基于PKI的全国数模竞赛安全机制研究及实现
|
摘要
近年来,基于互联网的考试系统应运而生。网络考试系统彻底改变传统的考试方式。传统的考试方式需要运用手工方式发放试题和提交试卷,手续繁琐、缓慢及效率低下。网络考试使得考试变得便利、高效,实现自动化的网络无纸化并且可以节省大量的人力物力。但是,在提供很多方便的同时,新的安全问题伴随而生。
本文针对全国数模竞赛系统中试题集中发放、试卷集中收交及身份认证和答卷完整性等安全问题进行了分析,使用密码学理论和方法,提出了以PKI安全体系为基础、CA认证为核心的数学建模竞赛系统的解决方案,综合运用加密、数字签名、数字证书及时间戳技术实现试题及答卷在发放和收交过程中的保密性、完整性、不可否认性及试卷评阅中可能出现的作弊等安全问题,用加密技术解决试题集中下载中的拒绝服务问题,用时间戳技术解决试卷集中提交中的时效性问题。系统采用B/S模式进行信息发布和智能客户端下实现加密、签名和时间戳安全方案,并从用例模型分析、数据库设计和功能模块设计入手,对系统总体工作流程进行了描述。
在理论研究和分析基础上,基于Windows Server 2003环境,建立了数学建摸竞赛认证机构,以CA为核心构建了基于PKI的时间戳服务框架模型。并在Visual Studio 2005和.Net Framwork 2.0环境下,编码实现了试题加解密、数字签名和提供时间戳服务的智能客户端程序。
In recent years, Internet-based examination systems have come into being. Network Examination thoroughly changes the traditional way of examination. Traditional examination needs to give out examinenation papers and submit answer papers with manual mode, so it makes the procedure of examinenation cumbersome, slow and inefficient. Network examination makes examination become convenient, efficient, paperless with automation mode. It can save a lot of manpowers and material resources. However, it offers much convenience, at the same time ,many new problems about security come into being.
In this thesis, aiming at the four problems of downloading the contest paper simultaneou -sly , submitting the answer papers simultaneously, validating the identity of players and validating the integrality of answer paper in the China mathematical contest in modeling ,a corresponding PKI-based security solution is put forward with the help of comprehensive application of data encryption, digital signature ,digital certificate and time-stamp technique to solve a series of security problems such as privacy, integrality, undeniability and cheat-preventing . At the same time , the problem of time efficiency in the process of downloading is solved with the help of encryption and the problem of the time efficiency in the process of submitting test paper is solved with the help of time-stamp. The system issues information in B/S and carries out paper encryption ,digital signature and time-stamp functions in smart client program. starting from the use case model analysis, database design and functionality modular design ,this thesis depicts the workflow of the overall system.
On the basis of theory research and analysis, the author establishes CA of the China mathematical contest in modeling in Windows 2003 environment, and establishes the PKI-based framework of the time-stamp service in the core of CA. In Visual Studio 2005 and .Net Framwork 2.0 environment, the author develops a smart client program for contest test with paper encryption ,digital signature and time-stamp functions, which can be used to the China Mathematical Contest in Modeling .
本文针对全国数模竞赛系统中试题集中发放、试卷集中收交及身份认证和答卷完整性等安全问题进行了分析,使用密码学理论和方法,提出了以PKI安全体系为基础、CA认证为核心的数学建模竞赛系统的解决方案,综合运用加密、数字签名、数字证书及时间戳技术实现试题及答卷在发放和收交过程中的保密性、完整性、不可否认性及试卷评阅中可能出现的作弊等安全问题,用加密技术解决试题集中下载中的拒绝服务问题,用时间戳技术解决试卷集中提交中的时效性问题。系统采用B/S模式进行信息发布和智能客户端下实现加密、签名和时间戳安全方案,并从用例模型分析、数据库设计和功能模块设计入手,对系统总体工作流程进行了描述。
在理论研究和分析基础上,基于Windows Server 2003环境,建立了数学建摸竞赛认证机构,以CA为核心构建了基于PKI的时间戳服务框架模型。并在Visual Studio 2005和.Net Framwork 2.0环境下,编码实现了试题加解密、数字签名和提供时间戳服务的智能客户端程序。
In recent years, Internet-based examination systems have come into being. Network Examination thoroughly changes the traditional way of examination. Traditional examination needs to give out examinenation papers and submit answer papers with manual mode, so it makes the procedure of examinenation cumbersome, slow and inefficient. Network examination makes examination become convenient, efficient, paperless with automation mode. It can save a lot of manpowers and material resources. However, it offers much convenience, at the same time ,many new problems about security come into being.
