基于XML的网页安全防护系统设计

计算机时代２０１０年第４期　・　ｌ３　・　

基于Ｘ　Ｍ　Ｌ的网页安全防护系统设计　

李必云’，石俊峰　

（１．吉首大学数学与计算机科学学院，湖南吉首４１６０００；２．花垣县民族中学）　

摘要：根据对Ｗｅｂ应用层网页攻击的分析，针对网页数据必须加以验证的特点，进行Ｗｅｂ应用层网页安全防护系统的　

具体设计，包括总体框架、模块设计、系统工作流程等。设计中，以ＸＭＬ　Ｓｃｈｅｍａ作为网页安全策略描述语言，利用ＭＤ５　

算法计算信息验证码来保护数据的完整性。　

关键词：安全防护；信息验证；Ｗｅｂ攻击；系统　

Ｄｅｓｉｇｎ　ｏｆ　ＸＭＬ－ｂａｓｅｄ　Ｗｅｂ　Ｐａｇｅ　Ｓｅｃｕｒｉｔｙ　Ｐｒｏｔｅｃｔｉｏｎ　Ｓｙｓｔｅｍ　

ＬＩ　Ｂｉ—ｙｕｎ　，ＳＨＩ　Ｊｕｎ—ｆｅｎ　

（Ｊ．Ｃｏｌｌｅｇｅ　ｏｆ　Ｍａｔｈｅｍａｔｉｃｓ　ａｎｄ　Ｃｏｍｐｕｔｅｒ　Ｓｃｉｅｎｃｅ，Ｊｉｓｈｏｕ　Ｕｎｉｖｅｒｓｉｔｙ，Ｊｉｓｈｏｕ，Ｈｕｎａｎ　４１６０００，Ｃｈｉｎａ；２．Ｈｕａｙｕａｎ　Ｃｏｕｎｔｙ　Ｎａｔｉｏｎａｌ　Ｍｉｄｄｌｅ　Ｓｃｈｏｏ１）　

Ａｂｓｔｒａｃｔ：Ａｃｃｏｒｄｉｎｇ　ｔｏ　ｔｈｅ　ａｎａｌｙｓｉｓ　ｏｎ　Ｗｅｂ　ｐａｇｅ　ａｐｐｌｉｃａｔｉｏｎ—ｌａｙｅｒ　ａｔｔａｃｋｓ，ｆｏｒ　ｔｈｅ　ｆｅａｔｕｒｅ　ｏｆ　ｗｅｂｐａｇｅ　ｄａｔａ　ｔｏ　ｍｕｓｔ　ｂｅ　ｖｅｒｉｉｅｄ，ｆ　

ｔｈｅ　Ｗｅｂ　ｐａｇｅ　ａｐｐｌｉｃａｔｉｏｎ－ｌａｙｅｒ　ｓｅｃｕｒｉｔｙ　ｐｒｏｔｅｃｔｉｏｎ　ｓｙｓｔｅｍ　ｉｓ　ｄｅｓｉｇｎｅｄ　ｉｎ　ｄｅｔａｉｌ，ｉｎｃｌｕｄｉｎｇ　ｔｈｅ　ｏｖｅｒａｌｌ　ｆｒａｍｅｗｏｒｋ，ｍｏｄｕｌｅ　ｄｅｓｉｎ　ａｎｄ　ｇ

ｓｙｓｔｅｍ　ｗｏｒｋｆｌｏｗ．Ｉｎ　ｔｈｅ　ｄｅｓｉｎ　ｏｆ　ｔｈｅ　ｓｙｓｔｅｍ，ＸＭＬ　Ｓｃｈｅｍａ　ｉｇｓ　ｕｓｅｄ　ａｓ　ｔｈｅ　ｄｅｓｃｒｉｐｔｉｏｎ　ｌａｎｇｕａｇｅ　ｏｆ　ｗｅｂｐａｇｅ　ｓｅｃｕｒｉｙ　ｐｏｌｔｉｃｙ，ｔｈｅ　

