Web服務(wù)中XML防火墻技術(shù)實現(xiàn)

摘 要：本文主要分析了當(dāng)前的Web服務(wù)器出現(xiàn)了哪些安全問題與隱患，在此基礎(chǔ)上，我們提供了XML技術(shù)解決了Web服務(wù)防御的技術(shù)原理、機(jī)制、和配置計劃；論述了相應(yīng)的算法和實現(xiàn)，并就結(jié)果進(jìn)行展示。

關(guān)鍵詞：防火墻；Web服務(wù)器；網(wǎng)絡(luò)安全

中圖分類號：TP393

1 Web服務(wù)器的安全問題與隱患

1.1 存在原因

Web服務(wù)器存在的原因，是在于為了更好地滿足企業(yè)、公司，對信息的及時性、交互性、廣泛性的要求，實現(xiàn)企業(yè)在互聯(lián)網(wǎng)上的自主性與獨立性，因此，Web服務(wù)器應(yīng)運而生。由于B/S服務(wù)體系所占比重日益增加，Web服務(wù)的安全已經(jīng)受到了廣泛的重視。

1.2 安全與隱患

Web服務(wù)是通過向外界提供各種操作來完成服務(wù)運作的，當(dāng)相關(guān)的操作被惡意地利用，就會對系統(tǒng)本身產(chǎn)生極大的危害。

如果一個Web服務(wù)收到一個合法的SOAP消息，而這個消息里面包含一個非法的操作系統(tǒng)命令（如圖1），Web服務(wù)會把這個命令傳遞給操作系統(tǒng)并執(zhí)行，這顯然是不安全的。

圖1

目前，針對Web服務(wù)的安全性提出了很多新的協(xié)議，如比如AVDL，DSS，XrML，SAML，XML En-cryption和XML Signature等，這些協(xié)議并不能完全防止安全問題發(fā)生，除了這些協(xié)議本身固有的局限性之外，還有一部分原因是Web服務(wù)本身的特殊性造成的。

這樣的安全隱患不僅針對操作系統(tǒng)、服務(wù)器，對于數(shù)據(jù)庫系統(tǒng)也是如此?？偟膩碚f，Web的入侵手法主要分為以下幾種：

（1）利用程序錯誤的邊界判斷，進(jìn)行溢出。

（2）用Web服務(wù)器的錯誤編碼或解碼執(zhí)行系統(tǒng)命令或查看系統(tǒng)文件。如UNICODE編碼漏洞，如果主機(jī)存在Unicode漏洞就會返回c盤內(nèi)的目錄列表。從而暴露目標(biāo)主機(jī)c盤內(nèi)的文件信息。

2 XML技術(shù)搭建防火墻的實現(xiàn)。

2.1 解決方法

我們將重點放在使用Web服務(wù)提供的操作上面，這就要求對傳入的SOAP消息的內(nèi)容進(jìn)行深入的檢查，調(diào)查參數(shù)是否合法。將安全防護(hù)措施提升到應(yīng)用層，為Web服務(wù)提供有效的保護(hù)。

2.2 防御技術(shù)原理

圖2

對于應(yīng)用層的防御：

（1）XML防火墻必須有能力檢查SOAP消息的內(nèi)容，這決定了XML防火墻本身也應(yīng)該是Web服務(wù)。

（2）用戶可以像使用普通的Web服務(wù)的方式去調(diào)用它提供的操作，但是XML防火墻收到用戶傳遞進(jìn)來的SOAP消息后，要先對其中的調(diào)用參數(shù)進(jìn)行檢查，如果沒有問題，就以這些參數(shù)去調(diào)用實際的Web服務(wù)提供的操作。

2.3 防御機(jī)制

XML防火墻采用“確認(rèn)服務(wù)訪問”機(jī)制，即是否有權(quán)訪問它所請求的資源，從而控制對服務(wù)器的訪問。

2.4 防御配置計劃

（1）配置一個XML代理，用來截獲XML流量，并提供鑒定、授權(quán)和確認(rèn)服務(wù)，同時記錄下進(jìn)出的消息以提供認(rèn)可。

（2）配置認(rèn)證機(jī)制，來驗證發(fā)送方的身份，以及確保包括數(shù)字證書、用戶名和密碼、HTTP基本認(rèn)證在內(nèi)的諸多信息的完整性，還可以限制對特定的IP地址段進(jìn)行訪問。

