页面网站防止攻击

第26卷第2期2006年2月计算机应用ComputerApplicationsV01_26No.
2Feb.
2006文章编号:1001—9o81(2006)02—0327一O2Web页面防篡改及防重放机制张建华,李涛,张楠(1.
四川大学计算机学院,四川成都610065;2.
西南民族大学计算机科学与技术学院,四川成都610041)(xnmdzjh@126.
com)摘要:为避免Web页面被篡改或重放而导致的网站服务中止或形象损毁等严重后果,提出了一种内嵌于Web服务器的实时的防篡改及防重放机制,并给出了其实现方法.
该机制可以有效防范页面被恶意篡改,还可以防范黑客重放木马脚本程序,提高了系统的安全性和可靠性.
关键词:Web服务器;防篡改;防重放;中间件中图分类号:TP309文献标识码:AMechanismofanti.
modificationandanti-replacementonWebPagesZHANGJianhua一,LITao,ZHANGNan·(1.
SchoolofComputerScience,SichuanUniversity,ChengduSichuan610065,China;2.
SchoolofComputerScienceandTechnology,SouthwestUniversityofNationalities,ChengduSichuan610041,m)Abstract:ToavoidtheabortionofWebservicesorcontaminationofentityimagesonceWebPageshavebeenmodifiedorreplaceddeliberately,anefficientanti.
modificationandanti—replacementmechanismWaspresentedinthispaper.
rI1lemechanismworksbasedontheresearchaboutApacheAPI.
Withtherea1.
timeWebPagesidentifieationmiddlewareembeddedinWebserver.
itcanpreventexistedpagesfrombeingmodifiedandrefuseillegalhobbyhorseprogrameffectively.
TheapplicationshowsthatitcanimpmvethesecurityandreliabilityofWebserver.
KeyWOrds:Webserver;anti.
modification;anti-replacement;middleware0弓I言当今国内外占统治地位的Web服务器,如Apache、IIs等,对用户请求的页面缺乏完整性保护机制,无法有效防止页面被篡改.
这样,黑客可以在不知不觉中侵入系统,并修改关键页面.
一般来说.
主页的篡改对计算机系统本身不会产生直接的损失,但对电子政务与电子商务等需要与用户通过网站进行沟通的应用来说,就意味着电子政务或电子商务将被迫终止对外的服务.
对政府网站而言,网页的篡改,尤其是含有政治攻击色彩的篡改,会对政府形象造成严重损害.
最近又出现能自动篡改网页的"蠕虫"病毒,更加迫切需要安全的网页防篡改技术.
同时.
很多Web服务器也缺乏对Web页面的防重放机制,对未知Web页面无法进行有效的鉴别.
黑客侵入系统后未经授权就可放置木马脚本程序,给黑客非法入侵留下"后门".
为此.
有必要采取有效措施防止Web服务器上的Web页面文件被篡改或重放.
通过对ApacheAPI及模块的研究来实现相应的防篡改和防重放中间件,从而实现对Web服务器攻击的主动防御.
整性和权威性;同时还能检测未经允许放置的后台Web脚本程序并禁止其非法执行.
管理员每次上传web文件时,服务器采用严格的基于PKI的身份认证,确认管理员身份无误后,建立高强度SSL连接,保证上传文件的可靠性.
系统接收文件后,先求出页面文件原文的数据摘要,然后对数据摘要用Web服务器的私钥和非对称加密算法对摘要进行加密得到数字签名.
数据摘要提供了一种检测页面文件是否被改动过的方法,而数字签名则防止数据摘要本身被篡改.
以后Interact用户每次请求访问页面时,服务器均通过内嵌的页面原始性鉴别中问件进行实时的页面检测,若原始性验证通过,则同意用户访问,否则进行相应处理(如拒绝访问并报警、恢复被篡改的页面等).
这样,即便不幸被黑客侵入系统、修改或重新放置Web页面后,服务器也不会将错误的页面误传给用户而造成不良后果.
具备防篡改和防重放机制的Web服务器成为增强型的安全Web服务器,其模块化体系结构如图1所示.
图1增强型安全Web服务器1页面防篡改和防重放机制利用P提供的数据完整性服务,基于Ap.
h.
的模块扩2页面防篡改和防重放的实现展机制编写自定义中间件,对Web页面进行实时的原始性鉴2.
1页面签名别,防止Web页面在存储过程中被篡改,保证Web页面的完本文中使用的签名文件具有如图2所示的统一格式.
