会员中心
用户名:
密 码:
 
  忘记密码
通信管理
基于水印技术和wap网关融合的wap网站安全管理研究
文章来源:本站原创  发布时间:2014-10-31  浏览次数:699
作者:王峰1曹宇2王淑艳3
(中国移动辽宁公司1,沈阳1,中国,110000)
摘  要:随着移动互联网的蓬勃发展,手机wap网站的访问量越来越大,随之而来的网站安全问题日益凸显,不断地恶意访问、篡改网站内容是每个安全管理员头痛的问题。本文通过构建基于数字水印和wap网关融合安全管理模型,实现了对wap网站的融合安全管理方法。通过恶意访问行为在wap服务器上的记录与网关访问的用户访问记录,实现网关恶意用户行为自学习方式,进一步阻断二次恶意进攻的发生,弥补了安全管控上的缺失,加强了wap网站的安全管理。此外,融合安全管理控制模型,管理人员可根据wap网关及服务器抓取日志所得结果,进一步完善安全管理控制的内容,提高对恶意用户行为的控制。
关键词:移动互联网;WAP;数字水印;安全管理   
1 引言
      WAP(Wireless Application Protocol) 为无线应用协议,是一项全球性的网络通信协议。WAP使移动Internet 有了一个通行的标准,其目标是将Internet的丰富信息及先进的业务引入到移动电话等无线终端之中。 而wap营业厅作为电子渠道建设的重要方面,使得用户通过手机终端随时随地办理移动业务更加的便利,而在wap营业厅上承载的关键业务也越来越多了。随着用户的增多,wap营业厅的安全问题也成为现如今通信运营行业所关注的热点问题。
      目前在抵御恶意攻击时,可以通过在WAP网关中设置IP控制内容对该用户请求判断该用户的IP是否为允许来阻断某些恶意IP的进攻。
2 模型构建
2.1 数字水印技术原理
      数字水印技术是将一些标识信息(即数字水印)直接嵌入数字载体当中或是间接表示,且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者是否被篡改的目的。
      I代表需要保护的内容,S则代表了数字水印中的信息,I’是加载数字水印后的内容,£是编码函数,对£有如下关系成立
      £(I,S)=I’
      解码函数D从内容J中提取出数字水印或者是数字水印证据S’,内容J可以是一个有数字水印或没有数字水印的内容,也可能是遭到破坏的有数字水印的内容。如果解码方法中需要参考未加数字        水印的原内容I,则有下式成立
      D(J,I)= P(T)
      其中,P表明内容J中有数字水印T存在,当P(T)= T时,解码中可以简化为仅返回提取出的数字水印T。如果解码过程中不需要I,则解码过程可表达为D(J)=P(T)。当P(T)=T时,提取出的数字水印T同所有者的数字水印S通过一比较函数C相比较。比较函数输出一二进制的判决结果以表明输入两者间匹配与否
      C=(T,S)=1,c>α
      C=(T,S)=0,其他
      这里,C是数字水印T和S之间的相关。因此,不失一般性,一个数字水印方案可表示为一个三元组(£,D,C),其中对任何图像,和任何可允许的数字水印S都有D(£(I,S))=S成立。
2.2 wap网关原理
      Wap网关:用来连接无线网络和因特网,能够实现无线应用协议(WAP)堆栈的转换、内容格式转换(如无线置标语言(WML)到超文本置标语言(HTML))等功能的网关。
      Wap网关控制:网关能透明的联机扫描,保存诸如源IP和MAC地址等信息。限制攻击IP和MAC的访问,对内部Web服务器进行保护。还能够进行内容管理,防止用户接收或发送带有某种类型附件的邮件、容量过大的邮件或带有过多、过大附件的邮件。但无法对通过正常访问却采用黑客手段进行攻击的行为进行限制。
2.3数字水印技术与wap网关控制融合模式
      wap厅安全访问控制架构图及改进的部分如图1。可以看到主要架构分为三个部分,其中服务提供部分和用户访问部分是wap厅的传统组成部分,而新增部分是改进后需要重新构建的部分。
2.3.1用户访问部分
      用户访问部分主要包括wap网关设备、信号基站以及用户所使用的终端设备。
      用户通过移动终端设备来访问wap厅,在wap厅上做各种业务都是由终端对其所在的基站发送GPRS请求信号,再通过基站与wap网关建立wap协议通信。这一部分包括了移动终端与wap网关建立wap协议连接的主要过程。也是wap厅安全的第一层防线所在,其中包括了wap网关对终端用户的鉴权操作,对所使用协议的认证,以及对非安全用户进行拒绝访问的操作。
2.3.2服务提供部分
      主要包括wap集群服务器,作为网站服务提供、标记数字水印的任务。
      网站服务提供:处理HTTP请求,针对wap网关给出的请求予以回应,并通过很多协议来为不用的用户请求提供相应的商业逻辑服务。通过wap厅服务器承载用户所需要的业务,是wap集群服务器的重要也是最主要的责任。
      数字水印:数字水印技术是将一些标识信息(即数字水印)直接嵌入数字载体当中或是间接表示,且不影响原载体的使用价值,也不容易被探知和再次修改。但可以被生产方识别和辨认。通过这些隐藏在载体中的信息,可以达到确认内容创建者是否被篡改的目的。
      Wap厅的数字水印这里选用的是通过文件大小和默认给出的一组数值通过哈希映射之后得到唯一数据在进行MD5加密所得到的数字水印。算法不可逆,因此不易被破解。
