考试系统数据库安全研究.docVIP

考试系统数据库安全性研究 摘要：信息化的发展也带动了高校信息化水平的发展。高校的考试系统就是高校数字化的一个典型应用。考试系统的数据库安全也需加以重视。本文通过不同的加密算法和身份认证来保证试题库的安全性和考试成绩的安全性，以此保证考试系统数据库的安全 关键字：加密算法、身份认证、数据库安全性 一、引言 随着信息化的发展，计算机在全国的各行各业都得以广泛的应用。但随着计算机的普及，其安全问题得到了社会广泛关注。而作为信息系统中的数据库系统肩负着数据存储和管理的任务，这些数据涉及诸多保密信息，这些数据信息的丢失、泄露和破坏将造成不可挽回的损失。因此数据库的安全是计算机信息系统安全的重要组成部分。 信息化的发展也带动了高校信息化水平的发展。高校的考试系统就是高校数字化的一个典型应用。考试系统的数据库安全也需加以重视。所谓考试系统数据库安全性就是指保护考试系统数据库的合法存取，保证数据的完整与一致[1]。本文将从试题库安全性和成绩安全性两方面来保证数据库的安全性。 二、试题库的安全性 高校的考试系统一般都是在考试中心（主管单位）的服务器中，我们在考试时会向主管单位申请考试试题。这样做的目的就是对试题库统一管理，在一定程度上保证了试题库的安全性。申请人员必须是通过身份认证的教师或管理员。 1、题库的加密 题库是考试的主要来源对象，如果题库一旦泄露，会造成不可挽回的损失。所以对于试题库的安全性，首先要对题库进行加密。为了保证题库的安全性和速度，我们采用三重DES加密算法。 由于试题库的数据并不是连续的字符串，所以我们需要对其进行预处理。当我们采用DES加密时，我们需要对信息串长度不是8的倍数进行填充，另外字符串前加有效数据长度以区别有效和填充数据，其字符串格式如下： 有效数据长度 有效数据 填充数据 通过三重DES加密算法，试题库通过两个密钥进行加密与解密，这样就保证了试题库的安全性[2]。 2、考试中心和教师或管理员的认证 教师或管理员在一定条件下会向考试中心提出申请，并需要通过身份认证。为了提高安全性，在不需要认识双方的情况下进行通信，我们采用PKI技术实现身份认证[3]。 首先考试中心会把证书发给申请人（教师或管理员），然后申请人使用第三方的公钥解密签名，通过此过程来确定是考试中心发过来的。同样的，申请人向中心发送证书，中心通过公钥解开签名，获得申请人的信息和公钥，然后将申请人映射到某一个永固红账号，以便对其进行权限控制。 在整个试题申请的对话过程中，我们对试题库采用对称加密，而对试题库密钥采用非对称加密算法。正如上一节所述，对试题库采用三重DES加密算法，然后对在传送时用公钥对试题库的密钥加密，然后在对试题库使用时，用对称加密算法解出题库。 三、考试成绩的安全性 考试成绩是数据库安全的一个关键问题。我们通过数据库安全管理、成绩的防查看等方法来保证考试成绩的安全性[4]。 1、数据库安全管理 数据库的安全管理主要采用验证登陆、角色权限控制等数据库的设置进行安全管理，这里我们不做重点介绍。 2、成绩防窃取 目前各个高校提倡只能查看自己的成绩，对其他人不公开，而且在成绩正式公布前，自己也无法查看成绩。这里我们对成绩进行三重DES加密算法进行一定的伪装，这样不仅起到成绩放窃取的功能，而且也能起到一定的防止成绩被篡改。 3、对成绩是否被修改或交换进行验证 由于之前的加密技术不能彻底的防止对成绩的篡改，但我们可以通过一定的方式来发现篡改对应的责任人。目前对成绩的篡改主要以下两种，第一种：直接修改分数，这个方式虽然无法得到成绩的明文，对成绩起到了一定的破坏作用，但可以通过技术手段恢复原来的成绩；第二种就是复制学习优秀同学的成绩，这样复制的密文，起到了篡改成绩的目的。 通过上面的分析，我们可以将学号和成绩进行捆绑，映射到一个字符串上，如果字符串被改变了，说明其成绩也被改变。通过上面的方法来验证成绩是否被修改。我们将映射的字符串做一个校验值。 这里我们同MD5来进行映射生成校验码。MD5将所有的数据都转化为128b的摘要。我们这里设为学生考号列，为成绩列，为散列字符，这时候，第n行表示成 这里, 通过以上式子，我们就能看到： ①如果修改了成绩，那么我们就能发现改动了； ②如果复制了成绩，把成绩变成了，那么我们可以看到也修改了； ③如果改动了，那么我们可以发现变动了。 从上面的分析可知，通过函数将学号和成绩捆绑后，就可以对成绩进行有效的判断是否被修改。如果被篡改了，那么新的验证码就会改变，如果发生了这个情况，就可以判定成绩已经被修改。这种判断方式的安全性取决于散列函数的安全性，由于散列函数本身具有不易破解的特征，故这种方法是有效的。 4、学生成绩的不可否认性 通过上面的方法可以保证判定成绩是否被修改，但还会遇到以下几个问题：如果修改者不承认被修