（計算機系統(tǒng)結(jié)構(gòu)專業(yè)論文）無紙化考試系統(tǒng)的應(yīng)用層通信安全機制研究與實現(xiàn).pdf

i 摘 要 計算機網(wǎng)絡(luò)技術(shù)的發(fā)展和應(yīng)用便利了社會、生活的方方面面，而無紙化考試更 作為一個具有廣泛前景的應(yīng)用領(lǐng)域變革了傳統(tǒng)的考試方式。隨著無紙化考試系統(tǒng)的 研究與發(fā)展，以互聯(lián)網(wǎng)技術(shù)為基礎(chǔ)的無紙化考試系統(tǒng)也同樣需要面對由互聯(lián)網(wǎng)絡(luò)帶 來的信息安全問題，因而對無紙化考試系統(tǒng)的應(yīng)用層通信安全機制展開全方位的研 究便具有較大的理論價值和現(xiàn)實意義。 在探討了無紙化考試系統(tǒng)的應(yīng)用層通信安全機制所涉及的相關(guān)技術(shù)以及無紙 化考試系統(tǒng)的體系架構(gòu)和安全需求的基礎(chǔ)上，從設(shè)計原則、各模塊功能的實現(xiàn)上進 行了詳細(xì)的分析與論述。闡述了無紙化考試系統(tǒng)的應(yīng)用層協(xié)議模型的設(shè)計，探討了 身份認(rèn)證模塊的構(gòu)成和工作流程，給出了數(shù)據(jù)加密模塊的加密策略。這些分析和設(shè) 計構(gòu)成了無紙化考試系統(tǒng)的應(yīng)用層通信安全機制實現(xiàn)的基礎(chǔ)。 在無紙化考試系統(tǒng)應(yīng)用層通信安全機制詳細(xì)設(shè)計的基礎(chǔ)上，給出了各功能模塊 中核心內(nèi)容的具體實現(xiàn)。討論了通信服務(wù)器和考場管理客戶端中的應(yīng)用層協(xié)議處理 流程，闡述了身份認(rèn)證模塊及其子模塊的功能實現(xiàn)，論述了數(shù)據(jù)加密策略的算法實 現(xiàn)細(xì)節(jié)。 實際應(yīng)用結(jié)果表明，所建立的應(yīng)用層通信安全機制能夠為無紙化考試系統(tǒng)提供 良好的安全通信保障，并具有較好的普適性和可擴展性，對增強類似應(yīng)用系統(tǒng)的安 全性具有一定的參考價值。 關(guān)鍵詞：無紙化考試，信息安全，應(yīng)用層通信，身份認(rèn)證，密碼體制 ii abstract development and application of the computer network technology makes convenience in all aspects of our society and life, and paperless examination as a widely prosperous subject field has changed the traditional examination method. along with the research and development of paperless examination system, the paperless examination system based on the internet technology has to face the information security problems brought by internet, hence it is with great value and practical significance to do the research of the communication in application layer omnidirectionally. based on the analysis of relevant technologies about the communication in application layer, the system architecture and the security requirement of paperless examination system, the design principle and the implementation of functional modules are particularized. the design of the application layer protocol model of paperless examination system is expounded, while the composition and workflow of the i dentity authentication module and the encryption strategy of the data encryption module are discussed. these analysis and design constitute the implementation foundation of the security mechanism about communication in application layer for paperless examination system. on the basis of the detailed design of the security mechanism about communication in the application layer for paperless examination system, the specific implementation of the core for every functional model is presented. the processing workflow for the application layer protocol of communication server and examination manager client are discussed. and then the functional implementation of the identity authentication module and its sub- modules are described, while the implementation details about the algorithm of encryption strategy is expounded. the practical application indicates that the security mechanism of communication in iii the application layer can provide an well security guarantee for paperless examination system, and it has great universality, good expansibility and certain reference value to enhance the security requirements of similar application systems. key words: paperless examination, information security, communication in application layer, identity authentication, cryptography 獨創(chuàng)性聲明 本人聲明所呈交的學(xué)位論文是我個人在導(dǎo)師指導(dǎo)下進行的研究工作及取得的研 究成果。