In this thesis, aiming at the four problems of downloading the contest paper simultaneou -sly , submitting the answer papers simultaneously, validating the identity of players and validating the integrality of answer paper in the China mathematical contest in modeling ,a corresponding PKI-based security solution is put forward with the help of comprehensive application of data encryption, digital signature ,digital certificate and time-stamp technique to solve a series of security problems such as privacy, integrality, undeniability and cheat-preventing . At the same time , the problem of time efficiency in the process of downloading is solved with the help of encryption and the problem of the time efficiency in the process of submitting test paper is solved with the help of time-stamp. The system issues information in B/S and carries out paper encryption ,digital signature and time-stamp functions in smart client program. starting from the use case model analysis, database design and functionality modular design ,this thesis depicts the workflow of the overall system.
On the basis of theory research and analysis, the author establishes CA of the China mathematical contest in modeling in Windows 2003 environment, and establishes the PKI-based framework of the time-stamp service in the core of CA. In Visual Studio 2005 and .Net Framwork 2.0 environment, the author develops a smart client program for contest test with paper encryption ,digital signature and time-stamp functions, which can be used to the China Mathematical Contest in Modeling .
引文
[1]全国大学生数学建模竞赛.http://www.mcm.edu.cn/NewRule.html
[2]李涛。网络在线考试系统研究与实现.昆明理丁大学(硕士论文),2007
[3]中国计算机安全论坛.美国和加拿大PKI/CA体系的分析[EB/OL]http://www.infosec.org.cn/bbs/index.php?mods=topicdisplay&forumid=4&postid=13,2006-09-06
[4]郭晋华.国外PKI发展概况[J].产业观察,2001,33
[5]尹传勇,刘套强,陈娇春.基于PKI/CA身份认证体系的应用研究.专题.技术论坛.计算机安全2003,9-11
[6]张丽峰.PKI发展篇—PKI现状与未来[EB/OL]http://www.amteam.org/print.aspx?id=484605,2004-11-19
[7]中国计算机安全论坛.美国和加拿大PKI/CA体系的分析[EB/OL]http://www.infosec.org.cn/bbs/index.php?mods=topicdisplav&forumid=4&postid=13,2006-09-06
[8]江为强,陈波.PKI/CA技术的起源、现状和前景综述[J].西南科技大学学报,2003,18(4):75-78
[9]徐震.电子认证服务标准体系研究[EB/OL]http://www.eschina.info/Article_Show.asp?ArticleID=2984,2006-06-06
[10]国家信息中心.亚洲PKI论坛[EB/OL]http://www.sic.gov.cn/web/NewsInfo.asp?NewsId=196
[11]计算机世界网.中国电子签名法草案完成/建设网络信任体系[EB/OL]http://www.ccw.com.cn/news2/news/htm2004/20040720_14Y2W.htm,2004-07-20
[12]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002:70-75
[13]谷和启.公钥基础设施PKI技术与应用发展,计算机世界,2004.8
[14]RSA Laboratories.PKCS #1 v2.1:RSA Cryptography Standard(RSA加密标准),2000
[15]RSA Laboratories.PKCS#5 v2.0:RSA Cryptography Standard(RSA加密标准),1999
[16]RSA Laboratories.PKCS#10 v1.7:RSA Cryptography Standard(RSA加密标准),2000
[17]RSA Laboratories.PKCS#11 v2.11:RSA Cryptography Standard(RSA加密标准),2005
