保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)技術(shù)

本發(fā)明專利技術(shù)實(shí)施例公開(kāi)了一種保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)，其中所述方法，包括：從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文；判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)；當(dāng)判斷結(jié)果為是，確定所述HTTP請(qǐng)求報(bào)文合法，則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器；當(dāng)判斷結(jié)果為否，確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。本發(fā)明專利技術(shù)實(shí)施例提高了Web服務(wù)器的安全性。

【技術(shù)實(shí)現(xiàn)步驟摘要】
【專利摘要】本專利技術(shù)實(shí)施例公開(kāi)了一種保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)，其中所述方法，包括：從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文；判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)；當(dāng)判斷結(jié)果為是，確定所述HTTP請(qǐng)求報(bào)文合法，則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器；當(dāng)判斷結(jié)果為否，確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。本專利技術(shù)實(shí)施例提高了Web服務(wù)器的安全性。【專利說(shuō)明】保護(hù)Cooki e信息的方法及Web服務(wù)器前置網(wǎng)關(guān)
本專利技術(shù)涉及通信領(lǐng)域，尤其涉及保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)。
技術(shù)介紹
超文本傳輸協(xié)議(Hypertext Transfer Protocol,HTTP)是Web應(yīng)用的核心協(xié)議。HTTP在Web的客戶程序和服務(wù)器程序中得以實(shí)現(xiàn)，客戶端使用HTTP協(xié)議與Web服務(wù)器實(shí)現(xiàn)數(shù)據(jù)交互。HTTP是一種無(wú)狀態(tài)、無(wú)連接的協(xié)議，不能在服務(wù)器上保持一次會(huì)話的持續(xù)狀態(tài)信息。為了記錄用戶瀏覽頁(yè)面的狀態(tài)信息，向用戶提供更友好的交互環(huán)境，Cookie技術(shù)就應(yīng)運(yùn)而生。Cookie是Web服務(wù)器產(chǎn)生一定的信息，存放在客戶端，用來(lái)維持客戶端和服務(wù)器之間連接狀態(tài)的一種技術(shù)。Cookie技術(shù)是對(duì)HTTP協(xié)議的一種補(bǔ)充。通常應(yīng)用Cookie的過(guò)程如下:C00kie由服務(wù)器端生成，發(fā)送給客戶端的Web瀏覽器，瀏覽器會(huì)將Cookie的名稱和值保存到本地，瀏覽器下次請(qǐng)求同一網(wǎng)站時(shí)就發(fā)送該Cookie給服務(wù)器。Cookie名稱和值由服務(wù)器端自己定義。目前有如下現(xiàn)有技術(shù): 服務(wù)器發(fā)給客戶端的HTTP應(yīng)答報(bào)文，在經(jīng)過(guò)Web服務(wù)器前置網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)根據(jù)報(bào)文中Cookie的值(比如，Key=V)計(jì)算簽名，并將簽名連接在原Cookie的值之后(變成Key=V+S)0將Cookie的值和簽名一起加密之后，替換原來(lái)的Cookie值，修改HTTP報(bào)文內(nèi)容后，將報(bào)文發(fā)到客戶端。 客戶端發(fā)給服務(wù)器的HTTP請(qǐng)求報(bào)文，經(jīng)過(guò)網(wǎng)關(guān)時(shí)，網(wǎng)關(guān)解密Cookie的值(Key=V+S)，在判定Cookie簽名正確后，將Cookie恢復(fù)成加密之前的值(Key=V),再將HTTP請(qǐng)求報(bào)文發(fā)給Web服務(wù)器。 如果HTTP請(qǐng)求報(bào)文有虛假的Cookie (比如，Key=V’)，解密之后計(jì)算出的簽名值不合法，可判定Cookie不合法。這樣就可以鑒別報(bào)文的Cookie是否被篡改。 但是現(xiàn)有技術(shù)的上述方案，存在如下不足: 首先，需要修改Cookie的值的內(nèi)容，即需要修改合法連接的HTTP報(bào)文的內(nèi)容，客戶端收到的Cookie其實(shí)不是服務(wù)器發(fā)出的Cookie，影響了 Cookie的應(yīng)用擴(kuò)展性。服務(wù)器產(chǎn)生的Cookie為:Key=V,而客戶端收到的Cookie為:Key=D (V+S)，如果客戶端上層應(yīng)用程序需要使用Cookie的值V時(shí)，這種技術(shù)就不適用。 其次，不能防止Cookie欺騙，如果黑客只是盜用其他用戶的Cookie，不修改Cookie的內(nèi)容，并發(fā)起HTTP連接，該現(xiàn)有技術(shù)不能識(shí)別這種攻擊方式。例，如果黑客盜取Cookie:Key=D (V+S),不篡改Cookie,直接發(fā)起的非法連接中包含Cookie:Key=D (V+S),網(wǎng)關(guān)無(wú)法識(shí)別這種非法連接。 再次，目前的處理技術(shù)需要改變Cookie的內(nèi)容，網(wǎng)關(guān)處理時(shí)每個(gè)Cookie值需要分別進(jìn)行加密和解密的計(jì)算處理，一次HTTP連接可能包含多個(gè)Cookie，使得設(shè)備處理性能很難提高。要提高流量處理性能，需要硬件上性能很強(qiáng)的處理器實(shí)現(xiàn)。
技術(shù)實(shí)現(xiàn)思路
