開放式實驗教學管理系統的關鍵技術研究

摘要本文針對實驗教學改革的目標，將Web服務技術引入到開放式實驗教學管理系統的建立中，提出在校園網絡的基礎上構建該平臺要解決的關鍵技術:用戶標識及身份驗證技術、事故處理技術、服務器性能優化、系統安全管理技術等。

關鍵詞開放式實驗教學校園網身份驗證

中圖分類號:G64文獻標識碼:A

開放式實驗教學管理系統面向的是校園局域網或Internet，對系統的安全性、穩定性、體系結構和數據處理算法等要求較高;同時教學資源、課程配置等因素處于動態發展變化之中，需要采用較為先進合理的技術予以解決。在校園網絡的基礎上構建該平臺要解決的關鍵技術主要有:

1 用戶標識及身份驗證技術

1.1 問題提出

由于多數用戶通過多級代理服務器或電話撥號方式來訪問校園網，這為唯一標識用戶身份增加了難度，需要設計合理的用戶身份驗證機制來保證每個用戶操作數據的合理性和有效性。

1.2 解決方案

(1)標識問題。開放式實驗教學管理系統主要通過將用戶登錄用的IP地址與帳號(學生學號或教師編號)相結合進行標識，并通過密碼和姓名驗證的方法來唯一標識每個終端用戶。

(2)一次性口令身份驗證。為了解決常規口令的諸多問題，安全專家提出了一次性口令(OTP:One Time Password)的密碼體制，以保護關鍵的計算機資源。如果網上傳遞的口令只用一次，攻擊者就無法用竊取的口令來訪問系統。

OTP的工作方式是將公共可用的信息即挑戰與只有用戶才知道的秘密結合起來產生一次性口令。OTP的主要思路是:在登錄過程中加入不確定因素，使每次登錄過程中摘錄所得的密碼都不相同，以提高登錄過程的安全性。實現機制多采用Challenge/Response機制，認證過程如下:

①客戶機向服務器發出登錄請求。②服務器首先向用戶提示一個“挑戰”(challenge)，挑戰由種子值和迭代值組成。③客戶端使用種子和迭代值，并與用戶的秘密通行證短語組合在一起，通過OTP中的一個散列算法，計算出單用口令，從而產生對挑戰的答復，保證了OTP不易遭受偷聽、口令重用、偷竊或口令文件攻擊。④挑戰的答復由客戶端通過網絡傳回服務器。⑤服務器驗證用戶對挑戰的答復，決定是否成功登錄。

根據OTP系統的運行機理，用戶進行身份驗證包括三個部分:迭代值、種子值和秘密通行證短語。因此在系統用戶初始化時，必須提供上述信息，并允許用戶在使用中動態改變。在本教學管理平臺系統中，采用以下規則來定義用戶身份驗證信息:①以學生學號或教師編號作為種子值。②迭代值在用戶信息初始化時由系統確定。③秘密通行證短語在初始化時暫定為學生學號或教師編號，在第一次成功登錄后由用戶自行修改。

2 事故處理技術

2.1 問題提出

安全性的破壞通常叫做一個事故。事故是任何一種破壞，對于實驗教學系統而言，事故處理主要涉及用戶非法操作、或者其它人為因素(例如機器斷電等)的影響，當用戶操作失敗時系統應能提供事故處理和恢復機制。

2.2 解決方案

(1)事故的響應。用戶登錄系統后，在操作過程中應該保持用戶操作的精確記錄，以便在事故發生后及時保護有效數據結果。記錄下的細節應主要包括以下內容:用戶登錄信息、保存選中的實驗記錄、記錄改選的內容等。一個完善的系統應該具備如下所述的條件:必須能夠在無人管理的情況下連續運行。系統必須能夠在被觀測的后臺中可靠地運行，系統內部的工作應該能從外部現象中進行證實。必須能容錯。系統必須能在被破壞時保存下資料，而不需要在重新啟動時重建它的知識庫。系統開銷最小。必須觀察有違常規的非法操作行為并具有及時的警告信息。

