[发明专利]基于负载均衡设备进行cookie加密的方法及装置

说明书

本公开涉及一种基于负载均衡设备进行cookie加密的装置及其方法。所所述装置包括：cookie加密策略预设组件，用于预设包括cookie名称、密钥及加密算法的cookie加密策略；http请求报文接收、解析及转发组件，用于接收及解析http请求报文，并将http请求报文发送至服务器；未加密cookie获取组件，用于接收http响应报文及获取未加密cookie；匹配组件，用于将未加密cookie在cookie加密策略中进行匹配；加密组件，用于若匹配成功，则对未加密cookie进行加密以生成加密cookie，以将加密cookie发送到客户端；解密组件，用于当判断所接收到的新http请求报文包括加密cookie以及加密cookie在cookie加密策略中匹配成功后，则对加密cookie进行解密以获得未加密cookie；未加密cookie转发组件，用于将未加密cookie向服务器发送，以在服务器通过cookie验证后对新http请求报文进行响应。

技术领域

本公开涉及网络安全技术领域，具体而言，涉及一种基于负载均衡设备进行cookie加密的方法及装置。

背景技术

Https协议：(Hypertext transfer protocol secure，超文本传输安全协议)，是一种通过计算机网络进行安全通信的传输协议。Https经由http进行通信，但利用ssl/tls来加密数据包。Https开发的主要目的，是提供对网站服务器的身份认证，保护交换数据的隐私与完整性。

Http协议本身是无状态的，即服务器无法判断用户身份。Cookie是一小段的文本信息(key-value格式)。当客户端向服务器发起请求，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个cookie。客户端浏览器会把cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该cookie一同提交给服务器。服务器检查该cookie，以此来辨认用户状态。

在cookie中添加HttpOnly属性可以创建HttpOnly cookie。HttpOnly cookie不能通过客户端api获取到。这种限制减少了通过跨站脚本(xss)窃取cookie的风险，然而这种cookie也会受到跨站追踪和跨站请求伪造攻击。

大部分站点使用cookie作为用户session的唯一标识，因为其他标识web用户的方法有局限性以及漏洞。如果一个网站用户的cookie作为session标识，攻击者可以模拟用户请求通过窃取受害者的cookie设置。从服务端来看，攻击者发出的请求有和受害者请求一样的授权，所以这种请求就会被执行。攻击者可以通过网络窃听、发布假的子域(dns缓存污染)、跨站脚本cookie窃取、跨站请求伪造等方式进行cookie窃取和session劫持。

为了保护用户隐私，减少用户信息被窃取的可能，目前主流网站均除了支持http协议，还支持了https协议提供服务。Https通过使用ssl/tls对报文数据进行加密传输，服务端在设置cookie时，可以指定一个Secure标识，这样浏览器在发送cookie时会通过加密通道发送。在这种情况下，攻击者只能看到http请求中的未经加工的加密的字节。而通过http协议传输的报文，则对cookie的保护手段则略显乏力。

1、服务器对用户名密码进行加密

在保存用户信息阶段，主要的工作是对用户的信息进行加密并保存到客户端。加密用户的信息是较为繁琐的，大致上可分为以下几个步聚：

①得到用户名、经加密后的用户密码、cookie有效时间

②自定义的一个webKey，这个Key是为自己的网站定义的一个字符串常量，这个可根据自己需要随意设置

③将上两步得到的四个值得新连接成一个新的字符串，再进行MD5加密，这样就得到了一个MD5明文字符串

④将用户名、cookie有效时间、MD5明文字符串使用“：”间隔连接起来，再对这个连接后的新字符串进行Base64编码