盡我所知，除文中已經(jīng)標(biāo)明引用的內(nèi)容外，本論文不包含任何其他個人或 集體已經(jīng)發(fā)表或撰寫過的研究成果。對本文的研究做出貢獻(xiàn)的個人和集體，均已在 文中以明確方式標(biāo)明。本人完全意識到，本聲明的法律結(jié)果由本人承擔(dān)。 學(xué)位論文作者簽名： 日期： 年 月 日 學(xué)位論文版權(quán)使用授權(quán)書 本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，即：學(xué)校有權(quán) 保留并向國家有關(guān)部門或機構(gòu)送交論文的復(fù)印件和電子版， 允許論文被查閱和借閱。 本人授權(quán)華中科技大學(xué)可以將本學(xué)位論文的全部或部分內(nèi)容編入有關(guān)數(shù)據(jù)庫進行檢 索，可以采用影印、縮印或掃描等復(fù)制手段保存和匯編本學(xué)位論文。 保 密 ，在_年解密后適用本授權(quán)書。 不保密 。 （請在以上方框內(nèi)打“ v” ） 學(xué)位論文作者簽名： 指導(dǎo)教師簽名： 日期： 年 月 日 日期： 年 月 日 本論文屬于 1 1 緒論 1.1 課題研究背景 互聯(lián)網(wǎng)技術(shù)的迅速發(fā)展，使其以前所未有的深度和廣度滲透到社會生活的各個 方面，傳統(tǒng)的信息交互方式已然被基于互聯(lián)網(wǎng)技術(shù)的新方式所延伸或取代。電子郵 件、電子商務(wù)、電子政務(wù)、即時通訊和網(wǎng)絡(luò)游戲等互聯(lián)網(wǎng)技術(shù)應(yīng)用極大地豐富和便 利了人們的日常生活，而無紙化考試、網(wǎng)上閱卷等此類計算機輔助系統(tǒng)的使用更是 顛覆了相關(guān)的傳統(tǒng)工作模式，帶來了成本、效率上的顯著改善。然而，在互聯(lián)網(wǎng)技 術(shù)發(fā)展的同時，針對互聯(lián)網(wǎng)傳輸信息進行的竊取、截取、偽造、篡改、重放、冒充 等惡意行為越來越普遍，并給社會帶來了直接或者間接的經(jīng)濟損失。因此，互聯(lián)網(wǎng) 的信息安全問題亦成了必須被面對和解決的重要問題。 信息安全的內(nèi)涵伴隨著其發(fā)展與應(yīng)用在不斷地延伸，從最初的信息保密性發(fā)展 到信息的完整性、可用性、可控性和不可否認(rèn)性，進而又發(fā)展為“攻（攻擊） 、防 （防守） 、測（檢測） 、控（控制） 、管（管理） 、評（評估） ”等多方面的基礎(chǔ)理論 和實施技術(shù)。信息安全是一個綜合、交叉學(xué)科領(lǐng)域，它要綜合利用數(shù)學(xué)、物理、通 信和計算機諸多學(xué)科的長期知識積累和最新發(fā)展成果，進行自主創(chuàng)新研究，加強頂 層設(shè)計，提出系統(tǒng)的、完整的解決方案。與其他學(xué)科相比，信息安全的研究更強調(diào) 自主性和創(chuàng)新性，自主性可以避免“陷門” ，而創(chuàng)新性可以抵抗各種攻擊，適應(yīng)技 術(shù)發(fā)展的需求1。 無紙化考試系統(tǒng)將整個考試工作（試題導(dǎo)入、試題管理、試卷生成、試卷管理、 考試管理以及試卷評定等）全過程電子化、信息化和無紙化，從而克服了傳統(tǒng)的筆 試考試的許多弊端，并且降低了成本、提高了效率。然而，考試過程本身的公平、 公正性以及試題答案的安全、保密性仍然必須被保證，而這些需求的實現(xiàn)正是信息 安全領(lǐng)域所涉及和研究的范疇。因此，結(jié)合信息安全相關(guān)技術(shù)與無紙化考試系統(tǒng)特 點進行無紙化考試系統(tǒng)的應(yīng)用層通信安全機制的研究便具有了重要的意義和價值。 2 1.2 國內(nèi)外的研究現(xiàn)狀 1.2.1 無紙化考試的發(fā)展現(xiàn)狀 隨著計算機及通信技術(shù)為代表的信息技術(shù)的發(fā)展，各種各樣的無紙化考試系統(tǒng) 也應(yīng)運而生，但整個考試流程仍然是相同的，即：命題、考生報名、考生登錄、獲 取試題、開始考試、提交試卷、系統(tǒng)評分2- 4。由于各種考試系統(tǒng)都有很強的針對性， 各個系統(tǒng)的考試模式是不一樣的，根據(jù)考試系統(tǒng)的模式可以分為兩大類：單機模式 和網(wǎng)絡(luò)模式，而網(wǎng)絡(luò)模式又可分為b/s模式和c/s模式。 （1）單機模式：考試在單機上進行，又分兩種方法。第一種方法，將整個系統(tǒng) （包括系統(tǒng)管理和考試系統(tǒng)）都安裝在單機中，有多少機器考試就要安裝多少次系 統(tǒng)。這種方法的缺點是需要重復(fù)安裝，而且對系統(tǒng)安全性和成績回收都有較高的要 求，考務(wù)工作量以及系統(tǒng)升級維護工作量都相當(dāng)大，而優(yōu)點則是保持了系統(tǒng)的完整 性。全國計算機等級考試的單機版就是這樣進行。第二種方法，將系統(tǒng)管理模塊安 裝在管理員的一臺專用計算機中，由它來生成考卷。將己經(jīng)生成的考卷和考試系統(tǒng) 安裝在考試計算機中。這時，通常用一塊軟盤存儲考試系統(tǒng)和相關(guān)考卷。考生的答 卷就存放在軟盤中，考生考完以后，收回軟盤，再由管理員的專用計算機進行改卷。 這種方法無論從考務(wù)工作量、信息安全和成績回收上都存在重大缺陷，但其優(yōu)點是 考試組織比較靈活，管理人員不需要特別嚴(yán)格的培訓(xùn)，地域范圍廣。因此，這種方 法還大量存在于一般的中、小型考試。例如，有些地方的成人考試，高校學(xué)生計算 機考試常采用這種方式。 （2）網(wǎng)絡(luò)模式：考試通過互聯(lián)網(wǎng)（internet）和局域網(wǎng)（lan）進行。有c/s5 和b/s 6模式。