CN101778108A - 一种服务器主页防篡改的方法及装置 - Google Patents
一种服务器主页防篡改的方法及装置 Download PDFInfo
- Publication number
- CN101778108A CN101778108A CN201010019586A CN201010019586A CN101778108A CN 101778108 A CN101778108 A CN 101778108A CN 201010019586 A CN201010019586 A CN 201010019586A CN 201010019586 A CN201010019586 A CN 201010019586A CN 101778108 A CN101778108 A CN 101778108A
- Authority
- CN
- China
- Prior art keywords
- homepage
- legal
- compartment wall
- fire compartment
- revise
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Computer And Data Communications (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种服务器主页防篡改的方法及装置,涉及网络安全领域,用以解决现有技术会影响服务器的性能,而且保护功能存在明显缺陷的问题。方法包括:修改验证步骤:防火墙验证发起主页修改请求的为可信主机,则允许修改并转入修改主页步骤,否则拒绝修改;修改主页步骤:由防火墙在修改后的主页中标记验证标识;访问验证步骤:防火墙验证被访问主页中的验证标识为合法,则转入推送主页步骤,否则推送错误信息;推送主页步骤:经由防火墙推送主页信息。防火墙包括:修改验证模块,修改主页模块和访问验证模块。本发明不占用服务器的任何资源,可保证服务器不被利用发布非法信息。
Description
技术领域
本发明涉及网络安全领域,特别是涉及一种服务器主页防篡改的方法及装置。
背景技术
Internet的迅速发展以及普及,使之成为日常个人、企业或政府部门等获得信息和发布信息的主要手段。Internet上最重要的服务器是WWW(万维网)服务器,正是由于有海量的WWW服务器才使得Internet变成了资源丰富的信息宝库。
通过WWW服务器发布信息已成为企业或政府部门等单位的一项日常任务,为了使用户能获得准确和正确的信息,单位花费大量的人力、物力和财力来保证网络和信息的安全,但是还是有些不法分子或黑客等能通过各种手段来进入单位的内网,进行非授权访问或非法操作等。篡改WWW主页就是常见的威胁之一,WWW服务器的主页被篡改,浏览用户将不能获得正确的信息,有些恶意的修改还会产生严重的后果,因此保护WWW服务器的主页不被篡改是网络安全里一个很主要的任务。
现有WWW服务器主页防篡改技术主要是基于进程级的,即在WWW服务器上安装保护进程或插件等,具体参见图1所示,WWW服务器上安装多个保护进程,不同的保护进程有不同的保护功能,如防病毒进程、防网页篡改进程等。
可见,现有技术的缺点包括:其一,WWW服务器是一个资源有限的服务器,随着在线访问用户的增多其资源不断被消耗;而且服务器上的保护进程也消耗资源,加重了服务器的负担,影响服务器的正常响应时间。
其二,由于有众多的保护进程,进程之间的通信和兼容性容易出错,影响服务器的正常响应。
其三,基于进程的防护,主要是基于对主机进程的信任,一旦主机被木马等病毒控制,保护进程很容易饶过或干脆被停止其保护功能。
其四,WWW服务器软件或服务器操作系统等有很多漏洞,容易被黑客等利用。
综上,现有技术会影响服务器的性能,而且保护功能存在明显缺陷。
发明内容
本发明提供了一种服务器主页防篡改的方法及装置,用以解决现有技术会影响服务器的性能,而且保护功能存在明显缺陷的问题。
本发明的服务器主页防篡改的方法,包括下列步骤:修改验证步骤:防火墙验证发起主页修改请求的为可信主机,则允许修改并转入修改主页步骤,否则拒绝修改;修改主页步骤:由防火墙在修改后的主页中标记验证标识;访问验证步骤:防火墙验证被访问主页中的验证标识为合法,则转入推送主页步骤,否则推送错误信息;推送主页步骤:经由防火墙推送主页信息。
进一步,修改主页步骤中标记验证标识的过程具体包括:防火墙从修改后的主页中抽取预定义特征,并生成验证标识。
进一步,访问验证步骤中验证标识是否合法的过程具体包括:防火墙从被访问主页中抽取所述预定义特征并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,防火墙将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
本发明的防火墙,包括:修改验证模块,用于验证发起主页修改请求的为可信主机,则允许修改,否则拒绝修改;修改主页模块,用于在经由修改验证模块允许修改并修改后的主页中标记验证标识;访问验证模块,用于验证被访问主页中的验证标识为合法,则允许推送所述主页,否则推送错误信息。
进一步,修改主页模块具体从所述修改后的主页中抽取预定义特征,并生成验证标识。
进一步,访问验证模块验证标识是否合法的逻辑包括:从被访问主页中抽取所述预定义特征并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
本发明有益效果如下:本发明不需要在WWW服务器上安装任何进程,不占用WWW服务器的任何资源。主页的修改只能是来自可信主机修改,非授权的修改主页请求将被防火墙拒绝,而且不能验证的主页,无法通过防火墙返回给Internet用户,保证WWW服务器不被利用发布非法信息。
附图说明
图1为传统WWW主页保护技术示意图;
图2为本发明实施例中的防火墙部署示意图;
