畢業(yè)論文:基于IIS的信息安全策略

摘要 隨著(zhù)計算機網(wǎng)絡(luò )的發(fā)展，使得信息安全的需求日益增強。本文通過(guò)使用ISAPI過(guò)濾器保護系統的存儲安全，通過(guò)SSL實(shí)現信息的傳輸安全，從而給出基于IIS的信息安全策略。
要害詞 Internet 服務(wù)應用編程接口 信息安全性 Internet信息服務(wù)
一、 引言
信息安全包括防止系統存儲和傳輸的信息被故意或偶然地非授權泄露、更改、破壞或被非法的系統辯識和控制，確保信息的保密性和可控性。目前信息傳輸的途徑主要是網(wǎng)絡(luò )，隨著(zhù)網(wǎng)絡(luò )的開(kāi)放性、互連性和共享性程度的擴大，使得網(wǎng)絡(luò )的安全問(wèn)題變得更加突出，成為信息安全的重要環(huán)節[1]。
在以Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）為操作系統的服務(wù)器上通過(guò)Internet 信息服務(wù)器（Internet Information Server，IIS）程序為客戶(hù)的請求提供服務(wù)。維護IIS信息安全的方法包括公共網(wǎng)關(guān)接口（Common Gateway Interface，CGI），Internet服務(wù)應用編程接口（Internet Server API，ISAPI）的過(guò)濾器（Filter）程序和安全套接字(Security Socket Layer，SSL)等。CGI是最常用的方法，可以實(shí)現基于IIS的信息存儲和傳輸的安全，用CGI編制的程序由IIS調用，但運行在自己的進(jìn)程內，所以其運行的速度較慢。ISAPI Filter主要實(shí)現信息存儲的安全，是以動(dòng)態(tài)鏈接庫的形式封裝，直接運行在IIS進(jìn)程內，運行速度較快。SSL可以用于信息傳輸的安全，直接集成在IIS中。將ISAPI Filter和SSL結合即可達到信息存儲和傳輸的安全，本文即通過(guò)這種方法實(shí)現基于IIS的信息安全。
二、 ISAPI Filter的作用機制
ISAPI是微軟提供的基于Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的Internet編程接口，利用ISAPI編制的應用程序以動(dòng)態(tài)鏈接庫的形式封裝，直接運行在IIS進(jìn)程中。ISAPI實(shí)現的應用程序包括擴展和過(guò)濾器兩種形式，ISAPI擴展可以響應客戶(hù)的請求，執行非凡的功能，而過(guò)濾器可以實(shí)現數據壓縮、重定向、加密和身份驗證等功能[2]。

