[发明专利]一种基于访问控制和目录保护的网页防篡改装置及方法

说明书

技术领域

本发明涉及网络安全技术领域，具体涉及一种网页防篡改装置及方法。

 

背景技术

随着互联网广泛应用，网站已经成为各种信息发布和综合应用的平台，因而也催生了一批恶意攻击，如篡改网页、种植病毒、盗取信息数据等。尤其是一些关键的职能网站，如政府网站、门户网站、学校以及大型金融、证券等企业网站，这些网站上的信息要求必须具有权威性与准确性。但各类web应用系统的复杂性和多样性导致系统漏洞层出不穷，导致篡改网页、发布虚假反动信息的攻击直接损害了政府的形象，甚至因为虚假信息导致企业及个人名誉或财产受损。虽然目前已有防火墙、入侵检测、防病毒等安全防范手段，但由于网页篡改攻击事件往往预先检查和实时防范较难，也很难被传统的安全设备所检测到，单纯依靠防火墙和入侵检测系统等传统的网络安全设备无法有效防范网页篡改攻击，为此，网页防篡改技术成为安全领域研究的焦点之一。

 

发明内容

为了解决上述实际应用中存在的安全隐患问题，本发明的目的是提供一种基于访问控制和目录保护的网页防篡改装置。

本发明的另一个目的是提供实现上述防篡改方法的方法。

一种基于访问控制和目录保护的网页防篡改装置，包括客户端与服务端，所述客户端通过安全网关设备与服务端交互式连接；所述服务端由用于通过安全网关设备向客户端提供Web服务的工作端服务器与用于接收信息、发送操作指令与更新系统文件的保护端服务器交互式连接组成；所述工作端服务器通过安全网关设备与所述客户端交互式连接；所述工作端服务器与保护端服务器内部均设有目录保护服务系统，所述工作端服务器与保护端服务器通过所述目录保护服务系统进行交互式连接。

进一步，所述目录保护服务系统包括用于监控目录或者文件变动情况的监控模块，所述监控模块与实施模块通过线缆连接；所述实施模块与通信模块进行交互式连接，所述监控模块与实施模块分别与管理模块进行线缆连接。

一种基于访问控制和目录保护的网页防篡改方法，包括以下步骤：

（1）利用设于客户端与服务端之间的安全网关设备确定用户的访问权限，同时对数据在网络传输的过程中进行加密处理；

（2）工作端服务器监控到其操作系统中有目录或者文件的变动，先判断是否是保护端服务器主动通知的，若是，则工作端服务器执行该文件进行同步更新；若否，则工作端服务器将变动的目录或者文件的信息发送至保护端服务器；

（3）保护端服务器对接收的消息所指文件进行分析，并将结果发给工作端服务器；

（4）工作端服务器与保护端服务器之间建立同步通道，对变动的目录或者文件进行同步处理。

进一步，所述步骤（3）中保护端服务器对所指文件进行散列表快速查找算法分析，将其散列值与工作端服务器发送过来的文件散列值进行比较，若相同，则执行该文件操作；若不同，则判定该文件是非法篡改。

其中散列表又称为哈希表，是目前一种重要的存储方式和检索方法，而基于散列表的查找称散列查找，是一种快速查找方法。

所述步骤（4）中所述同步处理为同步执行或同步删除并恢复。

本发明中安全网关设备与客户端之间进行SSL加密通道，对访问服务端的所有数据进行加密传输。安全网关设备通过制定访问策略，对用户的访问权限进行控制。在访问策略中可以指定哪些用户有权限访问web应用服务，只有指定的用户才能访问，其他用户在访问web服务端时，会被拒绝访问，并提示没有访问权限。

本发明中工作端服务器对外客户端提供服务，而保护端服务器只用来更新用，不对外提供服务。在工作端服务器和保护端服务器中分别安装目录保护服务系统，可以确保Web服务端的网页不被纂改。目录保护服务系统主要用于监控web页面状态，执行管理中心所配置的策略，有效阻止各类篡改攻击；管理模块用于对监控模块和实施模块进行配置管理。

如果工作端服务器中内容如目录或文件被人为篡改，则工作端服务器系统将自动启用监控模块，对变动的网页文件计算散列值，并将散列值发送到保护端服务器。保护端服务器对所指文件计算散列值，与工作端服务器发送过来的散列值进行比较，校验文件是否发生变化。如发现散列值不一样，则表示文件发生变化，并将变动情况通知给工作端服务器。工作端服务器会与保护端服务器之间建立同步通道，进行实时删除并恢复，确保文件的真实可靠性。