（计算机应用技术专业论文）web应用防火墙及其在多媒体资源管理系统中的应用.pdf

北京邮电大学硕士研究生论文 w e b 应用防火墙及其在多媒体资源管理系统中的应用 摘要 w w w 服务是现今i n t e m e t 上使用最广泛的服务，网络安全问题 已引起人们的极大重视。w e b 应用安全问题是当前计算机应用研究的 热点问题之一。本文着力设计和实现针对w e b 应用安全问题的w e b 应用防火墙系统，旨在抵御带有恶意目的的w e b 攻击，保证应用服 务器的安全。 本文首先分析了w e b 应用防火墙的原理、相关理论和技术。然后 分析了b l p 安全模型和关联规则算法，并对b l p 模型进行改进。在 此基础上提出了本文的设计思想和方案，并且予以实现。最后成功地 应用于多媒体资源管理系统，增强了该系统在w - e b 应用层面的安全 性，验证了本文的设计思想。 关键词：w e b 应用，防火墙，网络安全，多媒体资源管理系统 北京邮电大学硕士研究生论文 w e ba p p l i c a t i o nf i r e w a l la n di t sa p p l i c a t i o n i nm u l t i m e d i ar e s o u r c em 【a n a g e m e n ts y s t e m a b s t r a c t 冈州ys e r v i c ei st h em o s tp o p u l a rs e r v i c ea ti n t e m e t n e t w o r k s e c u r i t yd r a w sm u c h a t t e n t i o no fp e o p l e 眙6a p p l i c a t i o ns e c u r i t yi so n e o ft h eh o t t e s tt o p i c si nw w wr e s e a r c h t h ea i mo ft h ep a p e ri st od e s i g n a n di m p l e m e n tw ，e ba p p l i c a t i o nf i r e w a l l w h i c hi su s e dt or e s i s tt h ew e b a t t a c k sa n dm a k es u r et h es e c u r i t yo fw e ba p p l i c a t i o ns e r v e r i nt h i sp a p e r , f i r s to fa l l ，w ea n a l y z et h et h e o r i e sa n dt e c h n i q u e so f w e ba p p l i c a t i o nf i r e w a l l t h e n w es t u d yt h eb l ps e c u r i t ym o d e la n d a s s o c i a t i o nr u l ea r i t h m e t i c s i m p r o v et h eb l pm o d e l w r ep r o p o s ea s o l u t i o no ft h es y s t e m ，d e s i g na n di m p l e m e n tt h es y s t e mb a s e do nt h e s o l u t i o n f i n a l l y , w ea p p l y t h e s y s t e mi n am u l t i m e d i ar e s o u r c e m a n a g e m e n ts y s t e mt oi m p r o v ei t ss e c u r i t ya n dr e l i a b i l i t y , a n dt h e e x p e r i m e n t a lr e s u l t sv a l i d a t et h ee f f e c t i v i t yo fo u rs o l u t i o n k e yw o r d s ：w e bs e r v i c e ，f i r e w a l l ，n e t w o r ks e c u r i t y , m u l t i m e d i a r e s o u r c em a n a g e m e n ts y s t e m 北京邮电大学硕士研究生论文 创新性声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不 包含其他人已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他 教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任 何贡献均己在论文中作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担一切相关责任。 本人签名：么蕈丘2 日期：丝呈：主：! 