因此,可采用安全設(shè)備內(nèi)置HTTPS證書的防護解決方案,應(yīng)用服務(wù)器利用安全設(shè)備進行SSL解密、計算后完成安全檢測,然后再將數(shù)據(jù)加密轉(zhuǎn)化為安全的HTTPS服務(wù),解決安全性和穩(wěn)定性的問題。

本文選擇的安全設(shè)備是布置在數(shù)據(jù)出入口的防火墻設(shè)備。選擇防火墻的原因有二：一是防火墻可對所有的數(shù)據(jù)流量進行分析;二是防火墻可以對出入流量進行基本的安全檢測。防火墻設(shè)備（即WAF設(shè)備）可對HTTP協(xié)議的傳輸進行安全監(jiān)控,通過對其功能的開發(fā),也可以實現(xiàn)HTTPS的安全防護。

5.2 功能開發(fā)設(shè)計

在用戶業(yè)務(wù)應(yīng)用訪問過程中,首先在通過防火墻時將應(yīng)用層加密數(shù)據(jù)解密成明文,并進行原有的各個安全模塊（SQL注入、XSS攻擊、漏洞檢測等）檢測后,再次封裝SSL進行加密,將數(shù)據(jù)安全地傳輸?shù)胶笈_應(yīng)用服務(wù)器。

在防火墻上開發(fā)一個HTTPS安全檢測功能的模塊（見圖5）,設(shè)計如下。

1）第一步,需要對證書進行管理,沒有CA機構(gòu)頒布的證書,就無法對加密數(shù)據(jù)進行解密。內(nèi)置的SSL配置模塊可確定所屬加密算法是國密算法還是國際算法,然后導入擁有的證書。

2）第二步,要完成應(yīng)用功能防護設(shè)計,在防火墻應(yīng)用防護中新建一個HTTPS的虛擬服務(wù),以完成SSL等信息配置。然后對真實服務(wù)器的IP、端口、SSL版本進行配置,由于是對HTTPS進行防護,端口應(yīng)該選擇443,如果經(jīng)過檢測后不再進行加密傳輸,也可以選擇HTTP模式和80端口。

3）第三步,完成上述兩個步驟就完成了對HTTPS的解密過程,還需設(shè)置安全防護,對解密后的內(nèi)容進行如SQL注入、跨站腳本攻擊以及中間件漏洞等一些深層次的檢測和攻擊防御設(shè)置。

圖5 安全防護設(shè)計Fig.5 The design of security protection

5.3 安全防護流程

安全防護流程如圖6所示。

圖6 安全防護流程Fig.6 The procedure of security protection

具體流程如下：

1）客戶端發(fā)起HTTPS連接;

2）安全設(shè)備與客戶端進行SSL協(xié)商通信,并發(fā)送服務(wù)器證書通過認證;

3）解密數(shù)據(jù);

4）安全設(shè)備進行檢測和安全防護;

5）安全設(shè)備與服務(wù)器進行SSL協(xié)商通信,加密處理后,變成密文的HTTPS數(shù)據(jù);

6）將加密后的安全信息傳輸?shù)椒?wù)器。

 6 結(jié)語

電力營銷業(yè)務(wù)涉及用戶繳費等敏感信息,需要在外網(wǎng)繳費平臺和移動終端應(yīng)用上進行加密傳輸,以確保用戶個人信息不被泄露。目前電力業(yè)務(wù)系統(tǒng)已經(jīng)有少量采用HTTPS協(xié)議加密的站點,例如電力市場交易平臺,但基本都沒有實現(xiàn)對HTTPS協(xié)議的檢測、分析和防護,存在一定的安全隱患。

本文結(jié)合電力業(yè)務(wù)系統(tǒng)現(xiàn)有的防護體系,通過創(chuàng)新性改造,采用HTTPS協(xié)議加密移動互聯(lián)網(wǎng)應(yīng)用,利用HTTPS流量分析技術(shù)實現(xiàn)SSL卸載和再加密功能。經(jīng)過解密,在現(xiàn)有防護體系中對傳輸?shù)膬?nèi)容進行檢測及防護,然后再應(yīng)用加密技術(shù)完成安全的數(shù)據(jù)傳輸。本文研究可顯著提升信息外網(wǎng)HTTPS站點的防護能力。