- 相關(guān)推薦
畢業(yè)論文:基于IIS的信息安全策略
摘要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展,使得信息安全的需求日益增強(qiáng)。本文通過使用ISAPI過濾器保護(hù)系統(tǒng)的存儲安全,通過SSL實(shí)現(xiàn)信息的傳輸安全,從而給出基于IIS的信息安全策略。
要害詞 Internet 服務(wù)應(yīng)用編程接口 信息安全性 Internet信息服務(wù)
一、 引言
信息安全包括防止系統(tǒng)存儲和傳輸?shù)男畔⒈还室饣蚺既坏胤鞘跈?quán)泄露、更改、破壞或被非法的系統(tǒng)辯識和控制,確保信息的保密性和可控性。目前信息傳輸?shù)耐緩街饕蔷W(wǎng)絡(luò),隨著網(wǎng)絡(luò)的開放性、互連性和共享性程度的擴(kuò)大,使得網(wǎng)絡(luò)的安全問題變得更加突出,成為信息安全的重要環(huán)節(jié)[1]。
在以Windows NT(包括Windows NT4.0,Windows 2000 Server系列,windows Server2003)為操作系統(tǒng)的服務(wù)器上通過Internet 信息服務(wù)器(Internet Information Server,IIS)程序?yàn)榭蛻舻恼埱筇峁┓⻊?wù)。維護(hù)IIS信息安全的方法包括公共網(wǎng)關(guān)接口(Common Gateway Interface,CGI),Internet服務(wù)應(yīng)用編程接口(Internet Server API,ISAPI)的過濾器(Filter)程序和安全套接字(Security Socket Layer,SSL)等。CGI是最常用的方法,可以實(shí)現(xiàn)基于IIS的信息存儲和傳輸?shù)陌踩肅GI編制的程序由IIS調(diào)用,但運(yùn)行在自己的進(jìn)程內(nèi),所以其運(yùn)行的速度較慢。ISAPI Filter主要實(shí)現(xiàn)信息存儲的安全,是以動態(tài)鏈接庫的形式封裝,直接運(yùn)行在IIS進(jìn)程內(nèi),運(yùn)行速度較快。SSL可以用于信息傳輸?shù)陌踩,直接集成在IIS中。將ISAPI Filter和SSL結(jié)合即可達(dá)到信息存儲和傳輸?shù)陌踩,本文即通過這種方法實(shí)現(xiàn)基于IIS的信息安全。
二、 ISAPI Filter的作用機(jī)制
ISAPI是微軟提供的基于Windows NT(包括Windows NT4.0,Windows 2000 Server系列,windows Server2003)的Internet編程接口,利用ISAPI編制的應(yīng)用程序以動態(tài)鏈接庫的形式封裝,直接運(yùn)行在IIS進(jìn)程中。ISAPI實(shí)現(xiàn)的應(yīng)用程序包括擴(kuò)展和過濾器兩種形式,ISAPI擴(kuò)展可以響應(yīng)客戶的請求,執(zhí)行非凡的功能,而過濾器可以實(shí)現(xiàn)數(shù)據(jù)壓縮、重定向、加密和身份驗(yàn)證等功能[2]。
圖1 過濾器的作用機(jī)制
ISAPI過濾器運(yùn)行在IIS的前端,可以處理IIS提供的每一步服務(wù)。ISAPI過濾器的作用機(jī)制如圖1所示。過濾器在IIS進(jìn)程啟動時(shí)裝載,并運(yùn)行GetFilterVison函數(shù),GetFilterVison函數(shù)的目的是設(shè)置過濾器的優(yōu)先級并將事件通知的關(guān)注點(diǎn)注冊到過濾器。當(dāng)系統(tǒng)中存在多個(gè)過濾器時(shí)需要通過設(shè)置優(yōu)先級確定過濾器的執(zhí)行順序,而事件通知的關(guān)注點(diǎn)是過濾器可以處理的服務(wù)。當(dāng)客戶請求服務(wù)時(shí),IIS首先啟動過濾器程序,然后根據(jù)過濾器注冊的關(guān)注點(diǎn)調(diào)用過濾器實(shí)現(xiàn)的事件處理函數(shù)。
