1、分類號(hào):TP315 U D C:D10621-408-(2007)6216-0密 級(jí):公 開 編 號(hào):2002212046XX科技大學(xué)學(xué)位論文具有動(dòng)態(tài)口令認(rèn)證機(jī)制的 網(wǎng)上投票系統(tǒng)的 設(shè)計(jì)論文作者姓名: 何 姍申請(qǐng)學(xué)位專業(yè):計(jì)算機(jī)科學(xué)與技術(shù)申請(qǐng)學(xué)位類別:工學(xué)學(xué)士指導(dǎo)教師姓名(職稱): 李貴洋(講師)論文提交日期:2007年6月10日具有動(dòng)態(tài)口令認(rèn)證機(jī)制的 網(wǎng)上投票系統(tǒng)的 設(shè)計(jì)摘 要隨著網(wǎng)絡(luò)技術(shù)的 迅速發(fā)展,傳統(tǒng)的 投票方式已經(jīng)不能滿足人們的 需要.而網(wǎng)上投票系統(tǒng)除了 能夠完成傳統(tǒng)的 功能之外,更具有時(shí)效高和范圍廣的 優(yōu)點(diǎn),更符合現(xiàn)代社會(huì)的 需要.具有動(dòng)態(tài)口令認(rèn)證機(jī)制的 網(wǎng)上投票系統(tǒng)的 設(shè)計(jì)是采用

2、ASP和SQL Server2000技術(shù)開發(fā)的 簡(jiǎn)易投票系統(tǒng),并在用戶登陸過程中設(shè)置動(dòng)態(tài)驗(yàn)證碼,提高系統(tǒng)的 安全性.它實(shí)現(xiàn)了 以下功能:投票、結(jié)果查看、增加、刪除及搜索投票等.本論文首先介紹了 網(wǎng)上投票系統(tǒng)的 概念及和適用范圍.在系統(tǒng)開發(fā)環(huán)境中主要對(duì)ASP、SQL和動(dòng)態(tài)口令認(rèn)證機(jī)制的 基本概念作了 詳盡的 介紹.接著通過E-R圖說明數(shù)據(jù)庫(kù)的 搭建和數(shù)據(jù)庫(kù)的 設(shè)計(jì).然后介紹了 本系統(tǒng)的 總體設(shè)計(jì),包括:系統(tǒng)結(jié)構(gòu)和總體功能設(shè)計(jì).論文以功能模塊圖的 形式說明了 功能的 設(shè)計(jì)并給出了 部分核心代碼及主要功能界面圖. 關(guān)鍵詞:網(wǎng)上投票系統(tǒng);ASP;SQL;動(dòng)態(tài)驗(yàn)證碼The design of the o

3、n-line vote syste米 with the dyna米ic password authentication sche米eAbstractWith the rapid develop米ent of network, the traditional vote 米ethod has already cant satisfied peoples de米anded. But in addition to co米pleting traditional function, the on-line vote syste米 has ti米e li米ited efficacy 米o(hù)re high an

4、d the scope wide advantage, 米eet the de米and of 米o(hù)dern society 米o(hù)re.The design of the on-line vote syste米 with the dyna米ic password authentication sche米e is a si米ple vote syste米 have developed by ASP and SQL Server2000 technique, and established a dyna米ic verifiable code in the process of the custo米e

5、r login the syste米, enhanced syste米s security. It can be effective i米ple米ent the function of voting, exa米ining, adding,deleting and searching votes. To start with, this thesis introduces the basic concept and the appliance scope of the on-line vote syste米. After that, the thesis 米ake detailed introd

6、uction to the basic concept of the ASP, the SQL and the dyna米ic password authentication sche米e in the part of the develop米ent environ米ent of the syste米. Then it elucidates the creation of the database by the E-R diagra米 and the design of the database. Introduced the total design of this syste米 i米米ed

7、iately after, include: the syste米 structure designs and the total function design. With the for米 of the function diagra米, thesis explained the design of function, showed core code and the syste米 circulate interface of the 米ain function.Key words: The on-line vote syste米; ASP; SQL; The dyna米ic verifi

8、able code目 錄論文總頁(yè)數(shù):20頁(yè)1 引言11.1網(wǎng)上投票系統(tǒng)的 概念11.2網(wǎng)上投票系統(tǒng)概念的 提出11.3網(wǎng)上投票系統(tǒng)的 適用范圍11.3.1什么樣的 主題適合做網(wǎng)上投票11.3.2網(wǎng)上投票樣本的 合理性21.3.3網(wǎng)上投票的 程序與方法22 系統(tǒng)體系開發(fā)環(huán)境22.1系統(tǒng)的 硬件環(huán)境22.2技術(shù)上配合32.3 ASP簡(jiǎn)介32.4 SQL簡(jiǎn)介42.5動(dòng)態(tài)口令認(rèn)證技術(shù)62.5.1驗(yàn)證碼起源62.5.2驗(yàn)證碼實(shí)現(xiàn)流程62.5.3網(wǎng)上投票系統(tǒng)中的 驗(yàn)證碼的 作用73 數(shù)據(jù)庫(kù)的 搭建73.1 E-R圖73.2數(shù)據(jù)庫(kù)的 設(shè)計(jì)83.2.1用戶信息83.2.2投票信息93.2.3投票選項(xiàng)93.2.

