HTTPS加密协议在电力业务系统中的应用及安全防护研究

2018-03-20 16:01:13 电力信息与通信技术  点击量: 评论 (0)
0 引言随着信息技术的快速发展,以及信息化的普及建设,电力企业信息化业务系统规模不断扩大,除了内网的日常办公系统外,还有一些连接互联网

0 引言

随着信息技术的快速发展,以及信息化的普及建设,电力企业信息化业务系统规模不断扩大,除了内网的日常办公系统外,还有一些连接互联网的外网业务系统。

一般系统通常使用超文本传输协议[1-2](Hyper Text Transfer Protocol,HTTP),数据在传输中以明文形式途经多个节点,在任意传输节点都能捕捉到所传输数据的信息,数据传输的不安全性使企业面临以下安全隐患:

1)业务应用的配置信息可能被破坏、篡改或窃取,造成用户和业务应用的敏感信息泄露;

2)传输的数据可能被劫持,从而受到木马、恶意代码的攻击,导致业务系统瘫痪,用户无法正常访问。

电力系统承载着能源安全的重大责任,其数据保密性是电网平稳运行的基础。本文针对电力业务系统中的数据安全威胁,提出了基于安全超文本传输协议(Hyper Text Transfer Protocol over Secure Socket Layer,HTTPS)的加密传输方案,并利用现有信息外网安全防护体系,通过内置安全套接层(Secure Sockets Layer,SSL)证书,对HTTPS进行协议加解密分析,研究HTTPS加密协议的安全防护技术。

 1 研究背景

1.1 HTTPS协议

HTTPS协议是HTTP协议的安全版本,即在HTTP和TCP层增加了一个加密/身份验证层SSL,用于在客户端和服务器之间交换信息。HTTPS和HTTP使用完全不同的连接方式,端口也不一样,HTTP的端口为80,HTTPS端口为443。HTTPS使用SSL协议进行信息交换[3-4],通过应用数据加密算法和CA证书等技术,保证所传输数据的保密性和完整性,实现通信双方的互相身份认证。

1.2 SSL协议

SSL协议即安全套接层协议,是为网络通信传输提供安全通道以及确保数据完整的一种安全协议。SSL在传输层对网络连接进行加密,用于保障网络数据传输安全[5-7]。利用数据加密技术,可确保数据信息在网络传输过程中不会遭到泄密和篡改。SSL协议已成为全球化标准,主流浏览器和Web服务器程序都支持SSL协议,可通过安装SSL证书激活SSL协议。本文主要针对广泛应用的SSL协议进行研究。

 2 SSL协议安全性分析

2.1 SSL协议主要功能

SSL协议是HTTPS安全通信的根本,SSL协议是面向TCP连接的传输协议[8-12],其提供的连接的安全性主要具有以下3个特性:

1)数据传输的保密性:SSL 协议使用双方协商过的加密算法和密钥对传输的数据进行加密,保证该数据内容不被窃听者识别;

2)通信双方身份真实性:SSL 协议可提供对客户端以及服务器的身份验证,保证对方的身份不是伪造的;

3)传输数据的完整性:通过消息摘要算法和密钥对传输内容进行验证,保证客户端和服务器双方收到的数据不是被篡改的。

2.2 SSL协议网络结构

SSL协议位于 TCP/IP 协议和各种应用层协议之间。SSL协议由两部分组成,其中上层为传输提供身份认证、加密和防篡改功能,包括握手协议、更改加密规格协议和报警协议;下层为记录协议。SSL协议网络结构如图1所示。

图1 SSL协议网络结构Fig.1 The network structure of SSL protocol

1)握手协议是完成加密的重要步骤。SSL 通过握手协议来维护客户端与服务器端之间的会话连接,为数据传输建立安全的传输通道。握手协议的功能包括:提供通信双方的身份认证机制;协商确定数据传输所使用的的密钥和加密算法;为保证数据的完整性和可靠性,协商双方针对信息的鉴别算法,从而完成“安全握手”过程。

2)报警协议用来通知通信双方在SSL数据传输过程中的的意外事件,如果收到重大警告事件,则建议立即终止数据传输。

3)客户端和服务器发送更改加密规格协议报文来通知对方,之后的传输通过之前协商的加密算法套件和密钥来加密。

4)记录协议负责接收传输的应用报文,进行数据处理 (分片、压缩、添加 MAC、加密),完成一系列的加密、确保完整性的封装记录,最后增加记录报头,并将信息交由 TCP/IP 传输。

2.3 SSL协议安全技术

在SSL通信过程中,利用数字证书来确认通信双方的身份,采用非对称密钥技术交换身份认证信息,通过对称密钥技术交换服务器和客户端之间用于加密数据的会话密钥,然后根据协商后的密钥对通信过程进行加密和解密,确保数据安全[13-16]。数据完整性验证则依赖于消息摘要算法。

SSL传输数据使用对称加密技术来确保数据安全性。对称加密技术使用对称密钥和加密算法,发送方使用密钥K1对原始数据进行加密,然后将密文发出;接收方通过使用相同的密钥和加密算法的反向形式,将被加密数据重新还原。加密之后,只有知道加密算法和会话密钥才能得到正确的原始数据。对称加密算法流程如图2所示。

