摘要：針對(duì)現(xiàn)行在線考試系統(tǒng)的安全問題，引入PKI安全體系，設(shè)計(jì)了基于PKI安全體系，MD5、RSA、CPRS三重加密保護(hù)的在線考試系統(tǒng)，主要結(jié)構(gòu)較基本考試系統(tǒng)增加了CA、RA、證書管理機(jī)構(gòu)、加解密模塊等，實(shí)現(xiàn)了高效安全的在線考試系統(tǒng)。

關(guān)鍵詞：在線考試；PKI；MD5；RSA；CPRS

中圖分類號(hào)：TP393 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）16-3722-02

1 概述

為了響應(yīng)國家建設(shè)節(jié)約型社會(huì)的倡導(dǎo)，對(duì)學(xué)校教學(xué)也提出了無紙化的要求，計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，由此在線考試應(yīng)運(yùn)而生，在線考試有四大優(yōu)點(diǎn)，首先避免了大量試卷的印刷，實(shí)現(xiàn)了無紙化教學(xué)；其次減輕了教師的負(fù)擔(dān)，存儲(chǔ)題庫可自動(dòng)生成試卷，自動(dòng)閱卷，人工與自動(dòng)化相結(jié)合，互相補(bǔ)充；然后在一定程度上可測(cè)試學(xué)生的真是水平，可一次考試中參考著考卷各異，一次作答，限時(shí)自動(dòng)提交，避免收卷前作弊；最后在線考試提供了靈活的考試環(huán)境，考生可以在有網(wǎng)絡(luò)的地方進(jìn)行測(cè)試，系統(tǒng)服務(wù)器及數(shù)據(jù)庫易于維護(hù)。

但是現(xiàn)行在線考試系統(tǒng)在使用的同事也暴露了很多安全性的問題，因?yàn)榫W(wǎng)絡(luò)訪問，數(shù)據(jù)庫管理不善則極易泄露；數(shù)據(jù)在網(wǎng)絡(luò)傳輸時(shí)，復(fù)用網(wǎng)絡(luò)信道明文傳輸，容易被劫持盜取；參加在線考試的人員賬號(hào)沒有良好的限定，容易產(chǎn)生代替考試等問題。

2 在線考試系統(tǒng)基本結(jié)構(gòu)及存在的安全問題

1） 用戶層包括考生、評(píng)閱老師、出題人、管理者等，這是在線考試系統(tǒng)的使用用戶，整個(gè)系統(tǒng)都是為用戶層服務(wù)的；

2） 應(yīng)用層是為用戶提供顯示、操作等與服務(wù)器之間互動(dòng)的交互層，他為不同的用戶提供不同的操作，考生考試、教師評(píng)閱、管理者管理系統(tǒng)等操作都是在這一層完成的；

3） 傳輸層是用戶層與服務(wù)層的傳輸介質(zhì)，主要為Internet網(wǎng)絡(luò)，實(shí)現(xiàn)應(yīng)用層與服務(wù)層之間的信息傳輸，應(yīng)用層與服務(wù)層的xml文檔交互，服務(wù)測(cè)向應(yīng)用層發(fā)送試卷的多媒體信息都是通過傳輸層完成的；

4） 服務(wù)層是整個(gè)系統(tǒng)的服務(wù)定制層，在線考試系統(tǒng)能完成什么樣的任務(wù)都是在服務(wù)層中實(shí)現(xiàn)的，包括考試模塊、評(píng)閱模塊、管理模塊等；

5） 數(shù)據(jù)層是整個(gè)系統(tǒng)的數(shù)據(jù)存放層，用來存儲(chǔ)系統(tǒng)的用戶信息、試題數(shù)據(jù)、多媒體信息等。

2.2在線考試系統(tǒng)存在的安全問題

基本的在線考試系統(tǒng)存在三點(diǎn)安全隱患，在用戶層與應(yīng)用層之間，缺乏完善的認(rèn)證措施，實(shí)際用戶可能會(huì)偽裝成合法用戶進(jìn)入應(yīng)用層操作；在應(yīng)用層與服務(wù)層之間的數(shù)據(jù)交換也存在安全問題，應(yīng)用層與服務(wù)層之間不能互相確定合理身份，可以偽裝成應(yīng)用層或者服務(wù)層竊取數(shù)據(jù)；在傳輸層上的明文數(shù)據(jù)傳輸過程中也存在被劫持竊取的可能。

3 基于PKI安全體系的在線考試系統(tǒng)設(shè)計(jì)

3.1 系統(tǒng)設(shè)計(jì)方案

2在線考試加解密方案

3.2.1應(yīng)用層的本地認(rèn)證

用戶在注冊(cè)在線考試系統(tǒng)時(shí)錄入用戶的賬戶和密碼，利用攝像頭、指紋識(shí)別器等設(shè)備對(duì)用戶進(jìn)行信息采集，將用戶的密碼等信息以MD5算法[5]加密，將加密后的散列值作為用戶的簽名保存，用戶在登陸是需輸入正確的賬戶密碼，應(yīng)用層的MD5加密算法會(huì)將密碼加密與保存的MD5值進(jìn)行比對(duì)，確認(rèn)用戶身份是否合法，對(duì)用戶進(jìn)行人臉識(shí)別或指紋識(shí)別[6-7]等人體特征信息算法，確認(rèn)用戶身份合法后用戶方可登陸系統(tǒng)進(jìn)行權(quán)限內(nèi)操作。