c/s模式主要由客戶應(yīng)用程序、服務(wù)器管理程序和中間件三個部分組 成。在服務(wù)器上安裝考試服務(wù)器端的軟件及數(shù)據(jù)服務(wù)器，為學(xué)生分配考試試題，在 客戶機上安裝客戶端軟件，考生在客戶機上考試，從服務(wù)器上獲取試題，數(shù)據(jù)保存 在數(shù)據(jù)服務(wù)器上。c/s模式具有較強的交互性，在c/s中，客戶端有一套完整應(yīng)用程 序，在出錯提示、在線幫助等方面都有強大的功能，而且c/s模式提供了更安全的 3 存取模式，全國計算機等級考試網(wǎng)絡(luò)版、nit等都采用這種方法。b/s模式是一種以 web技術(shù)為基礎(chǔ)的系統(tǒng)平臺模式， 它把傳統(tǒng)c/s模式中的服務(wù)器部分分解為一個數(shù)據(jù) 服務(wù)器與一個或多個應(yīng)用服務(wù)器（web服務(wù)器） ，從而構(gòu)成一個三層結(jié)構(gòu)的客戶服務(wù) 器體系。b/s采用點對多點、多點對多點這種開放的結(jié)構(gòu)模式，并采用tcp/ip這一 類運用于internet的開放性協(xié)議，其安全性只能靠數(shù)據(jù)服務(wù)器上管理密碼的數(shù)據(jù)庫來 保證。世界范圍內(nèi)的“微軟認(rèn)證”考試就是采用這種方式進行。 無紙化考試代表著未來考試方式的改革與發(fā)展方向，使教師從出題、制卷、組 織監(jiān)考、閱卷判分、試卷分析等費時費力的傳統(tǒng)考試方式中解脫出來，極大地提高 考試及辦公的自動化水平和管理水平，降低規(guī)?？荚嚨某杀荆岣吖ぷ餍?，促進 教學(xué)與考試的規(guī)范統(tǒng)一，并使考試更加高效、公平與合理。 1.2.2 信息安全的發(fā)展現(xiàn)狀 信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護，不因為偶然 的或者惡意的原因而遭到破壞、更改或泄露，系統(tǒng)連續(xù)可靠正常地運行，使信息服 務(wù)不中斷。信息安全是一門涉及計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信 息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義來說，凡 是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理 論都屬于信息安全的研究領(lǐng)域7- 8。 現(xiàn)代信息系統(tǒng)中的信息安全的核心問題是密碼理論及其應(yīng)用，其基礎(chǔ)是可信信 息系統(tǒng)的設(shè)計與評估?？偟膩碚f，目前在信息安全領(lǐng)域所關(guān)注的焦點主要有以下五 個方面。 密碼理論與技術(shù) 密碼理論與技術(shù)主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)（包括公鑰密 碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、hash函數(shù)、身份識別、密鑰管理、 pki 技術(shù)等）和非數(shù)學(xué)的密碼理論與技術(shù)（包括信息隱形、量子密碼、基于生物特 4 征的識別理論與技術(shù)等）9。 目前，基于數(shù)學(xué)的密碼理論與技術(shù)主要有 des、tea、rsa、idea、dsa 等 密碼算法。而對非數(shù)學(xué)的密碼理論與技術(shù)主要有圖像疊加、數(shù)字水印、潛信道、隱 匿協(xié)議等信息隱藏技術(shù)，識別手形、指紋、語音、視網(wǎng)膜、虹膜、臉形、dna 等 生物特征識別技術(shù)，基于單光子量子信道中測不準(zhǔn)原理、基于量子相關(guān)信道中 bell 原理以及基于兩個非正交量子態(tài)性質(zhì)的量子密碼技術(shù)。 安全協(xié)議理論與技術(shù) 安全協(xié)議的研究主要包括兩方面內(nèi)容，即安全協(xié)議的安全性分析方法研究和各 種實用安全協(xié)議的設(shè)計與分析研究。安全協(xié)議的安全性分析方法主要有兩類，一類 是攻擊檢驗方法，一類是形式化分析方法，其中安全協(xié)議的形式化分析方法是安全 協(xié)議研究中最關(guān)鍵的研究問題之一，它的研究始于 20 世紀(jì) 80 年代初，目前正處于 百花齊放，充滿活力的狀態(tài)之中10。 目前已經(jīng)提出了大量實用的安全協(xié)議：電子商務(wù)協(xié)議、ipsec 協(xié)議、tls 協(xié)議、 snmp 協(xié)議、pgp 協(xié)議、pem 協(xié)議、s- http 協(xié)議和 s/mime協(xié)議等。實用安全協(xié) 議的安全性分析特別是電子商務(wù)協(xié)議、 ipsec 協(xié)議和 tls 協(xié)議是當(dāng)前協(xié)議研究中的 另一個熱點。 安全體系結(jié)構(gòu)理論與技術(shù) 安全體系結(jié)構(gòu)理論與技術(shù)主要包括安全體系模型的建立及其形式化描述與分 析，安全策略和機制的研究、檢驗和評估系統(tǒng)安全性的科學(xué)方法和準(zhǔn)則的建立，符 合這些模型、策略和準(zhǔn)則的系統(tǒng)的研制（比如安全操作系統(tǒng)和安全數(shù)據(jù)庫系統(tǒng)等） 11。 目前，美國已研制出達(dá)到 tcsec 要求的安全系統(tǒng)（包括安全操作系統(tǒng)、安全 數(shù)據(jù)庫、安全網(wǎng)絡(luò)部件）多達(dá) 100 多種，但這些系統(tǒng)仍有局限性，還沒有真正達(dá)到 形式化描述和證明的最高級安全系統(tǒng)。英、法、德、荷四國針對 tcsec 準(zhǔn)則只考 5 慮保密性的局限，聯(lián)合提出了包括保密性、完整性和可用性概念的“信息技術(shù)安全 評價準(zhǔn)則” （itsec）12，但是該準(zhǔn)則中并沒有給出綜合解決以上問題的理論模型 和方案。近年來六國七方（美國國家安全局和國家技術(shù)標(biāo)準(zhǔn)研究所、加、英、法、 德、荷）共同提出“信息技術(shù)安全評價通用準(zhǔn)則” （cc for itsec） 。cc 綜合了國際 上已有的評測準(zhǔn)則和技術(shù)標(biāo)準(zhǔn)的精華，給出了框架和原則要求，但它仍然缺少綜合 解決信息的多種安全屬性的理論模型依據(jù)13。 