[发明专利]保护Cookie信息的方法及Web服务器前置网关

说明书

技术领域

本发明涉及通信领域，尤其涉及保护Cookie信息的方法及Web服务器前置网关。

背景技术

超文本传输协议（Hypertext Transfer Protocol，HTTP）是Web应用的核心协议。HTTP在Web的客户程序和服务器程序中得以实现，客户端使用HTTP协议与Web服务器实现数据交互。HTTP是一种无状态、无连接的协议，不能在服务器上保持一次会话的持续状态信息。为了记录用户浏览页面的状态信息，向用户提供更友好的交互环境，Cookie技术就应运而生。Cookie是Web服务器产生一定的信息，存放在客户端，用来维持客户端和服务器之间连接状态的一种技术。Cookie技术是对HTTP协议的一种补充。通常应用Cookie的过程如下：Cookie由服务器端生成，发送给客户端的Web浏览器，浏览器会将Cookie的名称和值保存到本地，浏览器下次请求同一网站时就发送该Cookie给服务器。Cookie名称和值由服务器端自己定义。目前有如下现有技术：

服务器发给客户端的HTTP应答报文，在经过Web服务器前置网关时，网关根据报文中Cookie的值（比如，Key=V）计算签名，并将签名连接在原Cookie的值之后（变成Key=V+S）。将Cookie的值和签名一起加密之后，替换原来的Cookie值，修改HTTP报文内容后，将报文发到客户端。

客户端发给服务器的HTTP请求报文，经过网关时，网关解密Cookie的值（Key=V+S），在判定Cookie签名正确后，将Cookie恢复成加密之前的值（Key=V），再将HTTP请求报文发给Web服务器。

如果HTTP请求报文有虚假的Cookie（比如，Key=V’），解密之后计算出的签名值不合法，可判定Cookie不合法。这样就可以鉴别报文的Cookie是否被篡改。

但是现有技术的上述方案，存在如下不足：

首先，需要修改Cookie的值的内容，即需要修改合法连接的HTTP报文的内容，客户端收到的Cookie其实不是服务器发出的Cookie，影响了Cookie的应用扩展性。服务器产生的Cookie为:Key=V,而客户端收到的Cookie为：Key=D(V+S)，如果客户端上层应用程序需要使用Cookie的值V时，这种技术就不适用。

其次，不能防止Cookie欺骗，如果黑客只是盗用其他用户的Cookie，不修改Cookie的内容，并发起HTTP连接，该现有技术不能识别这种攻击方式。例，如果黑客盗取Cookie：Key=D(V+S),不篡改Cookie，直接发起的非法连接中包含Cookie：Key=D(V+S),网关无法识别这种非法连接。

再次，目前的处理技术需要改变Cookie的内容，网关处理时每个Cookie值需要分别进行加密和解密的计算处理，一次HTTP连接可能包含多个Cookie，使得设备处理性能很难提高。要提高流量处理性能，需要硬件上性能很强的处理器实现。

发明内容

本发明实施例提供保护Cookie信息的方法及Web服务器前置网关，能提高Web服务器的安全性。

本发明第一方面提供一种保护Cookie信息的方法，其可包括：

从客户端接收超文本连接协议HTTP请求报文；

判断存储的关系数据库中是否包含所述HTTP请求报文中的Cookie值、客户端地址、服务器地址组成的表项；所述关系数据库用于记录Cookie值、客户端地址、服务器地址三者对应关系；

当判断结果为是，确定所述HTTP请求报文合法，则将所述HTTP请求报文转发给所述服务器；

当判断结果为否，确定所述HTTP请求报文非法，丢弃所述HTTP请求报文或指示所述服务器忽略所述HTTP请求报文。

结合第一方面，在第一种可行的实施方式中，从客户端接收超文本连接协议HTTP请求报文之前，还包括：

从服务器接收HTTP应答报文；

从所述接收的HTTP应答报文中提取Cookie值、客户端地址以及服务器地址生成所述关系数据库。

结合第一方面，在第二种可行的实施方式中，所述从客户端接收超文本连接协议HTTP请求报文之后，还包括：

判断所述HTTP请求报文的客户端地址是否包含在存储的源地址黑名单中，如果判断为是，则丢弃所述HTTP请求报文；

如果判断为否，则判断存储的关系数据库中是否包含所述HTTP请求报文中的Cookie值、客户端地址、服务器地址组成的表项。