ＭＤ５　ａｌｇｏｒｉｈｍ　ｉｔｓ　ｕｓｅｄ　ｔｏ　ｃａｌｃｕｌａｔｅ　ｍｅｓｓａｇｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ　ｃｏｄｅ　ｆｏｒ　ｐｒｏｔｅｃｔｉｎｇ　ｄａｔａ　ｉｎｔｅｇｒｉｙ．ｔ　

Ｋｅｙ　ｗｏｒｄｓ：ｓｅｃｕｒｉｙ　ｐｒｏｔｔｅｃｔｉｏｎ；ｍｅｓｓａｇｅ　ａｕｔｈｅｎｔｉｃａｔｉｏｎ；Ｗｅｂ　ａｔｔａｃｋ；ｓｙｓｔｅｍ　

０引言　

随着互联网技术的迅猛发展，网站已成为很多单位不可或　

缺的应用平台。与此同时，网站的安全风险也越来越高，黑客　

攻击手段从网络层向应用层转变。目前，国内外很多服务器上　

的Ｗｅｂ应用程序，缺乏数据验证机制，使得恶意攻击者能趁虚　

有可扩展性和协同合作能力的计算机语言。ＸＭＬ的设计人员　

在创造这种语言时，制定了相当严格的结构和语法规则。它有　

两个重要的规则，第一个规则是提供可扩充的标记定义及严格　

的语法格式（Ｗｅｌｌ—Ｆｏｒｍｅｄ）；另一个规则是ＸＭＬ文件是可验证　

的（Ｖａｌｉｄ）。ＸＭＬ提供文件验证机制来Ｊｂ￣ＸＭＬ文件是否符合　

而入，窃取或篡改数据资料，轻者造成数据丢失，重者使整个网　

由使用者自行定义的文件结构与标记规则。ＸＭＬ文件的验证　

Ｄｏｃｕｍｅｎｔ　Ｔｙｐｅ　Ｄｅｆｉｎｉｔｉｏｎ）与　

站瘫痪。因此，构建网页安全防护机制，防止黑客攻击，保证数　

机制主要有二种，分别为ＤＴＤ（

据安全具有重要的现实意义。　

ＸＭＬ　Ｓｃｈｅｍａ…。　

１系统设计的基本出发点　

由于ＸＭＬ　Ｓｃｈｅｍａ功能较多，本身也是一种ＸＭＬ语言，目　

前已渐取代ＤＴＤ成为ＸＭＬ文件最常使用的验证机制。ＸＭＬ　

系统设计的基本出发点是对用户返回的网页数据加以验证　

Ｓｃｈｅｍａ除了可让使用者定义一份ＸＭＬ文件的结构外，更可对　

码保护；验证考虑两种因素，数据合法性及网页数据完整性。数　

文件中的组件与属性设定数据类型，包括超过４４种的内建数据　

据合法性采用网页安全策略描述语言技术来保证，保护数据完　

类型，也可让使用者自行定义复杂的数据类型。使用者可以限　

整性则是利用现在电子交易中常使用的信息验证码来实现。　

制数据的范围、长度、甚至利用正则表达式（Ｒｅｇｕｌａｒ　Ｅｘｐｒｅｓｓｉｏｎ）　

１．１以ＸＭＬ　Ｓｃｈｅｍａ作为网页安全策略描述语言　

ＸＭＬ作为一种专门在互联网上传递信息的语言，它是具　

来限制数据的输入，也就是说，可以利用ＸＭＬ　Ｓｃｈｅｍａ强大的　

数据类型设定功能，完整地规范ＸＭＬ文件内容可以接受的数　

户服务支持即可完成各种应用的登录，用户使用非常简单，有　

步认证技术存在着密码可能长时间被人偷窥的问题，有较大的　

效地体现了安全性和可用性的平衡。动态口令认证可以非常　

安全隐患。当前，市场上使用最多的是时间同步认证技术。　

方便地嵌入到已有应用系统，易与现有的应用系统连接，对正　

参考文献：　

在运行的应用系统仅需做极小改动。采用专用认证服务器进　