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即： 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借 阅；学校可以公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它 复制手段保存、汇编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在年解密后适用本授权书。非保密论文注释：本 学位论文不属于 本人签名： 导师签名： 日期：竺呈：兰 日期：一日璐；，! 一 北京邮电大学硕士研究生论文 1 1 研究背景 第一章引言 在i n t e r n e t 大众化及w e b 技术飞速演变的今天，在线安全所面临的挑战日 益严峻。w 曲架构在成本与应用能力方面的优势，使得越来越多的企业和机构 将应用迁移到基于w e b 的基础架构。w e b 服务器与w e b 应用已经从最初提供 简单的静态内容演变到提供丰富的动态内容。现在，w e b 服务器与应用除了可 以创建动态页面和启动应用程序外，还可以同数据库进行通信以生成对用户有 用的内容。伴随着在线信息和服务可用性的提升，以及基于w 曲的攻击和破坏 的增长，安全风险达到了前所未有的高度。由于众多安全工作集中在网络本身 上面，w e b 应用程序几乎被遗忘了。也许这是因为应用程序过去常常是在一台 计算机上运行的独立程序，如果这台计算机安全的话，那么应用程序就是安全 的。如今情况大不一样了，大多数w 曲服务器平台都将应用程序与服务器捆绑 在一起，这些都为攻击提供了机会。w e b 应用程序在多种不同的机器上运行： 客户端、w e b 服务器、数据库服务器和应用服务器。而且，因为它们一般可以 让所有的人使用，所以这些应用程序成了众多攻击活动的后台旁路。由于w e b 服务器提供几种不同的方式将请求转发给应用服务器，并将修改过的或新的网 页发回给最终用户，这使得非法闯入网络变得更加容易。攻击者与安全人士之 间的战斗正在由网络层转到w e b 应用层。攻击者采用s q l 植入等手法入侵和 控制w e b 服务，而大部分w e b 应用并没有采取专门有效的防护措施应对。越来 越多的攻击者将目光投向w e b 服务器和w 曲应用。 这主要是由两点原因所导致的：首先，越来越多的机构将应用迁移到基于 w e b 的基础架构，以利用w e b 架构在成本与连接能力方面的优势；其次，大多 数机构都部署了防火墙，于是黑客将攻击转向几乎无所不在的8 0 开放端口( w 曲 通信最常用的端口) 。 w e b 应用的漏洞主要来自：w 曲应用编码过程中固有的错误和用于实现应 用的独立技术( 比如w e b 服务器的安全和后端数据安全等) 。目前注入反病毒软 件和网络防火墙技术可以对主机和网络级的安全提供比较可靠的安全等级。但 是这些技术都不能提供应用级的安全保证。因此，当网络和主机的安全达到一 定的安全等级后，作为公共接口的w e b 应用就成为攻击的对象了。 目前，全球互联网用户已达1 3 5 亿，大部分用户也都会利用网络进行购物、 银行转账支付和各种软件下载。而近年来互联网的环境发生了很大的变化， 北京邮电大学硕士研究生论文 w e b 2 0 成为互联网热门的概念。w e b 2 0 相关技术和应用的发展使得在线协作、 共享更加方便，主要包括：博客、r s s 、百科全书( w i l d ) 、p 2 p 、即时信息等。 在我们享受便捷的网络同时，网络环境也变得越来越危险。其中，w e b 威胁正 在极力表现它的“逐利性”，成为当前网络威胁最突出的代表。w e b 威胁所具备 的渗透性和利益驱动性，已经成为当前网络中增长最快的风险因素。网络罪犯 已经逐渐将w e b 作为从事恶意活动的新途径。w e b 安全威胁已经成为对企业来 说最为猛烈的攻击之一，而传统防护手段则显得力不从心。各种迹象表明，安 全性已成为影响w e b 应用推广的瓶颈。 1 2 研究目的 北京邮电大学计算机科学与技术学院智能通信软件与多媒体北京市重点实 验室长期从事多媒体方面的研究，积累了丰硕的科研成果。其中多媒体资源管 理系统是实验室最近开展的研究工作。 在多媒体资源管理系统研究中，本文作者对多媒体资源管理系统进行分析 和研究，结合以前的网络安全方面的研究成果，着重对多媒体资源管理系统中 的w e b 应用层面中的安全问题进行研究，致力于完善和加固多媒体资源管理系 统w e b 层面抵御网络攻击的能力。 1 3 论文成果和意义 本文首先分析防火墙的基本概念和不足之处，引出w e b 应用防火墙的概念 和网络结构。然后分析w e b 应用防火墙的相关理论技术。对经典的安全模型 b l p 安全访问控制模型进行分析和改进，保证了资源的机密性。s s l 安全传输 协议在本文涉及的w e b 应用防火墙中也得到成功实现。实现安全防护规则，防 御常见w e b 攻击防护。构建日志分析模型，分析攻击日志。最后在a p a c h e 的 基础上实现了一个面向w e b 应用层次的安全防火墙系统，保障后台w e b 应用服 务器的安全。 本文利用所设计实现的w e b 应用防火墙，成功完成了针对多媒体资源管理 系统的安全防护，提供了安全性和稳定性，进一步验证了本文的设计思想。 