二、Web威胁防护技术

1、WEB访问控制技术

    Web服务器一般提供了如下三种类型的访问控制方法。

    （1）通过IP地址、子网或域名来进行控制

    只有当浏览器的连接请求是从某个IP地址、IP子网或域来的时候，才允许用户访问被保护的某个文档，甚至整个目录。从其他的未被允许的IP地址、IP子网域发来的请求将被拒绝。

    （2）通过用户名/口令来进行访问控制

    用户访问认证机制通常使用用户名/口令验证方式。只有当远程用户知道用户名和对应的口令的时候，才能被访问。

    （3）通过公钥加密体系PKI—智能认证卡来进行访问控制

在操作系统中，可以将智能卡认证和公钥技术结合一起，以提供更强的网络认证手段或作为使用密码的一种替代方式。它们使得身份标识信息（例如证书）可以被携带，并可以防止被篡改，以及对私钥进行隔离保护。

2、单点登录（SSO,Single Sign-On）

    用户每天需要登录到许多不同的信息系统，如网络、邮件、数据库、各种应用服务器等。每个系统都要求用户遵循一定的安全策略，比如要求输入用户ID和口令。随着用户需要登录系统的增多，出错的可能性就会增加，受到非法截获和破坏的可能性也会增大，安全性就会相应降低。会带来以下的问题：

    ①如果每个系统都开发各自的身份认证系统将造成资源的浪费，消耗开发成本，并延缓开发进度；

    ②多个身份认证系统会增加整个系统的管理工作成本；

    ③用户需要记忆多个帐户和口令，使用极为不便，同时由于用户口令遗忘而导致的支持费用不断上涨；

    ④无法实现统一认证和授权；

    ⑤无法统一分析用户的应用行为。

    单点登录系统的目的就是为这样的应用系统提供集中统一的身份认证，实现“一点登录、多点漫游”的目标。

    单点登录系统采用基于数字证书的加密和数字签名技术，基于统一的策略的用户身份认证和授权控制功能，对用户实行集中统一的管理和身份认证，以区别不同的用户和信息访问者，并作为各应用系统的统一登录入口，同时为通过身份认证的合法用户签发针对各个应用系统的登录票据，从而实现“一点登录、多点漫游”。

    单点登录需求

    从用户的视角看，一个理想的单点登录系统应该具备以下两个特点：

    ①在复杂的企业应用环境中，也不会影响到诸如业务过程，响应效率，网络吞吐量等事情，并将互操作性方面的问题减至最少，任何事情都在顺利工作。

    ②当一个单点系统被加入使用，迁移应该容易。所有的用户能够立即学会使用这个工具。

    从管理员的角度看，一个理想的系统也应该具有以下两个特点：

    ①计算和网络环境在各个方面必须能够被管理，而管理应该不引起额外的工作或安全漏洞。管理过程应该适合组织的结构和政策。这意味着权利和控制需要有一定的层次结构。

    ②认证和用法的方法应能在分布式的组织环境中得到全部的贯彻而不用付出额外的努力。所有的应用程序，无论新旧，可以不需要或只需很少的改动即可适应新的认证方式。

    几种常用的单点登录模型

    于网关的SSO模型

该模型如下图：

 ② 基于验证代理的SSO模型

该模型如下图：

    在基于代理人的解决方案中，有一个自动地为不同的应用程序认证用户身份的代理程序。这个代理程序需要设计有不同的功能。比如，它可以使用口令表或加密密钥来自动地将认证的负担从用户移开。代理人也被放在服务器上面，在服务器的认证系统和客户端认证方法之间充当一个“翻译”。

② 基于Kerberos的SSO模型

   此模型的技术原理是：采用对称密钥加密算法对信息进行加密，如果用某个用户的密钥加密某一信息，那只有该用户才能解密。因此，通过解密也可以证明该用户的合法性（即为密钥的拥有者）。Kerberos协议中有三个通信参与方，需要认证身份的通信双方和一个双方都信任的第三方KDC（密钥分发中心），将发起认证服务的一方称为客户方，客户方需要访问的对象称为服务器方。在Kerbesos中客户方是通过项服务其方递交自己的“票据”（Ticket）来证明自己的身份的，该票据是由KDC专门为客户方和服务器方在某一阶段内通信而生成的。Kerberos认证服务器KDC维护着一个数据库，包括所有用户及应用服务器的密钥。用户的密钥是基于口令的，只存在于KDC上，用户首次注册时，系统根据用户输入的口令经过散列Hash可以生成密钥，应用服务器向KD注册时也会生成密钥，该密钥不仅存在于KDC上，还保存在该服务器所贮的主机上，这些密钥往往是机器随机生成。用户与应用服务器之间进行通信时，二者之间还共享一个临时会话密钥，可根据需要加密数据。该密钥在KDC认证用户时产生并分发给通信双方。会话密钥仅在当前会话期间有效，过期需要重新申请。

2、网页防篡改技术

    目前市场上常见的网页防篡改技术有以下三种：

    1）时间轮询技术

    时间轮询技术是利用一个网页检测程序，以轮询方式读出要监控的网页，与真实网页相比较，来判断网页内容的完整性，对于被篡改的网页进行报警和恢复。

    此类应用做过去网页访问量较少，具体网页应用较少的情况下适用，目前网站页面通常少则上百页，检测轮巡时间更长，且占用系统资源较大，该技术逐渐被淘汰。

    2）核心内嵌技术+事件触发技术

    所谓事件触发技术就是利用操作系统的文件系统或驱动程序接口，在网页文件的被修改时进行合法性检查，对于非法操作进行报警和恢复。

    所谓核心内嵌即密码水印技术。该技术将篡改检测模块内嵌在Web服务器软件里，它在每一个网页流出时都进行完整性检查，对于篡改网页进行实时访问阻断，并予报警和恢复。

    3）文件过滤驱动技术+事件触发技术

其原理是：将篡改监测的核心程序通过微软文件底层驱动技术应用到Web服务器中，通过事件触发方式进行自动检测，对文件夹的所有文件内容，对照其底层文件属性，经过内置散列快速算法，实时进行监测，若发现属性变更，通过非协议方式，纯文件安全拷贝方式将备份路径文件夹内容拷贝到监测文件夹相应文件位置，通过底层文件驱动技术，整个文件复制过程毫秒级，使得公众无法看到被篡改的页面，其运行性能和检测实时性都达到最高的水准。

3、WEB内容安全

    内容安全管理技术能够监控和管理人们对互联网资源的访问以及相互之间的电子邮件通信，涉及范围广泛。内容安全管理技术可以细分为电子邮件过滤、网页过滤、反间谍软件三大技术。

法或者过期，则应用服务器会拒绝提供服务。