網(wǎng)站安全防護

0 引言

隨著信息技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)已經(jīng)成為信息傳播、流通、交換及存儲的重要手段。信息高速公路的興建使人類完全突破了傳統(tǒng)的信息獲取方式，各國存儲在計算機中的資料都在逐漸增加，對信息的保護比以往更加重要也更加困難。由于Internet是個開放的網(wǎng)絡(luò)，網(wǎng)站發(fā)布的信息一天二十四小時都在被查詢、閱讀、下載或轉(zhuǎn)載。網(wǎng)站內(nèi)容復(fù)制容易，轉(zhuǎn)載速度快，網(wǎng)頁如果被篡改，后果難以預(yù)料，篡改網(wǎng)頁將會被迅速、廣泛傳播，從而直接危害網(wǎng)站的利益。

“基于WEB架構(gòu)的密碼安全防護”是采用事件觸發(fā)、核心內(nèi)嵌雙重安全保護機制，同時結(jié)合數(shù)字證書技術(shù)與安全傳輸技術(shù)，并且遵循Internet相關(guān)標(biāo)準(zhǔn)協(xié)議的網(wǎng)頁防篡改的網(wǎng)絡(luò)安全防護系統(tǒng)。本文針對中小型網(wǎng)站進行詳細(xì)的介紹。

中、小型網(wǎng)站通常使用專門的服務(wù)器主機，并有專門人員負(fù)責(zé)維護。此外，目前的中、小型網(wǎng)站以發(fā)布消息為主，且更新頻率不高。因此，中、小型網(wǎng)站的信息流向比較單純，權(quán)限劃分比較明確。根據(jù)中、小型網(wǎng)站的上述特點，我介紹一種基于USB Key的中、小型網(wǎng)站保護系統(tǒng)。

1 系統(tǒng)組成

該系統(tǒng)由硬件和軟件兩部分組成。硬件部分包括兩個 USB Key，分別命名為監(jiān)控Key和授權(quán)Key，軟件部分則包括監(jiān)控軟件和管理軟件。

（1）監(jiān)控 Key。監(jiān)控 key是通過硬件方式實現(xiàn)網(wǎng)站備份數(shù)據(jù)安全存儲的設(shè)備。在對監(jiān)控key進行初始化操作時站數(shù)據(jù)寫入到監(jiān)控key，作為自動恢復(fù)時所使用的備份數(shù)據(jù)。監(jiān)控key內(nèi)部的運算單元根據(jù)寫入的數(shù)據(jù)計算相應(yīng)的數(shù)字摘要，作為監(jiān)控時比對的憑據(jù)。生成的數(shù)字摘要存儲在監(jiān)控Key內(nèi)部，對于訪問監(jiān)控key的外部進程是不可見的。寫入監(jiān)控key 的網(wǎng)站數(shù)據(jù)能夠被訪問監(jiān)控key的外部進程讀取，但是不能修改或者刪除，只有在檢測到授權(quán)key并通過認(rèn)證的情況下，才可以對寫入監(jiān)控key的網(wǎng)站數(shù)據(jù)進行更新。

為了對授權(quán)key 進行驗證，在對監(jiān)控key進行初始化操作時還將寫入與授權(quán)Key對應(yīng)的公鑰。驗證授權(quán)key時，監(jiān)控key 隨機生成一個字符串作為認(rèn)證消息，將認(rèn)證消息發(fā)送給授權(quán)key，接收來自授權(quán)key的加密結(jié)果并且用公鑰進行解密，將解密后的結(jié)果與本次的認(rèn)證消息進行對比，如果二者一致，則通過驗證。驗證授權(quán) key之后，可以通過管理工具向監(jiān)控 Key 重新寫入網(wǎng)站數(shù)據(jù)，寫入完畢后，監(jiān)控key內(nèi)置的運算單元在此計算相應(yīng)的數(shù)字摘要，作為今后對比的依據(jù)。

套件運行時，監(jiān)控key始終通過USB接口連接到網(wǎng)站服務(wù)器主機，接收監(jiān)控軟件發(fā)來的消息，與監(jiān)控key內(nèi)部的數(shù)字摘要進行比對，如果二者不一致，則認(rèn)為網(wǎng)站數(shù)據(jù)被非法篡改。此時，監(jiān)控軟件從監(jiān)控key 中讀取備份的網(wǎng)站數(shù)據(jù)，用備份數(shù)據(jù)覆蓋被篡改的網(wǎng)站，從而實現(xiàn)自動恢復(fù)。

