基于PKI安全体系的在线考试系统研究

　　摘要：针对现行在线考试系统的安全问题，引入PKI安全体系，设计了基于PKI安全体系，MD5、RSA、CPRS三重加密保护的在线考试系统，主要结构较基本考试系统增加了CA、RA、证书管理机构、加解密模块等，实现了高效安全的在线考试系统。
　　关键词：在线考试；PKI；MD5；RSA；CPRS
　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2013）16-3722-02
　　1 概述
　　为了响应国家建设节约型社会的倡导，对学校教学也提出了无纸化的要求，计算机和网络技术的飞速发展，由此在线考试应运而生，在线考试有四大优点，首先避免了大量试卷的印刷，实现了无纸化教学；其次减轻了教师的负担，存储题库可自动生成试卷，自动阅卷，人工与自动化相结合，互相补充；然后在一定程度上可测试学生的真是水平，可一次考试中参考着考卷各异，一次作答，限时自动提交，避免收卷前作弊；最后在线考试提供了灵活的考试环境，考生可以在有网络的地方进行测试，系统服务器及数据库易于维护。
　　但是现行在线考试系统在使用的同事也暴露了很多安全性的问题，因为网络访问，数据库管理不善则极易泄露；数据在网络传输时，复用网络信道明文传输，容易被劫持盗取；参加在线考试的人员账号没有良好的限定，容易产生代替考试等问题。
　　2 在线考试系统基本结构及存在的安全问题
　　1） 用户层包括考生、评阅老师、出题人、管理者等，这是在线考试系统的使用用户，整个系统都是为用户层服务的；
　　2） 应用层是为用户提供显示、操作等与服务器之间互动的交互层，他为不同的用户提供不同的操作，考生考试、教师评阅、管理者管理系统等操作都是在这一层完成的；
　　3） 传输层是用户层与服务层的传输介质，主要为Internet网络，实现应用层与服务层之间的信息传输，应用层与服务层的xml文档交互，服务测向应用层发送试卷的多媒体信息都是通过传输层完成的；
　　4） 服务层是整个系统的服务定制层，在线考试系统能完成什么样的任务都是在服务层中实现的，包括考试模块、评阅模块、管理模块等；
　　5） 数据层是整个系统的数据存放层，用来存储系统的用户信息、试题数据、多媒体信息等。
　　2.2在线考试系统存在的安全问题
　　基本的在线考试系统存在三点安全隐患，在用户层与应用层之间，缺乏完善的认证措施，实际用户可能会伪装成合法用户进入应用层操作；在应用层与服务层之间的数据交换也存在安全问题，应用层与服务层之间不能互相确定合理身份，可以伪装成应用层或者服务层窃取数据；在传输层上的明文数据传输过程中也存在被劫持窃取的可能。
　　3 基于PKI安全体系的在线考试系统设计
　　3.1 系统设计方案
　　2在线考试加解密方案
　　3.2.1应用层的本地认证
　　用户在注册在线考试系统时录入用户的账户和密码，利用摄像头、指纹识别器等设备对用户进行信息采集，将用户的密码等信息以MD5算法[5]加密，将加密后的散列值作为用户的签名保存，用户在登陆是需输入正确的账户密码，应用层的MD5加密算法会将密码加密与保存的MD5值进行比对，确认用户身份是否合法，对用户进行人脸识别或指纹识别[6-7]等人体特征信息算法，确认用户身份合法后用户方可登陆系统进行权限内操作。
　　3.2.2应用层与服务层交互操作认证
　　为保证应用层与服务层之间传递信息的安全性，用户身份的确认性，需采用公私钥加解密，本方案采用RSA算法[8]，用户向RA申请证书，审查允许后CA生成一对公私钥授予用户，并保存在证书库中。用户在使用考试系统时，按照PKI安全体系，进行七次握手协议：
　　1）用户使用服务器的公钥加密用户签名及用户的公钥等信息作为申请发送到服务器；
　　2）服务器接受到申请信息后使用私钥解密后，与数据库中保存的信息进行比对，验证无误后以用户公钥加密服务器签名等数据作为确认信息发送给用户；
　　3）用户收到确认信息后使用私钥解密，将服务器签名与本地保存数据进行比对，无误后，将此确认信息再用服务器公钥加密发送给服务器；
　　4）服务器确认用户为合法用户，将用户的权限加密后发送给用户；
　　5）用户收到信息解密，确认自己的权限，将自己需要的操作加密后发送给服务器；
　　6）服务器收到信息后解密确认用户操作可行，加密用户操作可用等数据发送给用户；
　　7）用户接收信息解密，确认后加密操作开始信号发送给服务器；
　　8）认证结束，服务器向用户发送操作数据。
　　3.2.3数据流加密
　　系统使用混沌伪随机序列加密算法（CPRS）[9]对数据流进行加密，在应用层与服务层的七次握手协议中，已经协商生成了混沌伪随机密钥，服务层将即将发送给用户的数据使用密钥加密后打包发送至应用层，应用层密钥解密后显示给用户。
　　加密方法使用一次一密，即每次操作后，都协商生成一个新的序列加密密钥，使用此密钥对数据流进行加解密。假如数据流在网络传输时被窃取，窃取者获得的是密文内容，也没有密钥对数据解密，无法获取数据内容。即便窃取者对数据加密进行破解，密钥被破解后此密钥的生命周期也早已结束，一次一密是保证流加密有效性的关键。
　　4 结束语
　　在线考试系统的设计实现为学生和教师提供了灵活、便捷的评价平台，本系统通过引入PKI安全体系，融合MD5、RSA和CPRS三重加密保护在线考试的数据安全性。在PKI安全体系的架构基础上，许多安全标准可以引入考试系统，是系统中的数据通信安全得到保障。多重加密算法既保证了信息的安全，又不对服务器，数据通信产生过多的压力。
　　参考文献：
　　[1] 蒋理. 网络考试系统设计[J]. 微机发展， 2000（6）：71-72.
　　[2] 胡如会. 基于B/S网络考试系统的设计与实现[J].毕节学院学报， 2009（4）.
　　[3] 荆继武， 林璟锵， 冯登国. PKI技术[J].北京：科学出版社， 2008.
　　[4] 罗希平，田捷. 自动指纹识别中的图像增强和细节匹配算法[J]. 软件学报， 2002，13（5）： 946-956.