馬嘉成　朱雨　許少鈞　唐川子

摘要：隨著互聯(lián)網(wǎng)技術(shù)的發(fā)展，集處理數(shù)據(jù)分析數(shù)據(jù)為一體的互聯(lián)網(wǎng)平臺大行其道。Online Judge作為在線判題系統(tǒng)，為師生課后學(xué)習(xí)交流、競賽練習(xí)，提供系統(tǒng)規(guī)范化的服務(wù)，成為學(xué)生學(xué)習(xí)的工具、教師教學(xué)的幫手。

1 引言

隨著各種智能終端用戶的增長和互聯(lián)網(wǎng)技術(shù)的發(fā)展，各類大學(xué)online judge應(yīng)運(yùn)而生。最初使用于ACM-ICPC國際大學(xué)生程序設(shè)計競賽和OI信息學(xué)奧林匹克競賽中的自動判題和排名。現(xiàn)廣泛應(yīng)用于世界各地高校學(xué)生程序設(shè)計的訓(xùn)練、參賽隊員的訓(xùn)練和選拔、各種程序設(shè)計競賽以及數(shù)據(jù)結(jié)構(gòu)和算法的學(xué)習(xí)和作業(yè)的自動提交判斷中。其使學(xué)生和老師之間的教學(xué)互動更簡單便捷，線上發(fā)布題目測試，成為學(xué)習(xí)方式新潮流，也增添了較多的學(xué)習(xí)樂趣，與未知的問題，奇怪的邏輯，繁雜的分支條件作斗爭。

Online Judge系統(tǒng)是一個在線判題系統(tǒng)。通過接收用戶提供的源代碼，對其進(jìn)行編譯、運(yùn)行，并與預(yù)先存放的測試數(shù)據(jù)或者測試用代碼來驗證其正確性。用戶提交的代碼一般會在限制條件下運(yùn)行，包括時間限制、內(nèi)存限制、安全權(quán)限限制等，用戶可以選擇在競賽模式以及普通模式以達(dá)到在不同要求下完成程序的編寫，程序判斷結(jié)果由后端返回至用戶界面。

本文介紹使用python的Django框架搭建OJ平臺的方法。

2 Django框架搭建的Web平臺

開發(fā)Web服務(wù)器所需要的MTV模式是由模型、控制器和視圖這三層以松耦合方式連接在一起，其中模塊負(fù)責(zé)對象與數(shù)據(jù)庫的映射，視圖負(fù)責(zé)用戶與前端的交互，控制器則負(fù)責(zé)接收用戶請求并調(diào)用相應(yīng)的模型和視圖來完成用戶的請求。本文所述的系統(tǒng)中以O(shè)J測評系統(tǒng)為其核心，包括用戶管理模塊、題庫模塊、測評數(shù)據(jù)模塊、數(shù)據(jù)統(tǒng)計分析模塊。

（1）用戶管理模塊：包括學(xué)生、教師、管理員不同等級的用戶，各有不同的權(quán)限以及操作。學(xué)生可以做題并進(jìn)行討論，教師可以發(fā)布題目并得到學(xué)生作答的詳細(xì)信息，管理員可以發(fā)布題目以及修改普通用戶的信息。

（2）題庫模塊：完成題目的描述、測試數(shù)據(jù)、測試代碼的添加、修改、刪除等功能，以及對做題數(shù)據(jù)的數(shù)量、正確率等的統(tǒng)計。

（3）測評數(shù)據(jù)模塊：OJ的核心內(nèi)容，對用戶提交的代碼進(jìn)行評測。

（4）數(shù)據(jù)分析模塊：對正確率、錯誤原因進(jìn)行統(tǒng)計和分析，并包括數(shù)據(jù)查重等功能。

3 OJ系統(tǒng)的搭建

Online Judge的實現(xiàn)，能很快地運(yùn)用到現(xiàn)實的學(xué)習(xí)生活中去，有效的考核學(xué)生的真實水平，促使學(xué)生更好的學(xué)習(xí)計算機(jī)知識，強(qiáng)化學(xué)生的實踐能力，給學(xué)生和老師帶來立桿見影的效果;極大地提高了學(xué)生和老師雙方面的效率，減輕了老師在實驗教學(xué)管理上的負(fù)擔(dān)。因此，并發(fā)這樣一個面向程序設(shè)計語言初學(xué)者的Online Judge在線實些系統(tǒng)，是很有實際意義的。

3.1 OJ運(yùn)行原理

用戶提交的代碼通過前端傳給后端Docker所部署的GCC編譯器中，并接收測試數(shù)據(jù)傳人編譯器中，將得到的數(shù)據(jù)與后端的正確數(shù)據(jù)進(jìn)行比對并返回結(jié)果;或者接收測試代碼，將隨機(jī)的測試數(shù)據(jù)分別傳人用戶提交的代碼以及測試代碼中，比對兩者是否一致并返回結(jié)果。如圖一所示，其流程大致如下：

