【正文】 選擇該門課時(shí)，這 門課便不能 被 選 上。網(wǎng)上選課提高了學(xué)生選課效率，同時(shí)大大提高了教務(wù)管理工作的效率。 為了 增加系統(tǒng)的安全性，本 系統(tǒng) 在登錄時(shí)使用 動(dòng)態(tài)口令進(jìn)行身份認(rèn)證， 在密碼中引入迭代值，每次登錄時(shí)密碼的加密次數(shù)都不一樣，因此每次傳輸?shù)拿艽a都不一樣，即使被 竊聽了，竊聽者也無(wú)法用竊聽到的口令來(lái)做下一次的登錄 。 2 理論基礎(chǔ) C C是一種簡(jiǎn)單的、現(xiàn)代的、面向?qū)ο蟮?、類型安全的、版本控制的、兼容的、靈活的、基于組件開發(fā)的編程語(yǔ)言，它是作為 Visual Studio 中的一部分推出。C既保持了 C++中熟悉的語(yǔ)法，還包含了大量的高效代碼和面向?qū)ο筇匦?，它?jiǎn)化和革新了 C++中的類、名字空間、方法重載和異常處理等領(lǐng)域， 摒棄了 C++的復(fù)雜性，更易用，更少出錯(cuò)。它不僅能應(yīng)用于 WEB 服務(wù)程序的開發(fā)，并且還能開發(fā)強(qiáng)大的系統(tǒng)級(jí)程序。 C提供了方便的功能，如垃圾收集、類型安全、版本控制等等。僅有的 代價(jià) 就是，代碼操作默認(rèn)是類型安全，不允許指針。光是類型安全就可以搞定了。但是，如果 我們 需要指針，仍可以通過非安全碼使用它們，而且當(dāng)調(diào)用非安全碼時(shí)，不能含有列集。 不僅僅是 Active Server Page (ASP) 的下一個(gè)版本；它還提供了一個(gè)統(tǒng)一的 Web 開發(fā)模型，其中包括開發(fā)人員生成 企業(yè)級(jí) Web 應(yīng)用程序所需的各種服務(wù)。 的語(yǔ)法在很大程度上與 ASP 兼容，同時(shí)它還提供一種新的編程模型和結(jié)構(gòu)，可生成伸縮性和穩(wěn)定性更好的應(yīng)用程序，并提供更好的安全保護(hù)?？梢酝ㄟ^在現(xiàn)有 ASP 應(yīng)用程序中逐漸添加 功能，隨時(shí)增強(qiáng) ASP 應(yīng)用程序的功能。 是一個(gè)已編譯的、基于 .NET 的環(huán)境，可以用任何與 .NET 兼容的語(yǔ)言（包括 Visual Basic .NET、 C 和 JScript .NET）創(chuàng)作應(yīng)用程序。另外，任何 應(yīng)用程序都可 以使用整個(gè) .NET Framework。開發(fā)人員可以方便地獲得這些技術(shù)的優(yōu)點(diǎn)，其中包括托管的公共語(yǔ)言運(yùn)行庫(kù)環(huán)境、類型安全、繼承等等。 可以無(wú)縫地與 WYSIWYG HTML 編輯器和其他編程工具（包括 Microsoft Visual Studio .NET）一起工作。這不僅使得 Web 開發(fā)更加方便，而且還能提供這些工具必須提供的所有優(yōu)點(diǎn)，包括開發(fā)人員可以用來(lái)將服務(wù)器控件拖放到 Web 頁(yè)的 GUI 和完全集成的調(diào)試支持。 當(dāng) 創(chuàng)建 應(yīng)用程序時(shí)，開發(fā)人員可以使用 Web 窗 體或 XML Web services，或以他們認(rèn)為合適的任何方式進(jìn)行組合。每個(gè)功能都能得到同一結(jié)構(gòu)的支持，使您能夠使用身份驗(yàn)證方案，緩存經(jīng)常使用的數(shù)據(jù)，或者對(duì)應(yīng)用程序的配置進(jìn)行自定義 。 包括：頁(yè)面和控件框架、 編譯器、安全基礎(chǔ)結(jié)構(gòu)、狀態(tài)管理功能、應(yīng)用程序配置、監(jiān)視運(yùn)行狀況和性能功能、調(diào)試支持、 XML Web services 框架、可擴(kuò)展的宿主環(huán)境和應(yīng)用程序生命周期管理、可擴(kuò)展的設(shè)計(jì)器環(huán)境。 動(dòng)態(tài)口令 一次性動(dòng)態(tài)口令系統(tǒng)是關(guān)于網(wǎng)絡(luò)安全的口令系統(tǒng)。