1 4 论文的总体结构 论文余下的部分共分为五章，第二章着重介绍w e b 应用防火墙的相关理论 技术，主要包括w e b 应用防火墙的概念、反向代理、虚拟主机和访问控制理论 2 北京邮电大学硕士研究生论文 等等；第三章阐述了w e b 应用防火墙的研究和设计，提出系统的总体设计、工 作原理和流程以及各个模块的设计；第四章是讲述了w e b 应用防火墙的具体实 现过程，提出了实现方案，并阐述了详细实现过程；第五章论述了w e b 应用防 火墙在多媒体资源管理系统中的应用，从实际的角度展示了w e b 应用防火墙； 第六章对本文进行了总结。 北京邮电大学硕士研究生论文 第二章w e b 应用防火墙相关理论与技术 2 1 防火墙概述 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之 间、专用网与公共网之间的界面上构造的保护屏障。它是一种获取安全性方法 的形象说法，把计算机硬件和软件的结合起来，使i n t e m e t 与i n t r a n e t 之间建立 起一个安全网关，从而保护i n t r a n e t 免受非法用户的侵入。 2 1 1 防火墙的功能 防火墙的功能主要包括： ( 1 ) 防火墙是网络安全的屏障 一个防火墙( 作为阻塞点、控制点) 能大大地提高一个内部网络的安全性， 并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能 通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不 安全的n f s 协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的 协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如口选 项中的源路由攻击和i c m p 重定向中的重定向路径。防火墙应该可以拒绝所有 以上类型攻击的报文并通知防火墙管理员。 ( 2 ) 防火墙可以强化网络安全策略 通过以防火墙为中心的安全方案配置，能将所有安全软件( 如口令、加密、 身份认证、审计等) 配置在防火墙上。与将网络安全问题分散到各个主机上相 比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和 其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙上。 ( 3 ) 对网络存取和访问进行监控审计 如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并做出日 志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙 能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集 一个网络的使用和误用情况也是非常重要的，首先可以清楚防火墙是否能够抵 挡攻击者的探测和攻击，并且可以清楚防火墙的控制是否充足。而网络使用统 计对网络需求分析和威胁分析等而言也是非常重要的。 ( 4 ) 防止内部信息的外泄 4 北京邮电大学硕士研究生论文 通过利用防火墙对内部网络的划分，可实现内部网、重点网段的隔离，从 而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是 内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关 安全的线索而引起外部攻击者的兴趣，甚至因此暴露了内部网络的某些安全漏 洞。使用防火墙就可以隐蔽那些透漏内部细节的服务，如f i n g e r 、d n s 等。f i n g e r 显示了主机的所有用户的注册名、真名，最后登录时间和使用s h e l l 类型等。但 是f i n g e r 显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用 的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引 起注意等等。防火墙可以同样阻塞有关内部网络中的d n s 信息，这样一台主机 的域名和口地址就不会被外界所了解。 2 1 2 防火墙的分类 根据防火墙的分类标准不同，防火墙可以分为多种类型。根据网络体系结 构可以有以下几种类型的防火墙： ( 1 ) 网络级防火墙 网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个i p 包的 端口来作出通过与否的判断。一个路由器便是一个传统的网络级防火墙，大多 数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判 断出一个口包来自何方，去向何处。网络级防火墙简洁、速度快、费用低，并 且对用户透明，但是对网络的保护很有限，因为它只检查地址和端口，对网络 更高协议层的信息无理解能力。 ( 2 ) 应用级网关 应用级网关就是我们常常说的“代理服务器 ，它能够检查进出的数据包， 通过网关复制传递数据，防止在受信任服务器和客户机与不受信任的主机间直 接建立联系。应用级网关能够理解应用层上的协议，能够做复杂一些的访问控 制，并做精细的注册和稽核。但每一种协议需要相应的代理软件，使用时工作 量大，效率不如网络级防火墙。