一种端到端保护的网页防篡改系统技术方案

本发明专利技术公开了一种端到端保护的网页防篡改系统，涉及网页保护装置技术领域。所述系统包括：服务器侧防篡改子系统，用于实现授权部署和运行监控，授权部署体现在网站编译打包后上载服务后部署在WEB中间件时对网站代码进行授权检查；浏览器终端侧网页防篡改子系统，用于为应对服务器侧防篡改监控程序被非法关停、卸载，从而导致网站失去防篡改检测能力，故而在设备侧浏览器端增加防篡改校验能力。所述系统具有端到端的安全防护级别以及基于数字证书签名的检测识别，不依赖服务器自身安全，能够阻断未知攻击等优点。够阻断未知攻击等优点。够阻断未知攻击等优点。

【技术实现步骤摘要】
一种端到端保护的网页防篡改系统


[0001]本专利技术涉及网页保护装置
，尤其涉及一种端到端保护的网页防篡改系统。

技术介绍

[0002]黑客一般通过应用的漏洞对网站发起入侵，以达到控制、破坏网站或某些其他目的，从而造成未知的可怕后果。
[0003]常见的一些页面攻击手段：
[0004](1)跨站点脚本攻击(XSS):指攻击者向网页中插入恶意代码，当该页面被浏览时，嵌入页面里的代码将会被执行，从而达到攻击者的目的。
[0005](2)脚本注入(也叫SQL注入)：它是通过把SQL语句嵌套在页面请求的查询字符串中，或是将其插入Web表单递交，诱使恶意的SQL被数据库服务器执行，也就是从正常的WWW端口访问，而且表面看起来与一般的Web页面访问没有什么区别。脚本注入产生的原因在于脚本系统与数据库的交互审核不严，通过脚本提交特定的数据库查询语句，达到获取数据库修改、查询、删除、更新权限的一个过程。
[0006](3)Web漏洞提权：入侵者利用网站的漏洞来获得用户更高级别的权限，例如将普通用户的访问权限提高到管理员级别的权限，入侵者就可以进行非法的操作。
[0007](4)Cookies欺骗：ookie记录着用户的各种数据信息，Cookie数据信息通常是被加密后再在网上传递。信息经过加密处理后，即使被入侵者所截获，也看不懂。然而，非法的攻击者在截获Cookie时，并不需要弄懂加密后字符串的含义，只需要把拦截的Cookie信息向服务器提交即可，这样就能够通过服务器的验证，从而达到冒充合法用户的身份的目的，用此身份登陆网站。这种技术被称为Cookie欺骗技术。
[0008](5)拒绝服务攻击(DDoS)：拒绝服务攻击故意攻击网络协议的缺陷或直接通过某种手段耗尽被攻击对象的资源，目的是让目标计算机或网络无法提供正常的服务或资源访问，使目标系统服务停止响应甚至崩溃，攻击者在此攻击中并不入侵目标服务器或目标网络设备，单纯利用网络缺陷或者暴力消耗即可达到目的。
[0009](6)Web口令暴力破解：入侵者对网站进行攻击时，首先都会想到破解网站管理者的用户名和密码，破解密码的方式主要有3种：手动口令破解，使用暴力方式破解，使用字典进行破解。
[0010]现有解决网络信息安全问题的主要途径是利用密码技术和网络访问控制技术，目前，市场上的网络安全产品与技术大致有以下几类：
[0011](1)防火墙：它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。
[0012](2)安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。
[0013](3)虚拟专用网(VPN)：虚拟专用网(VPN)是在公共数据网络上，通过采用数据加密
技术和访问控制技术，实现两个或多个可信内部网之间的互联。
[0014](4)Web/系统漏洞扫描器：网站管理员可以使用漏洞扫描器与系统漏洞扫描器对自身进行安全扫描，以发现潜在安全隐患，并及时修补，防止被黑客利用。
[0015](5)入侵检测系统(IDS)：入侵检测，作为传统保护机制(比如访问控制，身份识别等)的有效补充，形成了信息系统中不可或缺的反馈链。
[0016](6)入侵防护系统(IPS)：类似于IDS，在网络、操作系统、应用程序的内查找库中所已有的恶意代码特征，屏蔽有害代码。其目的在于及时的识别客的攻击程序或危险代码及其副本和变种，采取预防应对措施，在黑客攻击之前将其阻断，保护系统安全。—般是作为防火墙和反病毒软件的补充，配合使用，可以提高网站的安全系数。
[0017](7)电子签证机构
‑‑
CA和PKI产品：电子签证机构(CA)作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。如使用https协议访问网站，可保证网页资源数据传输过程的保密性。
[0018](8)数字水印技术：是指在数字化的数据内容中嵌入不明显的记号。被嵌入的记号通常是不可见或不可察的，但是通过一些计算操作可以被检测或者被提取。水印与源数据紧密结合并隐藏其中，成为原数据不可分离的一部分，并可以经历一些不破坏原数据使用价值或商用价值的操作而存活下来。

