专利名称:一种网络教学管理系统的制作方法
技术领域:
本发明涉及信息安全领域,目的为利用以HQ (Public Key hfrastructure,公 开密钥基础设施)技术为基础的数字签名、数字证书、CA(Certificate Authority,授权机 构)认证技术以及DRM(Digital Rights Management,数字权限管理)技术,特别涉及一种
网络教学管理系统。
背景技术:
随着现代信息技术的迅速发展及以计算机网络技术为核心的信息高速公路的兴 起、发展以及局域网技术的日趋成熟,教学管理系统已经进入网络时代。网络教学管理系统 覆盖了学校教务、教学活动的各个环节,管理着教学活动中的教师、学生、教学课件、教室和 教材等所有教学资源,一方面为广大师生提供了资源和便利,然而另一方面信息的安全不 能得到保证。1.网络教学管理系统的安全需求网络教学管理系统主要包括网上学生信息管理、教师信息管理、选课及成绩管理 以及教学课件管理等。在操作过程中,一些敏感信息通过网络传输,很容易出现安全问题。 针对教学管理系统的现状,提出如下的安全需求1. 1身份认证需求现有的网络教学管理系统中,大都是基于口令认证。这种认证方式存在严重的不 足,学生每次访问网络教学管理系统都以明文方式输入口令,很容易泄密;口令在传输过程 中可能被截获;只进行单向认证,即网络教学管理系统可以认证用户,而用户无法对网络教 学管理系统进行认证,攻击者可能伪装成网络教学管理系统骗取用户的口令;选课中经常 出现因密码泄漏而造成的所选课程被删除的情况,以及学生对选课结果的抵赖行为。这就 要求使用一种更加先进的方法对用户的身份进行认证,并能够鉴别用户的行为。1.2数据的完整性需求数据的完整性是指数据在传输过程中不能被非法篡改。保证信息从真实的发信者 传送到真实的收信者手上,传送过程中没有被他人添加、删除、替换。即要求双方都能够验 证收到的信息是否完整和被篡改。1.3数据的保密性需求数据保密性的目的要保证信息不被未授权的其他人获得。教学管理的过程中有一 些敏感信息,在网络中传播时需要进行保密。实现数据的保密有三种方法。一种方法就是利 用网络教学管理系统的存取控制,但是用访问控制方法实现保密就必须信任主机,这种方 法只能在小范围内起作用。另外一个方法就是加密,通过一种运算,使非法的偷听者看不懂 信息的内容。加密又分为对称加密和为非对称加密。保密性还可以通过信息隐藏来实现, 将一段信息藏在另一段信息中,使对方无法发现,从而实现保密性。1.4数字资源版权管理的需求网络教学管理系统的各种资源都是以软件的形式提供给学生的,这些资源发布后可以完全开放也可以设置权限或提供有偿服务等,这时不但需要确定用户身份,判断其是 否是合法用户,还要对用户在使用数字内容时进行授权,对合法用户的使用情况进行跟踪、 记录。
发明内容
为了保护网络教学管理系统的资源不容易受到攻击,保证教学管理信息可用性、 完整性、一致性,有效阻止信息不被篡改、滥用,确保信息数据的使用只能是合法用户;保证 教学资源的版权保护,本发明提供了一种网络教学管理系统,详见下文描述一种网络教学管理系统,所述网络教学管理系统包括CA中心、数字证书模块、数 字签名模块和DRM管理模块;用户端在所述CA中心通过所述数字证书模块获取相应的数字证书;所述用户端 通过所述相应的数字证书登录所述网络教学管理系统,通过所述数字证书模块验证所述用 户端的身份,若身份验证失败,退出所述网络教学管理系统;若身份验证成功,所述用户端 通过所述数字证书模块进行查询操作和浏览操作;所述用户端通过所述数字签名模块实现 选课和对成绩进行管理;所述用户端通过所述DRM管理模块实现对教学资源的下载。所述CA中心用于生成公钥、私钥、所述数字证书的申请、签发、验证、查询和撤销 以及加解密签名验证。所述数字证书遵循国际电信联盟ITU-T提出的X. 509国际标准,采用DER编码,由 开放的源代码0PENSSL产生。所述数字签名模块包括获取子模块、运算子模块和生成子模块;所述用户端执行选课或成绩管理操作时,通过所述数字证书模块导入所述相应的 数字证书,所述获取子模块从所述相应的数字证书中获取私钥和私钥对应的HASH函数;所 述运算子模块对所述HASH函数进行运算,形成HASH摘要;所述生成子模块对所述HASH摘 要进行加密运算,生成数字签名。