信息對抗理論與技術(shù) 信息對抗理論與技術(shù)14主要包括：黑客防范體系，信息偽裝理論與技術(shù)，信息 分析與監(jiān)控，入侵檢測原理與技術(shù)，反擊方法，應(yīng)急響應(yīng)系統(tǒng)，計算機病毒，人工 免疫系統(tǒng)在反病毒和抗入侵系統(tǒng)中的應(yīng)用等。 該領(lǐng)域正在發(fā)展階段，理論和技術(shù)都很不成熟。目前看到的成果主要是一些產(chǎn) 品（比如 ids、防范軟件、殺病毒軟件等） ，攻擊程序和黑客攻擊成功的事件。美國 在網(wǎng)絡(luò)攻擊方面處于國際領(lǐng)先地位，有多個官方和民間組織在做攻擊方法的研究。 其中最著名的研究黑客攻擊方法的組織有：ciac（計算機事故咨詢功能組） ，cert （計算機緊急響應(yīng)小組）和 coast（計算機操作、審計和安全技術(shù)組） 。他們跟蹤 研究最新的網(wǎng)絡(luò)攻擊手段，對外及時發(fā)布信息，并提供安全咨詢。 網(wǎng)絡(luò)與安全產(chǎn)品 網(wǎng)絡(luò)安全是信息安全中的重要研究內(nèi)容之一，研究內(nèi)容包括：網(wǎng)絡(luò)安全整體解 決方案的設(shè)計與分析，網(wǎng)絡(luò)安全產(chǎn)品的研發(fā)等15。網(wǎng)絡(luò)安全包括物理安全和邏輯安 全。物理安全指網(wǎng)絡(luò)系統(tǒng)中各通信、計算機設(shè)備及相關(guān)設(shè)施的物理保護，免于破壞、 丟失等。邏輯安全包含信息完整性、保密性、非否認(rèn)性和可用性。它是一個涉及網(wǎng) 絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、人員管理等方方面面的事情，必須綜合考慮。 解決網(wǎng)絡(luò)信息安全問題的主要途徑是利用密碼技術(shù)和網(wǎng)絡(luò)訪問控制技術(shù)。密碼 技術(shù)用于隱蔽傳輸信息、認(rèn)證用戶身份等。網(wǎng)絡(luò)訪問控制技術(shù)用于對系統(tǒng)進行安全 6 保護，抵抗各種外來攻擊。目前市場上比較流行而又能夠代表未來發(fā)展方向的安全 產(chǎn)品大致有以下幾類：防火墻、安全路由器、虛擬專用網(wǎng)（vpn） 、安全服務(wù)器、 電子簽證機構(gòu)ca 和 pki 產(chǎn)品、用戶認(rèn)證產(chǎn)品、安全管理中心、入侵檢測系統(tǒng) （ids） 、安全數(shù)據(jù)庫以及安全操作系統(tǒng)。 1.3 課題研究的意義、內(nèi)容及目標(biāo) 1.3.1 意義和內(nèi)容 無紙化考試系統(tǒng)的重要信息（考生、考場、試卷及答案等）如何在廣域網(wǎng)中安 全的傳輸，是保證無紙化考試系統(tǒng)的公平性、安全性和可靠性的重要環(huán)節(jié)，因此應(yīng) 用層通信安全機制的研究成為該系統(tǒng)的重要部分。在對無紙化考試系統(tǒng)的應(yīng)用層協(xié) 議進行設(shè)計，對登錄用戶進行身份認(rèn)證以及對其網(wǎng)絡(luò)傳輸數(shù)據(jù)采用加密策略的基礎(chǔ) 上，構(gòu)建一種基于應(yīng)用層通信安全的機制，并探討與之相適應(yīng)的實現(xiàn)技術(shù)。 主要內(nèi)容包括以下幾個方面： （1）無紙化考試系統(tǒng)的應(yīng)用層協(xié)議設(shè)計。 （2）身份認(rèn)證技術(shù)。 （3）加解密技術(shù)。 （4）一個能滿足無紙化考試系統(tǒng)基本需求的應(yīng)用層通信安全機制的設(shè)計與實 現(xiàn)。 1.3.2 目標(biāo) 本研究課題所實現(xiàn)的應(yīng)用層安全通信機制應(yīng)達(dá)到以下目標(biāo)： （1）應(yīng)能為無紙化考試系統(tǒng)的廣域網(wǎng)信息傳輸提供安全、可靠的信息傳輸平 臺。 （2）應(yīng)具有高效性，不影響網(wǎng)絡(luò)信息的傳輸以及無紙化考試系統(tǒng)的運行性能。 （3）應(yīng)具有較好的普適性和可擴展性，可方便地應(yīng)用于其他的類似系統(tǒng)中。 7 2 相關(guān)技術(shù)基礎(chǔ) 本章將分析無紙化考試系統(tǒng)應(yīng)用層通信安全機制所涉及的相關(guān)技術(shù)。闡述互聯(lián) 網(wǎng)的體系結(jié)構(gòu)模型；討論身份認(rèn)證技術(shù)；探討對數(shù)據(jù)進行加密解密的相關(guān)技術(shù)。 2.1 網(wǎng)絡(luò)體系結(jié)構(gòu)模型 計算機網(wǎng)絡(luò)是一個非常復(fù)雜的系統(tǒng)，通信雙方必須保證通信工作的協(xié)調(diào)一致。 為便于復(fù)雜的計算機網(wǎng)絡(luò)設(shè)計， 國際標(biāo)準(zhǔn)化組織 iso 提出了開放系統(tǒng)互連基本參考 模型 osi/rm，簡稱 osi16。osi 試圖使全世界的計算機網(wǎng)絡(luò)都遵循這一標(biāo)準(zhǔn)，然 而由于種種原因，真正得到廣泛應(yīng)用的卻是 tcp/ip 網(wǎng)絡(luò)體系結(jié)構(gòu)。 2.1.1 osi 參考模型 osi 參考模型如圖 2.1 所示。該參考模型定義了七個層次。 圖 2.1 osi 參考模型 （1）應(yīng)用層（application layer） 規(guī)定了用戶級別地對話規(guī)則，包括事務(wù)服務(wù)、文件傳送、遠(yuǎn)程作業(yè)和電子郵件 等一些進行通信任務(wù)的處理規(guī)則。 8 （2）表示層（presentation layer） 提供了應(yīng)用層實體之間的通信所使用的信息表示形式，即信息的語法與語義， 包括對各種數(shù)據(jù)類型和數(shù)據(jù)結(jié)構(gòu)的表示方法、數(shù)據(jù)編碼以及數(shù)據(jù)的加密和壓縮等。 （3）會話層（session layer） 會話服務(wù)是面向連接的服務(wù)。它是高層實體間的會話連接，包括會話的控制、 同步、釋放，同時它還管理高層實體間的數(shù)據(jù)交換方法。 （4）傳輸層（transport layer） 在高層實體之間提供了透明的數(shù)據(jù)傳輸，以及出錯時的恢復(fù)處理，使得這些實 體（一般指進程）無需考慮進行可靠和有效的數(shù)據(jù)傳輸?shù)木唧w方法。 （5）網(wǎng)絡(luò)層（network layer） 對數(shù)據(jù)進行分組，提供網(wǎng)絡(luò)結(jié)點間的路由選擇等，當(dāng)跨網(wǎng)絡(luò)傳送數(shù)據(jù)時對其中 可能出現(xiàn)的不同尋址方式、分組長度和協(xié)議進行處理。 （6）數(shù)據(jù)鏈路層（date link layer） 提供點到點的數(shù)據(jù)傳輸，并提供了建立、保持和釋放點的連接功能。 （7）物理層（physical layer） 該層實現(xiàn)系統(tǒng)通信媒體的物理接口，規(guī)定物理鏈路的參數(shù)，如信號的幅度，寬 度，鏈路的電氣和機械等特性等。 2.1.2 tcp/ip模型 tcp/ip 協(xié)議又被稱為 dod模型17，是一個抽象的分層模型。在此模型中，所 有的 tcp/ip 網(wǎng)絡(luò)協(xié)議都被歸類到四個抽象的“層”中。 （1）應(yīng)用層 應(yīng)用層提供給利用 tcp/ip 協(xié)議進行通訊的程序，與 osi 參考模型應(yīng)用層、表 示層以及會話層的功能基本相同。 （2）傳輸層 傳輸層提供應(yīng)用進程之間的數(shù)據(jù)傳輸。包括：傳輸控制協(xié)議（tcp） ，提供面向 連接的可靠的、完整性檢查的數(shù)據(jù)傳輸以及擁塞控制和流控制；用戶數(shù)據(jù)報協(xié)議 9 （udp） ，它提供無連接的、不可靠的傳輸。 （3）網(wǎng)絡(luò)層 ip 協(xié)議是這層最重要的協(xié)議，它是一個無連接的協(xié)議，沒有提供可靠性、流控 制、或錯誤恢復(fù)，但它提供了路由功能，負(fù)責(zé)將信息傳送到其目的地。除了 ip 協(xié) 議外，還有 icmp、igmp、arp 和 rarp 等網(wǎng)絡(luò)層協(xié)議。 （4）網(wǎng)絡(luò)接口層 網(wǎng)絡(luò)接口層也即osi模型中的數(shù)據(jù)連接層及物理層， 是網(wǎng)絡(luò)連接的接口。 tcp/ip 在這層并沒有制定任何具體協(xié)議，可以利用幾乎所有的可用的網(wǎng)絡(luò)接口，如 ieee 802.2、x.25、atm、fddi 以及 sna 等。 圖 2.2 給出了 tcp/ip 模型的層次結(jié)構(gòu)以及每層對應(yīng)的具體協(xié)議。 圖 2.2 tcp/ip 模型四層結(jié)構(gòu) 2.2 身份認(rèn)證技術(shù) 2.2.1 身份認(rèn)證的概念 身份認(rèn)證又稱作識別（identification） 、實體認(rèn)證（entity authentication） 、身份 證實（identity verification）等，它是在通信用戶之間進行的一個用戶對另一個用戶 進行識別以證明其身份的過程。身份認(rèn)證是計算機系統(tǒng)的用戶在進入系統(tǒng)或訪問不 同保護級別的系統(tǒng)資源時，系統(tǒng)確認(rèn)該用戶的身份是否真實、合法和唯一的手段。 10 2.2.2 身份認(rèn)證的方式 一般來說，身份認(rèn)證有三種方式：根據(jù)約定的口令進行身份認(rèn)證18- 21、采用智 能卡進行身份認(rèn)證22- 25以及基于生物特征的方式。 （1）基于口令的認(rèn)證 系統(tǒng)事先保存每個用戶的用戶名和口令，口令通常經(jīng)加密后保存到口令文件 中，系統(tǒng)根據(jù)用戶輸入的信息與口令文件的對比來判斷用戶身份的合法性。這種方 法簡單但不安全，用戶口令一般比較容易受到口令猜測攻擊，如果口令文件被竊， 還容易受到字典式攻擊等。動態(tài)口令機制是對基于口令的身份認(rèn)證方式的改進，用 戶登錄系統(tǒng)時系統(tǒng)隨機提示一條信息，用戶根據(jù)這一信息連同其個人化信息共同產(chǎn) 生一個口令，系統(tǒng)也使用同樣的信息和方法產(chǎn)生口令并進行比較來判斷用戶身份的 合法性?；诳诹钫J(rèn)證的優(yōu)點是不需要附加硬件設(shè)備，且容易實現(xiàn)；缺點則是用戶 與服務(wù)器之間要經(jīng)過數(shù)次通信才能完成一次識別過程，且本地存放的口令信息具有 一定的安全隱患。 （2）基于智能卡的認(rèn)證 基于智能卡的身份識別方法，其原理是在智能卡上存儲用戶的個人秘密信息。 用戶首先輸入身份識別 pin 碼，智能卡認(rèn)證 pin 碼，待確認(rèn)后，計算機就從智能卡 中讀取用戶的秘密信息并發(fā)送到遠(yuǎn)程服務(wù)器，服務(wù)器根據(jù)收到的信息對用戶的身份 進行認(rèn)證。這種認(rèn)證方式的安全保證是基于智能卡的物理安全性的智能卡難以偽 造，也難以直接讀出其中的數(shù)據(jù)。 （3）基于生物特征的認(rèn)證 這種認(rèn)證方式是根據(jù)人的生理特征如指紋、臉型、聲音等特性來進行身份認(rèn)證26， 它需要使用諸如指紋閱讀器， 臉型掃描器， 語音閱讀器等價格比較昂貴的硬件設(shè)備。 同時，要求驗證雙方通過直接而非網(wǎng)絡(luò)的方式交互，所以該類方法并不適用于在 internet 或者無線應(yīng)用等分布式的網(wǎng)絡(luò)環(huán)境中。 11 2.2.3 靜態(tài)身份認(rèn)證和動態(tài)身份認(rèn)證 從身份認(rèn)證的基本原理上來說，身份認(rèn)證可以分為靜態(tài)身份認(rèn)證和動態(tài)身份認(rèn) 證27。 靜態(tài)身份認(rèn)證 靜態(tài)身份認(rèn)證是指用戶登錄系統(tǒng)驗證身份過程中，輸入系統(tǒng)的驗證數(shù)據(jù)是固定 不變的。符合這個特征的身份認(rèn)證方法即稱為靜態(tài)身份認(rèn)證。靜態(tài)身份認(rèn)證主要可 以分為單因子靜態(tài)身份認(rèn)證和雙因子靜態(tài)身份認(rèn)證。 （1）單因子靜態(tài)身份認(rèn)證 靜態(tài)口令是一種單因子靜態(tài)認(rèn)證方法28。當(dāng)用戶需要訪問系統(tǒng)資源時，系統(tǒng)提 示用戶輸入用戶名和口令，系統(tǒng)采用加密方式或明文方式將用戶名和口令傳送到認(rèn) 證中心，和認(rèn)證中心保存的用戶信息進行對比，若驗證通過，系統(tǒng)允許該用戶進行 隨后的訪問操作，否則拒絕用戶的進一步訪問操作。 靜態(tài)口令身份認(rèn)證一般用于那些安全性要求不太高的場合，如 pc 機的開機口 令、unix系統(tǒng)中用戶的登錄、windows 用戶的登錄等。 （2）雙因子靜態(tài)身份認(rèn)證 雙因子靜態(tài)身份認(rèn)證，即在單一的記憶因子（固定口令）認(rèn)證基礎(chǔ)上結(jié)合第二 物理認(rèn)證因子，這里的物理認(rèn)證因子包括智能卡、條碼卡和指紋等29- 30。