專利名稱:可信與安全的第三代網(wǎng)站服務(wù)器系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明是關(guān)于互聯(lián)網(wǎng)中web server計算機(jī)系統(tǒng)�����,進(jìn)而����,是關(guān)于具有(1)對外可信(2)自身安全的第3代web server計算機(jī)系統(tǒng)。
背景技術(shù):
網(wǎng)站服務(wù)器(web server�����,http server)是構(gòu)筑電子政務(wù),電子銀行���,電子商務(wù)�,網(wǎng)絡(luò)服務(wù)等各種現(xiàn)代通信網(wǎng)絡(luò)系統(tǒng)的最重要的基礎(chǔ)平臺之一���。
第1代網(wǎng)站服務(wù)器是以處理靜態(tài)網(wǎng)頁的功能為主����。當(dāng)年����,美國的Netscap公司將此類網(wǎng)站服務(wù)器推廣給世界后,引發(fā)了互聯(lián)網(wǎng)的商業(yè)狂潮�。其基本功能是,當(dāng)?shù)玫絹碜詾g覽器的請求時����,web server將執(zhí)行有關(guān)文件,并將結(jié)果或有關(guān)文件以網(wǎng)頁的形式����,依照http通信協(xié)議送回給瀏覽器����。在此類網(wǎng)站服務(wù)器的存儲器中�����,存儲著html�,HTML,TEXT��,GIF�,JPEG,圖形��,聲音等靜止的web file及可在瀏覽器側(cè)運行的象�����。exe這樣的可執(zhí)行的文件等web file��。
為了進(jìn)一步發(fā)展網(wǎng)上商店�,網(wǎng)上銀行����,電子政府和各種網(wǎng)站���,人們又發(fā)明了第2代網(wǎng)站服務(wù)器。既�,在第1代網(wǎng)站服務(wù)器的基礎(chǔ)上,主要又增添了支持動態(tài)網(wǎng)頁��,數(shù)據(jù)庫���,SSL等功能����。例如����,大約占全球市場2/3的Apache,占全球市場1/3的IIS���。
但是�����,當(dāng)今第2代網(wǎng)站服務(wù)器有著以下的主要問題點1)不可信(No trust)
隨時可能被篡改成他人的內(nèi)容(網(wǎng)頁)����。于是會造成各種嚴(yán)重問題企業(yè)的網(wǎng)站會喪失對客人的信用,政府的網(wǎng)站會失信于民政治問題(例法輪功)經(jīng)濟(jì)問題(例匯率��,股價被改)社會問題(例銀行首頁)國際問題(例中美黑客大戰(zhàn))2)侵入內(nèi)部數(shù)據(jù)庫的窗口高明的黑客可以進(jìn)入web server而竊取位于內(nèi)側(cè)的數(shù)據(jù)庫的IP�,名稱,password����,等信息!從而侵入數(shù)據(jù)庫��。
2002年��,2000黑客出席的紐約黑客大會上的最熱門技術(shù)�。
3)http病毒的傳播媒介這是在web serve與終端瀏覽器之間交叉感染的一種電腦病毒。
例Nimda�,Codered4)無法用防火墻將其封閉保護(hù)因為網(wǎng)站的主人希望外部的人來看自己的網(wǎng)站。
對網(wǎng)站服務(wù)器的攻擊可分為1)前門攻擊通常使用HTTP協(xié)議�,URL和80端口���,攻擊Web的弱點�。攻擊者包括黑客和網(wǎng)絡(luò)病毒����。防火墻不能防御此類攻擊����。
2)后門攻擊 通常情況下����,黑客首先用黑客工具等攻破Web服務(wù)器的口令;然后通過FTP�����,Telnet等侵入服務(wù)器�����;最后����,黑客可以做任何他想做的事情,如涂改網(wǎng)頁偷竊文件/數(shù)據(jù)等�。
38%的被訪者說他們的網(wǎng)站在過去的一年中被攻破”?����!?0%的組織報告遭受在線涂改......從事涂改的黑客用自己的文字或令人厭惡的圖片替代網(wǎng)站的首頁�?����!?��。
為了解決第2代網(wǎng)站服務(wù)器的網(wǎng)頁易被黑客篡改的問題,市場上雖然出現(xiàn)了2類產(chǎn)品�����,顯然無法解決全部問題����。他們的技術(shù)特點及不足點如下 File scanner型無web功能;無“抗偷竊”功能��;無法保護(hù)內(nèi)部數(shù)據(jù)庫服務(wù)器DB server未考慮防御http病毒的問題�����;無法實現(xiàn)“0秒恢復(fù)”���;大幅度增加CPU負(fù)荷; HD I/O控制型無web功能����;無“抗偷竊”功能�����;無法保護(hù)內(nèi)部數(shù)據(jù)庫服務(wù)器DB server未考慮防御http病毒的問題����;無法實現(xiàn)“不中斷保護(hù)發(fā)明內(nèi)容本發(fā)明解決的課題開發(fā)第3代網(wǎng)站服務(wù)器�。使其在第二代網(wǎng)站服務(wù)器的基礎(chǔ)上,增加“可信”和“安全”的功能�。具有以下主要功能1)可信Trust永遠(yuǎn)提供干凈的和可信的(clear and trust)網(wǎng)頁,沒有黑客的篡改�,沒有病毒的污染2)安全Security抗擊攻擊
黑客,恐怖分子前門攻擊Front door attacking����,后門攻擊Back door attacking.
