專利名稱:一種專用的Web服務(wù)器系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種防篡改的web服務(wù)器系統(tǒng),它采用專用集成電路進(jìn)行Web訪問(wèn)處 理,將Web訪問(wèn),Web數(shù)據(jù)管理和系統(tǒng)管理分為不同的數(shù)據(jù)通道,相互隔離,防止網(wǎng)頁(yè)篡改。
背景技術(shù):
Internet的發(fā)展是W^eb出現(xiàn)的起因,Web技術(shù)的出現(xiàn)和發(fā)展則進(jìn)一步促使了 Internet的飛速發(fā)展。現(xiàn)在Web已經(jīng)成為網(wǎng)上信息發(fā)布、電子商務(wù)、個(gè)人主頁(yè)、公司廣告的 平臺(tái)。Web是一個(gè)運(yùn)行于hternet和TCP/IP協(xié)議之上的應(yīng)用,稱之為B/S、瀏覽器/服務(wù) 器,客戶為瀏覽器,服務(wù)器為Web服務(wù)器。Web服務(wù)過(guò)程,由服務(wù)器、客戶機(jī)和之間的通信協(xié)議構(gòu)成。其中服務(wù)器確定了的內(nèi) 容傳輸?shù)脑O(shè)定和信息傳輸格式??蛻魴C(jī)稱為Web瀏覽器,用于向服務(wù)器索取請(qǐng)求,發(fā)送資 源,并將接收到的信息進(jìn)行解碼和顯示。通信協(xié)議是Web瀏覽器與服務(wù)器之間遵照的HTTP 協(xié)議。Web服務(wù)器上管理著大量的信息,處理用戶請(qǐng)求。目前,公知的Web服務(wù)器是采用通用服務(wù)器,和在其上安裝Web服務(wù)軟件來(lái)工作。 Web服務(wù)器軟件可以運(yùn)行在Windows、Unix、Linux多種環(huán)境下運(yùn)行。Web服務(wù)器為了提供 Web服務(wù),必須要開(kāi)放端口和一些目錄,還要接受各種正常的連接請(qǐng)求。然而,操作系統(tǒng)軟件 和Web服務(wù)軟件總是存在各種漏洞,黑客或攻擊者可以利用這些漏洞,獲取服務(wù)器的系統(tǒng) 管理權(quán)限,從而進(jìn)入系統(tǒng)中篡改網(wǎng)頁(yè)內(nèi)容。同時(shí),Web服務(wù)器軟件同時(shí)Web瀏覽、配置管理、內(nèi)容發(fā)布等功能,所以異常復(fù)雜, 其中隱藏許多潛在的安全隱患。在許多Web服務(wù)器的擁有者中,管理者往往是未經(jīng)訓(xùn)練的, 對(duì)安全風(fēng)險(xiǎn)沒(méi)有意識(shí),更沒(méi)有足夠的防范工具和知識(shí)。在這種狀況下,Web Server往往成為網(wǎng)絡(luò)攻擊的入口點(diǎn),并且Web通常是一個(gè)公 司或機(jī)構(gòu)的發(fā)布板,常常和其它計(jì)算機(jī)聯(lián)系在一起。所以,一旦Web server被攻破,可能殃 及其它。Web服務(wù)器內(nèi)的網(wǎng)頁(yè)內(nèi)容數(shù)據(jù),存儲(chǔ)在服務(wù)器的硬盤(pán)上。客戶端瀏覽器可以直接對(duì) 頁(yè)面數(shù)據(jù)進(jìn)行訪問(wèn),網(wǎng)站內(nèi)容編輯也可以直接編輯頁(yè)面數(shù)據(jù),系統(tǒng)管理員也可以接入數(shù)據(jù)。 這些不同角色的數(shù)據(jù)訪問(wèn)方式,都同時(shí)出現(xiàn)在一臺(tái)設(shè)備中,一旦訪問(wèn)者通過(guò)操作系統(tǒng)或者 Web服務(wù)器軟件漏洞獲取足夠的權(quán)限,就可以在服務(wù)器上進(jìn)行非法操作,修改數(shù)據(jù),給Web 服務(wù)使用者帶來(lái)?yè)p失。
發(fā)明內(nèi)容