它的特點(diǎn)是用戶每次輸入的口令一 樣，但傳輸?shù)椒?wù)器的口令都不一樣。每個(gè)登錄服務(wù)器的口令只使用一次，竊聽者無(wú)法用竊聽到的口令來(lái)做下一次的登錄，確保了口令的安全。 動(dòng)態(tài)口令與傳統(tǒng)的靜態(tài)口令相比具有以下優(yōu)勢(shì) ： (1)動(dòng)態(tài)性： 用戶的動(dòng)態(tài)口令隨設(shè)定的時(shí)間或事件等變量自動(dòng)變化，無(wú)需人工干預(yù)，某一時(shí)刻的產(chǎn)生的動(dòng)態(tài)口令不能在其他時(shí)刻使用。 (2)一次性： 任一時(shí)刻產(chǎn)生的動(dòng)態(tài)口令在其失效前只能被用戶使用一次，否則，系統(tǒng)將視其為非法行為而報(bào)警。 (3)隨機(jī)性： 動(dòng)態(tài)口令是隨機(jī)生成、無(wú)規(guī)律的。即使本次口令被竊聽成功，也難以由此猜出下次的口令。 (4)多重安全 性： 用戶的動(dòng)態(tài)口令令牌產(chǎn)生的動(dòng)態(tài)口令與用戶名、靜態(tài)口令等多因素結(jié)合實(shí)現(xiàn)多重認(rèn)證。即使電子令牌丟失，用戶仍可在應(yīng)急狀態(tài)下利用用戶名和靜態(tài)口令進(jìn)行用戶身份認(rèn)證。而其他非法持有者，單靠令牌無(wú)法實(shí)現(xiàn)登錄及認(rèn)證。 (5)可管理性： 統(tǒng)一的身份認(rèn)證方式和動(dòng)態(tài)口令生成方式，能大大減小在分發(fā)密碼、支持服務(wù)、密碼丟失、密碼更改及身份管理等各個(gè)方面的開銷和成本。 S/KEY 口令序列認(rèn)證方案介紹： 貝爾通信研究中心于 1991 年開發(fā)的 S/KEY 是 OPT(onetime password)的首次實(shí)現(xiàn)。 認(rèn)證步驟： (1) 用戶向服 務(wù)器發(fā)送登錄請(qǐng)求，并將用戶 ID 發(fā)送給服務(wù)器； (2) 服務(wù)器收到登錄請(qǐng)求和用戶 ID 后，在認(rèn)證數(shù)據(jù)庫(kù)中查詢?cè)?ID是否存在。若 ID 為非法 ID，則拒絕此次請(qǐng)求；若 ID 為合法 ID，則從數(shù)據(jù)庫(kù)中取出相對(duì)應(yīng)的種子 Seed 和迭代次數(shù) (Seqi)，并將這兩個(gè)數(shù)據(jù)傳送給客戶端； (3) 客戶端收到種子數(shù) Seed 和迭代次數(shù) (Seqi)后，利用客戶端的計(jì)算程序計(jì)算 Hn(Seed//PW)， (其中 n＝ Seqi)，并將計(jì)算結(jié)果作為認(rèn)證數(shù)據(jù)發(fā)送給服務(wù)器； (4) 服務(wù)器收到認(rèn)證數(shù)據(jù)后，用服務(wù)器端的計(jì)算程序 (與客戶端計(jì)算程序使 用同樣的 Hash 算法 )計(jì)算 H(HSeqi(Seed//PW))，然后將此計(jì)算結(jié)果與數(shù)據(jù)庫(kù)中存儲(chǔ)的認(rèn)證數(shù)據(jù) HSeqi+1(Seed//PW)相比較。若兩者相同，則認(rèn)證通過，用戶成功登錄；否則，認(rèn)證失敗，服務(wù)器拒絕用戶的登錄請(qǐng)求。 (5) 若服務(wù)器通過了對(duì)用戶的身份認(rèn)證，將用收到的 HSeqi(Seed//PW)替換數(shù)據(jù)庫(kù)中保存的 HSeqi+1(Seed//PW)，以便下一次認(rèn)證使用。 3 需求分析 該設(shè)計(jì)要完成的功能 本次設(shè)計(jì)所要實(shí)現(xiàn)的功能主要有以下幾點(diǎn)： (一）：學(xué)生操作 ：輸入學(xué)生學(xué) 號(hào)及密碼， 然后點(diǎn)擊 “ 登錄 ” 進(jìn)入 “ 選課系統(tǒng)的菜單頁(yè)，開始選課。 ：學(xué)生可以選課，修改已選的課程，并且查看自己選課結(jié)果。在整個(gè)選課過程中，當(dāng)一門課程的學(xué)生人數(shù)已滿時(shí)，下一個(gè)學(xué)生選擇該門課時(shí)，這門課將不被選中。 （二）：管理員操作 ：輸入用戶名和密碼，然后點(diǎn)擊“登錄”，進(jìn)入選課系統(tǒng)后臺(tái)的管理信息系統(tǒng)。 。包括課程信息，老師信息以及學(xué)生信息等。 （三）：老師操作 ：輸入用戶名和密碼，然后點(diǎn)擊“登錄”，進(jìn)入自己任課菜單頁(yè)，老師可以查看自己所 教課程、每門課的選課學(xué)生名單。 設(shè)計(jì)思路 本系統(tǒng)從學(xué)生網(wǎng)上自主選課以及管理員管理信息兩個(gè)大方面進(jìn)行設(shè)計(jì)，要基本實(shí)現(xiàn)學(xué)生的在線選課功能以及管理員對(duì)老師、學(xué)生、課程信息的管理等功能，并且登錄時(shí)在口令中引入不確定因數(shù)，使每次登錄傳送的口令信息不同，增加系統(tǒng)安全性。 登錄分三個(gè)身份：學(xué)生、老師、管理員，登錄成功后分別進(jìn)入不同頁(yè)面，學(xué)生進(jìn)入“ ”頁(yè)面，老師進(jìn)入“ ”頁(yè)面，管理員進(jìn)入“ ”頁(yè)面。學(xué)生進(jìn)入頁(yè)面后可以選課、查看自己選課、修改密碼；老師進(jìn)入頁(yè) 面后可以查看自己所任課程、選課名單、修改密碼；管理員進(jìn)入頁(yè)面后可以管理各種信息，如：管理員、老師、學(xué)生等，可以修改自己的密碼。 動(dòng)態(tài)口令 的主要思路是：在登錄過程中加入不確定因素，使每次登錄過程中傳送的信息都不相同，以提高登錄過程安全性。例如：登錄密碼 =MD5(隨機(jī)數(shù) +密碼 ），系統(tǒng)接收到登錄口令后做一個(gè)驗(yàn)算即可驗(yàn)證用戶的合法性。 當(dāng)用戶向服務(wù)器發(fā)出連接請(qǐng)求時(shí)，服務(wù)器發(fā)給用戶一個(gè) challenge。 challenge通常是由兩部分組成的：種子值 (seed)和迭代值 (iteration)，它們是在添加用戶時(shí)產(chǎn)生的 ，用戶收到 challenge 后進(jìn)行加密計(jì)算： MD5iteration(seed+password),并把結(jié)果作為回答返回服務(wù)器。服務(wù)器收到回答，將它再次加密后與所存密碼比較，如果相同就成功登錄，并更新密碼為 MD5iteration(seed+password) ，迭代值為(iteration1)。 我們可以看出，用戶通過網(wǎng)絡(luò)傳給服務(wù)器的口令是種子值和密碼的加密結(jié)果，用戶本身的密碼并沒有在網(wǎng)上傳播。攻擊者很難從中提取出原始的密碼，又因?yàn)榈悼偸遣粩嘧兓?，這使得下一次用戶登錄時(shí)使用的鑒別信息與上次不同， 從而有效地阻止了重放攻擊?？傊c靜態(tài)口令技術(shù)的單因子（口令）鑒別不同，一次性動(dòng)態(tài)口令技術(shù)是一種多因子（種子值，迭代值和密碼）鑒別技術(shù)，其中引入的不確定因子使得它更為安全。 管理員添加各類用戶時(shí)初始化口令流程： 圖 1 初始化口令流程圖 用戶登錄時(shí)驗(yàn)證口令流程： 圖 2 登錄時(shí)驗(yàn)證口令流程 4 總體設(shè)計(jì) 功能模塊構(gòu)造 圖 3 系統(tǒng)功能模塊圖 動(dòng)態(tài)口令認(rèn)證的網(wǎng)上選課系統(tǒng) 信息管理 身份驗(yàn)證 選課 教師信息的添加、修改、刪除 學(xué)生信息的添加、修改、刪除 課程信息的添加、修改、刪除 系的添加、修改、刪除 專業(yè)的添加、修改、刪除 學(xué)歷的添加、修改、刪除 查看課程選課 查看選課名單 密碼修改 課程分配 管理員信息的添加、修改、刪除 功能模塊具體介紹 身份驗(yàn)證模塊 通過登錄才可進(jìn)入選課系統(tǒng)，登錄信 息提交后檢驗(yàn)登錄者的身份是否合法，如果合法則轉(zhuǎn)入對(duì)應(yīng)的操作界面。在本系統(tǒng)中，只有三種身份：學(xué)生、老師、管理員。 登錄時(shí)在口令中引入不確定因數(shù)，使每次登錄傳送的口令信息不同。 信息管理模塊 管理員管理模塊： 負(fù)責(zé)管理管理員的基本信息。