2.3.1安全控制部分
      这一部分属于安全控制部分,主要完成网页被恶意篡改之后的同步恢复工作、wap厅开发人员对wap厅的更新工作,以及管理人员对wap厅的安全管理工作。
同步更新恢复:主要采用ftp协议对应用服务器内容进行同步,需要保证网络通信正常且双方主机互相信任。
      安全管理工作主要分为两个步骤,安全信息整理及名单控制。
      安全信息整理:对第一步wap网关控制所记录下的IP或MAC地址进行整理,对第二步应用服务器提交的访问请求和操作进行整理,关联这两步所进行的日志记录并进行整合,对恶意攻击者的行为、区域、IP及用户信息进行分级整理,形成分析日志提交管理人员。
      名单控制:管理人员通过日志分析判断用户行为是否为恶意攻击行为,并建立名单控制,对恶意进攻者进行黑白灰名单分级,名单会自动同步wap网关控制,形成更新一步的wap访问安全控制,增强wap网关的访问控制能力。
3 基于数字水印技术与wap网关控制融合模式安全管理模式及方法
3.1 水印防篡改模式实现
      这一模块是wap厅防篡改的核心模块,一下为它的实现步骤:
      步骤1)为加入的网页和配置内容添加数字水印的功能,上一部分所提到的数字水印技术主要通过这一模块来实现其功能,在确定保护的内容之上添加水印来确保内容不被恶意篡改。
      步骤2)流出内容进行数字水印的比对,通过对已经添加的数字水印部分建立dat文件进行记录,在每次内容流出时进行比对来发现是否被修改。
      步骤3)对比对失败的内容阻止其流出从而阻止用户访问错误内容。
      步骤4)通知守护进程进行同步恢复工作。与守护进程通信,并提交恢复请求。
3.2 数字水印与网关融合控制实现
      与同步服务器和防篡改模块的通信工作,防篡改模块仅负责阻断被篡改的内容流出,而修复与内容的守护工作则是由守护进程来完成的。在这样的过程当中,水印技术的防篡改行为会触发日志记录及上发,与网关进行交互,实现网关的自学习模式,以下为融合控制实现步骤
      步骤1)抽取wap网关的访问者信息。与wap网关建立连接并抽取wap网关上恶意访问者的IP、MAC、区域等相关信息。
      步骤2)抽取应用服务器与用户的交互信息。提取恶意篡改者在应用服务器上的操作行为。
      步骤3)整理日志,进行上传。对前两步所抽取的日志进行整合与整理,并与同步服务器的守护进程建立连接,上传日志。
      步骤4)守护进程进行接收并与防篡改模块进行通信,完成防篡改的守护工作。守护进程也会不定时的对防篡改模块发送信息,来确定防篡改模块是否工作正常。
      通过自学习可以得到恶意访问者的行为及信息,实现wap网关对恶意访问行为的控制,步骤如下:
      步骤1)由wap网关对入侵行为进行第一次限制,并阻断恶意行为,阻止恶意数据的传输,守护wap应用服务器安全。
      步骤2)对于通过正常访问而是用黑客手段进攻的行为,来恶意篡改wap网站,由防篡改模块进行检测,并通过本系统对恶意篡改后的内容进行恢复操作。
      步骤3)唤醒守护进程从wap网关抽取相应恶意篡改者的信息资料,并同时抽取应用服务器的日志记录,并进行整理。
      步骤4)整理日志上发管理人员来进行相应的日志分析,形成恶意用户管理名单列表。
      步骤5)通过管理列表来对wap网关进行安全策略的更新操作和维护,防止入侵行为的再度发生。
      通过这一套机制,形成安全闭环流程,使得wap厅安全访问控制由自学习模式而不断的健壮。
3.3 结果分析
      本文对采用融合安全管理控制及非融合安全管理控制wap系统进行随机100次攻击测试,包括上传脚本攻击、内容修改及恶意访问行为测试,得到以下安全访问控制结果:
      可以对比看出,非融合控制不能够阻断恶意行为的再次发生,而采用融合安全控制的方法,因为存在守护进程与网关的通信及控制,在各个恶意进攻的行为上能够取得比较好的效果
4 总结
      本文通过构建基于数字水印和wap网关融合安全管理模型,实现了对wap网站的融合安全管理方法。通过应用数字水印技术实现了对恶意访问对网站造成的恶意篡改行为的发生,并通过与wap网关实现的守护进行,确保防篡改模式的正常运行,进一步通过恶意访问行为在wap服务器上的记录与网关访问的用户访问记录,实现网关恶意用户行为自学习方式,对比用户行为的发生,进一步的阻断二次恶意进攻的发生,弥补了安全管控上的缺失,加强了wap网站的安全管理。此外,融合安全管理控制模型,管理人员可根据wap网关及服务器抓取日志所得结果,进一步完善安全管理控制的内容,提高对恶意用户行为的控制。
参考文献
1.吴丽辉,王斌,张刚,一个个性化的Web信息采集模型[J],计算机工程,2008, 31(22),P86-88.
2.张春田,苏育挺.信息产品的版权保护技术— — 数字水印 J]电信科学,1998,14(12):15—17.
3.胡俊,刘振华,舒畅.单向数字水印学密码与信息.1998,(2):42—49
4.汤小文、蔡庆生,数据挖掘在电信业中的应用[J].计算机工程,2004,30(6):36-37
网站首页 关于我们免责声明联系我们
版权所有:辽宁省通信学会  备案号:辽ICP备11005629
联系电话:024-22517766  地址:沈阳市沈河区北站路72号


网站建设:恒昊互联网络