為克服現(xiàn)有通用服務(wù)器構(gòu)建的Web服務(wù)器帶來(lái)的安全風(fēng)險(xiǎn),本發(fā)明提供一種Web 服務(wù)器系統(tǒng),能夠防止網(wǎng)頁(yè)篡改。本發(fā)明將訪問(wèn)者對(duì)Web的訪問(wèn)處理與Web內(nèi)容的修改相分離,由不同的處理單元 來(lái)執(zhí)行。系統(tǒng)包括Web訪問(wèn)處理器,它負(fù)責(zé)客戶端瀏覽器訪問(wèn)連接建立,和讀取網(wǎng)頁(yè)內(nèi)容存儲(chǔ)單元數(shù)據(jù),發(fā)送給訪問(wèn)者;Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,它存儲(chǔ)頁(yè)面內(nèi)容數(shù)據(jù),由RAM,硬盤(pán)或者外接存儲(chǔ)器構(gòu)成;Web數(shù)據(jù)管理單元,它管理和更新網(wǎng)頁(yè)內(nèi)容存儲(chǔ)單元中的數(shù)據(jù);系統(tǒng)管理單元,它管理和控制系統(tǒng)設(shè)備。本發(fā)明中設(shè)計(jì)了 Web訪問(wèn)處理器,它使用專用集成電路ASIC或者現(xiàn)場(chǎng)可編輯陣列 FPGA。ASIC或FPGA將TCP/IP和Http協(xié)議的處理用硬件方式實(shí)現(xiàn),執(zhí)行連接建立、URL分 析、內(nèi)容數(shù)據(jù)查找和發(fā)送數(shù)據(jù)給客戶端。來(lái)自客戶端的瀏覽器只能與Web訪問(wèn)處理器建立 連接,通過(guò)Web訪問(wèn)處理器請(qǐng)求讀取Web頁(yè)面內(nèi)容數(shù)據(jù)?;贏SIC或FGPA的Web訪問(wèn)處理器,是以硬件方式工作,讀取頁(yè)面內(nèi)容數(shù)據(jù)。它 沒(méi)有操作系統(tǒng)和Web服務(wù)器軟件的漏洞,不會(huì)被攻擊者用來(lái)篡改頁(yè)面內(nèi)容。Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元存儲(chǔ)著頁(yè)面數(shù)據(jù),其內(nèi)部的數(shù)據(jù)只接受來(lái)自Web數(shù)據(jù)管理 單元的數(shù)據(jù)更新操作。整個(gè)防篡改Web服務(wù)器系統(tǒng)分為三個(gè)數(shù)據(jù)通道Web訪問(wèn)數(shù)據(jù)通道,它處理是來(lái)自網(wǎng)絡(luò)客戶端瀏覽器對(duì)web的訪問(wèn)。Web訪問(wèn)數(shù)據(jù) 通道涉及Web訪問(wèn)處理器和Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,其通道工作流程為(1)來(lái)自網(wǎng)絡(luò)的訪問(wèn)與Web訪問(wèn)處理器建立TCP/IP連接;(2)然后與Web訪問(wèn)處理器建立Http通信過(guò)程;(3)Web訪問(wèn)處理器接受并分析訪問(wèn)者請(qǐng)求的URL ;(4) Web會(huì)話處理器根據(jù)請(qǐng)求的URL分析結(jié)果,做相應(yīng)操作,在Web內(nèi)容數(shù)據(jù)存儲(chǔ)單 元中讀取數(shù)據(jù),發(fā)送給訪問(wèn)者,或者拒絕。來(lái)自網(wǎng)絡(luò)客戶端瀏覽器的訪問(wèn)者,只能接入到Web訪問(wèn)數(shù)據(jù)通道Web數(shù)據(jù)管理通道,它涉及網(wǎng)頁(yè)內(nèi)容管理單元和網(wǎng)頁(yè)內(nèi)容存儲(chǔ)單元,其通道工作流 程為(1)管理者在Web數(shù)據(jù)管理單元中編輯和更新網(wǎng)頁(yè)內(nèi)容;(2) Web管理單元將更新內(nèi)容發(fā)布到Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元;數(shù)據(jù)更新通道只有網(wǎng)站頁(yè)面內(nèi)容的管理者才可以接入。系統(tǒng)管理數(shù)據(jù)通道,它涉及系統(tǒng)管理單元。通過(guò)系統(tǒng)管理通道,系統(tǒng)管理員對(duì)Web 訪問(wèn)處理器,和Web數(shù)據(jù)管理單元進(jìn)行管理和配置。只有系統(tǒng)管理員才能進(jìn)入系統(tǒng)管理通道。本發(fā)明中的三個(gè)數(shù)據(jù)通道,構(gòu)成Web服務(wù)器系統(tǒng)的用戶面、管理面和控制面,各執(zhí) 其能,保障系統(tǒng)的安全性,訪問(wèn)者無(wú)法進(jìn)入系統(tǒng)內(nèi)部,防止網(wǎng)頁(yè)數(shù)據(jù)被篡改。
