畢業(yè)論文:基于IIS的信息安全策略

摘要 隨著計(jì)算機(jī)網(wǎng)絡(luò)的發(fā)展，使得信息安全的需求日益增強(qiáng)。本文通過使用ISAPI過濾器保護(hù)系統(tǒng)的存儲(chǔ)安全，通過SSL實(shí)現(xiàn)信息的傳輸安全，從而給出基于IIS的信息安全策略。
要害詞 Internet 服務(wù)應(yīng)用編程接口 信息安全性 Internet信息服務(wù)
一、 引言
信息安全包括防止系統(tǒng)存儲(chǔ)和傳輸?shù)男畔⒈还室饣蚺既坏胤鞘跈?quán)泄露、更改、破壞或被非法的系統(tǒng)辯識(shí)和控制，確保信息的保密性和可控性。目前信息傳輸?shù)耐緩街饕�是網(wǎng)絡(luò)，隨著網(wǎng)絡(luò)的開放性、互連性和共享性程度的擴(kuò)大，使得網(wǎng)絡(luò)的安全問題變得更加突出，成為信息安全的重要環(huán)節(jié)[1]。
在以Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）為操作系統(tǒng)的服務(wù)器上通過Internet 信息服務(wù)器（Internet Information Server，IIS）程序?yàn)榭蛻舻恼?qǐng)求提供服務(wù)。維護(hù)IIS信息安全的方法包括公共網(wǎng)關(guān)接口（Common Gateway Interface，CGI），Internet服務(wù)應(yīng)用編程接口（Internet Server API，ISAPI）的過濾器（Filter）程序和安全套接字(Security Socket Layer，SSL)等。CGI是最常用的方法，可以實(shí)現(xiàn)基于IIS的信息存儲(chǔ)和傳輸?shù)陌踩�，用CGI編制的程序由IIS調(diào)用，但運(yùn)行在自己的進(jìn)程內(nèi)，所以其運(yùn)行的速度較慢。ISAPI Filter主要實(shí)現(xiàn)信息存儲(chǔ)的安全，是以動(dòng)態(tài)鏈接庫的形式封裝，直接運(yùn)行在IIS進(jìn)程內(nèi)，運(yùn)行速度較快。SSL可以用于信息傳輸?shù)陌踩�，直接集成在IIS中。將ISAPI Filter和SSL結(jié)合即可達(dá)到信息存儲(chǔ)和傳輸?shù)陌踩�，本文即通過這種方法實(shí)現(xiàn)基于IIS的信息安全。
二、 ISAPI Filter的作用機(jī)制
ISAPI是微軟提供的基于Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的Internet編程接口，利用ISAPI編制的應(yīng)用程序以動(dòng)態(tài)鏈接庫的形式封裝，直接運(yùn)行在IIS進(jìn)程中。ISAPI實(shí)現(xiàn)的應(yīng)用程序包括擴(kuò)展和過濾器兩種形式，ISAPI擴(kuò)展可以響應(yīng)客戶的請(qǐng)求，執(zhí)行非凡的功能，而過濾器可以實(shí)現(xiàn)數(shù)據(jù)壓縮、重定向、加密和身份驗(yàn)證等功能[2]。