【１　Ｊ龙淑萍．密码工程实践指南【Ｊ】．中国科技信息，２００６．２：３４　

行认证，可保障现有应用系统的完整性，保护系统资源。专用　

【２】动态密码．ｈｔｔｐ：／／ｂａｉｋｅ．ｂａｉｄｕ．ｃｏｍ／ｖｉｅｗ／９１４０４４．ｈｉｍ　

认证服务器通常具有非常强的可扩展性与升级能力，能够提供　

【３】中国银行电子银行网上银行一网银业务规则．ｈｔｔｐ：／／ｗｗｗ．ｂｏｃ．ｃｎ　

足够的扩展空间以适应不断发展的应用需求。　

【４】密宝信息一密宝介绍．ｈｔｔｐ：／／ｅｋｅｙ．ｓｄｏ．ｃｏｍ／ｅｋｅｙ／ＥｋｅｙＤｅｓｃ．ａｓｐ　

５】陈卉，徐德发．双因素身份认证技术在上海超级计算中心的应用［Ｊ】．　

基于时间同步认证技术的口令只在一分钟内有效，较好地　

【

体现了技术的安全性，规避了大部分安全隐患。而基于事件同　

高性能计算发展与应用，２００６．３．　茧　

・　

ｌ４　・　Ｃｏｍｐｕｔｅｒ　Ｅｒａ　Ｎｏ．４　２０１０　

据，然后经由ＸＭＬ解析器便可判断一份ＸＭＬ文件是否合乎　

或需要更换时，便可以马上变换成另—个更安全的杂凑函数。　

在众多的杂凑函数中，我们选用了ＭＤ５信息摘要算法　

Ｉ￣Ｍｅｓｓａｇｅ　Ｄｉｇｅｓｔ　ａｌｇｏｒｉｔｈｍ）。ＭＤ５是一个单向不可逆的杂凑　

函数，经过证明发现：攻击者如果要破解ＭＤ５，必须选定一组信　

ＸＭＬ　Ｓｃｈｅｍａ规定　。此特性非常类似网页安全策略描述语　

言，主要的差别在于网页安全策略描述语言验证的对象是网页　

输入，而ＸＭＬ　Ｓｃｈｅｍａ验证的对象是ＸＭＬ文件。为使ＸＭＬ　

Ｓｃｈｅｍａ也可用来验证网页的输入，首先设计了一个自动将网　息，在特定的电脑中离线计算出信息的碰撞情况，同时需已知　

页输入转换成ＸＭＬ文件的机制。为转换后的ＸＭＬ文件所订　

选定的杂凑函数与预设的起始值，才可以计算出对应的信息摘　

制的ＸＭＬ　Ｓｃｈｅｍａ文件，即是原网页输入的安全策略描述语　要。但是，由于ＨＭＡＣ内嵌的杂凑函数是个黑盒子，所以攻击　

言的文件。　

者无从得知采用何种算法计算摘要值。而且ＨＭＡＣ使用了一　

１．２信息验证码　

个密钥的概念，所以攻击者无法猜出或使用同一把密钥来产生　

ＨＴｒＰ本身是没有状态的，当其与其他多状态的Ｗｅｂ应用　

所需要的信息摘要。也就是说，若输入信息摘要算法的数据非　

程序交互时，因为它并不支持用户交互的连续性，所以在Ｈ　ｒＰ　

中并没有连线的概念，因此对网站系统，使用者每次进入系统　

时都是陌生人。　

如今用得最广泛的机制是使用一种叫做Ｃｏｏｋｉｅｓ的数据，　

它可以作为Ｈ１广ｒＰ请求、响应信息的一部分进行交换，使得客户　

端和应用程序认为它们实际上是通过虚电路连接在一起的。　

Ｃｏｏｋｉｅｓ被看作服务器发给客户端的权限标志，只要客户在每　

个请求中持有这一权限标志，就允许它访问ｗｅｂ站点（它们可　

以被暂时保存在存储器中，也可以永久地写在磁盘上），因为　

Ｃｏｏｋｉｅｓ包含有关使用者信息的文字字符串，当用户访问使用　