圖1是本系統(tǒng)架構(gòu)框2是本系統(tǒng)內(nèi)數(shù)據(jù)通道中l(wèi).Web訪問(wèn)處理器,2. Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,3. Web數(shù)據(jù)管理單元,4.系統(tǒng)管 理單元,5. Web訪問(wèn)數(shù)據(jù)通道,6.系統(tǒng)管理通道,7. Web數(shù)據(jù)管理通道。
具體實(shí)施例方式在圖1中,來(lái)自網(wǎng)絡(luò)的客戶端瀏覽器與(I)Web訪問(wèn)處理器建立TCP/IP連接,然后 與(I)Web訪問(wèn)處理器建立Http通信過(guò)程。(I)Web訪問(wèn)處理器接受并分析訪問(wèn)者請(qǐng)求的 URL, (I)Web會(huì)話處理器根據(jù)請(qǐng)求的URL分析結(jié)果,做相應(yīng)操作,在內(nèi)容數(shù)據(jù)存儲(chǔ)單 元中讀取數(shù)據(jù),發(fā)送給訪問(wèn)者,或者拒絕。(3) Web數(shù)據(jù)管理單元,更新web數(shù)據(jù)后,發(fā)布到
內(nèi)容數(shù)據(jù)存儲(chǔ)單元中。(4)系統(tǒng)管理單元負(fù)責(zé)管理整個(gè)Web服務(wù)器系統(tǒng)。在圖2中,通過(guò)(5)Web訪問(wèn)數(shù)據(jù)通道,訪問(wèn)者可以讀取內(nèi)容數(shù)據(jù)存儲(chǔ)單 元中的網(wǎng)頁(yè)內(nèi)容。通過(guò)(7)Web數(shù)據(jù)管理通道,網(wǎng)頁(yè)編輯人員可以將更新的數(shù)據(jù)發(fā)布到(2) Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元中,以供瀏覽。通過(guò)(6)系統(tǒng)管理數(shù)據(jù)通道,管理員可以更改系統(tǒng)的 配置,維護(hù)系統(tǒng)運(yùn)行。
權(quán)利要求
1.一種專用的Web服務(wù)器系統(tǒng),所述的系統(tǒng)包括Web訪問(wèn)處理器,它響應(yīng)來(lái)自客戶端瀏覽器的連接請(qǐng)求,分析Web協(xié)議,從Web數(shù)據(jù)存儲(chǔ) 器中讀取所請(qǐng)求網(wǎng)頁(yè)內(nèi)容數(shù)據(jù),發(fā)送給客戶端瀏覽器; Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,存儲(chǔ)網(wǎng)站頁(yè)面內(nèi)容數(shù)據(jù); Web數(shù)據(jù)管理單元,用于更新網(wǎng)頁(yè)數(shù)據(jù)存儲(chǔ)器中的內(nèi)容數(shù)據(jù)。
2.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述的Web訪問(wèn)處理器,采用專用集成電路 ASIC或現(xiàn)場(chǎng)可編輯門(mén)陣FPGA之一。
3.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述的Web訪問(wèn)處理器維護(hù)系統(tǒng)TCP/IP協(xié) 議棧,處理與瀏覽器的TCP/IP連接。
4.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述的Web訪問(wèn)處理器分析和處理來(lái)自客 戶端瀏覽器的Http協(xié)議。