应用级网关有较好的访问控制，是目前最安全 的防火墙技术，但实现困难，而且有的应用级网关缺乏“透明度”。在实际使用 中，用户在受信任的网络上通过防火墙访问i n t e r n e t 时，经常会发现存在延迟并 且必须进行多次登录才能访问i n t e r n e t 或i n t r a n e t 。 ( 3 ) 电路级网关 电路级网关用来监控受信任的客户或服务器与不受信任的主机间的t c p 握 手信息，这样来决定该会话是否合法，电路级网关是在o s i 模型中会话层上来 过滤数据包，这样比包过滤防火墙要高二层。实际上电路级网关并非作为一个 5 北京邮电大学硕士研究生论文 独立的产品存在，它与其它的应用级网关结合在一起。另外，电路级网关还提 供一个重要的安全功能：代理服务器。代理服务器是个防火墙，在其上运行一 个叫做“地址转移”的进程，来将所有内部的i p 地址映射到一个“安全”的 地址，这个地址是由防火墙使用的。但是，电路级网关也存在着一些缺陷，因 为该网关是在会话层工作的，它就无法检查应用层级的数据包。 ( 4 ) 规则检查防火墙 规则检查防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。 它同包过滤防火墙一样，规则检查防火墙能够在o s i 网络层上通过i p 地址和端 口号，过滤进出的数据包。它也像电路级网关一样，能够检查s y n 和a c k 标 记和序列数字是否逻辑有序。当然它也像应用级网关一样，可以在o s i 应用层 上检查数据包的内容，查看这些内容是否能符合公司网络的安全规则。 规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关的是， 它并不打破客户机服务机模式来分析应用层的数据，它允许受信任的客户机和 不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理， 而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的 模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有 效。 2 1 3 传统网络防火墙的不足 传统网络防火墙存在以下不足之处： ( 1 ) 无法检测加密的w e b 流量 如果部署一个门户网站，希望所有的网络层和应用层的漏洞都被屏蔽在应 用程序之外。这个需求对于传统的网络防火墙而言是个大问题。由于网络防火 墙对于加密的s s l 流中的数据是不可见的，防火墙无法迅速截获s s l 数据流并 对其解密，因此无法阻止应用程序的攻击，甚至有些网络防火墙，根本就不提 供数据解密的功能。 ( 2 ) 普通应用程序加密后，也能轻易躲过防火墙的检测 网络防火墙无法看到的，不仅仅是s s l 加密的数据。对于应用程序加密的 数据，同样也不可见。在如今大多数网络防火墙中，依赖的是静态的特征库， 与入侵监测系统( i d s ，i n t r u s i o nd e t e c ts y s t e m ) 的原理类似。只有当应用层攻击行 为的特征与防火墙中的数据库中已有的特征完全匹配时，防火墙才能识别和截 获攻击数据。 但如今，采用常见的编码技术，就能够地将恶意代码和其它攻击命令隐藏 起来，转换成某种形式，既能欺骗前端的网络安全系统，又能够在后台服务器 6 北京邮电大学硕士研究生论文 中执行。这种加密后的攻击代码，只要与防火墙规则库中的规则不一样，就能 够躲过网络防火墙，成功避开特征匹配。 ( 3 ) 对于w e b 应用程序，防范能力不足 网络防火墙于1 9 9 0 年发明，而商用的w 曲服务器，则在一年以后才面世。 基于状态检测的防火墙，其设计原理是基于网络层t c p 和口地址来设置与加 强状态访问控制列表( a c l s ，a c c e s sc o n t r o ll i s t s ) 。在这一方面网络防火墙表现 确实十分出色。 实际应用过程中，h t t p 是主要的传输协议。主流的平台供应商和大的应 用程序供应商均已转移到基于w e b 的体系结构安全防护的目标，不再只是重要 的业务数据。网络防火墙的防护范围发生了变化。对于常规的企业局域网的防 范，继续发挥重要作用，但对于新近出现的上层协议，如x m l 和s o a p 等应 用的防范，网络防火墙就显得有些力不从心。 由于体系结构的原因，即使是最先进的网络防火墙，在防范w e b 应用程序 时，由于无法全面控制网络、应用程序和数据流，也无法截获应用层的攻击。 由于对于整体的应用数据流缺乏完整的、基于会话级别的监控能力，因此很难 预防新的未知的攻击。 ( 4 ) 应用防护特性，只适用于简单情况 目前的数据中心服务器时常会发生变动，比如： 定期需要部署新的应用程序； 经常需要增加或更新软件模块； q a 经常会发现代码中的b u g ，已部署的系统需要定期打补丁。 在这样动态复杂的环境中，安全专家们需要采用灵活的、粗粒度的方法， 实施有效的防护策略。虽然一些先进的网络防火墙供应商，提出了应用防护的 特性，但只适用于简单的环境中。比如，有些防火墙供应商曾经声称能够阻止 缓存溢出。当黑客在浏览器的u r l 中输入太长数据，试图使后台服务崩溃或使 试图非法访问的时候，网络防火墙能够检测并制止这种情况。细看就会发现， 这些供应商采用对8 0 端口数据流中，针对u r l 长度进行控制的方法，来实现 这个功能的。