因此,可采用安全設備內置HTTPS證書的防護解決方案,應用服務器利用安全設備進行SSL解密、計算后完成安全檢測,然后再將數據加密轉化為安全的HTTPS服務,解決安全性和穩定性的問題。

本文選擇的安全設備是布置在數據出入口的防火墻設備。選擇防火墻的原因有二：一是防火墻可對所有的數據流量進行分析;二是防火墻可以對出入流量進行基本的安全檢測。防火墻設備（即WAF設備）可對HTTP協議的傳輸進行安全監控,通過對其功能的開發,也可以實現HTTPS的安全防護。

5.2 功能開發設計

在用戶業務應用訪問過程中,首先在通過防火墻時將應用層加密數據解密成明文,并進行原有的各個安全模塊（SQL注入、XSS攻擊、漏洞檢測等）檢測后,再次封裝SSL進行加密,將數據安全地傳輸到后臺應用服務器。

在防火墻上開發一個HTTPS安全檢測功能的模塊（見圖5）,設計如下。

1）第一步,需要對證書進行管理,沒有CA機構頒布的證書,就無法對加密數據進行解密。內置的SSL配置模塊可確定所屬加密算法是國密算法還是國際算法,然后導入擁有的證書。

2）第二步,要完成應用功能防護設計,在防火墻應用防護中新建一個HTTPS的虛擬服務,以完成SSL等信息配置。然后對真實服務器的IP、端口、SSL版本進行配置,由于是對HTTPS進行防護,端口應該選擇443,如果經過檢測后不再進行加密傳輸,也可以選擇HTTP模式和80端口。

3）第三步,完成上述兩個步驟就完成了對HTTPS的解密過程,還需設置安全防護,對解密后的內容進行如SQL注入、跨站腳本攻擊以及中間件漏洞等一些深層次的檢測和攻擊防御設置。

圖5 安全防護設計Fig.5 The design of security protection

5.3 安全防護流程

安全防護流程如圖6所示。

圖6 安全防護流程Fig.6 The procedure of security protection

具體流程如下：

1）客戶端發起HTTPS連接;

2）安全設備與客戶端進行SSL協商通信,并發送服務器證書通過認證;

3）解密數據;

4）安全設備進行檢測和安全防護;

5）安全設備與服務器進行SSL協商通信,加密處理后,變成密文的HTTPS數據;

6）將加密后的安全信息傳輸到服務器。

 6 結語

電力營銷業務涉及用戶繳費等敏感信息,需要在外網繳費平臺和移動終端應用上進行加密傳輸,以確保用戶個人信息不被泄露。目前電力業務系統已經有少量采用HTTPS協議加密的站點,例如電力市場交易平臺,但基本都沒有實現對HTTPS協議的檢測、分析和防護,存在一定的安全隱患。

本文結合電力業務系統現有的防護體系,通過創新性改造,采用HTTPS協議加密移動互聯網應用,利用HTTPS流量分析技術實現SSL卸載和再加密功能。經過解密,在現有防護體系中對傳輸的內容進行檢測及防護,然后再應用加密技術完成安全的數據傳輸。本文研究可顯著提升信息外網HTTPS站點的防護能力。