一种端到端保护的网页防篡改系统的制作方法

1.本发明涉及网页保护装置技术领域，尤其涉及一种端到端保护的网页防篡改系统。


背景技术：

2.黑客一般通过应用的漏洞对网站发起入侵，以达到控制、破坏网站或某些其他目的，从而造成未知的可怕后果。
3.常见的一些页面攻击手段：
4.(1)跨站点脚本攻击(xss):指攻击者向网页中插入恶意代码，当该页面被浏览时，嵌入页面里的代码将会被执行，从而达到攻击者的目的。
5.(2)脚本注入(也叫sql注入)：它是通过把sql语句嵌套在页面请求的查询字符串中，或是将其插入web表单递交，诱使恶意的sql被数据库服务器执行，也就是从正常的www端口访问，而且表面看起来与一般的web页面访问没有什么区别。脚本注入产生的原因在于脚本系统与数据库的交互审核不严，通过脚本提交特定的数据库查询语句，达到获取数据库修改、查询、删除、更新权限的一个过程。
6.(3)web漏洞提权：入侵者利用网站的漏洞来获得用户更高级别的权限，例如将普通用户的访问权限提高到管理员级别的权限，入侵者就可以进行非法的操作。
7.(4)cookies欺骗：ookie记录着用户的各种数据信息，cookie数据信息通常是被加密后再在网上传递。信息经过加密处理后，即使被入侵者所截获，也看不懂。然而，非法的攻击者在截获cookie时，并不需要弄懂加密后字符串的含义，只需要把拦截的cookie信息向服务器提交即可，这样就能够通过服务器的验证，从而达到冒充合法用户的身份的目的，用此身份登陆网站。这种技术被称为cookie欺骗技术。
8.(5)拒绝服务攻击(ddos)：拒绝服务攻击故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，攻击者在此攻击中并不入侵目标服务器或目标网络设备，单纯利用网络缺陷或者暴力消耗即可达到目的。
9.(6)web口令暴力破解：入侵者对网站进行攻击时，首先都会想到破解网站管理者的用户名和密码，破解密码的方式主要有3种：手动口令破解，使用暴力方式破解，使用字典进行破解。
10.现有解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术，目前，市场上的网络安全产品与技术大致有以下几类：
11.(1)防火墙：它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。
12.(2)安全路由器：由于wan连接需要专用的路由器设备，因而可通过路由器来控制网络传输。
13.(3)虚拟专用网(vpn)：虚拟专用网(vpn)是在公共数据网络上，通过采用数据加密
技术和访问控制技术，实现两个或多个可信内部网之间的互联。
14.(4)web/系统漏洞扫描器：网站管理员可以使用漏洞扫描器与系统漏洞扫描器对自身进行安全扫描，以发现潜在安全隐患，并及时修补，防止被黑客利用。
15.(5)入侵检测系统(ids)：入侵检测，作为传统保护机制(比如访问控制，身份识别等)的有效补充，形成了信息系统中不可或缺的反馈链。
16.(6)入侵防护系统(ips)：类似于ids，在网络、操作系统、应用程序的内查找库中所已有的恶意代码特征，屏蔽有害代码。其目的在于及时的识别客的攻击程序或危险代码及其副本和变种，采取预防应对措施，在黑客攻击之前将其阻断，保护系统安全。—般是作为防火墙和反病毒软件的补充，配合使用，可以提高网站的安全系数。
17.(7)电子签证机构
‑‑
ca和pki产品：电子签证机构(ca)作为通信的第三方，为各种服务提供可信任的认证服务。ca可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。如使用https协议访问网站，可保证网页资源数据传输过程的保密性。
18.(8)数字水印技术：是指在数字化的数据内容中嵌入不明显的记号。被嵌入的记号通常是不可见或不可察的，但是通过一些计算操作可以被检测或者被提取。水印与源数据紧密结合并隐藏其中，成为原数据不可分离的一部分，并可以经历一些不破坏原数据使用价值或商用价值的操作而存活下来。