http病毒攻擊Nimda,CodeRed etc.
防止偷竊及盜聽秘密數(shù)據(jù)收費信息����;數(shù)據(jù)庫的ID,IP���,Name password etc程序自身電子政務(wù)���,電子銀行�,電子商務(wù)�,ERP,etc.3)靜態(tài)網(wǎng)頁Static Pagers(html�,jpg,gif�����,wav����,mp3,etc.)4)動態(tài)網(wǎng)頁Dynamic Pager(CGI���,Perl�����,php�����,java���,etc.)5)數(shù)據(jù)庫DB(mysql,SQL����,Oracle,etc.)6)SSL等開發(fā)第3代網(wǎng)站服務(wù)器�����,將會有以下效果①即使非法入侵者侵入了本發(fā)明的web server�����,他們無法對web file做有意義的篡改���,無法偷盜保密信息或程序��。
②即使遭受到黑客的篡改��,被篡改的web file不能向訪問者送出���。即訪問者永遠(yuǎn)看不到被篡改的網(wǎng)頁。
③被篡改的web file可以被自動恢復(fù);④進(jìn)行Web網(wǎng)頁的日常更新時��,不用停止該系統(tǒng)的篡改防止功能�����。
⑤為了不同的OS間容易移植��,該篡改防止系統(tǒng)應(yīng)構(gòu)筑在系統(tǒng)的應(yīng)用層�����。
⑤對于已經(jīng)使用的既存網(wǎng)站���,容易導(dǎo)入該系統(tǒng)���。
開發(fā)具有以上功能的,經(jīng)濟(jì)面和技術(shù)面都優(yōu)秀的��,容易導(dǎo)入的第三代webserver系統(tǒng)�����。
為了解決上述的課題��,本發(fā)明提出了一種具有(1)對外可信(2)自身安全(3)包括當(dāng)今第二代web server功能在內(nèi)的第3代web server系統(tǒng),其特征在于a.“對外可信”包括當(dāng)該發(fā)明接收到來自訪問者的URL請求時�,可防止遭黑客篡改或被電腦病毒污染的網(wǎng)頁被通過http等通信協(xié)議回送給訪問者的計算機(jī)軟,硬件手段�����;b.“自身安全”包括抗擊攻擊(包括黑客的前門攻擊�,后門攻擊及http電腦病毒攻擊等)的手段�;c.前述“自身安全”還包括防止放置在該發(fā)明的硬盤存貯器中的秘密數(shù)據(jù)和應(yīng)用程序被入侵黑客偷竊及盜聽的手段;d.前述“第二代web server功能”包括類似Apache��,IIS的支持處理靜態(tài)文件�,動態(tài)文件及http通信協(xié)議,SSL等功能的計算機(jī)軟���,硬件手段���。本發(fā)明還提出了(1)放置由web file被加密處理而成的“代碼變換文件”的,具有1)篡改防止2)解密功能及3)可處理靜態(tài)web file�����,動態(tài)web file����,http通信協(xié)議等第二代web server功能的�����,主網(wǎng)站服務(wù)器計算機(jī)�����;(2)前記主網(wǎng)站服務(wù)器計算機(jī)和與之接續(xù)的��,放置前記web file的輔助網(wǎng)站服務(wù)器計算機(jī)����;(3)當(dāng)接到訪問者的要求時��,主網(wǎng)站服務(wù)器計算機(jī)中的web server對前記“代碼變換文件”進(jìn)行檢查��,在判斷為沒被篡改的場合���、將前記“代碼變換文件”解密并回送給訪問者的手段����;(4)在檢出前記“代碼變換文件”的被非法篡改時�����,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的web file進(jìn)行加密處理而成的“代碼變換文件”,送至前記主網(wǎng)站服務(wù)器計算機(jī)的記憶裝置中���,更新����,恢復(fù)被篡改的web file的手段為特征的第3代web server系統(tǒng)��。
