校园网网页防篡改技术探讨.docVIP

校园网网页防篡改技术探讨 　　摘要：校园网作为融科、教为一体的大型综合性信息服务平台，可以开发延伸很多web应用级产品。校园网随着应用范围的逐步扩大，以网页篡改为代表的校园网网站破坏行为日益严重。本文在比较四种得到广泛应用的网页防篡改技术的基础上.提出一种新的综合HMAC―RIPEMD消息识别算法、Berkeley DB水印库与PKCS#11.3接口技术相结合的网页防篡改系统组合策略。 　　关键词：网页防篡改 校园网 事件触发 　　中图分类号：TP393.08 文献标识码：A 文章编号：1007-9416（2012）12-0163-01 　　校园网提供的各种应用网聚师生人心的同时，基于校园网平台上的各种web应用受到了各种各样的安全威胁，其中网页篡改问题最为突出。通过HMAC―RIPEMD算法可以进行消息识别、通过Berkeley DB函数库可以实现水印功能并且通过PKCS#11.3可以实现安全接口规范。 　　1、四种常见的防篡改技术 　　1.1 外挂轮询技术 　　该技术也可以称为定式循环扫描技术。通过适当的网页检测程序，将要检测网页文件或网页文件夹以轮询的方式读出，与指定的正确文件比较，从而判别文件是否被篡改，如果被篡改则将文件立即恢复。这种方式虽然保证了网站的正确性，但是对于具有较大规模的内容丰富的校园网网页来说，轮询一次的周期过长，无法及时检测到被篡改的网页并且耗费的系统资源也非常严重。 　　1.2 核心内嵌技术 　　该技术也可称为“水印技术”或“指纹技术”，可以使通过B/S模式提出的修改网页的请求，必须先首先经过一定的加密算法的验证。如果通过了检验则允许此项修改行为，反之亦然。这种方式对服务器的运算资源要求较高，无法满足校园网网页正常的修改要求。 　　1.3 事件触发技术 　　此技术基本基于C/S模式，通过编写具有一定检测功能的程序，对网站的目录及网页进行实时查看。凡是非法性的修改都会得到及时的警报并且有效地恢复。以 “网页不会被私自篡改”为前提的安全技术手段无法对没有被触发的网页进行任何检查，因此，存在着访问者可能访问到被恶意篡改的网页的危险。 　　1.4 文件过滤驱动技术 　　以底层驱动技术为基础，在Web服务器植入内置散列快速算法对篡改行为进行监测的程序，以触发方式进行自动监测。当发现属性通过非协议方式发生变更。该技术结合操作系统，采用Web服务器底层驱动技术，实现文件过滤及保护，实现页面防篡改模块。 　　2、新型防篡改系统组合策略 　　校园网网站的防篡改系统的主要目的是预防、及时发现并纠正网页篡改的产生后果。在现有的防篡改技术的基础上，本文采用以HMAC―RIPEMD算法为基础的消息识别技术、基于Berkeley DB函数库的数字水印技术以及基于PKCS#11.3协议的接口技术。 　　2.1 以HMAC―RIPEMD算法为基础的消息识别技术 　　选用RIPEMD算法作为散列函数，以HMAC作为散列消息鉴别码别码形成一种使用散列函数RIPEMD进行密码运算的消息识别技术，配合使用共享的密钥使用任何迭代的散列函数。散列函数RIPEMD在计算方面的优势地位保证了这种技术在软件运行方面的稳定性和方便性，能够较好地保持RIPEMD函数特有的性能不至于变异。另外，模块化的设计方案使得散列函数的选取变得简单易行。通过散列函数RIPEMD函数计算出来的文件散列码和现有的做比较，哪怕微小的改动都会反映出来。有效地控制了入侵者有意制造的文件大小一致、类型一样、修改时间相同的篡改文件不容易被发觉的问题，解决了事件触发技术中产生的篡改页面被访问到的问题。 　　2.2 基于Berkeley DB函数库的数字水印技术 　　使用Berkeley DB函数库的主要原因是：其一，开放的源代码使得函数扩展更为方便简单；其二，内嵌式的数据管理体系，这与以往的关系型数据库有着根本的区别，数据的修改、保存、删除、查询等功能不再需要与数据服务建立链接，从而大大提高了数据管理效率；其三，函数库的API接口调用简单方便，简化了数据访问难度。C系列编程语言、Java、PHP等常用基于B/S模式开发的网页语言都能无缝地调用Berkeley DB函数库的API接口。此外，Perl、Tcl、Python等也完全能够正常调用Berkeley DB函数库的API接口。通过使用此项技术可以优化核心内嵌技术，降低运算资源的占用率。 　　2.3 基于PKCS#11.3协议的接口技术 　　PKCS#11.3协议的特点是：其一，标准完整，作为公钥加密标准的代表，已广泛应用于商业用途，容易实现应用于算法的隔离；其二，接口明确，形成了基于PKI密码的编程API的通用逻辑型完整算法接口；它被广泛应用于各种可移植的设备中，如智能卡、IC卡