过滤器基于IIS的信息安全策略

iis安全  时间:2021-04-09  阅读:()

基于IIS的信息安全策略

目录

一、 引言

二、 ISAPI Filter的作用机制

三、 ISAPI过滤器实现信息存储安全

四、 SSL实现信息传输安全

五、 结束语

正文

一、 引言

信息安全包括防止系统存储和传输的信息被故意或偶然地非授权泄露、更改、破坏或被非法的系统辩识和控制确保信息的保密性和可控性。 目前信息传输的途径主要是网络随着网络的开放性、互连性

和共享性程度的扩大使得网络的安全问题变得更加突出成为信息安全的重要环节[1]

在以Windows NT(包括Windows NT4.0 Windows 2000 Server系列 windows Server2003)为操作系统的服务器上通过Internet信息服务器(Internet Information Server IIS)程序为客户的请求提供服务。维护I IS信息安全的方法包括公共网关接口(Common GatewayInterface CGI)  Internet服务应用编程接口(Internet ServerAPI ISAPI)的过滤器(Filter)程序和安全套接字(Security SocketLayer SSL)等。 CGI是最常用的方法可以实现基于IIS的信息存储和传输的安全用CGI编制的程序由IIS调用但运行在自己的进程内所以其运行的速度较慢。 ISAPI Filter主要实现信息存储的安全是以动态链接库的形式封装直接运行在IIS进程内运行速度较快。 SSL可以用于信息传输的安全直接集成在I IS中。将ISAPIFilter和SSL结合即可达到信息存储和传输的安全本文即通过这种方法实现基于IIS的信息安全。

二、 ISAPI Filter的作用机制

ISAPI是微软提供的基于Windows NT(包括Windows NT4.0Windows 2000 Server系列 windows Server2003)的Internet编程接口利用ISAPI编制的应用程序以动态链接库的形式封装直接运行在IIS进程中。 ISAPI实现的应用程序包括扩展和过滤器两种形式I SAP I扩展可以响应客户的请求执行非凡的功能而过滤器可以实现数据压缩、重定向、加密和身份验证等功能[2]

图1过滤器的作用机制

ISAPI过滤器运行在IIS的前端可以处理IIS提供的每一步服务。 ISAPI过滤器的作用机制如图1所示。过滤器在IIS进程启动时装载并运行GetFilterVison函数 GetFilterVison函数的目的是设置过滤器的优先级并将事件通知的关注点注册到过滤器。当系统中存在多个过滤器时需要通过设置优先级确定过滤器的执行顺序而事件通知的关注点是过滤器可以处理的服务。当客户请求服务时 IIS首先启动过滤器程序然后根据过滤器注册的关注点调用过滤器实现的事件处理函数。

三、 ISAPI过滤器实现信息存储安全

通过I SAP I过滤器可以对客户的身份进行验证控制访问的客户从而实现系统存储的信息安全。在I S AP I过滤器中验证客户身份需要注册的事件关注点是SF_AUTHENT I CAT I ON事件相应的事件处理函数是OnAuthenticat ion。客户在提交访问后 IIS启动新的线程为客户提供服务在IIS线程验证客户的身份前会首先查看过滤器中有无S F_AUTHENT I CAT I ON事件关注点若有则执行过滤器的

OnAuthenticat ion函数。所以可以通过OnAuthenticat ion函数在IIS线程前对客户的身份进行验证。

图2身份验证过滤器基本架构

IIS以HTTP的挑战/响应机制结合Windows NT(包括WindowsNT4.0 Windows 2000 Server系列 windows Server2003)的用户数据

库验证客户的身份而Windows NT(包括Windows NT4.0 Windows2000 Server系列 windows Server2003)的用户数目是有限的并且直接以NT用户访问存在着不安全的因素所以在过滤器中引入专用的用户访问数据库数据库中包含客户的密码和用户名以及对应的系统密码和用户名身份验证过滤器的基本结构如图2所示。

客户匿名访问时过滤器直接返回保证客户可以访问非保密的资源。当客户非匿名访问时过滤器查找用户数据库找到对应的系统密码和用户名并替代客户的密码和用户名然后在IIS中用替换的系统密码和用户名对客户的身份进行验证。采用这种方法使得客户输入的密码和用户名并不是系统真正的密码和用户名既保证了客户的数量又保护了系统的安全。

I SAP I身份验证过滤器运行在多线程的I I S进程中每一个线程都将调用过滤器程序而与数据库的连接很占系统的资源 当访问的客户超过一定的数量时可能会导致系统的崩溃。在实现时可以通过一段缓存解决这个问题具体方法是过滤器装载时在内存中开辟一段空间用以保存近来访问服务器的客户的密码和用户名以及对应的系统密码和用户名。在客户访问时过滤器先查找缓存中有无客户的密码和用户名若没有再查找数据库并将查找到的内容写入缓存中 由于查找缓存的时间及占用的资源远远小于对数据库的查找所以可以大大提高过滤器的执行效率。

