独立完成考试的，虽然可以通过各种认证手段 确保考生本人在客户端考试，但不能防止考生通过i n t e m e t 获得他人得 帮助 n c a e 考试系统体系结构 2 、不能防止考题的泄漏。考生在客户端看到了试题，他就可以通 过一些手段拷贝或者抓屏等方式将考题保存下来，进行网络传播。 因此这种形式不适合进行真正得考试，本考试系统完全开放w e b 的方式是用于方便学生注册，查询成绩，中心服务器和考点服务器之 间的相互交互，但是不允许学生在这个环境下考试，避免了以上两个 安全问题。 一半开放式得考试环境 为了实现正式，严格的考试，必须采取一定的措施来防止考试学 生作弊、考题泄漏。我们采取了半开放式考试方式。考试环境设置在 一个局域网内，局域网内有一个服务器负责和考试中心联系，只有在 需要和考试中心同步题库，下载试卷，上传成绩答案的时候才会和考 试中心连接；考生参加考试的时候考点和外界是隔离的；通过这样构造 一个安全的封闭式考试环境。 3 4 考试系统的软件结构 n c a e 系统软件由考试中心和考点系统两个相对独立的子系统组 成，两个子系统之间通过中心考点数据交互模块实现数据互传。中心 系统包括题库管理模块、中心管理系统( 包括试卷模板管理模块、评 卷模块、成绩查询模块、中心考试信息维护模块和中心一考点数据传 输处理模块等) 。考点系统包括学生测试模块，考点管理系统( 包括教 师监控模块、学生抽卷模块、考点考试信息维护模块等) 。各模块通过 网络和数据库共享数据，协同运作。中心和考点之间的关系如图3 2 所 示。几个重要模块的功能分析如下： 北京交通大学硕士学位论文 豢 j 十卜考点数l _ l 据传输处理模块i 图3 - 2 考试系统软件功能模块关系 3 5 考试系统的功能模块简介 一组卷系统： 包括试卷模板生成，试卷抽取等功能。这种基于模板的组卷策略 简化了组卷过程，而且生成的模板可以重复使用，减轻了组卷的工作 量。试题模板都可以修改、删除和保存打印。 注册及查询系统： 本模块主要实现考生基本信息的注册、基本信息及考试信息的查 询以及部分信息的修改功能。注册和查询模块就像考试系统的大门， 它只会让有认证身份的考生登陆考试系统，而把一切的非法登陆和攻 击拒之n i d f 。身份认证安全性是考试系统的第一道安全。 _ 代金券管理： 每个办理考试业务的考点，在考试前必须根据本考点已申请考试 人的情况购买代金券，在买到代金券之后，考试中心才会许可其申请 试卷。购买过程是首先将一定金额的款项汇到指定的帐户，汇款到户 n c a e 考试系统体系结构 后，考点管理员就可登录到考试中心代金券申请页面，根据本考点的 准备安排的考试类型填入要购买的各种代金券的数目，按确定后考试 中心会给其生成此次申请的代金券放入到代金券库中。并从其帐户扣 出所需费用。代金券管理模块涉及到了考试系统的财务安全性问题， 如何保证考试系统可以健康，正常的运行，财务是很重要的一个方面。 _ 证书发放： 为考试通过考生生成证书。 一中心一考点数据交互模块： 可通过互联网进行中心数据库和考点数据库之间的数据互传，并 能够对每次考试进行数据备份和恢复，以防止意外情况的发生，影响 整个考试过程。数据在传输的过程中要对传输的敏感数据进行加密传 输，保证数据的机密性。接收方收到数据后要对数据的完整性进行验 证，保证数据来源的可靠性。 - 学生考试模块： 试题的显示和做答可以在一个窗口中完成，窗口中以树状引导栏 方式组织试题，并及时显示考生对每道题的答题情况。窗口中还提供 了倒计时和考生基本信息显示，能方便学生把握时间和监考老师的检 查，系统会在限定的时间到达时自动提交试卷，因而可以做到考生随 到随考。 一考点监控模块： 将考生的考号和机器l p 地址进行绑定以防考生作弊，同时收集数 据库中相关记录信息确定考生的考场行为，考生的考场行为划分为正 常、缺考、作弊三类。教师可根据需要对所有在线考试的学生发送信 息，对考生意外情况的重考进行管理。 北京交通大学硕士学位论文 一考点业务管理： 主要处理与考试相关的考点业务。如考点过期问题，考生注册未申请 考试的处理问题。 题库模块 题库部分是整个系统的基础，它存储了所有的试题，以及各试题 的解答、说明、难度值等所有属性。对于题库的设计，有一下要求： 题库需要能够存储各种类型的试题，它们包括在传统的考试中所 包含的各种文字题型，如填空题、选择题、问答题、改错题、阅读理 解、完形填空等，对于试题中的公式，符号等内容，都应在题库中以 适当形式保存，以便显示。