基于WEB平台上安全协议的应用与分析

李 嵩 曾 慧

[摘要] 计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。必须加上ssl安全技术加以保护。

[关键词] web安全SSL安全协议系统安全数据传输

[Abstract] The safety of the computer is people are always the main topic of discussion. While the computer security research is a computer virus prevention and the security of the system. In computer network expanding and popularization of computer security requirements of today, more widely, higher. Not only will improve system and virus, resist the invasion of foreign illegal hackers, and improve the secrecy of remote data transmission, avoid the transmission way from illegal steal. Must add a firewall and data encryption protection.

[Key Words]Web security、SSL security protocols、system security、data transmission

引言

现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中,用于安全地传送数据,集中到每个WEB服务器和浏览器中,从而来保证来用户都可以与Web站点安全交流 。本文将详细介绍SSL安全协议及在WEB服务器安全的应用。

1、WEB安全现状

近年来,越来越多的Web应用系统和网站遭受攻击,并造成严重后果。随着各种Web应用系统和网站的重要性不断提高,安全风险也与日俱增。主要有以下几个方面。

(1)对用户的输入无验证:目前,大多数的Web攻击都是通过各种输入框完成的。因为Web协议本身没有任何验证用户输入的机制,而是完全靠CGI程序来实现。由于cgi程序开发的技术门槛并不高,因此很多CGI程序都很难保证对用户输入进行了合理的安全检查。

(2)没有连接和状态:Web协议遵循"Request-Reply"模型,即一次请求、一次返回,优点是简单,缺点是无法确定多次访问之间的关系。为解决这个问题,不得不在每次访问中附加一些额外的数据,即Cookie,而这又带来了更多地安全问题。

(3)协议本身定义不严格:Web协议只是简单的以" "来分隔各种选项,且不提供任何验证机制,虽然简单明了,却极易受到黑客精心构造的各种不规范数据的攻击。如HTTP响应分拆攻击,就是通过在一个HTTP头中附加另外一个HTTP头,从而实施攻击。

(4)无法验证用户身份:Web协议本身不能对用户的身份进行验证,只依赖于用户自己"宣称"的身份,无疑,这是一种弱安全,对于一些重要的应用系统,很容易遭受身份盗用的威胁。

2、SSL协议概述

SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有:

1)认证用户和服务器,确保数据发送到正确的客户机和服务器;

2)加密数据以防止数据中途被窃取;

3)维护数据的完整性,确保数据在传输过程中不被改变。

3、SSL安全协议在WEB服务器中的应用

(1)我们为提供具有真正安全连接的高速安全套接层SSL交易,可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上。

(2)新型专用网络设备SSL加速器可以使Web站点通过在优化的硬件和软件中进行所有的SSL处理来满足性能和安全性的需要。

(3)当具有SSL功能的浏览器(Navigator、IE)与Web服务器(Apache、IIS)通信时,它们利用数字证书确认对方的身份。数字证书是由可信赖的第三方发放的,并被用于生成公共密钥。

4.结束语

SSL协议是用于Internet上进行保密通信的一个安全协议,主要目的是保证两台机器之间的通信安全,提供可信赖的服务。通过对SSL在W eb服务器中的应用进行了调查分析,对SSL实现Web服务器的安全应做的处理进行了研究, SSL也能实现W eb和Internet安全的方法。

参考文献:

[1] 邱发林。利用SSL安全协议实现Web服务器的安全性[J]。昆明冶金高等专科学校学报万方数据,2006(1)

[2] 侯小梅。基于SSL协议的电子商务解决方案[J]。计算机工程与应用,2000(8)

[3] 陈卓。电子商务中两种安全支付协议SSL和SET的研究与比较[J]。机械工业出版社,2003(4)

[4] 马瑞萍;SSL安全性分析研究[J];网络安全技术与应用;2001年12期

作者简介:

李嵩 (1981年),男(汉族),江西省宜春市人,助教,武汉大学计算机应用系研究生,研究方向为计算机网络应用技术及数据库技术。

曾慧(1965年),女(汉族),广东连平人,副教授,硕士,武汉大学计算机学院研究生导师,主要研究领域为计算机网络应用技术及数据库技术。