技术文章

(SCI) Parallel Algorithm for Wireless Data Compression and Encryption

(SCI) Fast Algorithm of Truncated BWT for Data Compression of Sensors

Dr. Qin Jiancheng

龙之梦助力肇庆教育网云计算

Dr. Zhou Yousheng

Dr. Bai Yuan

龙之梦工作室加盟华南理工学术团队

[软件下载] ComZip超级压缩机免费版下载

继续潜行，龙之梦工作室技术研发又一年

[软件交易] “雅典娜”网页密码锁在线购买

[软件交易] Super Prime超级质数机在线购买

[软件交易] ComZip超级压缩机在线购买

[信息安全] “风语者”高强度加密技术

[信息安全] 多层纵深防御体系结构

[合著] 专利：安全事件检测方法及装置

[合著] 网友交流：关于“雅典娜”网页密码锁如何保护收费网站

[ 2008-03-11 01:39:08 ]
　　引言/提要：我的网站采用了会员制，但还是有些会员恶意的下载了key文件。有什么好的方法可以保护好key文件不被下载呢？

　　关键词：雅典娜，网页密码锁，安全软件，网页保护，网页加密，网页破解，核心技术

“雅典娜”网页密码锁

网友（2008-1-1）：
　　我的网站采用了会员制，但还是有些会员恶意的下载了key文件。
　　我采用的是asp.net，有什么好的方法可以保护好key文件不被下载呢？

龙之梦工作室（2008-1-2）：
　　您好，key文件（密钥文件）具有一经下载就可以复制、传播的特点，所以只适用于防止非会员看到加密网页。而对于会员恶意下载，保护key文件不能起有效的作用，因此还要在加密的网页文件上采取措施。
　　首先，加密过的网页不应该直接以静态HTML文件的形式挂上网。因为这样的话，别人只要知道链接地址就可以访问。应该把html文件改为asp（或者jsp、php），并且每个文件都嵌入（include）一个验证文件，例如叫header.inc.asp。验证文件的功能是检查一下session，看看浏览者有没有登录，如果没有就中止输出。
　　另外，在登录成功之后，要在session中设置用户已登录的信息，用一个session变量就可以，例如session("login")。退出登录时，清除session。
　　现在，没有通过会员登录的浏览者，将无法看到加密网页。问题已经转移到：如何防止会员恶意泄漏自己的帐号和密码。

　　如果是计次收费的会员制，只要在header.inc.asp中加入浏览次数累加的程序代码，就已经足够。因为别人每次浏览，帐都算在会员自己的帐号上，网站方面也没什么损失。
　　但如果是计时收费，浏览多少次都是收费一样的，那么处理起来就复杂一些。可以参照电信宽带上网的做法：限时包月和禁止一线多机。
　　网站的会员制可以采用“限次包月”的计费方式：每月限制一定的浏览次数，收包月费；超过限制的部分，要么计次收费，要么停止浏览。这些都要在header.inc.asp中编写程序代码。
　　禁止一个帐号同时登录，新的登录session把旧的session“踢”出去，也有一定的限制作用。方法是每次登录成功，随机生成一个session("login")值，并把它保存在数据库中，与该帐号唯一对应的记录内。那么，在header.inc.asp中判断一下session("login")与数据库记录是否匹配即可。

　　补充：如果觉得每个加密网页都加入header.inc.asp文件太麻烦，可以考虑把验证文件做在key文件上，把key文件扩展名改为asp。我们正准备在下一个版本增加key文件自定义扩展名的功能，用来解决某些服务器不能兼容key扩展名的问题。
　　（注释：在版本v20080214中，已经加入了自动嵌入header文件，以及自定义文件扩展名的功能。——龙之梦工作室）

　　上述说明，请看看能不能理解，能否自己编写出登录、退出和header.inc.asp的程序代码。如有疑问可以继续提出。如果需要程序示例，由于我们早已弃用asp，最多只能够提供简单的asp代码供参考。如果您一直在做asp.net的开发，可能您自己写的代码会更好。
　　谢谢您对龙之梦工作室的支持，欢迎继续联系！

（为保护隐私，对网友身份信息作了保密处理。）