所述DRM管理模块包括内容制作子模块、内容保护子模块、内容存储管理子模 块、DOI子模块、版权管理子模块、内容发布子模块和客户端;所述内容制作子模块对所述教学资源进行转化、编码和压缩处理,获取处理后的 教学资源;所述内容保护子模块向所述DOI子模块申请DOI标识,根据所述DOI标识、元数 据信息、权限控制信息和加密密钥对所述处理后的教学资源进行处理,获取数据包以及单 向散列函数;将所述数据包以及所述DOI标识、所述元数据信息、所述权限控制信息交给所 述内容存储管理子模块;同时,将所述DOI标识、所述元数据信息、所述权限控制信息、所述 加密密钥以及所述单向散列函数发送给所述DOI子模块;所述内容存储管理子模块对所述 数据包进行存储;所述版权管理子模块根据所述权限控制信息确定所述数据包的使用权 限,并签发管理许可证;所述用户端在所述客户端向所述版权管理子模块申请相应权限的 数字证书;所述内容发布子模块处理所述用户端的注册申请,下载请求并返回相应的结果。本发明提供的技术方案的有益效果是本发明提供了一种网络教学管理系统,本发明利用CA中心的数字证书进行身份 识别,可以确保用户身份的真实性;利用数字证书对提交的表单数据进行数字签名,确保用 户身份的真实性、表单数据的完整性和其行为的不可抵赖性;利用基于数字证书的数据加密技术对网络中传输的机密文件加密,可以确保敏感信息的安全传输,防止敏感数据被恶 意篡改或者泄露;利用数字证书对教学资源进行数字版权管理,可以动态的管理用户的许 可证,增强了 DRM管理模块的安全性和方便性;数字证书可以作为识别身份的最佳方式,通 过使用由可信证书机构颁发的数字证书,结合对应的私钥,完成对用户的单向或双向身份 认证,克服了传统的口令认证方式的弊端;同时,数字证书适应网络环境中对信息传输的保 密性、数据传输的不可修改性、发送信息的不可否认性的要求,加密强度可达IOM位,保证 信息及管理操作的安全可靠,对于信息在网络上的安全传递起到了保障作用;该系统保证 了网络教学管理系统的可用性、完整性以及一致性;有效阻止信息不被篡改,确保信息数据 的使用只能是合法用户;在教学资源的周期内,DRM技术提供了比较完善的数字权限管理 机制,避免了教学资源被随意泄露、传递、复制和修改,确保教学资源受到完整保护,维护了 所有者的权益。
图1为本发明提供的网络教学管理系统的结构示意图;图2为本发明提供的数字签名模块的结构示意图;图3为本发明提供的数字签名模块的另一结构示意图;图4为本发明提供的DRM管理模块的结构示意图。
具体实施例方式为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方 式作进一步地详细描述。为了保护网络教学管理系统的资源不容易受到攻击,保证教学管理信息可用性、 完整性、一致性,有效阻止信息不被篡改、滥用,确保信息数据的使用只能是合法用户;保证 教学资源的版权保护,本发明实施例提供了一种网络教学管理系统,参见图1,详见下文描 述PKI是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设 施。它是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基 础设施。PKI的基础技术包括公开密钥算法、数字摘要、数字签名和身份认证技术。公开密钥算法是1976年由Diffie和HelIman首先提出的,又称非对称加密算法, 它包括一对密钥,一个是加密密钥或公开密钥,另一个是解密密钥或私人密钥,加密密钥不 同于解密密钥,且由加密密钥导出解密密钥在计算上不可行。加密密钥要公开,解密密钥 要绝对保密。使用密钥对的任何一个密钥加密的信息都可以用另一个密钥正确进行解密。 每个用户都有专用的密钥,易于分发和管理,但公开密钥算法实现困难、计算量大以及速度 慢。公钥密码体系使用的加密技术的安全强度都是基于一些数学难题,基于不同数学难题 的公开密钥算法主要分为基于整数因式分解的公钥密码技术,如RSA ;基于离散对数的公 钥密码技术,如DSA(Digital Signature Algorithm,数字签名算法)、DH(Diffie-Hellman) 等;基于椭圆曲线的公钥密码技术,如ECC(Elliptic Curve Cryptosystems,椭圆曲线密码 体制)。数字签名利用散列函数保证了数据的完整性,数字签名引入了 HASH算法,HASH算法对原始报文进行运算,得到一个固定长度的数字串,成为HASH摘要,不同的消息所得到 的HASH摘要各异,但对相同消息它的HASH摘要却是唯一的。