3四层安全网络体系结构

 

　　在传统的三层B/S结构的数据库应用系统中，浏览器、WEB服务器、数据库服务器三者之间没有专门的体系与机制来保证网络系统的安全性。因此为了更好的满足复杂Web应用系统的安全需要，弥补两层和三层体系结构的不足，设计了四层网络安全体系结构。即在三层B/S结构的应用系统基础上加入加/解密模块和安全验证模块以实现网络系统的安全防护功能。四层安全网络体系机构包括用户层、功能层、安全层、数据层四部分，结构如图3所示。

 

　　图3四层安全体系结构

 

　　3.1用户层的功能

 

　　用户层主要完成在客户端的数据显示、录入等用户层界面的功能。同时向用户提供灵活的应用接口和保障浏览器和服务器之间数据传输的安全性。

 

　　3.2功能层的功能

 

　　功能层的主要业务功能和传统三层的组件层功能相似，是系统的主要数据业务实现层。基于java语言的JSP可以很方便地存取可重用的JavaBean组件，所以采用JSP和JavaBean组件相结合开发的动态页面比ASP和PHP开发的页面要短小得多①。Bean具有常驻高速缓存的优点。

 

　　为了保证数据的安全，新的功能层除了具有Web接口外，还增加了和安全层连接用于用户身份认证和密钥交换的安全验证接口以及和数据库连接的数据库接口。Web接口通过CGI应用程序、ISAPI应用程序和用java建立应用程序接收web服务器传送过来的用户请求，做出响应将用户需要的数据以网页

 

　　或其它形式传送给用户。数据库接口主要通过JavaBean和数据库进行连接，实现用户的数据请求和数据处理。加/解密模块由SQL语法分析、数据加/解密、加密字典和密钥管理四部分组成。加/解密是整个四层网络体系结构中负责数据加密和解密的重要部件，所采用的AES是一种加密等级比较高的加密算法，可以实现对数据更好的安全保护。加密模块的运行思想是通过SQL命令语法分析树对加密字典进行搜索，并返回所要加密数据的密钥信息，然后把密钥信息传递给密钥管理模块得到密钥，根据所得密钥对数据实现加密。解密模块的圆形原理是将需要解密的数据信息从密钥管理模块中得到密钥，然后根据密钥对数据信息进行解密。

 

　　3.3数据层的功能

 

　　数据层由数据和密钥两个数据库组成。数据数据库中可以存储相关的业务数据。密钥数据库可以用来存储用户名、密码、密钥、公钥和私钥等用户的相关信息。用户使用公钥对数据进行加密的密文形式称为密钥。用户只有通过私钥打开才能获得数据库密钥。密码是通过MD5算法加密的。使用用户密码对私钥进行加密，不仅可以保证用户私钥更加安全，也可以保护整个系统的安全性。同时，数据层通过普通数据接口与JavaBan模块进行数据交换。

 

　　3.4安全验证层的功能

 

　　安全层是B/S系统结构中重要的用户数据安全部件，起到保证系统用户安全访问数据库数据的功能。安全认证模块通过安全接口分别与Web服务器和数据库进行连接。安全验证模块在系统中提供三个方面的安全服务。对用户身份进行认证，通过身份认证功能使合法授权的用户访问系统中的资源和数据，防止非法用户进行访问，保护数据的安全性。为用户提供进行数据加密的密匙和不同的数字签名算法。

 

　　4五层安全网络体系结构

 

　　对于使用java语言开发的四层结构系统来说开发周期长，成本高。而随着ASP.NET技术的快速发展，设计出一种基于ASP.NET组件技术的5层网络体系结构，具有在各层之间实现无缝连接和成本低的特点，如图5所示。各层功能如下如表1所示。