圖1 過(guò)濾器的作用機制
ISAPI過(guò)濾器運行在IIS的前端，可以處理IIS提供的每一步服務(wù)。ISAPI過(guò)濾器的作用機制如圖1所示。過(guò)濾器在IIS進(jìn)程啟動(dòng)時(shí)裝載，并運行GetFilterVison函數，GetFilterVison函數的目的是設置過(guò)濾器的優(yōu)先級并將事件通知的關(guān)注點(diǎn)注冊到過(guò)濾器。當系統中存在多個(gè)過(guò)濾器時(shí)需要通過(guò)設置優(yōu)先級確定過(guò)濾器的執行順序，而事件通知的關(guān)注點(diǎn)是過(guò)濾器可以處理的服務(wù)。當客戶(hù)請求服務(wù)時(shí)，IIS首先啟動(dòng)過(guò)濾器程序，然后根據過(guò)濾器注冊的關(guān)注點(diǎn)調用過(guò)濾器實(shí)現的事件處理函數。
三、 ISAPI過(guò)濾器實(shí)現信息存儲安全
通過(guò)ISAPI過(guò)濾器可以對客戶(hù)的身份進(jìn)行驗證，控制訪(fǎng)問(wèn)的客戶(hù)，從而實(shí)現系統存儲的信息安全。在ISAPI過(guò)濾器中，驗證客戶(hù)身份需要注冊的事件關(guān)注點(diǎn)是SF_AUTHENTICATION事件，相應的事件處理函數是OnAuthentication�？蛻�(hù)在提交訪(fǎng)問(wèn)后，IIS啟動(dòng)新的線(xiàn)程為客戶(hù)提供服務(wù)，在IIS線(xiàn)程驗證客戶(hù)的身份前會(huì )首先查看過(guò)濾器中有無(wú)SF_AUTHENTICATION事件關(guān)注點(diǎn)，若有，則執行過(guò)濾器的OnAuthentication函數。所以可以通過(guò)OnAuthentication函數在IIS線(xiàn)程前對客戶(hù)的身份進(jìn)行驗證。
圖2 身份驗證過(guò)濾器基本架構
IIS以HTTP的挑戰/響應機制結合Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的用戶(hù)數據庫驗證客戶(hù)的身份，而Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的用戶(hù)數目是有限的，并且直接以NT用戶(hù)訪(fǎng)問(wèn)存在著(zhù)不安全的因素，所以在過(guò)濾器中引入專(zhuān)用的用戶(hù)訪(fǎng)問(wèn)數據庫，數據庫中包含客戶(hù)的密碼和用戶(hù)名以及對應的系統密碼和用戶(hù)名身份驗證過(guò)濾器的基本結構如圖2所示。
客戶(hù)匿名訪(fǎng)問(wèn)時(shí)，過(guò)濾器直接返回，保證客戶(hù)可以訪(fǎng)問(wèn)非保密的資源。當客戶(hù)非匿名訪(fǎng)問(wèn)時(shí)，過(guò)濾器查找用戶(hù)數據庫，找到對應的系統密碼和用戶(hù)名，并替代客戶(hù)的密碼和用戶(hù)名，然后在IIS中用替換的系統密碼和用戶(hù)名對客戶(hù)的身份進(jìn)行驗證。采用這種方法使得客戶(hù)輸入的密碼和用戶(hù)名并不是系統真正的密碼和用戶(hù)名，既保證了客戶(hù)的數量又保護了系統的安全。
ISAPI身份驗證過(guò)濾器運行在多線(xiàn)程的IIS進(jìn)程中，每一個(gè)線(xiàn)程都將調用過(guò)濾器程序，而與數據庫的連接很占系統的資源，當訪(fǎng)問(wèn)的客戶(hù)超過(guò)一定的數量時(shí)，可能會(huì )導致系統的崩潰。在實(shí)現時(shí)可以通過(guò)一段緩存解決這個(gè)問(wèn)題，具體方法是過(guò)濾器裝載時(shí)在內存中開(kāi)辟一段空間，用以保存近來(lái)訪(fǎng)問(wèn)服務(wù)器的客戶(hù)的密碼和用戶(hù)名以及對應的系統密碼和用戶(hù)名。在客戶(hù)訪(fǎng)問(wèn)時(shí)，過(guò)濾器先查找緩存中有無(wú)客戶(hù)的密碼和用戶(hù)名，若沒(méi)有再查找數據庫，并將查找到的內容寫(xiě)入緩存中，由于查找緩存的時(shí)間及占用的資源遠遠小于對數據庫的查找，所以可以大大提高過(guò)濾器的執行效率。
ISAPI過(guò)濾器實(shí)現的過(guò)程中應注重的問(wèn)題主要是內存泄漏和多線(xiàn)程。避免的方法在于選擇支持多線(xiàn)程的數據庫，并且保證緩存的單線(xiàn)程訪(fǎng)問(wèn)以及釋放占用的內存。
四、 SSL實(shí)現信息傳輸安全