同时数字签名是建立在公钥 加密基础上的,数字签名的签名算法要满足以下条件签名者事后不能否认;接收者只能 验证;任何人不能伪造;双方对签名的真伪发生争执时,由第三方进行仲裁。数字证书是一个经CA中心进行数字签名的包含公开密钥拥有者信息以及公开密 钥的文件。数字证书把公开密钥和密钥的持有者绑定,确保了公开密钥和持有者的一致性, 通过发放者的数字签名使得公开密钥和持有者标识不能被篡改。数字证书是公开密钥体制 的一种密钥管理媒介,它是一种权威性的电子文档,形同电子的身份证,用于证明某一主体 的身份以及其公开密钥的合法性。CA中心作为权威的、可信赖的以及公正的第三方机构,专 门负责为各种认证需求提供数字证书服务。由于数字证书是用CA中心的私钥签名,因而任 何人都不可能伪造和篡改数字证书。DRM技术不但可将数字内容加密,还可设定使用者权限(如复制、播放次数以及过 期设定等)等,在教学资源生命周期内,提供较完善的数字权利管理机制,让硬件与软件能 在最佳状态下相互结合,继而做到机密信息的内容保密,藉此解决教学资源被随意泄漏、传 递、复制以及修改,确保教学资源受到完整的保护,维护所有者的权益。DRM管理模块就是利 用先进的信息技术,在提供数字化和网络化信息服务的同时,有效地阻止对这些信息的非 法使用和拷贝以达到保护数字知识产权的目的。网络教学管理系统中DRM技术的应用主要 有版权信息标识、对课件内容和教学资源加密和使用权限控制。用户的管理许可证存放在DRM管理模块上,每次用户使用下载的教学资源时,都 需要使用数字证书向DRM许可证管理服务器进行认证,获得解密密钥。这样虽然限制了用 户只能在线使用教学资源,但却增强了 DRM管理模块的安全性,并可以对教学资源的管理 许可证进行动态的管理。用户的管理许可证由DRM管理模块保存,使用时由服务器完成对 管理许可证有效性的验证,减少了攻击者破解管理许可证,绕过DRM管理模块验证的机会。 另外由于管理许可证是保存在DRM管理模块上,用户就可以在任何可以连接网络的计算机 上使用自己购买的管理许可证来使用教学资源。本发明实施例是信息安全技术在网络教学管理系统中的应用,主要是利用PKI技 术和DRM技术,给出网络教学管理系统的安全模型,阐述构建网络教学管理系统的实现方 法和具体技术,最后实现了这个网络教学管理系统。其中在数据安全和内容管理中采用πα 技术,利用数字证书实现了身份认证;基于数字签名技术保证了数据传输中的一致性、完整 性和不可否认性;利用数字证书和DRM技术实现数据资源版权管理。参见图1,网络教学管理系统包括CA中心、数字证书模块、数字签名模块和DRM管 理模块;用户端在CA中心通过数字证书模块获取相应的数字证书;用户端通过数字证书 登录网络教学管理系统,通过数字证书模块验证用户的身份,若身份验证失败,退出网络教 学管理系统;若身份验证成功,用户端通过数字证书模块进行查询操作和浏览操作;用户 端通过数字签名模块实现选课和对成绩进行管理;通过DRM管理模块实现对教学资源的下 载。其中,网络教学管理系统实现的前提条件是要有CA中心的支持,CA中心是PKI中 的证书签发机构,是HiI的核心和基础。CA中心作为可信的第三方权威机构按照一定的安全策略为其它各实体签发实体证书、CRL证书,对实体的证书进行公证。即网络教学管理系 统中的用户能够申请到自己的数字证书,能够从CA中心获得证书库信息和证书撤消列表, 并对其进行有效性和完整性验证,都能够支持网络教学管理系统所需的加密算法,HASH算 法等。CA中心的主要功能有生成公钥、私钥、证书的申请、数字证书的签发、数字证书的验证 查询撤销以及加解密签名验证服务,网络教学管理系统中使用的数字证书主要遵循国际电 信联盟ITU-T提出的X. 509国际标准。为了计算签名,数字证书采用DER(Distinguished Encoding Rules,可辨别编码规则)编码,数字证书格式的ASN. 1定义如下
Certificatea: :EQUENCE{tbsCertifleate TBSCertificate, //尚未被签名的数字证书内容 signatureAIgorithm Algorithmldentifier, //签名算法 signatureValue BIT STRING} //签名值 TBSCertificate =SEQUENCE{
version
EXPLICITVersionDEFAULTvl, //数字证书版本号,此处为v3
