网络考试系统的安全保障技术探究.docVIP

网络考试系统的安全保障技术探究 　　【摘要】基于网络的无纸化考试系统具有无可比拟的优势，但由于网络开放性的特点，考试系统面临安全性、稳定性等方面的挑战。本文就系统遇到的安全问题进行分析、探究，给出了相应的解决办法，提高了系统的安全性。 　　【关键词】考试系统;安全;MD5 　　1.引言 　　近年来互联网已经渗透到了社会生活的方方面面，为人们的学习、工作、生活、娱乐带来了极大的便利。为了适应现代化教育的特点，传统的纸质考试与现代的网络技术相结合，孕育出了网络考试系统这一新型的考试模式。网络考试系统有效地克服了传统纸质考试的缺点，具有高效、灵活、便捷等特点，得到国内外教育界的一致推崇和普遍采用。 　　但是，由于互联网是面向公众开放的，任何个人和集体都可以对网络中的主机或系统进行攻击，这就对暴露在互联网中的考试系统的安全性提出了严峻的挑战。对于网络考试系统，安全问题是重中之重。 　　2.网络考试系统的发展现状及存在问题 　　早期的网络考试系统应用于局域网的比较多，这类考试系统一般采用C/S结构，即客户机服务器结构。随着互联网的飞速发展，C/S结构的弊端越来越明显，这种低效率、高成本的架构模式已经不能满足时代的需要了。 　　当前流行的B/S结构是C/S结构的一种变化和改进，它将浏览器作为了客户端，降低了客户端的维护成本。B/S结构具有分布性强、维护便利、易开发的优点。基于该结构的考试系统不受地域的约束，适用于大规模的考试。但B/S结构存在很多缺陷，这些缺陷体现在安全性和稳定性上。本文在对网络考试系统存在的安全问题作重点分析的基础上，进一步探究网络考试系统的安全保障技术，并提出合理解决策略。 　　3.网络考试系统安全分析 　　3.1 数据安全 　　考试系统数据库存储的数据包括考题、答案、成绩、考号、密码等。这些都是极其容易被他人窃取或篡改的信息。常见的数据库攻击包括口令入侵、特权提升、漏洞入侵、SQL注入、窃取备份等。对于这些攻击的防范仅仅靠数据库自身的安全机制是远远不够的。这就需要我们对数据进行加密处理。 　　3.2 身份认证 　　类似于传统考试前的身份证件检查，网络考试也需要实现身份验证，这样才能有效防范代考的现象。不合理的身份验证体系会造成各类人员的越权访问，给参考人员窃取考题提供条件，直接对题库安全造成威胁。 　　3.3 访问控制 　　考试要实现公平公正，必须限制考生参加考试的时间和地点。除此之外，考生的考号和IP地址也必须加以限制，并实现绑定，以防范考生恶意攻击考试系统。访问控制可以通过对服务器的设置来实现。 　　3.4 考场舞弊防范 　　为保证考试的公正性，考场舞弊行为必须严加禁止。要实现这一目的，考试系统必须要保证试卷的随机生成，并设计完善的自动组卷策略，使每一个考生的试卷题目都不相同。即使有相同题目，顺序也是不同的，这样就可以最大限度减少作弊现象。此外，还要防止考题泄露，防止考生复制考题并将考题通过网络传输出去。 　　4.考试系统的安全保障技术 　　4.1 数据库安全保障技术 　　数据库的安全是考试系统正常稳定运行的关键。加密技术是保证数据库安全的最有效、最易实现的技术。目前，国际上普遍使用MD5算法加密用户名和密码，这种算法具有很强的灵活性和不可恢复性，可以有效地保障数据库安全稳定。 　　4.1.1 MD5算法 　　MD5即Message-Digest Algorithm 5（消息摘要算法第五版）的简称，是当前计算机领域用于确保信息传输完整一致而广泛使用的散列算法之一（又译哈希算法、摘要算法等），主流编程语言普遍已有MD5的实现。 　　MD5将任意长度的“字节串”变换成一个128bit的大整数，、。经过程序流程，生成四个32位数据，最后联合起来成为一个128-bits散列。基本方式为，求余、取余、调整长度、与链接变量进行循环运算，得出结果。MD5算法是一个不可逆的变换算法，即不可能有MD5的值反推除原始字符串。 　　4.1.2 MD5加密代码实现 　　MD5类是.NET中System.Security.Cryptography命名空间下的一个类，主要是用来解决MD5单向数据加密，也是用于加密数据库中用户名和密码的类。 　　以下是考试系统MD5加密主要源代码： 　　/// lt;summarygt; 字符串MD5加密lt;/summarygt; 　　/// lt;param name=”codeName”gt;编码类型lt;/paramgt; 　　/// lt;param name=”sourceString”gt;需要加密的字符串lt;/paramgt; /// lt;returnsgt;MD5加密后字符串lt;/returnsgt; 　　Publi