除此之外，题库还应该具有存储多媒体数 据的能力，如声音、图片、视频等。 题库必须针对考试的科目进行分类和组织，以便于计算机自动出 卷时选择合适的试题。即使在同一个科目内，也要针对试题的章节、 层次和难度进行交叉划分。 必须建立良好的题库维护工具。题库维护工具有良好的输入界面， 并能以各种视图显示各个题库的结构和分类消息，使题库的管理工作 更方便。可以对所有题型以统一的格式批量导入试题，由于录题老师 只要记住一种格式，因而提高了集中录题的准确性和效率。同时提供 对题库中试题的一切必要操作，如插入、删除、修改、查询和统计。 该模块还包括了考生信息导入子模块。题库模块的安全性是整个考试 系统安全性的重点和关键，一个考题泄漏的考试是没有意义的。 题库中还应包含对试卷类型的定义，包括对试卷中包含的大题、 小题的类型数目，各种题所占分数，考试时间等进行详细定义，当计 算机自动出卷时，就按照这个框架从题库中抽取试题填入其中。 1 6 n c a e 考试系统体系结构 3 6 考试系统中的分布式数据库结构 分布式数据库系统是由若干个站集合而成。这些节点在通信网络 中联接在一起，每个站都拥有各自的数据库，分布式数据库系统可以 看做是一系列数据库系统的结合。它们在逻辑上属于同一个系统，但 在物理上是分布式的。 分布式数据库系统已经成为信息处理学科的重要领域，正在迅速 发展之中，主要有以下几点优势： ( 1 1 它可以解决组织结构分散而数据需要相互联系的问题。比如远 程考试系统由于数据中心与各分站点处于不同的地域，在使用上需要 自己处理各自的数据，又需要彼此之间的交换合处理。 ( 2 ) 如果一个组织机构需要增加新的相对自主的组织单位来扩充 机构，分布式数据库系统可以在方便的进行扩充。比如考试系统中可 以很方便的增加新的考点服务器，也不影响其他站点的工作。同样， 一个考点的故障，也不会影响到中心服务器和考点服务器的正常运行。 这种耦合度低的特性很适合考试系统这种业务不断变化的情况。 随着i n l e m e t 的广泛应用以及a s p ，j s p 等技术的不断成熟，浏览 器朋臣务器这种模式被越来越广泛的应用于分布式系统中。在这种b s 模式下，不同的远程客户端对同一个中心数据库进行操作，使数据库 的维护工作变得十分简单。但是在这种模式下也存在着许多缺点，例 如数据提交的速度受到了网络带宽的限制。这使得当分布式应用系统 的各个结点对本地程序的运行速度的要求较高的时候，浏览器服务器 这种模式就不能满足需求。在这种情况下，最好的方式是采用分布式 数据库系统，在各个分布结点建立自己的数据库，应用程序分别对本 1 7 北京交通大学硕士学位论文 地数据进行快速操作，然后在向中心数据库统一提交，由此产生了分 布式数据库系统。 在n c a e 考试系统中，为了满足考试过程巾实时性要求高的特性， 采用了分布式数据库技术。但是由于分布式数据库是暴露在i n t e r n e t 网 上的，因此如何保证分布式数据库在数据交互中的安全性就是一个保 证考试系统有一个安全，可靠的环境的关键。考试系统是建立在一个 完全开放的w e b 访问，半开放式的考试环境中。一个中心服务器，多 个考点服务器。学生的注册信息，对考试信息的查询和注册都是通过 开放的w e b 方式直接访问中心服务器。而在考试环境中，既要求保证 实时性，又要求有一个严格安全的环境，我们就把考试客户端和w e b 的连接断开，而是直接和局域网内的考点服务器连接。在考试结束后， 才由考点服务器和中心服务器进行数据交互，备份数据等工作。 1 8 n c a e 考试系统的安全需求和安全策略 4n c a e 考试系统的安全需求和安全策略 4 1 安全性需求分析 n c a e 考试系统从总体结构上可以分为三个结构层次，中心服务 器、考点服务器、中心和考点连接部分，这三个方面的安全性就构成 图4 - 1 考试系统安全需求总体结构图 1 9 北京交通大学硕士学位论文 4 1 1 中心部分 考试中心部分包括考试系统的中心数据库服务器，w e b 服务器， 系统运行的程序以及考试系统存在的物理环境。它是n c a e 考试系统 的核心部分，中心的安全性直接关系到整个考试系统的安全性，影响 到考试系统是否可以正常运行。