scrialNumber CectifieateSeri alNumber, //序歹 ll 号
signature Algorithmldentifier, //签名
issuer Name, //颁发者
validity Validity, //有效期
subject Name //主体
subj ectPublicKeylnfo SubjectPublicKeylnfo, //主体公钢信肩、
issuerUniquelD [1] IMPLICIT unjqueldentmer OPTIONAL,
-Ifpresent,version shall be v2 or v3 //颁发者唯一标识符
subjectUniquelD [2] IMPLICIT Uniqueldentifier OPTIONAL,
—If present, version shall be v2 or v3 //主体唯一标识符
extensions [3] EXPLICIT Extensions OPTIONAL
—If present, version shall be v3 //可选扩展
Version:-INTEGER(vl(0), v2(l), v3(2))
CertificateSelialNumber::=INTEGER
Validity: -SEQUENCE {
notBefore Time,
ηotAfter Time}
Time::=CHOICE{
uteTime UTCTime,
generalTime GeneralizedTime}
Uniqueldentifier::2BIT STRING
SubjectPublicKeylnfo : -SEQUENCE{
algorithm AlgorithmJdentifier,
subjectPublicKey BIT STRING)
Extensions::=SEQUENCE SIZE(1 一MAX)OF ExtensionExtension: :=SEQUENCE{ extnlD OBJECT IDENTIFIER, critical BOOLEAN DEFAULT FALSE
extnValue OCTET STRING}网络教学管理系统利用开放的源代码OPENSSL提供的应用程序接口来开发。 0PENSSL是一个开放源代码的软件包,它实现了从底层对称和非对称加密算法到建立在其 上的I3KCS接口,包括X. 509数字证书、PKCS系列标准、ASN. 1语法、DER编码等。通过调用 OPENSSL提供的各种应用程序接口,可以大大地降低开发工作量,需要做的只是结合根据网 络教学管理系统的要求,分析OPENSSL源代码,然后调用提供的功能函数接口。网络教学管理系统中使用的数字证书由OPENSSL产生的。(I)OpenSSL > genrsa_des3 — out userl. key 1024这个命令用来生成用户的RSA密钥对,并将其私钥输出到userl. key文件中,且用 3DES加密该文件。与生成CA的私钥一样,此文件的读取也用口令加以保护。(2) OpenSSL > ca-days 365 一 in used. csr_out_uscrl· pem-configopenssl. Cnf用数字证书权威的私钥cakey. pem给数字证书请求签名,生成用户的数字证书 used, pem,并保存在数字证书数据库中。其中,下面以建立https安全连接服务器认证过程为例,描述数字证书模块按SSL 协议对服务器认证的过程,详见下文描述服务器把数字证书和进行认证所需要的其他信息传送给用户;用户端检查服务器 数字证书的有效日期在通信的当日是否仍然有效;用户端检查发给服务器数字证书的CA 中心是否在“可信任的CA中心”名单内;如果CA中心对于用户来讲是可信任的,就使用这 一数字证书带有的公钥来检查CA中心对服务器数字证书的签字,以证明服务器数字证书 的真实性用户端检查在服务器数字证书中所给出的服务器的域名与此次通信对象(即服 务器)的域名是否相同;如果上述检查均正常通过,就完成了服务器认证;否则,如果上述 任何一项检查没有通过,身份认证的工作就失败了。将客户端发来的数据解密;将解密后的数据分解成原始数据、签名数据和客户数 字证书三部分;用CA中心里的用户数字证书验证客户数字证书的签名完整性;检查客户数 字证书是否有效(当前时间在数字证书结构中的所定义的有效期内)检查客户数字证书 是否作废;验证客户数字证书结构中的证书用途;客户数字证书验证原始数据的签名完整 性;如果以上各项均验证通过,则接受该数据。