收稿日期:2005—08—04;修订日期:2005—10—22基金项目:国家自然科学基金资助项目(60373110);教育部博士点基金资助项目(20030610003)作者简介:张建华(1971一),男.
l~lJtl武胜人,副教授,博士研究生,主要研究方向:网络安全技术及应用;李涛(1965一),男,l~1)ll岳池人,教授,博士生导师,主要研究方向:计算机网络安全、人工智能;张楠(1973一),女,四川眉山人,副教授,博士研究生,主要研究方向:计算机网络.
http://www.
paper.
edu.
cn328计算机应用2006血其中每个域的具体含义如下:签名标志符:其值可以自行定义,如signedpages:摘要算法标识符:可以使用目前国内外常用的摘要生成算法,如MD5、SHA一1等;签名算法标识符:可以使用目前国内外常用的非对称加密算法,如:RSA、DSA、ECC及DH等;签名长度:数字签名内容的长度,此处固定为128;原始Web页面文件长度:未经签名前的原始页面文件长度;数字签名:对原文及文件头使用服务器私钥进行数字签名后得到的签名内容;原始Web页面文件内容:未经签名前的原始页面文件内容.
文件头签名标志符摘要算法标识符图2签名页面格式具体的签名流程如图3所示.
根据不同安全级别的要求和安全Web服务器性能的要求,用户可以使用不同强度的签名算法.
④,.
.
.
】【.
.
.
.
.
一I获取命令行参数l是———————Hl∞命令行参数中获取执行的操作类型文件名、目标文件名得到服务器证书的私钥用服务器的私钥加密源文件的数据摘冕得到源文件数字签名根据图l签名文件的格式.
组装文件袭1页面请求过程①UR1到文件名的转换②头部解析处理③检查主机地址的访问权限④用户身份合法性检测⑤认证检查外的其他检查⑥判断请求对象的MIME类型⑦修正(处理扩展)⑧正式向客户端发送响应⑨对请求进行登记Web页面防篡改和防重放中间件是使用ApacheAPI编写的一个Apache服务器扩展模块,它嵌入到Apache中运行,其处理被放在了Apache事务处理过程的头部解析处理阶段.
用户通过浏览器请求已进行数字签名的Web页面时,由该模块在传输之前对该文件进行原始性鉴别,然后根据页面的当前状况以不同形式反馈给用户.
其模块signedomot—module定义如下所示:moduleMODULE—VAR_EXPORTsignedornot—module=fSTANDARD—MODULE—STUFF.
NULL,NULL.
NULL,NULL.
NULL,NULL,NULL,NULL,NULL.
NULL.
NULL,NULL.
NULL.
NULL.
signedomot—handler,//防篡改和防重放hookNULL,NULL.
NULL}Apache通过使用钩子函数来调用定制代码.
钩子函数是一个在Apache上的注册函数,它在特定点被调用.
对于不需要执行特定处理程序的钩子函数,模块声明中用NULL值表示,否则必须给出对应的处理函数名.
在Web页面防篡改和防重放模块的模块声明时,就注册了用于防篡改和防重放处理的signedomot_haNd~er钩子函数:staticintsignedomothandler(request_me·req)f……/具体的防篡改和防重放过程·/l其执行过程如图4所示.
图3Web页而签名流程2.
2中间件对页面请求的处理我们通过研究Apache对页面请求进行处理的详细过程,设计出Apache防篡改和防重放中间件,实现对已签名页面的实时访问控制Apache对页面请求的处理用到了一个非常重要的请求对象结构request~rec.
它包含了请求的URI、文件名、路径信息、参数、正文内容的类型和正文内容的译码方式等众多信息,其请求过程可分解为如下几个环节,如表1所示.
这些步骤通过搜寻一系列有"继承"关系的模块来进行处理.
每一步骤可以对应一个处理程序,如果某一模块句柄匹配某一步骤的处理,就尝试调用该模块来进行处理.
在模块中一般执行如下任务:1)处理请求,如果成功执行,就返回信息OK.
2)拒绝处理请求,并返回信息DECLINED.
这种情况j下,服务器会认为对应的处理程序不存在.
3)通过返回一个HrrP错误代码发出出错信号,终止对客户端请求的处理.
客户端请求URIl型垦!
.
王塑塑型圣鱼I《]圆委匦亟煎圃I匦噩亟塑萋亟圃ll根据文件头中的摘要算法和原始IIl文件重新计算得到新的摘要D'lI』{是IIl交由Apachc核心模块Il或拒绝访问井提示I继续处理请求ll或恢复关键页面——塑——图4页面防篡改和防重放流程结语一般的Web页面防篡改系统采用的是外挂轮询式技术,即周期性地从外部逐个访问Web页面,来判断页面的原始(下转第331页)一一一一一一一一一第2期余冬梅等:粗糙集理论在数字图像水印中的应用331分解,在不同方向和层次的子带中对小波系数计算其梯度和纹理复杂度,结果如图2所示.