本發(fā)明還提出了(1)放置帶有防止篡改的頭信息--該頭信息中包括有對web file進(jìn)行認(rèn)證(authentication)而得的認(rèn)證子MAC(MassageAuthentication Cord)--的“代碼變換文件”的�����,具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī)����;(2)前記具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī)���,和與之接續(xù)的�,放有前記web file的輔助網(wǎng)站服務(wù)器計算機(jī)�����;(3)當(dāng)接到訪問者的要求時,主網(wǎng)站服務(wù)器計算機(jī)中的web server���,從前記帶有防止篡改的頭信息的“代碼變換文件”上把該頭信息分離���,用該頭信息中MAC對web file進(jìn)行對照檢察的real time check手段;(4)用前記real time check手段判斷web file沒被篡改時���,前記主網(wǎng)站服務(wù)器將除去前記頭信息的web file向訪問者送信的手段�����;(5)當(dāng)檢出前記帶有防止篡改的頭信息的“代碼變換文件”被篡改時���,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的webfile進(jìn)行認(rèn)證處理,以得到帶有防止篡改的頭信息的“代碼變換文件”�����,并將該“代碼變換文件”送至前記具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī)����,以更新,修復(fù)被篡改的“代碼變換文件”的手段為特征的第3代web server系統(tǒng)����。
本發(fā)明也提出了包括了(1)放置帶有防止篡改的頭信息---該頭信息中包括有對web file進(jìn)行認(rèn)證(authentication)而得的認(rèn)證子MAC(MassageAuthentication Cord)---的���,并由web file加密處理而成”代碼變換文件”的,具有1)篡改防止2)解密機(jī)能3)可處理靜態(tài)web file�����,動態(tài)web file�����,http通信協(xié)議等第二代web server功能的主網(wǎng)站服務(wù)器計算機(jī)���;(2)前記具有1)篡改防止2)解密功能3)可處理靜態(tài)web file,動態(tài)web file���,http通信協(xié)議等第二代web server功能的主網(wǎng)站服務(wù)器計算機(jī)�,和與之接續(xù)的����,放有前記web file的輔助網(wǎng)站服務(wù)器計算機(jī);(3)當(dāng)接到訪問者的要求時����,主網(wǎng)站服務(wù)器計算機(jī)中的web server��,從前記帶有防止篡改的頭信息的“代碼變換文件”上把該頭信息分離����,用該頭信息中MAC對web file進(jìn)行對照檢察的realtime check手段��;(4)用前記real time check手段判斷web file沒被篡改時����,前記主網(wǎng)站服務(wù)器將除去前記頭信息的web file向訪問者送信的手段;(5)當(dāng)檢出前記帶有防止篡改的頭信息的“代碼變換文件”被篡改時����,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的web file進(jìn)行認(rèn)證以及加密處理,以得到帶有防止篡改的頭信息的“代碼變換文件”�,并將該“代碼變換文件”送至前記具有篡改防止機(jī)能的主網(wǎng)站服務(wù)器計算機(jī),以更新��,修復(fù)被篡改的“代碼變換文件”的手段為特征的第3代web server系統(tǒng)��。
本發(fā)明還提出了以具有接收到URL格式的”請求”時��,都與放置在計算機(jī)的記憶裝置上的”非法URL庫”做比較,如果發(fā)現(xiàn)與該庫中保存的”黑客模式”或”病毒模式”一致則自動封閉發(fā)出該URL的IP�����。拒絕其連續(xù)請求�����,防止前門攻擊的手段�,為特征的第3代web server系統(tǒng)。
本發(fā)明還提出了可自動地判斷放置在計算機(jī)的記憶裝置上的web file���,何為“合法更新”與何為電腦黑客的“非法篡改”��,以實現(xiàn)本發(fā)明的“不中斷保護(hù)”功能的手段��。
本發(fā)明還提出了使用前記real time check手段是使用了基于混沌理論的消息認(rèn)證技術(shù)(Chaos Message Authentication Technology)為特征�,具有網(wǎng)頁篡改防止功能的web server系統(tǒng)����。