5.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于所述的Web訪問(wèn)處理器處理步驟為(1)客戶端的瀏覽器與Web訪問(wèn)處理器建立TCP/IP連接;(2)然后與Web訪問(wèn)處理器建立Http協(xié)議通信過(guò)程,(3)Web訪問(wèn)處理器接受并分析客戶端瀏覽器請(qǐng)求的URL(4)Web訪問(wèn)處理器根據(jù)請(qǐng)求的URL,在Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元中讀取數(shù)據(jù),發(fā)送給客戶端。
6.根據(jù)權(quán)利要求1所述的連接請(qǐng)求包括Tcp/ip連接。
7.根據(jù)權(quán)利要求1所述的Web協(xié)議包括Http協(xié)議。
8.根據(jù)權(quán)利要求1所述的系統(tǒng),其特征在于Web內(nèi)容讀取并向客戶端瀏覽器發(fā)送的數(shù) 據(jù)通道和Web內(nèi)容修改更新的數(shù)據(jù)通道相隔離,由不同的處理單元來(lái)執(zhí)行。
9.根據(jù)權(quán)利要求1所述的系統(tǒng),其中Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,包括系統(tǒng)內(nèi)RAM、硬盤(pán)或 者外部存儲(chǔ)設(shè)備中至少一個(gè)。
10.Web訪問(wèn)處理器,它是專用于處理TCP/IP和Web會(huì)話Http協(xié)議的芯片,其特征在于 采用專用集成電路ASIC或現(xiàn)場(chǎng)可編輯門(mén)陣FPGA之一。
11.根據(jù)權(quán)利要求10所述的處理器,其特征在于其維護(hù)TCP/IP棧,處理與瀏覽器的 TCP/IP 連接。
12.根據(jù)權(quán)利要求10所述的處理器,其特征在于所述的Web訪問(wèn)處理器分析和處理來(lái) 客戶端瀏覽器的Http協(xié)議。
13.根據(jù)權(quán)利要求10所述的處理器,其特征在于其接受并分析客戶端瀏覽器請(qǐng)求的URL。
14.根據(jù)權(quán)利要求10所述的處理器,其特征在于其根據(jù)請(qǐng)求的URL,存儲(chǔ)單元中讀取數(shù) 據(jù),發(fā)送給客戶端。
全文摘要
本發(fā)明公開(kāi)一種專用的Web服務(wù)器系統(tǒng)。系統(tǒng)由Web訪問(wèn)處理器,Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元,Web數(shù)據(jù)管理單元,系統(tǒng)管理單元構(gòu)成。Web訪問(wèn)處理器采用專用集成電路芯片ASIC或者現(xiàn)場(chǎng)可編輯陣列FPGA,它處理TCP/IP協(xié)議和Http協(xié)議,并讀取Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元內(nèi)數(shù)據(jù)和發(fā)送;Web數(shù)據(jù)管理單元執(zhí)行Web數(shù)據(jù)的更新;Web內(nèi)容數(shù)據(jù)存儲(chǔ)單元存儲(chǔ)網(wǎng)站內(nèi)容數(shù)據(jù);系統(tǒng)管理單元進(jìn)行整個(gè)系統(tǒng)的管理和配置。系統(tǒng)將Web數(shù)據(jù)訪問(wèn)、Web數(shù)據(jù)更新、系統(tǒng)管理分為不同的數(shù)據(jù)流通道進(jìn)行管理,各數(shù)據(jù)流通道相互隔離,防止頁(yè)面被篡改。
文檔編號(hào)H04L29/08GK102088469SQ20091024979
公開(kāi)日2011年6月8日 申請(qǐng)日期2009年12月8日 優(yōu)先權(quán)日2009年12月8日
發(fā)明者劉凌云 申請(qǐng)人:劉凌云, 官宇, 鐘超