英语听说机考系统安全性验证研究

◆王登奎 徐玮 刘晓 郭明

（北京教育考试院 北京 100083）

随着国家高考综合改革意见的实施，近几年借助于网络和人工智能技术的迅猛发展，全国各省市中考、高考等高利害性考试中开始逐步采用计算机化考试形式，如：广东省2011年开始的英语听力机考（分值10分）、北京市从2018年开始启动的英语听说机考（分值50分），上海市即将从2022年开始启动的普通高中学业水平合格性考试等。与传统纸笔考试流程相比较，计算机化考试能够更加有效地确保考试的客观性、公正性、实时性，具有提高管理工作效率、节约考试资源、规范考试管理、方便考生应考等传统考试不可替代的优势。

但由于英语听说机考在外语科目考试中的分值所占比重较大，涉及高利害性，对考试组考安全方面提出了更高的要求[1]。各省在实施这类考试的过程中，大多数还是采取考前复制试卷光盘和加密锁、在考点校采用局域网方式运行的模式。这种方式带来的问题是需要花费大量的人力、物力成本，用在试卷光盘的复制、运输和大量保密人员、公安的值守投入，不能很好地适应新时代信息化发展技术需求。此外，试卷命制后到开考前，由于试题光盘需要大批量复制，不可避免地会带来失泄密的潜在风险和隐患；一旦发现试题错误或者其他纰漏，几乎没有时间进行调整，只能推迟考试时间，不利于大规模重要考试的组织和管理。

为了解决这一问题，按照教育部考试中心统一部署，结合国家教育考试综合管理平台建设，各省市陆续开始建设覆盖市、区、考点的考务专用网络。考务专用网络与互联网隔离，为各省考试机构依托专网来开展各类网络化应用提供了有利的基础环境支撑。但是，考务专网不是绝对安全的，如果在考务专网环境下实现高利害性考试试题的网络化下发，是否能够确保计算机化考试的安全和公平，需要进行相关的安全性验证实验，并采取有效的措施和技术方案。本文将从英语听说机考的系统架构入手进行分析，逐步开展安全性验证研究。

1 英语听说机考系统架构分析

英语听说机考采取人机对话形式，需要建设专用的听说测试标准化考场[2]，每个考场要按照标准配备一定数量的计算机、耳麦，并具备身份验证、作弊防控、视频监控和考场环境独立、实施数据检查等功能[3]。由于机考考场建设的成本和考点场地的限制，英语听说机考需要每天安排4-6场进行，不同场次使用不同的电子试卷。

为了完成英语听说机考考试组织实施，英语听说机考系统通常包含四个子系统：命题制卷子系统、计算机考试子系统、考务管理子系统和试卷评分子系统。命题制卷子系统用于完成英语听说机考的电子化试卷的命制工作，需要满足命题人员在命制英语听说机考电子试卷中的各种需求。计算机考试子系统用于完成考生在英语听说机考考场内的考试过程，包含管理机程序和考试机程序，功能是：考场环境检测、考试过程管理、考试答题、考试数据导入、考试状态监控、异常情况处理和考试数据回收。考务管理子系统用于完成与英语听说机考相关的各项考务管理工作，包括：考试任务管理、考试报名管理、考试成绩查询、考务组织管理和考生身份认证。阅卷评分子系统用于在阅卷场地内完成对考生答题结果的阅卷评分工作，包括：考生考试答题数据的导入，人工网上评卷、计算机自动阅卷评分和考试成绩导出等功能。英语听说机考系统的业务流程图及其与公共服务平台之间的关系图如图1所示。

从图1的英语听说机考业务流程图中可以发现，英语听说机考管理系统的总体业务流程环节如下：

图1 英语听说机考业务流程图

（1）在公众服务平台完成当次考试的报名和身份识别后，考务管理子系统完成当次考试的考点、考场编排；

（2）命题老师在封闭场地内完成电子试卷的命制工作，生成电子试卷文件并由印厂批量复制送至考点校；

（3）考点校在考试当天打开电子试卷文件，将本次考试的试题数据导入到计算机考试子系统中。

（4）考生进入考场后在计算机考试子系统中完成身份认证，并开始进行答题，形成的结果送到阅卷评分子系统内，完成评卷工作，并将最终考试成绩传送给公众服务平台，供考生查询。

