李 嵩 曾 慧

[摘要] 計算機的安全性歷來都是人們討論的主要話題之一。而計算機安全主要研究的是計算機病毒的防治和系統(tǒng)的安全。在計算機網(wǎng)絡日益擴展和普及的今天,計算機安全的要求更高,涉及面更廣。不但要求防治病毒,還要提高系統(tǒng)抵抗外來非法黑客入侵的能力,還要提高對遠程數(shù)據(jù)傳輸?shù)谋Ｃ苄?避免在傳輸途中遭受非法竊取。必須加上ssl安全技術加以保護。

[關鍵詞] web安全SSL安全協(xié)議系統(tǒng)安全數(shù)據(jù)傳輸

[Abstract] The safety of the computer is people are always the main topic of discussion. While the computer security research is a computer virus prevention and the security of the system. In computer network expanding and popularization of computer security requirements of today, more widely, higher. Not only will improve system and virus, resist the invasion of foreign illegal hackers, and improve the secrecy of remote data transmission, avoid the transmission way from illegal steal. Must add a firewall and data encryption protection.

[Key Words]Web security、SSL security protocols、system security、data transmission

引言

現(xiàn)今SSL安全協(xié)議廣泛地用在Internet和Intranet的服務器產(chǎn)品和客戶端產(chǎn)品中,用于安全地傳送數(shù)據(jù),集中到每個WEB服務器和瀏覽器中,從而來保證來用戶都可以與Web站點安全交流 。本文將詳細介紹SSL安全協(xié)議及在WEB服務器安全的應用。

1、WEB安全現(xiàn)狀

近年來,越來越多的Web應用系統(tǒng)和網(wǎng)站遭受攻擊,并造成嚴重后果。隨著各種Web應用系統(tǒng)和網(wǎng)站的重要性不斷提高,安全風險也與日俱增。主要有以下幾個方面。

(1)對用戶的輸入無驗證:目前,大多數(shù)的Web攻擊都是通過各種輸入框完成的。因為Web協(xié)議本身沒有任何驗證用戶輸入的機制,而是完全靠CGI程序來實現(xiàn)。由于cgi程序開發(fā)的技術門檻并不高,因此很多CGI程序都很難保證對用戶輸入進行了合理的安全檢查。

(2)沒有連接和狀態(tài):Web協(xié)議遵循"Request-Reply"模型,即一次請求、一次返回,優(yōu)點是簡單,缺點是無法確定多次訪問之間的關系。為解決這個問題,不得不在每次訪問中附加一些額外的數(shù)據(jù),即Cookie,而這又帶來了更多地安全問題。

(3)協(xié)議本身定義不嚴格:Web協(xié)議只是簡單的以" "來分隔各種選項,且不提供任何驗證機制,雖然簡單明了,卻極易受到黑客精心構造的各種不規(guī)范數(shù)據(jù)的攻擊。如HTTP響應分拆攻擊,就是通過在一個HTTP頭中附加另外一個HTTP頭,從而實施攻擊。

(4)無法驗證用戶身份:Web協(xié)議本身不能對用戶的身份進行驗證,只依賴于用戶自己"宣稱"的身份,無疑,這是一種弱安全,對于一些重要的應用系統(tǒng),很容易遭受身份盜用的威脅。

2、SSL協(xié)議概述

SSL協(xié)議位于TCP/IP協(xié)議與各種應用層協(xié)議之間,為數(shù)據(jù)通訊提供安全支持。SSL協(xié)議可分為兩層: SSL記錄協(xié)議(SSL Record Protocol):它建立在可靠的傳輸協(xié)議(如TCP)之上,為高層協(xié)議提供數(shù)據(jù)封裝、壓縮、加密等基本功能的支持。 SSL握手協(xié)議(SSL Handshake Protocol):它建立在SSL記錄協(xié)議之上,用于在實際的數(shù)據(jù)傳輸開始前,通訊雙方進行身份認證、協(xié)商加密算法、交換加密密鑰等。

SSL協(xié)議提供的服務主要有:

1)認證用戶和服務器,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器;

2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取;

3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變。

3、SSL安全協(xié)議在WEB服務器中的應用

(1)我們?yōu)樘峁┚哂姓嬲踩B接的高速安全套接層SSL交易,可以將PCI卡形式的SSL卸載(offloading)設備直接安裝到Web服務器上。

(2)新型專用網(wǎng)絡設備SSL加速器可以使Web站點通過在優(yōu)化的硬件和軟件中進行所有的SSL處理來滿足性能和安全性的需要。

(3)當具有SSL功能的瀏覽器(Navigator、IE)與Web服務器(Apache、IIS)通信時,它們利用數(shù)字證書確認對方的身份。數(shù)字證書是由可信賴的第三方發(fā)放的,并被用于生成公共密鑰。

4.結束語

SSL協(xié)議是用于Internet上進行保密通信的一個安全協(xié)議,主要目的是保證兩臺機器之間的通信安全,提供可信賴的服務。通過對SSL在W eb服務器中的應用進行了調(diào)查分析,對SSL實現(xiàn)Web服務器的安全應做的處理進行了研究, SSL也能實現(xiàn)W eb和Internet安全的方法。

參考文獻:

[1] 邱發(fā)林。利用SSL安全協(xié)議實現(xiàn)Web服務器的安全性[J]。昆明冶金高等?？茖W校學報萬方數(shù)據(jù),2006(1)

[2] 侯小梅?；赟SL協(xié)議的電子商務解決方案[J]。計算機工程與應用,2000(8)

[3] 陳卓。電子商務中兩種安全支付協(xié)議SSL和SET的研究與比較[J]。機械工業(yè)出版社,2003(4)

[4] 馬瑞萍;SSL安全性分析研究[J];網(wǎng)絡安全技術與應用;2001年12期

作者簡介:

李嵩 (1981年),男(漢族),江西省宜春市人,助教,武漢大學計算機應用系研究生,研究方向為計算機網(wǎng)絡應用技術及數(shù)據(jù)庫技術。

曾慧(1965年),女(漢族),廣東連平人,副教授,碩士,武漢大學計算機學院研究生導師,主要研究領域為計算機網(wǎng)絡應用技術及數(shù)據(jù)庫技術。