前述的加密技術(shù)如使用基于混沌理論(Chaos theory)的加密法�,前述的認(rèn)證(authentication)如使用基于混沌理論的Massage AuthenticationTechnology,將會構(gòu)成特別優(yōu)秀的具有網(wǎng)頁篡改防止功能的web server系統(tǒng)��。
本發(fā)明有以下的優(yōu)點 3GWeb繼承第2代網(wǎng)站服務(wù)器的功能。包括 靜態(tài)網(wǎng)頁Static Pagers(html����,jpg,gif���,wav�,mp3���,etc.) 動態(tài)網(wǎng)頁Dynamic Pager(CGI�����,Perl���,php,java�����,etc.) 數(shù)據(jù)庫DB(mysql���,SQL����,Oracle,etc.) SSL等 容易與第2代網(wǎng)站服務(wù)器共用�。提升其可信及安全的功能。
web文件的認(rèn)證及超高速代碼變換在世界首次實現(xiàn)�。從原理上杜絕了網(wǎng)頁(home page)被篡改,被偷竊及被Web病毒污染的問題 0秒恢復(fù)上網(wǎng)的參觀者在任何時候都不能從網(wǎng)站上看到被非法改變的網(wǎng)頁����。即使黑客更換,刪除了web文件��,該系統(tǒng)可以在web文件被送出的瞬間�����,自動恢復(fù)��。
無間斷保護(hù)24小時自動無間斷保護(hù)�����。即使需要更新網(wǎng)頁時也不必停止該系統(tǒng)����。可自動識別網(wǎng)頁的非法篡改與正常更新�����。
防止web病毒web病毒(http病毒)是一種利用http通信協(xié)議傳播的特殊的電腦病毒���。3Gweb既可以防止其污染網(wǎng)頁�����,也可以阻斷其連續(xù)攻擊���。例如Code Red,Nimda 防止多種前后門攻擊諸如Overflow攻擊�,http DDoS攻擊,SQLInjection攻擊等���。
拒絕執(zhí)行非法程序諸如Trojan Horses攻擊����; 監(jiān)測警報如果萬一Web服務(wù)器不能正常工作����,立刻向管理員發(fā)出警報���。
最尖端安全技術(shù)使用世界最先端的混沌安全技術(shù)(Chaos SecurityTechnology) 支持多種安全產(chǎn)品SSL,VPN����,F(xiàn)irewall等; IE��,Netscape等各種瀏覽器無須做任何修正��。Web服務(wù)器高速反應(yīng)速度�。
使用本發(fā)明,有以下的效果����。本發(fā)明世界上首次實現(xiàn)了Web real time check技術(shù)。從高速性的點來看���,從瀏覽器的請求來到的瞬間���,一瞬間認(rèn)證檢查和解密;與通常的第二代網(wǎng)站服務(wù)器相比反應(yīng)速度幾乎不變���。
對于大型系統(tǒng)�,(1)不增加web server負(fù)擔(dān)。(2)檢查和修復(fù)的速度不受網(wǎng)站系統(tǒng)的規(guī)模(文件數(shù))大小影響�。本發(fā)明對瀏覽器無影響�����。IE��,Netscape從前的瀏覽器照樣能使用�����。本發(fā)明的系統(tǒng)���,具有動態(tài)的修復(fù)機(jī)能�����。發(fā)現(xiàn)篡改���,會自動地高速修復(fù)文件。還有����,設(shè)有自動警報機(jī)能���。發(fā)現(xiàn)篡改,會自動通知系統(tǒng)管理人員���。再者�,本發(fā)明的容易導(dǎo)入�����,不影響既存的網(wǎng)頁編輯系統(tǒng)�。
在本發(fā)明中,實現(xiàn)了(1)即使發(fā)生了篡改的行為�,被篡改的web file也不會向外部 (網(wǎng)站訪問者)送出,(2)即使有黑客的侵入��,由于web file是被加密的���,黑客不能進(jìn)行有意義的篡改��,更不能從中偷盜機(jī)密信息和系統(tǒng)程序等����。再者,使用本發(fā)明���,現(xiàn)在的網(wǎng)站(已經(jīng)開設(shè)網(wǎng)頁的web系統(tǒng))無須作全面的修正即可容易導(dǎo)入��。特別是由于使用G1混沌加密算法和Chaos MAM混沌認(rèn)證技術(shù)���,使得本發(fā)明更具有了領(lǐng)先于全世界的最高的處理速度和最高的安全性���。這是別的技術(shù)所無法達(dá)到的��。
圖1為本發(fā)明的概念統(tǒng)構(gòu)圖�。
圖2本發(fā)明的消息認(rèn)證技術(shù)原理說明圖�����。