（2）授權(quán)key。授權(quán)key是通過硬件方式對監(jiān)控key的操作權(quán)限進行控制的設(shè)備。只有當(dāng)授權(quán)Key 經(jīng)監(jiān)控key的驗證之后，才能夠通過管理工具向監(jiān)控 key 重新寫入網(wǎng)站數(shù)據(jù)，否則監(jiān)控key中的數(shù)據(jù)禁止更改。

在對授權(quán) key進行初始化操作時，授權(quán) key 內(nèi)部生成一對RSA密鑰，其中的公鑰在對監(jiān)控key進行初始化操作時寫入監(jiān)控key。當(dāng)授權(quán)key 被監(jiān)控key驗證身份時，二者同時通過usb接口連接到主機，監(jiān)控key隨機生成一個字符串作為認(rèn)證消息，將認(rèn)證消息發(fā)送給授權(quán)key。授權(quán)key通過內(nèi)部的運算單元將收到的消息用私鑰進行加密，將結(jié)果發(fā)送給監(jiān)控key，監(jiān)控key驗證完畢之后將結(jié)果發(fā)給授權(quán)key，授權(quán)key在內(nèi)部記錄日志。通過管理工具，可以查看和到處授權(quán)key中存儲的日志。

授權(quán)key由網(wǎng)站維護人員負(fù)責(zé)保管，平時不與網(wǎng)站服務(wù)器主機相連接，只有在需要修改網(wǎng)站數(shù)據(jù)，監(jiān)控key中的數(shù)據(jù)也需要同步更新時，經(jīng)網(wǎng)站維護人員許可，將授權(quán)Key連接到主機。授權(quán)key接受監(jiān)控key發(fā)來的消息，用私鑰對消息進行加密，將加密后的結(jié)果發(fā)送給監(jiān)控key，驗證通過后，取得對監(jiān)控Key中存儲的網(wǎng)站數(shù)據(jù)進行改寫的權(quán)限。操作完畢之后，應(yīng)當(dāng)將授權(quán)key從主機拔下。

（3）監(jiān)控軟件和管理軟件。監(jiān)控軟件是對網(wǎng)站數(shù)據(jù)進行監(jiān)視，發(fā)現(xiàn)網(wǎng)站數(shù)據(jù)被非法篡改的軟件。監(jiān)控軟件以后臺進程方式在網(wǎng)站服務(wù)器主機運行，在設(shè)定的時間間隔內(nèi)提取網(wǎng)站數(shù)據(jù)并且計算相應(yīng)的數(shù)字摘要，將計算結(jié)果發(fā)給監(jiān)控Key。如果監(jiān)控key的比對結(jié)果為二者一致，則繼續(xù)監(jiān)控；否則，認(rèn)為網(wǎng)站數(shù)據(jù)被非法篡改，從監(jiān)控key中讀取備份數(shù)據(jù)，用備份的網(wǎng)站數(shù)據(jù)覆蓋被篡改的網(wǎng)站，從而實現(xiàn)自動恢復(fù)網(wǎng)站的數(shù)據(jù)功能。在恢復(fù)網(wǎng)站數(shù)據(jù)的同時，監(jiān)控軟件還可以記錄日志，便于日后審計。管理軟件是對key進行初始化等管理操作的應(yīng)用程序。只有通過管理軟件，才能夠?qū)ΡO(jiān)控key和授權(quán)key以及監(jiān)控軟件進行管理。管理軟件功能包括：查看和到處授權(quán)key的日志；設(shè)定監(jiān)控軟件提取網(wǎng)站數(shù)據(jù)的時間間隔，查看和福祉監(jiān)控軟件的日志。