考生中心的安全部分可以划分为： 不合法用户的非法连接访问问题。 n c a e 考试系统的中心部分是面向i n t e r n e t 的，考点，考生的注册， 考试服务的申请等都是在中心完成的。任何一个连接在i n t e r n e t 的客户 端都可以访问中心服务器，如果非法，恶意用户来登陆访问中心服务 器，破坏中心服务器的程序，造成w e b 服务器不能够提供正常的服务， 会使考试中心不能正常运行；对于考试数据库服务器中的数据信息进 行恶意的修改和删除，会给整个系统造成不可估计的损失。 合法登陆用户对系统的操作越权问题。 对于系统的合法登陆用户，每个用户都是有不同的管理和操作权 限，如中心管理人员可以修改题库，生成试卷，但是他们不能去访问 系统的财务数据；考生只能对自己的个人信息进行修改，查询自己的 考试情况，而不能去查看别人的考试信息，也不能直接去访问试卷以 及题库信息；即我们要保证一个最小权限的原则：一个合法登陆的用户 既要保证他能够顺利的进行工作，也要保证赋予用户的权限是不影响 其正常工作下最小的权限。 考试中心数据库的安全问题。 数据库系统安全主要有两层含义：第一层是指系统运行的安全， 它包括：法律、政策的保护，如用户是否有合法权利，政策是否允许等； 2 0 n c a e 考试系统的安全需求和安全策略 物理控制安全，如机房加锁：硬件运行安全；操作系统安全，如数据 库文件是否保护等；灾害，故障恢复：死锁的避免和解除；电磁信息 泄漏防止。第二层是指系统信息安全，它包括，用户口令字鉴别；用 户存取权限控制；数据存取权限，方式控制，审计跟踪，数据加密。 中心服务器的数据库中存放着所有的考试系统的数据。这些数据 库存放的重要数据包括： ( 1 ) 题库表d bq u e s t i o n ，保存了考试系统中的所有试题，是抽 题模板选择题目的数据来源。 ( 2 ) 试卷备份表d b 会将考试成绩，答案，以及监考人员等考试管理信息都在中- t l , 服务 器的曲t e s t 表中备份。 ( 3 ) 考点的信息表d bp o i n t ，保存了各个考点的注册时间，有 效期限，以及考点的公钥信息等关于考点的重要数据。 ( 4 ) 代金券管理表d b _ 4 0 k e n 表管理着每个考点拥有的代金券的 数量。 这些数据暴露在网络下，随时可能会受到非法用户的恶意攻击， 篡改，窃取，破坏。数据库应该让每个有权限的用户正常的使用数据 库中的数据，同时还要拒绝为非法连接的用户提供任何数据。在网络 访问数据库中，仅仅依靠d b m s 提供的安全措施是不能满足考试系统 的安全的。我们必须在设计安全措施，保证考试系统数据库的安全性 4 1 2 考点部分 考点服务器的安全性也是考试部分一个很重要的组成部分，考点 部分和中心部分最大的区别是考点服务器是在一个局域网内的，他没 有提供面向i n t e m e t 的访问，只有考生和考点的管理人员才可以登陆考 北京交通大学硕士学位论文 点服务器，考点管理人员和考生有着各自不同的权限。 ( 1 ) 考点管理人员在考点的权限有，试卷的下载，题库的更新和同 步，考试结束答案和成绩的上传，为合法考生批准考试，考场纪律的 维持，还有维整个考点的正常运行，使之和中心的可以正常通信。 ( 2 ) 考生在考点报名参加考试。 考点部分的安全性有不同于中心服务器的特点：考点分布广泛， 考点管理人员多而且很难统一管理，他们都没有经过统一的安全培训， 安全意识较差，但是这些考点管理人员却在考点服务器上的很大权限， 因此要保证考试的题库，试卷等重要数据不从考点泄漏是考试系统安 全非常重要一一环。 考生在考试客户端方面，有如下安全需求 ( 1 ) 不合法考生冒充，替考 ( 2 ) 某些考生在多台机器上同时登陆考试 ( 3 ) 某些考生在考试结束后仍然考试 ( 4 ) 某些考生将考试信息备份在本机上。 ( 5 ) 对于正在参加考试的考生，和考场外的通信，试题泄漏，影响 考试的正常进行。 4 1 3 传输部分 考点和考试中心之间传输数据主要是下载的数据：中心服务器把 最新的题库下载到考点服务器：中心服务器把考点服务器的申请的试 卷下载考点服务器；中心服务器把考点服务器的管理人员信息下载到 考点服务器。上传的数据是：考点服务器将考生的成绩，答案等考试 n c a e 考试系统的安全需求和安全策略 信息上传到中心服务器备份。