从英语听说机考系统的架构分析可以发现，在命题制卷子系统中产生的电子试卷是整个英语听说机考中最为关键的信息，它在全封闭的入闱场所内完成命制，直接关系到整个考试的安全保密工作。考生的答题信息也是关键的原始数据，对于整个考试的结果有效性来说至关重要。因此，要找到英语听说机考的安全薄弱点，可以对电子试卷和考生答题数据的安全可靠性进行充分的实验验证。

2 安全性验证方案设计

考试机构的网络和信息系统存在安全问题主要原因有：一是对网络安全工作不够重视，考试工作人员安全意识不强，安全技术人员力量不足，经费投入与安全建设实际需求不匹配，安全管理制度不健全，安全防护措施不到位；二是网络基础设施存在漏洞，信息系统代码编写不规范，存在技术缺陷；三是外部社会环境复杂，考试数据和考生信息对于不法分子具有较高利用价值，考试机构的网络和信息系统成为不法分子的潜在攻击和破坏对象[4]。

教育考试面临的安全风险和威胁主要来自内部和外部两个方面：内部安全风险主要包括内部人员对信息系统的错误操作、越权访问、恶意操作、蓄意破坏；外部安全风险主要包括黑客或者非授权人员对信息系统的恶意攻击和非法入侵。按照利害关系以及威胁来源等情况，通过分析机考具体流程中可能涉及重点的技术安全风险环节，我们认为机考系统的安全性验证应该集中关注英语听说机考系统的安全性，特别是电子试卷和考生答题数据的安全可靠和防破解能力。因此，在设计安全性验证方案时，拟着重从两个方面来进行攻击测试：一是分析命题制卷子系统产生的试卷包文件的加密安全性，如果在专网内或其他网络情况下发试卷包被拦截破解的可能性；二是分析计算机考试子系统的安全性，研究一下将考试答题数据通过专网或其他网络情况下直接回传到阅卷点的安全可行性。

基于以上分析，我们确定的安全性验证方案由两组攻击实验组成，分别是：破解试卷包文件和篡改或损坏考生答题数据，具体的安全性测试场景、条件和目标如下所示。

2.1 攻击实验一：破解试卷包文件

1）场景一

攻击条件：由用户方提供一个试卷包文件。

攻击目标：由攻击方对试卷包文件进行数据分析解密，看能否提取到试题有关数据。

2）场景二

攻击条件：由用户方提供一套完整的试卷包和阅卷包文件

攻击目标：由攻击方对试卷包和阅卷包文件进行数据分析解密，看能否提取试题有关数据。

2.2 攻击实验二：篡改或损坏考生答题数据

1）场景一

攻击条件：由用户方提供数据回传服务器IP地址，通过VPN登录方式模拟进入专网

攻击目标：破解数据回传系统，对回传服务器数据进行篡改或损毁。

2）场景二

攻击条件：由用户方提供机考考场模拟环境（包含：机考监考程序、考试机程序，加密狗U盘，考试计划，考生相关信息）。

攻击目标：对考场内考试系统和答题数据进行篡改或损毁。

2.3 攻击结果

实验一在只有试题文件时，3天时间内无任何进展；但是在告知加解密算法后，通过暴力破解等技术手段可以破解试卷中部分信息。实验二在只有接入网络环境下，无法对服务器产生影响；但是在告知服务器登录信息和加解密算法后，可以尝试对答卷数据进行部分篡改。由此可见，使用现在的模式还不能完全满足高利害性考试的需要，必须进行相应的安全性改造，提高机考系统的安全性等级。

3 安全性改进方案

作为计算机化考试中的核心组成部分，电子试卷关系到整个考试过程是否安全。从上面的实验可以发现，既然单一的试题文件还是存在一定的安全风险和隐患，在攻击方掌握到足够多的信息时存在破解的可能。如果要在专网条件下传输试卷，防止试卷内的数据不被窃取，需要从多个方面进行改进。在采用加密狗加密、审核流程、登录密钥、端点控制、数据生命周期、发放授权码和统一开考时间技术等多种技术基础上，我们设计一种新的试卷下发方案，将电子试题拆分分段传输的方式，通过考务专网下发加密电子试题到各考场，在保证试卷安全可靠的前提下，实现机考电子试题的高效传输，如图2所示。