技术实现要素：

19.本发明所要解决的技术问题是如何提供一种具有端到端的安全防护级别以及基于数字证书签名的检测识别，不依赖服务器自身安全，能够阻断未知攻击的网页防篡改系统。
20.为解决上述技术问题，本发明所采取的技术方案是：一种端到端保护的网页防篡改系统，其特征在于包括：
21.服务器侧防篡改子系统，用于实现授权部署和运行监控，授权部署体现在网站编译打包后上载服务后部署在web中间件时对网站代码进行授权检查，通常经过签名处理的网页文件都认为已授权；授权部署用于实现可基于文件驱动技术对指定目录扫描分析，通过对目录内文件按照类型提取签名值，检查证书和签名值有效性；通过则放行，未通过则直接锁定文件禁止访问并从备份文件及时恢复并告警；运行监控用于在网站运行时对网站文件的实时监控，同样基于文件驱动技术实现，对文件的写操作事件进行拦截，检查写入内容是否合法，签名值是否有效；
22.浏览器终端侧网页防篡改子系统，用于为应对服务器侧防篡改监控程序被非法关停、卸载，从而导致网站失去防篡改检测能力，故而在设备侧浏览器端增加防篡改校验能力；浏览器通过请求到的页面数据为静态文件，在服务器侧此类数据都嵌入过签名数据，因此浏览器端在请求数据后可以第一时间对数据进行主动检测校验，达到事后处理的目的，使整个网站防篡改形成安全闭环，提升整体安全。
23.采用上述技术方案所产生的有益效果在于：所述系统在服务器侧和浏览器终端侧两方面采取防篡改保护方案，具有端到端的安全防护级别以及基于数字证书签名的检测识别。不依赖服务器自身安全，阻断未知攻击，解决传统的保护方式在自身被攻破后导致安全性无法保证的弊端。
附图说明
24.下面结合附图和具体实施方式对本发明作进一步详细的说明。
25.图1是本发明实施例所述系统的原理框图；
26.图2是本发明实施例中所述pki证书系统模块的原理框图；
27.图3是本发明实施例中代码签名处理系统模块的处理流程图；
28.图4是本发明实施例中代码签名处理系统模块的原理框图；
29.图5是本发明实施例中应用代码动态监控引擎模块的处理流程图；
30.图6是本发明实施例中应用代码解析引擎的处理流程图。
具体实施方式
31.下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
32.在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。
33.如图1所示，本发明实施例公开了端到端保护的网页防篡改系统，所述系统在服务器侧和浏览器终端侧两方面采取防篡改保护方案，具有端到端的安全防护级别，以及基于数字证书签名的检测识别。不依赖服务器自身安全，阻断未知攻击，解决传统的保护方式在自身被攻破后导致安全性无法保证的弊端。
34.服务器侧防篡改技术方案
35.web端防篡改监控检测重点在于授权部署和运行监控两方面，授权部署体现在网站编译打包后上载服务后部署在web中间件时对网站代码进行授权检查，通常经过签名处理的网页文件都认为已授权。授权部署的技术实现可基于文件驱动技术对指定目录扫描分析，通过对目录内文件按照类型提取签名值，检查证书和签名值有效性。通过则放行，未通过则直接锁定文件禁止访问并从备份文件及时恢复并告警。运行监控体现在网站运行时对网站文件的实时监控，同样基于文件驱动技术实现，对文件的写操作事件进行拦截，检查写入内容是否合法，签名值是否有效。目前基于文件驱动监控文件的技术成熟度高，执行效率高，实时性强，几乎不影响网站运行。
36.网页防篡改系统功能模块：
37.图1为手网页防篡改业务的模型。涉及到的实体包括用户、证书服务器、代码签名服务器、web服务器等。各实体的定位是：
38.证书服务器：指签名证书的颁发者。颁发的签名证书传代码签名系统及应用代码动态监控引擎，同时为用户提供ocsp在线检测证书有效性等功能。
39.代码签名服务器：负责给网站编译包进行签名授权。通过pki证书系统为代码签名处理系统颁发数字证书，供网站资源进行签名时使用。