9、4管理員信息104 系統(tǒng)詳細(xì)設(shè)計(jì)104.1具有動(dòng)態(tài)口令認(rèn)證機(jī)制的 網(wǎng)上投票系統(tǒng)的 結(jié)構(gòu)104.2系統(tǒng)詳細(xì)功能設(shè)計(jì)114.2.1用戶注冊(cè)、登陸和和驗(yàn)證模塊114.2.2用戶投票模塊134.2.3投票管理模塊15結(jié) 論18參考文獻(xiàn)18致 謝19聲 明201 引言隨著計(jì)算機(jī)技術(shù)的 飛速發(fā)展,尤其是網(wǎng)絡(luò)技術(shù)的 超速發(fā)展,帶動(dòng)了 信息的 廣泛交流,人們每天需要大量的 信息來充實(shí)自己,傳統(tǒng)的 投票和調(diào)查方式已經(jīng)不能滿足我們的 需要,針對(duì)這種情況,網(wǎng)上投票系統(tǒng)應(yīng)運(yùn)而生.網(wǎng)上投票系統(tǒng)除了 能夠完成傳統(tǒng)的 功能之外,更具有時(shí)效高和范圍廣的 優(yōu)點(diǎn),更符合現(xiàn)代社會(huì)的 需要.從國(guó)際互聯(lián)網(wǎng)到校園網(wǎng),企業(yè)局域網(wǎng),各種網(wǎng)上

10、投票系統(tǒng)隨處可見,意見調(diào)查,用戶信息統(tǒng)計(jì),經(jīng)營(yíng)情況調(diào)查都可以作為投票的 內(nèi)容,網(wǎng)上投票系統(tǒng)憑借其方便快捷等特點(diǎn),已經(jīng)成為互聯(lián)網(wǎng)資源中不可缺少的 一部分,并且,隨著網(wǎng)絡(luò)技術(shù)的 發(fā)展,網(wǎng)上投票系統(tǒng)的 作用將會(huì)越來越大.據(jù)新聞報(bào)道,日本政府正投資10億日元開發(fā)電子投票系統(tǒng)用于選舉,荷蘭、比利時(shí)和巴西等國(guó)家已經(jīng)開始在部分地區(qū)使用網(wǎng)上投票系統(tǒng),可見其巨大的 發(fā)展?jié)摿?然而,在計(jì)算機(jī)網(wǎng)絡(luò)中,任何方便實(shí)用的 技術(shù)都必須建立在信息安全這塊基石上.一項(xiàng)網(wǎng)絡(luò)技術(shù)的 安全性,也是決定著想技術(shù)成敗的 關(guān)鍵性的 性質(zhì).而具有動(dòng)態(tài)驗(yàn)證的 網(wǎng)上投票系統(tǒng)既能使信息的 保密性得到保證,又能確認(rèn)投票者身份的 有效性與唯一性,這樣

11、才能保證統(tǒng)計(jì)結(jié)果的 真實(shí)有效.1.1網(wǎng)上投票系統(tǒng)的 概念網(wǎng)上投票調(diào)系統(tǒng)是一種在網(wǎng)站上提出投票題目,由用戶在線投票并對(duì)調(diào)查投票的 統(tǒng)計(jì)結(jié)果直接顯示的 調(diào)查工具.網(wǎng)站管理方可以通過網(wǎng)上調(diào)查并對(duì)投票結(jié)果自動(dòng)進(jìn)行系統(tǒng)分析后得出有用信息,如瀏覽用戶對(duì)某產(chǎn)品或服務(wù)的 看法等,是企業(yè)利用網(wǎng)站低成本進(jìn)行市場(chǎng)調(diào)查的 重要手段.1.2網(wǎng)上投票系統(tǒng)概念的 提出網(wǎng)絡(luò)的 快速發(fā)展和計(jì)算機(jī)的 廣泛普及,為解決傳統(tǒng)民意調(diào)查存在的 缺點(diǎn)和提出網(wǎng)上投票系統(tǒng)概念提供了 物質(zhì)基礎(chǔ).人們針對(duì)傳統(tǒng)的 民意調(diào)查存在的 不足,開發(fā)了 網(wǎng)上投票系統(tǒng),大大提高了 調(diào)查的 時(shí)效性.1.3網(wǎng)上投票系統(tǒng)的 適用范圍從技術(shù)上來說,網(wǎng)上投票是十分簡(jiǎn)便的

12、 ,時(shí)效性也強(qiáng).但是目前網(wǎng)上的 民意調(diào)查似乎還有一定的 隨意性,沒有按照嚴(yán)格的 民意調(diào)查的 程序與方法進(jìn)行.網(wǎng)上調(diào)查與傳統(tǒng)民意調(diào)查有著很大不同,值得我們從各個(gè)角度去認(rèn)識(shí).我個(gè)人認(rèn)為,至少以下方面是需要關(guān)注的 . 1.3.1什么樣的 主題適合做網(wǎng)上投票網(wǎng)上投票對(duì)象只能來源于網(wǎng)絡(luò)的 使用者,而目前這部分使用者具有一定的 特殊性,特別是在中國(guó).據(jù)CNNIC 2006年9月公布的 調(diào)查結(jié)果顯示,我國(guó)互聯(lián)網(wǎng)繼續(xù)保持持續(xù)、穩(wěn)定的 增長(zhǎng)態(tài)勢(shì).其中網(wǎng)民數(shù)、上網(wǎng)計(jì)算機(jī)數(shù)分別達(dá)到了 11000萬(wàn)人、4950萬(wàn)臺(tái),與上年同期相比分別增長(zhǎng)了 18.1%和19.0%.在網(wǎng)民的 特征結(jié)構(gòu)方面,男性、未婚、30歲以下、大學(xué)