图3为本发明实施例中的防火墙结构示意图;
图4为本发明实施例中的方法步骤流程图。
具体实施方式
由于Internet的固有特点使之在网络安全方面很薄弱,因此有大量相关的网络安全产品出现,如防火墙、入侵检测和漏洞扫描等,这些安全产品的特点都是保护企业的私有网络或资源不被非授权访问和篡改。本发明的主要思路是在防火墙上针对WWW服务器上的主页进行保护,使之不能在非授权下被篡改。参见图2所示,本发明实施例中的防火墙网络部署如下:防火墙的部署位置通常在Internet与服务器区或可信网络之间,防火墙的部署位置决定了其是网络安全的第一道安全保证,也是最重要的安全屏障,所以其自身的软件安全要求是极高的,所用操作系统也是专有的或经过安全加固的;而且防火墙工作特点必须是能长时间高复核的连续工作,所以硬件的性能和稳定性也要求很高。基于防火墙这些特点,在防火墙上做WWW主页的保护较传统保护技术有很多优越之处。
因此,本发明实施例中提供了一种防火墙,参见图3所示,包括:修改验证模块、修改主页模块和访问验证模块。
其中,修改验证模块,用于验证发起主页修改请求的为可信主机,则允许修改,否则拒绝修改。具体可根据主机IP地址、专用用户名或/和密码来验证发起主页修改请求的主机是否为可信主机。
修改主页模块,用于在经由修改验证模块允许修改并修改后的主页中标记验证标识。具体可从修改后的主页中抽取预定义特征,并生成验证标识,该验证标识与该主页之间具有唯一对应关系,上述预定义特征例如:修改后的主页的字数,修改后的主页每段的字数,修改后的主页中图片的位置信息,或/和修改后的主页中附加的隐藏信息等;同时还可记录本次修改主页的信息,如主页标识、可信主机信息、日期时间等。之后,可将生成的验证标识插入修改后的主页中,即由主页携带该验证标识,但不会影响主页正常浏览;或者将生成的验证标识保存在防火墙本地,并将该验证标识与该主页信息之间建立关联关系。
访问验证模块,用于验证被访问主页中的验证标识为合法,则允许推送所述主页,否则推送错误信息。具体的,若验证标识由主页携带,则从主页的特定位置获取验证标识;若验证标识保存在防火墙本地,则根据被访问主页的信息以及验证标识与主页信息之间的关联关系,从本地获得对应的验证标识。之后,可从被访问主页中抽取预定义特征(与合法修改主页后抽取的预定义特征相同)并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
访问验证之后,若被访问主页为合法网页,即未经篡改的主页,则由防火墙向访问用户推送主页信息,若被访问主页为非法网页,即主页遭到篡改,则防火墙向访问用户推送错误信息,从而屏蔽被篡改的主页信息,避免被篡改的主页信息在网络中传播。
本发明实施例中提供了一种服务器主页防篡改的方法,包括下列主要步骤:
修改验证步骤:防火墙验证发起主页修改请求的为可信主机,则允许修改并转入修改主页步骤,否则拒绝修改。
修改主页步骤:由防火墙在修改后的主页中标记验证标识。
访问验证步骤:防火墙验证被访问主页中的验证标识为合法,则转入推送主页步骤,否则推送错误信息。
推送主页步骤:经由防火墙推送主页信息。
参见图4所示,进一步详述,本发明实施例的方法流程可分为主页修改的流程部分和Internet用户的访问流程部分,并且二者存在逻辑顺序。
主页修改的流程包括:
S101、主机发起修改原始主页的请求。
S102、原始主页的修改必须是来自可信网络的可信主机,并且可信主机的请求必须经过防火墙验证,如可信主机的IP地址,和专用的用户名和密码等,必须经过验证方可进入下一步处理,即转入步骤S103,否则拒绝修改。
S103、原始主页经合法授权修改之后,防火墙从修改后的主页中抽取预定义特征生成主页的一个唯一标识,同时记录本次修改主页的信息,如主页标识、可信主机信息、日期时间等。上述预定义特征例如:修改后的主页的字数,修改后的主页每段的字数,修改后的主页中图片的位置信息,或/和修改后的主页中附加的隐藏信息等。之后,可将生成的验证标识插入修改后的主页中,即由主页携带该验证标识,但不会影响主页正常浏览;或者将生成的验证标识保存在防火墙本地,并将该验证标识与该主页信息之间建立关联关系。
Internet用户的访问流程包括:
S104、WWW服务器收到访问主页的请求后,返回主页信息给防火墙,而非像现有技术那样,直接将主页信息返回给用户。
S105、与步骤S103的内容相应,若验证标识由主页携带,则从被访问主页的特定位置获取验证标识;若验证标识保存在防火墙本地,则根据被访问主页的信息以及验证标识与主页信息之间的关联关系,从本地获得对应的验证标识。之后,可从被访问主页中抽取预定义特征(与合法修改主页后抽取的预定义特征相同)并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
S106、若防火墙判定被访问主页合法,即验证通过,则将主页返回给请求方用户,请求方用户得以正常浏览主页内容;若防火墙判定被访问主页非法,即没有验证通过,则返回未找到主页错误给请求方用户,从而屏蔽被篡改的主页信息,避免被篡改的主页信息在网络中传播。
综上,本发明中验证标识的生成、处理和维护均在防火墙上,安全可靠性高,不需要在WWW服务器上安装任何进程,不占用WWW服务器的任何资源。
整个处理过程不需要改变原由WWW服务器的处理流程,对WWW服务器进程是透明的。
WWW主页的修改只能是来自可信主机修改,非授权的修改主页请求将被防火墙拒绝。
不能验证的主页,无法通过防火墙返回给Internet用户,保证WWW服务器不被利用发布非法信息。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种服务器主页防篡改的方法,其特征在于,包括下列步骤:
修改验证步骤:防火墙验证发起主页修改请求的为可信主机,则允许修改并转入修改主页步骤,否则拒绝修改;
修改主页步骤:由防火墙在修改后的主页中标记验证标识;