Ｃｏｏｋｉｅｓ的网站时，Ｃｏｏｋｉｅｓ便会通过浏览器写入或获取用户的　

信息　。　

对网站的管理者而言，不可少的工作是：必须要对状态信　

息作明确的管理。为了要减轻服务器端集中存放状态信息的　

负担，Ｃｏｏｋｉｅｓ、ＵＲＬ的参数与隐藏域就成了存放状态信息的最　

好去处。尽管它们都未经加密地用明文传送，十分地不安全，　

但还是普遍被许多Ｗｅｂ应用程序开发者所使用。　

数据可能会在传送的途中遭到更改，也就是说服务器端　

发送的数据与用户端收到数据内容可能不一致，所以要重视　

数据的完整性。为了防止恶意的攻击者由隐藏域或是其他可　

以更动的漏洞动手脚，可以利用信息验证码来保护数据的完　

整性。　

所谓信息验证码是对不定长的明文进行散列运算后所生　

成的一个定长的用于验证的字串（也叫摘要），其生成过程如图　

１所示。明文发生改变后，信息验证码也会有很大变化。散列　

运算函数（ＭＡＣ）是一个单向函数，使用该函数很容易计算信息　

验证码，但从信息验证码计算出明文是不可能的。信息验证码　

的作用是验证明文是否被篡改。　

图ｌ信息验证码算法　

信息验证码的作用类似于加密，区别是ＭＡＣ函数（散列运　

算函数）是不可逆的，因为它不需要解密，这个性质使得鉴别函　

数比加密函数更不容易被破译。由于收发双方使用相同的密　

钥，因此ＭＡＣ不能提供数字签名　。　

本文采用的ＭＡＣ算法是一个国际互联网上的标准信息认　

证算法ＨＭＡＣ。因为ＨＭＡＣ可以快速更换内嵌的杂凑函数　

‘ｆＨａｓｈ　ｆｕｎｃｔｉｏｎ＇），同时还可以使用密钥来增加安全性。也就是说　

ＨＭＡＣ将杂凑函数视为一个黑盒子，当原来的杂凑函数不安全　

同一个，则不可能产生相同的信息摘要－ｓ　。　

当要传送一个信息给另一个人时，传送前在信息末端附上　

一

个信息验证码，当另一端收到信息后，利用同一个密钥与　

ＭＡＣ算法计算出ＭＡＣ值，在正常情况下二者比较的结果应该　

是相同的，当对比发现不同时，则表示信息在传送的路上已被　

更动过了。例如，选定密钥（Ｋ）为“ｚｈ”，传送前输入ＭＤ５算法的　

信息为…ａ’，当在传送途中如果信息被更改为“ａｂｃ”，则在接收端　

产生的信息摘要便与原来所产生的信息摘要不同。　

ＭＤ５（”ａ”）＝０ｃｃｌ　７５ｂ９ｃ０ｆｌ　ｂ６ａ８３１　ｃ３９９ｅ２６９７７２６６１　

ＭＤ５（“ａｂｃ＇’）＝９００１　５０９８３ｃｄ２４ｆｂ０ｄ６９６３ｆ７ｄ２８ｅ１　７ｆ７２　

２设计目标与设计原则　

为了设计一个Ｗｅｂ应用层的网页安全防护系统，系统设计　

目标及设计中应遵循的原则包括：　

（１）简单友好的用户界面；　

（２）用户的透明性，即对用户来说，防护系统的复杂度是不　

可见的；　

（３）在网页程序编写者没有重大错误的状况下，能防御　

ｗｅｂ应用层的攻击，弥补网页程序的缺陷；　

（４）减轻网络应用程序开发者的负担；　

（５）具有不需要与网站应用程序结合、支持多语言开发的　

网络应用程序，也适用于原有的网络应用程序；　