（1）從前端接收代碼，創(chuàng)建一個Docker鏡像，并將代碼放入進(jìn)行編譯，如果代碼有錯誤返回錯誤信息CompileError，編譯通過則進(jìn)行下一步。

（2）運(yùn)行代碼，傳入測試數(shù)據(jù)，得到結(jié)果，如果有使用系統(tǒng)限制的函數(shù)則返回RestrictedFunction;如果有運(yùn)行時錯誤，則返回運(yùn)行錯誤RuntimeEorror，運(yùn)行成功則進(jìn)入下一步。

（3）提取運(yùn)行時系統(tǒng)的數(shù)據(jù)，包括運(yùn)行時間、使用內(nèi)存大小、輸出內(nèi)容大小，如果不符合要求則分別返回TimeLimitError、MemoryLimitError、OutputLimitError，沒有問題則進(jìn)行下一步。

（4）將獲得的數(shù)據(jù)與正確結(jié)果相比對，不相同則返回WrongAnswer，正確則返回AnswerCorrect。

OJ主要負(fù)責(zé)對用戶代碼的結(jié)果的檢驗，并返回正確或錯誤的信息，然而對于用戶提交代碼的安全性，是否提交了會使系統(tǒng)超時、內(nèi)存溢出等問題的代碼時，需要利用Docker的沙盒機(jī)制來保證這些代碼不會給系統(tǒng)的正常運(yùn)行造成影響。

3.2 OJ的沙盒機(jī)制

對于運(yùn)行在服務(wù)器上的系統(tǒng)，系統(tǒng)的安全性是最重要的，不安全的系統(tǒng)對于系統(tǒng)的健全來說是致命的。如果從前端傳入的代碼通過獲取非法的權(quán)限占用系統(tǒng)資源，破壞系統(tǒng)中存儲的數(shù)據(jù)，結(jié)果將是毀滅性的，所以代碼必須在安全可控的環(huán)境下面運(yùn)行。

Docker利用Namespace實現(xiàn)了6項隔離，Docker在安全性上也做了很多工作，大致包括下面幾個方面：

（1）Linux內(nèi)核 Capability 能力限制

Docker支持為容器設(shè)置Capabilities，指定開放給容器的權(quán)限。這樣在容器中的root用戶比實際的root少很多權(quán)限。

（2）鏡像簽名機(jī)制

（3）Apparmor的MAC訪問控制

Apparmor可以將進(jìn)程的權(quán)限與進(jìn)程Capabilities能力聯(lián)系在一起，實現(xiàn)對進(jìn)程的強(qiáng)制性訪問控制（MAC）。在Docker中，我們可以使用Apparmor來限制用戶只能執(zhí)行某些特定命令、限制容器網(wǎng)絡(luò)、文件讀寫權(quán)限等功能。

（4）Seccomp系統(tǒng)調(diào)用過濾

使用Seccomp可以限制進(jìn)程能夠調(diào)用的系統(tǒng)調(diào)用（system call）的范圍，Docker提供的默認(rèn)Seccomp配置文件已經(jīng)禁用了大約44個超過300+的系統(tǒng)調(diào)用，滿足大多數(shù)容器的系統(tǒng)調(diào)用訴求。

（5）User Namespace隔離

（6）SELinux

4 總結(jié)

本文所研發(fā)的教學(xué)與競賽平臺，體現(xiàn)了便攜化、智能化的生活方式是社會發(fā)展的必然趨勢，迎合了當(dāng)前國家“互聯(lián)網(wǎng)+教育”的號召。面向龐大的教育機(jī)構(gòu)市場，多種校園化平臺軟件競爭激烈，高校迫切需要一個學(xué)生信息分析綜合性、一站式平臺我們力求做到人機(jī)交互友好，數(shù)據(jù)處理高效，功能全面便捷。本平臺的核心競爭力在于身為大學(xué)生的我們能從學(xué)生的視角發(fā)掘問題，緊跟潮流。平臺基于 Django 技術(shù)，實現(xiàn)跨平臺，多終端的新型教務(wù)系統(tǒng)。切實方便學(xué)生生活，增強(qiáng)學(xué)習(xí)氛圍，提高師生互動，豐富課余生活，促進(jìn)大學(xué)生可持續(xù)全面發(fā)展;同時有利于學(xué)校教務(wù)管理、學(xué)工管理，加強(qiáng)學(xué)生評定和數(shù)據(jù)分析信息化建設(shè)，改善學(xué)風(fēng)教風(fēng)，增強(qiáng)軟實力和競爭力。

參考文獻(xiàn)

[1] 淺談Docker安全性支持