40.web服务器：负责验证网站资源的数字签名，并对网站资源进行防篡改保护。
41.客户主机：直接面向用户，提供安全浏览器。用户通过安全浏览器访问网站、提取
签名与证书，并验证签名、根据证书属性进行ocsp的在线实时证书状态查询或基于crl的本地查询，检测证书有效状态。
42.pki证书系统模块
43.该模块提供证书的全生命周期管理功能，包括证书申请审核、证书签发、证书吊销、证书状态查询等功能。pki证书系统可签发符合国密标准的sm2算法证书，提供简单易用的管理控制台，用于支撑服务器侧证书签发与文件签名处理和浏览器侧终端侧对签名证书的验证等功能。
44.组成部分：
45.如图2所示，所述pki证书系统模块由根证书系统，ca子系统，ra子系统，ocsp子系统等多个组成部分。
46.根证书子系统：整个pki/ca系统的信任源点，负责根密钥的初始化以及签发根证书，考虑到根证书系统的高安全保护需求，一般根证书系统采用离线运行方式，与pki/ca系统的其它系统隔离。
47.ca子系统：连接多个ra子系统，负责接收来自ra子系统的证书申请请求，完成证书签发、下载、发布和撤销等服务。
48.ra子系统：数字签名证书的业务受理系统，是证书服务的用户注册审核机构，主要完成sm2签名证书服务请求的签发功能，并将用户的申请信息和相关资料上传给ca子系统，完成各项服务。
49.ocsp子系统：与ca子系统连接，ca子系统通过证书发布系统发布证书信息，并为业务应用系统提供基于证书吊销列表(crl)和ocsp的证书状态查询服务。
50.代码签名处理系统模块
51.为保护服务器侧网站安全，防止页面文件被篡改等安全问题，代码签名处理系统作为整体安全中的一环，在网页文件打包发布后部署前，对页面文件进行签名保护处理。使经过处理的页面文件在运行阶段被攻击篡改后能在第一时间通过签名检查发现，图3为所述代码签名处理流程。
52.组成部分
53.用户向pki证书系统申请证书后使用本系统用于对web应用进行签名处理，基于商用密码算法保护。本系统由证书管理模块、网页资源文件解析处理模块、代码签名处理模块、代码解包打包模块组成。如图4所示。
54.证书管理模块：对用户输入的证书密钥进行加载和管理，用于支撑代码签名处理模块的签名运算功能，密钥在模块内保护。
55.应用代码解析处理模块：加载解析web应用包，提取用于签名的源文件，支持html、css、js、php、jsp、asp、bmp、png、jpg、jpeg、gif等多种类型文件。
56.资源文件解析处理模块：针对html、css、js等多种页面资源从发布包中提取解析，批量化处理。支持图片文件、文档文件的识别处理，支持压缩后的代码资源处理。
57.代码签名处理模块：基于商用密码算法对相关资源进行签名处理，并根据不同类型文件不同结构嵌入数字签名和证书。处理后的文件原本的功能不影响，部署后可继续使用。
58.代码重构打包模块组成：对签名处理后的代码重新打包发布，不影响web应用原文
功能使用。
59.应用代码动态监控引擎模块
60.作为部署在服务器侧的应用资源动态监控服务，实时监测服务器侧网站应用资源，能够主动发现篡改行为并及时报警。支持多种文件格式监控和多级目录监控，当篡改发生后能够标记被篡改的内容，锁定被篡改文件或自动进行恢复，同时生成日志记录存档。
61.web端防篡改监控检测重点在于授权部署和运行监控两方面，授权部署体现在网站部署包上载服务器后部署运行，应用代码动态监控引擎对网站代码进行授权检查，通常经过签名处理的网页文件都认为已授权。授权部署的技术实现可基于对指定目录扫描分析，通过对目录内文件按照类型提取签名值并验证签名。通过则放行，失败则从备份目录直接恢复文件，记录日志并邮件报警。运行监控体现在网站运行时对网站文件的实时监控，同样基于文件驱动技术实现，对网站部署目录中文件的写操作事件进行拦截，阻止文件被非法改动，如图5所示为监控程序运行时扫描流程。
62.组成部分：