（６）在网站管理者不想、不能、不会更改网络程序设计的情　

况之下，为网站管理人员提供一个方便、完整且系统化的安全　

防护平台。　

３系统总体框架设计　

３．１系统总体框架　

我们选用ＸＭＬ　Ｓｃｈｅｍａ作为网页安全策略描述语言；考虑　

到数据的完整性，选择ＭＡＣ算法。防护的整体框架如图２所　

示，其中实线表示网上工作，虚线表示离线工作。系统总体框　

架包括四个模块：网页筛选过滤模块、ＸＭＬ解析器模块，ＭＡＣ　

处理模块和ＸＭＬ　Ｓｃｈｅｍａ产生器模块。　

３．２系统主要流程　

图２所示的ｗｅｂ安全防护系统框架的运行过程描述如下：　

（１）在离线状态下，ｗｅｂ应用程序开发人员输入网页数据　

验证规则，利用ＸＭＬ　Ｓｃｈｅｍａ产生器模块，自动产生供验证用　

的ＸＭＬ　ｓｃｈｅｍａ文件。　

（２）用户输入数据的网页传回服务器时，通过网页筛选过　

滤模块的控制管理机制，数据被送到ＸＭＬ解析器；ＸＭＬ解析器　

计算机时代２０１０年第４期　

将其转换成ＸＭＬ文件，同时将对应的ＸＭＬ　Ｓｃｈｅｍａ文件读入，　

验证输入数据是否符合当初定义的验证规则。　

４．４网页筛选过滤模块　

・　ｌ５　・　

大部份网站服务器都会提供过滤转送机制，让系统开发者　

（３）ｗｅｂ应用程序在提交给用户的网页信息时，附上ＭＡＣ　

能对网页数据做额外的筛选与处理。此机制在网站服务器外　

使其具有编译执行功能。因而通过网站服务器的　

来保证网页数据的完整性。用户输入数据的网页传回到Ｗｅｂ　

挂命令文件，

服务器时，系统检查ＭＡＣ值，以判断用户端是否变更数据。　

设定，可以将网页输入数据转送至网页筛选过滤模块。该模块　

执行以下步骤工作：　

（４）网页筛选过滤模块可以过滤数据，传递相关参数给　

收到网页输入数据后，

（１）取得所有参数数据，传递给ＸＭＬ解析器进行输入验　

ＸＭＬ解析器及ＭＡＣ处理模块进行处理，最后处理结果将被传　

继续执行下一步骤，否则传送错误信息到　

给下一个Ｗｅｂ应用程序以完成原有的工作，或是显示出输入错　

证。如果验证成功，

误的提示画面。　

服务器　

图２系统总体框架图　

４系统各模块的基本功能　

４．１　ＸＭＬ　Ｓｃｈｅｍａ文件产生器模块　

ＸＭＬ　Ｓｃｈｅｍａ产生器是供用户离线使用的辅助性软件工　

具，让应用程序开发人员针对某一个网页，选择相关的规则值，　

自动产生对应的ＸＭＬ　Ｓｃｈｅｍａ文件。　

４．２　ＸＭＬ解析器设计模块　

ＸＭＬ解析器接收由网页筛选过滤模块送来的数据，形成　

ＸＭＬ文件，然后判断此文件是否符合ＸＭＬ　Ｓｃｈｅｍａ规定。由　

于每个网页都有特定的网页输入，因此每个网页都对应特定的　

ＸＭＬ文件结构与规则，ＸＭＬ解析器可以依据网址知道该使用　

相对应的ＸＭＬ　Ｓｃｈｅｍａ文件来验证此动态产生的ＸＭＬ文件。　

４。３　ＭＡＣ处理模块　

ＭＡＣ处理模块用来保障网页数据的完整性。在本文所设　

计的框架中，采用ＨＭＡＣ算法对需要保护的数据产生信息验证　

