论文部分内容阅读
摘要:人工阅卷工作比较繁琐,通过网上阅卷解决了一份试卷在同一时间只能由一位阅卷者批改的缺点,但在网络上传输阅卷信息也带来的安全问题,SSL协议为阅卷信息在网上传输提供安全通道, 保障了阅卷信息在网上传输的完整性及阅卷者身份的可识别性。
关键词:网上阅卷;SSL协议;安全;数字证书
随着网络的发展,信息化建设的加快,人工阅卷也使用网络技术。由于人工阅卷工作比较繁琐,而且一份试卷在同一时间只能由一位阅卷者批改。通过使用计算机网络技术进行网上阅卷克服了以上缺点,但阅卷信息在网上传输也带来了安全问题,SSL协议为阅卷信息在网上传输提供安全通道, 保障了阅卷信息在网上传输的完整性及阅卷者身份的可识别性。
一、SSL协议
安全套接层,简称为SSL)协议是Netscape公司提出的基于Web应用的安全协议,它位于TCP/IP层和应用层之间,为应用层程序提供一条安全的网络传输通道。SSL通过使用非对称加密算法加密会话密钥,使用该会话密钥及其对称加密算法加密数据,保证数据的传输安全,通过消息摘要保证数据的完整性,通过验证数字证书对服务器端进行身份验证、客户端身份验证,保证用户身份的可识别性。
SSL协议具有两层结构,其底层是SSL记录协议层,简称记录层;其高层是SSL握手协议层(SSL Handshake Protocol Layer),简称握手层,如图1所示:
从应用层接收任意大小的数据块,将数据块分成不超过214字节的明文记录。用当前会话中指定的压缩算法将明文结构SSL plaintext变换为压缩机构SSL compressed。用当前CipherSpec中指定的MAC算法对SSL compressed计算MAC;用加密算法加密压缩数据和MAC,形成密文结构SSL Ciphertext。
(2)握手协议层
握手协议层的功能是验证实体身份,协商密钥交换算法、压缩算法和加密算法,完成密钥交换以及生成密钥等。SSL协议的握手过程用到了三种协议:SSL handshake协议、SSL change cipher spec协议和SSL Alert协议。SSL handshake协议用于建立会话状态的加密参数。
SSL协议可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。不同于常用的http协议,在与网站建立SSL安全连接时使用https协议,即采用https://ip:port/的方式来访问。当与一个网站建立https连接时,客户端浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换,从而建立安全连接。
二、认证机构与数字证书
数字证书作为现实实体在虚拟网络上的唯一身份标识,必须由权威公正的第三方认证机构CA来颁发。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外不被其它人窃取,信息在传输过程中不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对于自己的信息不能抵赖。
认证系统生成CA根证书,根证书提供给用户下载安装。根证书包含了认证机构的公钥,用来验证其颁发的用户证书的有效性。在双方通信时,通过出示由某个CA签发的证书来证明自己的身份。用户通过认证系统申请证书,在Windows 2000中,当生成新证书申请时,信息将首先从申请程序传送到Microsoft加密应用程序接口和加密服务提供程序(CSP)。CSP将在计算机上生成密钥对:公钥和私钥。生成密钥后,CSP加密并在计算机的注册表中保护私钥,公钥连同证书申请者信息被发送到CA。CA根据其策略验证证书请求后,将使用自己的私钥在证书中创建数字签名,然后将其颁发给申请者,于是证书申请者将获得来自CA的证书。
认证系统由考试主管部门建立并进行数字证书的颁发,阅卷者使用数字证书进行身份识别。
三、系统的应用
网上阅卷系统的设计采用B/S架构,学生考试试卷通过电子扫描录入服务器,认证机构负责数字证书的颁发,主要颁发服务器证书和阅卷者个人证书,如图3所示:
基于SSL协议的网上阅卷系统中的应用过程如下:
(1)认证机构CA颁发阅卷系统服务器证书,并将其导入阅卷系统服务器,用于服务器身份识别。服务器证书包含服务器信息、公钥、认证机构的签名等信息,这些信息是公开的,同时服务器私钥受系统保护,私钥用来签名和验证加密信息。同时将CA根证书导入服务器。
