《一种基于数字签名的网页原始性鉴别方法.doc》由会员分享,可在线阅读,更多相关《一种基于数字签名的网页原始性鉴别方法.doc(6页珍藏版)》请在三一文库上搜索。
1、一种基于数字签名的网页原始性鉴别方法随着互联网的普及,网站已成为展示企事业单位及政府形象的窗口,也是对外开展业务、提供服务的重要手段。然而,由于网络操作系统的复杂性和多样性等原因,导致系统漏洞层出不穷,防不胜防,网站被攻击、网页被窜改等网络安全1事件频繁发生。据CNCERT/CC统计,2004年11月和12月,网页被窜改事件排在各类安全事件之首,2005年以来,此类事件发生数量仍居高不下。网页被窜改,尤其是含有政治色彩的窜改,不仅会影响正常业务的开展,还严重损害企事业单位、政府的形象和名誉。因此,采用更严格的措施鉴别网页的原始性,严防被窜改网页流向公众就显得十分必要。 1 传统鉴别方法的弱点
2、外挂轮询式的网页原始性鉴别技术2,3是利用一个检测程序,在Web服务器外部以轮询方式读出被监控网页,与备份的真实网页比较页面文件的大小、修改时间、内容等信息,进而判定网页的真实性和完整性。虽然该方法在一定程度上达到了鉴别网页原始性的目的,但无法解决文件大小和修改时间不变的窜改行为;同时存在轮询时间长、额外占用网络带宽、消耗服务器资源(轮询越频繁,服务器负载就越重)、不支持动态网页检测等弱点,更要紧的是该方法无法阻止用户访问被窜改的页面,导致恶意信息被传播。 依据上述分析,在传统方法的基础上,借鉴PKI理论对基于数字指纹的核心内嵌技术进行了改进,提出了一种基于数字签名的网页原始性鉴别方法(Dig
3、ital Signature Based Method of Identifying the Aboriginality of Webpages,DSBIA)。 2 DSBIA基本原理 2.2数字签名 数字签名是基于密码理论、能够鉴别数据完整性和原始性的电子签名方案。依据功能的不同,它可分为普通数字签名、不可否认签名、防失败签名、盲签名和群签名等。 在DSBIA中,数字签名一方面是为了保证上传过程网页的完整性,另一方面是为了确保用户浏览到的页面真实、可信。依据数字签名原理,DSBIA选择RSA签名机制实现上述功能。RSA数字签名原理1如图1所示。 3 DSBIA的实现 3.1 上传过程网页的原
4、始性鉴别 在传统的网络管理中,Web服务器页面文件的更新一般通过FTP服务器上传。由于FTP采用明文方式传输数据,因此用FTP连接上传网页可能导致传输过程中页面文件被截获、伪造或窜改;另外,该方法容易导致黑客窃取服务器的系统文件或从其目录下执行程序。为避免类似事件的产生,DSBIA中关闭Web服务器的FTP 端口,另开端口以类FTP方式实现发送端与服务器的连接;同时,管理员每次上传Web页面文件时,无论是通过本地还是远程方式,Web服务器均采用数字证书方式严格验证管理员身份,以阻挡非法用户的上传操作。管理员身份经验证无误后即可向Web服务器上传页面文件,具体过程如下: 3.2 Web服务器上网
5、页的原始性鉴别 3.2.1 签名信息的组织和管理 网页文件上传到Web服务器并被确认无误后,其数字签名信息的组织和管理对网页原始性鉴别结果的准确性至关重要。传统的方法多是以文件形式将之保存在服务器硬盘上,或组织成数据库交给DBMS管理,虽然在一定程度上满足了实际需要,但存在明显不足。前者保存的文件可能被侵入服务器的黑客修改或删除,导致网页的原始性无法鉴别或鉴别错误;后者太浪费服务器资源,且影响工作效率,因为每个网页文件的数字签名信息非常小(如128/160 bits等)。 为提高自身的安全性,DSBIA采用动态方式组织和管理网页文件的数字签名。系统不再使用文件和数据库形式组织数字签名,而是当W
6、eb服务器启动时,由专门定制的初始化程序逐个产生网页文件的数字签名,以二元组id,ds形式组织为链表并存放到内存安全区中,可免遭攻击。其中,id表示网页文件的标志,ds表示该文件的数字签名。在Web服务器正常工作过程中,管理员更新网页并通过原始性鉴别后,重新计算更新页面的数字签名并更新链表。 3.2.2 网页原始性鉴别 在Web服务器端,DSBIA采用基于事件触发的核心内嵌技术对网页的原始性进行鉴别。当用户申请访问页面时,内嵌在服务器中的监控程序通过验证数字签名鉴别网页的原始性,具体过程如下: 综上所述,在DSBIA中将Hash函数和公钥算法结合起来可以在确保网页完整性的同时保证网页的真实性。
7、完整性保证了网页上传过程中没有被窜改,而真实性则保证了是由Web服务器产生的Hash而不是由其他人假冒,进而实现了网页的原始性鉴别。 4 实验与结果分析 为验证DSBIA方法的实际效果,本文进行了实验,重点测试了网页原始性的鉴别效果及其自身的安全性,并与基于文件比对的外挂轮询和基于数字指纹技术的传统鉴别方法进行了对比、分析。 4.1 实验环境及方案 在C4 2.4 GHz/256 MB机器上,Linux+Apache+MySQL环境下,用C语言编程进行了验证实验。 4.2 实验结果及对比分析 DSBIA与外挂轮询、基于数字指纹等传统鉴别方法的对比如表2所示。 从上述实验结果及对比分析可以看出,
8、基于数字签名的网页原始性鉴别方法与传统方法相比,具有资源占用少、安全性好、鉴别速度较快、准确率高等特点。 5 结束语 本文在传统的网页原始性鉴别方法的基础上,针对网页上传和浏览过程提出了一种基于数字签名技术的改进方案,给出了实现模型并进行了实验。该方法既能确保上传网页的可靠性,又能发现服务器上的Web页面是否被窜改或重放,保证其原始性、完整性以及修改后的不可抵赖性,避免产生因黑客窜改网页、非法放置恶意脚本等导致的重大负面影响。同时为网页防窜改系统中监控程序的设计增添了一种新方案,也为普通文件的防窜改保护提供了新思路。 Web页面的原始性鉴别是构建网页防窜改系统的重要一环,是安全Web服务器系统9的核心技术之一。然而本研究还有不少工作要做。如何进一步提高网页原始性鉴别的速度,减少系统对服务器资源的占用以及对被窜改页面的实时记录、报警、阻断与恢复等是今后要重点研究的内容。 本文中所涉及到的图表、注解、公式等内容请以PDF格式阅读原文。