63.资源防篡改监控模块：根据配置策略对受保护的目录实时监控，当发生文件变动时基于签名检测校验模块进行检测判断，如发生篡改则调用报警通知与恢复模块对当前事件进行通知处理。
64.签名检测校验模块：提取监控目录中各类型文件嵌入的签名数据，验证判断文件是否合法。
65.报警通知与恢复模块：当发生篡改事件时，根据配置策略实时通知管理人员，使用邮件的方式通知报警信息。同时根据配置策略恢复被篡改文件内容，生成日志存储。
66.自保护模块：引擎自身具有自保护能力，可以应对进程被非法结束时再次启动该进程。
67.浏览器终端侧对网页防篡改的作用分析
68.应用代码解析引擎：
69.为应对服务器侧防篡改监控程序被非法关停、卸载，从而导致网站失去防篡改检测能力，故而在设备侧浏览器端增加防篡改校验能力。浏览器通过http请求到的页面数据通常为html、js、css等静态文件，在服务器侧此类数据都嵌入过签名数据，因此浏览器端在请求数据后可以第一时间对数据进行主动检测校验，达到事后处理的目的，使整个网站防篡改形成安全闭环，提升整体安全。浏览器端支持插件功能，可通过插件来实现浏览器端对网站防篡改校验，如图6所示为代码解析引擎处理流程。
70.组成部分：
71.本系统由资源解析模块、防篡改检查模块、证书检查模块组成，作为浏览器端的核心检测部分，以插件形式提供调用。
72.资源解析模块：通过浏览器调用，用于解析html、css、js、图片等文件，提取文件内嵌入的签名数据和证书，用于后续防篡改校验。
73.防篡改检查模块：对提取到的签名数据和证书进行校验检查。基于证书检查模块，验证当前证书，校验签名值，判断当前文件是否被篡改。
74.证书检查模块：用于检查证书状态，检查证书链，为防篡改检查模块提供证书验签能力。根据证书属性进行ocsp的在线实时证书状态查询或基于crl的本地查询，返回证书有
效状态。自动解析证书下载crl，维护crl关系，支持全量crl更新和增量crl更新。
75.可行性：本系统通过对大量web应用进行分析，对网站开发运行技术以及加载技术的研究，基于嵌入数字签名的方式对文件无损坏，不影响网站正常运行。签名验签算法基于商用密码技术，算法签名验签速度快、技术成熟，应用在页面防篡改校验方面，鲁棒性强稳定性高。防篡改监控技术基于文件系统驱动技术实现，此技术在服务器端应用广泛，具有响应速度快，处理效率高，服务器资源占用小等特点。
76.本系统中算法和认证相关，均基于pki证书体系来实现。应用非常广泛，其为网上金融、网上银行、网上证券、电子商务、电子政务等网络中的数据交换提供了完备的安全服务功能。pki作为安全基础设施，能够提供身份认证、数据完整性、数据保密性、数据公正性。
77.先进性：本系统内容涉及服务器侧和终端侧两方面，区别于传统的防篡改保护方案，具有端到端的安全防护级别，以及基于数字证书签名的检测识别。不依赖服务器自身安全，阻断未知攻击，解决传统的保护方式在自身被攻破后导致安全性无法保证的弊端。
78.本系统方案主要从两个方面对网站安全进行防篡改保护，分别为服务器侧防篡改监控和终端侧浏览器校验，是一种端到端保护的网页防篡改技术方案。
79.利用数字签名技术，将文件的数字签名值隐藏于文件中。在服务器侧web应用中对文件进行篡改检测时，从网页中提取签名值从而判断网页是否被篡改，为web网站的安全提供有效保障。同时为增强防篡改防护检测能力，在设备侧浏览器端访问带有数字签名的web应用时，浏览器从会话网页中提取嵌入的数字签名与证书并进行校验，确认web应用安全合法，达到主动检测目的。
80.服务器侧监控程序使用轮询检测技术及文件驱动技术来阻止文件被篡改及在文件被篡改后的文件恢复并记录日志与邮件报警。并且监控程序具有自我保护机制，防止被监控程序非法结束时失去对网站资源文件的保护功能。
81.终端侧浏览器主动提取证书与签名，并检测签名与证书有效性。当检测到网站资源被篡改或证书验证失败时，则浏览器停止渲染并提示。而当验证成功时，则浏览器正常加载网站资源。终端侧与服务器侧共同形成端到端的防篡改保护功能。