(2)认证机构CA颁发阅卷者个人证书,个人证书包含阅卷者的个人信息、公钥、认证机构的签名等信息。证书导入阅卷者的计算机,个人证书私钥受系统保护。同时将CA根证书导入计算机,这样当收到本CA签发的数字证书时,可确认这个CA 机构是可信的。
(3)客户端(阅卷者计算机)访问服务器时,服务器发回服务器证书给客户端,同时服务器发出请求要求客户端提供用户证书。
(4)客户端检查服务器证书,如果检查失败,提示不能建立SSL连接。如果成功,则继续。
(5)客户端浏览器为本次会话生成pre-master secret,并将其用服务器公钥加密后发送给服务器。客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
(6)服务器检查签署客户端证书的CA是否可信。
(7)客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。
(8)客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端己经完成本次SSL握手。
(9)本次握手过程结束,会话己经建立。双方使用同一个会话密钥分别对发送以及接收的信息进行加解密。SSL协议的握手过程对用户是透明的。
(10)阅卷者使用其私钥对评分结果及评分试卷进行数字签名,保证了成绩的真实性及不可否认性。
该系统应用SSL协议,保证信息传输的安全性及完整性,使用数字证书保证用户身份的可识别性。SSL协议为网上信息传输提供了安全通道:信道是保密的,经过SSL握手之后,协商好的会话密钥可以对信道上的信息加密;信道是经过验证的,通信的服务器端总是被加以验证,客户端可以选择性的加以验证;信道是可靠的,对信道中的信息进行完整性校验。
使用SSL协议满足了阅卷信息在网上传输的安全要求,使用数字签名保证成绩的真实性及不可否认性。SSL安全协议是信息安全的重要协议,在电子商务、电子政务等应用越来越广泛。
参考文献:
[1] 卿斯汉. Security Protocol 安全协议[M]. 北京: 清华大学出版社, 2005: 259-280.
[2] 张焕国, 刘玉珍. 密码学引论[M]. 湖北: 武汉大学出版社, 2003: 7-139.
[3] 谢冬青, 冷健. PKI原理与技术[M]. 北京: 清华大学出版社, 2004: 1-70.
[4] 苏成, 殷兆麟. SSL协议的安全性分析与应用[J]. 现代计算机, 2002(29): 29-32.
关键词:网上阅卷;SSL协议;安全;数字证书
随着网络的发展,信息化建设的加快,人工阅卷也使用网络技术。由于人工阅卷工作比较繁琐,而且一份试卷在同一时间只能由一位阅卷者批改。通过使用计算机网络技术进行网上阅卷克服了以上缺点,但阅卷信息在网上传输也带来了安全问题,SSL协议为阅卷信息在网上传输提供安全通道, 保障了阅卷信息在网上传输的完整性及阅卷者身份的可识别性。
一、SSL协议
安全套接层,简称为SSL)协议是Netscape公司提出的基于Web应用的安全协议,它位于TCP/IP层和应用层之间,为应用层程序提供一条安全的网络传输通道。SSL通过使用非对称加密算法加密会话密钥,使用该会话密钥及其对称加密算法加密数据,保证数据的传输安全,通过消息摘要保证数据的完整性,通过验证数字证书对服务器端进行身份验证、客户端身份验证,保证用户身份的可识别性。
SSL协议具有两层结构,其底层是SSL记录协议层,简称记录层;其高层是SSL握手协议层(SSL Handshake Protocol Layer),简称握手层,如图1所示:
从应用层接收任意大小的数据块,将数据块分成不超过214字节的明文记录。用当前会话中指定的压缩算法将明文结构SSL plaintext变换为压缩机构SSL compressed。用当前CipherSpec中指定的MAC算法对SSL compressed计算MAC;用加密算法加密压缩数据和MAC,形成密文结构SSL Ciphertext。
(2)握手协议层
握手协议层的功能是验证实体身份,协商密钥交换算法、压缩算法和加密算法,完成密钥交换以及生成密钥等。SSL协议的握手过程用到了三种协议:SSL handshake协议、SSL change cipher spec协议和SSL Alert协议。SSL handshake协议用于建立会话状态的加密参数。
SSL协议可以实现信息传递的保密性、完整性,并且会话双方能鉴别对方身份。不同于常用的http协议,在与网站建立SSL安全连接时使用https协议,即采用https://ip:port/的方式来访问。当与一个网站建立https连接时,客户端浏览器与Web Server之间要经过一个握手的过程来完成身份鉴定与密钥交换,从而建立安全连接。
