动态网页防篡改方法和技术研究.pdf

摘 要 当今网络时代的大环境下，Web 应用平台已成为互联网信息交互的中心。而 近年来由于 Web 应用安全漏洞问题，黑客肆意攻击网站，网页篡改事件也频繁发 生。面对 Web 应用所面临的越来越严重的安全威胁，如何保障 Web 网站安全成为 当前信息安全领域中一个重要的研究课题。 本文在分析研究 Web 网站攻击手段和抵御攻击的方法，以及各种网页防篡改 技术的基础上，得出 Web 网页与后台数据库存在安全隐患而影响了防篡改系统的 性能的结论。本文将针对这一安全问题提出新的解决方案。该方案以提高系统本 身的安全性能为主要目标，以网站页面中动态数据的传输与存储安全为着眼点， 通过引入密码学技术，分别介绍了对称加密 AES 算法、非对称加密 MD5 算法和 Hash 函数MD5 算法，分析比较了各自的优缺点，并在此基础上提出了一种基于混 合加密技术的安全机制。新的安全机制采用不同的混合密码算法应用于文件上传 机制、数据库代理机制和数据库备份机制，实现全方位保护网页文件与系统数据 的安全。同时本文提出的以COM 技术为框架的数据库代理机制，不仅能够为数据 库安全提供进一步的保障，也可减轻 Web 服务器的负载，从而提高了整个系统的 性能。 动态网页防篡改系统实际上是信息加密技术和网络安全知识的综合应用。基 于上述思想和方案，本文以 Web 服务器、代理服务器、发布服务器和备份服务器 为基本框架，将系统分为安全上传、实时监控、数据库代理、告警和恢复以及数 据备份五个模块并予以设计实现，最后实现了比较小型但功能较完备的动态网页 防篡改系统。 本系统基于 Windows 平台，以 VC++为开发工具，实现了以文件过滤驱动技 术为基础的网站文件实时监控，并完成了数据备份、报警和恢复的整个防篡改过 程，有效地保护了网站信息的安全。 关键词：关键词：网页防篡改，动态数据，混合加密，数据库代理 关键词关键词：： I Abstract As todays environment of network times, web application platform has become an interaction of Internet information. However, because of web application security vulnerabilities in recent years, web cites are attacked wantonly by hackers, and webpage tampering incidents occur frequently. Faced with increasingly serious security threats of web applications, how to protect website security has become a significant research topic in the field of Information Security. Based on analysis of web site attacks and resistance, as well as a variety of webpage tamper proofing technologies, we conclude that security risks of webpage and back-end database have affected the performance of tamper proofing systems. Hence, this article will propose a new solution for this security issue. The program puts improving security of the system itself as its main obj