圖3本發(fā)明的加密文件的構(gòu)造的說明圖�。
圖4為第二代web server的構(gòu)造的說明圖。
圖5為本發(fā)明的追加了real time check模塊的web server的構(gòu)造的說明圖�����。
圖6為real time check模塊的原理的說明圖����。
圖7是本發(fā)明的第三代網(wǎng)站服務(wù)器概念的系統(tǒng)構(gòu)成圖����。
具體實施例方式
下面結(jié)合附圖對本發(fā)明進(jìn)行說明��。
圖1是本發(fā)明的系統(tǒng)全體的概念圖����。在本發(fā)明,對web file的全體進(jìn)行認(rèn)證處理(authentication)��。當(dāng)利用認(rèn)證檢查技術(shù)知到web file被篡改時�,不將該web file送出。同時會通知系統(tǒng)管理人員�����。當(dāng)然�,系統(tǒng)也會留有記錄履歷log。
消息認(rèn)證(Message Authentication)技術(shù)的原理就象圖2所示的那樣��,在送信側(cè)����,將消息M和密鑰輸入消息認(rèn)證程序,生成認(rèn)證子MAC(MessageAuthentication Code)。然后���,可將此消息和認(rèn)證子MAC送信�����。在收信側(cè)���,用接收到的消息M′(由于有被篡改的可能性,不一定等于M)和事先保有的密鑰��,生成新認(rèn)證子MAC′�����。檢查MAC和MAC′��,如果相等���,則消息M的正當(dāng)性被證明。若不相等則判斷一定有過篡改����。
圖3現(xiàn)示了本基礎(chǔ)發(fā)明的“代碼變換文件”的構(gòu)造。在被附加的頭信息中,包括有 文件的MAC�,尺寸,日期�����,屬性�,保存場所等的信息。在本發(fā)明的系統(tǒng)中采用的混沌加密算法(Chaos Encryption)及根據(jù)混沌理論的混沌消息認(rèn)證(Chaos Authentication)技術(shù)��,在速度方面及安全性方面都是最優(yōu)秀����。然而,使用其他的加密方法和消息認(rèn)證技術(shù)在原理上也是可能的����。
本發(fā)明的具有real time check機(jī)能的web server的原理加以說明。眾所周知����,web server的主要的工作,就是將被顧客請求的首頁等web file送向訪問者的Web瀏覽器�。幾乎所有的情況下,被請求的web file是放置在硬碟機(jī)中��。web server會依照來自瀏覽器的請求將web file找出,處理后�����,用http通信協(xié)議送還給發(fā)出請求的終端瀏覽器�����。
當(dāng)前的web server的原理通常如圖4所示�。即1)讀入環(huán)境變量等的一些初期化處理;2)用http通信協(xié)議接收來自Web瀏覽器的請求���。該請求符合國際通用的URL格式����;3)必需的處理的後��,從硬碟機(jī)中讀入被請求的文件��;4)將該被請求的文件�����,再通過http通信協(xié)議向Web瀏覽器送回�����。
在本發(fā)明中����,如同圖5所示,在將web file從硬碟機(jī)讀入電腦內(nèi)存的Openfile模塊���,與送信模塊之間���,新插入real time check模塊,使之構(gòu)成網(wǎng)頁篡改防止系統(tǒng)的引擎�。
圖6顯示了這個real time check模塊的原理。在real time check模塊中���,首先根據(jù)請求信息�,將收藏在硬碟機(jī)上的�,被加密的,并且付有“篡改防止頭信息”的(含有MAC等信息)文件讀入電腦內(nèi)存���;使用massage authentication technology去檢查該文件是否被篡改過���;如果沒被篡改��,則在一瞬間����,切除掉“篡改防止頭信息”的部分��,并解密(Decryption)剩余的正文部分����,再經(jīng)送信模塊回送給訪問者的瀏覽器。
如果有被篡改的情況�����,向輔助網(wǎng)站服務(wù)器電腦中的“修復(fù)服務(wù)程序”發(fā)出修復(fù)要求���?���!靶迯?fù)服務(wù)程序”將對由“請求信息”指定的在輔助網(wǎng)站服務(wù)器電腦的目錄里放置的原始文件進(jìn)行加密����,進(jìn)而使用massage authenticationtechnology生成MAC�,再將該MAC和該文件的尺寸���,日期,時間�,等屬性的信息一起編入到“篡改防止頭信息”中,再將該“篡改防止頭信息”附加在該文件上�����。這個新文件被送給主網(wǎng)站服務(wù)器電腦�����。于是主網(wǎng)站服務(wù)器電腦中的被篡改的文件被更新(或被修復(fù))���。進(jìn)而���,這個更新的文件發(fā)回給瀏覽器。