这些数据都是通过i n t e r n e t 来进行传输的， 在i n t e m e t 上传输数据的过程中，这些数据可能会受到以下几种类型的 攻击： ( 1 1 截获，在中心服务器和考点服务器之间交换的数据，是以i n t e r n e t 作为传输媒介的，在i n t e r n e t 传输的数据，很容易在传输的过程中，被 恶意的非法偷听通信双方的通信内容，提前获知考试内容。使考试系 统的考试失去公正性。 ( 2 ) 中断，在中，t ：, l t 务器和考点服务器通信的过程中，被非法用户 恶意中断两者的数据传输，造成通信故障。 ( 3 ) 篡改，是指在考试系统的通信过程中，恶意篡改了考试系统的 通信数据。造成数据的完整性被破坏。 ( 4 ) 伪造，在考试系统中，未授权的用户假冒考点的身份向中心申 请试卷或者是假冒中心的身份向考点索取考试结果，造成考试信息外 泄。 4 2 安全策略 针对n c a e 考试系统的安全性需求分析，应该采取不同的安全策 略去解决考试系统的各种安全问题。我们还是从中心部分，考点部分， 中心和考点连接部分来分析考试系统安全策略 4 2 1 中心部分安全策略 4 2 1 1 身份认证策略 考试中心通过身份认证来确认登陆用户是否为一个合法用户身 北京交通大学硕士学位论文 份，验证的基本思想就是：通过验证被认证对象的属性来达到确认被 认证对象是否真实有效的目的。一般网络中验证对象所用的对象的属 性就是用户名和密码，但是单纯的”用户+ 密码”的模式是绝对不能满足 信息安全的需求的，其认证方式存在许多问题，最明显的是以f 几种： _ 网络数据流窃听。许多认证系统的口令是作为未经加密的明文 在网络上传递，易被窃听，分辨并提取； 一认证信息截取，重放。即使认证信息简单加密后进行传输，供给 者也可以通过窃听进行截取厘放。 _ 字典攻击。某些攻击者会使用字典中的单词尝试用户的密码 - 穷举尝试。使用字符串的全集作为字典，是一种特殊的字典攻 击。 因此，单纯的依靠口令认证方式进行身份认证，会给系统的安全 性带来极大的危害。 为此，要为考试中心提供一个安全的身份的认证，就必须在”用户 + 密码”的模式上加以改进，设计出一种符合考试系统的身份验证方式； 要设计出种符合n c d 2 考试系统的身份认证方案，我们首先先 分析一下考试系统中的人员结构。在考试中心中，可以大致分为一下 两类人员， _ 考生： - 管理人员： n c a e 考试系统的安全需求和安全策略 中心管理人员 考点管理人员 中心数据库d b a l | 心财务管理人员 管理人员拥有管理考试中心的权限，他们可以更改题库，登陆数 据库等，他们对于系统有一定的更改权限，对于这类用户他们的身份 验证一定是要严格的，为了防止不法人员在考试系统用户的验证过程 中，通过监视网络数据包来窃取用户i d ，密码。c h a n g 和l i a o 在文献 【3 】中提到的口令验证方案是将口令验证与数字签名方案紧密结合。在 考试系统中，我们借鉴了这个思想，设计了基于r s a 的身份认证的方 案，即用户需要用自己的r s a 私钥对身份i d 进行加密，生成身份l d 的密文，然后连同身份i d 的明文和口令一同提交给考试系统中心服务 器进行验证，中心则需要分别验证加密的信息和口令，只有这两种方 式的验证都通过的用户，才是系统合法用户。我们采用这种身份验证 的策略来实现系统对业务方的可认证性，从而保证考试系统登陆用户 的合法性和有效性验证。 这个方案可以很好的解决”用户+ 密码”给系统带来的危害，但是， 它也有一些局限性就是需要为每个登陆人员分配一对密钥，私钥用 户自己保存，考试系统也不知道用户的私钥，公钥由系统加以保存； 在登陆的时候，由于r s a 算法的复杂性，大量的用r s a 算法加密 解密数据会给系统带来性能上的问题。考试系统的人员中考生人员的 数量最大，流动性也非常的大，而且很多考生是参加了一次考试就不 会在参加考试了，如果为每个考生都分配一对密钥，不仅存储和管理 他们的公钥都寸分的困难，也会影响考试系统的整体性能，浪费大量 北京交通大学硕士学位论文 的磁盘空间去保存这些考生的公钥信息。考虑到考生虽然在考试系统 人员分配上数量有很大的优势，可是权限确是最小的( 他们只是有对自 己考试信息只读权限，个人信息的读写权限) ，为了保证考试系统的性 能需求，同时为了减少不必要的系统开销，我们对考生的身