如果使用这个规则，将对所有的应用程序生效。如果一个程序或 者是一个简单的w e b 网页，确实需要涉及到很长的u r l 时，就要屏蔽该规则。 网络防火墙的体系结构决定了网络防火墙是针对网络端口和网络层进行操作 的，因此很难对应用层进行防护，除非是一些很简单的应用程序。 ( 5 ) 无法扩展带深度检测功能 基于状态检测的网络防火墙，如果希望只扩展深度检测功能而没有相应增 加网络性能，这是不行的。真正的针对所有网络和应用程序流量的深度检测功 7 北京邮电大学硕士研究生论文 能，需要空前的处理能力来完成大量的计算任务，包括以下几个方面： s s l 加密解密功能； 完全的双向有效负载检测； 确保所有合法流量的正常化； 广泛的协议性能。 这些任务，在基于标准p c 硬件上，是无法高效运行的，虽然一些网络防 火墙供应商采用的是基于a s i c 的平台，但进一步研究就能发现旧的基于网络 的a s i c 平台对于新的深度检测功能是无法支持的。 最后，应用层受到攻击的概率越来越大，而传统网络防火墙在这方面有存 在着不足之处。对此，少数防火墙供应商也开始意识到应用层的威胁，在防火 墙产品上增加了一些弹性概念的特征，试图防范这些威胁。传统的网络防火墙 对于应用安全的防范上效果不佳，对于上述列出的五大不足之处，将来需要在 网络层和应用层加强防范。 2 2w e b 应用防火墙 防火墙 0囡0 w e bs e r v e r e m a i ls e r v e rf q , s e r v e r 图2 - 1w e b 应用防火墙网络结构 w 曲应用防火墙( w 曲a p p l i c a t i o n f i r e w a l l ) 【l 】是由一个高层的w 曲应用网关 作为代理服务器。它接收外来的应用连接请求，进行安全检查后，再与被保护 的网络应用服务器连接，使得外部服务用户可以在受控制的前提下使用内部网 络的服务。另外，内部网络到外部的服务连接也可以受到监控应用网关的代理 服务实体将对所有通过它的连接做出日志记录，以便对安全漏洞进行检查和收 集相关的信息。应用防火墙专门保护w e b 应用通信流和所有相关的应用资源免 北京邮电大学硕士研究生论文 受利用w e b 协议发动的攻击。应用防火墙可以阻止将应用行为用于恶意目的的 浏览器和 盯r p 攻击。这些攻击包括利用特殊字符或通配符修改数据的数据攻 击，设法得到命令串或逻辑语句的逻辑内容攻击，以及以账户、文件或主机为 主要目标的目标攻击。同时该实体可采取强认证技术，能对数据内容进行过滤， 保证信息数据内容的安全，防止病毒以及恶意的j a v a a p p l e t 或a c t i v e x 代码， 具有较高的安全性。图2 1 显示了w e b 应用防火墙网络结构。 w e b 应用防火墙在网络中一般位于w e b 应用服务器的前面，用于保护防火 墙之后的应用服务器。它提供的功能可能包括服务器之间的流量负载均衡、压 缩、加密、h t f p 和h t t p s 流量的反向代理、检查应用程序的一致性和汇聚 t c p 会话等。w 曲应用防火墙知道输入和输出的会话请求，提供与已有应用的 联机集成，并与w 曲应用技术相兼容。w 曲应用防火墙监听8 0 和4 4 3t c p 端 口，并从客户机接收输入的h t t p s e c i l r ch t t p 请求，然后解析这些请求，将 这些请求与会话建立关系或者创建一次会话，然后将请求与会话的政策相匹配。 如果这个请求得到承认( 即对应的链接得到承认) ，它就被转发给w e b 服务器。 如果不被承认，请求就被拒绝。w 曲服务器的应答到达w 曲应用防火墙之后， 会与请求所属的同一个会话建立关系，进行解析。如果这是对第一个请求的应 答，一个加密会话c o o k i e 还被附着在这个应答中，用于识别与客户机以后的通 信会话，w 曲应用防火墙最后将这个应答转发给客户机。 2 3 反向代理 正向代理是一个位于客户端和原始服务器之间的服务器。为了从原始服务 器取得内容，客户端向代理发送一个请求并指定目标( 原始服务器) ，然后代理 向原始服务器转交请求并将获得的内容返回给客户端。客户端必须要进行一些 特别的设置才能使用正向代理。正向代理的典型用途是为在防火墙内的局域网 客户端提供访问i n t e m e t 的途径。正向代理还可以使用缓冲特性减少网络使用 率。 反向代理【2 】正好相反，对于客户端而言它就像是原始服务器，并且客户端 不需要进行任何特别的设置。客户端向反向代理的命名空间中的内容发送普通 请求，接着反向代理将判断向何处( 原始服务器) 转交请求，并将获得的内容返 回给客户端，就像这些内容原本就是它自己的一样。反向代理的典型用途是将 防火墙后面的服务器提供给i n t e m e t 用户访问。反向代理还可以为后端的多台服 务器提供负载平衡，或为后端较慢的服务器提供缓冲服务。另外，还可以启用 高级u r l 策略和管理技术，从而使处于不同w e b 服务器系统的w e b 页面同时 存在于同一个u r l 空间下。 9 北京邮电火学硕- _ f ：研究生论文 例如下图2 2 中，代理服务器b ，作为各个应用服务器的代表，对外提供 服务。实际上，b 本身并不提供应用服务，仅仅是把a 发往b 的数据转发给c ， 然后c 做出响应，把处理结果发给b ，b 再发给对应的a 。