[发明专利]一种Cookie本地存储与使用方法

说明书

技术领域

本发明涉及计算机信息安全领域，尤其涉及一种Cookie本地存储与使用方法。

背景技术

近年来，随着因特网的快速发展，出现了多种多样的基于因特网的应用，而Web网站则成为这些应用中最重要的一类基于因特网的服务。随着人们对Web服务的要求不断增高，各种功能也相继增加到原始的Web服务中，出现了诸如动态页面、Cookie机制等各种技术。图1给出了Cookie机制的工作流程，其中Cookie是在客户端中，由浏览器保存的一些由服务器动态生成的信息，客户端在以后的访问中会向服务器提供之前所保存的信息。服务器在收到该信息后可以动态配置返回给用户的页面，从而达到记录用户登录状态等功能。

Cookie机制在方便人们使用Web服务的同时，也带来了很多安全问题，其安全问题之一在于Cookie的本地存储容易被恶意程序窃取。如图2所示，由于当前各主流浏览器，如IE、Firefox、Chrome等，均把Cookie信息以明文形式存储在本地文件中，例如IE使用纯文本格式，而Firefox与Chrome使用sqlite3数据库格式明文保存用户的Cookie信息。这就导致本地恶意程序可以通过直接读取、拷贝该文件从而得到用户的Cookie信息，进而可以利用该Cookie盗用用户登录信息。此外，由于Cookie信息是完全由本地浏览器产生，保存，管理进而使用的，因此Cookie与本地浏览器具有紧密的耦合性，只要控制了本地浏览器，便对Cookie有了完全的控制权限。当用户浏览器中安装了带有恶意代码的插件或执行了带有恶意功能的Javascript代码时，由于用户Cookie的明文存储，导致这些恶意代码也可以直接获取到用户的Cookie，进而发送给恶意攻击者、危害用户安全。

可信平台模块TPM(Trusted Platform Module)是由可信计算组织TCG(Trusted Computing Group)提出的一种内嵌于计算机的新型嵌入式硬件安全模块。基于该安全模块，可以实现验证平台完整性度量、密钥安全保存、远程证明功能以及安全签名等功能。目前已有很多基于TPM来增强系统安全的研究，例如基于TPM来实现Web网页的可信验证等，尽管该方法能够验证服务端网页的可信，但其无法保证客户端Cookie的安全，此外该方法在启用了HTTPS的加密网页传输中存在部署困难的问题。另外一些研究主要集中在TPM的传统应用，例如基于TPM来保证平台完整性的验证、保证本地数据安全等，这些方法对于提高本地系统的安全性有一定帮助，但对于基于Cookie的Web交互仍无法保护。此外，还有针对Cookie协议进行改进来增强其安全性的研究，一种方法是引入一次性令牌来对抗重放攻击。但该方法无法解决本地Cookie泄露等问题；还有一种方法通过将Cookie存放到远程云端服务器来解决相应的安全问题。但其不足在于人们无法充分信任云端的安全，且引入云端可能成为用户访问网络时的单点障碍，如用户由于环境限制无法访问指定云服务器，此时依赖于云服务器的Cookie机制就无法正常工作。此外，该方法需要修改现有Cookie协议，以及需要修改对应的浏览器、服务器等，因此兼容性较差。

发明内容

为解决上述问题，根据本发明的一个实施例，提供一种Cookie本地存储方法，所述方法包括：

步骤1)、解析本地存储的浏览器Cookie文件，得到一个或多个未被替换的键值对；

步骤2)、对于所述一个或多个未被替换的键值对中的每个键值对，在所述浏览器Cookie文件中用唯一字符串替换该键值对中的值。

在一个实施例中，所述方法还包括：

步骤3)、对于替换后的键值对，将该键值对中的键和替换前的值、该键值对所对应的生效域名网址，以及用于替换值的唯一字符串写入安全Cookie文件中的一条记录，并对该安全Cookie文件进行绑定加密；其中，所述安全Cookie文件用于记录替换后的键值对的相关信息。

在一个实施例中，在步骤3)中，调用TPM设备使用绑定密钥对所述安全Cookie文件进行绑定加密。

在一个实施例中，步骤1)包括：

解析出本地存储的浏览器Cookie文件中记录的所有键值对及其对应的生效域名网址，并且解封安全Cookie文件；

对于解析出的所有键值对中的每个键值对，如果在所述安全Cookie文件中不存在包括该键值对中的键和值以及该键值对所对应的生效域名网址的记录，则该键值对是未被替换的键值对。