英語聽說機考系統安全性驗證研究

◆王登奎 徐瑋 劉曉 郭明

（北京教育考試院 北京 100083）

隨著國家高考綜合改革意見的實施，近幾年借助于網絡和人工智能技術的迅猛發展，全國各省市中考、高考等高利害性考試中開始逐步采用計算機化考試形式，如：廣東省2011年開始的英語聽力機考（分值10分）、北京市從2018年開始啟動的英語聽說機考（分值50分），上海市即將從2022年開始啟動的普通高中學業水平合格性考試等。與傳統紙筆考試流程相比較，計算機化考試能夠更加有效地確?？荚嚨目陀^性、公正性、實時性，具有提高管理工作效率、節約考試資源、規范考試管理、方便考生應考等傳統考試不可替代的優勢。

但由于英語聽說機考在外語科目考試中的分值所占比重較大，涉及高利害性，對考試組考安全方面提出了更高的要求[1]。各省在實施這類考試的過程中，大多數還是采取考前復制試卷光盤和加密鎖、在考點校采用局域網方式運行的模式。這種方式帶來的問題是需要花費大量的人力、物力成本，用在試卷光盤的復制、運輸和大量保密人員、公安的值守投入，不能很好地適應新時代信息化發展技術需求。此外，試卷命制后到開考前，由于試題光盤需要大批量復制，不可避免地會帶來失泄密的潛在風險和隱患；一旦發現試題錯誤或者其他紕漏，幾乎沒有時間進行調整，只能推遲考試時間，不利于大規模重要考試的組織和管理。

為了解決這一問題，按照教育部考試中心統一部署，結合國家教育考試綜合管理平臺建設，各省市陸續開始建設覆蓋市、區、考點的考務專用網絡?？紕諏Ｓ镁W絡與互聯網隔離，為各省考試機構依托專網來開展各類網絡化應用提供了有利的基礎環境支撐。但是，考務專網不是絕對安全的，如果在考務專網環境下實現高利害性考試試題的網絡化下發，是否能夠確保計算機化考試的安全和公平，需要進行相關的安全性驗證實驗，并采取有效的措施和技術方案。本文將從英語聽說機考的系統架構入手進行分析，逐步開展安全性驗證研究。

1 英語聽說機考系統架構分析

英語聽說機考采取人機對話形式，需要建設專用的聽說測試標準化考場[2]，每個考場要按照標準配備一定數量的計算機、耳麥，并具備身份驗證、作弊防控、視頻監控和考場環境獨立、實施數據檢查等功能[3]。由于機考考場建設的成本和考點場地的限制，英語聽說機考需要每天安排4-6場進行，不同場次使用不同的電子試卷。

為了完成英語聽說機考考試組織實施，英語聽說機考系統通常包含四個子系統：命題制卷子系統、計算機考試子系統、考務管理子系統和試卷評分子系統。命題制卷子系統用于完成英語聽說機考的電子化試卷的命制工作，需要滿足命題人員在命制英語聽說機考電子試卷中的各種需求。計算機考試子系統用于完成考生在英語聽說機考考場內的考試過程，包含管理機程序和考試機程序，功能是：考場環境檢測、考試過程管理、考試答題、考試數據導入、考試狀態監控、異常情況處理和考試數據回收?？紕展芾碜酉到y用于完成與英語聽說機考相關的各項考務管理工作，包括：考試任務管理、考試報名管理、考試成績查詢、考務組織管理和考生身份認證。閱卷評分子系統用于在閱卷場地內完成對考生答題結果的閱卷評分工作，包括：考生考試答題數據的導入，人工網上評卷、計算機自動閱卷評分和考試成績導出等功能。英語聽說機考系統的業務流程圖及其與公共服務平臺之間的關系圖如圖1所示。

從圖1的英語聽說機考業務流程圖中可以發現，英語聽說機考管理系統的總體業務流程環節如下：

圖1 英語聽說機考業務流程圖

（1）在公眾服務平臺完成當次考試的報名和身份識別后，考務管理子系統完成當次考試的考點、考場編排；

（2）命題老師在封閉場地內完成電子試卷的命制工作，生成電子試卷文件并由印廠批量復制送至考點校；

（3）考點校在考試當天打開電子試卷文件，將本次考試的試題數據導入到計算機考試子系統中。

（4）考生進入考場后在計算機考試子系統中完成身份認證，并開始進行答題，形成的結果送到閱卷評分子系統內，完成評卷工作，并將最終考試成績傳送給公眾服務平臺，供考生查詢。