在Web应用中,SSL安全通道建立起来后,如果是双向认证,服务器就把客户的数 字证书存到当前会话的属性列表中。认证过程是客户端在浏览器里用https发出请求,服 务器把自己的证书发送到客户端。客户端验证服务器证书,通过后,发送客户自己的证书到 服务器。服务器验证客户证书。通过后,就可完成密钥交换,SSL加密通道就成功建立,服务 器就把客户的数字证书存到当前会话“javax. servlet. request. X. 509Certif icate”属性 中。应用程序读取该属性,获取客户证书,提取证书某些项的内容,即可确定客户的身份和 他的权限。下面Java代码实现了客户机和服务器双向身份认证通过后,客户机通过自己数字证书自动登录。对系统的签名Java语言的security package包含了一系列的API数, 可以用来提供加密、数字签名等功能。下面使用Java,通过一个签名的实例来说明数字签名 的创建和校验过程。
paekageexamples. cerl; import) ava. util. *; import) avax. servlet. * improtjavax. servlet. http. * publieelassMyCert {
privatejava. security, eert. X509Certifieate[]javaCerts=null;
privateHttpServletRequest. req=null ;
publicMyCertO{}
检查客户身份认证是否成功
publicbooleanisMutualAuth(HttpServletRequestreq){
this. req=req;
javaCeas2(java. security, cert. X509Certifieate[])
req. getAttribute(''javax. servlet. request. X509Certificate");
ifoavaCert==null)retumfalse ;
returntme;)
fmt=CN,OU,O,L,ST,C,EmailAddress publicStringgetItem(Stringdn,Stringfmt) {ifoavaCert==null)retum. null; inti=dn. indexOf(fmt+ "="); if(i-==l)retum. null; intk=dn. indexOffz(i); if(==-l)
retumdn. substring(i+fmt. length()+l); else
retumdn. substring(i+fmt. IengthQ+1, k); } 从数字证书中取出subject
public StringgetSubjectD() {
ifoavaCert==null)reture. null; returnjavaCerts
. getSubjectDQ. getNam();上述程序中,ClassMykrvlet是应用后端,它检查客户身份认证是否成功;如果 成功,就取出客户数字证书中的subject项,获得客户名称,然后根据客户名到数据库中检 查客户权限,执行相应的功能,从而实现自动登录。参见图2和图3,数字签名模块包括获取子模块、运算子模块和生成子模块;用户 端执行选课或成绩管理操作时,通过数字证书模块导入相应的数字证书,获取子模块从相 应的数字证书中获取私钥和私钥对应的HASH函数;运算子模块对HASH函数进行运算,形成 HASH摘要;生成子模块对HASH摘要进行加密运算,生成数字签名。网络教学管理系统根据数字证书可以确认用户的身份,确保了用户操作的不可抵 赖性。Java语言的security package包含了一系列的API数,可以用来提供加密、数字 签名等功能,详见下文描述建立指向待数字签名的指针;打开包含数字证书的证书库,找 到数字证书;从数字证书中获取私钥和私钥对应的HASH函数;用指定的HASH函数进行运 算,产生数据的HASH摘要;用获取的私钥对HASH摘要进行加密运算,形成数字签名。