在本發(fā)明的系統(tǒng)中�,被篡改的文件,在被送信前的時點���,一定要經(jīng)“消息認(rèn)證”檢查����,并被檢出。所以從原理上���,被篡改過的文件是不可能被送回給訪問者的��。
本發(fā)明的″real time check″技術(shù)是世界上第一次實現(xiàn)的�。即本發(fā)明的篡改防止web server����,僅對被請求的文件,并且��,僅當(dāng)該文件被向外發(fā)送前進(jìn)行檢查���。所以幾乎不增加電腦CPU的負(fù)擔(dān)�����。
為了實現(xiàn)真正實用的real time check技術(shù)�����,高速的加密算法和高速且強(qiáng)力的認(rèn)證技術(shù)是必需條件���。在這里,我們使用了世界高速的GCC或G1混沌加密(Chaos Encryption)算法和MAM混沌認(rèn)證技術(shù)(Chaos AuthenticationTechnology)����,實現(xiàn)了最高水準(zhǔn)的第3代網(wǎng)站服務(wù)器系統(tǒng)。
為了防止黑客的前門攻擊�����,在本發(fā)明中�,首次實現(xiàn)了基于web server上的URL檢查器。該URL檢查器裝在web server的URL入口處����。其原理是當(dāng)接收到URL格式的“請求”時,從該“請求”的信息中抽出IP���,與預(yù)置在計算機(jī)的記憶裝置上的“IP控制表”對照檢查����。如果該表中有該IP����,則拒絕該IP的請求,僅向發(fā)出該“請求”的計算機(jī)回送錯誤信息,不做其他的服務(wù)�����。若無此IP�����,則將該IP再與”非法URL庫”做比較�����,如果與該庫中保存的”黑客模式”或”病毒模式”一致則自動地將這個IP登入“IP控制表”�,封閉發(fā)出該URL的IP,拒絕來自該IP的計算機(jī)的連續(xù)請求�。
使用GCC或G1混沌加密法和ChaosMAM混沌認(rèn)證技術(shù)來說明本發(fā)明的實施例。首先���,簡單地說明混沌加密法?����,F(xiàn)在設(shè)平文P��,混沌加密函數(shù)G�,密文C,密鑰K��,C=G(K���,P)則平文P可被加密為密文C。把密文C解密的時候����,使用混沌加密函數(shù)逆函數(shù)G-1和密鑰K,則P=G-1(K��,C)可獲得平文P����。在這里平文P的長度自由。密鑰K的長度是可變長���,從8到2048位元��。
本發(fā)明主要包括��,(1)主網(wǎng)站服務(wù)器和(2)編碼器/解碼器模塊和(3)修復(fù)服務(wù)器和修復(fù)終端和④警報系統(tǒng)����,(5)RUL檢查器等部分構(gòu)成。在那里�,在(1)主網(wǎng)站服務(wù)器里包括有第二代web server的全部功能(例如,Apache)以及解碼器機(jī)能���,在(2)編碼器/解編碼器模塊中����,有加密���,生成MAC��,頭信息做成等機(jī)能的編碼器部分和����,含有real time check技術(shù)等機(jī)能的解碼器部分��,在(3)修復(fù)服務(wù)器里加有編碼器的機(jī)能���。
包含網(wǎng)頁的HTML文件在內(nèi)的web file放置在輔助網(wǎng)站服務(wù)器電腦的存儲器上�����。通過修復(fù)服務(wù)器�,對web file用GCC或G1混沌加密法加密,用ChaosMAM生成MAC����,并將含有文件尺寸,日期����,MAC等的頭信息部分追加在該文件。進(jìn)行所謂編碼�,并發(fā)送給外側(cè)的主網(wǎng)站服務(wù)器中的修復(fù)終端���。
修復(fù)終端���,將收到的被編碼處理后的web file放置在修復(fù)服務(wù)器的指示的場所。
當(dāng)從網(wǎng)路得到訪問者的請求時�,首先在URL過濾器中進(jìn)行URL檢查,如果發(fā)現(xiàn)是黑客攻擊或是http病毒攻擊����,則封閉發(fā)出該URL的IP,拒絕其請求�����。如果通過URL檢查,則主網(wǎng)站服務(wù)器中的篡改防止機(jī)能web server���,(1)從被編碼的web file的頭信息部分中將MAC等的信息取出���,(2)進(jìn)行認(rèn)證檢查,當(dāng)檢查通過時�,將頭信息部分切除,并解密�,(所謂解編碼操作),再將復(fù)元的web file送出給訪問者����。