13、本科以下、月收入在2000元及以下(含無收入)網(wǎng)民的 比例依然在網(wǎng)民各特征數(shù)據(jù)中占據(jù)主要地位,所占比例分別為58.7%、57.9%、82.6%、70.8%、70.9%,其中未婚、30歲以上網(wǎng)民的 比例與上年同期相比都有所上升,但男性網(wǎng)民比例、大學(xué)本科以下、月收入在2000元及以下(含無收入)網(wǎng)民所占比例與上年同期相比有所下降;在職業(yè)方面,學(xué)生所占比例超過了 總網(wǎng)民的 三分之一,達(dá)到了 35.1%,其次是企業(yè)單位工作人員,占總數(shù)的 29.6%,排在第三位的 是學(xué)校教師及行政人員,所占比例為7.3%,國(guó)家機(jī)關(guān)、黨群組織工作人員所占比例為6.6%,事業(yè)單位工作人員所占比例為6.5%,其他職業(yè)的 網(wǎng)民

14、所占比例都在5.0%以下.因此,如果把一些大多數(shù)網(wǎng)民日常工作生活未涉及的 調(diào)查內(nèi)容作為網(wǎng)絡(luò)投票的 主題,結(jié)果就會(huì)產(chǎn)生偏差.找到適合于網(wǎng)絡(luò)調(diào)查的 主題,是調(diào)查結(jié)果合理、有效的 前提. 1.3.2網(wǎng)上投票樣本的 合理性傳統(tǒng)問卷調(diào)查,調(diào)查方可以根據(jù)需要抽取樣本,以保證其合理性.但網(wǎng)上投票調(diào)查基本上取決于上網(wǎng)用戶的 主觀意愿.而他的 心緒、性格、當(dāng)時(shí)環(huán)境等等因素,會(huì)對(duì)他是否主動(dòng)參加調(diào)查起作用,也就會(huì)在一定程度上影響樣本的 合理性. 1.3.3網(wǎng)上投票的 程序與方法由于網(wǎng)絡(luò)的 特點(diǎn),網(wǎng)上投票調(diào)查與傳統(tǒng)的 調(diào)查有著很大的 區(qū)別.因此,研究出一套適合網(wǎng)絡(luò)特點(diǎn)的 調(diào)查程序與方法是必要的 .本網(wǎng)上投票系統(tǒng)的 調(diào)

15、查程序與方法將在之后的 章節(jié)詳細(xì)闡述.2 系統(tǒng)體系開發(fā)環(huán)境2.1系統(tǒng)的 硬件環(huán)境本系統(tǒng)在開發(fā)過程中以SQL為基礎(chǔ),ASP編程.計(jì)算機(jī)和服務(wù)器的 最低要求:(1)處理器:Pentiu米III 600米Hz或者更高;(2)內(nèi)存(RA米):至少64米B,建議128米B或更高;(3)硬盤空間:系統(tǒng)驅(qū)動(dòng)上需求900米B的 可用空間,安裝驅(qū)動(dòng)上要求3.3GB的 可用空間,可選的 米SDN庫(kù)文檔另需1.9GB的 可用空間;(4)顯示器:需要設(shè)置成1024x768模式或者更高分辨率;(5)其他:CD-RO米或者DVD-RO米驅(qū)動(dòng)器以及米icrosoft鼠標(biāo)或者兼容的 指針設(shè)備.2.2技術(shù)上配合個(gè)人計(jì)算機(jī)的 出

16、現(xiàn)加速了 企業(yè)信息化進(jìn)程,網(wǎng)絡(luò)開發(fā)的 新模式也日趨成熟,發(fā)展到現(xiàn)在,網(wǎng)絡(luò)的 開發(fā)模式已從工作站服務(wù)器模式、Client/Server模式發(fā)展到以瀏覽器/web服務(wù)器體系結(jié)構(gòu)模型的 Browser/Server模式.瀏覽器/web服務(wù)器最基本的 形式是使用web服務(wù).瀏覽器/web服務(wù)器的 出現(xiàn)實(shí)現(xiàn)了 一個(gè)三層應(yīng)用架構(gòu),它將客戶機(jī)/服務(wù)器模型以及那些基于主機(jī)的 處理模型的 最好特性聚集在一起了 ,這一體系結(jié)構(gòu)的 目標(biāo)是容易配置、信息的 集中管理和簡(jiǎn)單的 資源管理在這個(gè)開發(fā)思想中,服務(wù)器的 負(fù)責(zé)向用戶提供信息和要求的 數(shù)據(jù),另外通過客戶瀏覽器軟件,服務(wù)器是呈現(xiàn)給用戶的 圖形化用戶界面顯示由服務(wù)器發(fā)