從英語聽說機考系統的架構分析可以發現，在命題制卷子系統中產生的電子試卷是整個英語聽說機考中最為關鍵的信息，它在全封閉的入闈場所內完成命制，直接關系到整個考試的安全保密工作?？忌拇痤}信息也是關鍵的原始數據，對于整個考試的結果有效性來說至關重要。因此，要找到英語聽說機考的安全薄弱點，可以對電子試卷和考生答題數據的安全可靠性進行充分的實驗驗證。

2 安全性驗證方案設計

考試機構的網絡和信息系統存在安全問題主要原因有：一是對網絡安全工作不夠重視，考試工作人員安全意識不強，安全技術人員力量不足，經費投入與安全建設實際需求不匹配，安全管理制度不健全，安全防護措施不到位；二是網絡基礎設施存在漏洞，信息系統代碼編寫不規范，存在技術缺陷；三是外部社會環境復雜，考試數據和考生信息對于不法分子具有較高利用價值，考試機構的網絡和信息系統成為不法分子的潛在攻擊和破壞對象[4]。

教育考試面臨的安全風險和威脅主要來自內部和外部兩個方面：內部安全風險主要包括內部人員對信息系統的錯誤操作、越權訪問、惡意操作、蓄意破壞；外部安全風險主要包括黑客或者非授權人員對信息系統的惡意攻擊和非法入侵。按照利害關系以及威脅來源等情況，通過分析機考具體流程中可能涉及重點的技術安全風險環節，我們認為機考系統的安全性驗證應該集中關注英語聽說機考系統的安全性，特別是電子試卷和考生答題數據的安全可靠和防破解能力。因此，在設計安全性驗證方案時，擬著重從兩個方面來進行攻擊測試：一是分析命題制卷子系統產生的試卷包文件的加密安全性，如果在專網內或其他網絡情況下發試卷包被攔截破解的可能性；二是分析計算機考試子系統的安全性，研究一下將考試答題數據通過專網或其他網絡情況下直接回傳到閱卷點的安全可行性。

基于以上分析，我們確定的安全性驗證方案由兩組攻擊實驗組成，分別是：破解試卷包文件和篡改或損壞考生答題數據，具體的安全性測試場景、條件和目標如下所示。

2.1 攻擊實驗一：破解試卷包文件

1）場景一

攻擊條件：由用戶方提供一個試卷包文件。

攻擊目標：由攻擊方對試卷包文件進行數據分析解密，看能否提取到試題有關數據。

2）場景二

攻擊條件：由用戶方提供一套完整的試卷包和閱卷包文件

攻擊目標：由攻擊方對試卷包和閱卷包文件進行數據分析解密，看能否提取試題有關數據。

2.2 攻擊實驗二：篡改或損壞考生答題數據

1）場景一

攻擊條件：由用戶方提供數據回傳服務器IP地址，通過VPN登錄方式模擬進入專網

攻擊目標：破解數據回傳系統，對回傳服務器數據進行篡改或損毀。

2）場景二

攻擊條件：由用戶方提供機考考場模擬環境（包含：機考監考程序、考試機程序，加密狗U盤，考試計劃，考生相關信息）。

攻擊目標：對考場內考試系統和答題數據進行篡改或損毀。

2.3 攻擊結果

實驗一在只有試題文件時，3天時間內無任何進展；但是在告知加解密算法后，通過暴力破解等技術手段可以破解試卷中部分信息。實驗二在只有接入網絡環境下，無法對服務器產生影響；但是在告知服務器登錄信息和加解密算法后，可以嘗試對答卷數據進行部分篡改。由此可見，使用現在的模式還不能完全滿足高利害性考試的需要，必須進行相應的安全性改造，提高機考系統的安全性等級。

3 安全性改進方案

作為計算機化考試中的核心組成部分，電子試卷關系到整個考試過程是否安全。從上面的實驗可以發現，既然單一的試題文件還是存在一定的安全風險和隱患，在攻擊方掌握到足夠多的信息時存在破解的可能。如果要在專網條件下傳輸試卷，防止試卷內的數據不被竊取，需要從多個方面進行改進。在采用加密狗加密、審核流程、登錄密鑰、端點控制、數據生命周期、發放授權碼和統一開考時間技術等多種技術基礎上，我們設計一種新的試卷下發方案，將電子試題拆分分段傳輸的方式，通過考務專網下發加密電子試題到各考場，在保證試卷安全可靠的前提下，實現機考電子試題的高效傳輸，如圖2所示。