在这一个过程中， b 只是起到“传话筒”的作用。如果b 根据a 要求的地址来连接该地址对应的 服务器，则b 把这一请求转移到c ( 代表a 访问c ) ，并把c 对b 的处理结果返 回给a 。在这个过程中，a 一直以为是b 提供服务，并不知道c 的存在，c 只 是知道，永远只是b 来请求它的服务，此时，b 就是反向代理。多数运行在服 务器一方。普通代理可代理内网用户访问凶特网或用户自身不能访问的网段。 反向代理多用于作为应用服务器的缓存服务器，减轻应用服务器的负担，最典 型的就是作为w e b 服务器的页面缓存服务器。 图2 2 反向代理 通常的代理服务器也就是正向代理，只用于代理内部网络对i n t e m e t 的连接 请求，客户机必须指定代理服务器，并将本来要直接发送到w e b 服务器上的 h t t p 请求发送到代理服务器中。由于外部网络上的主机并不会配置并使用这 个代理服务器，普通代理服务器也被设计为在i n t e m e t 上搜寻多个不确定的服务 器，而不是针对i n t e r n e t 上多个客户机的请求访问某一个固定的服务器，因此普 通的w e b 代理服务器不支持外部对内部网络的访问请求。当一个代理服务器能 够代理外部网络上的主机，访问内部网络时，这种代理服务的方式称为反向代 理服务。此时代理服务器对外就表现为一个w e b 服务器，外部网络就可以简单 把它当作一个标准的w 曲服务器而不需要特定的配置。 毋 毋 北京邮电大学硕士研究生论文 2 4 虚拟主机 虚拟主机【3 】技术就是使用特殊的软硬件技术，把一台计算机主机分成一台 台“虚拟”的主机，每一台虚拟主机都具有独立的域名和p 地址( 或共享的口 地址) ，具有完整的i n t e r n e t 服务器功能。在同一台硬件、同一个操作系统上， 多个用户打开的不同的服务器程序运行互不干扰，而各个用户拥有自己的一部 分系统资源( m 地址、文件存储空间、内存、c p u 时间等) 。虚拟主机之间完 全独立，在外界看来，每一台虚拟主机和一台独立的主机的表现完全一样。 建立虚拟主机一般有以下几种方式： 基于地址的方式 基于p 地址的方式的工作过程如下：首先，利用配置口别名，将多个m 地址绑定到同一物理服务器的网卡上，然后将不同的主机名解析到不同的m 地 址。服务器根据用户请求的目的p 地址来判定用户请求的是哪个虚拟主机的服 务，从而进行进一步的处理。基于口地址的虚拟主机方式需要在提供虚拟主机 服务的机器上设立多个口地址，既浪费了口地址，又限制了一台机器所能容 纳的虚拟主机数目j 因此这种方式的使用范围越来越窄。但是，h t t p l 0 协议 支持这种工作方式而不支持后面将要介绍的更为高级的虚拟主机工作方式。 基于端口的方式 w w w 主机的访问是通过u r l 来请求的，在w w w 服务中，u r l 包括主 机名( 域名或地址) 和端口号两个部分。在这种方式中，不同的虚拟主机是通过 对相同主机名分配不同的端口号来实现的。w w w 服务器在同一个主机的不同 端口上守候浏览器的请求，用户通过类似h t t p ：l l w w w v i r t u a l h o s t c o m ， h t t p ：w w w v i r t u a l h o s t t o m ：8 1 ，h t t p ：w w w v i r t u a l h o s t e o m ：8 2 等不同的u r l 来请 求不同的虚拟主机服务。虽然基于端口的方法可以实现一个物理主机与多个 w w w 实体的对应，但由于不同的u r l 仅仅是通过不同端口号来区分的，所以 这种方法不能很好地体现“独立的”域名，在很多场合意义不大。但是这种基 于端口的工作方式的平台独立性最好，它和浏览器、服务器以及h t t p 协议的 版本都没有任何关系。 基于主机名的方式 这种方式是根据访问请求中的“h o s t 语句来实现的。当向w w w 服务器发 出请求时，用户要访问的主机名通过请求头中的“h o s t ：”语句传递给w w w 服务 器。如发出的h t t p 请求的头部含有如下内容：c e t i n d e x h t m lh t t p 1 1 h o s t ：w w w v i r t u a l h o s t c o m 那么，无论w w w v i r t u a l h o s t c o m 是独占一个口地址还 是与其它域名共用一个口地址，都可以实现对主机的访问。w w w 服务器程序 北京邮电大学硕士研究生论文 接收到这个请求后，可以通过检查“h o s t ：”语句，来判定客户程序请求的是哪 个虚拟主机的服务，然后再作进一步的处理。利用这种方式，理论上就可以给 无限多个虚拟域名提供服务。由于它具有占用资源少，管理方便等优点，已经 成为目前虚拟主机服务工作方式的主流。这个新特性是在h t t p l 1 协议才被加 入的，需要客户浏览器支持h t t p l 1 协议才可以正常访问。 w w w 虚拟主机的混合工作方式 虚拟主机的混合工作方式实际上就是以上三种工作方式的结合。任选其中 两种结合或同时采用所有三种工作方式都可以得到新的工作方式。但是由于设 置上的复杂性，设计虚拟主机时一般都不采用混合工作方式。 2 5h t t p 用户认证方式 h t t p 认证【4 】采用“质询响应 的机制。