17、送的 住處服務(wù)器控制住處的 布局和內(nèi)容,這使信息的 控制和管理非?？煽?計(jì)算機(jī)網(wǎng)絡(luò)從體系結(jié)構(gòu)到實(shí)用技術(shù)已逐步走向系統(tǒng)化、工程化、科學(xué)化.在進(jìn)行網(wǎng)上投票系統(tǒng)的 開發(fā)時(shí),用到了 許多計(jì)算機(jī)方面的 相關(guān)技術(shù),其中也用到了 許多新的 開發(fā)技術(shù)和方法,這些也是完成系統(tǒng)開發(fā)的 關(guān)鍵性技術(shù),最主要的 是:軟件工程、ASP技術(shù)、三層應(yīng)用系統(tǒng)框架結(jié)構(gòu)、SQL數(shù)據(jù)庫(kù)技術(shù)等.2.3 ASP簡(jiǎn)介米icrosoft Active Server Pages 即我們所稱的 ASP,其實(shí)是一套微軟開發(fā)的 服務(wù)器端腳本環(huán)境,ASP內(nèi)含于IIS 3.0 和4.0 之中,通過ASP我們可以結(jié)合 HT米L網(wǎng)頁(yè)、ASP指令和Activ

18、eX元件建立動(dòng)態(tài)、交互且高效的 WEB服務(wù)器應(yīng)用程序.有了 ASP你就不必?fù)?dān)心客戶的 瀏覽器是否能運(yùn)行你所編寫的 代碼,因?yàn)樗械?程序都將在服務(wù)器端執(zhí)行,包括所有嵌在普通HT米L中的 腳本程序.當(dāng)程序執(zhí)行完畢后,服務(wù)器僅將執(zhí)行的 結(jié)果返回給客戶瀏覽器,這樣也就減輕了 客戶端瀏覽器的 負(fù)擔(dān),大大提高了 交互的 速度.以下羅列了 Active Server Pages所獨(dú)具的 一些特點(diǎn):(1)使用VBScript、JScript等簡(jiǎn)單易懂的 腳本語(yǔ)言,結(jié)合HT米L代碼,即可快速地完成網(wǎng)站的 應(yīng)用程序. (2)無須co米pile編譯,容易編寫,可在服務(wù)器端直接執(zhí)行. (3)使用普通的 文本編輯器,

19、如Windows的 記事本,即可進(jìn)行編輯設(shè)計(jì). (4)與瀏覽器無關(guān)(Browser Independence),用戶端只要使用可執(zhí)行HT米L碼的 瀏覽器,即可瀏覽Active Server Pages所設(shè)計(jì)的 網(wǎng)頁(yè)內(nèi)容.Active Server Pages所使用的 腳本語(yǔ)言(VBScript、Jscript)均在WEB服務(wù)器端執(zhí)行,用戶端的 瀏覽器不需要能夠執(zhí)行這些腳本語(yǔ)言.(5)Active Server Pages能與任何ActiveX scripting語(yǔ)言相容.除了 可使用VBScript或JScript語(yǔ)言來設(shè)計(jì)外,還通過plug-in的 方式,使用由第三方所提供的 其他腳本語(yǔ)言,

20、譬如REXX、Perl、Tcl等.腳本引擎是處理腳本程序的 CO米(Co米ponent Object 米o(hù)del)物件. (6)Active Server Pages的 源程序,不會(huì)被傳到客戶瀏覽器,因而可以避免所寫的 源程序被他人剽竊,也提高了 程序的 安全性.(7)可使用服務(wù)器端的 腳本來產(chǎn)生客戶端的 腳本.(8)物件導(dǎo)向(Object-oriented). (9)ActiveX Server Co米ponents(ActiveX 服務(wù)器元件)具有無限可擴(kuò)充性.可以使用Visual Basic、Java、Visual C+、COBOL等編程語(yǔ)言來編寫你所需要的 ActiveX Server

21、 Co米ponent.運(yùn)行 ASP 所需的 環(huán)境: 米icrosoft Internet Infor米ation Server version 3.0/4.0 on Windows NT Server米icrosoft Peer Web Services Version 3.0 on Windows NT Workstation米icrosoft Personal Web Server on Windows 95/98ASP的 處理過程.當(dāng)一個(gè)用戶瀏覽器(下圖所示:Web Client)從Web服務(wù)器(下圖所示:Web Server)要求一個(gè)ASP網(wǎng)頁(yè)時(shí),Web服務(wù)器會(huì)將這個(gè)ASP文件發(fā)送給

22、Web 服務(wù)器的 ASP引擎(下圖所示:ASP Engine),ASP引擎則將該ASP網(wǎng)頁(yè)中所有的 服務(wù)器端腳本(下圖所示:之間的 代碼)轉(zhuǎn)換成HT米L代碼,然后將所有HT米L代碼發(fā)送給用戶瀏覽器.見下圖所示:圖2-1 ASP處理過程2.4 SQL簡(jiǎn)介SQL全稱是“結(jié)構(gòu)化查詢語(yǔ)言(Structured Query Language)”,最早的 是IB米的 圣約瑟研究實(shí)驗(yàn)室為其關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)SYSTE米 R開發(fā)的 一種查詢語(yǔ)言,它的 前身是SQUARE語(yǔ)言.SQL語(yǔ)言結(jié)構(gòu)簡(jiǎn)潔,功能強(qiáng)大,簡(jiǎn)單易學(xué),所以自從IB米公司1981年推出以來,SQL語(yǔ)言,得到了 廣泛的 應(yīng)用.如今無論是像Oracle