2 運行流程

（1）初始化。監(jiān)控key和授權(quán)key初始化的流程如圖1所示。授權(quán)key和監(jiān)控key同時通過USB接口連接到主機。授權(quán)key內(nèi)部生成一對RSA密鑰，其中的公鑰寫入監(jiān)控key。網(wǎng)站數(shù)據(jù)寫入監(jiān)控key，作為自動恢復(fù)時所用的備份數(shù)據(jù)。監(jiān)控key內(nèi)部的運算單元根據(jù)寫入的數(shù)據(jù)計算相應(yīng)的數(shù)字摘要，作為監(jiān)控時比對的依據(jù)。初始化完成后，拔下授權(quán)key，啟動監(jiān)控軟件，開始日常運行。

（2）監(jiān)控key通過USB接口與主機連接，監(jiān)控軟件以后臺進程的方式在網(wǎng)站服務(wù)器主機運行。在設(shè)定的時間間隔內(nèi)，監(jiān)控軟件提取網(wǎng)站內(nèi)容，計算數(shù)字摘要，將計算結(jié)果發(fā)給監(jiān)控key。監(jiān)控key接收到消息，將其與內(nèi)部存儲的數(shù)字摘要進行對比，將結(jié)果發(fā)給監(jiān)控軟件。如果比對結(jié)果為一致，監(jiān)控軟件認(rèn)為網(wǎng)站數(shù)據(jù)未被篡改，急需監(jiān)控進程；否則，監(jiān)控軟件認(rèn)為網(wǎng)站數(shù)據(jù)遭到非法篡改，從監(jiān)控key中讀取備份數(shù)據(jù)，自動恢復(fù)網(wǎng)站內(nèi)容，并且記錄日志，便于日后審計。

（3）數(shù)據(jù)更新。當(dāng)需要修改網(wǎng)站數(shù)據(jù)，監(jiān)控 key中的數(shù)據(jù)也需要同步更新時，經(jīng)網(wǎng)站維護人員許可，將授權(quán)key連接到主機。監(jiān)控key隨機生成一個字符串作為認(rèn)證消息，將認(rèn)證消息發(fā)送給授權(quán)key，授權(quán)key用私鑰對監(jiān)控key發(fā)來的消息進行加密，將加密后的結(jié)果發(fā)給監(jiān)控key。監(jiān)控key接受結(jié)果，用公鑰解密，將解密后的結(jié)果與本次認(rèn)證消息進行對比，如果二者一致，則通過驗證。驗證通過后，可以通過管理工具軟件向監(jiān)控key重新寫入網(wǎng)站數(shù)據(jù)，寫入完畢后，監(jiān)控key內(nèi)置的運算單元在此計算相應(yīng)的數(shù)字摘要，作為以后比對的憑據(jù)。操作完成之后，將授權(quán)key從主機拔下，繼續(xù)進行日常運行。

圖1 流程圖

當(dāng)內(nèi)部人員修改網(wǎng)站內(nèi)容時，現(xiàn)將授權(quán)key連接到主機并通過認(rèn)證，然后才能修改網(wǎng)站內(nèi)容，再將修改后的數(shù)據(jù)發(fā)送到監(jiān)控key。監(jiān)控 key更新所存儲的網(wǎng)站內(nèi)容數(shù)據(jù)，生成并存儲新的數(shù)字摘要。數(shù)據(jù)更新時的流程圖1。

3 系統(tǒng)分析

本系統(tǒng)以軟硬件結(jié)合的方式，將USB key應(yīng)用于小型網(wǎng)站的監(jiān)控和保護，具有以下幾點：

（1）監(jiān)控流程由在主機上運行的軟件和與主機相對獨立的硬件共同完成，關(guān)鍵步驟在硬件內(nèi)部進行。即使攻擊者以遠(yuǎn)程方式控制主機，也難以控制硬件。

（2）發(fā)現(xiàn)網(wǎng)站內(nèi)容被篡改之后可以自動恢復(fù)，大幅度降低了攻擊造成的不良影響。

（3）內(nèi)部人員發(fā)布信息需要授權(quán)，便于內(nèi)部審計。

本系統(tǒng)也存在一定的局限性。例如，套件的安全程度取決于監(jiān)控進程的安全程度，當(dāng)主機被入侵者控制時，在主機上運行的監(jiān)控進程本身也同樣面臨威脅。此外，自動恢復(fù)網(wǎng)站數(shù)據(jù)的功能受限于監(jiān)控key內(nèi)部存儲空間的大小，應(yīng)用于規(guī)模較大的網(wǎng)站時比較困難等等。