[18]R.Housley.Internet X.509 Public Key Infrastructure Certificate and CRL Profile,RFC2459,1999
[19]R.Housley,W.Polk,Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile,RFC3280,2002.4
[20]周琦,郑学风.基于PKI体系结构的双向身份认证模型.电子科技,2005年03期:P36-37
[21]David Turing.通过B/S方式(CAPICOM)产生数字签名的严重安全漏洞[EB/OL]http://www.blogjava.net/security/archive/2006/11/13/capicom_usbkey_danger.html ,2006-12-
[22]MSDN.智能客户端定义[EB/OL]http://www.microsoft.com/china/msdn/develpercenter/smartclient/SmartClientDefi nition.aspx
[23]IBM.XML认证教程,第10部分:Web服务[EB/OL]http://www.ibm.com/developerworks/cn/xml/x-cert/part10/index.html,2003-03-01
[24]王介之,陈志刚.利用WEB服务实现智能客户端应用.计算技术与自动化.第24卷第1期.2005年3月.85-87
[25]邹建峰,周山峰,项细威.C#企业级开发案例精解[M].北京:人民邮电出版社,2006
[26]徐立新,吴相林,张新成.在线招投标系统中的加密和数字签名技术[J].计算机工程与设计2005,26(6):1431-1433
[27]PETER THORSTEINSON,G.GNANA ARUN GANESH..NET安全性与密码术[M].北京:清华大学出版社,2004:76-77
[28]使用X.509数字证书加密解密实务(一)—证书的获得和管理http://www.chenjiliang.com/Article/View.aspx?ArticleID=3998&TypeID=84,2007-9-22
[29]使用X.509数字证书加密解密实务(二)—使用RSA证书加密敏感数据http://www.chenjiliang.com/Article/View.aspx?ArticleID=3999&TypeID=84,2007-9-22
[30]HTTPS配置教程(2)安装证书服务器,http://www.server01.cn/security/82.html,2007
[31]HTTPS配置教程(3)为Web服务器申请证书,http://www.server01.cn/security/83.html
[32]HTTPS配置教程(4)提交证书申请,http://www.server01.cn/security/84.html,2007
[33]HTTPS配置教程(5)颁发和导出证书:http://www.server01.cn/security/85.html,2007
[34]郭伟,乔荣川。数字时间戳协议RFC3161的设计与实现。宇航计测技术,2006第26卷第5期41-44
[35]C.Adams,P.Cain,D.Pinkas,R.Zuccherato.Internet X.509 Public Key Infrastructure TimeStamp Protocol(TSP)[R].Network WorkingGroup,RFC 3161,August 2001
[36]刘知贵,杨立春,蒲洁,张霜,基于PKI技术的数字签名身份认证系统.计算机应用研究2004年.158-160
[37]张凡.GB/T 20519-2006《时间戳规范》简介.标准与技术追踪.中国科学院软件研究所信息安全国家重点实验室.2006年第12期31-33
[38]郭伟.数字时间戳服务的安全性研究及系统实现.中国科学院研究生院.2005
[39]张璐.基于PKI的网络采购系统安全机制研究与实现.西安理工大学.2007
[40]周绍斌,胡成全,齐红.TSA系统研究与实现。大连理工大学学报.第43卷增刊1.2003年10月.16-18
[41]胡博,程晓荣,赵慧兰,冯启源.数字证书在时间戳系统中的应用研究.华北电力大学学报.第32卷第4期.2005年7月.79-81
[42]Protocols and data formats for time-stamping service.17th September 2002.
[43]朱国东,教授级高工,宁红宙,刘云.基于证书权威(CA)中心的时间戳服务系统的实现中国安全科学学报,第14卷第12期.2004年12月
[44]冀振燕.UML系统分析设计与应用案例[M].北京:人民邮电出版社,2003
[45]ANDREW KROWCZYK等..NET网络高级编程[M].北京:清华大学出版社,2003
[46]宋玲,李陶深,陈拓.用CAPICOM组件实现应用系统安全性的方法[J].计算机工程,2004,30(16):128-130
[2]李涛。网络在线考试系统研究与实现.昆明理丁大学(硕士论文),2007
[3]中国计算机安全论坛.美国和加拿大PKI/CA体系的分析[EB/OL]http://www.infosec.org.cn/bbs/index.php?mods=topicdisplay&forumid=4&postid=13,2006-09-06
[4]郭晋华.国外PKI发展概况[J].产业观察,2001,33
[5]尹传勇,刘套强,陈娇春.基于PKI/CA身份认证体系的应用研究.专题.技术论坛.计算机安全2003,9-11
[6]张丽峰.PKI发展篇—PKI现状与未来[EB/OL]http://www.amteam.org/print.aspx?id=484605,2004-11-19
[7]中国计算机安全论坛.美国和加拿大PKI/CA体系的分析[EB/OL]http://www.infosec.org.cn/bbs/index.php?mods=topicdisplav&forumid=4&postid=13,2006-09-06
[8]江为强,陈波.PKI/CA技术的起源、现状和前景综述[J].西南科技大学学报,2003,18(4):75-78
[9]徐震.电子认证服务标准体系研究[EB/OL]http://www.eschina.info/Article_Show.asp?ArticleID=2984,2006-06-06