技术实现思路

[0019]本专利技术所要解决的技术问题是如何提供一种具有端到端的安全防护级别以及基于数字证书签名的检测识别，不依赖服务器自身安全，能够阻断未知攻击的网页防篡改系统。
[0020]为解决上述技术问题，本专利技术所采取的技术方案是：一种端到端保护的网页防篡改系统，其特征在于包括：
[0021]服务器侧防篡改子系统，用于实现授权部署和运行监控，授权部署体现在网站编译打包后上载服务后部署在WEB中间件时对网站代码进行授权检查，通常经过签名处理的网页文件都认为已授权；授权部署用于实现可基于文件驱动技术对指定目录扫描分析，通过对目录内文件按照类型提取签名值，检查证书和签名值有效性；通过则放行，未通过则直接锁定文件禁止访问并从备份文件及时恢复并告警；运行监控用于在网站运行时对网站文件的实时监控，同样基于文件驱动技术实现，对文件的写操作事件进行拦截，检查写入内容是否合法，签名值是否有效；
[0022]浏览器终端侧网页防篡改子系统，用于为应对服务器侧防篡改监控程序被非法关停、卸载，从而导致网站失去防篡改检测能力，故而在设备侧浏览器端增加防篡改校验能力；浏览器通过请求到的页面数据为静态文件，在服务器侧此类数据都嵌入过签名数据，因此浏览器端在请求数据后可以第一时间对数据进行主动检测校验，达到事后处理的目的，使整个网站防篡改形成安全闭环，提升整体安全。
[0023]采用上述技术方案所产生的有益效果在于：所述系统在服务器侧和浏览器终端侧两方面采取防篡改保护方案，具有端到端的安全防护级别以及基于数字证书签名的检测识别。不依赖服务器自身安全，阻断未知攻击，解决传统的保护方式在自身被攻破后导致安全性无法保证的弊端。
附图说明
[0024]下面结合附图和具体实施方式对本专利技术作进一步详细的说明。
[0025]图1是本专利技术实施例所述系统的原理框图；
[0026]图2是本专利技术实施例中所述PKI证书系统模块的原理框图；
[0027]图3是本专利技术实施例中代码签名处理系统模块的处理流程图；
[0028]图4是本专利技术实施例中代码签名处理系统模块的原理框图；
[0029]图5是本专利技术实施例中应用代码动态监控引擎模块的处理流程图；
[0030]图6是本专利技术实施例中应用代码解析引擎的处理流程图。
具体实施方式
[0031]下面结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术的一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种端到端保护的网页防篡改系统，其特征在于包括：服务器侧防篡改子系统，用于实现授权部署和运行监控，授权部署体现在网站编译打包后上载服务后部署在WEB中间件时对网站代码进行授权检查，通常经过签名处理的网页文件都认为已授权；授权部署用于实现可基于文件驱动技术对指定目录扫描分析，通过对目录内文件按照类型提取签名值，检查证书和签名值有效性；通过则放行，未通过则直接锁定文件禁止访问并从备份文件及时恢复并告警；运行监控用于在网站运行时对网站文件的实时监控，同样基于文件驱动技术实现，对文件的写操作事件进行拦截，检查写入内容是否合法，签名值是否有效；浏览器终端侧网页防篡改子系统，用于为应对服务器侧防篡改监控程序被非法关停、卸载，从而导致网站失去防篡改检测能力，故而在设备侧浏览器端增加防篡改校验能力；浏览器通过请求到的页面数据为静态文件，在服务器侧此类数据都嵌入过签名数据，因此浏览器端在请求数据后可以第一时间对数据进行主动检测校验，达到事后处理的目的，使整个网站防篡改形成安全闭环，提升整体安全。2.如权利要求1所述的端到端保护的网页防篡改系统，其特征在于所述服务器侧防篡改子系统包括：PKI证书系统模块，用于提供证书的全生命周期管理功能，可签发符合国密标准的SM2算法证书，并用于支撑服务器侧证书签发与浏览器终端侧对签名证书的验证；代码签名处理系统模块，用于在网页文件打包发布后部署前，对页面文件进行签名保护处理，使经过处理的页面文件在运行阶段被攻击篡改后能在第一时间通过签名检查发现；应用代码动态监控引擎模块，用于作为部署在服务器侧的应用资源动态监控服务，实时监测服务器侧网站应用资源，主动发现篡改行为并及时报警，支持多种文件格式监控和多级目录监控，当篡改发生后能够标记被篡改的内容，锁定被篡改文件或自动进行恢复，同时生成日志记录存档；Web服务器，用于负责验证网站资源的数字签名，并对网站资源进行防篡改保护。3.如权利要求2所述的端到端保护的网页防篡改系统，其特征在于所述PKI证书系统模块包括：根证书系统、CA子系统、多个RA子系统以及OCSP子系统；根证书系统，用于作为整个PKI/CA系统的信任源点，负责根密钥的初始化以及签发根证书，采用离线运行方式，与PKI/CA系统的其它系统隔离；CA子系统，连接多个RA子系统，负责接收来自RA子系统的证书申请请求，完成证书签发、下载、发布和撤销服务；RA子系统，数字签名证书的业务受理系统，是证书服务的用户注册审核机构，主要完成SM2签...

【专利技术属性】
技术研发人员：刘鹏，黄孔，付力，
申请(专利权)人：北京仁信证科技有限公司，
类型：发明
国别省市：