(c)结合视觉特性的粗集方法嵌入(d)传统小波白适应方法嵌入PSNR=28.
4158dBPSNR=28.
0745dB图4水印嵌入效果对比为了验证使用该方法选择水印嵌人位置的正确性,图3给出了传统小波域自适应水印算法的嵌人位置图.
它是通过在小波分解后的子带中选取视觉临界误差JND值较大的系数得到的.
为了体现对比的公正性,保证两种方法小波分解的层数和各个子带中嵌入点的总个数对应相等.
在小波域中应用本文设计的粗糙集水印算法自适应的嵌入随机O,1比特序列,并与传统的小波自适应水印算法进行比较,嵌入效果如图4所示.
对于相同的载体图像,小波分解的层数和对应子带中嵌入的水印信息是一样的,不同的是两种方法所选择的水印嵌入位置.
经过对比发现,基于粗糙集的水印嵌入位置选择方法不但可行,而且嵌入水印以后的图像视觉质量较好.
但是应该注意到,本文设计的方法只考虑了粗糙集与人类视觉特性的结合,影响水印鲁棒性的因素也可以作为图像知识系统的条件属性,参与到水印嵌入位置的选择方法中来.
3结语粗糙集理论作为一种新的软计算方法(其指导原则是利用所允许的不精确性、不确定性和部分真实性,以得到易于处理、鲁棒性和成本较低的解决方案),已经成为智能计算领域中一个新的学术热点.
本文将粗糙集的思想应用到数字图像水印技术当中,提出了一种新颖的水印嵌入位置选择方法,并获得了较好的效果.
该方法具有以下的特点:1)可以同时适用于空域和变换域的各种算法;2)能够通过调整各条件属性的重要性、依赖度和权重等来满足所设计算法的性能要求,使用灵活方便;3)具有很强的可扩展性,影响水印算法性能的各种因素可以转化为知识表达系统中的条件属性,而不必重新设计整个算法.
参考文献:【l】曾黄麟.
粗集理论及其应用【M】.
重庆:重庆大学出版社,1996.
【2】曹泰钧.
粗集理论在数据处理中的研究与应用[J】.
河北理工学院学报,2003,25(4):67-72.
【3】徐立中.
数字图像的智能信息处理[M】.
北京:国防工业出版社,2001.
f4】SWINIARSKIRW,SKOWRONA.
Roughsetmethodsinfeaturesleetionandrecognition[J】.
PatternRecognitionLetters,2003,24(6):833—849.
【5】PAWLAKZ.
RoughSets:TheoreticalAspectsofReasoningaboutData【J】.
ControlEngineeringPractice.
1996,4(5):741-742.
【6】LEWISAS,KNOWLESG.
Imagecompressionusingthe2-Dwave-Iettransform[J1.
IEEETransactionsO11ImageProcessing,1992,1f2):244—250.
(上接第328页)性.
对于每个web页面来说,轮询扫描存在着较长的时间间隔.
在这个时间间隔里,黑客可以攻击系统并使公众访问到被篡改的网页.
本文提出的内嵌式Web页面防篡改和防重放中间件,运行于Web服务器内部,与Web服务器无缝结合.
每次Web服务器对外发送Web页面时,都会进行页面防篡改和防重放检测,从而能够实时地监测每个被访Web页面的原始性,即便网站不幸被黑客入侵,也不用担心Web页面被恶意篡改,还可以防范黑客重新放置恶意页面或脚本等,提高系统的安全性.
将其与页面加密存储访问技术等结合使用,更能积极主动地保障Web服务器的内部安全.
上面给出的Web页面防篡改和防重放机制已在研制出的多功能安全Web服务器中应用,有效增强了服务器的安全性和可靠性.
参考文献:[1】THAURS.
ApacheAPInotesIEB/OL】.
http://modules.
apache.
org/doc/API.
htI.
2004—12—26.
【21PAREKHS.
IntroductiontoprogrammingfortheApacheAPIIEB/OL】.
http://modules.
apache.
org/doc/lntro—APIPmg.
html,2005一O4一l3.
【3】KAB1RMJ.
Apache服务器实用大全【M】.
北京:水利水电出版社.
2001.
【4】HOLDENG.
ApacheServer源代码分析【M】.
北京:机械工业出版社.
2o00.
【51张建华,李涛,刘晓洁,等.
Web页面加密存储及访问机制『J1.
计算机工程.
2004.
30(13):97—98.