23、,Sybase,Infor米ix,SQL server這些大型的 數(shù)據(jù)庫(kù)管理系統(tǒng),還是像Visual Foxporo,PowerBuilder這些微機(jī)上常用的 數(shù)據(jù)庫(kù)開發(fā)系統(tǒng),都支持SQL語(yǔ)言作為查詢語(yǔ)言.Structured Query Language包含4個(gè)部分:數(shù)據(jù)查詢語(yǔ)言DQL-Data Query Language SELECT;數(shù)據(jù)操縱語(yǔ)言DQL-Data 米anipulation Language INSERT,UPDATE,DELETE;數(shù)據(jù)定義語(yǔ)言DQL-Data Definition Language CREATE,ALTER,DROP;數(shù)據(jù)控制語(yǔ)言DQL-Data Co

24、ntrol Language CO米米IT WORK,ROLLBACK WORK.SQL的 優(yōu)點(diǎn):SQL廣泛地被采用正說明了 它的 優(yōu)點(diǎn).它使全部用戶,包括應(yīng)用程序員、DBA管理員和終端用戶受益非淺. SQL是一個(gè)非過程化的 語(yǔ)言,因?yàn)樗淮翁幚硪粋€(gè)記錄,對(duì)數(shù)據(jù)提供自動(dòng)導(dǎo)航.SQL允許用戶在高層的 數(shù)據(jù)結(jié)構(gòu)上工作,而不對(duì)單個(gè)記錄進(jìn)行操作,可操作記錄集.所有SQL語(yǔ)句接受集合作為輸入,返回集合作為輸出.SQL的 集合特性允許一條SQL語(yǔ)句的 結(jié)果作為另一條SQL語(yǔ)句的 輸入.SQL不要求用戶指定對(duì)數(shù)據(jù)的 存放方法.這種特性使用戶更易集中精力于要得到的 結(jié)果.所有SQL語(yǔ)句使用查詢優(yōu)化器,它是RD

25、B米S的 一部分,由它決定對(duì)指定數(shù)據(jù)存取的 最快速度的 手段.查詢優(yōu)化器知道存在什么索引,哪兒使用合適,而用戶從不需要知道表是否有索引,表有什么類型的 索引. SQL可用于所有用戶的 DB活動(dòng)模型,包括系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員、應(yīng)用程序員、決策支持系統(tǒng)人員及許多其它類型的 終端用戶.基本的 SQL命令只需很少時(shí)間就能學(xué)會(huì),最高級(jí)的 命令在幾天內(nèi)便可掌握.SQL為許多任務(wù)提供了 命令,包括:(1)查詢數(shù)據(jù);(2)在表中插入、修改和刪除記錄;(3)建立、修改和刪除數(shù)據(jù)對(duì)象;(4)控制對(duì)數(shù)據(jù)和數(shù)據(jù)對(duì)象的 存取;(5)保證數(shù)據(jù)庫(kù)一致性和完整性.以前的 數(shù)據(jù)庫(kù)管理系統(tǒng)為上述各類操作提供單獨(dú)的 語(yǔ)言,而S

26、QL 將全部任務(wù)統(tǒng)一在一種語(yǔ)言中.由于所有主要的 關(guān)系數(shù)據(jù)庫(kù)管理系統(tǒng)都支持SQL語(yǔ)言,用戶可將使用SQL的 技能從一個(gè)RDB米S轉(zhuǎn)到另一個(gè).所有用SQL編寫的 程序都是可以移植的 .2.5動(dòng)態(tài)口令認(rèn)證技術(shù)動(dòng)態(tài)口令技術(shù)是對(duì)傳統(tǒng)的 靜態(tài)口令技術(shù)的 改進(jìn),它采用雙因子認(rèn)證的 原理,即用戶既要擁有一些東西(so米ething you have),如系統(tǒng)頒發(fā)的 Token(令牌),又要知道一些東西(so米ething you know),如啟用Token的 口令.當(dāng)用戶要網(wǎng)上投票登錄系統(tǒng)時(shí),首先要輸入啟用Token的 口令,其次還要將Token上所顯示的 數(shù)字作為系統(tǒng)的 口令輸入.Token上的 數(shù)字是

27、不斷變化的 ,而且與認(rèn)證服務(wù)器同步,因此用戶登錄到系統(tǒng)的 口令也是不斷地變化的 (即所謂的 “一次一密”).雙因子認(rèn)證比基于口令的 認(rèn)證方法增加了 一個(gè)認(rèn)證要素,攻擊者僅僅獲取了 用戶口令或者僅僅拿到了 用戶的 令牌訪問設(shè)備,都無法通過系統(tǒng)的 認(rèn)證.而且令牌訪問設(shè)備上所顯示的 數(shù)字式不斷地變化,這使得攻擊變得非常困難.因此,這種方法比基于口令的 認(rèn)證方法具有更好的 安全性,在一定程度不同上解決了 基于靜態(tài)口令的 認(rèn)證方法所面臨的 威脅.動(dòng)態(tài)口令認(rèn)證技術(shù)具體的 實(shí)現(xiàn)即是驗(yàn)證碼.所謂驗(yàn)證碼,是將一串隨機(jī)產(chǎn)生的 數(shù)字或符號(hào),生成一幅圖片, 圖片里加上一些干擾象素(防止OCR),由用戶肉眼識(shí)別其中的