图2 英语听说机考试题下发流程图

3.1 试卷包文件加密改进

在考试前1小时将命题入闱场所内生成的电子试题导入计算机考试服务器，在服务器内完成试题包的分拆加密工作，分成两次将加密试题包1和加密试题包2分别通过网络下发到计算机考试子系统（监考机），加密试题包1于考前1小时下发，加密试题包2于考前30分钟下发。下载完成后，在计算机考试子系统（监考机）进行试题包完整性校验，验证无误后断开考场与外部的网络连接。

每场考试开考前5分钟，计算机考试子系统（考试机）通过特定的解密算法，再将加密试题包1和加密试题包2合成完整试卷包。每场考试开考时，考生进入考生界面，才能看到试题内容。考生登录答题系统之后，考生答题系统自动锁定屏幕，考生只能操作答题界面，无法访问文件系统，也无法打开其他应用程序，考生无法从考试机上获取到试卷包相关文件。考生交卷之后，计算机考试子系统（考试机）自动销毁考试机上本场考试的试卷包相关文件。整场考试结束之后，计算机考试子系统（监考机）自动销毁考场服务器上本场考试的试卷包相关文件。

3.2 考试程序代码加密改进

采取多种加密方法改进考试程序：（1）代码混淆：对代码进行混淆处理，隐藏关键代码段和系统变量，进行代码加密混淆处理；（2）程序加壳：对监考程序的原始的函数加密保护，干扰逆向分析、防脱壳破解；（3）关键密码常量隐藏：消除系统所有定义的密码常量，采用动态变量的方式获取，防止通过内存扫描的方式拿到关键信息；（4）升级压缩加密算法：对文件名进行加密，杜绝攻击者获取有效信息；（5）密码常量隐藏：消除系统所有定义的密码常量，采用动态变量的方式获取，防止通过内存扫描的方式拿到关键信息；（6）程序加壳：确保代码不被反编译；（7）升级压缩加密算法：采用7z格式进行压缩加密处理，并对文件名进行加密，杜绝攻击者获取有效信息；（8）定制压缩组件：修改文件头和格式，彻底隐藏资源格式信息；（9）试卷包分片处理：小题资源包进行分片混淆处理，将小题资源包进行分片处理，混淆部分内容，杜绝暴力破解的可能性；（10）增加密码函的长度：扩展到20位，并增加防暴力破解机制，密码输入错误时随机进行延时返回处理，并有一定概率返回校验成功的结果，用于防暴力破解混淆。

3.3 考试数据回传加密

考试完成后，对考生答卷包进行完整性和有效性校验，确保每个小题的文件均完整无缺，并上传到监考机，并记录加密校验码到考生轨迹库中。考生的语音答题文件使用专研的加密算法和文件格式，具有高压缩比和安全性的优势。考生答卷包和考试轨迹库文件采取加密存储格式，且轨迹库中记录每个考生答卷包的校验码，可验证考生数据的有效性。回传过程中，会对答卷包和考试轨迹库等文件进行加密压缩，采用特定算法，并对加密后的文件进行分片上传，支持断点续传功能。考试轨迹库为加密的数据库文件，其中记录每个考生答卷包的校验信息，且考生答卷包同样采用加密压缩，一人一钥，可以有效规避传输过程中出现的被篡改或损坏的问题。

3.4 考务专网

考务专网是一个从考试院到考区、考点、考场四级联通的考务专用网络，与互联网实现了物理隔离，通过安全、可靠、高效的数据传输通道，实现考试信息和视频的传输。考务专网依托教育网链路资源，市级采用波分技术建设，区级采用独立光纤、波分或专线技术建设。形成与现有业务网络、互联网隔离的专网；专网专用，使用独立的子网或网段，独立承载考试相关数据的传输需要；网络分级建设管理，确保数据安全、传输通畅、访问可控。依托考务专网来实现英语听说机考的关键数据传输，结合前面的安全加固方案，可有效提升机考系统的整体安全性。

4 小结

英语听说机考是英语教育教学改革的发展方向，通过评价内容、方法和形式的深刻变革，为考生提供了更加“灵活、方便、科学、公平”的“测评服务”，解决了英语教学“听说”的难点。本文通过对英语听说机考系统的系统架构进行了深入分析，并从其中分析了可能存在的风险和隐患，设计了几组攻击实验的场景、分析了实验结果，最后提出了一个安全性改进解决方案。本文的研究成果将在下一步的英语听说机考中进行验证，并逐步在其他类型考试中进行推广。