用戶在登 錄業(yè)務(wù)終端上輸入 id 和口令，待確認(rèn)后，再通過專用設(shè)備（磁條讀寫器、ic 讀寫 器、指紋儀等）將第二物理認(rèn)證因子的數(shù)據(jù)讀入并發(fā)送到認(rèn)證中心進行驗證，業(yè)務(wù) 終端再根據(jù)認(rèn)證中心返回的認(rèn)證結(jié)果，決定用戶的后繼操作。 雙因子靜態(tài)身份認(rèn)證是對單因子靜態(tài)身份認(rèn)證的一個改進，因為有了第二物理 認(rèn)證因子，使得認(rèn)證的可靠性得到指數(shù)遞增。 動態(tài)身份認(rèn)證 動態(tài)身份認(rèn)證是指用戶登錄系統(tǒng)驗證身份過程中，輸入系統(tǒng)的驗證數(shù)據(jù)是動態(tài) 12 變化的，符合這個特征的身份認(rèn)證方法稱為動態(tài)身份認(rèn)證。動態(tài)身份認(rèn)證目前主要 有時間同步機制身份認(rèn)證和挑戰(zhàn)/應(yīng)答機制身份認(rèn)證。 這兩種身份認(rèn)證方法都是基于 智能令牌實現(xiàn)的，時間同步機制身份認(rèn)證基于時間同步令牌實現(xiàn)，挑戰(zhàn)/應(yīng)答機制身 份認(rèn)證基于挑戰(zhàn)應(yīng)答令牌實現(xiàn)31- 32。 2.3 密碼體制與加解密技術(shù) 2.3.1 對稱密鑰加密體制 對稱密鑰加密體制，即加密密鑰等于解密密鑰，或由其中一個很容易推出另一 個33。對稱密鑰算法要求發(fā)送者和接收者在安全通信之前商定一個密鑰。若用 m 表示明文、c 表示密文、e 表示加密算法、d 表示解密算法、k 表示密鑰，則對稱 密鑰算法的加密和解密過程可表示為：加密，ek(m)=c；解密，dk(c)=m。 對稱密鑰算法可分為兩類：一類是只對明文中的單個位（有時對字節(jié)）運算的 算法稱為序列算法或序列密碼34；另一類算法是對明文的一組位進行運算，這些組 位稱為分組（典型分組長度為 64 位、128 位、256 位） ，相應(yīng)的算法稱為分組算法 或分組密碼35。對稱密鑰算法具有加密速度快、安全強度高等優(yōu)點，但也存在著明 顯的缺陷，包括： （1）進行安全通信前需要以安全方式進行密鑰交換。這在某種情況下是可行 的，但在某些情況下會非常困難，甚至無法實現(xiàn)； （2）密鑰規(guī)模復(fù)雜。例如，a 與 b 兩人之間的密鑰必須不同于 a 和 c 兩人之 間的密鑰。那么在擁有 1000 個用戶的團體中，a 需要保持至少 999 個密鑰，而對 于該團體中的其它用戶，此種情況同樣存在。這樣，該團體一共需要將近 50 萬個 不同的密鑰。則可推出擁有 n個用戶的團體則需要 n2/2 個不同的密鑰36。 2.3.2 公開密鑰加密體制 為了解決對稱密鑰體制中密鑰的管理問題，1976 年，diffie 和 hellman在“密 13 碼學(xué)的新方向”一文中提出了一種密鑰交換協(xié)議，允許在不安全的媒體上通訊雙方 交換信息，安全的達(dá)成一致的密鑰。在此基礎(chǔ)上，很快出現(xiàn)了非對稱密鑰密碼體制， 即公開密鑰加密體制。在公開密鑰加密體制中，加密密鑰不同于解密密鑰，加密密 鑰是公開的， 而解密密鑰是非公開的， 這一對密鑰被分別稱為公開密鑰 （public key） 和秘密密鑰（private key）37。 采用公開密鑰加密體制進行安全通信的步驟如下 （假設(shè) a 向 b 發(fā)送秘密信息） ： （1）a 查找 b 的公鑰。因為公鑰的公開不會影響到通信的保密性，b 可以將 自己的公鑰公布在公共數(shù)據(jù)庫，由其它人取用，或以普通電子郵件等方式通過非安 全信道發(fā)送給 a； （2）a 采用公鑰加密算法以 b 的公鑰作為加密密鑰對原始信息進行加密； （3）a 通過非安全信道將密文發(fā)送給 b； （4）b 收到密文后使用自己持有的私鑰對其解密，還原出明文38。 利用公開密鑰密碼技術(shù)進行安全通信，有以下優(yōu)點： （1）通信雙方事先不需要通過保密信道交換密鑰； （2）密鑰持有量大大減少：在 n 個用戶的團體中進行通信，每一用戶只需要 持有自己的私鑰，而公鑰可放置在公共數(shù)據(jù)庫上供其他用戶取用，這樣整個團體僅 需要擁有 n對密鑰，就可以滿足相互之間的安全通信的需求； （3）公開密鑰密碼技術(shù)還解決了對稱密鑰密碼技術(shù)無法或很難提供的服務(wù)： 如與哈希函數(shù)聯(lián)合運用可生成數(shù)字簽名，可證明的安全偽隨機數(shù)發(fā)生器的構(gòu)造，零 知識證明等。 非對稱密碼技術(shù)的主要缺點是：解密速度慢、資源消耗大39。 2.3.3 混合密鑰加密體制 關(guān)于對稱密鑰密碼技術(shù)和公開密鑰密碼技術(shù)的討論表明：前者具有加密速度 快、運行時占用資源少等特點，后者在密鑰交換上具有優(yōu)勢。因此，通常把這兩者 結(jié)合起來實現(xiàn)最佳性能。即用公開密鑰密碼技術(shù)在通信雙方之間傳送對稱密鑰，而 用對稱密鑰來對實際傳輸?shù)臄?shù)據(jù)加密解密，這就是混合密鑰加密技術(shù)40。 14 若 a 向 b 發(fā)送保密信息，具體步驟為： （1）a 生成一隨機的對稱密鑰，即會話密鑰； （2）a 用會話密鑰加密明文； （3）a 用 b 的公鑰加密會話密鑰； （4）a 將密文及加密后的會話密鑰傳遞給 b； （5）b 使用自己的私鑰解密會話密鑰； （6）b 使用會話密鑰解密密文，得到明文。 用戶可以在每次發(fā)送保密信息時都使用不同的對稱密鑰，從而增加密碼破譯的 難度。而且即使某次會話的密鑰被破譯了，也只會泄漏該次會話的信息，不會影響 到其它密文的傳遞，這使得信息的傳輸更加安全41。 2.3.3 哈希（hash）函數(shù) hash 函數(shù)是一種將任意長度的消息壓縮到某一固定長度的消息摘要的單項函 數(shù)，主要用于數(shù)字簽名和消息的完整性檢測。數(shù)字簽名時，當(dāng)簽名者想簽一個消息 x時， 首先構(gòu)造一個消息摘要 z = h(x) （h是 hash函數(shù)） ， 然后計算簽名 y = sigk(z)42。 檢測數(shù)據(jù)完整性時，計算數(shù)據(jù)的 hash值，并與已經(jīng)保存的原 hash值進行比較，如 果相等，則數(shù)據(jù)是完整的，沒有被改動；否則，數(shù)據(jù)已經(jīng)被改動過43。 目前已經(jīng)設(shè)計出了大量的 hash函數(shù)，諸如，rabin hash方案、merkle hash方 案、n- hash算法、md4 算法、md5 算法、sha 等。 2.4 小結(jié) 本章主要論述了無紙化考試系統(tǒng)的應(yīng)用層通信安全機制所需涉及的相關(guān)技術(shù)。 闡述了網(wǎng)絡(luò)體系結(jié)構(gòu)模型，包括 osi 基本參考模型和 tcp/ip 模型，詳細(xì)討論了身 份認(rèn)證技術(shù)，并在最后對整個通信安全機制的核心問題加解密技術(shù)進行了深入 的探討。 