本專利技術(shù)實(shí)施例提供保護(hù)Cookie信息的方法及Web服務(wù)器前置網(wǎng)關(guān)，能提高Web服務(wù)器的安全性。 本專利技術(shù)第一方面提供一種保護(hù)Cookie信息的方法，其可包括: 從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文； 判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)；所述關(guān)系數(shù)據(jù)庫(kù)用于記錄Cookie值、客戶端地址、服務(wù)器地址三者對(duì)應(yīng)關(guān)系； 當(dāng)判斷結(jié)果為是，確定所述HTTP請(qǐng)求報(bào)文合法，則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器； 當(dāng)判斷結(jié)果為否，確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。 結(jié)合第一方面，在第一種可行的實(shí)施方式中，從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之前，還包括: 從服務(wù)器接收HTTP應(yīng)答報(bào)文； 從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫(kù)。 結(jié)合第一方面，在第二種可行的實(shí)施方式中，所述從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文之后，還包括: 判斷所述HTTP請(qǐng)求報(bào)文的客戶端地址是否包含在存儲(chǔ)的源地址黑名單中，如果判斷為是，則丟棄所述HTTP請(qǐng)求報(bào)文； 如果判斷為否，則判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)。 結(jié)合第一方面至第一方面的第二種可行的實(shí)施方式中任一種，在第三種可行的實(shí)施方式中，所述確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文，包括: 統(tǒng)計(jì)在預(yù)設(shè)的第一時(shí)間范圍內(nèi)，所述客戶端地址作為源地址向所述服務(wù)器發(fā)送HTTP請(qǐng)求報(bào)文的次數(shù)； 當(dāng)統(tǒng)計(jì)的次數(shù)超過(guò)預(yù)設(shè)的第一閾值，則將所述客戶端的地址加入存儲(chǔ)的源地址黑名單中，并丟棄所述HTTP請(qǐng)求報(bào)文； 當(dāng)統(tǒng)計(jì)的次數(shù)未超過(guò)所述預(yù)設(shè)的第一閾值，則修改所述HTTP請(qǐng)求報(bào)文中的所述Cookie值，用于指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。 結(jié)合第一方面的第二種可行的實(shí)施方式中任一種，在第四種可行的實(shí)施方式中，本專利技術(shù)實(shí)施例的方法還包括: 實(shí)時(shí)統(tǒng)計(jì)每一客戶端地址在源地址黑名單中生效時(shí)刻開(kāi)始，持續(xù)第二時(shí)間之后，從每一客戶端地址對(duì)應(yīng)的客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目； 當(dāng)統(tǒng)計(jì)到從一個(gè)或多個(gè)客戶端接收到的HTTP請(qǐng)求報(bào)文數(shù)目小于預(yù)設(shè)的第二閾值，則從所述源地址黑名單中刪除所述一個(gè)或多個(gè)客戶端的客戶端地址。 本專利技術(shù)第二方面提供一種Web服務(wù)器前置網(wǎng)關(guān)，其可包括: 存儲(chǔ)模塊，用于存儲(chǔ)關(guān)系數(shù)據(jù)庫(kù)，所述關(guān)系數(shù)據(jù)庫(kù)用于記錄Cookie值、客戶端地址、服務(wù)器地址三者對(duì)應(yīng)關(guān)系； 接收模塊，用于從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文； 判斷模塊，用于判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)； 處理模塊，用于當(dāng)所述判斷模塊的判斷結(jié)果為是時(shí)，確定所述HTTP請(qǐng)求報(bào)文合法，并將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器；當(dāng)所述判斷模塊的判斷結(jié)果為否時(shí)，確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。 結(jié)合第二方面，在第一種可行的實(shí)施方式中，所述接收模塊還用于從服務(wù)器接收HTTP應(yīng)答報(bào)文；并從所述接收的HTTP應(yīng)答報(bào)文中提取Cookie值、客戶端地址以及服務(wù)器地址生成所述關(guān)系數(shù)據(jù)庫(kù)。 結(jié)合第二方面，在第二種可行的實(shí)施方式中，所述判斷模塊還用于當(dāng)所述接收模塊本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種保護(hù)Cookie信息的方法，其特征在于，包括：從客戶端接收超文本連接協(xié)議HTTP請(qǐng)求報(bào)文；判斷存儲(chǔ)的關(guān)系數(shù)據(jù)庫(kù)中是否包含所述HTTP請(qǐng)求報(bào)文中的Cookie值、客戶端地址、服務(wù)器地址組成的表項(xiàng)；所述關(guān)系數(shù)據(jù)庫(kù)用于記錄Cookie值、客戶端地址、服務(wù)器地址三者對(duì)應(yīng)關(guān)系；當(dāng)判斷結(jié)果為是，確定所述HTTP請(qǐng)求報(bào)文合法，則將所述HTTP請(qǐng)求報(bào)文轉(zhuǎn)發(fā)給所述服務(wù)器；當(dāng)判斷結(jié)果為否，確定所述HTTP請(qǐng)求報(bào)文非法，丟棄所述HTTP請(qǐng)求報(bào)文或指示所述服務(wù)器忽略所述HTTP請(qǐng)求報(bào)文。

【技術(shù)特征摘要】

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：張林，張亮，
申請(qǐng)(專利權(quán))人：華為數(shù)字技術(shù)蘇州有限公司，
類型：發(fā)明
國(guó)別省市：江蘇;32