三、 ISAPI過濾器實(shí)現(xiàn)信息存儲安全
通過ISAPI過濾器可以對客戶的身份進(jìn)行驗(yàn)證,控制訪問的客戶,從而實(shí)現(xiàn)系統(tǒng)存儲的信息安全。在ISAPI過濾器中,驗(yàn)證客戶身份需要注冊的事件關(guān)注點(diǎn)是SF_AUTHENTICATION事件,相應(yīng)的事件處理函數(shù)是OnAuthentication?蛻粼谔峤辉L問后,IIS啟動新的線程為客戶提供服務(wù),在IIS線程驗(yàn)證客戶的身份前會首先查看過濾器中有無SF_AUTHENTICATION事件關(guān)注點(diǎn),若有,則執(zhí)行過濾器的OnAuthentication函數(shù)。所以可以通過OnAuthentication函數(shù)在IIS線程前對客戶的身份進(jìn)行驗(yàn)證。
圖2 身份驗(yàn)證過濾器基本架構(gòu)
IIS以HTTP的挑戰(zhàn)/響應(yīng)機(jī)制結(jié)合Windows NT(包括Windows NT4.0,Windows 2000 Server系列,windows Server2003)的用戶數(shù)據(jù)庫驗(yàn)證客戶的身份,而Windows NT(包括Windows NT4.0,Windows 2000 Server系列,windows Server2003)的用戶數(shù)目是有限的,并且直接以NT用戶訪問存在著不安全的因素,所以在過濾器中引入專用的用戶訪問數(shù)據(jù)庫,數(shù)據(jù)庫中包含客戶的密碼和用戶名以及對應(yīng)的系統(tǒng)密碼和用戶名身份驗(yàn)證過濾器的基本結(jié)構(gòu)如圖2所示。
客戶匿名訪問時(shí),過濾器直接返回,保證客戶可以訪問非保密的資源。當(dāng)客戶非匿名訪問時(shí),過濾器查找用戶數(shù)據(jù)庫,找到對應(yīng)的系統(tǒng)密碼和用戶名,并替代客戶的密碼和用戶名,然后在IIS中用替換的系統(tǒng)密碼和用戶名對客戶的身份進(jìn)行驗(yàn)證。采用這種方法使得客戶輸入的密碼和用戶名并不是系統(tǒng)真正的密碼和用戶名,既保證了客戶的數(shù)量又保護(hù)了系統(tǒng)的安全。
ISAPI身份驗(yàn)證過濾器運(yùn)行在多線程的IIS進(jìn)程中,每一個(gè)線程都將調(diào)用過濾器程序,而與數(shù)據(jù)庫的連接很占系統(tǒng)的資源,當(dāng)訪問的客戶超過一定的數(shù)量時(shí),可能會導(dǎo)致系統(tǒng)的崩潰。在實(shí)現(xiàn)時(shí)可以通過一段緩存解決這個(gè)問題,具體方法是過濾器裝載時(shí)在內(nèi)存中開辟一段空間,用以保存近來訪問服務(wù)器的客戶的密碼和用戶名以及對應(yīng)的系統(tǒng)密碼和用戶名。在客戶訪問時(shí),過濾器先查找緩存中有無客戶的密碼和用戶名,若沒有再查找數(shù)據(jù)庫,并將查找到的內(nèi)容寫入緩存中,由于查找緩存的時(shí)間及占用的資源遠(yuǎn)遠(yuǎn)小于對數(shù)據(jù)庫的查找,所以可以大大提高過濾器的執(zhí)行效率。
ISAPI過濾器實(shí)現(xiàn)的過程中應(yīng)注重的問題主要是內(nèi)存泄漏和多線程。避免的方法在于選擇支持多線程的數(shù)據(jù)庫,并且保證緩存的單線程訪問以及釋放占用的內(nèi)存。