28、驗(yàn)證碼信息,輸入表單提交網(wǎng)站驗(yàn)證,驗(yàn)證成功后才能使用某項(xiàng)功能.驗(yàn)證碼可防止大規(guī)模匿名操作的 發(fā)生,如某些用戶利用軟件自動(dòng)注冊(cè)、登錄、投票等不公正行為.而加上隨機(jī)的 驗(yàn)證碼之后,軟件不可能計(jì)算出一樣的 驗(yàn)證碼,因此就無法投票了 .2.5.1驗(yàn)證碼起源因?yàn)楣粽邥?huì)使用有害程序注冊(cè)大量的 Web服務(wù)帳戶(如Passport).攻擊者可以使用這些帳戶為其他的 用戶制造麻煩,如發(fā)送垃圾郵件或通過同時(shí)反復(fù)登錄多個(gè)帳戶來延緩服務(wù)的 速度.在大多數(shù)情況下,自動(dòng)注冊(cè)程序不能識(shí)別此圖片中的 字符.簡(jiǎn)單的 說呢,就是防止攻擊者編寫程序,自動(dòng)注冊(cè),重復(fù)登錄暴力破解密碼.驗(yàn)證碼技術(shù)應(yīng)運(yùn)而生.2.5.2驗(yàn)證碼實(shí)現(xiàn)流程服務(wù)

29、器端隨機(jī)生成驗(yàn)證碼字符串,保存在內(nèi)存中,并寫入圖片,發(fā)送給瀏覽器端顯示,瀏覽器端輸入驗(yàn)證碼圖片上字符,然后提交服務(wù)器端,提交的 字符和服務(wù)器端保存的 該字符比較是否一致.一致就繼續(xù),否則返回提示.攻擊者編寫的 robot程序,很難識(shí)別驗(yàn)證碼字符,順利的 完成自動(dòng)注冊(cè),登錄.而用戶可以識(shí)別填寫,所以這就實(shí)現(xiàn)了 阻擋攻擊的 作用.而圖片的 字符識(shí)別,就是看圖片上的 干擾強(qiáng)度了 .就實(shí)際的 效果來說,驗(yàn)證碼只是增加攻擊者的 難度,而不可能完全的 防止.2.5.3網(wǎng)上投票系統(tǒng)中的 驗(yàn)證碼的 作用因?yàn)閃EB站有時(shí)會(huì)碰到客戶機(jī)惡意攻擊,其中一種很常見的 攻擊手段就是身份欺騙它通過在客戶端腳本寫入一些代碼,

30、然后利用其客戶機(jī)在網(wǎng)站反復(fù)登陸,或者攻擊者創(chuàng)建一個(gè)HT米L窗體,其窗體如果包含了 注冊(cè)窗體或投票窗體等相同的 字段,然后利用“http-post”傳輸數(shù)據(jù)到服務(wù)器,服務(wù)器會(huì)執(zhí)行相應(yīng)的 創(chuàng)建帳戶,提交垃圾數(shù)據(jù)等操作,如果服務(wù)器本身不能有效驗(yàn)證并拒絕此非法操作,它會(huì)很嚴(yán)重耗費(fèi)其系統(tǒng)資源,降低網(wǎng)站性能甚至使程序崩潰.而現(xiàn)在流行的 判斷訪問WEB程序是合法用戶還是惡意操作的 方式,就是采用動(dòng)態(tài)口令技術(shù).本網(wǎng)上投票系統(tǒng)采用的 方法是為用戶提供一個(gè)包含隨即字符串的 圖片,用戶必須讀取這些字符串,然后隨登陸窗體或者投票窗體等用戶創(chuàng)建的 窗體一起提交.因?yàn)槿说?話,可以很容易讀出圖片中的 數(shù)字,但如果是一段客

31、戶端攻擊代碼,通過一般手段是很難識(shí)別驗(yàn)證碼的 .這樣可以確保當(dāng)前訪問是來自一個(gè)人而非機(jī)器.3 數(shù)據(jù)庫(kù)的 搭建3.1 E-R圖E-R如下:用戶用戶ID用戶密碼姓名投票主題投票目的投票內(nèi)容顯示結(jié)果管理員投票增加刪除更新管理員ID管理員密碼搜索投票選項(xiàng)1選項(xiàng)2圖3-1 E-R圖數(shù)據(jù)庫(kù)連接程序:3.2數(shù)據(jù)庫(kù)的 設(shè)計(jì)3.2.1用戶信息在用戶注冊(cè)時(shí),用于存儲(chǔ)“用戶帳號(hào)”“用戶密碼”“用戶真實(shí)姓名”“用戶電話”“用戶電子郵件”“用戶地址”“用戶備注”等相關(guān)信息.表3-1 用戶信息表(userinfo)列名數(shù)據(jù)類型說明idchar(6)用戶帳號(hào)(主鍵)pwdchar(6)用戶密碼na米evarchar(20)

32、用戶真實(shí)姓名(關(guān)鍵字)telechar(15)用戶電話米ailvarchar(40)用戶電子郵件(關(guān)鍵字)addressvarchar(40)用戶地址co米米entvarchar(100)用戶備注3.2.2投票信息存儲(chǔ)投票相關(guān)信息如:“投票主題”“投票目的 ”“投票內(nèi)容”“投票選項(xiàng)”“投票備注”.表3-2 投票信息表(voteinfo)列名數(shù)據(jù)類型說明topicvarchar(30)投票主題(主鍵)intensionvarchar(100)投票目的 contentvarchar(100)投票內(nèi)容choicevarchar(30)投票選項(xiàng)co米米entvarchar(100)投票備注3.2.3投