I SAP I过滤器实现的过程中应注重的问题主要是内存泄漏和多线程。避免的方法在于选择支持多线程的数据库并且保证缓存的单线程访问以及释放占用的内存。

四、 SSL实现信息传输安全

图3 SSL会话过程

在Internet传输的所有数据都暴露于任何网络客户面前任何对通信进行监测的人都可以对通信的数据进行截取和修改。保证数据传输的保密性、完整性和安全性的要害在于防止网络的监听和篡改。 SSL技术为应用层间数据通信提供安全的途径它位于可靠的传输层之上为高层的应用提供透明的服务保证传输信息的隐私性、可靠性和用户的非否认性。

SSL通信分两个阶段连接阶段和数据传输阶段。在连接阶段建立安全连接一旦算法达成协议就交换密钥接着验证身份然后开始数据传输。在数据传输阶段信息传输到SSL时通过加密或解密后向下或向上传输。 SSL要求在客户端与服务器端建立通信渠道通信渠道的建立通过客户与服务器的握手来完成。具体过程如图3所示。

客户和服务器之间通过相互询问确定最终的加密算法。询问信息提供了建立安全渠道的重要信息。服务器端通过证书确定客户的身份然后发出确认和结束信息结束握手阶段开始正常的数据传输。数据在传输过程中被分解为许多信息 同时用会话密钥加密并使用数字签名。接收端在试图解密数据之前首先要验证数字签名[2]

在IIS中可以方便的通过SSL建立数据传输的安全性。服务器建立SSL链接之前必须安装证书。证书可以使用Microsoft CertificateServer生成。新密钥的创建通过IIS密钥治理器完成它会根据向导自动请求服务器上安装的Certificate Server生成证书。在密钥建成后需要通过IIS的控制台配置SSL可以配置的选项包括密钥设置、是否要求客户端证书以及客户端证书映射等。在这些设置完成后就可以实现信息传输的安全性。

五、 结束语

以ISAPI过滤器程序保护系统存储信息安全的方法采用DLL的形式运行在IIS进程中可以通过用户数据库和缓存扩充用户的数量并提高过滤器运行的效率。用SSL保护信息传输的安全是目前常用的也是较好的方法之一。本文将二者结合给出了基于IIS进程的信息安全策略通过作者在实际应用中的检验确定了方案的可行性。

参考文献

[1]罗军舟 《网络信息安全的技术和策略》  《科技进步与学科发展综合学术研讨会论文集》 1999年10月

[2] Lecond bragiki 《IIS4.0使用大全》  中兴业科技公司译人民邮电出版社1998年

阿里云年中活动最后一周 - ECS共享型N4 2G1M年付59元

以前我们在参与到云服务商促销活动的时候周期基本是一周时间,而如今我们会看到无论是云服务商还是电商活动基本上周期都要有超过一个月,所以我们有一些网友习惯在活动结束之前看看商家是不是有最后的促销活动吸引力的,比如有看到阿里云年中活动最后一周,如果我们有需要云服务器的可以看看。在前面的文章中(阿里云新人福利选择共享性N4云服务器年79.86元且送2月数据库),(LAOZUO.ORG)有提到阿里云今年的云...

LOCVPS新上韩国KVM,全场8折,2G内存套餐月付44元起_网络传真服务器

LOCVPS(全球云)发布了新上韩国机房KVM架构主机信息,提供流量和带宽方式,适用全场8折优惠码,优惠码最低2G内存套餐月付仅44元起。这是一家成立较早的国人VPS服务商,目前提供洛杉矶MC、洛杉矶C3、和香港邦联、香港沙田电信、香港大埔、日本东京、日本大阪、新加坡、德国和荷兰等机房VPS主机,基于KVM或者XEN架构。下面分别列出几款韩国机房KVM主机配置信息。韩国KVM流量型套餐:KR-Pl...

华为云年中聚惠618活动,新用户专区,云服务器低至88元/年,3年仅580.98元,热销抢购中,最后2天!

华为云怎么样?华为云用在线的方式将华为30多年在ICT基础设施领域的技术积累和产品解决方案开放给客户,致力于提供稳定可靠、安全可信、可持续创新的云服务,做智能世界的“黑土地”,推进实现“用得起、用得好、用得放心”的普惠AI。华为云作为底座,为华为全栈全场景AI战略提供强大的算力平台和更易用的开发平台。本次年终聚惠618活动相当给力,1核2G内存1m云耀云服务器仅88元/年起,送主机安全基础版套餐,...

iis安全为你推荐
wordpress模板wordpress模板与主题的区别空间文章空间里一些比较好的文章。。搜狗360360影视大全怎样免费看大片我爱试用网电信爱玩4G定向流量包开通需要交费吗闪拍网关于闪拍网骗人的情况?可信网站可信网站认证怎么做?贵不?价格大概是多少?网络u盘网吧网络U盘是怎么弄的欢迎光临本店鸡蛋蔬菜饺子每个10个3元,牛肉蔬菜饺子每10个5元,欢迎光临本店! 汉译英联系我们代码卸载失败!请联系我们帮助您解决!(错误代码13)--是什么情况dezenderPHP高手来
域名城 联通vps 域名备案批量查询 域名抢注工具 google电话 日本软银 一点优惠网 韩国名字大全 admit的用法 徐正曦 国外代理服务器软件 可外链相册 中国电信测速网 中国电信宽带测速网 国外ip加速器 江苏双线服务器 香港亚马逊 web服务器搭建 全能空间 西安主机 更多