[发明专利]一种基于前置网关的HTTPCookie保护方法

说明书

技术领域

本发明涉及Web安全领域。更为具体的，本发明涉及一种基于前置代理网关保护Web应用中使用的Cookie的方法，保护Web应用免受Cookie篡改和泄漏的威胁。 

背景技术

由于HTTP协议的无状态特性，Web服务器通常使用cookie实现跨HTTP会话的数据传递。Cookie值都是由服务器生成，并发送到客户端以便它们在下一个会话中被客户端提交回来供服务器使用。通过这种方式，Web服务可以获取以前会话产生的重要数据，保持多个会话之间的状态，以便维持与客户端的交互过程的平滑性。从整个Web会话的角度，客户端的可信性是难以保证的，Cookie值可能在客户端被恶意用户篡改以实现对Web服务器的业务欺诈。Cookie中包含的敏感信息也容易在客户端和传输过程中被泄露。 

上述问题的根源在于HTTP协议的无状态特性以及安全机制的缺乏。Web服务器通常采用HTTPS来加强Web交互的安全性，这种安全协议保证数据在传输过程中机密性和完整性，但无法解决Cookie在客户端被篡改问题。Web应用也可以在其实现代码中对cookie的值进行加密和认证，保证其客户端的不可见和不可篡改，但这种方法需要对大量已有的Web应用的实现代码进行修改，容易造成对应用的干扰，也不具有可扩展性。 

发明内容

针对在现有web应用代码中cookie进行安全加固所面临的对应用的干扰和扩展性缺乏问题，本发明提供了一种基于前置代理网关的Web安全加固方法，基于前置HTTP代理网关透明介入到客户端和Web服务器的会话过程中，实现对Web服务器发往客户端的cookie的签署以及对从客户端向服务器发送的上述协议字段的验证，保证客户端不能实现对cookie的篡改。在提高Web会话安全性的同时，本发明能够同时实现对多个Web网站的安全加固，并避免对Web应用代码的修改。 

本发明解决其技术问题所采用的技术方案是：前置网关部署在受保护的Web服务器之前，解析服务器发往客户端的HTTP应答，基于网关自身的秘密对HTTP应答中Set-Cookie的值 进行签署/加密；当网关接收到用户发往服务器的请求时，验证其中的cookie的值。前置网关可以以桥或者反向代理模式部署，在桥模式中，可通过目标地址转换(DNAT)使得协议数据能够被网关接收；在反向代理模式中，协议数据可直接发送给网关。如果cookie的值是敏感的而不宜对外泄露，则网关可以首先对cookie的值进行加密。在签署时，网关使用自己的秘密，这个秘密可以是一对非对称算法密钥或者一个对称算法密钥，如果是一对非对称算法密钥，则使用私钥对要保护的值进行签名，使用公钥进行验证；如果是一个对称算法密钥，则在签署时使用密钥和要保护的值计算哈希消息认证码(HMAC)，并在验证时重新计算认证码并进行比对。 

具体来说，本发明采用如下技术方案。 

一种基于前置网关的HTTP Cookie保护方法，所述前置网关位于服务器和客户端之间，其特征在于，所述方法包括： 

1-1).所述前置网关收到服务器发往客户端的HTTP应答时，对其中的cookie名值对进行签署； 

1-2).所述前置网关收到客户端发往服务器的HTTP请求时，对其中的cookie名值对进行验证，验证通过则放行所述HTTP请求。 

所述方法还可包括： 

2-1).所述前置网关收到服务器发往客户端的HTTP应答时，对其中的cookie名值对进行加密； 

2-2).所述前置网关收到客户端发往服务器的HTTP请求时，对其中的cookie名值对进行解密并放行所述HTTP请求。 

在本发明方法中，所述前置网关以桥模式或者以反向代理模式分别和所述服务器和客户端数据连接。 

优选地，在步骤1-1)中，可通过HMAC码或签名算法对所述HTTP应答中的cookie名值对进行签署。 

和现有技术相比，本发明的有益效果是，基于前置网关对cookie和隐藏按钮的值进行透明安全保护，无需更改Web应用的是实现代码，又可以同时保护多台Web服务器，具有良好的可扩展性。 

附图说明

附图是本发明方法的示意图。 

具体实施方式

下面通过具体实施例结合附图对本发明作进一步描述。