图2 对称加密算法流程Fig.2 Symmetric cryptographic algorithm

SSL协议的用户验证主要通过数字证书来实现,使用非对称密钥技术加密证书中的数字签名,来完成通信双方的身份验证。非对称加密算法使用了一对密钥:公钥K1用来加密信息;私钥K2用于解密信息。利用私钥K1和非对称加密算法来对数字签名进行加密,并且连同相应的公钥一起通过数字证书发送。接收方验证公钥后,使用私钥K2和非对称加密算法还原该消息摘要的明文,完成身份验证。非对称加密算法流程如图3所示。

图3 非对称加密算法流程Fig.3 Asymmetric cryptographic algorithm

SSL 协议使用的消息摘要算法为哈希算法(HMAC),接收端通过计算数据的哈希值,对比收到的哈希值,根据对比结果判断数据的完整性。

 3 HTTPS协议工作流程

基于HTTPS协议的应用系统,其应用系统服务器和客户端之间的通信过程如图4所示。

图4 HTTPS协议工作流程Fig.4 The work flow of HTTPS

具体流程如下:

1)客户端向服务器发出HTTPS连接请求,客户端连接到服务器的 443 端口;

2)服务器端将身份认证证书以及证书的相关信息反馈到客户端;

3)客户端验证服务器端发送过来的证书是否有效、可信,如有异常则弹出警告,如正常则继续进行握手协议;

4)客户端生成随机的会话密钥,用公钥对此随机密钥进行加密,并进行数字签名,然后将自身的认证证书以及客户端签名、加密数据发给服务器;

5)服务器通过会话密钥、客户端签名、客户端证书来确定对方身份;

6)完成一系列认证后,双方身份确认无误,通信两方可使用商讨后的密钥对通信数据进行加密,建立安全的信息传输通道。

 4 HTTPS在电力系统的应用前景及缺点

4.1 电力系统应用前景

传统的 HTTP 协议使用明文传输数据,信息很容易被窃听、篡改,而HTTPS协议则经过了用户与服务器的身份验证,来确保传输方向的准确性,并采用数据加密方式来防止数据被截取窃听,大大降低了恶意攻击者盗取数据、篡改信息的风险。HTTPS协议可以实现数据的保密性、可靠性以及通信双方的身份认证。电力系统中包含很多敏感信息,且涉及到网上缴费等和利益相关的用户信息,使用HTTPS这种安全的数据传输方式的意义尤其重要。

目前电力交易系统是使用HTTPS进行数据加密传输的,但仍有大量存储敏感信息的信息系统使用明文数据传输,无论是外网还是内网应用,都存在极大的安全隐患。使用HTTPS加密传输模式,一是可以保障业务系统数据交换过程中的信息安全性和可靠性;二是可防止恶意攻击者利用伪装身份对业务系统服务器进行破坏;三是在涉及交易以及客户信息的信息系统中使用HTTPS加密传输协议,可以确保信息在传输过程中不会泄密。

4.2 HTTPS的缺点

HTTPS并不是一劳永逸确保安全的方法,存在以下几个问题。

1)应用HTTPS会降低移动互联网应用的响应时间,一系列认证过程会降低用户的访问速度,增加网站服务器的计算资源消耗。

2)采用 HTTPS 协议的服务器必须要有一套数字证书,数字证书是网络通信双方用来识别对方身份的工具,可提供身份验证机制。可信认的数字证书由权威部门颁发,即CA证书,CA负责发放和管理数字证书,作为受信任的第三方,承担对证书使用者合法身份进行验证的责任,数字证书需要购买。

3)HTTPS不能应对黑客攻击、拒绝服务攻击等威胁,恶意攻击者也可以利用加密协议来隐藏数据内容,躲避防火墙识别。黑客可通过加密隧道逃避网络管理,使防火墙无法对局域网外部传播进来的木马、病毒做出识别,进而危害客户主机的安全。

综上所述,HTTPS对于企业和用户而言,虽然会导致访问速度变慢且需要资金维护,但同信息安全相比还是利大于弊。

 5 电力系统针对HTTPS的安全防护设计

5.1 现状分析及设计思路

HTTPS虽然能够对网站的应用层数据进行加密,但传统设备(入侵检测、防火墙、入侵防御、负载均衡等)不能识别隐含在加密报文中的攻击,更无法对其检测。例如负载均衡器无法提取用户加密会话中的cookies、URL路径等信息进行细化的分发调度。

本文提出的HTTPS安全防护解决方案是利用电力应用系统原有的网络安全防护体系,通过研究SSL协议卸载加密的方法以及内置SSL证书的方式,对HTTPS传输协议进行加解密分析,最终实现对HTTPS协议的安全防护。

鉴于SSL加密运算对服务器的计算资源占用极大,如果由应用服务器来进行加解密处理,会对其业务处理能力造成很大影响。

大云网官方微信售电那点事儿

责任编辑:售电衡衡

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