[发明专利]修改超文本传输协议“HTTP”请求的方法和客户端计算机

说明书

背景技术

超文本传输协议(HTTP)是无状态协议。为了针对HTTP客户端与HTTP服务器(也称作web服务器)之间的通信提供连续性，HTTP客户端将存储包含由web服务器设置的信息的小甜饼(cookie)，并且将在去往web服务器的后续HTTP请求中的小甜饼报头中包含该信息。例如，小甜饼报头可以包括会话标识符。

传输层安全(TLS)是与在线银行、电子商务和支付网站一起使用的通过安全信道交换数据的工业标准，并且还用作虚拟专用网(VPN)的基本保障(underlying security)。起初，使用用于认证的公共密钥基础设施(PKI)凭证来建立TLS通道，以在通道的每一端生成共享秘密以用于对通过TLS通道的通信进行加密。对称密码技术使用称作会话密钥的共享秘密，从而以安全的方式通过TLS通道来交换数据。

安全套接字层(SSL)3.0和TLS 1.0受到已知的攻击，即，容易受到由W.Dai等早在2002年描述的选择明文攻击。直到最近，普遍认为并不容易执行选择明文攻击以攻击HTTPS通信。

在2011年9月，Juliano Rizzo和Thai Duong在阿根廷的Ekoparty会议上提出了对TLS 1.0/SSL 3.0进行的使他们能够实时地对HTTPS客户端请求进行解密并且拦截HTTPS客户端与web服务器之间的会话的攻击。攻击使用称作BEAST(针对SSL/TLS的浏览器开发)的工具，该工具使他们能够从活动用户会话(例如，与诸如在线银行、电子商务和支付网站(例如，PayPal^TM)等敏感网站进行的一般认为机密的会话)抓取HTTPS小甜饼并且对HTTPS小甜饼进行解密。该工具针对在TLS/SSL中使用的高级加密标准(AES)加密算法使用称作按块选择边界攻击的攻击。

发明内容

当处理器执行客户端应用时，客户端应用可操作以创建超文本传输协议(HTTP)请求，该HTTP请求包含包括机密值的目标报头。将通过安全套接字层(SSL)3.0连接或传输层安全(TLS)1.0连接向web服务器发送HTTP请求。客户端应用在其HTTP层执行对策，对抗对通过SSL 3.0连接或TLS 1.0连接向web服务器发送的HTTP请求的按块选择边界攻击。客户端应用生成具有不能被web服务器识别的报头名称的额外报头，并且在目标报头之前将额外报头插入HTTP请求中，从而创建修改后的HTTP请求。将通过SSL 3.0连接或TLS 1.0连接向web服务器发送修改后的HTTP请求而不是未修改的HTTP请求。

附图说明

在附图的各个图中，相似的附图标记指示相应、相似或类似的元素。为了使说明简单和清楚，附图中所示的元素不必按比例绘制。例如，为了清楚起见，可以将这些元素中的一些元素的大小相对于其它元素进行放大。

图1是用于HTTPS通信的示例性客户端-服务器计算机系统的示意图；

图2是HTTP/1.1请求消息的结构的示意图；

图3和图4是简化的示例性HTTP/1.1请求消息的示意图；

图5是在TLS/SSL层中的多个密码组中进行密码块链(CBC)加密模式使用的示意图；

图6是可以在客户端应用的HTTP层组件中执行的一般对策方法的流程图；

图7-1、图7-2和图7-3是用于生成要包含在HTTP请求消息中的额外报头的备选方式的流程图；

图8至图12是简化的经修改的示例性HTTP/1.1请求消息的示意图；

图13是能够进行HTTPS通信的示例性客户端计算机的简化框图；以及

图14是能够进行HTTPS通信的示例性客户端计算机的简化功能框图。

具体实施方式

图1是用于HTTPS通信的示例性客户端-服务器计算机系统的示意图。服务器计算机102能够通过提供HTTP响应来对HTTP请求进行响应。在图1中，HTTP请求被示为点线箭头，并且HTTP响应被示出为虚线箭头。可以通过诸如内联网或互联网等网络来传输(carry)每一个[HTTP请求、HTTP响应]对。