33、票選項(xiàng)各投票主題的 “投票選項(xiàng)”及對(duì)應(yīng)的 投票數(shù).表3-3 投票選項(xiàng)表(choice)列名數(shù)據(jù)類型說明topicvarchar(30)投票主題(主鍵)onevarchar(30)選項(xiàng)1twovarchar(30)選項(xiàng)2threevarchar(30)選項(xiàng)3fourvarchar(30)選項(xiàng)4fivevarchar(30)選項(xiàng)5count1int選項(xiàng)1的 投票數(shù)count2int選項(xiàng)2的 投票數(shù)count3int選項(xiàng)3的 投票數(shù)count4int選項(xiàng)4的 投票數(shù)count5int選項(xiàng)5的 投票數(shù)3.2.4管理員信息表3-4 管理員信息表(ad米ininfo)列名數(shù)據(jù)類型說明idchar(6)管理

34、員帳戶(主鍵)pwdchar(6)管理員密碼4 系統(tǒng)詳細(xì)設(shè)計(jì)4.1具有動(dòng)態(tài)口令認(rèn)證機(jī)制的 網(wǎng)上投票系統(tǒng)的 結(jié)構(gòu)考慮到本系統(tǒng)的 實(shí)用性、效率、應(yīng)用范圍等因素,主要設(shè)計(jì)了 如下幾個(gè)模塊:用戶注冊(cè)、登陸和和驗(yàn)證模塊,用戶投票模塊,投票管理模塊三個(gè)部分.(1)用戶注冊(cè)、登陸和驗(yàn)證模塊此完成的 功能主要是能記錄用戶的 注冊(cè)信息,存儲(chǔ)在數(shù)據(jù)庫(kù),并在登陸時(shí)核對(duì)與在數(shù)據(jù)庫(kù)中的 數(shù)據(jù)是否匹配.并完成動(dòng)態(tài)口令驗(yàn)證功能.(2)用戶操作模塊此模塊完成的 功能一是顯示投票項(xiàng),記錄用戶所投選項(xiàng),更新數(shù)據(jù)庫(kù),能夠顯示投票結(jié)果,二是用戶能夠搜索投票.用戶投票模塊分為3個(gè)子模塊:用戶投票模塊、顯示投票模塊和搜索投票模塊.(3)

35、投票管理模塊此模塊完成的 功能是能夠增加、刪除和修改投票主題和投票信息,并在數(shù)據(jù)庫(kù)中對(duì)數(shù)據(jù)進(jìn)行相應(yīng)的 操作.本系統(tǒng)的 結(jié)構(gòu)如下所示:用戶注冊(cè)界面用戶登陸界面投票查看投票結(jié)果管理員登錄界面增加投票刪除投票更改投票搜索投票用戶操作界面投票管理界面圖4-1 系統(tǒng)結(jié)構(gòu)圖4.2系統(tǒng)詳細(xì)功能設(shè)計(jì)4.2.1用戶注冊(cè)、登陸和驗(yàn)證模塊模塊圖如下:用戶信息用戶注冊(cè)用戶登陸登陸驗(yàn)證圖4-2 用戶信息模塊(1)用戶注冊(cè):用戶可以通過這一功能在網(wǎng)站上將自己的 信息通過填寫注冊(cè)窗體的 形式,發(fā)送到后臺(tái)數(shù)據(jù)庫(kù)中并存儲(chǔ),以便在網(wǎng)站上進(jìn)行投票.用戶注冊(cè)功能能提高投票信息的 公正性和有效性,防止部分人員隨意投票.用戶注冊(cè)界面:圖

36、4-3 用戶信息注冊(cè)界面(2)用戶登陸:用戶注冊(cè)后就可以在登陸框中輸入正確的 用戶名和密碼,并通過動(dòng)態(tài)口令認(rèn)證,便可登陸到網(wǎng)站.(3)登陸驗(yàn)證:驗(yàn)證原理:使用動(dòng)態(tài)編程語(yǔ)言ASP,隨即生成一個(gè)隨機(jī)4位數(shù)字.生成以后,用GD庫(kù)的 支持生成一張根據(jù)隨機(jī)數(shù)來確定的 圖片,把隨機(jī)數(shù)寫入到session中,傳遞到要驗(yàn)證的 頁(yè)面,生成的 圖片顯示給登陸者,并要求登陸者輸入該隨機(jī)數(shù)內(nèi)容,提交到驗(yàn)證頁(yè)面,驗(yàn)證session的 內(nèi)容和提交的 內(nèi)容是否一致.關(guān)鍵代碼:di米 GetCode,valicodeGetCode=Cstr(request(getcode)valicode=Cstr(Session(vali

37、datecode)if GetCodevalicode thenresponse.write (驗(yàn)證碼輸入錯(cuò)誤,請(qǐng)重輸入)response.end運(yùn)用動(dòng)態(tài)口令認(rèn)證機(jī)制,登陸時(shí)輸入所顯示的 動(dòng)態(tài)驗(yàn)證碼,以此防止惡意重復(fù)性投票,提高了 系統(tǒng)的 安全性.用戶登陸界面:圖4-4 用戶登陸界面4.2.2用戶投票模塊模塊圖如下:投票開始投票顯示投票結(jié)果搜索投票設(shè)計(jì)用戶操作主界面圖4-5 用戶投票模塊(1)設(shè)計(jì)用戶操作主界面:用戶操作一共包含需要3個(gè)方面,即開投票頁(yè)面,顯示投票結(jié)果頁(yè)面,搜索投票信息頁(yè)面.(2)進(jìn)行投票:在“投票選項(xiàng)”中選中所選類別提交后,所選內(nèi)容會(huì)存儲(chǔ)在數(shù)據(jù)庫(kù)中,并在投票管理頁(yè)面中顯示投票

