基于WEB方式的国学学习平台的构建

翁健高 石娟 易向阳

摘要：本文从软件架构、网络架构、系统实现等方面阐述了采用VB、ASP和SQL2000等开发工具开发基于互联网的国学学习软件系统的方法和技术，并对互联网中的软件安全进行了系统的研究和实现。

关键词：国学学习；互联网；安全

中图分类号：TP393 文献标志码：A 文章编号：1674-9324（2014）33-0231-02

为了推动中国五千年文明的传承、建设和谐社会、弘扬中华传统文明，为了拓展国学学习的方法及效果、增添国学学习的积极性和趣味性，本软件以新的方式革新传统国学的学习方式，通过国学经典录学软件的推广，逐篇录入“国学经典”名篇，辅于适当奖励的方式，参与者通过反复录入，可将国学经典内容铭记于心，既能深刻领会其精神内涵，又能提升自身的文化素养、道德修养、以及为人处世的方法，收到较好的效果。

一、软件架构

国学经典软件是一套网络软件，依拓于远端后台网站服务器的支持和前端客户端的配合实现国学经典录入与成绩评定的功能。服务器端主要提供国学经典名篇下载、成绩登记和成绩排名，当天录入成绩前十名名单公布和获奖名单公布等功能；前端客户端主要实现用户注册、用户登录、年度成绩排名、当天成绩排名、国学名篇录入、录入成绩上传等功能。年度成绩排名和当天成绩排名模块设立的目的是让所有参加国学录入的选手，及时了解本人当天及年度的录入成绩与第一名成绩的差距，以比赛的形式展开国学的学习，使被动而枯燥的国学学习转化为自觉而有趣的国学探讨，促进录学活动的展开。

二、网络架构

客户端用户注册并登录—网站服务器确认—国学经典篇章下载及年度和当日成绩排名反馈—客户端国学篇章录入—成绩统计—成绩上传—网站服务器统计年度和当日的成绩并保存各用户成绩。成绩排名的目的是让参赛选手了解当天的成绩排名后能有意识地安排自己的学习时间，从而争取能获得更好的成绩，促进录学活动的展开。

三、系统实现

服务器端采用ASP语言来开发，动态网页主要包括用户注册、用户登录、成绩上传、排名反馈、成绩临时保存等頁面，核心数据的接收处理用VB编写的DLL完成，后台数据库用SQL2000登记用户及比赛成绩，并通过存储过程动态提取每天前十名参赛选手给予奖励和实现年度及当天积分的自动排名。软件的设计是基于比赛的方式来进行国学的学习，以打字成绩作为奖励的基础，而IE浏览器的缺陷使得打字成绩易于被黑客修改。为了保证奖励的公平公正，本软件不采用IE浏览器作国学录入的客户端，`而像QQ界面一样用VB6.0语言重新开发客户端界面，客户端主要由用户注册及登录、国学篇章下载、打字及成绩上传、龙虎榜（每天前十名显示）、成绩查询和用户信息修改等模块组成。在客户端中采用Winsock控件模拟IE浏览器向网站服务器进行信息交互，控件与网站进行交互时，利用HTTP标准协议作为通讯协议实现跨网段、大范围的网络连接，这样可以避免了联通、铁通和教育网络互联性差的缺陷，实现整个互联网的参与，增强了国学学习的覆盖面。

四、软件安全

国学经典录学软件是由广西百合吉科技有限公司资助开发的软件项目，该软件兼具有游戏的性质，软件在国学名篇的录入中最后以录入文章的数字的多少作为录入成绩上传到网站的SQL数据库服务器中存储，到当天晚上零时由从高到低自动排名，并筛选出前十名作参赛选手作为当天国学经典文章录入的优胜者进行奖励，达到“以奖促学”的目的。为了防止黑客的攻击，录入成绩能真实反映参赛选手的学习情况，对软件的安全和成绩提交时的数据安全应作重点考虑。