其中,数字证书必须包括以下两个属性必须安装到一个特定的 CSP (Cryptographic Service Provider,加密服务提供程序),用户私钥保存在这个特定的 CSP中;数字证书中必须指定HASH摘要的HASH算法,这些只需要被设置一次,其中,一个完整的数字签名包括以下内容待签名数据;产生HASH摘要的HASH算法;数字签名;签名者标识(证书颁发者名称和序列号);用客户私钥进行签名,系统中通过函数getSignatur ()实现FUNCTION getSignature(SignedData, sContent)参数值CAP1C0M的签名对象和签名内容返回值签名后产生的内容Signer参数产生签名的对象,由它从证书库中获取私钥进行签名;Bdetached参数数字签名结果中是否要包括签名前的消息,一般情况下设置为 FALSE。其中,在网络教学管理系统中Signer参数值设置为Nothing,使得CAPIC0M自动显 示一个选择数字证书的界面,让用户自行选择数字证书。选择数字证书后,CAPIC0M自动创 建了 Signer对象,并在Signers对象的第一个Singer的Certificate属性中保存了该数 字证书的内容。其中,参见图4,DRM管理模块包括内容制作子模块、内容保护子模块、内容存储 管理子模块、D0I(Digital Object Unique Identifier,数字对象唯一标识符)子模块、版 权管理子模块、内容发布子模块和客户端;内容制作子模块对教学资源进行转化、编码和压缩处理,获取处理后的教学资源; 内容保护子模块向DOI子模块申请DOI标识,根据DOI标识、元数据信息、权限控制信息 和加密密钥对处理后的教学资源进行处理,获取数据包以及单向散列函数;将数据包以及 DOI标识、元数据信息、权限控制信息交给内容存储管理模块;同时,将DOI标识、元数据信 息、权限控制信息、加密密钥以及单向散列函数发送给DOI子模块;内容存储管理子模块对 数据包进行存储;版权管理子模块根据权限控制信息确定数据包的使用权限,并签发管理 许可证;用户端在客户端向版权管理子模块申请相应权限的数字证书;内容发布子模块处 理用户端的注册申请,下载请求并返回相应的结果。通过将DOI标识、元数据信息、权限控制信息、加密密钥以及单向散列函数发送给 DOI子模块,从而使网络教学管理系统具有版权保护动能。其中,DOI子模块负责为网络教学管理系统内各参与方的内容源单位分配唯一的 DOI标识,并管理这些标识;DOI子模块负责管理内容保护子模块提交上来的DOI标识、元数 据信息、权限控制信息、加密密钥以及单向散列函数,以及网络教学管理系统内各参与方的 DOI标识(不包括终端用户);与内容存储管理子模块同步更新元数据信息和其他信息;管 理员可以通过专用客户端手动进行数据的更新,同时与存储管理子模块保持同步;处理基 于元数据字段的数字内容查询请求;对DOI子模块进行解析等等。其中,版权管理子模块是网络教学管理系统的核心模块,负责内容权限规则、资费 政策的制定、数据包的使用权限以及根据用户请求制作、发放和管理许可证等功能。其中, 内容发布子模块是与用户直接打交道的子模块,对外负责用户的注册获取用户标识信息, 用户管理、用户认证、发布内容、提供内容的检索和下载界面,处理管理许可证的申请请求 以及下载请求,负责交易情况的查询以及费用查询等;对内负责与各子模块的通信,将各种请求向相应子模块转发并返回结果等。其中,客户端包括内容使用客户端程序和相关接口,用于开发给用户使用的支持 版权管理功能的客户端应用软件,以便在用户端进行加密密钥的合成,受保护数据包的回 放,用户认证,获取数字内容,使用许可证申请、保存、管理,数字内容的访问控制等。在本网 络教学管理系统中,客户端可以分成两部分,一部分用于版权保护,一部分用于数据包的回 放。综上所述,本发明实施例提供了一种网络教学管理系统,本发明实施例利用CA中 心的数字证书进行身份识别,可以确保用户身份的真实性;利用数字证书对提交的表单数 据进行数字签名,确保用户身份的真实性、表单数据的完整性和其行为的不可抵赖性;利用 基于数字证书的数据加密技术对网络中传输的机密文件加密,可以确保敏感信息的安全传 输,防止敏感数据被恶意篡改或者泄露;利用数字证书对教学资源进行数字版权管理,可以 动态的管理用户的许可证,增强了 DRM管理模块的安全性和方便性;数字证书可以作为识 别身份的最佳方式,通过使用由可信证书机构颁发的数字证书,结合对应的私钥,完成对用 户的单向或双向身份认证,克服了传统的口令认证方式的弊端;同时,数字证书适应网络环 境中对信息传输的保密性、数据传输的不可修改性、发送信息的不可否认性的要求,加密强 度可达IOM位,保证信息及管理操作的安全可靠,对于信息在网络上的安全传递起到了保 障作用;该系统保证了网络教学管理系统的可用性、完整性以及一致性;有效阻止信息不 被篡改,确保信息数据的使用只能是合法用户;在教学资源的周期内,DRM技术提供了比较 完善的数字权限管理机制,避免了教学资源被随意泄露、传递、复制和修改,确保教学资源 受到完整保护,维护了所有者的权益。