38、結(jié)果.投票界面:圖4-6 投票界面(3)顯示投票結(jié)果:用戶提交投票信息后,數(shù)據(jù)存入數(shù)據(jù)庫(kù)并計(jì)算出每個(gè)投票選項(xiàng)的 所得投票數(shù),并將投票數(shù)最多的 那一選項(xiàng)的 信息顯示到此頁(yè)面.顯示投票結(jié)果界面:圖4-7 顯示投票結(jié)果界面(4)搜索投票:用戶可在搜索投票模塊搜索自己想要了 解的 投票的 具體內(nèi)容.首先是搜索主題,然后轉(zhuǎn)到相應(yīng)主題的 相關(guān)投票信息,實(shí)現(xiàn)數(shù)據(jù)庫(kù)數(shù)據(jù)的 讀取.關(guān)鍵代碼:搜索投票界面:圖4-8 搜索投票界面4.2.3投票管理模塊模塊圖如下:投票管理增加投票刪除投票更新投票信息管理員登陸設(shè)計(jì)投票管理主界面圖4-9 投票管理模塊(1)管理員登陸:管理登陸之后才能管理投票信息.在此模塊中同樣引入了

39、 動(dòng)態(tài)口令認(rèn)證以保證安全.(2)設(shè)計(jì)投票管理主界面:當(dāng)管理員登錄成功后,會(huì)轉(zhuǎn)到投票管理界面.在該界面可以進(jìn)行以下操作:增加投票,刪除投票,更新投票信息.(3)增加投票:添加投票界面是管理員新建投票信息并存儲(chǔ)在數(shù)據(jù)庫(kù)中的 媒介,并在投票管理界面中顯示.增加投票界面:圖4-10 增加投票界面(4)刪除投票:刪除不需要的 或已過期的 投票,并刪除在數(shù)據(jù)庫(kù)中的 相應(yīng)的 數(shù)據(jù).關(guān)鍵代碼:刪除投票界面:圖4-11 刪除投票界面(5)更新投票:當(dāng)投票信息有變動(dòng)時(shí),先在“選擇更新投票主題界面”中輸入想要更新的 主題,“提交”后跳轉(zhuǎn)至“更新投票界面”.更新信息后,數(shù)據(jù)在數(shù)據(jù)庫(kù)中得到相應(yīng)的 更新.關(guān)鍵代碼:選擇更

40、新投票主題界面:圖4-12 選擇更新主題投票界面關(guān)鍵代碼:更新投票界面:圖4-13 更新投票界面結(jié) 論經(jīng)過幾個(gè)月的 工作,完成了 系統(tǒng)的 總體設(shè)計(jì)和數(shù)據(jù)庫(kù)的 搭建,實(shí)現(xiàn)了 系統(tǒng)的 基本功能,系統(tǒng)能夠正常運(yùn)行.在本次畢業(yè)設(shè)計(jì)的 研究中,我對(duì)ASP、SQL Server技術(shù)有了 更進(jìn)一步的 認(rèn)識(shí),在實(shí)際編程中也遇到、解決了 許多問題.熟悉了 動(dòng)態(tài)口令認(rèn)證機(jī)制在實(shí)際中的 運(yùn)用:它既能使信息的 保密性得到保證,又能確認(rèn)投票者身份的 有效性與唯一性,這樣才能保證投票結(jié)果的 真實(shí)有效.此畢業(yè)設(shè)計(jì)中還有很多需要改進(jìn)的 地方,如:運(yùn)行流程的 設(shè)計(jì)可以更加縝密;系統(tǒng)功能可以更加完善;界面的 設(shè)計(jì)可以更加人性化等

41、.希望在以后的 應(yīng)用實(shí)踐中這些不足能夠得到改進(jìn).參考文獻(xiàn)1 立雅科技Drea米weaer 米XASP網(wǎng)頁(yè)整合大全米北京:電子工業(yè)出版社,2004.2 張莉等SQL Server數(shù)據(jù)庫(kù)原理及應(yīng)用教程米北京:清華大學(xué)出版社,2002.3 方睿,刁仁宏,吳四九網(wǎng)絡(luò)數(shù)據(jù)庫(kù)原理及應(yīng)用米成都:四川大學(xué)出版社,2005.4 陳俊榮,陳惠文,鄧文淵ASP與網(wǎng)絡(luò)數(shù)據(jù)庫(kù)技術(shù)米北京:中國(guó)鐵道出版社,2003.5 張仕斌,譚三,易勇,蔣毅網(wǎng)絡(luò)安全技術(shù)米北京:清華大學(xué)出版社,2004.第 21 頁(yè) 共 20 頁(yè)致 謝本文是在李貴洋老師的 熱情關(guān)心和指導(dǎo)下完成的 ,他淵博的 知識(shí)和嚴(yán)謹(jǐn)?shù)?治學(xué)作風(fēng)使我受益匪淺,對(duì)順利完成本課題起到了 極大的 作用.在此向他表示我最衷心的 感謝！在論文完成過程中,本人還得到了 李中志老師及很多同學(xué)的 熱心幫助,本人向他們表示深深的 謝意！最后向在百忙之中評(píng)審本文的 各位專家、老師表示衷心的 感謝！作者簡(jiǎn)介姓 名:何姍 性別:女出生年月:1984-1 民族:漢 E-米ail:woshiwosha