HTTPS加密协议在电力业务系统中的应用及安全防护研究

因此,可采用安全设备内置HTTPS证书的防护解决方案,应用服务器利用安全设备进行SSL解密、计算后完成安全检测,然后再将数据加密转化为安全的HTTPS服务,解决安全性和稳定性的问题。

本文选择的安全设备是布置在数据出入口的防火墙设备。选择防火墙的原因有二：一是防火墙可对所有的数据流量进行分析;二是防火墙可以对出入流量进行基本的安全检测。防火墙设备（即WAF设备）可对HTTP协议的传输进行安全监控,通过对其功能的开发,也可以实现HTTPS的安全防护。

5.2 功能开发设计

在用户业务应用访问过程中,首先在通过防火墙时将应用层加密数据解密成明文,并进行原有的各个安全模块（SQL注入、XSS攻击、漏洞检测等）检测后,再次封装SSL进行加密,将数据安全地传输到后台应用服务器。

在防火墙上开发一个HTTPS安全检测功能的模块（见图5）,设计如下。

1）第一步,需要对证书进行管理,没有CA机构颁布的证书,就无法对加密数据进行解密。内置的SSL配置模块可确定所属加密算法是国密算法还是国际算法,然后导入拥有的证书。

2）第二步,要完成应用功能防护设计,在防火墙应用防护中新建一个HTTPS的虚拟服务,以完成SSL等信息配置。然后对真实服务器的IP、端口、SSL版本进行配置,由于是对HTTPS进行防护,端口应该选择443,如果经过检测后不再进行加密传输,也可以选择HTTP模式和80端口。

3）第三步,完成上述两个步骤就完成了对HTTPS的解密过程,还需设置安全防护,对解密后的内容进行如SQL注入、跨站脚本攻击以及中间件漏洞等一些深层次的检测和攻击防御设置。

图5 安全防护设计Fig.5 The design of security protection

5.3 安全防护流程

安全防护流程如图6所示。

图6 安全防护流程Fig.6 The procedure of security protection

具体流程如下：

1）客户端发起HTTPS连接;

2）安全设备与客户端进行SSL协商通信,并发送服务器证书通过认证;

3）解密数据;

4）安全设备进行检测和安全防护;

5）安全设备与服务器进行SSL协商通信,加密处理后,变成密文的HTTPS数据;

6）将加密后的安全信息传输到服务器。

 6 结语

电力营销业务涉及用户缴费等敏感信息,需要在外网缴费平台和移动终端应用上进行加密传输,以确保用户个人信息不被泄露。目前电力业务系统已经有少量采用HTTPS协议加密的站点,例如电力市场交易平台,但基本都没有实现对HTTPS协议的检测、分析和防护,存在一定的安全隐患。

本文结合电力业务系统现有的防护体系,通过创新性改造,采用HTTPS协议加密移动互联网应用,利用HTTPS流量分析技术实现SSL卸载和再加密功能。经过解密,在现有防护体系中对传输的内容进行检测及防护,然后再应用加密技术完成安全的数据传输。本文研究可显著提升信息外网HTTPS站点的防护能力。