“质询是服务器端对客户端的 质询，即要求客户端发送认证信息；“响应 是客户端对“质询 的响应，即 发送带有认证信息的h t t p 请求。 h t t p 认证协议规定了两种信息认证的方式：基本认证方式和摘要访问认 证方式。当客户请求原始服务器设置了授权的资源时，服务器发送h t t p 协议 的响应码4 0 1 ( 未授权) ，响应中都要求使用符合h t t p 认证协议的提示来向客 户端发送授权认证信息。客户输入合法的用户d 和密码后，才可以请求服务器 资源。但h t t p 认证协议两种信息认证的方式是有本质的区别，严格来讲，基 本认证方式没有实现认证技术，因为它的用户名和密码是用明文送出的。而摘 要认证方式真正实现了信息认证技术中的身份验证。摘要认证方式提供一种机 制，这种机制避免基本认证方式的严重缺点。类似基本认证方式，在摘要访问 认证方式的询问信息中包含一个临时值，对于该询问的有效的响应应该包含一 个用户名、口令、给定的临时值、h t t p 请求方法和请求u r i 的校验和，服务 器端可以使用一个可选的头来指定一种算法来创建校验和或文摘，在缺省情况 是m d 5 算法。采用这样的方法后，用户的认证信息就不再使用明文传输。 2 5 1 基本认证方式 h t t p 服务器在每次收到请求包后，根据协议取得客户端附加的用户信息 ( b a s e 6 4 加密的用户名和密码) ，解开请求包，对用户名及密码进行验证，如 果用户名及密码正确，则根据客户端请求，返回客户端所需要的数据，否则， 返回错误代码或重新要求客户端提供用户名及密码。如图2 3 所示： 1 2 北京邮电大学硕士研究生论文 曰日 r e q u e s tp r o t tp 略e ( a n o n p m e s ) 401 u n a u t h o r i z e d i i 1 - a u t h e n t i c a t e ：b a s i cr e a l a = h r 醯l - r e q u e s tp r o t e c tp a g e ( - i t hc r e d e n t i a l s ) a u t h o r i z e ：b a s i cb a s e 6 4 ( u s e r n m m ：p a s s w o r d ) r p r o t e c t p a g et t n - k u p r e q u e s tp r o t e c tp a g e ( p r e - a u t h o r i z a t i o n ) - l a u t h o r i z e ：b a s i cb a s e 6 4 ( u s e r n a a e ：p a s s w o r d ) 一protect p a g eu a r k u p 图2 - 3 基本认证过程 ( 1 ) 客户端向服务器请求数据，请求的内容可能是一个网页或者是一个其它 的m i m e 类型，此时，假设客户端尚未被验证，则客户端提供如下请求至服务 器： 这段信息表明，客户端向主机5 9 6 4 1 5 8 2 5 0 请求其位于根目录下的 i n d e x h t m l 网页，使用h t r p l 0 协议。 ( 2 ) 服务器向客户端发送验证请求代码4 0 1 。 ( 3 ) 当符合哪! 0 或1 1 规范的客户端收到4 0 1 返回值时，将自动弹出一 个登录窗口，要求用户输入用户名和密码。 ( 4 ) 用户输入用户名和密码后，将用户名及密码以b a s e 6 4 加密方式加密， 并将密文放入前一条请求信息中，则客户端发送的第一条请求信息则变成如下 b a s e 6 4 ( u s e l t l a m e p a s s w o r d ) 表示加密后的用户名及密码。 ( 5 ) 服务器收到上述请求信息后，将a u t h o r i z a t i o n 字段后的用户信息取出、 解密，将解密后的用户名及密码与用户数据库进行比较验证，如果用户名及密 码正确，服务器则根据请求，将所请求资源发送给客户端。如果用户名及密码 不正确，返回第2 步重新向客户端发送用户验证请求。在以后的整个通信会话 北京邮电大学硕士研究生论文 中，客户端均会在请求包中附加入加密后的用户信息。 h t t p 基本认证的目标是提供简单的用户验证功能，其认证过程简单明了， 适合于对安全性要求不高的系统或设备中。 2 5 2 摘要认证方式 由于在使用基本h r r p 认证时，口令是以u u 编码的格式通过网络发送出 去的，这些口令是没有加密的，所以很不安全。针对基本h t t p 认证的弱点， h t t p 1 1 提出了改进的用户认证方式，称为摘要认证方式。与基本认证方式类 似，摘要认证也是收发双方都知道一个密码，但是密码的传输不是明文传输， 而是加密后传输。 i c l i m ts o l l o g i r e q u e s tp r o t e c tp a g e ( a n o n y m o u s ) l 一 4 0 lu n a u t h o r i z e d m - a u t h e n t i c a t e ：d i g e s tr e a l m = w a f a u t h e n t i c a t i o n ， n o n c e = t w u p s p b b a a = 7 d 2 a d i b 8 f i f d 2 c 9 5 9 7 7 a 4 c d g b f b 6 3 c 6 9 0 f 3 e 4 d f 7 。 