二、认证机构与数字证书
数字证书作为现实实体在虚拟网络上的唯一身份标识,必须由权威公正的第三方认证机构CA来颁发。以数字证书为核心的身份认证、数字签名、数字信封等数字加密技术是目前通用可行的安全问题解决方案。使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证信息除发送方和接收方外不被其它人窃取,信息在传输过程中不被篡改,发送方能够通过数字证书来确认接收方的身份,发送方对于自己的信息不能抵赖。
认证系统生成CA根证书,根证书提供给用户下载安装。根证书包含了认证机构的公钥,用来验证其颁发的用户证书的有效性。在双方通信时,通过出示由某个CA签发的证书来证明自己的身份。用户通过认证系统申请证书,在Windows 2000中,当生成新证书申请时,信息将首先从申请程序传送到Microsoft加密应用程序接口和加密服务提供程序(CSP)。CSP将在计算机上生成密钥对:公钥和私钥。生成密钥后,CSP加密并在计算机的注册表中保护私钥,公钥连同证书申请者信息被发送到CA。CA根据其策略验证证书请求后,将使用自己的私钥在证书中创建数字签名,然后将其颁发给申请者,于是证书申请者将获得来自CA的证书。
认证系统由考试主管部门建立并进行数字证书的颁发,阅卷者使用数字证书进行身份识别。
三、系统的应用
网上阅卷系统的设计采用B/S架构,学生考试试卷通过电子扫描录入服务器,认证机构负责数字证书的颁发,主要颁发服务器证书和阅卷者个人证书,如图3所示:
基于SSL协议的网上阅卷系统中的应用过程如下:
(1)认证机构CA颁发阅卷系统服务器证书,并将其导入阅卷系统服务器,用于服务器身份识别。服务器证书包含服务器信息、公钥、认证机构的签名等信息,这些信息是公开的,同时服务器私钥受系统保护,私钥用来签名和验证加密信息。同时将CA根证书导入服务器。
(2)认证机构CA颁发阅卷者个人证书,个人证书包含阅卷者的个人信息、公钥、认证机构的签名等信息。证书导入阅卷者的计算机,个人证书私钥受系统保护。同时将CA根证书导入计算机,这样当收到本CA签发的数字证书时,可确认这个CA 机构是可信的。
(3)客户端(阅卷者计算机)访问服务器时,服务器发回服务器证书给客户端,同时服务器发出请求要求客户端提供用户证书。
(4)客户端检查服务器证书,如果检查失败,提示不能建立SSL连接。如果成功,则继续。
(5)客户端浏览器为本次会话生成pre-master secret,并将其用服务器公钥加密后发送给服务器。客户端还要再对另外一些数据签名后并将其与客户端证书一起发送给服务器。
(6)服务器检查签署客户端证书的CA是否可信。
(7)客户端与服务器均使用此master secret生成本次会话的会话密钥(对称密钥)。在双方SSL握手结束后传递任何消息均使用此会话密钥。
(8)客户端通知服务器此后发送的消息都使用这个会话密钥进行加密。并通知服务器客户端己经完成本次SSL握手。
(9)本次握手过程结束,会话己经建立。双方使用同一个会话密钥分别对发送以及接收的信息进行加解密。SSL协议的握手过程对用户是透明的。
(10)阅卷者使用其私钥对评分结果及评分试卷进行数字签名,保证了成绩的真实性及不可否认性。
该系统应用SSL协议,保证信息传输的安全性及完整性,使用数字证书保证用户身份的可识别性。SSL协议为网上信息传输提供了安全通道:信道是保密的,经过SSL握手之后,协商好的会话密钥可以对信道上的信息加密;信道是经过验证的,通信的服务器端总是被加以验证,客户端可以选择性的加以验证;信道是可靠的,对信道中的信息进行完整性校验。
使用SSL协议满足了阅卷信息在网上传输的安全要求,使用数字签名保证成绩的真实性及不可否认性。SSL安全协议是信息安全的重要协议,在电子商务、电子政务等应用越来越广泛。
参考文献:
[1] 卿斯汉. Security Protocol 安全协议[M]. 北京: 清华大学出版社, 2005: 259-280.
[2] 张焕国, 刘玉珍. 密码学引论[M]. 湖北: 武汉大学出版社, 2003: 7-139.
[3] 谢冬青, 冷健. PKI原理与技术[M]. 北京: 清华大学出版社, 2004: 1-70.
[4] 苏成, 殷兆麟. SSL协议的安全性分析与应用[J]. 现代计算机, 2002(29): 29-32.