基于WEB平台上安全协议应用与分析.docVIP

基于WEB平台上安全协议应用与分析 　　[摘要] 计算机的安全性历来都是人们讨论的主要话题之一。而计算机安全主要研究的是计算机病毒的防治和系统的安全。在计算机网络日益扩展和普及的今天,计算机安全的要求更高,涉及面更广。不但要求防治病毒,还要提高系统抵抗外来非法黑客入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃取。必须加上ssl安全技术加以保护。 　　[关键词] web安全SSL安全协议系统安全数据传输 　　[Abstract] The safety of the computer is people are always the main topic of discussion. While the computer security research is a computer virus prevention and the security of the system. In computer network expanding and popularization of computer security requirements of today, more widely, higher. Not only will improve system and virus, resist the invasion of foreign illegal hackers, and improve the secrecy of remote data transmission, avoid the transmission way from illegal steal. Must add a firewall and data encryption protection. 　　[Key Words]Web security、SSL security protocols、system security、data transmission 　　 　　引言 　　现今SSL安全协议广泛地用在Internet和Intranet的服务器产品和客户端产品中,用于安全地传送数据,集中到每个WEB服务器和浏览器中,从而来保证来用户都可以与Web站点安全交流 。本文将详细介绍SSL安全协议及在WEB服务器安全的应用。 　　1、WEB安全现状 　　近年来,越来越多的Web应用系统和网站遭受攻击,并造成严重后果。随着各种Web应用系统和网站的重要性不断提高,安全风险也与日俱增。主要有以下几个方面。 　　(1)对用户的输入无验证:目前,大多数的Web攻击都是通过各种输入框完成的。因为Web协议本身没有任何验证用户输入的机制,而是完全靠CGI程序来实现。由于cgi程序开发的技术门槛并不高,因此很多CGI程序都很难保证对用户输入进行了合理的安全检查。 　　(2)没有连接和状态:Web协议遵循Request-Reply模型,即一次请求、一次返回,优点是简单,缺点是无法确定多次访问之间的关系。为解决这个问题,不得不在每次访问中附加一些额外的数据,即Cookie,而这又带来了更多地安全问题。 　　(3)协议本身定义不严格:Web协议只是简单的以\r\n来分隔各种选项,且不提供任何验证机制,虽然简单明了,却极易受到黑客精心构造的各种不规范数据的攻击。如HTTP响应分拆攻击,就是通过在一个HTTP头中附加另外一个HTTP头,从而实施攻击。 　　(4)无法验证用户身份:Web协议本身不能对用户的身份进行验证,只依赖于用户自己宣称的身份,无疑,这是一种弱安全,对于一些重要的应用系统,很容易遭受身份盗用的威胁。 　　2、SSL协议概述 　　SSL协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层: SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 　　SSL协议提供的服务主要有: 　　1)认证用户和服务器,确保数据发送到正确的客户机和服务器; 　　2)加密数据以防止数据中途被窃取; 　　3)维护数据的完整性,确保数据在传输过程中不被改变。 　　3、SSL安全协议在WEB服务器中的应用 　　(1)我们为提供具有真正安全连接的高速安全套接层SSL交易,可以将PCI卡形式的SSL卸载(offloading)设备直接安装到Web服务器上。 　　(2)新型专用网络设备SSL加速器可以使Web站点通过在优化的