[10]国家信息中心.亚洲PKI论坛[EB/OL]http://www.sic.gov.cn/web/NewsInfo.asp?NewsId=196
[11]计算机世界网.中国电子签名法草案完成/建设网络信任体系[EB/OL]http://www.ccw.com.cn/news2/news/htm2004/20040720_14Y2W.htm,2004-07-20
[12]关振胜.公钥基础设施PKI与认证机构CA[M].北京:电子工业出版社,2002:70-75
[13]谷和启.公钥基础设施PKI技术与应用发展,计算机世界,2004.8
[14]RSA Laboratories.PKCS #1 v2.1:RSA Cryptography Standard(RSA加密标准),2000
[15]RSA Laboratories.PKCS#5 v2.0:RSA Cryptography Standard(RSA加密标准),1999
[16]RSA Laboratories.PKCS#10 v1.7:RSA Cryptography Standard(RSA加密标准),2000
[17]RSA Laboratories.PKCS#11 v2.11:RSA Cryptography Standard(RSA加密标准),2005
[18]R.Housley.Internet X.509 Public Key Infrastructure Certificate and CRL Profile,RFC2459,1999
[19]R.Housley,W.Polk,Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List(CRL)Profile,RFC3280,2002.4
[20]周琦,郑学风.基于PKI体系结构的双向身份认证模型.电子科技,2005年03期:P36-37
[21]David Turing.通过B/S方式(CAPICOM)产生数字签名的严重安全漏洞[EB/OL]http://www.blogjava.net/security/archive/2006/11/13/capicom_usbkey_danger.html ,2006-12-
[22]MSDN.智能客户端定义[EB/OL]http://www.microsoft.com/china/msdn/develpercenter/smartclient/SmartClientDefi nition.aspx
[23]IBM.XML认证教程,第10部分:Web服务[EB/OL]http://www.ibm.com/developerworks/cn/xml/x-cert/part10/index.html,2003-03-01
[24]王介之,陈志刚.利用WEB服务实现智能客户端应用.计算技术与自动化.第24卷第1期.2005年3月.85-87
[25]邹建峰,周山峰,项细威.C#企业级开发案例精解[M].北京:人民邮电出版社,2006
[26]徐立新,吴相林,张新成.在线招投标系统中的加密和数字签名技术[J].计算机工程与设计2005,26(6):1431-1433
[27]PETER THORSTEINSON,G.GNANA ARUN GANESH..NET安全性与密码术[M].北京:清华大学出版社,2004:76-77
[28]使用X.509数字证书加密解密实务(一)—证书的获得和管理http://www.chenjiliang.com/Article/View.aspx?ArticleID=3998&TypeID=84,2007-9-22
[29]使用X.509数字证书加密解密实务(二)—使用RSA证书加密敏感数据http://www.chenjiliang.com/Article/View.aspx?ArticleID=3999&TypeID=84,2007-9-22
[30]HTTPS配置教程(2)安装证书服务器,http://www.server01.cn/security/82.html,2007
[31]HTTPS配置教程(3)为Web服务器申请证书,http://www.server01.cn/security/83.html
[32]HTTPS配置教程(4)提交证书申请,http://www.server01.cn/security/84.html,2007
[33]HTTPS配置教程(5)颁发和导出证书:http://www.server01.cn/security/85.html,2007
[34]郭伟,乔荣川。数字时间戳协议RFC3161的设计与实现。宇航计测技术,2006第26卷第5期41-44
[35]C.Adams,P.Cain,D.Pinkas,R.Zuccherato.Internet X.509 Public Key Infrastructure TimeStamp Protocol(TSP)[R].Network WorkingGroup,RFC 3161,August 2001
[36]刘知贵,杨立春,蒲洁,张霜,基于PKI技术的数字签名身份认证系统.计算机应用研究2004年.158-160
[37]张凡.GB/T 20519-2006《时间戳规范》简介.标准与技术追踪.中国科学院软件研究所信息安全国家重点实验室.2006年第12期31-33
[38]郭伟.数字时间戳服务的安全性研究及系统实现.中国科学院研究生院.2005
[39]张璐.基于PKI的网络采购系统安全机制研究与实现.西安理工大学.2007
[40]周绍斌,胡成全,齐红.TSA系统研究与实现。大连理工大学学报.第43卷增刊1.2003年10月.16-18
[41]胡博,程晓荣,赵慧兰,冯启源.数字证书在时间戳系统中的应用研究.华北电力大学学报.第32卷第4期.2005年7月.79-81
[42]Protocols and data formats for time-stamping service.17th September 2002.
[43]朱国东,教授级高工,宁红宙,刘云.基于证书权威(CA)中心的时间戳服务系统的实现中国安全科学学报,第14卷第12期.2004年12月
[44]冀振燕.UML系统分析设计与应用案例[M].北京:人民邮电出版社,2003
[45]ANDREW KROWCZYK等..NET网络高级编程[M].北京:清华大学出版社,2003
[46]宋玲,李陶深,陈拓.用CAPICOM组件实现应用系统安全性的方法[J].计算机工程,2004,30(16):128-130