管理員可通過本模塊實(shí)現(xiàn)添加、刪除、修改管理員的基本信息。 老師管理模塊：負(fù)責(zé)管理老師的基本信息。管理員可通過本模塊實(shí)現(xiàn)添加、刪除、修改老師的基本信息，可以選擇根據(jù)老師工作證號(hào)或姓名查找老師。在該模塊中可以實(shí)現(xiàn)對(duì)老師的管理，為排課提供老師的基本信息。 學(xué)生管理模塊：負(fù)責(zé)管理學(xué) 生的基本信息。管理員可通過本模塊實(shí)現(xiàn)添加、刪除、修改學(xué)生的基本信息，可以選擇根據(jù)學(xué)生學(xué)號(hào)或姓名查找學(xué)生。在該模塊中可以實(shí)現(xiàn)對(duì)學(xué)生的管理。 課程管理模塊：負(fù)責(zé)管理課程的基本信息。管理員可通過本模塊實(shí)現(xiàn)課程的添加、刪除、修改，可以選擇按課程名或?qū)I(yè)查詢已經(jīng)添加的課程。 系別管理模塊：負(fù)責(zé)管理系別的基本信息。管理員可通過本模塊實(shí)現(xiàn)系別的添加、刪除、修改。 專業(yè)管理模塊：負(fù)責(zé)管理專業(yè)的基本信息。管理員可通過本模塊實(shí)現(xiàn)專業(yè)的添加、刪除、修改，可以按系查詢已經(jīng)添加的專業(yè)。 學(xué)歷管理模塊：負(fù)責(zé)管理學(xué)歷的基本信息。管理員 可通過本模塊實(shí)現(xiàn)學(xué)歷的添加、刪除、修改。 課程分配模塊：負(fù)責(zé)給老師分配課程。根據(jù)老師姓名，課程所屬系、專業(yè)，給老師分配課程。老師可以教不同系的課程。 密碼修改模塊：管理員、老師、學(xué)生登錄成功后在各自的頁(yè)面點(diǎn)擊“修改密碼”進(jìn)行密碼修改。 選課模塊 查看課程選課模塊：學(xué)生登錄后進(jìn)入選課頁(yè)面，在規(guī)定時(shí)間內(nèi)可以進(jìn)行選課、退選，選擇人數(shù)已滿的課程時(shí)，該課程不能被選上，學(xué)生可以查看自己已選課程。 查看選課名單模塊：老師登錄后可以根據(jù)自己所教課程查看選課名單，只有學(xué)生選擇了的課程才會(huì)顯示。 ER 圖 圖 4 ER 圖 數(shù)據(jù)庫(kù)設(shè)計(jì) 根據(jù)系統(tǒng)功能設(shè)計(jì)的要求以及功能模塊的劃分，對(duì)于系統(tǒng)用戶信息數(shù)據(jù)庫(kù)，可以列出以下數(shù)據(jù)項(xiàng)和數(shù)據(jù)表： 表 1 課程表 Lessions(課程 ) 數(shù)據(jù)庫(kù)字段名 中文名 字段類型 是否為空 備注 LessionID(主鍵 ) 課程 ID Int 否 從 1 開始自動(dòng)增長(zhǎng)，以后有“ Auto”表示 GradeMark 年級(jí) Varchar（ 10） 否 LessionName 課程名 Varchar(200) 否 LessionIsChoose 是否可選 Bit 否 1 表示是 0 表示否 (默認(rèn)為 0) LessionChooseStartDate 選課開始時(shí)間 Dataetime 否 LessionChooseEndDate 選課結(jié)束時(shí)間 Dataetime 否 LessionMaxPerson 選課最多人數(shù) Int 否 LessionAddDate 課程添加時(shí)間 Datetime 否 LessionTimeLength 課時(shí) Int 否 LessionDescription 課程備注 Text 是 StudyDepartmentID 專業(yè) ID Int 否 關(guān)系表 (StudyDepartments) LessionIsMain 是否為必修 bit 否 表 2 老師表 Teachers(老師 ) 數(shù)據(jù)庫(kù)字段名 中文名 字段類型 是否為空 備注 TeacherID(主鍵 ) 老師 ID Int 否 Auto TeacherNumber 老師的工作證號(hào) Varchar(20) 否 TeacherName 老師名稱 Varchar(50) 否 TeacherUerName 老