圖3 SSL會(huì )話(huà)過(guò)程
在Internet傳輸的所有數據都暴露于任何網(wǎng)絡(luò )客戶(hù)面前，任何對通信進(jìn)行監測的人都可以對通信的數據進(jìn)行截取和修改。保證數據傳輸的保密性、完整性和安全性的要害在于防止網(wǎng)絡(luò )的監聽(tīng)和篡改。SSL技術(shù)為應用層間數據通信提供安全的途徑，它位于可靠的傳輸層之上，為高層的應用提供透明的服務(wù)，保證傳輸信息的隱私性、可靠性和用戶(hù)的非否認性。
SSL通信分兩個(gè)階段：連接階段和數據傳輸階段。在連接階段，建立安全連接，一旦算法達成協(xié)議，就交換密鑰，接著(zhù)驗證身份，然后開(kāi)始數據傳輸。在數據傳輸階段，信息傳輸到SSL時(shí)通過(guò)加密或解密后向下或向上傳輸。SSL要求在客戶(hù)端與服務(wù)器端建立通信渠道，通信渠道的建立通過(guò)客戶(hù)與服務(wù)器的握手來(lái)完成。具體過(guò)程如圖3所示。
客戶(hù)和服務(wù)器之間通過(guò)相互詢(xún)問(wèn)確定最終的加密算法。詢(xún)問(wèn)信息提供了建立安全渠道的重要信息。服務(wù)器端通過(guò)證書(shū)確定客戶(hù)的身份，然后發(fā)出確認和結束信息結束握手階段，開(kāi)始正常的數據傳輸。數據在傳輸過(guò)程中被分解為許多信息，同時(shí)用會(huì )話(huà)密鑰加密并使用數字簽名。接收端在試圖解密數據之前首先要驗證數字簽名[2]。
在IIS中可以方便的通過(guò)SSL建立數據傳輸的安全性。服務(wù)器建立SSL鏈接之前必須安裝證書(shū)。證書(shū)可以使用Microsoft Certificate Server生成。新密鑰的創(chuàng )建通過(guò)IIS密鑰治理器完成，它會(huì )根據向導自動(dòng)請求服務(wù)器上安裝的Certificate Server生成證書(shū)。在密鑰建成后需要通過(guò)IIS的控制臺配置SSL，可以配置的選項包括密鑰設置、是否要求客戶(hù)端證書(shū)以及客戶(hù)端證書(shū)映射等。在這些設置完成后就可以實(shí)現信息傳輸的安全性。
五、 結束語(yǔ)
以ISAPI過(guò)濾器程序保護系統存儲信息安全的方法，采用DLL的形式運行在IIS進(jìn)程中，可以通過(guò)用戶(hù)數據庫和緩存擴充用戶(hù)的數量并提高過(guò)濾器運行的效率。用SSL保護信息傳輸的安全是目前常用的也是較好的方法之一。本文將二者結合給出了基于IIS進(jìn)程的信息安全策略，通過(guò)作者在實(shí)際應用中的檢驗，確定了方案的可行性。

參考文獻
[1] 羅軍舟， 《網(wǎng)絡(luò )信息安全的技術(shù)和策略》，《科技進(jìn)步與學(xué)科發(fā)展綜合學(xué)術(shù)研討會(huì )論文集》1999年10月
[2] Lecond braginski, 《IIS4.0使用大全》，中興業(yè)科技公司譯，人民郵電出版社1998年
 
 

【畢業(yè)論文:基于IIS的信息安全策略】相關(guān)文章：

基于IIS總線(xiàn)的嵌入式音頻系統設計03-18

基于信息用戶(hù)認知的圖書(shū)館“信息喚醒”03-28

電子商務(wù)安全策略12-07

信息管理畢業(yè)論文12-10

物理與信息工程畢業(yè)論文03-13

基于Blog的動(dòng)態(tài)信息資源組織03-18

談電子商務(wù)的安全策略03-18

生物信息技術(shù)畢業(yè)論文12-06

基于總線(xiàn)的多功能信息系統的研究03-07