码。恶意攻击者在篡改受完整性保护的数据时，只有产生相同　

的信息验证码才能进行攻击，由于信息验证码是将受保护数据　

与密钥一起经过单向的杂凑函数所产出的，因此，恶意攻击者　

很难在不知密钥的情况下自行产生正确的信息验证码。　

在网页中，部分数据要受到保护。ＭＡＣ处理模块在收到　

从网页筛选过滤所送来的数据时，必须到ＸＭＬ　Ｓｃｈｅｍａ文件找　

出具有ＭＡＣ属性的元素，再针对这些元素对应的参数产生信　

息验证码，并与一起送来的信息验汪码进行对比。同样地，对　

于要传回客户端的ＨＴＭＬ数据，也要参考ＸＭＬ　Ｓｃｈｅｍａ文件才　

能知道哪些数据要产生信息验证码。　

用户端并结束。　

（２）将输入数据传递给ＭＡＣ处理模块进行数据完整性检　

查。如果数据没遭破坏，继续执行下一步骤，否则传送错误信　

息至客户端并结束。　

（３）将输入数据传递给网站应用程序。　

（４）接收网站应用程序传回的ＣｏｏＮｅ及ＨＴＭＬ数据，提取　

ＨＴＭＬ数据中包含参数的网址以及窗体数据，把Ｃｏｏｋｅ及提取　

的数据传给ＭＡＣ处理模块以便产生信息验证码。　

（５）接收ＭＡＣ处理模块传回的ＭＡＣ码，将ＭＡＣ数据加到　

Ｃｏｏｋｅ及ＨＴＭＬ文件，传回客户端。　

筛选过滤器模块读取请求后，以读取参数名称的方式去判　

断这个网页是否有表单需处理。如果未有出现参数名称时则　

会略过不再做任何处理：若有参数名称时，则表示该网页有表　

单处理，则会一一去提取网页字段、字段值与ＣｏｏＮｅｓ的信息，　

交给ＸＭＬ解析器做验证工作。　

当ＸＭＬ解析器验证结果是正确时，会继续附加信息验证　

码；否则表示使用者输入的信息有误，中断原网页应有的处理，　

并在使用者浏览器中给出验证错误信息，要求使用者返回前页　

面，重新输入表单内容。　

综上所述，网页筛选过滤模块主要功能是对网页进行过滤　

和分析，是系统的主要核心之一。它也扮演流程控制中心的角　

色，负责调用其他功能模块。　

５结束语　

利用ＸＭＬ　Ｓｃｈｅｍａ验证技术的网页安全防护机制，网站开　

发者只需利用ＸＭＬ　Ｓｃｈｅｍａ文件对网页输入数据的约束条件　

加以描述，防护机制便能自动对网页数据进行保护。近几年，　

Ｗｅｂ系统的应用层攻击技术发展迅速，因此，应根据各自网站　

的技术架构和特点，建立包括管理、技术在内的多层次、立体的　

安全防护体系。　

参考文献：　

【１】姜娟娟，罗铁坚．一种ＤＴＤ和ＸＭＬＳｃｈｅｍａ转换的优化方法【Ｊ】．微型　

机与应用．２００３　１０：１０～１２　

【２】徐冰，李启炎．ＸＭＬ解析器应用分析【Ｊ】．计算机系统应用，２００２．１：　

３０－３２　

【３】马亚娜，钱焕延．用Ｃｏｏｋｉｅ构建Ｗｅｂ安全的实现［Ｊ］．计算机工程，　

２００２．２８（１　１）：３４～３５，７５　

【４】常晓燕，崔泽永．安套电子支付系统攘析［Ｊ】．统代计算机，２００４．１：　

５９－６２　

［５１李丹，龙毅宏．ＭＤ５算法破解对实际应用的影响【Ｊ】．信息安全与通信　

保密，２００５．４：９１－９２