3.2.2應(yīng)用層與服務(wù)層交互操作認(rèn)證

為保證應(yīng)用層與服務(wù)層之間傳遞信息的安全性，用戶身份的確認(rèn)性，需采用公私鑰加解密，本方案采用RSA算法[8]，用戶向RA申請(qǐng)證書，審查允許后CA生成一對(duì)公私鑰授予用戶，并保存在證書庫中。用戶在使用考試系統(tǒng)時(shí)，按照PKI安全體系，進(jìn)行七次握手協(xié)議：

1）用戶使用服務(wù)器的公鑰加密用戶簽名及用戶的公鑰等信息作為申請(qǐng)發(fā)送到服務(wù)器；

2）服務(wù)器接受到申請(qǐng)信息后使用私鑰解密后，與數(shù)據(jù)庫中保存的信息進(jìn)行比對(duì)，驗(yàn)證無誤后以用戶公鑰加密服務(wù)器簽名等數(shù)據(jù)作為確認(rèn)信息發(fā)送給用戶；

3）用戶收到確認(rèn)信息后使用私鑰解密，將服務(wù)器簽名與本地保存數(shù)據(jù)進(jìn)行比對(duì)，無誤后，將此確認(rèn)信息再用服務(wù)器公鑰加密發(fā)送給服務(wù)器；

4）服務(wù)器確認(rèn)用戶為合法用戶，將用戶的權(quán)限加密后發(fā)送給用戶；

5）用戶收到信息解密，確認(rèn)自己的權(quán)限，將自己需要的操作加密后發(fā)送給服務(wù)器；

6）服務(wù)器收到信息后解密確認(rèn)用戶操作可行，加密用戶操作可用等數(shù)據(jù)發(fā)送給用戶；

7）用戶接收信息解密，確認(rèn)后加密操作開始信號(hào)發(fā)送給服務(wù)器；

8）認(rèn)證結(jié)束，服務(wù)器向用戶發(fā)送操作數(shù)據(jù)。

3.2.3數(shù)據(jù)流加密

系統(tǒng)使用混沌偽隨機(jī)序列加密算法（CPRS）[9]對(duì)數(shù)據(jù)流進(jìn)行加密，在應(yīng)用層與服務(wù)層的七次握手協(xié)議中，已經(jīng)協(xié)商生成了混沌偽隨機(jī)密鑰，服務(wù)層將即將發(fā)送給用戶的數(shù)據(jù)使用密鑰加密后打包發(fā)送至應(yīng)用層，應(yīng)用層密鑰解密后顯示給用戶。

加密方法使用一次一密，即每次操作后，都協(xié)商生成一個(gè)新的序列加密密鑰，使用此密鑰對(duì)數(shù)據(jù)流進(jìn)行加解密。假如數(shù)據(jù)流在網(wǎng)絡(luò)傳輸時(shí)被竊取，竊取者獲得的是密文內(nèi)容，也沒有密鑰對(duì)數(shù)據(jù)解密，無法獲取數(shù)據(jù)內(nèi)容。即便竊取者對(duì)數(shù)據(jù)加密進(jìn)行破解，密鑰被破解后此密鑰的生命周期也早已結(jié)束，一次一密是保證流加密有效性的關(guān)鍵。

4 結(jié)束語

在線考試系統(tǒng)的設(shè)計(jì)實(shí)現(xiàn)為學(xué)生和教師提供了靈活、便捷的評(píng)價(jià)平臺(tái)，本系統(tǒng)通過引入PKI安全體系，融合MD5、RSA和CPRS三重加密保護(hù)在線考試的數(shù)據(jù)安全性。在PKI安全體系的架構(gòu)基礎(chǔ)上，許多安全標(biāo)準(zhǔn)可以引入考試系統(tǒng)，是系統(tǒng)中的數(shù)據(jù)通信安全得到保障。多重加密算法既保證了信息的安全，又不對(duì)服務(wù)器，數(shù)據(jù)通信產(chǎn)生過多的壓力。

參考文獻(xiàn)：

[1] 蔣理. 網(wǎng)絡(luò)考試系統(tǒng)設(shè)計(jì)[J]. 微機(jī)發(fā)展， 2000（6）：71-72.

[2] 胡如會(huì). 基于B/S網(wǎng)絡(luò)考試系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].畢節(jié)學(xué)院學(xué)報(bào)， 2009（4）.

[3] 荊繼武， 林璟鏘， 馮登國. PKI技術(shù)[J].北京：科學(xué)出版社， 2008.

[4] 羅希平，田捷. 自動(dòng)指紋識(shí)別中的圖像增強(qiáng)和細(xì)節(jié)匹配算法[J]. 軟件學(xué)報(bào)， 2002，13（5）： 946-956.