圖1 過濾器的作用機(jī)制
ISAPI過濾器運(yùn)行在IIS的前端，可以處理IIS提供的每一步服務(wù)。ISAPI過濾器的作用機(jī)制如圖1所示。過濾器在IIS進(jìn)程啟動(dòng)時(shí)裝載，并運(yùn)行GetFilterVison函數(shù)，GetFilterVison函數(shù)的目的是設(shè)置過濾器的優(yōu)先級(jí)并將事件通知的關(guān)注點(diǎn)注冊(cè)到過濾器。當(dāng)系統(tǒng)中存在多個(gè)過濾器時(shí)需要通過設(shè)置優(yōu)先級(jí)確定過濾器的執(zhí)行順序，而事件通知的關(guān)注點(diǎn)是過濾器可以處理的服務(wù)。當(dāng)客戶請(qǐng)求服務(wù)時(shí)，IIS首先啟動(dòng)過濾器程序，然后根據(jù)過濾器注冊(cè)的關(guān)注點(diǎn)調(diào)用過濾器實(shí)現(xiàn)的事件處理函數(shù)。
三、 ISAPI過濾器實(shí)現(xiàn)信息存儲(chǔ)安全
通過ISAPI過濾器可以對(duì)客戶的身份進(jìn)行驗(yàn)證，控制訪問的客戶，從而實(shí)現(xiàn)系統(tǒng)存儲(chǔ)的信息安全。在ISAPI過濾器中，驗(yàn)證客戶身份需要注冊(cè)的事件關(guān)注點(diǎn)是SF_AUTHENTICATION事件，相應(yīng)的事件處理函數(shù)是OnAuthentication�？蛻粼谔峤辉L問后，IIS啟動(dòng)新的線程為客戶提供服務(wù)，在IIS線程驗(yàn)證客戶的身份前會(huì)首先查看過濾器中有無SF_AUTHENTICATION事件關(guān)注點(diǎn)，若有，則執(zhí)行過濾器的OnAuthentication函數(shù)。所以可以通過OnAuthentication函數(shù)在IIS線程前對(duì)客戶的身份進(jìn)行驗(yàn)證。
圖2 身份驗(yàn)證過濾器基本架構(gòu)
IIS以HTTP的挑戰(zhàn)/響應(yīng)機(jī)制結(jié)合Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的用戶數(shù)據(jù)庫驗(yàn)證客戶的身份，而Windows NT（包括Windows NT4.0,Windows 2000 Server系列,windows Server2003）的用戶數(shù)目是有限的，并且直接以NT用戶訪問存在著不安全的因素，所以在過濾器中引入專用的用戶訪問數(shù)據(jù)庫，數(shù)據(jù)庫中包含客戶的密碼和用戶名以及對(duì)應(yīng)的系統(tǒng)密碼和用戶名身份驗(yàn)證過濾器的基本結(jié)構(gòu)如圖2所示。
客戶匿名訪問時(shí)，過濾器直接返回，保證客戶可以訪問非保密的資源。當(dāng)客戶非匿名訪問時(shí)，過濾器查找用戶數(shù)據(jù)庫，找到對(duì)應(yīng)的系統(tǒng)密碼和用戶名，并替代客戶的密碼和用戶名，然后在IIS中用替換的系統(tǒng)密碼和用戶名對(duì)客戶的身份進(jìn)行驗(yàn)證。采用這種方法使得客戶輸入的密碼和用戶名并不是系統(tǒng)真正的密碼和用戶名，既保證了客戶的數(shù)量又保護(hù)了系統(tǒng)的安全。
ISAPI身份驗(yàn)證過濾器運(yùn)行在多線程的IIS進(jìn)程中，每一個(gè)線程都將調(diào)用過濾器程序，而與數(shù)據(jù)庫的連接很占系統(tǒng)的資源，當(dāng)訪問的客戶超過一定的數(shù)量時(shí)，可能會(huì)導(dǎo)致系統(tǒng)的崩潰。在實(shí)現(xiàn)時(shí)可以通過一段緩存解決這個(gè)問題，具體方法是過濾器裝載時(shí)在內(nèi)存中開辟一段空間，用以保存近來訪問服務(wù)器的客戶的密碼和用戶名以及對(duì)應(yīng)的系統(tǒng)密碼和用戶名。在客戶訪問時(shí)，過濾器先查找緩存中有無客戶的密碼和用戶名，若沒有再查找數(shù)據(jù)庫，并將查找到的內(nèi)容寫入緩存中，由于查找緩存的時(shí)間及占用的資源遠(yuǎn)遠(yuǎn)小于對(duì)數(shù)據(jù)庫的查找，所以可以大大提高過濾器的執(zhí)行效率。
ISAPI過濾器實(shí)現(xiàn)的過程中應(yīng)注重的問題主要是內(nèi)存泄漏和多線程。避免的方法在于選擇支持多線程的數(shù)據(jù)庫，并且保證緩存的單線程訪問以及釋放占用的內(nèi)存。
四、 SSL實(shí)現(xiàn)信息傳輸安全