如果在認(rèn)證檢查中被判斷為被篡改時,修復(fù)終端將會向輔助網(wǎng)站服務(wù)器中的修復(fù)服務(wù)器發(fā)出修復(fù)請求��,修復(fù)服務(wù)器依照修復(fù)請求���,取出指定的文件���,進(jìn)行編碼處理后,送出給主網(wǎng)站服務(wù)器�����。完成所謂的修復(fù)。同時�,通知報警服務(wù)器,報警服務(wù)器將會把“非法侵入”通知系統(tǒng)管理人員���。
權(quán)利要求
1.一種具有(1)對外可信(2)自身安全(3)包括當(dāng)今第二代web server功能在內(nèi)的第3代web server系統(tǒng)�����,其特征在于a.“對外可信”包括當(dāng)該發(fā)明接收到來自訪問者的URL請求時�,可防止遭黑客篡改或被電腦病毒污染的網(wǎng)頁被通過http等通信協(xié)議回送給訪問者的計算機(jī)軟����,硬件手段�,b.“自身安全”包括抗擊攻擊(包括黑客的前門攻擊,后門攻擊及http電腦病毒攻擊等)的手段����,c.前述“自身安全”還包括防止放置在該發(fā)明的硬盤存貯器中的秘密數(shù)據(jù)和應(yīng)用程序被入侵黑客偷竊及盜聽的手段,d.前述“第二代web server功能”包括類似Apache�����,IIS的支持處理靜態(tài)文件�,動態(tài)文件及http通信協(xié)議����,SSL等功能的計算機(jī)軟���,硬件手段�。
2.本發(fā)明的第3代web server系統(tǒng)�����,其特征在于包括了(1)放置由web file被加密處理而成的“代碼變換文件”的���,具有1)篡改防止2)解密功能及3)可處理靜態(tài)web file����,動態(tài)web file�����,http通信協(xié)議等第二代web server功能的�����,主網(wǎng)站服務(wù)器計算機(jī)�����、(2)前記主網(wǎng)站服務(wù)器計算機(jī)和與之接續(xù)的,放置前記web file的輔助網(wǎng)站服務(wù)器計算機(jī)����、(3)當(dāng)接到訪問者的要求時,主網(wǎng)站服務(wù)器計算機(jī)中的web server對前記“代碼變換文件”進(jìn)行檢查�����,在判斷為沒被篡改的場合��、將前記“代碼變換文件”解密并回送給訪問者的手段����、(4)在檢出前記“代碼變換文件”的被非法篡改時,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的web file進(jìn)行加密處理而成的“代碼變換文件”�����,送至前記主網(wǎng)站服務(wù)器計算機(jī)的記憶裝置中�����,更新����,恢復(fù)被篡改的web file的手段為特征的第3代web server系統(tǒng)。
3.本發(fā)明的第3代web server系統(tǒng)�����,其特征在于包括了(1)放置帶有防止篡改的頭信息---該頭信息中包括有對web file進(jìn)行認(rèn)證(authentication)而得的認(rèn)證子MAC(Massage Authentication Cord)---的“代碼變換文件”的����,具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī)、(2)前記具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī)��,和與之接續(xù)的���,放有前記web file的輔助網(wǎng)站服務(wù)器計算機(jī)���、(3)當(dāng)接到訪問者的要求時,主網(wǎng)站服務(wù)器計算機(jī)中的web srver�����,從前記帶有防止篡改的頭信息的“代碼變換文件”上把該頭信息分離����,用該頭信息中MAC對web file進(jìn)行對照檢察的real time check手段�����、(4)用前記real time check手段判斷web file沒被篡改時����,前記主網(wǎng)站服務(wù)器將除去前記頭信息的web file向訪問者送信的手段�����、(5)當(dāng)檢出前記帶有防止篡改的頭信息的“代碼變換文件”被篡改時���,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的webfile進(jìn)行認(rèn)證處理�����,以得到帶有防止篡改的頭信息的“代碼變換文件”���,并將該“代碼變換文件”送至前記具有篡改防止手段的主網(wǎng)站服務(wù)器計算機(jī),以更新����,修復(fù)被篡改的“代碼變換文件”的手段為特征的第3代web server系統(tǒng)。