四、 SSL實(shí)現(xiàn)信息傳輸安全
圖3 SSL會話過程
在Internet傳輸?shù)乃袛?shù)據(jù)都暴露于任何網(wǎng)絡(luò)客戶面前,任何對通信進(jìn)行監(jiān)測的人都可以對通信的數(shù)據(jù)進(jìn)行截取和修改。保證數(shù)據(jù)傳輸?shù)谋C苄浴⑼暾院桶踩缘囊υ谟诜乐咕W(wǎng)絡(luò)的監(jiān)聽和篡改。SSL技術(shù)為應(yīng)用層間數(shù)據(jù)通信提供安全的途徑,它位于可靠的傳輸層之上,為高層的應(yīng)用提供透明的服務(wù),保證傳輸信息的隱私性、可靠性和用戶的非否認(rèn)性。
SSL通信分兩個(gè)階段:連接階段和數(shù)據(jù)傳輸階段。在連接階段,建立安全連接,一旦算法達(dá)成協(xié)議,就交換密鑰,接著驗(yàn)證身份,然后開始數(shù)據(jù)傳輸。在數(shù)據(jù)傳輸階段,信息傳輸?shù)絊SL時(shí)通過加密或解密后向下或向上傳輸。SSL要求在客戶端與服務(wù)器端建立通信渠道,通信渠道的建立通過客戶與服務(wù)器的握手來完成。具體過程如圖3所示。
客戶和服務(wù)器之間通過相互詢問確定最終的加密算法。詢問信息提供了建立安全渠道的重要信息。服務(wù)器端通過證書確定客戶的身份,然后發(fā)出確認(rèn)和結(jié)束信息結(jié)束握手階段,開始正常的數(shù)據(jù)傳輸。數(shù)據(jù)在傳輸過程中被分解為許多信息,同時(shí)用會話密鑰加密并使用數(shù)字簽名。接收端在試圖解密數(shù)據(jù)之前首先要驗(yàn)證數(shù)字簽名[2]。
在IIS中可以方便的通過SSL建立數(shù)據(jù)傳輸?shù)陌踩。服?wù)器建立SSL鏈接之前必須安裝證書。證書可以使用Microsoft Certificate Server生成。新密鑰的創(chuàng)建通過IIS密鑰治理器完成,它會根據(jù)向?qū)ё詣诱埱蠓⻊?wù)器上安裝的Certificate Server生成證書。在密鑰建成后需要通過IIS的控制臺配置SSL,可以配置的選項(xiàng)包括密鑰設(shè)置、是否要求客戶端證書以及客戶端證書映射等。在這些設(shè)置完成后就可以實(shí)現(xiàn)信息傳輸?shù)陌踩浴?br />
五、 結(jié)束語
以ISAPI過濾器程序保護(hù)系統(tǒng)存儲信息安全的方法,采用DLL的形式運(yùn)行在IIS進(jìn)程中,可以通過用戶數(shù)據(jù)庫和緩存擴(kuò)充用戶的數(shù)量并提高過濾器運(yùn)行的效率。用SSL保護(hù)信息傳輸?shù)陌踩悄壳俺S玫囊彩禽^好的方法之一。本文將二者結(jié)合給出了基于IIS進(jìn)程的信息安全策略,通過作者在實(shí)際應(yīng)用中的檢驗(yàn),確定了方案的可行性。
參考文獻(xiàn)
[1] 羅軍舟, 《網(wǎng)絡(luò)信息安全的技術(shù)和策略》,《科技進(jìn)步與學(xué)科發(fā)展綜合學(xué)術(shù)研討會論文集》1999年10月
[2] Lecond braginski, 《IIS4.0使用大全》,中興業(yè)科技公司譯,人民郵電出版社1998年
【畢業(yè)論文:基于IIS的信息安全策略】相關(guān)文章:
基于IIS總線的嵌入式音頻系統(tǒng)設(shè)計(jì)03-18
電子商務(wù)安全策略12-07
信息管理畢業(yè)論文12-10
物理與信息工程畢業(yè)論文03-13
基于Blog的動態(tài)信息資源組織03-18
談電子商務(wù)的安全策略03-18
生物信息技術(shù)畢業(yè)論文12-06