圖2 英語聽說機考試題下發流程圖

3.1 試卷包文件加密改進

在考試前1小時將命題入闈場所內生成的電子試題導入計算機考試服務器，在服務器內完成試題包的分拆加密工作，分成兩次將加密試題包1和加密試題包2分別通過網絡下發到計算機考試子系統（監考機），加密試題包1于考前1小時下發，加密試題包2于考前30分鐘下發。下載完成后，在計算機考試子系統（監考機）進行試題包完整性校驗，驗證無誤后斷開考場與外部的網絡連接。

每場考試開考前5分鐘，計算機考試子系統（考試機）通過特定的解密算法，再將加密試題包1和加密試題包2合成完整試卷包。每場考試開考時，考生進入考生界面，才能看到試題內容?？忌卿洿痤}系統之后，考生答題系統自動鎖定屏幕，考生只能操作答題界面，無法訪問文件系統，也無法打開其他應用程序，考生無法從考試機上獲取到試卷包相關文件?？忌痪碇?，計算機考試子系統（考試機）自動銷毀考試機上本場考試的試卷包相關文件。整場考試結束之后，計算機考試子系統（監考機）自動銷毀考場服務器上本場考試的試卷包相關文件。

3.2 考試程序代碼加密改進

采取多種加密方法改進考試程序：（1）代碼混淆：對代碼進行混淆處理，隱藏關鍵代碼段和系統變量，進行代碼加密混淆處理；（2）程序加殼：對監考程序的原始的函數加密保護，干擾逆向分析、防脫殼破解；（3）關鍵密碼常量隱藏：消除系統所有定義的密碼常量，采用動態變量的方式獲取，防止通過內存掃描的方式拿到關鍵信息；（4）升級壓縮加密算法：對文件名進行加密，杜絕攻擊者獲取有效信息；（5）密碼常量隱藏：消除系統所有定義的密碼常量，采用動態變量的方式獲取，防止通過內存掃描的方式拿到關鍵信息；（6）程序加殼：確保代碼不被反編譯；（7）升級壓縮加密算法：采用7z格式進行壓縮加密處理，并對文件名進行加密，杜絕攻擊者獲取有效信息；（8）定制壓縮組件：修改文件頭和格式，徹底隱藏資源格式信息；（9）試卷包分片處理：小題資源包進行分片混淆處理，將小題資源包進行分片處理，混淆部分內容，杜絕暴力破解的可能性；（10）增加密碼函的長度：擴展到20位，并增加防暴力破解機制，密碼輸入錯誤時隨機進行延時返回處理，并有一定概率返回校驗成功的結果，用于防暴力破解混淆。

3.3 考試數據回傳加密

考試完成后，對考生答卷包進行完整性和有效性校驗，確保每個小題的文件均完整無缺，并上傳到監考機，并記錄加密校驗碼到考生軌跡庫中?？忌恼Z音答題文件使用專研的加密算法和文件格式，具有高壓縮比和安全性的優勢?？忌鹁戆涂荚囓壽E庫文件采取加密存儲格式，且軌跡庫中記錄每個考生答卷包的校驗碼，可驗證考生數據的有效性?；貍鬟^程中，會對答卷包和考試軌跡庫等文件進行加密壓縮，采用特定算法，并對加密后的文件進行分片上傳，支持斷點續傳功能?？荚囓壽E庫為加密的數據庫文件，其中記錄每個考生答卷包的校驗信息，且考生答卷包同樣采用加密壓縮，一人一鑰，可以有效規避傳輸過程中出現的被篡改或損壞的問題。

3.4 考務專網

考務專網是一個從考試院到考區、考點、考場四級聯通的考務專用網絡，與互聯網實現了物理隔離，通過安全、可靠、高效的數據傳輸通道，實現考試信息和視頻的傳輸?？紕諏＞W依托教育網鏈路資源，市級采用波分技術建設，區級采用獨立光纖、波分或專線技術建設。形成與現有業務網絡、互聯網隔離的專網；專網專用，使用獨立的子網或網段，獨立承載考試相關數據的傳輸需要；網絡分級建設管理，確保數據安全、傳輸通暢、訪問可控。依托考務專網來實現英語聽說機考的關鍵數據傳輸，結合前面的安全加固方案，可有效提升機考系統的整體安全性。

4 小結

英語聽說機考是英語教育教學改革的發展方向，通過評價內容、方法和形式的深刻變革，為考生提供了更加“靈活、方便、科學、公平”的“測評服務”，解決了英語教學“聽說”的難點。本文通過對英語聽說機考系統的系統架構進行了深入分析，并從其中分析了可能存在的風險和隱患，設計了幾組攻擊實驗的場景、分析了實驗結果，最后提出了一個安全性改進解決方案。本文的研究成果將在下一步的英語聽說機考中進行驗證，并逐步在其他類型考試中進行推廣。