本领域技术人员可以理解附图只是一个优选实施例的示意图,上述本发明实施例 序号仅仅为了描述,不代表实施例的优劣。以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和 原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种网络教学管理系统,其特征在于,所述网络教学管理系统包括CA中心、数字证 书模块、数字签名模块和DRM管理模块;用户端在所述CA中心通过所述数字证书模块获取相应的数字证书;所述用户端通过 所述相应的数字证书登录所述网络教学管理系统,通过所述数字证书模块验证所述用户端 的身份,若身份验证失败,退出所述网络教学管理系统;若身份验证成功,所述用户端通过 所述数字证书模块进行查询操作和浏览操作;所述用户端通过所述数字签名模块实现选课 和对成绩进行管理;所述用户端通过所述DRM管理模块实现对教学资源的下载。
2.根据权利要求1所述的网络教学管理系统,其特征在于,所述CA中心用于生成公钥、 私钥、所述数字证书的申请、签发、验证、查询和撤销以及加解密签名验证。
3.根据权利要求1或2所述的网络教学管理系统,其特征在于,所述数字证书遵循国际 电信联盟ITU-T提出的X. 509国际标准,采用DER编码,由开放的源代码0PENSSL产生。
4.根据权利要求1所述的网络教学管理系统,其特征在于,所述数字签名模块包括获 取子模块、运算子模块和生成子模块;所述用户端执行选课或成绩管理操作时,通过所述数字证书模块导入所述相应的数字 证书,所述获取子模块从所述相应的数字证书中获取私钥和私钥对应的HASH函数;所述运 算子模块对所述HASH函数进行运算,形成HASH摘要;所述生成子模块对所述HASH摘要进 行加密运算,生成数字签名。
5.根据权利要求1所述的网络教学管理系统,其特征在于,所述DRM管理模块包括内 容制作子模块、内容保护子模块、内容存储管理子模块、DOI子模块、版权管理子模块、内容 发布子模块和客户端;所述内容制作子模块对所述教学资源进行转化、编码和压缩处理,获取处理后的教学 资源;所述内容保护子模块向所述DOI子模块申请DOI标识,根据所述DOI标识、元数据信 息、权限控制信息和加密密钥对所述处理后的教学资源进行处理,获取数据包以及单向散 列函数;将所述数据包以及所述DOI标识、所述元数据信息、所述权限控制信息交给所述内 容存储管理子模块;同时,将所述DOI标识、所述元数据信息、所述权限控制信息、所述加密 密钥以及所述单向散列函数发送给所述DOI子模块;所述内容存储管理子模块对所述数据 包进行存储;所述版权管理子模块根据所述权限控制信息确定所述数据包的使用权限,并 签发管理许可证;所述用户端在所述客户端向所述版权管理子模块申请相应权限的数字证 书;所述内容发布子模块处理所述用户端的注册申请,下载请求并返回相应的结果。
全文摘要
本发明公开了一种网络教学管理系统,涉及信息安全领域,所述网络教学管理系统包括CA中心、数字证书模块、数字签名模块和DRM管理模块;用户端在所述CA中心通过所述数字证书模块获取相应的数字证书;所述用户端通过所述相应的数字证书登录所述网络教学管理系统,通过所述数字证书模块验证所述用户端的身份,若身份验证失败,退出所述网络教学管理系统;若身份验证成功,所述用户端通过所述数字证书模块进行查询操作和浏览操作;所述用户端通过所述数字签名模块实现选课和对成绩进行管理;所述用户端通过所述DRM管理模块实现对教学资源的下载。保护了网络教学管理系统的资源不容易受到攻击,保证了教学管理信息可用性、完整性和一致性。
文档编号H04L9/32GK102143178SQ201110079358
公开日2011年8月3日 申请日期2011年3月30日 优先权日2011年3月30日
发明者付胜博, 刘春辉, 赵政 申请人:天津大学