[发明专利]一种http会话防护方法、装置、设备及介质

说明书

本申请公开了一种http会话防护方法、装置、设备及介质，包括：从SSL/TLS解密后的http报文中获取用户标识和Session ID，得到第一用户标识和目标Session ID；从会话关联表中查找与目标Session ID对应的第二用户标识；其中，会话关联表包括当前与web服务端进行http会话的全部客户端对应的Session ID和用户标识，并且，会话关联表中的Session ID和用户标识一一对应；判断查找到的第二用户标识与第一用户标识是否一致；若查找到的第二用户标识与第一用户标识不一致，则进行相应的会话异常处理。这样，先从http报文中获取第一用户标识和目标Session ID，通过比对第一用户标识和会话关联表中与目标Session ID对应的用户标识是否一致，能够及时的发现http会话异常并进行相应的异常处理，从而提升了会话的安全性。

技术领域

本申请涉及网络安全技术领域，特别涉及一种http会话防护方法、装置、设备及介质。

背景技术

Https协议的数据加密防止了网络嗅探攻击，然而由于应用层Http协议的无状态性，为了维持来自同一个用户的不同请求之间的状态，Web客户端通过身份标识符SessionID唯一标识自己。又由于PHP、Java语言内置的Session管理机制并没有提供安全处理，https应用出现了通过web浏览器的会话劫持Session hijacking和会话固定Sessionfixation两种主要针对Session的攻击。

在现有技术中，开发人员需要根据不同的应用场景建立相应的安全机制来防范会话攻击，如使用Cookie传递Seesion ID，增加Cookie访问保护等，但是由于Session ID传递场景的多样性，造成安全防护机制的多样性，防范难度增加，且一旦发生会话攻击，无法进行有效的阻断攻击保护。

发明内容

有鉴于此，本申请的目的在于提供一种http会话防护方法、装置、设备及介质，能够及时的发现http会话异常并进行相应的异常处理，从而提升了会话的安全性。其具体方案如下：

第一方面，本申请公开了一种http会话防护方法，应用于web服务端，包括：

从SSL/TLS解密后的http报文中获取用户标识和Session ID，得到第一用户标识和目标Session ID；

从会话关联表中查找与所述目标Session ID对应的第二用户标识；其中，所述会话关联表包括当前与web服务端进行http会话的全部客户端对应的Session ID和用户标识，并且，所述会话关联表中的Session ID和用户标识一一对应；

判断查找到的所述第二用户标识与所述第一用户标识是否一致；

若查找到的所述第二用户标识与所述第一用户标识不一致，则进行相应的会话异常处理。

可选的，所述从SSL/TLS解密后的http报文中获取用户标识和Session ID，得到第一用户标识和目标Session ID之后，还包括：

判断用户关联表中是否存在所述第一用户标识，若不存在，则将所述第一用户标识和所述目标Session ID添加至所述用户关联表，若存在，则判断所述用户关联表中所述第一用户标识对应的Session ID与所述目标Session ID是否一致；

若所述用户关联表中所述第一用户标识对应的Session ID与所述目标SessionID一致，则触发所述从会话关联表中查找与所述目标Session ID对应的第二用户标识的步骤，若所述会话关联表中不存在所述目标Session ID，则将所述目标Session ID和所述第一用户标识添加至所述会话关联表中；