访问验证步骤:防火墙验证被访问主页中的验证标识为合法,则转入推送主页步骤,否则推送错误信息;
推送主页步骤:经由防火墙推送主页信息。
2.如权利要求1所述的服务器主页防篡改的方法,其特征在于,修改验证步骤中,防火墙根据主机IP地址、专用用户名或/和密码来验证发起主页修改请求的主机是否为可信主机。
3.如权利要求1所述的服务器主页防篡改的方法,其特征在于,修改主页步骤中标记验证标识的过程具体包括:
防火墙从修改后的主页中抽取预定义特征,并生成验证标识。
4.如权利要求3所述的服务器主页防篡改的方法,其特征在于,修改主页步骤中,同时记录本次修改主页的信息。
5.如权利要求3所述的服务器主页防篡改的方法,其特征在于,访问验证步骤中验证标识是否合法的过程具体包括:
防火墙从被访问主页中抽取所述预定义特征并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,
防火墙将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
6.一种防火墙,其特征在于,包括:
修改验证模块,用于验证发起主页修改请求的为可信主机,则允许修改,否则拒绝修改;
修改主页模块,用于在经由修改验证模块允许修改并修改后的主页中标记验证标识;
访问验证模块,用于验证被访问主页中的验证标识为合法,则允许推送所述主页,否则推送错误信息。
7.如权利要求6所述的防火墙,其特征在于,修改验证模块根据主机IP地址、专用用户名或/和密码来验证发起主页修改请求的主机是否为可信主机。
8.如权利要求6所述的防火墙,其特征在于,修改主页模块具体从所述修改后的主页中抽取预定义特征,并生成验证标识。
9.如权利要求8所述的防火墙,其特征在于,修改主页模块同时记录本次修改主页的信息。
10.如权利要求8所述的防火墙,其特征在于,访问验证模块验证标识是否合法的逻辑包括:
从被访问主页中抽取所述预定义特征并生成标识,并与该主页被合法修改后所生成的标识对照,如果一致,则为合法,否则为非法;或者,
将该主页被合法修改后所生成的标识反向计算,得出合法特征,并与被访问主页中的相应特征对照,如果一致,则为合法,否则为非法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010019586 CN101778108B (zh) | 2010-01-22 | 2010-01-22 | 一种服务器主页防篡改的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 201010019586 CN101778108B (zh) | 2010-01-22 | 2010-01-22 | 一种服务器主页防篡改的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101778108A true CN101778108A (zh) | 2010-07-14 |
| CN101778108B CN101778108B (zh) | 2012-10-24 |
Family
ID=42514436
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 201010019586 Active CN101778108B (zh) | 2010-01-22 | 2010-01-22 | 一种服务器主页防篡改的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101778108B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753924A (zh) * | 2015-03-11 | 2015-07-01 | 科云(上海)信息技术有限公司 | 一种基于动态透明隔离防护的企业数据资产保护方法 |
| CN104883368A (zh) * | 2015-05-28 | 2015-09-02 | 上海斐讯数据通信技术有限公司 | 一种内核防火墙的管理方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1194498C (zh) * | 2002-11-07 | 2005-03-23 | 上海交通大学 | 基于数字标签的内容安全监控系统及方法 |
| US7272728B2 (en) * | 2004-06-14 | 2007-09-18 | Iovation, Inc. | Network security and fraud detection system and method |
| CN1649346A (zh) * | 2005-03-23 | 2005-08-03 | 李冬岩 | 网络应用层攻击的检测、过滤、阻断和记录的方法 |
-
2010
- 2010-01-22 CN CN 201010019586 patent/CN101778108B/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104753924A (zh) * | 2015-03-11 | 2015-07-01 | 科云(上海)信息技术有限公司 | 一种基于动态透明隔离防护的企业数据资产保护方法 |
| CN104883368A (zh) * | 2015-05-28 | 2015-09-02 | 上海斐讯数据通信技术有限公司 | 一种内核防火墙的管理方法 |
| CN104883368B (zh) * | 2015-05-28 | 2020-06-05 | 上海斐讯数据通信技术有限公司 | 一种内核防火墙的管理方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101778108B (zh) | 2012-10-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6680840B2 (ja) | 不正デジタル証明書の自動検出 | |