a l g o r i t l m = m l 强, q o p ，a u t h r e q u e s tp r o t e c tp a g e 臼i t hc r e d e n t i a l s ) a u t h o r i z a t i o n ：d i g e s tu s e r n u e = a 也i n ，r e a l m = w a f a u t h e n t i c a t i 丽。 q o p = a u t h ，a l g o r i t h m = 岫5 ，u r i = a d m i n ， n o n c e = t v u p s p b b a a - 7 d 2 a d l b s f l f d 2 c 9 5 9 7 7 a 4 c d 9 b f b 6 3 c 6 9 0 f 3 e 4 d f 7 , n c = 0 0 0 0 0 0 0 1 ，c n o n c e = 0 7 e e b 9 9 c l o f t 0 6 a e c 7 1 8 d e 4 3 0 3 3 8 7 f 2 b , r e s p o n s e = 8 a d 3 b a e 2 9 f 2 1 b 8 7 0 d 3 c 3 a d 3 2 7 6 4 9 0 3 4 f protectp a g en a r k u v r e q u e s tp r o t e c tp a g e ( p r e - a u t h o r i z a t i o n ) - l a u t h o r i z a t i o n ：d i g e s tu s e r n u e = a d m i n ，r e a l m = w a f a u t h e n t i c a t i o n ， q o p = a u t h 。a l g o r i t h f 岫5 。u r i = a d n i n ， n o n c e = ，s x r r t c p b b a a = a 7 d e 7 e 5 8 9 c 3 6 f 7 5 4 a f 0 4 6 5 6 b 4 7 9 1 2 e 6 f f c b e b 6 e f a ， n c = 0 0 0 0 0 0 0 2 。c n o f l c e = 1 4 5 4 7 7 6 d 7 0 4 8 7 e a c f f a l 9 9 7 c 4 a 6 a 9 8 2 d ， r e s p o n s e = 8 8 8 d 2 2 d 3 e l c 0 8 6 8 0 b 2 6 c c c o a 9 d 3 8 e o c b p r o t e c tp a g eh r 娜 j 一 图2 4 摘要认证过程 在摘要认证过程中，网络发送的是一些基于用户输入口令和其它基本相关 请求信息而生成的数值。这些数值采用m d 5 加密算法进行组合，最终产生的结 果称为“摘要 ，并通过网络发送出去，然后再将它与服务器的其它消息进行组 合，并同服务器储存的摘要进行比较。服务器则根据摘要是否匹配来确定允许 或拒绝用户访问。认证过程如图2 - 4 所示。 ( 1 ) 客户端向服务器请求数据。 1 4 北京邮电大学硕士研究生论文 ( 2 ) 在客户发送请求后，服务器发送一个4 0 1 ( 未授权) 消息，包含一个质询。 消息里面有一个唯一的字符串：n o n c e 是服务器产生的一个包含时间戳信息的 随机数串。还有指定加密算法m d 5 。r e a l m ：让客户知道使用哪个用户名和密 码的字符串，不同的领域可能密码不一样。至少告诉用户是什么主机做认证， 他可能会提示用哪个用户名登录，类似一个e m a i l 。 ( 3 ) 客户端根据收到的n o n c e 、r e a l m 及自己的用户名和共享密码通过一个 单向哈希函数f 计算r e s p o n s e 值，r e s p o n s e = f ( n o n c e ，u s e m a m e ，r e a l m ，p a s s w o r d ) 。 通常f 被用来产生一个摘要认证信息，多数情况下用的是m d 5 算法。然后客 户端将r e s p o n s e 值发送给服务器。客户端提交的认证信息中，有一个n c 值，表 示临时值n o n c e 已被使用的次数。 ( 4 ) 通过用户名服务器在数据库中提取出密码，然后检验n o n c e 是否正确。 如果正确，服务器计算f ( n o n c e , u s e m a m e ，r e a l m ，p a s s w o r d ) ，然后将结果与收到的 响应比较，如果匹配，服务器就认为客户端是一个合法的用户。 为了防止重放攻击，采用摘要访问认证。在客户发送请求后，收到一个 4 0 1 ( 未授权) 消息，包含一个质询。消息里面有一个唯一的字符串：n o n c e ，每 次请求都不一样。客户将用户名密码和4 0 1 消息返回的质询一起加密后传给服 务器。这样即使有窃听，他也无法通过每次认证，不能重放攻击。h 1 曙并不 是一个安全的协议，其内容都是明文传输。因此，不要指望h t