[发明专利]一种基于前置网关的HTTP隐藏按钮保护方法

说明书

所属技术领域

本发明一般地涉及Web安全领域。更为具体的，本发明涉及一种基于前置代理网关保护HTTP Form中的隐藏按钮值的方法和装置，保护Web应用免受关键数据篡改和泄漏的威胁。

背景技术

由于HTTP协议的无状态特性，Web服务器经常在HTTP表单(Form)中使用隐藏按钮实现跨HTTP会话的数据传递。隐藏按钮的值都是由服务器生成，并发送到客户端以便它们在下一个会话中被客户端提交回来供服务器使用。通过这种方式，Web服务器可以获取以前HTTP交互中产生的重要数据(例如迄今，当前用户已经购买的商品价值总额)，以便作为与用户进一步进行交互和计算的基础。在大多数情况下，隐藏按钮的值是必须是真实的，否则可能造成对Web应用服务的欺诈。有些情况下，Web应用使用隐藏按钮记录用户在以前交互页面中输入的银行账户等敏感信息，这些信息是需要进行机密性保护的。从整个Web会话的角度，客户端的可信性是难以保证的，隐藏按钮的值可能在客户端被恶意用户或者恶意软件篡改以实现对Web服务器的业务欺诈。如果隐藏按钮中包含了敏感信息，则该信息也容易在传输过程中被泄露。

上述问题的根源在于HTTP协议的无状态特性以及安全机制的缺乏。Web服务器通常采用HTTPS来加强Web交互的安全性，这种安全协议保证数据在传输过程中机密性和完整性，但无法解决Cookie在客户端被篡改和泄漏的问题。Web应用也可以在其实现代码中对HTTP Form表单的产生过程中主动对隐藏按钮进行加密或者实施完整性保护，但这种方法需要对大量已有的Web应用的实现代码进行修改，容易造成对应用的干扰，也不具有可扩展性。

发明内容

针对在现有web应用代码中对Form的隐藏按钮进行安全加固所面临的对应用的干扰和扩展性缺乏问题，本发明提供了一种基于前置代理网关的HTTP Form隐藏按钮安全加固装置，基于前置HTTP代理网关透明介入到客户端和Web服务器的会话过程中，实现对Web服务器发往客户端的Form表单中隐藏按钮加密和完整性保护，保证隐藏按钮承载的敏感数据不能在传输过程和客户端被泄露和篡改。在提高Web会话安全性的同时，该装置能够同时实现对多个Web网站的安全加固，并避免对Web应用代码的修改。

技术方案

本发明解决其技术问题所采用的技术方案是：前置网关部署在受保护的Web服务器之前，充当Web服务器的反向代理，解析服务器发往客户端的HTTP表单内容，基于网关自身的秘密对HTTP Form应答中的隐藏按钮的值进行加密和完整性保护；当网关接收到用户提交的发往Web服务器的表单时，对其中的隐藏按钮的值进行解密和完整性验证。前置网关可以以桥或者反向代理模式部署，在桥模式中，通过目标地址转换(DNAT)使得协议数据能够被网关接收；在反向代理模式中，协议数据直接发送给网关。

该方案中对Form中可能存在的多个隐藏按钮进行逐一的基于对称密钥的加密，并且用加密值替换隐藏按钮的原值。同时，将多个隐藏按钮的值按照其在表达中出现的顺序进行连接，基于此连接值、网关自身的密钥和时间戳计算HMAC(哈希消息认证码)码。网关在服务器发往客户端的表达中增加一个特殊的隐藏按钮来承载该HMAC码，以便于以后进行完整性验证。

本发明的有益效果是，基于前置网关对HTTP表单中隐藏按钮的值进行透明安全保护，无需更改Web应用的是实现代码，又可以同时保护多台Web服务器，具有良好的可扩展性。

附图说明

图1是本发明的功能结构示意图。

具体实施方式

前置代理网关位于受保护的Web服务器之前，在客户端之前接收到来自服务器的HTTP应答，搜索其中的表单和隐藏按钮，使用网关中的密码设施(加密函数库、加密卡等)进行安全加固，然后转发给客户端。网关在服务器之前接收到来自客户端的HTTP请求，搜索其中的表单和隐藏按钮，解密和验证隐藏按钮的值，进行进行表单复原，并转发给Web服务器。

前置代理网关可以以桥或反向代理两种模式为一台或者多台Web服务器提供安全加固。在桥模式下，客户端发往服务器的请求数据包中的目标地址是真实的服务器，这时为了让网关能够接收和处理这些数据，通过目标地址转换(DNAT)方式将数据包的目标地址和端口转换本机的地址和服务端口，当数据被网关处理完成之后，再转发给服务器。在反向代理模式中，前置网关对外提供多个服务地址或者端口，并在这些地址或端口和真实的服务器之间进行对应，客户端将请求发往网关自身的服务地址与端口，网关解析并处理后转发给Web服务器。