| US9584543B2 (en) | Method and system for web integrity validator | |
| Chen et al. | Oauth demystified for mobile application developers | |
| US9979726B2 (en) | System and method for web application security | |
| CN102724204B (zh) | 一种安全可信的能力开放平台 | |
| US20160012213A1 (en) | Methods and systems for verifying the security level of web content that is embedded within a mobile application and the identity of web application owners field of the disclosure | |
| US20080065893A1 (en) | Schema signing | |
| Xing et al. | Cracking app isolation on apple: Unauthorized cross-app resource access on MAC os~ x and ios | |
| JP4636607B2 (ja) | セキュリティ対策アプリケーションの機密ファイル保護方法 | |
| CN103905402B (zh) | 一种基于安全标签的保密安全管理方法 | |
| US7571485B1 (en) | Use of database schema for fraud prevention and policy compliance | |
| Mladenov et al. | 1 trillion dollar refund: How to spoof pdf signatures | |
| Garg et al. | Analysis of software vulnerability classification based on different technical parameters | |
| CN101789942A (zh) | 一种防敏感数据泄密的方法及装置 | |
| KR101586048B1 (ko) | 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체 | |
| KR20110002947A (ko) | 필수 프로그램 설치정보를 이용한 네트워크 접근 제어시스템 및 이의 방법 | |
| KR102107082B1 (ko) | 블록체인 기반 모바일 위조 앱 검출 방법 | |
| Baskaran et al. | Measuring the leakage and exploitability of authentication secrets in super-apps: The wechat case | |
| CN101778108B (zh) | 一种服务器主页防篡改的方法及装置 | |
| Joshi et al. | Encountering sql injection in web applications | |
| CN111314370A (zh) | 一种业务漏洞攻击行为的检测方法及装置 | |
| CN102799824A (zh) | 一种针对具有数字签名信息的病毒文件的防御方法及系统 | |
| CN103067343B (zh) | 防止篡改ActiveX控件用途的方法和系统 | |
| JP2019067065A (ja) | 検知プログラム、装置、及び方法 | |
| Kang et al. | A study on the needs for enhancement of personal information protection in cloud computing security certification system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Preliminary Examination of the Application for Invention |
|
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Publication and of Entering the Substantive Examination Stage of the Application for Invention |
|
| DD01 | Delivery of document by public notice |
Addressee: Wu Bingtang Document name: Notification of Passing Examination on Formalities |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| PP01 | Preservation of patent right | ||
| PP01 | Preservation of patent right |
Effective date of registration: 20220422 Granted publication date: 20121024 |