(2)從事故中恢復。從一次事故中恢復系統數據主要包含以下幾個步驟:分析用戶身份信息。首先從用戶身份標識中分離出用戶帳號信息，然后查找事故日志，判斷該用戶是否在上次操作中發生過事故。恢復用戶操作歷史。若用戶在上次操作過程中發生過事故，則應該恢復所有的操作信息。在用戶成功完成各種操作后，從事故日志中刪除該用戶事故信息。通過應用事故處理機制，系統的穩定性、自適應性明顯得到提高，這就充分保障了系統能夠在多種環境下安全、可靠地運行，較大限度地降低了由意外因素所造成的數據損失的可能性，確保開放式實驗教學的順利進行。

3 服務器性能優化

3.1 問題提出

在網上選實驗項目的過程中最大問題是，大量學生在選課之初幾乎同時競爭教學資源，造成系統服務的用戶量劇增，網速變得很慢。

3.2 解決方案

在保證實驗項目完整和服務器硬件一定的條件下，采用幾個措施來對WEB服務器進行優化。

(1)優化服務器配置。運用更快速的磁盤和更好的網絡存取機制，能明顯改進網站訪問速度。這類方案的核心是設法減輕Web服務器CPU的負荷，使其從繁瑣的網絡協議處理中“解脫”出來，而集中于頁面處理和服務提供。另外要提升服務器性能，運用成熟的Web服務器加速軟件必不可少。

(2)運用緩沖機制。優化網絡的可伸縮性和性能的另一方法是在服務器外圍增加緩沖機制。比較流行的方案是為Web服務器增加反向緩沖代理，使服務器能夠順利實現已創建頁面的傳輸，同時在創建動態頁面過程中減輕服務器負荷。

(3)減小數據量。優化程序代碼，減少WEB服務器與數據庫服務器的通信流量。

4 系統安全管理技術

4.1 問題提出

由于該系統的信息涉及實驗室的內部信息和用戶的個人隱私信息，因此，信息的安全性和訪問的可控制性尤其重要。

4.2 解決方案

(1)數據加密。由于網絡中連接的各個終端都是有嚴格準入制度的，因此必須有嚴格保密的傳輸體制來維護這種準入的完整性。具有報文加密功能的路由器可以解決這個問題，現有的企業級路由器中大多有用來封裝和解密IP報文的IPSEC協議。

(2)安全防護。在Internet中，安全漏洞主要來自網絡的各種惡意攻擊，比如DOS/DDOS攻擊、緩沖區溢出漏洞攻擊等。因此，一款功能完善的企業級防火墻也是系統必備的配置。防火墻主要應實現的功能有:包過濾、狀態檢測、應用代理、病毒和蠕蟲過濾、入侵檢測等功能。

(3)安全防護的備份與恢復。為保障數據安全和系統的正常運轉，應考慮完善服務器、網絡系統的自動備份與故障恢復功能。考慮到可靠性要求較高，所以可采用熱備援的方式來解決，擬定一臺MASTER主機和一臺BACKUP主機，且MASTER和BACKUP主機會不斷偵測彼此之間的運作狀況，保證在極短的時間內恢復系統的正常并時刻保證網絡處于可靠工作狀態。

(4)訪問控制。可以利用防火墻對通道內的應用和訪問做到各種限制。比如:指定某臺電腦的訪問權限和所應用的服務，保證每個用戶的私密性。

(5)入侵抵御。網絡面臨的威脅越來越多，這使得傳統的安全技術與設備已經無法獨立應對，需要入侵抵御系統(IPS，Intrusion Prevention System)來解決病毒、攻擊、濫用引發的問題。好的IPS應有以下功能:具備多層流量的深度分析與檢測能力、具備良好的安全功能與出色的數據交換功能、具備較全面的協議分析與跟蹤能力。

(6)Web服務器安全預防措施:禁止亂用從其他網站下載的一些工具軟件。在選用Web服務器時，應考慮到不同服務器對安全的要求不一樣。限制在Web服務器隨意開設賬戶，定期刪除一些用戶。對在Web服務器上開的賬戶，在口令長度及定期更改方面做出要求，防止被盜用。去掉FTP，Send mail，TFTP，NIS，IFS，finger，net stat等一些無關的應用。在Web服務器上去掉一些絕對不用的shell等之類解釋器。設置好Web服務器上系統文件的權限和屬性。