1.保障国学录学的有效性。为了使录入的国学文章保证是手工录入，避免用户在录入过程中采用从其他相同的文章中复制粘贴的投机取巧的方式获得录入成绩，客户端应通过Windows API的方法禁止剪贴板的使用；为了学习的有效性，还应该限制输入法的造词功能，录入字符的长度一次最多只能录入四个汉字。

2.防止恶意数据提交。由于软件采用的是B/S架构，客户端与网站服务器交互是用ASP语言开发的网页文件，客户端的成绩数据在内存中应作可逆的随机加密和MD5数据加密，上传前再对上传的数据进行合并伪装后才上传数据，这样恶意用户很难分析出IP数据包的格式从而避免恶意数据提交。客户端数据上传到ASP接收页面时要先解密出成绩数据并作MD5加密比较，验证通过后才能写入数据库，保证了成绩数据的真实可靠。

3.服务器数据安全。服务器的成绩接收页面主要用数据分析及入库的代码用DLL的方式进行加密封装，能有效防止网站入侵后成绩接收页源代码的泄漏。DLL内部主要功能是解密客户端上传的加密数据，并将原来已合并的数据分解成相应项，将解密的成绩再作MD5加密后与客户端中原成绩的MD5加密作比较，比较通过后才将成绩写入SQL数据库。对核心数据处理语句进行DLL动态链接库的封装，隐藏了核心数据和SQL数据库操作语句，避免出现了恶意用户没有真正录入而通过恶意手段录入或更改成绩的现象。

4.客户端软件安全。客户端软件安全也是本软件考虑的核心项目。由于客户端是独立的软件而不是IE浏览器，本软件兼具游戏的性质，而保证客户端软件不被修改和探测是当前游戏软件需要考虑的重点项目。成绩信息采用动态随机加密的方法，保证内存探测时无法获知成绩内容，避免通过内存探测而篡改录入成绩。能力更强的黑客，可以通过OD软件来动态调试软件，探测软件的核心部件，然后再修改软件工作流程。为了避免在动态调试过程中软件被恶意修改，在软件内部中加入反调试代码并对软件的完整性进行CRC32校验，抑制黑客对软件的调试和修改。对软件的CRC32完整性校验则是在软件发布之初先用CRC32计算软件的CRC校验值，并将该值放置于网站数据库中，在软件中再植入CRC32计算代码，软件运行时先读取网站上的CRC校验码，然后与软件自身计算的CRC校验码比较，校验码相同时继续运行本软件，否则终止运行。

国学名篇中很多文章都是古文，在常规的国学学习中，传统的方法都是照书背诵，枯燥晦涩，使人生畏。通过软件学习，结合游戏特色，以比赛的形式在互联网中展开国学学习，以奖促学，通过加强软件的安全设计，使比赛在公开、公平、公正的环境中展开，大大激发了年轻一代学习国学热情，提高了国学学习的覆盖面。

参考文献：

[1]崔艳，窦增杰.软件静态安全检测技术综述[J].中国科技博览，2009，（3）：361-362.

[2]杜经农，卢炎生.一种Web应用软件安全脆弱性测试模型[J].小型微型计算机系统，2009，12（12）：2038-2042.

[3]单良.校园网环境下的web软件测试方法研究[J].鸡西大学学报，2009，（6）：62-63.

[4]乔娟.软件安全缺陷分类的研究[J].数字技术与应用，2009，（7）：3-4.

[5]吴志刚，万滨兴，等.基于Web的信息资源发布模型[J].计算机应用与研究，2000，17（3）：21-23.

[6]周霭如，官士鸿.Visual Basic程序设计教程[M].北京：清华大学出版社，2000.

[7]伍孝金.基于PHP的新闻发布系统的研究与实现[J].计算机应用与研究，2006，10（23）：88-90，125.

[8]宋彦浩.ASP建网技术[M].北京：中国水利水电出版社，2001.

基金项目：广西高校人才小高地建设创新团队资助计划（桂教人[2007]71号）。

作者简介：翁健高（1971-），男，广西贵港人，实验师，研究方向：Windows操作系统控制。