4.本發(fā)明的第3代web server系統(tǒng)���,其特征在于包括了(1)放置帶有防止篡改的頭信息---該頭信息中包括有對web file進(jìn)行認(rèn)證(authentication)而得的認(rèn)證子MAC(Massage Authentication Cord)---的�����,并由web file加密處理而成”代碼變換文件”的��,具有1)篡改防止2)解密機(jī)能3)可處理靜態(tài)web file�����,動態(tài)web file��,http通信協(xié)議等第二代web server功能的主網(wǎng)站服務(wù)器計算機(jī)�、(2)前記具有1)篡改防止2)解密功能3)可處理靜態(tài)web file����,動態(tài)web file,http通信協(xié)議等第二代web server功能的主網(wǎng)站服務(wù)器計算機(jī)����,和與之接續(xù)的,放有前記web file的輔助網(wǎng)站服務(wù)器計算機(jī)��、(3)當(dāng)接到訪問者的要求時,主網(wǎng)站服務(wù)器計算機(jī)中的web server�,從前記帶有防止篡改的頭信息的“代碼變換文件”上把該頭信息分離,用該頭信息中MAC對web file進(jìn)行對照檢察的real time check手段����、(4)用前記real time check手段判斷web file沒被篡改時,前記主網(wǎng)站服務(wù)器將除去前記頭信息的web file向訪問者送信的手段���、(5)當(dāng)檢出前記帶有防止篡改的頭信息的“代碼變換文件”被篡改時��,將前記輔助網(wǎng)站服務(wù)器計算機(jī)的記憶裝置或與之連接的記憶裝置中放置的webfile進(jìn)行認(rèn)證以及加密處理�,以得到帶有防止篡改的頭信息的“代碼變換文件”�,并將該“代碼變換文件”送至前記具有篡改防止機(jī)能的主網(wǎng)站服務(wù)器計算機(jī),以更新����,修復(fù)被篡改的“代碼變換文件”的手段為特征的第3代web server系統(tǒng)。
5.本發(fā)明的第3代web server系統(tǒng)����,其特征在于以具有接收到URL格式的”請求”時,都與放置在計算機(jī)的記憶裝置上的”非法URL庫”做比較���,如果發(fā)現(xiàn)與該庫中保存的”黑客模式”或”病毒模式”一致則自動封閉發(fā)出該URL的IP��。拒絕其連續(xù)請求����,防止前門攻擊的手段�,為特征的第3代web server系統(tǒng)。
6.本發(fā)明的第3代web server系統(tǒng)�,其特征在于可自動地判斷放置在計算機(jī)的記憶裝置上的web file,何為“合法更新”與何為電腦黑客的“非法篡改”的�����,以實現(xiàn)本發(fā)明的“不中斷保護(hù)”功能的手段��。
全文摘要
一種具有(1)對外可信(2)自身防御(3)http功能的第3代web server系統(tǒng)��,其特征在于a.“對外可信”包括當(dāng)該發(fā)明接收到來自訪問者的URL請求時����,可防止將遭黑客篡改或被電腦病毒污染的網(wǎng)頁通過http等通信協(xié)議回送給訪問者的計算機(jī)軟,硬件手段����,b.“自身防御”包括抗擊電腦攻擊(包括黑客的前門攻擊,后門攻擊及http電腦病毒攻擊等)的手段�����,和防止放置在該發(fā)明的硬盤存貯器中的秘密數(shù)據(jù)和應(yīng)用程序被入侵黑客偷竊及盜聽的手段,本發(fā)明主要包括�����,(1)主網(wǎng)站服務(wù)器和(2)編碼器/解碼器模塊和(3)修復(fù)服務(wù)器和修復(fù)終端和④警報系統(tǒng)�����,(5)RUL檢查器等部分構(gòu)成�。
文檔編號G06F12/14GK1527207SQ0310496
公開日2004年9月8日 申請日期2003年3月4日 優(yōu)先權(quán)日2003年3月4日
發(fā)明者高振宇 申請人:高振宇