圖3 SSL會(huì)話過程
在Internet傳輸?shù)乃�有�?shù)據(jù)都暴露于任何網(wǎng)絡(luò)客戶面前，任何對(duì)通信進(jìn)行監(jiān)測(cè)的人都可以對(duì)通信的數(shù)據(jù)進(jìn)行截取和修改。保證數(shù)據(jù)傳輸?shù)谋Ｃ苄�、完整性和安全性的要害在于防止網(wǎng)絡(luò)的監(jiān)聽和篡改。SSL技術(shù)為應(yīng)用層間數(shù)據(jù)通信提供安全的途徑，它位于可靠的傳輸層之上，為高層的應(yīng)用提供透明的服務(wù)，保證傳輸信息的隱私性、可靠性和用戶的非否認(rèn)性。
SSL通信分兩個(gè)階段：連接階段和數(shù)據(jù)傳輸階段。在連接階段，建立安全連接，一旦算法達(dá)成協(xié)議，就交換密鑰，接著驗(yàn)證身份，然后開始數(shù)據(jù)傳輸。在數(shù)據(jù)傳輸階段，信息傳輸?shù)絊SL時(shí)通過加密或解密后向下或向上傳輸。SSL要求在客戶端與服務(wù)器端建立通信渠道，通信渠道的建立通過客戶與服務(wù)器的握手來完成。具體過程如圖3所示。
客戶和服務(wù)器之間通過相互詢問確定最終的加密算法。詢問信息提供了建立安全渠道的重要信息。服務(wù)器端通過證書確定客戶的身份，然后發(fā)出確認(rèn)和結(jié)束信息結(jié)束握手階段，開始正常的數(shù)據(jù)傳輸。數(shù)據(jù)在傳輸過程中被分解為許多信息，同時(shí)用會(huì)話密鑰加密并使用數(shù)字簽名。接收端在試圖解密數(shù)據(jù)之前首先要驗(yàn)證數(shù)字簽名[2]。
在IIS中可以方便的通過SSL建立數(shù)據(jù)傳輸?shù)陌踩�性。服�?wù)器建立SSL鏈接之前必須安裝證書。證書可以使用Microsoft Certificate Server生成。新密鑰的創(chuàng)建通過IIS密鑰治理器完成，它會(huì)根據(jù)向?qū)ё詣?dòng)請(qǐng)求服務(wù)器上安裝的Certificate Server生成證書。在密鑰建成后需要通過IIS的控制臺(tái)配置SSL，可以配置的選項(xiàng)包括密鑰設(shè)置、是否要求客戶端證書以及客戶端證書映射等。在這些設(shè)置完成后就可以實(shí)現(xiàn)信息傳輸?shù)陌踩�性�?br /> 五、 結(jié)束語
以ISAPI過濾器程序保護(hù)系統(tǒng)存儲(chǔ)信息安全的方法，采用DLL的形式運(yùn)行在IIS進(jìn)程中，可以通過用戶數(shù)據(jù)庫和緩存擴(kuò)充用戶的數(shù)量并提高過濾器運(yùn)行的效率。用SSL保護(hù)信息傳輸?shù)陌踩�是目前常用的也是較好的方法之一。本文將二者結(jié)合給出了基于IIS進(jìn)程的信息安全策略，通過作者在實(shí)際應(yīng)用中的檢驗(yàn)，確定了方案的可行性。

參考文獻(xiàn)
[1] 羅軍舟， 《網(wǎng)絡(luò)信息安全的技術(shù)和策略》，《科技進(jìn)步與學(xué)科發(fā)展綜合學(xué)術(shù)研討會(huì)論文集》1999年10月
[2] Lecond braginski, 《IIS4.0使用大全》，中興業(yè)科技公司譯，人民郵電出版社1998年
 
 

【畢業(yè)論文:基于IIS的信息安全策略】相關(guān)文章：

基于知網(wǎng)的翻譯研究方向碩士畢業(yè)論文寫作06-25

基于信息安全的企業(yè)經(jīng)濟(jì)信息管理論文06-26

信息技術(shù)碩士畢業(yè)論文提綱范文06-12

電子信息工程畢業(yè)論文簡(jiǎn)單題目11-16

經(jīng)濟(jì)信息管理專業(yè)畢業(yè)論文范文09-23

試析基于勝任素質(zhì)的薪酬模式構(gòu)建01-03

基于戰(zhàn)略治理的企業(yè)環(huán)境風(fēng)險(xiǎn)研究08-28

畢業(yè)論文提綱07-21

畢業(yè)論文提綱07-21

畢業(yè)論文致謝09-14