15 3 無紙化考試系統(tǒng)的應(yīng)用層通信安全機制 本章將先對無紙化考試系統(tǒng)的體系架構(gòu)和安全需求進行介紹、分析，然后在相 關(guān)技術(shù)分析的基礎(chǔ)上，討論無紙化考試系統(tǒng)的應(yīng)用層通信安全機制的設(shè)計原則以及 各功能模塊劃分，并詳細(xì)闡述各功能模塊的設(shè)計思想。 3.1 無紙化考試系統(tǒng)及其安全需求 3.1.1 無紙化考試系統(tǒng)的體系架構(gòu) 本無紙化考試系統(tǒng)采用了三層 c/s 體系架構(gòu)，即表示層、應(yīng)用服務(wù)層和數(shù)據(jù)服 務(wù)層。 三層 c/s 體系架構(gòu)指的是將數(shù)據(jù)處理過程分為三部分：第一層是表示層（也即 客戶端層、用戶界面層） ，提供用戶與系統(tǒng)的友好訪問；第二層是應(yīng)用服務(wù)層（也 叫中間層） ，負(fù)責(zé)業(yè)務(wù)邏輯的實現(xiàn)；第三層是數(shù)據(jù)服務(wù)層（又稱數(shù)據(jù)源層或數(shù)據(jù)庫 管理系統(tǒng)層） ，負(fù)責(zé)數(shù)據(jù)信息的存儲、訪問及其優(yōu)化。由于業(yè)務(wù)邏輯被提取到應(yīng)用 服務(wù)層，大大降低了客戶端負(fù)擔(dān)，因此也被稱為瘦客戶（thin client）結(jié)構(gòu)。三層 結(jié)構(gòu)在傳統(tǒng)的二層結(jié)構(gòu)的基礎(chǔ)上增加了應(yīng)用服務(wù)層，將應(yīng)用邏輯單獨進行處理，從 而使得用戶界面與應(yīng)用邏輯位于不同的平臺上，兩者之間的通信協(xié)議由系統(tǒng)自行定 義。通過這樣的結(jié)構(gòu)設(shè)計，使得應(yīng)用邏輯被所有用戶共享。 數(shù)據(jù)服務(wù)層位于數(shù)據(jù)庫系統(tǒng)中，而應(yīng)用服務(wù)層位于通信服務(wù)器中（其中，應(yīng)用 層又劃分為數(shù)據(jù)訪問子層、業(yè)務(wù)邏輯子層和通信子層） ，考場管理客戶端和其下級 的考試客戶端則共同組成表示層。 無紙化考試系統(tǒng)的體系架構(gòu)如圖 3.1 所示。 16 數(shù)據(jù)庫 通信服務(wù)模塊服務(wù)器端管理模塊 考場客戶端間通信 考試客戶端 考場管理 客戶端 消息處理 數(shù)據(jù)訪問模塊數(shù)據(jù)訪問模塊 通信模塊 時間控制 系統(tǒng)設(shè)置 考試安排 題庫管理 成績查詢 試卷管理考生管理 結(jié)果分析 通信模塊 試卷分發(fā)結(jié)果回傳考場監(jiān)控 通信模塊 考場管理 客戶端 通信模塊 試卷分發(fā)結(jié)果回傳考場監(jiān)控 通信模塊 通信模塊 下載試卷提交考卷 考試客戶端 時間控制 通信模塊 下載試卷提交考卷 圖 3.1 無紙化考試系統(tǒng)的體系架構(gòu) 無紙化考試系統(tǒng)的拓?fù)浣Y(jié)構(gòu)如圖 3.2 所示。應(yīng)用服務(wù)層位于考試中心的一臺服 務(wù)器，數(shù)據(jù)服務(wù)層可以與通信服務(wù)器位于同一臺服務(wù)器上，也可以位于另外一臺服 務(wù)器上，但最好位于同一局域網(wǎng)內(nèi)，這是出于對性能以及安全方面的考慮。而表示 層則可分布于廣域網(wǎng)中，和應(yīng)用服務(wù)層進行遠(yuǎn)程數(shù)據(jù)交互。 17 遠(yuǎn)程 連接 數(shù)據(jù)庫服務(wù)器應(yīng)用服務(wù)器防火墻 考場管理客戶端 局域網(wǎng) 考試客戶端 考試客戶端 考試客戶端 考場管理客戶端 考場管理客戶端 圖 3.2 無紙化考試系統(tǒng)的拓?fù)浣Y(jié)構(gòu) 3.1.2 無紙化考試系統(tǒng)的安全需求 由上一節(jié)內(nèi)容可知，無紙化考試系統(tǒng)是基于廣域網(wǎng)通信的，通信服務(wù)器與考場 管理客戶端以及考場管理客戶端之間（即應(yīng)用服務(wù)層與表示層以及表示層之間）的 信息交互是在廣域網(wǎng)中進行的。通信服務(wù)器與考場管理客戶端之間的交互信息包 括：考場管理客戶端登錄信息、考場信息、傳送的文件信息、試卷以及答案信息、 評卷信息等?？紙龉芾砜蛻舳酥g的交互信息，僅僅是試卷以及答案信息，這主要 是為了避免在同一時間段內(nèi)多個考場管理客戶端向通信服務(wù)器請求試卷以及答案 信息，從而影響了通信服務(wù)器的性能，并增加了通信服務(wù)器的網(wǎng)絡(luò) i/o 負(fù)載，這種 情況也使得各個考場管理客戶端長時間處于對試卷以及答案信息的等待中，不利于 考場管理客戶端操作人員對整個考場考試過程的監(jiān)督、管理。 廣域網(wǎng)采用公網(wǎng)傳輸數(shù)據(jù)，因而在廣域網(wǎng)上進行傳輸時，信息可能會被不法分 子截取，所以廣域網(wǎng)的信息傳輸是不安全、不可靠的。而無紙化考試系統(tǒng)在廣域網(wǎng) 中傳輸?shù)男畔⒍际敲舾行畔?，屬于保密級別，一旦這些信息被截取、篡改或者偽造， 將會嚴(yán)重影響整個無紙化考試過程的公平性、公正性，并使得整個考試系統(tǒng)失去其 作為測試、評估手段的意義。 18 綜上所述，為了防止這些敏感信息在廣域網(wǎng)的傳遞過程中被截取和利用，從而 導(dǎo)致考試失去公平性，就必須提供一種通信安全機制，來保證無紙化考試系統(tǒng)的廣 域網(wǎng)通信安全。 3.2 設(shè)計原則 （1）符合安全需求的原則。無紙化考試系統(tǒng)的應(yīng)用層通信安全機制要保證在 廣域網(wǎng)上發(fā)送和接收信息時： 隱私性：除了發(fā)送方和接收方外，其他人是不可知悉的； 真實性：傳輸過程中不被竄改； 非偽裝性：發(fā)送方能確信接收方不會是假冒的； 非抵賴性：發(fā)送方不能否認(rèn)自己的發(fā)送行為。 （2）協(xié)議設(shè)計采用簡單和安全原則。把協(xié)議復(fù)雜性降至最低，可以提高信息 處理的速度，減少協(xié)議中的冗余信息。加強協(xié)議本身的安全性，有利于提高整個應(yīng) 用層通信安全機制的安全性。 （3）保證該機制的高效性、易擴展性和可移植性。高效性是指，作為無紙化 考試系統(tǒng)的廣域網(wǎng)安全通信平臺， 不應(yīng)該影響整個系統(tǒng)的性能 （包括增加網(wǎng)絡(luò)時延、 服務(wù)器計算負(fù)載、網(wǎng)絡(luò) i/o 負(fù)載等） ；易擴展性是指，由新需求和新問題所帶來的新 的功能要求，能夠方便地加入其中，而不會導(dǎo)致整個結(jié)構(gòu)上的改變；可移植性是指， 不經(jīng)過修改的或者經(jīng)過少量的修改便可以被其他具有相同安全水平需求的系統(tǒng)所 集成應(yīng)用。 （4）采取模塊化設(shè)計方法，利用功能模塊的劃分保證安全機制各部分的相對 獨立性，這不僅有利于降低整體復(fù)雜度，提高開發(fā)效率，而且更易于將來的維護和 升級操作。 19 3.3 功能模塊設(shè)計 3.3.1 應(yīng)用層協(xié)議模型 協(xié)議功能需求及設(shè)計方式 由于 tcp/ip 協(xié)議的廣泛性，無紙化考試系統(tǒng)是基于 tcp/ip 網(wǎng)絡(luò)體系結(jié)構(gòu)的。 應(yīng)用層是 tcp/ip 體系結(jié)構(gòu)中的最高層，是為最終用戶提供服務(wù)的。應(yīng)用層協(xié)議的 目的是為了解決某一類應(yīng)用問題，而這些問題的解決往往是通過位于不同主機中的 多個進程之間的通信和協(xié)同工作來完成的。 無紙化考試系統(tǒng)的應(yīng)用層協(xié)議必須解決以下問題： （1）基本信息傳輸 基本信息包括：考點、考場信息；考試中心時間信息；考場管理客戶端擁有試 卷信息；文件下載重定向地址；用戶權(quán)限錯誤；考場號錯誤以及數(shù)據(jù)庫異常等。 （2）文件傳輸 主要是考生信息文件、考試試卷以及答案文件的下載和考生考試結(jié)果信息文件 的上傳。 （3）用戶登錄 允許合法用戶登錄通信服務(wù)器，請求相關(guān)資源，防止非法用戶獲取這些敏感信 息。 （4）其它 考場管理客戶端之間的數(shù)據(jù)交互，包括身份確認(rèn)和文件傳輸（考試試卷以及答 案文件） 。 目前而言，應(yīng)用層上的協(xié)議設(shè)計可以分為兩種方式：一種是基于 ascii 碼表示 的命令/應(yīng)答式協(xié)議模型；另一種則是采用類似底層協(xié)議（如 tcp、ip 協(xié)議等）的 封包格式，在每個封包中定義不同的字段來表示各種有用的含義。第一種協(xié)議模型 的優(yōu)點是簡單、易于理解，而其缺點正是由于其直觀性、簡單性導(dǎo)致的不安全性、 20 易破譯性，即可以通過在網(wǎng)絡(luò)上截取數(shù)據(jù)包并提取出應(yīng)用層數(shù)據(jù)信息，再通過對 ascii 碼表示的字符串或者數(shù)字狀態(tài)碼的簡單分析便能以較高的概率分析出協(xié)議規(guī) 則。第二種協(xié)議設(shè)計方式的特點，正好與第一種相反，封包中字段的多少和字段長 度的不一致導(dǎo)致了協(xié)議的相對復(fù)雜性，但是卻增加了其安全性和不易破譯性。無紙 化考試系統(tǒng)的應(yīng)用層協(xié)議采用的是第二種協(xié)議設(shè)計方法，以確保能在處于應(yīng)用層通 信安全機制中最核心的應(yīng)用層通信協(xié)議上提供較好的安全性。 協(xié)議內(nèi)容及格式 為了遵循協(xié)議設(shè)計簡單性原則，協(xié)議數(shù)據(jù)包采用最少的字段劃分。協(xié)議數(shù)據(jù)包 格式如圖 3.3 所示。 圖 3.3 協(xié)議數(shù)據(jù)包格式 協(xié)議數(shù)據(jù)包都具有以下字段： （1）msgid 字段：協(xié)議類型，即消息 id，用來表示協(xié)議功能，占 2 個字節(jié)； （2）datalen字段：實際數(shù)據(jù)長度值，表示除去 msgid 字段和 datalen 字段 后的實際數(shù)據(jù)長度，占 2 個字節(jié)； （3）msgdata 字段：實際數(shù)據(jù)，長度不定。 其中的第一個和第二個字段稱為消息頭部，結(jié)構(gòu)定義如下： typedef struct _msg_header word nmsgid; /協(xié)議類型，消息 id word ndatalen; /消息數(shù)據(jù)的長度 msg_header; 以下將分類介紹詳細(xì)的協(xié)議內(nèi)容，表中“輸入”表示信息從考場管理客戶端發(fā) 0 字節(jié) 2 字節(jié) 4 字節(jié) msgid datalen msgdata(變長) 21 送到通信服務(wù)器，而“輸出”則表示信息發(fā)送方向相反。 （1）基本信息傳輸 基本信息傳輸涉及的協(xié)議內(nèi)容如表 3.1 所示。 表 3.1 基本信息傳輸涉及的協(xié)議內(nèi)容 輸入輸出 msgid datalen msgdata 備注 輸入 1001 0 無 請求考點、考場信息 輸入 1002 0 無 請求考試中心的當(dāng)前時間信息 輸入 1003 不定 試卷名字符串序列 該序列以預(yù)先定義的分隔符分 隔開每個試卷名字符串，分隔 符定義為“； ” 輸出 2001 不定 考點、考場信息字 符串序列 該序列以預(yù)先定義的分隔符分 隔考點、考場信息字符串，分 隔符定義為“， ”和“； ” 輸出 2002 sizeof （ctime） ctime 對象 發(fā)送考試中心當(dāng)前的時間信 息，作為調(diào)整考場管理客戶端 的時間的基準(zhǔn)值 輸出 2004 不定 文件重定向地址信 息、驗證信息和會 話密鑰信息 ip 地址占 4 個字節(jié)，驗證信息 包括 輸出 2005 0 無 用戶權(quán)限錯誤 輸出 2006 0 無 考場號錯誤 輸出 2007 不定 數(shù)據(jù)庫異常描述字 符串 描述數(shù)據(jù)庫異常原因字符串 （2）文件傳輸?shù)膮f(xié)議 文件傳輸涉及的協(xié)議內(nèi)容如表 3.2 所示。 22 表 3.2 文件傳輸涉及的協(xié)議內(nèi)容 輸入輸出 msgid datalen msgdata 備注 輸入 3001 不定 請求下載的試 卷名字符串序 列 該序列以預(yù)先定義的分隔符分 隔開每個試卷名字符串，分隔 符定義為“； ” 輸出 4001 sizeof （paperfile） 文件頭部結(jié)構(gòu) 信息 文件信息 輸出 4002 不定 信息序列、試卷 文本和答案序 列 文件內(nèi)容 （3）用戶登錄 涉及的協(xié)議內(nèi)容將在 節(jié)通信服務(wù)器身份認(rèn)證模塊中說明。 （4）其他 涉及的協(xié)議內(nèi)容將在 節(jié)考場管理客戶端身份認(rèn)證模塊中說明。 3.3.2 身份認(rèn)證模塊 身份認(rèn)證模塊，主要完成對登錄用戶身份的合法性確認(rèn)工作，允許合法用戶的 數(shù)據(jù)傳輸，保證考試過程中的保密信息不會被以非法身份獲