3 防火墻規(guī)則匹配算法以及優(yōu)化

3.1 算法分析

該算法基于Divide And Conquer（分治）的idea，將定義的規(guī)則集合以protocol的類型分組，將其分為多個子集按照一定的rule將其分為兩個type：

（1）無序匹配規(guī)則組；

（2）有序匹配規(guī)則組。

然后設(shè)計hash函數(shù)和對應(yīng)的索引針對不同的類型進(jìn)行識別，其性能通過分析平均的時間復(fù)雜度可大O（logn），在一定程度上遠(yuǎn)比linux防火墻中樸素的匹配算法效率要高。

1）無序組匹配算法。其核心思想是通過設(shè)計hash函數(shù)把信息與索引一一對應(yīng)，對出Hash過程中的沖突盡量小的原則，將匹配的信息通過映射定位，使得hash表盡量均勻，設(shè)計的hash偽代碼如下：

int GetHashIndex（long SrcAddress， long DesAddress， int SrcPort， int DesPort） {

int add = SrcAddress+DesAddress；

int port = SrcPort+DesPort； int Low16Bit = add～（～0<<0x16）； //low 16 bit int High16Bit = （add>>0x16）～（～0<<0x16）； //high 16 bit int addr=xor（Low16Bit，High16Bit）； //xor low16bit， high16bit return （xor（add， port）%LEN）； //len is hash length } hash沖突的存在是必然的，解決辦法：

若兩個規(guī)則經(jīng)過哈希運算后得到的索引相等，把這兩個規(guī)則按照插入順序組成一個線性表，規(guī)則匹配時，沿著線性表依次進(jìn)行順序匹配

2）有序組匹配算法。有序規(guī)則中個順序是非常重要的（優(yōu)化的重點），不能隨便insert或者delete，如果使用線性超找的算法就沒有什么改進(jìn)了，效率會非常低下，在進(jìn)行規(guī)則匹配的過程中可以采用索引來輔助進(jìn)行匹配來提高匹配效率，具體的就是將具有相關(guān)性的規(guī)則看成一個線性表，線性表的結(jié)構(gòu)嚴(yán)格按照序列的優(yōu)先級來sort，可以采用索引中的一個index來提升匹配的查找效率，通過索引值來進(jìn)行二分查找

3.2 實現(xiàn)結(jié)果和性能展示

防火墻的數(shù)據(jù)包匹配算法：匹配速度是遠(yuǎn)優(yōu)于的線性搜索，其空間復(fù)雜度的能力范圍內(nèi)現(xiàn)代化的硬件，即使對于非常大的規(guī)則速度都很客觀，如下：

NumberDescription Space

0 Srouce Ip Address 32 Bit

1 Destination Ip Address 32 Bit

2 Source Port Number 16 Bit

3 Destination Port Number16 Bit

4 Protocol 8 Bit

其中計算機(jī)的配置如下：

OS： Ubuntu 12.10： quantal（i686）

Kernel / Build： 3.5.0-27-generic

Processor： Intel Core i3-2330M 2.20GHz*2

以下是一定規(guī)模下運行10，000次結(jié)果的平均值所得的時間和空間（忽略記憶體）數(shù)據(jù)：

表1

改進(jìn)算法的時間在大規(guī)模的情況下遠(yuǎn)比樸素的算法要快10倍以上。

參考文獻(xiàn)：

[1]Bellovin S， Smith J， Keromytis A D， et al. Implementing a Distributed Firewall[C]//Proc. of the 7th ACM Conference on Computer and Communications Security. Athens， Greece：ACM Press，2000.

[2] Payne C， Markham T. Architecture and Applications for a Distributed Embedded Firewall[C]//Proceedings of the 17th Annual Conference on Computer Security Applications. [S. l.]：IEEE Press，2001.

[3]Fulp E W. Parallel Firewall Designs for High-speed Networks[C]//Proc. of the 25th IEEE International Conference on Computer Communications. Barcelona， Spain： [s. n.]，2006.

[4]Farley R J. Parallel Firewall Designs for High-speed Networks[D].North Carolina， USA： Wake Forest University，2005.

作者簡介：吳亮（1990.02-），男，土家族，湖南張家界人，本科在校學(xué)生，主要研究方向：軟件工程；黃偉（1981.10-），男，瑤族，湖南花垣人，講師，主要研究方向：計算機(jī)科學(xué)。

作者單位：吉首大學(xué) 軟件服務(wù)外包學(xué)院，湖南省張家界 427000

基金項目：吉首大學(xué)科研論文項目。